王新锐:《数据安全管理办法(征求意见稿)》法律义务解析

ADP_5030

王新锐 北京市安理律师事务所合伙人

 摘要:2019年5月28日,国家网信办发布了《数据安全管理办法(征求意见稿)》,尽管仍未生效,但其中传递的信号非常明确。该征求意见稿有新创设的法律义务,也有对其他法律文件中合规义务的重申。王新锐律师长期从事网络安全和数据合规法律服务,将根据一线经验提供对新规的解读,并为企业提供应对的建议。

目前很多在产业界来说,大家可能没有完全理解清楚这个事情,其实在国外来说,光是GTPR的合规催生了一大批公司,给很多公司带来了业务。但是在国内不管是《网络安全法》,还是《等保2.0》,还是《数据安全管理办法》,其实大家我觉得有的时候产业界的理解角度,包括它中间产生的合规义务带来的需求,大家没有完全去理解到。因为我们长期服务我们的很多客户,都是中国的比较头部的这些科技公司,包括一些跨国公司,那么当有些时候,我们从法律的角度来讲,去提出一些合规性的要求的时候,这些合规性的要求一定不是落在纸面的制度,一定要转化成技术解决方案。我觉得数据安全这一块,天然就有这样一个特点,它的合规义务是从法律出来的,是从《网络安全法》里面,是从未来的《数据安全法》里,未来的《个人信息保护法》里,目前《数据安全管理办法》,从这些规则出来的。

但这个规则出来之后,它一定要落地,它怎么样落地?它怎么把法律义务转化成合规的方案?这一点其实产业界很多时候是可以去思考和交流的。在GDPR之后,有很多国外的公司完全贴合了GDPR的要求,做了很多技术方案。所以我们也经常跟国外有些交流,可以看到国外有些公司专门采取了是一种比较,从合规经营角度出发的技术方案,不完全是说从技术方案,这个可能有点差别。我觉得目前大家可以看到法规不断的在发,我作为这一行的律师就非常痛苦,为什么痛苦呢?五月底开始,几乎每一两天两三天,就会在夜里凌晨网信办或者监管机构发一个文,发一个征求意见稿,之前发了《网络安全审查办法(征求意见稿)》,后面还发了《儿童个人信息管理办法》,这些《办法》你仔细去看它不仅仅是义务,它要转化为解决方案。

所以我今天不光是给大家讲一个法律义务的问题,我想讲一个法律义务最后怎么落到技术上的问题。

我们看到,数据安全其实从产业层面来说,传统的理解肯定就是“三性”的问题,可用性、稳定性、完整性这些问题。这个当然是对的。但是如果我们按《数据安全管理办法(征求意见稿)》,它的数据安全是大数据安全的概念,它的数据安全的概念跟我们从技术上说的安全,这个概念是有一定区别的。也就是说,它除了数据自身是否安全以外,它还要去讨论数据行为是否合法?大家看到除了是一个安全本身以外的问题,它是有法律问题的。而数据行为是否合法?这个定型它完全是一个法律问题吗?我们从给企业提供合规的角度来说,后面我会讲义务的时候发现,很多时候这个合法性判断最后是要转化为我采取什么样的技术手段?相当于我将来我的一个跟数据有关的行为,我要去向监管,我要去向我的合作伙伴,我要向各方去证明我采取了相应的跟我的这个行为相匹配的风险控制的手段。

所以我觉得希望大家去做一个思考,也就是说,你的技术方案在法律合规的角度来讲,提供了什么样合规的价值?我觉得有的时候我跟很多做网络安全的朋友在聊到,大家都聊我的产品提供了什么样的功能,提供了什么样的优点,跟同行怎么样?我从律师角度去看,从法律合规角度你提供了什么价值?因为从这些新规出台以后,企业在做预算的时候,在做采购的时候,一定会问这个问题,你这个能解决我们什么样的合规?我一定要先解决合规要求,法律要求比较高的数据处理。

