大数据时代给我们带来了方便与快捷,同时,也带来了数据安全方面的隐患。数据安全事件屡见不鲜,小至密码被盗、隐私泄露、钱财损失,大至“勒索病毒”严重威胁企业乃至国家机关单位安全。
(一)国内价值观
(二)国际价值观
二、数据合规法律环境
(一)国内法律环境
(二)国际法律环境
分 则
一、金融科技行业数据合规
(一)金融科技行业数据合规现状分析
(二)金融科技行业数据合规要点
(三)金融科技行业数据合规治理方案
(四)金融科技行业数据合规法律法规焦点问题
二、智能汽车行业数据合规
(一)智能汽车行业数据合规现状分析
(二)智能汽车行业数据合规要点
(三)智能汽车行业数据合规治理方案
(四)智能汽车行业数据合规法律法规焦点问题
三、在线教育行业数据合规
(一)在线教育行业数据合规现状分析
(二)在线教育行业案例及数据合规要点
(三)在线教育行业数据合规治理方案
(四)在线教育行业数据合规法律法规焦点问题
四、电信和互联网行业领域数据合规
(一)电信和互联网行业数据合规现状分析
(二)电信和互联网行业数据合规要点
(三)电信和互联网行业数据合规治理方案
(四)电信和互联网行业法律法规焦点问题
在全球数字经济发展的大背景下,数据已成为企业的重要资产。2021 年 6 月 10 日,第十三届全国人民代表大会常务委员会第二十九次会议审议通过了《中华人民共和国数据安全法》(以下简称《数 据安全法》)。该法已于 2021 年 9 月 1 日起施行。《数据安全法》作为我国数据安全领域的基础性法律,明确了数据安全领域内治理 体系的顶层设计,通过规制数据处理活动、保障数据安全、保护个 人和组织合法权益、维护国家主权和安全,引领和促进数据的开发 利用,要求企业依法强化合规建设,对企业与机构的责任、义务提 出了更加细致的规范和要求。其中第一章明确要求“应建立健全数 据安全治理体系,提高数据安全保障能力”。
为推进数据合规工作,排除企业数据合规风险,本白皮书基于企业数据合规工作的必要性,首先对国内外数据合规价值观和法律法规环境进行了概述;然后对金融科技、智能汽车、在线教育、电信及互联网四个重要领域的数据合规现状、要点、治理方案、法律法规焦点问题进行了详细介绍。
《中华人民共和国数据安全法》已颁布,个人信息保护相关法律已经出台,围绕数据合规、数据治理的政策标准及体制体系研究正加紧开展,国内数据合规政策环境趋于明朗。我国各行业数据资源丰富,价值优势突出,利益相关方蜂拥而至,且随着各行各业数据内外部应用的同步拓展和推进,数据合规问题日益凸显, 严重阻碍数据资源价值释放,数据合规需求更加迫切,数据合规研究及指导落地刻不容缓。
国际价值观
国际上对数据资源高度重视,各国纷纷采取数据本地化等强制性措施,维护数据主权并争夺数据资源。国家间、企业间数据资源的争夺日益激烈,“数据主权”面临严重挑战。一方面,很多国家或组织通过强制数据本地化存储、强制性反加密制度(如强制性后门)等加强对数据获取、数据跨境流动及合作等方面的控制权。欧盟数据相关立法密集,深刻影响国际安全治理格局,包括美国、日本、韩国、印度等在内的十几个国家为打通欧盟立法产生的数据壁垒,与其已经达成或正在谈判以达成数据传输保护协议。另一方面,以美国为首的多个国家通过单方面主张域外管辖权获取境外数据,意图创建打破数据本地化政策的全新规则框架,但又以网络自由原则和人权保护为理由,对外国政府调取数据均以自身利益为先加以制衡。在数字经济全球化的当下,迫使包括中国在内的数据治理主体在数据相关战略部署,及中国企业在内的跨境数据运营主体在业务合规过程中,必须考虑、评估国际政策法律环境的约束和实际影响力。
2015 年7月1日,《中华人民共和国国家安全法》颁布并施行, 同日,国务院办公厅印发《关于运用大数据加强对市场主体服务和监管的若干意见》,提出充分运用大数据先进理念、技术和资源,加强对市场主体的服务和监管,推进简政放权和政府职能转变,提高政府治理能力。
