南昌门户网站建设,看广告挣钱一天300元,美容设计网站建设,网站开发的就业前景序言
《企业网络安全与数据保护合规建设 ——从合规运营到香港上市#xff08;一#xff09;》梳理了我国网络安全与数据保护领域近期主要立法情况#xff0c;本文将着重分析拟赴港上市企业运营阶段的数据合规要点以期为拟赴港上市的相关企业提供有益的参考。 二
企业运营…序言
《企业网络安全与数据保护合规建设 ——从合规运营到香港上市一》梳理了我国网络安全与数据保护领域近期主要立法情况本文将着重分析拟赴港上市企业运营阶段的数据合规要点以期为拟赴港上市的相关企业提供有益的参考。 二
企业运营阶段的数据合规要点
如果把企业从创立到IPO比作一场大考准备周期那么申请IPO无疑是检验企业运营情况的重要考试而企业运营所涉及的日常合规建设和相应的安全评估则构成了企业“赶考IPO”过程中必不可少的一系列基础学习和摸底测验。在目前监管趋紧的大背景下企业日常运营中数据合规建设的规范程度将直接关系到企业IPO过程顺利与否。
一网络安全保护合规建设
基于《网络安全法》关于国家实行网络安全等级保护制度的要求等保2.0标准将等级保护对象按照其重要程度以及一旦遭到破坏后对国家、社会、企业或个人造成危害的程度被划分为了五个等级第五级为最高。在确定等级保护对象具体适用的安全保护等级时等保2.0标准要求就“受侵害的客体”以及“对客体的侵害程度”两个要素对定级对象业务信息安全和系统服务安全两方面进行评估综合确定定级对象的安全保护等级。定级要素与安全保护等级的关系如下图所示
图片 点击可查看大图
等级保护对象定级工作流程分为如下步骤确定定级对象、初步确定等级、专家评审、主管部门审核以及备案审核。安全保护等级初步确定为第一级的等级保护对象其网络运营者可依据相应标准自行确定最终安全保护等级初步确定为第二级及以上的其网络运营者需要组织进行专家评审、主管部门核准和备案审核最终确定其安全保护等级。基于不同的安全保护等级等保2.0标准对等级保护对象的设计安全、等级评测和运行维护等方面均提出了相应的技术和管理要求。
对于重要领域或一旦遭到破坏可能严重危害国家安全、国计民生、公共利益的关键信息基础设施《网络安全法》进一步规定在网络安全等级保护制度的基础上对关键信息基础设施实行重点保护。9月1日生效的《关基保护条例》作为《网络安全法》的配套行政法规明确了相关行业的主管部门、监督管理部门将负责结合行业实际情况制定本行业的关键信息基础设施认定规则并根据认定规则负责组织认定本行业的关键信息基础设施。企业被认定为关键信息基础设施运营者后需要在等保2.0标准的基础上进一步采取技术和其他必要措施保障关键信息基础设施安全稳定运行相关措施包括但不限于建立健全网络安全保护制度和责任制、设置专门安全管理机构并保障其经费和人员以及至少每年开展一次网络安全检测和风险评估等。
此外《数安条例意见稿》要求处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求处理核心数据的系统依照有关规定从严保护。
二数据安全保护合规建设
《数据安全法》所规定的相关数据保护制度的核心是数据分类分级保护制度而企业也应相应关注其日常运营中产生和处理的数据是否涉及核心数据或重要数据。
《数安条例意见稿》对于核心数据的描述与《数据安全法》保持了一致即“是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据”。对于重要数据《数安条例意见稿》则基于相关数据的来源、性质和行业特点等维度对重要数据进行了相应的列举说明其中与一般企业业务密切相关数据的主要包括出口管制数据重点行业和领域例如业、电信、能源、交通、水利、金融等安全生产、运行的数据达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据关键信息基础设施建设运行及其安全数据等。
各地区及各部门将会依据《数据安全法》等相关规定制定和完善相应地区、部门及相关行业、领域重要数据和核心数据目录。目前我国国家标准《信息安全技术 重要数据识别指南》正在制定过程中相信未来随着《网络数据安全管理条例》的最终发布和实施相应国家和行业重要数据识别指南体系也将会逐步完善从而为企业判断其业务是否涉及重要数据提供相对明确的指导标准。
在《数据安全法》及《数安条例意见稿》所构成的框架下若企业在日常业务中涉及到处理相关重要数据企业在遵守一般数据保护义务的基础上还需要额外遵守如下主要义务
1明确数据安全负责人和管理机构落实数据安全保护责任
2在识别其重要数据后的十五个工作日内向设区的市级网信部门备案
3系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求应使用密码对重要数据进行保护
4共享、交易、委托处理、向境外提供重要数据的应事先进行安全评估
5共享、交易、委托处理重要数据的应当征得设区的市级及以上主管部门同意主管部门不明确的应当征得设区的市级及以上网信部门同意
6向境外提供在中华人民共和国境内收集和产生的重要数据应当通过国家网信部门组织的数据出境安全评估
7制定数据安全培训计划并组织相应培训
8优先采购安全可信的网络产品和服务以及
9自行或者委托数据安全服务机构每年开展一次数据安全评估并在每年1月31日前上报上一年度数据安全评估报告风险评估报告应至少保留3年。
除对重要数据的保护外我们也建议企业对运营过程中处理的一般数据进行分类分级。2021年12月31日发布的《网络安全标准实践指南——网络数据分类分级指引》为企业就一般数据建立分类分级保护体系提供了基础性指导企业可以参考该指引对所处理的一般数据进行妥当分类分级并对不同级别的数据采取相适应的数据管理和保护措施。
三个人信息保护合规建设
