简介
《数据保护:合规指引与规则解析》作为数据保护实务指引,凝聚了作者在长期法律研究和实务工作中的所见、所思、所得,紧跟数据保护热点、难点和重点。对数据合规相关问题的分析深入浅出,并从数据保护全生命周期的角度提出了具体的实务操作建议,具有较强的可行性,能够帮助读者在大数据时代,更好地应对新兴的数据合规挑战。
《数据保护:合规指引与规则解析》的亮点还在于收录了作者对数据保护相关新规的解析,方便读者在近两年数据保护新规不断出台的情况下,先掌握新规的要点、难点,并为读者有效落实新规的要求提供了针对性的指导。
作者介绍
刘新宇,法学博士,现为中伦律师事务所合伙人。
刘新宇律师擅长网络安全与数据保护、资产证券化与金融产品及相关争议解决。刘律师深刻理解网络安全与数据保护对现代商业的全方位影响,并能从企业运营战略的角度为客户提供该领域的“一站式”法律服务。
刘律师现任公安部第三研究所网络安全特聘讲师、全国律协网络与高新技术委员会委员、上海市信息网络安全管理协会理事、上海市金融信息行业协会理事、浦东新区社会信用促进中心监事、浦东新区投融资协会监事、华东政法大学特聘校外导师、复旦大学司法研究中心实务部门研究员。
凭借精湛的专业技能、广泛的客户认可和超卓的执业表现,刘新宇律师近年来先后荣获2019《亚洲法律杂志》“客户优选律师20强”、2019 LEGALBAND“中国10佳金融科技律师”、2020 the Legal 500 “Fintech领域领先律师”、2020 IFLR1000中国“领先律师”等荣誉。
部分摘录:
数据保护立法现状 在现代社会治理中,将数据治理与个人信息保护放到更加重要的地位上已经成为国际社会的广泛共识。于我国而言,虽然聚焦于数据治理及个人信息保护的专门法律——《数据安全法》与《个人信息保护法》尚未出台,[1]但与数据保护相关的条文早在多年以前,便逐渐开始散见于法律、司法解释以及相关的部门规范性文件中,其具体的发展脉络梳理如下:
(一)民商事法律、法规、规章层面 2012年3月15日,工业和信息化部发布的《规范互联网信息服务市场秩序若干规定》正式施行,其明确规定,除非法律、行政法规另有规定,“能够单独或者与其他信息结合识别用户的信息”的收集、使用、提供必须“经用户同意”。就此,“可识别性”成为认定个人信息的核心标准,个人信息保护的客体开始逐渐明晰。2012年12月28日,全国人大常委会通过了《关于加强网络信息保护的决定》,明确了国家对于网络信息安全的保护,强调了公民个人信息收集过程中的合法、正当、必要原则以及防止个人信息泄露的义务,国家越发重视对于个人的网络信息保护。随后的两三年间,征信、工信、消费者保护等领域的立法都将个人信息保护纳入相应的法律文本中,如《征信业管理条例》《电信和互联网用户个人信息保护规定》《中华人民共和国消费者权益保护法》等。
2017年6月1日,《网络安全法》正式实施,作为我国网络和数据安全框架性的立法,它标志着我国网络安全保护相关的众多制度要求开始逐步建立。在安全等级保护方面,《网络安全等级保护条例(征求意见稿)》《网络安全等级测评机构管理办法》等规章相继发布或生效;在关键信息基础设施保护方面,《关键信息基础设施安全保护条例(征求意见稿)》(以下简称《CII保护条例(征求意见稿)》)发布;在数据出境方面,《个人信息出境安全评估办法(征求意见稿)》(以下简称《个人信息出境办法(征求意见稿)》)等规范性文件的制定标志着数据跨境传输方面的制度要求逐渐完善。此外,国家网信办还于2019年5月28日发布了《数据安全管理办法(征求意见稿)》。
伴随着《网络安全法》的施行和相关监管实践活动的开展,在积累了较为充分的监管经验的前提下,更具针对性的数据立法开始大量发布。如2019年10月1日起施行的《儿童个人信息网络保护规定》对于儿童的个人信息的保护采取了更加严格的手段,并基于儿童个人信息保护的特殊性对儿童个人信息保护进行了专门的规定。而针对一些App过度收集用户个人信息,隐私条款不完善等问题,国家网信办、工信部、公安部、国家市场监管总局四部委也于同年11月28日联合发布了《App违法违规收集使用个人信息行为认定方法》(以下简称《App违法违规认定方法》)。该文件既为监管部门认定App违法违规收集使用个人信息行为提供了参考,也为App运营者自查自纠和网民社会监督提供了具体的实务指引。
我国不同地区的网络条件及技术能力存在较大差异,不同地区数据保护情况可能存在区别。实践中,部分地方政府也尝试通过制定地方法规的方式对数据处理活动进行规范。例如,天津市网信办于2019年6月26日发布了《天津市数据安全管理办法(暂行)》,并于2019年8月1日开始正式施行,开启了地方监管机关开展监管探索的尝试。此后,《重庆市政务数据资源管理暂行办法》《贵州省大数据安全保障条例》等地方法规也相继出台,地方政府基于区域特点进行数据方面的针对性监管或将成为今后的立法趋势。
此外,随着新业务的出现和发展,数据保护亦在不同行业的立法中表现为专业化和精细化的特征。如随着“网约车”、物流行业的发展,《网络预约出租汽车经营服务管理暂行办法》《寄递服务用户个人信息安全管理规定》等管理办法应运而生,其中涉及大量旨在规制行业中数据收集和使用等问题的具体条文。这类法规及规章进一步充实了数据治理的相关规则体系。同时,2020年发布的《民法典》将“隐私权和个人信息保护”单列一章,对隐私和个人信息进行特别的规定,从基本法律的层面体现了对个人信息的重视。