今年《网络安全法》出来以后,我们做了案件整理,全国有各种各样的处罚案例,从约谈到企业关门,有的处罚也很重。后面会有一些规则出来以后,其实是要求企业去做映射分析的,也就是说他的数据从前面收集,到使用,到共享,到后面删除,整个过程它是要记录的,而且要摸底,这个事情大家可以想象,它结果不是内部的法务的同事,或者是由技术的同事完成的,这个问题特别值得大家去思考。

所以我们回到数据安全这个定义,这个定义我今天所有ppt里面的内容,几乎没有个人观点,我觉得律师不要去讲个人观点,我觉得没有用,今天我讲的内容都是来自于监管领导的一些讲话,公开的和内部的讲话,这个里面它提到数据安全分为两重定义:

1、数据自身是否安全?

2、数据行为是否合法?

那么我们可以看到数据行为是否合法,是说整个数据的收集、存储、使用、处置的过程中的规范行为。现在从监管层领导的角度来讲,为什么会有《数据安全管理办法》?我觉得我们今天不去给大家讲那些条文应该怎么理解?因为目前还在征求意见的阶段,目前这个版本来自网信办网络安全协调组,整个在法规一些表述的修改上,可能还会有些细微的调整,但是整个的信号,我觉得大家要捕捉这个信号是非常明确的。

这也是来自领导的讲话,他提到数据安全的事情在监管者看来有两大原因:

一是技术方面的原因,如系统漏洞、黑客攻击、网络入侵;

二是有的人为了谋取经济利益,利用非法渠道获取信息进行交易。

所以这就意味着我们在这个环节,一方面是从防护的角度,更多的传统手段是从防护的角度,那么除了防护的角度以外,怎么样能够把企业对于数据全生命周期的义务要求能够把它内嵌到其中,变成一个管理的制度,我觉得这是大家值得去交流的问题。

那么整个《数据安全法》保护的所谓法利,法律是要服务利益的,我们看到法律出台,目前来说中国所有的数字经济领域的法律,大家都可以发现它是比较,我的说法,我的概括,当然也是得到了业界大家的共识,就是说它是一个风险导向的,它不是价值导向的。什么是价值导向?是说我仅仅从一个法律的观念出发,比如个人对个人信息要有控制权,所以我要赋权给个人,所以它产生了删除权什么权啊,这是欧洲这样的思维,因为欧洲它的立法是来自于它二战的历史创伤,犹太人被屠杀,所以它把个人信息上升到一个个人隐私,上升到一个最高价值,某种程度上,欧洲的立法很大程度上是一个价值导向。

那么中国的立法和美国的立法,这个思路上可能更接近一些,它更多的是风险导向。也就是说我们去看现实中有哪些风险?我们做数据安全的都会提到有哪些现实安全?这些现实的安全问题怎么去解决?这个是整个立法大的背景。那么它其中有哪些法律上的意义呢?我们会有三个层面,所以整个数据安全管理办法跟个人信息的区别在什么地方?个人信息的保护相对微观,从你个人的角度。而数据安全的角度相对是宏观的,它有三个层面:

1、国家安全层面,它把数据视为一个整体去看,去保护的。

2、企业权益;

3、个人权利。

从国家层面来说,其实它在国家层面提了很多的要求,个人层面来说,之后会有单独的个人信息保护的立法,中间企业层面它的需求,它怎么样做到安全又要合规?其实强制性规定是比较少的。但是后续在保护国家和个人的过程中,会涉及到企业。