2017 年6 月1日,《中华人民共和国网络安全法》正式施行,其中对个人信息保护作出明确规定。
2018 年8月31 日,我国《电子商务法》公开颁布,除了对个人信息保护做出规定外,对于“数据杀熟”问题也首次尝试做出回应。
2019 年 5 月28日,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》,对利用网络开展数据收集、存储、传输、处理、使用等活动,以及数据安全的保护和监督管理,做了详细规定。6月13日,发布《个人信息出境安全评估办法(征求意见稿)》,目前两项公开征求意见工作已完成。10 月 1 日,由国家互联网信息办公室发布的《儿童个人信息网络保护规定》正式施行。12 月 1 日,等保 2.0 正式将大数据安全纳入监管体系。
2020 年1 月1日,《中华人民共和国密码法》正式施行。1月 17 日至 18 日,中央政法工作会议强调,要把大数据安全作为贯彻总体国家安全观的基础性工程,依法严厉打击侵犯公民隐私、损坏数据安全、窃取数据秘密等违法犯罪活动。3 月 30 日,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机 制的意见》,提出“加快培育数据市场要素”,优化经济治理基础 数据库,培育数字经济新产业、新业态和新模式,加强数据资源 整合和安全保护。4 月 27 日,国家互联网信息办公室、国家发展 和改革委员会、工业和信息化部、公安部、国家安全部等 12 部 门联合制定发布《网络安全审查办法》,明确网络安全审查重点 评估采购网络产品和服务可能带来的国家安全风险,包括网络产 品和服务使用后带来的关键信息基础设施重要数据被窃取、泄露、毁损的风险。5 月 28 日,十三届全国人大三次会议表决通过《中华人民共和国民法典》,其中专设了“隐私权与个人信息保护”章节。
2020 年 6 月 28 日,我国第一部在数据安全领域的基础性法律《中华人民共和国数据安全法(草案)》在第十三届全国人大常委会第二十次会议通过审议,并于 7 月 3 日在中国人大网公开征求意见,随后《中华人民共和国个人信息保护法(草案)》公开征求意见。诸多政策、立法齐头并进,为数据及其安全治理落地实践提供全面保障。2020 年 7 月,我国对外公布了《数据安全法(草案)》的征求意见稿,其在法律地位上与《网络安全法》《国家安全法》相一致。
2021 年6月7日,为促进国家数字经济的发展,维护国家数据安全,《中华人民共和国数据安全法》(草案三次审议稿)提请第十三届全国人大常委会第二十九次会议审议。2021 年 6 月10 日,国家主席习近平签署第八十四号主席令,公布《中华人民共和国数据安全法》,并自 2021 年 9 月 1 日起施行。该法是继《网络安全法》之后,又一部网络安全领域的重要法律,既是国家数据安全领域的基础法,又与其他相关法律相联系。《数据安全法》的出台,不仅有助于我国数字经济与国际接轨,同时为国家数字经济发展保驾护航,对指导我国数据行业安全规范运营具有重要意义。
欧盟
欧盟立法密集,深刻影响全球数据安全治理格局。2016 年 4月 27 日,欧盟发布 2016/679 号条例《通用数据保护条例(》GDPR),取代 95/46/EC 号指令(欧盟数据保护指令)。条例制定了个人数据保护的一般规范,为欧盟内外个人数据的自由流动提供了确定 性保护,开启了其成员国新一轮数据立法,是欧盟新形势下数据 治理的里程碑事件。7 月 6 日,首部网络安全相关法律《网络与信息系统安全指令》(NISD)颁布,旨在加强基础服务运营商、数字服务提供商的网络与信息系统安全,并要求成员国及时转化 为国内立法,与 GDPR 分别从安全和基本权利保障两个层面实现其网络治理战略意图。
