2017年�����,我國頒布《網絡安全法》�,隨後又圍繞《網絡安全法》陸續發布了一係列配套法規����、規章和國家標準。經過兩年多的發展���,在2020年����,我們將麵臨怎樣的網絡安全和數據合規監管環境��?關鍵信息基礎設施(“CII”)deshibiehebaohushifouhuijinruyigexindejieduan���?shujukuajingchuanshuhuiyudaonaxiewenti��?qiyeheguiyoujiangzaoyuhezhongtiaozhan�?zhenduiqiyeguanzhudeyixiliewenti��,tiandagongheshujuheguituanduiduiguoneishujuheguilingyuzai2020年的發展趨勢進行展望�����,以期為企業的合規工作提供參考。
* 本文部分內容由“法律品牌觀察”在《展望2020 | 網絡安全與數據合規領域的“變”與“不變”》一文中發表。
Q1:2020年��,網路安全與信息安全領域將呈現怎樣的整體發展趨勢
我們認為����,總體而言2020年中國的網絡安全與信息安全工作將進一步深入發展。具體而言包括:一���、立法層麵:《個人信息保護法》���、《數據安全法》等基礎性法律���,以及涉及CII和重要數據的識別與認定�、數據安全管理�、個人信息和重要數據出境安全評估��、跨境監管和網絡安全等級保護���、密碼技術監管和應用等支撐性配套規範性文件和標準有望在2020年正式出台或發布征求意見稿���;二�����、執法層麵:以yi網wang絡luo安an全quan和he個ge人ren信xin息xi保bao護hu為wei重zhong點dian內nei容rong的de執zhi法fa活huo動dong仍reng將jiang活huo躍yue���,執zhi法fa活huo動dong在zai實shi踐jian經jing驗yan的de積ji累lei下xia有you可ke能neng向xiang更geng多duo領ling域yu展zhan開kai�����,同tong時shi呈cheng現xian專zhuan項xiang治zhi理li與yu日ri常chang常chang態tai化hua監jian管guan並bing重zhong的de態tai勢shi�����;三���、行業監管層麵:金融�����、醫療健康�、教育�、電子商務�����、寄遞��、人工智能等重點數據相關行業或領域將進一步加強行業內網絡安全和信息安全的規範和監管工作����;四�����、企業合規層麵:數據合規邊界日益清晰�,數據合規將成為企業防範風險和創造價值的必然選擇。
Q2:隨著等保2.0體係的完備與成熟�����,以及CII保護工作的試點完成���,《關鍵信息基礎設施安全保護條例》是否可能正式出台�����,將對行業發展造成怎樣的影響����?
據我們了解��,由中央網信辦和公安部共同製定的《關鍵信息基礎設施安全保護條例》(“CII條例”)本來在2019年已經計劃上報國務院。2019年�����,《信息安全技術 雲計算服務運行監管框架》等一係列涉及網絡產品和服務管理製度的規範性文件和標準以及等保2.0標準的公布實施��,為CII規則體係的建立完善提供了製度支持和保障。《信息安全技術 關鍵信息基礎設施安全檢查評估指南》(報批稿)國家標準項目試點和《信息安全技術 關鍵信息基礎設施網絡安全保護基本要求》(報批稿)試點工作的完成��,為後續的標準推廣和CII安全保護奠定了基礎。目前CII識別工作在相關重點行業也在逐步開展����,我們認為實施CII條例的條件日漸成熟����,CII條例有望在今年正式出台。CII條例涉及經營者安全保護責任(包括個人信息和重要數據的存儲和跨境傳輸管理)�����、產品和服務安全管理�、監測預警����、應急處置���、檢測評估等多方麵內容����,將為公共通信����、廣播電視��、能源����、金融�����、交通���、水利����、衛生�����、社會保障等相關領域明確合規邊界和要求��,推動行業網絡安全和信息安全的保護工作。
Q3:在當前法律環境下��,數據跨境傳輸領域的法律服務空間在哪裏����?曆經2017年與2019年兩次規製路徑優化��,2020年���,數據跨境傳輸正式出台監管規範的條件是否滿足�?