我们帮企业做合规的过程中有一个总结吧,叫做“不可能三角”。就是有的时候国家、企业、个人是完全利益一致的,但是说实话,并不总是这样。所以有的时候会发现,不可能是国家、企业、个人三者的利益完全统一,相信大家也会发现这个问题,不是总是统一,所以就意味着三者不能同时兼顾,有的时候可能国家和个人的利益兼顾,企业的利益某种程度上会受到损失,国家和企业的利益受到了保护,个人利益就可能受到损失。所以在每个阶段,可能一个阶段是说我要让数字经济,让产业发展更快一些,可能相对来说国家和企业利益的保护比较充分,个人的权利可能受损。现在这个阶段,个人的权利的保护加强了,可能企业就会面临着它的业务受到比较大的冲击,比较大的也想,会有这种价值的冲突。

这一点上,如果你的技术方案能够兼容几者的价值,其实这个会非常有价值。而且我们自己看到在国外一些做合规公司,美国的也好,欧洲的也好,快速的崛起,就是因为它们把GDPR中的价值冲突用技术方式解决了,我觉得这个是一个很大的机会。

整个数字立法的思路,这是我们整个从法规中,包括从前面参与的,我们在配合监管部门做很多立法支撑的时候,其实也有一些讨论。

第一个,以数据生命周期为轴;首先来说数据安全,这次的《数据安全管理办法》应该说是我们国家从行政法规层面,从部门规章角度第一次它是按照数据的全生命周期来的。我们之前的法律不管是《网络安全法》还是其他的涉及到数据的法律,它其实没有按照生命周期来,这个我觉得是立法思路上的重大调整。大家可以看《数据安全管理办法》它的第二章是数据的收集,它的第三章是数据的处理和使用。这个传统上,我们立法上传统是这样一个立法思路。所以现在来说整个《数据安全管理办法》它的框架跟我们企业的操作,跟生命周期是比较一致的。

但另外一方面,意味着一旦它的规则跟你企业平时设定好生命周期处理的机制和你的要求是不一致的时候,你就必须要调整,因为法律完全是按这个来了,你很难像以前一样,比如我不按照这个去调整,现在法律上是规定的比较清楚了。

第二个是数据采集最小化原则;这个在整个法规中都有提及。什么叫数据最小化原则?简单说就是最小公约,就是我数据收集了以后,我经历了什么?我只要能满足我企业的需求,就不要多收集数据,这个不光限制个人信息,也包括其他的信息。这个原则大体上是对的,因为以目前的保护水平来说,如果过渡收集了数据,你又没有办法采取合规手段的保护,现在都说数据资产管理,说数据是石油,很多人在没有想好怎么想好怎么用的情况下,没有想好怎么保护的情况下,就过渡的收集数据。

所以在这个情况下,我们现在看到在很多立法中都有看到最小够用原则,这本身也是国际上APEC也好,美国也好,欧洲也好,在中间体现了一个重要的隐私保护原则,数据是最小化原则。

但是,在这里说但是,数据最小化原则跟很多行业的实践都是矛盾的,比如说金融,比如说汽车,这些领域,我们现在也在做一个自动驾驶业务,也在做金融企业的合规,一个车出去一天是十多个T的数据,这个怎么做最小化?而且很多领域是需要冗余的,去防止出现错误。这个跟数据最小化这个大的原则,其实有的时候会有冲突。

所以我们这次看《数据安全管理办法》,不管它后续怎么调整,我们大信号是非常清晰的,包括后面一些规则,就是你在收集数据环节是要收紧的。因为这个原则在学术界、在实业界都有争论,之前大家一直在讨论是把收集环节扎得更紧,还是收集环节稍微放松一点,在使用环节去放松,使用环节去管制。但是目前来看,整个现在这个立法来说是在收集方面就扎紧了,这个原则就会使得我们在业务中,有大量数据收集的公司达不到最小化原则的公司,就意味着它收上来的数据怎么保证它的安全?这个是有非常多的技术上需要做的事情。