2018 年 10 月 23 日,第 2018/1725 号条例《联盟机构个人数据处理保护条例》发布,其作为 GDPR 的补充,对欧盟机构在处理个人数据时对自然人的保护提出基本要求,明确了数据主体的权利范围及主要监管机关的职能和义务。为保障非个人数据在欧盟境内自由流动,更大程度地激发和释放数据价值,2018/1807 号条例《非个人数据自由流动条例》于 11 月 14 日发布,该条例对数据本地化要求、主管当局的数据获取及跨境合作、专业用户的数据迁移等问题作出了具体规定,并考虑了服务提供商负担过度及市场扭曲等问题,进一步完善了欧盟数据治理框架。欧洲数据保护委员会的统计数据显示,在 GDPR 实施的第一年里,成员国共报告 28100 多例 GDPR 违规案件,罚款总额达 55,955,871 欧元(其中 5000 万欧元为对谷歌的罚款)。另根据 GDPR 执法追踪网站(enforcementtracker.com)的统计,截至 2020 年 9 月,欧盟成员国共开出 362 张与 GDPR 相关的罚单,总罚款金额高达491,003,290 欧元,平均每单处罚 1,356,363 欧元,其中“对数据进行处理的法律依据不足”“缺乏足以保障数据安全的技术和组织措施”“违反数据处理的一般原则”等三种违法情形位居罚单数量和金额前三甲。
2019 年 4 月 17 日,第 2019/881 号条例《关于 ENISA 和信息通信技术网络安全认证的条例》(又称《2019 网络安全法案》) 正式颁布,这是欧盟网络安全治理的里程碑事件。法案指定欧盟网络和信息安全署(ENISA)为永久性欧盟网络安全机构,确立了第一份欧盟范围的网络安全认证计划,以确保向欧盟境内提供的产品、服务满足其网络安全标准。6 月 20 日,《数据开放指令》发布。
欧盟的“数据”和“安全”相关法律密集出台,与其“数字化单一市场”战略齐头并进,培育了良好的数据安全治理环境, 深刻影响国际数据治理格局。在美国曝光监听丑闻及棱镜事件后, 欧盟认为欧美长达 15 年的《安全港协议》不足以保护欧盟公民隐私。2016 年 2 月 2 日,美国与欧盟达成新的隐私盾(Privacy Shield)协议,新协议要求美国企业履行更加严格的义务以保护欧盟公民的个人数据,且必须做出相应承诺。2019 年 1 月 23 日, 日本与欧盟达成数据共享协议,在欧盟对其进行充分性认定前,日本实施了额外的保障措施,以确保由欧盟转移的数据享有符合欧洲标准的保护保障,并至少每四年进行一次协议运作审查。、与此同时,欧盟为 AI 数据采集立法,开创个人隐私保护监管先河。欧盟委员会于 2020 年 4 月 21 日正式发布一项针对 AI的法律监管框架。这份长达 81 页的立法草案指出,欧盟将禁止使用人工智能系统建立社会征信体系,同时将彻底禁止一些对个人隐私构成“高风险”的人工智能应用。这意味着未来不符合准入标准的 AI 系统,可能无法进入欧盟。
2020 年 11 月 4 日,欧盟推出与美国共享数据的合规条款。欧盟委员会发布更新的标准合同条款(SCC),概述公司和组织如何与美国共享数据而又不违反欧盟的隐私法律。SCC 为欧洲公司与美国和其他第三方国家/地区交换数据提供了一种法律机制, 将使得欧洲组织能明确在什么情况下进行跨境数据传输是合法的。
2020 年 11 月 25 日,欧盟发布《数据治理法》的提案,旨在通过增加对数据中介机构的信任并通过加强整个欧盟的数据共享机制来促进使用数据的可用性。
2021 年 7 月 22 日,荷兰数据保护局以侵犯儿童隐私为由,决定对字节跳动旗下短视频社交平台 TikTok(“抖音”国际版)处以 75 万欧元的罚款。这一事件意味着欧盟《通用数据保护条例(GDPR)》(“GDPR”)实施三年以来,中国企业(包括其控制的海外平台)第一次因违反 GDPR 相关条款而遭受处罚,具有一定标志性意义。
美国
美国多点式进行数据立法,捍卫其多元化社会利益。目前美国尚无联邦层面的、正式的综合性数据安全立法,但美国从联邦层面多次强调将数据作为执法优先项,并于 2019 年底相继提交《国家安全和个人数据保护法提案》《数据保护法提案》。
