滴滴专题 | 数字经济时代,企业数据出境的合规指引
以下文章来源于广悦数据合规研究院 ,作者冯清清 盛宇涵
2021年7月4日,国家互联网信息办公室发布《关于下架“滴滴出行”App的通报》。通报指出,“滴滴出行”App存在严重违法违规收集使用个人信息问题,国家网信办依据《网络安全法》相关规定,通知应用商店下架“滴滴出行”App,并要求滴滴出行科技有限公司严格整改,保障用户个人信息安全。
仅在两天前即7月2日,网络安全审查办公室发布《关于对“滴滴出行”启动网络安全审查的公告》,宣布对其实施网络安全审查。这是国家首次对企业启动网络安全审查,一时间,引起社会各界的高度关注。
App既是企业主营业务的重要载体,也是个人信息保护和数据安全涉及的关键领域。数字经济时代下,企业必将面临系统性的数据合规监管,如何防范网络风险,或许是比业务先行更为重要的议题。
”
文 | 冯清清 广东广悦律师事务所 合伙人
盛宇涵 广东广悦律师事务所 律师助理
来源 | 广悦数据合规研究院
- 1 -
App遭下架和网络安全审查是两回事
由于两个事件时间点接近,很多网友只顾围观,来不及分辨。“滴滴出行”App遭下架并不是此前网络安全审查的结果,此次App下架与网安审查可能存在关联,比如违规原因上的交集。但从性质上说,这是两个不同的事,正如黑美人和早春红玉是两种不同的瓜。
1. 法律依据
根据《关于下架“滴滴出行”App的通报》(下称“《通报》”),滴滴出行App被下架的法律依据是《网络安全法》,原因是App存在严重违法违规收集使用个人信息问题。
然而根据《关于对“滴滴出行”启动网络安全审查的公告》(下称“《公告》”),滴滴公司被审查的法律依据是《国家安全法》和《网络安全法》,网安审查直接适用的是2020年6月1日生效的《网络安全审查办法》(下称“《审查办法》”),该办法由国家网信办等12个中央部位联合制定,是开展网络安全审查工作的核心制度。
2. 所涉机构
App下架通报由国家网信办发布。根据2018年发布的《国务院关于机构设置的通知》(国发〔2018〕6号),国家网信办与中央网络安全和信息化委员会办公室,是一个机构两块牌子,列入中共中央直属机构序列。
对滴滴出行启动网络安全审查的主体为网络安全审查办公室。根据《审查办法》第四条,“网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。”
《审查办法》不仅明确了网信办和网络安全审查办公室的关系,还规定了网络安全审查的工作机制,包括国家网信办、发改委、工信部、公安部、国安部、财政部、商务部、中国人民银行、国家市场监管总局、国家广播电视总局、国家保密局、国家密码局在内的共计12个部委机构,构建了网络安全审查工作机制的成员单位(下称“成员单位”)。
3. 程序时限
对于App下架而言,根据《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》),被下架的App在40个工作日内不得通过任何渠道再次上架,被下架的App完成整改,完善技术和管理机制并作出企业自律承诺后,才可向作出下架要求的监督管理部门申请恢复上架。
对于网络安全审查,根据《审查办法》,通常情况下在30个工作日内完成初步审查,情况复杂的可以延长15个工作日。
初步审查后,将向成员单位和相关关键信息基础设施保护工作部门征求意见,意见于15个工作日内以书面形式作出。
如多方意见一致,将结束审查环节,书面通知运营者审查结论;如意见不一致,则进入特别审查程序。进入特别审查程序的审查项目,可能还需要45个工作日或者更长时限。
具体审查流程可见下图:
综上,企业APP被下架和对企业启动网络安全审查是两回事,联系仅仅在于,两者所涉及的数据安全或个人信息保护问题,在违规原因上可能存在一定重合。
- 2 -
“CIIO”和“重要数据”
早在滴滴公司被启动网络安全审查后,原因猜测便满天飞,真假难辨。一方面,是滴滴公司可能作为“关键信息基础设施的运营者”(Critical Information Infrastructure Operator,“CIIO”)的特殊身份。另一方面,则是滴滴公司因业务性质而掌握的道路交通数据问题。
1. 特殊身份之“CIIO”
网络安全审查的适用对象为关键信息基础设施的运营者。《网络安全法》第三十一条对何谓“关键信息基础设施的运营者”做了解释:
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