第三个是加重平台责任;实际上现在的要求是,一个大的平台企业,你对于你上面接入的第三方服务,对于你下游,包括跟你的上游,很多数据,我们现在很多人讲数据中台,讲数据打通,我跟一些企业去聊,我发现很多时候企业大老板讲的东西,跟法律合规上的趋势是有矛盾的。大老板是讲说我们把所有数据打通,我们调用的时候作为一种服务,我们把数据和产品输出,这样的话,给客户带来更好的效率,更精准减少浪费。但是在我们现在的整个立法过程中,它对于数据的融合,对于数据的打通,对于各种数据脱离它原有的目的这种使用方式,其实有很多时候是有很多限制的。

所以这个里面光是一个权限管理的问题,也就是说数据怎么来的怎么出去的?整个生命周期过程中它上面有哪些限制,已经是有一个很大的需求因为之后的话,相当于你要对上游的数据源它的合规进行负责,你要对下游给出去的数据,它使用的方式负责。那这个过程中,其实理想的情况下,它是要有可追溯性的,包括像欧盟的话,GDPR强调这个,其实我们可以把它理解为可追溯。也就是说,整个过程中,如果你不做这个事情,因为现在法律规定,假如出现风险的话,假如出现问题的话,你要跟它一起承担责任的,跟你的上游也好下游也好。除非你能证明无过错,我们知道在法律层面,在司法实践层面,证明无过错是很困难的,作为一个大平台怎么证明我没有错?其实是很困难的。这个时候要证明你没有错,在很多合规的方面要尽量去做,我在技术上,各方面产品上,在条文上,在相应的文本上做了很多的投入,这个时候你看我所有能做的都做了,但是依然出现了问题,这个时候不会承担责任的。

第四个以备案作为抓手。整个我们可以看到这次《数据安全管理办法》以及后续的,像昨天晚上又是凌晨发了一个信息,数据出境的规则,也一样,它强调的是备案,以备案作为抓手。所以有时候大家去了解,以前我们是行业监管,垂直监管,我是一行两会我监管的是金融行业,我是交通部我监管汽车,我是卫计委我监管医疗。那么这种垂直的监管,现在面临一个问题,以前我是根据牌照,针对具体的行政审批去监管,但是现在大家看很多的跨行业发展,很多的融合,原来这个数据原来是一个汽车行业的数据,我同样可以用到金融领域或者其他领域,所以数据打通的过程中,对这种垂直性的监管不利,因为它不知道这个企业在哪?以前我看牌照就行了,现在这么多互联网金融企业,或者很多科技这一类的,跟大公司去提供服务的科技数据代包的企业,都是有这个问题。

现在这个规则的要求是说,对于使用这种能涉及到个人敏感信息的,涉及到重要数据的企业要去做备案,这个过程怎么样去备案?大家看到备案一个抓手,那么备案的过程中,其实对企业来说没有那么紧张,因为实际上我们自己在帮很多企业做合规项目的时候,一个项目可能访谈十几个企业的高管,没有一个高管知道公司数据从头到尾怎么用?很多高管是我负责数据,把数据抓进来融入到大的池子里,有的人是从里面抽水,我把大池子中的数据输出提供服务,CEO可能是把一个产品向客户去推出,我们多次发现一个问题,可能一个公司中没有人真的知道数据全生命周期怎么流动怎么使用?又有什么限制?

那么这个问题在我们要集中备案的时候,就特别困难,因为我们要进行备案的时候,就需要向监管机构提供这些东西。所以大家可以看到,这个里面的制度要求,每一个制度性的要求,都是商业机会,我觉得都是对产业的机会。这其实就是一个条文,而且这个条文跟《网络安全法》是高度一致的。所以大家可以看到安全管理的评价考核制度,然后安全计划啊,安全技术防护啊,风险评估啊,应急预案啊,这里面有些东西是相对原本的东西,所以作为我来说,我觉得企业应该把自己的产品和这些东西对照一下。当我跟客户沟通的时候,告诉客户,我在这个方面能给你提供什么价值?