2018 年 6 月 28 日,美国在州层面通过第一部数据隐私法案《加利福尼亚州消费者隐私保护法》(CCPA),并于 2020 年 1 月1 日正式生效。法案强化了数据主体对个人信息的控制权,规范了企业收集处理数据的方式。此前,在 2018 年 1 月,特朗普签署了《外国情报监视法案修正案》第 702 条的更新授权,延续其霸权形式的互联网监视及情报收集计划,同意授权美国国家安全局(NSA)监听境外目标人员并收集其相关数据情报。2018 年 3 月23 日,特朗普签署《澄清合法使用海外数据法》即“CLOUD 法案”,法案提升了美国执法机构对境外存储数据的执法权限,即无论网络服务提供商的数据是否存储在美国境内,只要是提供商拥有、控制或监管,均须按照该法令的要求保存、备份和披露。同时允许“适格外国政府”执法机构调取美国存储数据,但“适格”认定、调取规则以及上述域外数据采集要求均以美国利益为先加以制衡。
2020 年 12 月,美国颁布《外国公司问责法》,要求在美上市公司披露额外信息,其中包括提供符合美国证券交易委员会的审计标准的审计报告。该法律规定,如果外国公司连续三年没有通过美国公众公司会计监督委员会的审计,那么将不能在美国任何交易所上市。此外,依据美国《萨宾斯-奥克利》法案,上市公司必须在审计报告中提供“内部控制”内容,通常包括网络活动、帐号活动、数据库活动、用户活动、系统登入活动以及信息接入的参数和条件等等。值得关注的是,审计报告中必须包含公司在网络安全信息基础建设中的相关内容,其审计底稿中可能需要包括关键信息基础设施的详细参数。
美国实施网络监控,威胁全球数据安全。美国领导的“五眼联盟”以所谓“维护公共安全”为由,要求一些高科技公司在加密应用程序中插入“后门”,以便为“五眼联盟”开展“网络执法行动”提供便利。英国《计算机周刊》网站刊文指出,此举与真正的数据安全原则背道而驰。“棱镜门”“方程式组织”“梯队系统”等旧账未了,如今又公然要求高科技公司给自己开“后门”,这进一步暴露了美国在网络安全问题上的双重标准。
事实上,美国才是全球最大的网络攻击者,长期在全球实施大规模网络监控,是名副其实的“黑客帝国”。俄罗斯联邦安全会议副秘书奥列格·赫拉莫夫说,美国不断强化针对别国网络空间的侦察和破坏活动,同时还指责他国是网络威胁的主要来源。“世界上大部分网络攻击都是由美国发起的”。
其他国家以及国际组织
国际数据治理情绪高涨,配套政策出台密集。2017 年 5 月30 日,日本《个人信息保护法》修订版全面施行。2018 年 2 月22 日,澳大利亚隐私法修正案《数据泄露通知计划》正式施行。
6 月 12 日,越南通过《网络安全法》,对个人信息保护作出规定。8 月 14 日,巴西批准了《通用数据保护法》。11 月 5 日,加拿大《个人信息保护和电子文件法》修正案生效,增加了强制性数据泄露通知报告要求。2019 年 12 月 4 日,印度内阁通过《个人数据保护法案》,引入了更为广泛的数据本地化要求,对包括互联网行业在内的多个行业带来全面冲击。2020 年 5 月 14 日,新加坡通信信息部和个人数据保护委员会联合发布《个人数据保护法(修订)》草案,是规范个人数据的收集、使用和披露的综合性立法。为配合该法更好执行,当地还配套出台了特定领域(如电信、房地产、教育、医疗、社会公益服务等行业)的个人数据保护指南。
美国主导下的亚太隐私数据跨境体系(APEC CBPRs)在经历沉寂期后迎来实质性进展。2018 年 3 月,新加坡加入 CBPRs 体系;11 月,澳大利亚和中国台北的加入申请也同时获得 APEC 批准。截至目前,在 APEC 21 个经济体中,已有美国、日本、加拿大、韩国、新加坡等 8 个经济体加入 CBPRs 体系。ODCE 经合组织也在继 2013 年 7 月发布《隐私及个人数据跨境流动保护指引》后,于 2019 年 11 月,发布《公共部门如何实现数据驱动》的报告,以促进公共部门采用更多数据驱动的方法来制定政策、提供服务,并提出关于建设数据驱动型公共部门的建议。