數據跨境傳輸在網絡安全和數據合規領域是世界各國都非常關注的問題���,歐盟����、美(mei)國(guo)以(yi)及(ji)其(qi)他(ta)一(yi)些(xie)國(guo)家(jia)和(he)地(di)區(qu)也(ye)都(dou)已(yi)經(jing)或(huo)正(zheng)在(zai)製(zhi)定(ding)相(xiang)關(guan)規(gui)定(ding)。在(zai)這(zhe)一(yi)全(quan)球(qiu)背(bei)景(jing)下(xia)����,如(ru)何(he)處(chu)理(li)不(bu)同(tong)國(guo)家(jia)和(he)地(di)區(qu)在(zai)合(he)規(gui)監(jian)管(guan)方(fang)麵(mian)的(de)衝(chong)突(tu)並(bing)滿(man)足(zu)不(bu)同(tong)法(fa)域(yu)的(de)合(he)規(gui)要(yao)求(qiu)是(shi)企(qi)業(ye)����,特(te)別(bie)是(shi)跨(kua)國(guo)企(qi)業(ye)�,最(zui)為(wei)關(guan)注(zhu)的(de)問(wen)題(ti)之(zhi)一(yi)����,也(ye)是(shi)法(fa)律(lv)服(fu)務(wu)的(de)主(zhu)要(yao)焦(jiao)點(dian)之(zhi)一(yi)。
womenrenwei�,jingguoguoquliangnianduodesheji�,woguoshujukuajingchuanshuzhidudejibenmoshiyijingqueding�,danmuqiandeshujukuajingjianguanguifanrengcunzaiyixiexuyaojiejuedewenti����,birushangweifaqueshi�、製度落實還需要設置更具有可操作性的措施等。在我國實施“一帶一路”國家戰略和進一步加大改革開放力度��、不斷優化營商環境的過程中���,中國企業走出去�����、外(wai)商(shang)投(tou)資(zi)引(yin)進(jin)來(lai)都(dou)會(hui)涉(she)及(ji)數(shu)據(ju)跨(kua)境(jing)傳(chuan)輸(shu)問(wen)題(ti)。如(ru)何(he)平(ping)衡(heng)數(shu)據(ju)流(liu)動(dong)和(he)數(shu)據(ju)安(an)全(quan)是(shi)各(ge)國(guo)都(dou)在(zai)探(tan)討(tao)的(de)問(wen)題(ti)���,我(wo)國(guo)數(shu)據(ju)跨(kua)境(jing)傳(chuan)輸(shu)製(zhi)度(du)的(de)出(chu)台(tai)也(ye)宜(yi)慎(shen)重(zhong)。為(wei)此(ci)��,除(chu)CII運營者的數據跨境傳輸製度規則外�,對一般網絡運營者數據跨境傳輸的監管規範可能還需要時間完善。
Q4:2019年��,網絡安全的執法重點集中在APP侵害用戶權益�、爬蟲軟件侵權等方麵�����,這一趨勢在2020年是否會延續���,又有哪些領域會受到執法的“重點關照”��,哪些領域的監管會更加嚴格�?
2019年見證了APP專項治理工作組強有力的個人信息保護執法行動�����,同年11月《App違法違規收集使用個人信息行為認定方法》應運而生��,體現了2019年App專項治理工作的成果���,為後續常態化監管奠定執法基準。2019年nian的de爬pa蟲chong軟ruan件jian侵qin權quan相xiang關guan執zhi法fa活huo動dong���,部bu分fen屬shu於yu因yin金jin融rong領ling域yu非fei法fa催cui收shou問wen題ti觸chu發fa了le隱yin藏zang的de數shu據ju合he規gui問wen題ti���,金jin融rong行xing業ye目mu前qian也ye在zai強qiang化hua消xiao費fei者zhe權quan益yi保bao護hu和he數shu據ju合he規gui��,作zuo為wei企qi業ye業ye務wu產chan生sheng或huo通tong過guo合he作zuo享xiang有you數shu據ju之zhi外wai獲huo取qu數shu據ju的de重zhong要yao途tu徑jing��,爬pa蟲chong技ji術shu獲huo取qu數shu據ju後hou續xu仍reng可ke能neng成cheng為wei執zhi法fa關guan注zhu重zhong點dian。隨sui著zhe《網絡安全法》相關配套法律規範不斷製定和完善�,我們預計比較重要的信息係統的安全和實施等級保護製度的情況�����,也很可能成為執法關注重點。CII領域數據存儲和數據的跨境傳輸���,一旦相關新規出台��,這些領域將麵臨相應監管執法。
從行業角度看�����,教育�����、金融�����、醫療健康�����、電子商務���、寄遞����、人工智能等行業將可能迎來較強監管。前述多個行業領域近期均有新規出台��,均涉及行業領域內所涉個人信息的保護規定�,確立�����、強化了各行業領域行政監管機構的執法依據。
Q5:針對企業2020年的網絡安全與數據合規工作�,法律工作者的建議是什麼�,關注的焦點應集中在哪些方麵���?
隨著《網絡安全法》相關配套法律法規(包括各行業領域數據合規立法)的逐步完善�����,《網絡安全法》確立的等級保護製度�����、xinxianquanhegerenxinxibaohuyuanzejiangdeyixihuashishi。womenyuqi�,zhifaguanzhudianchulehulianwangyingyongchengxuduigerenxinxideshoujiliyongdengwai�,zhongdianhaijiangbaokuodengjibaohu(包括定級備案要求)�、shujucunchudihekuajingzhuanyideng。womenjianyiqiyemiqieguanzhuwangluoanquanheshujuheguilingyudelifahezhifadongtai��,youqiyaozhuyisuoshuxingyelingyushifouxinzengxihuaheguiyaoqiu��;未能完成等級保護定級備案的��,抓緊完成定級備案�����,建立及/或及時調整�����、完善內部數據和外部數據收集利用的合規管理製度和個人信息保護製度����;運營線上業務的企業應關注最新發布的新規並適時調整隱私政策內容及其設置�;出海企業和在華外資企業關注業務所涉多個法域的數據存儲地和跨境傳輸數據要求相關立法動態���,以便及時作出部署。