然后我们看一下重要数据,重要数据现在仍然是一个偏模糊的概念,但这次整个规则中,因为传统上来说,之前我们提到重要数据,拿《网络安全法》来说,更多强调的是CI这个关键基础设施,但绝大多数公司不是关系国计民生的,你是核电站啊,你是水库啊,一般不用CI。但是现在来说它扩大了,它讲重要数据,重要数据是大面积的数据,一旦泄露对国家对社会产生重大影响,大面积的人口、地理这种数据做一些列举,企业内部的数据不是重要数据。有重要数据这个概念在这儿,意味着我们现在整个数据核心第一是管个人信息;第二重要数据。这也是上午秘书长提到的,可能重要数据这个层面主要是国家层面,个人信息主要是个人层面,所以这个里面个人数据处理的要求是说当网络运营者发布的时候要进行安全评估,安全评估要对风险进行一个分析,对是不是重要数据提供数据的失控啊进行分析。

所以我觉得我们之后会面临到,很多企业对外提供也好,向境外提供也好,而且以后数据出境会非常难,数据出境非常难会带来一个很大的机会,就是国外的公司必须在中国做本地化数据各种各样的方案这种合规,而且这种合规跟它之前大公司进行管理包括欧盟的规则要做一个融合,所以相当于给它做一套技术方案,能够解决它在中国合规性要求,同时跟它在原来的控股集团里面这些制度保持一致。

责任承担,其实刚才提到了,如果是对接,要求平台作为第三方数据安全管理承担监督责任,这种监督一定不是说依靠法务部来去监督的,它是没有抓手,一定要看一些技术方案,很多时候我们通过API,通过SDK,通过其他的方式把数据进行输出,那个数据输出之后是不是有留痕?是不是能控制?他不正常使用的时候,我们有没有办法?我们是做了一个数据的两色,还是做了特别的处理?我觉得一旦能做到,其实是有很大的市场需求,现在很明显这个需求还是很明显的,很多企业都说,你们根据法规提出的要求,找不到合适的供应商来去做,可能他们没有理解到这个要求。

备案制度,刚才其实提到重要数据和个人敏感信息进行备案,那么这种备案制度其实对整个数据的控制,对整个数据的记录是有很大的要求。

同意原则,很多时候对于比如说未成年人他的家长,他的监护人同时必须要同意,这是最新的规则。这个规则在美国也创造了很大的商业机会,因为这个过程中其实是要验证是不是他的家长,是不是他的监护人,监护人不是同意?这个过程中一定要用技术方案尽量把它成本降下来。所以跟同意有关的是整个现在数据安全、数据合规中最基本的基础,这个基础上,其实有很多时候不能单纯靠传统说挂一个网站,挂一个隐私政策就解决了,其实很多时候要有方案的。

歧视行为,其实主要是说现在不能把个人信息用于区分对待。

爬虫这个问题,其实今天可能没有办法去展开讲,但爬虫其实是现在一个大的痛点,一方面国家要管控爬虫,另一方面爬虫说实话是整个互联网,整个科技行业存在的基石。我们作为企业作为防护端来讲,去爬的过程中怎么让它合规?这个之后整个我们在生命周期管理的时候,要把有些预警机制做进去。

信息删除,原来很多企业很多数据都不删,但是后面数据怎么删除,怎么隔离出去,也是一个很大的问题。

最后一句话,整个数据安全看起来,这几个字看起来是技术问题,但我觉得在整个法规生效以后,首先是法律问题,法律定义了企业必须做什么事情,法律定义了企业底线这个东西。所以这点上,我希望明年大家在开会的时候,很多企业在生效之后,我们针对新的法规提出一些行业解决方案,相信这个会对整个的市场来说是更多的一些选择,也让监管的压力减少。因为实际上如果有些技术的方案能够解决,你监管没有必要去出强力的、压力比较大的政策,这对我们整个中国的数据经济是一个很好的推动作用。

上一篇:高志权:云密码资源池与数据全生命周期加密

下一篇:龚一斌:京东云安全体系建设与实践