(二)国家标准层面 我国数据立法的一个鲜明特征便在于通过大量的国家标准的制定来为企业合规经营提供指引。国家标准在制定程序上相对更为灵活,更能贴近不断发展变化的数据活动的实践需要。2013年2月1日,《信息安全技术 公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)正式实施。这是我国关于个人信息保护的首个国家标准,该文件确立了信息处理的基本原则(目的明确原则、最少够用原则、公开告知原则等),明确将个人信息区分为个人敏感信息和一般个人信息,并区别规制。
2017年12月29日,《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)由全国信息安全标准化技术委员会(以下简称信安标委)发布,并于2018年5月1日正式实施。该标准系我国个人信息保护领域最重要、影响最为广泛的国家标准,其对于个人信息的相关名词进行了系统化、专业化的定义,并对于个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为进行了规制。根据实践中个人信息收集、使用的变化及《个人信息安全规范》(2017)在实施过程中出现的问题,信安标委分别于2019年2月1日、6月25日及10月22日发布了《个人信息安全规范(草案)》和两次征求意见稿,不断根据监管实践中发现的用户画像、个人生物识别信息收集等相关新问题对规范的内容进行调整,并于2020年3月6日发布了修改后的《个人信息安全规范》正式版,将于2020年10月1日正式施行。
在《网络安全法》确立的具体制度方面,许多制度框架正是通过国家标准来搭建和完善的。例如,在网络安全等级保护方面,《GB/T 22239 信息安全技术 网络安全等级保护基本要求(信息系统安全等级保护基本要求)》(以下简称《网络安全等级保护基本要求》)、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护实施指南》、《信息安全技术 网络安全等级保护安全设计技术要求》等多部国家标准均已在实施当中,以全力推动我国网络安全等级保护制度从“等保2.0”向“等保3.0”时代演进。再如,在《网络安全法》和《个人信息安全规范》搭建的一系列收集、使用个人信息制度的基础上,《信息安全技术 个人信息去标识化指南》(以下简称《个人信息去标识化指南》)、《信息安全技术 大数据安全管理指南》(以下简称《大数据安全管理指南》)、《信息安全技术 个人信息安全影响评估指南(征求意见稿)》、《信息安全技术 个人信息告知同意指南(征求意见稿)》(以下简称《个人信息告知同意指南(征求意见稿)》)等配套国家标准也相继生效或发布,为数据安全及个人信息保护提供了更加详细和具体的指引。
(三)刑事层面 在立法层面,我国对数据和个人信息的保护存在着“刑法先行”的立法模式。1997年修订的《刑法》便已经规定了破坏计算机信息系统罪,侵入他人计算机删除、修改、增加数据信息的行为开始受到刑事处罚。2009年2月28日,《刑法修正案(七)》开始正式施行,其增设了出售、非法提供公民个人信息罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪等罪名。《刑法修正案(七)》不仅采用刑事手段规制金融机构等单位工作人员提供、获取、交易个人信息的行为,也是首次将侵入非国有计算机仅获取数据的行为也纳入刑事规制的范围之内,对于他人计算机信息的删改行为不再成为入罪的必须要件,刑法对于数据保护的力度得以加强。2015年施行的《刑法修正案(九)》则修改了刑法第253条之一,将犯罪主体的限制放宽,提升了法定最高刑的刑期,并规定对于在履行职责或者提供服务过程中获得的公民个人信息,非法出售或提供的行为,可以从重处罚。修改后,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。同时,《刑法修正案(九)》也增设了非法侵入计算机信息系统罪、破坏计算机信息系统罪等罪名的单位犯罪规定。
除《刑法》外,最高人民法院、最高人民检察院和公安部也出台了一系列与数据和个人信息犯罪相关的司法解释,以指导相关刑事案件的侦查、检察和审判。2013年4月23日,最高人民法院、最高人民检察院和公安部联合发布了《关于依法惩处侵害公民个人信息犯罪活动的通知》,要求坚决打击侵害公民个人信息犯罪活动。该通知明确规定侵害公民信息犯罪的定罪量刑应当综合考量非法出售、提供、获取个人信息的次数、数量、手段和牟利数额等因素,与此同时,该文件也对于具有可识别性的个人信息进行了较为细致的列举,如姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历等。2014年10月10日,最高人民法院发布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》正式施行,全方位地确定了利用信息网络侵害个人信息案件的审理流程与审判要点,提高了个人信息相关刑事案件的审判工作水平,也变相推动了司法机关对个人信息相关犯罪的打击力度。
2017年6月1日,最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯公民个人信息刑事案件解释》)正式施行。该司法解释对于侵犯公民个人信息罪的构成要件、量刑标准和具体法律适用问题进行了系统性的规定。其后两年中,最高人民检察院发布的《检察机关办理侵犯公民个人信息案件指引》和《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(法释〔2019〕15号)(以下简称《网络犯罪解释》)则对于侵犯公民个人信息案件的几个具体构成要件,列出了更为细致的证据审查要求与更加清晰的定罪量刑之标准。