2020 年 6 月 12 日、6 月 30 日、7 月 3 日、9 月 2 日,欧盟、丹麦、英国和法国分别启动针对TikTok 涉嫌违反GDPR 的调查。越来越多的国家对数据保护实行严格监管,这是我国企业跨国运营所面临的“头号麻烦”。面对数据保护处罚的威胁,不愿或无力承担合规成本的企业往往选择退出“高风险”的市场,而选择坚守的企业则采取积极的应对措施降低违规风险。一些在境外运营的中资互联网企业使用第三方云服务提供商(符合 GDPR 安全标准)对用户数据进行存储和管理,并与企业分担合规责任。根据字节跳动与甲骨文于 2020 年 9 月 13 日达成的关于 TikTok 美国业务的协议,甲骨文正式作为 TikTok 可信赖的数据安全合规合作伙伴,有权对 TikTok 美国的源代码进行安全检查,从而代表美国政府解决美国国家安全问题的意志。
日益严格的数据保护已对跨境投资造成了负面影响。德勤会计师事务所发布的《2020 并购趋势报告》指出,在欧盟 GDPR 和美国加州 CCPA 相继实施、生效的背景下,70%的受访企业代表认为对并购的数字资产的保护是个值得关注的问题;数据安全的合规要求对企业并购的尽职调查和并购整合而言都构成潜在的风险。美国伊利诺伊技术学院 Jian Jia 等人于 2019 年 12 月发表了论文《GDPR 与风险投资的本地化》,分析了 GDPR 实施一年以来欧盟外部和欧盟内部的风险投资变动情况。结果显示,欧盟外部对欧盟的风险投资、欧盟内部成员之间的风险投资、同一欧盟国家内部的风险投资的平均单笔交易美元金额分别下降41.89%、35.77%和 28.02%,交易数量分别减少 26.29%、20.71% 和 13.67%。
1、取得相关经营资质
(1)融类许可或备案,除了金融许可证外,常见的还有支付许可、个人征信许可、企业征信备案、小贷许可、信用评级备案等;
(2)电信类许可,常见的有 ICP 许可、EDI 许可等。
2 安全等级保护和关键信息基础设施认定
对于有信息系统运行的金融科技机构而言,合理地进行安全等级保护备案、及时地确定是否属于关键信息基础设施,既是数据合规义务,也是数据合规工作正确开展的基础。
3 建立数据合规制度和运行管理体制
金融科技机构可以从制度制定、人员配备、体制运行等方面建立适合业务实际的数据合规体系,以做到数据合规有人管、有制度保障、有体系运行。
4 数据资产管理
- 数据分类分级。金融机构已经有了明确的数据分类分级标准,其他金融科技机构可以参照标准对自己的数据资产进行分类分级,既方便确定合适的数据安全策略,也方便与各类金融机构合作过程中对于数据对接和通过合作机构准入的数据合规审查。
- 数据跨境。现有监管对金融个人信息跨境有严格的前提条件,包括业务必要、客户明示同意、境外接收方为必要关联机构、开展安全评估、符合监管规定、境外机构数据安全保护能力达标、有措施确保境外机构的保密/删除、案件协查义务等。由于业务特性,金融科技机构及其处理的数据很容易进入关键信息基础设施运营者、重要数据的范围,随着《数据安全法》《个人信息保护法》的正式发布与陆续施行,金融科技机构在处理各类数据跨境时,均应当关注相关安全评估、备案或批准要求。
- 个人信息、儿童信息保护。当前立法和监管政策对个人信息、儿童信息有更为严格和特殊的保护要求,金融科技机构在处理相关信息时应注意遵守。另外,To B 金融科技机构需要注意, 由于个人信息与企业信息中高管、董事、股东信息的界定或者说分类边界并不清晰,且企业征信业务管理的相关规范还在征求意见中并未定稿,在处理相关信息时要格外注意合规问题,不能简单的以 B 端业务为由带过具体问题的分析处理。