对此,国家网信办曾于2017年发布《关键信息基础设施安全保护条例(征求意见稿)》并公开征求意见。但截至目前,该条例正式稿仍未出台。
实践中,我们只能通过行业性质、行业地位、特殊事件(比如被启动网安审查),来反推企业可能被列为了本行业领域的“关键信息基础设施的运营者”。
2. 汽车数据安全之“重要数据”
《南方周末》在对中国信息安全研究院副院长左晓栋采访时,其指出,对滴滴审查的重点是重要数据的出境安全风险。数据资源除了经济属性外,还具有显著的安全属性。因而在企业数据出境问题上,不仅需要考虑到个人信息保护,还需要关注公共利益保护和国家安全。
滴滴公司基于主营业务而掌握了海量道路交通数据,比如道路上的车辆类型、车辆流量等。国家网信办于2021年5月12日发布的《汽车数据安全管理若干规定(征求意见稿)》(下称“《意见稿》”),对汽车行业的重要数据进行了明确规定。
按照《意见稿》,包括军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据,高于国家公开发布地图精度的测绘数据,汽车充电网的运行数据,道路上车辆类型、车辆流量等数据,包含人脸、声音、车牌等的车外音视频数据,以及其他可能影响国家安全、公共利益的数据,均属于重要数据的范围。
在数据出境问题上,《意见稿》原则上要求上述重要数据应境内存储。需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。向境外提供数据时,不得超出安全评估时明确的目的、范围、方式和数据类型、规模等。
- 3 -
企业数据出境的合规指引
目前我国有关数据出境的法规和标准均未正式生效,结合《个人信息保护法(草案)》《个人信息和重要数据出境安全评估办法(征求意见稿)》和《信息安全技术数据出境安全评估指南(征求意见稿)》(以下简称“评估指南”),我国数据出境的监管方式以安全评估为主,受监管的数据类型主要包括个人信息和重要数据。
当企业的业务经营涉及数据出境时,应注意如下事项:
1. 个人信息出境应向个人告知出境细节并获得单独同意
由于个人信息关乎数据主体的所有权、自决权甚至隐私权,《个人信息保护法(草案)》规定,个人信息处理者向境外提供个人信息的,应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权利的方式等事项,并取得个人的单独同意。
因此,在向境外提供个人信息前,建议企业通过用户协议和隐私政策等路径,单独列明信息出境的细节,并取得个人的明确授权。
2. 重要数据出境前确认是否需要获得国家相关部门批准
按照《评估指南》的标准,重要数据是境内收集、产生的不涉及国家秘密,但与国家安全、经济发展、公共利益密切相关的数据。
对此,《数据安全管理办法(征求意见稿)》提出,企业应当在向境外提供重要数据前报经行业主管监管部门同意。例如,百济神州向境外提供人类遗传资源信息,就需要获得人遗办的审核批准。
鉴于上述文件均未正式生效,建议企业参考《重要数据识别指南》,先行判断出境数据是否与“国家安全、经济发展、公共利益”紧密相关,同时密切关注行业监管动态,及时咨询主管部门以保证重要数据出境的合规性。
此外,如果出境数据涉及国家秘密,除了应获得主管政府部门批准外,企业还应当与接受方签订保密协议。
3. 数据出境前应开展出境安全自评估
根据目前数据出境的各类法律规范草案,安全评估是衡量数据出境合规性的主要措施,包括主管部门评估和安全自评估。
参考《评估指南》,安全评估的要点详见下表:
上述评估要点基本覆盖了企业在数据出境全流程应当关注的安全事项。建议企业参考上述评估要点,组织业务、技术、安全、技术、法律的相关人员,建立数据出境安全自评估工作组,根据评估结果修正、整改、完善数据出境计划,尽可能降低合规风险。
App既是企业主营业务的重要载体,也是个人信息保护和数据安全涉及的关键领域。伴随着《数据安全法》9月1日起全面施行,从国家安全、网络安全到数据安全,数字经济时代下的企业即将面临系统性的数据合规监管。截至本文发布当日,网络安全审查办公室公告对“运满满”“货车帮”“BOSS直聘”启动网安审查。不难看出,滴滴并非个案。
正如滴滴面对App下架在官方微博所作的回应,“将不断提升风险防范意识和技术能力,持续保护用户隐私和数据安全,防范网络安全风险”,这或许是比业务先行更为要紧的议题。
# 律师团队共创计划 #
用一年时间,帮助律师团队完成
战略定位、品牌升级、产品打造、组织重建、薪酬优化
用一年时间,帮助律师团队完成
战略定位、品牌升级、产品打造、组织重建、薪酬优化
扫码立即合作
# 新空会纳新计划 #
# 推荐阅读 #