- App 合规管理。金融科技机构在打造自有 App 或输出 App 产品时,要注意遵守 App 治理的相关明文规范,避免出现明确列举的 App 违法违规情形。此外,对于小程序、H5、web 端产品, 目前的监管趋势也是参照适用、逐步纳入,建议与 App 产品统一标准、从严管理。
金融科技行业数据合规治理方案
1 内部治理要点
数据合规在法律层面、技术层面、运营管理层面均面临不同的挑战和难点,需要自上而下的有效协同,仅仅作为单一主体(DPO、CDO 或 CCO 等)或部门(法律合规部、IT 运维部门或数据合规部等)的责任很难达到机构的共同完善和整体合规。因此,建议金融科技机构建设决策层牵头、数据合规或类似部门执行、全员参与的全方位、跨部门的数据协同管理体系:
- 顶层支持。数据合规负责人应具有足够高的层级和管理权限,以保障和推动机构整体对数据合规问题自上而下的严肃、积极对待。
- 事前、事中、事后合规落地。数据合规部门事前可从数据合规培训、数据合规文化建设等方面加强全体员工的数据合规意识;事中可在业务前期即参与产品创新、业务流程设计,减少事后纠错带来的内部抵触、成本浪费;关注事后排查,定期抽检, 确认既定措施是否有效落实或是否存在技术故障导致合规瑕疵。
- 业务协同。金融科技机构在展业过程中,尤其是项目初期, 经常难以在取得“明确具体”的授权场景下与合作方交互数据,数据合规部门应和业务部门、技术部门协同合作,建立合理的数据处理机制,保障合规底线与数据可用性。
- 物质保障。数据合规的落地需要资金、技术、人员等多方面的支持,金融科技机构需给予合理的保障。
2 外部治理要点
金融科技机构数据合规治理除了做好自身内部建设外,外部建设亦很重要,主要包括监管、交易方、第三方机构三个方面。
- 拥抱监管、有效合规。如前所述,拥抱监管将是金融科技机构的数据合规路径。在拥抱监管的同时,更为重要的是在监管框架下进行有效的合规建设,既不能不满足监管要求,也要避免用力过猛。比如在等保认定方面,要结合自身系统和业务的实际情况,合理认定等保级别,认定级别过低,将造成企业在网安层面的主体义务履行不合规,而超越实际情况拔高等保级别,则不仅会承担过高的等保义务,在等保与 CIIO 认定标准存在一定相似性的情况下,企业还可能需要承担更高的 CIIO 数据合规义务。
- 交易方合规管控。数据合规需从取得到流转全流程均尽审慎义务,数据流转过程中应注意协议层面各方的责任分配,要求参与方均应尽到自身合规义务。不过,业务场景中常难以核查数据提供方或数据接收方授权落实情况,此时建议在不影响客户体验的情况下,尽量在自身平台建立完整的授权结构,避免合作方不合规导致自身风险。
- 有效利用第三方机构。数据合规的规制、评测等存在大量 复杂的专业问题,这些问题全凭机构自身的力量去解决,既不现 实也不经济,有效利用律师事务所、合规事务所、评测机构、科 研院所等专业力量,往往可以更高效的解决企业遇到的实际问题。
北京瀛和律师事务所
中国电信集团有限公司
中国电信股份有限公司研究院
中国联合网络通信有限公司
中国移动通信集团有限公司
中国科学院信息工程研究所
中核核信信息技术(北京)有限公司
北京大学信息管理系
北京梆梆安全科技有限公司
北京天融信网络安全技术有限公司
北京安瑞科技有限公司
北京知人善用信息技术有限公司
北京软件和信息服务业协会
西安邮电大学
西安千喜网络科技有限公司
全球能源互联网研究院有限公司
远江盛邦(北京)网络安全科技股份有限公司
启明星辰信息技术集团股份有限公司
国家互联网应急中心
奇安信科技集团股份有限公司
陕西泽众维密信息技术有限公司
绿盟科技集团股份有限公司
联通数字科技有限公司
新华三信息安全技术有限公司
蔷薇大树科技有限公司
蔷薇聚信(北京)科技有限公司
ISC2北京分会
提取码:6666来源: 中国评测网安中心
评估报告-解读_页面_01-300x200.jpg)