拥有个人用户的各类企业在日常业务中通常会涉及处理大量个人信息对于个人信息的保护也成为了相关企业在设计和运营相关产品和业务时的关注要点之一。对于个人信息保护合规建设我们建议企业重点关注以下方面
1、 充分建立处理个人信息的合法性基础
《个人信息保护法》为企业处理个人信息提供了两类处理个人信息的基础即基于个人同意的处理或基于法律授权的处理。在基于法律授权处理个人信息的场景下企业处理个人信息无需征得个人同意其中最受广大企业关注的场景是“为订立、履行个人作为一方当事人的合同所必需”。
如何理解上述“必需”对于企业设计其产品交互页面至关重要直接决定了其产品流程以及用户在使用其产品时的用户体验。由网信办、工信部、公安部及市监总局联合发布并于2021年5月1日起施行的《常见类型移动互联网应用程序必要个人信息范围规定》“《App必要个人信息规定》”对于地图导航、网约车、即时通信、网络支付、网上购物等39类App所需必要个人信息指保障App基本功能服务正常运行所必需的个人信息缺少该信息App即无法实现基本功能服务范围进行了规定该等规定可以为企业判断其“订立、履行个人作为一方当事人的合同所必需”的信息范围提供参考。
但需要注意的是该等信息范围仅为实现相应App基本功能服务所必需的个人信息范围实践中App所实现的功能和所服务的业务场景可能是多种多样的《App必要个人信息规定》所列相关个人信息可能无法满足企业和用户的实际需求。这种情况下我们建议企业考虑基于特定行业相关法律法规具体要求以及《APP收集使用个人信息最小必要评估规范》等要求对其业务所必需的个人信息的范围进行充分评估并留存相应评估记录。
2、妥当落实“告知-同意”要求
《个人信息保护法》要求企业在处理个人信息之前应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项
1个人信息处理者的名称或者姓名和联系方式
2个人信息的处理目的、处理方式处理的个人信息种类、保存期限
3个人行使法律规定权利的方式和程序以及
4法律、行政法规规定应当告知的其他事项。
为配合《个人信息保护法》的实施工信部于该法生效当日即11月1日发布了《工业和信息化部关于开展信息通信服务感知提升行动的通知》“《524行动通知》”决定自该通知发布之日起到2022年3月底开展信息通信服务感知提升行动。《524行动通知》在《个人信息保护法》的基础上进一步要互联网企业应以简洁、清晰、易懂的方式向用户提供APP产品隐私政策摘要涉及调用用户终端中相册、通讯录、位置等敏感权限的还应当以适当方式告知用户调用该权限的目的充分保障用户知情权。
企业基于个人同意处理个人信息的应确保该等同意是由个人在充分知情的前提下自愿、明确作出。其中“自愿”即要求企业不得采用强迫、隐瞒等方式获取个人同意“明确”一般应体现为个人通过书面声明或主动做出肯定性动作对其个人信息进行特定处理做出明确授权的行为包括主动勾选、主动点击等。此外企业不得以改善服务质量、提升用户体验、研发新产品等为由强迫个人同意处理其个人信息也不得通过“捆绑授权”的方式一次获得用户对于多项服务的授权。
3、处理个人信息的特别要求
1处理敏感个人信息。《个人信息保护法》将敏感个人信息定义为一旦泄露或者非法使用容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满十四周岁未成年人的个人信息。企业处理敏感个人信息应遵守如下额外规则
i处理敏感个人信息应具有特定的目的和充分的必要性并采取严格保护措施
ii事前进行个人信息保护影响评估并对处理情况进行记录
iii向个人告知处理敏感个人信息的必要性以及对个人权益的影响以及
iv取得个人的单独同意。
2向境外提供个人信息。基于《个人信息保护法》及《数安条例意见稿》企业向境外提供在中国境内运营中收集和产生的个人信息需要遵守如下额外规则
i满足《个人信息保护法》规定的个人信息出境的前提条件如通过网信部门组织的安全评估、经专业机构认证或与境外信息接收方签订网信部门制定的标准合同等
ii事先进行个人信息保护影响评估并对处理情况进行记录
iii向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使法律规定权利的方式和程序等事项
iv取得个人的单独同意
v采取必要措施以保障境外接收方处理个人信息的活动达到我国《个人信息保护法》规定的个人信息保护标准以及
vi每年1月31日前编制数据出境安全报告向设区的市级网信部门报告上一年度以下数据出境情况并存留相关日志记录和数据出境审批记录三年以上。
针对上述i项相关要求《数安条例意见稿》及10月29日发布的《数据出境安全评估办法征求意见稿》对于需要通过网信部门组织的数据出境安全评估的情形予以进一步细化同时《数安条例意见稿》也规定了数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的可以豁免上述第i项的相关要求。考虑到《数据出境安全评估办法征求意见稿》暂未对网信部门数据出境安全评估明确设置豁免条件建议相关企业持续关注《数据出境安全评估办法征求意见稿》及《数安条例意见稿》的立法动态并结合相关最终规定的要求判断是否需要进行相关数据出境安全评估。
3处理大量个人信息。《数安条例意见稿》要求
i处理一百万人以上个人信息的数据处理者应当遵守该条例对重要数据的处理者作出的相关规定
ii对于用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的大型互联网平台运营者该条例也要求其通过委托第三方审计方式每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计并披露审计结果以及
iii日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的应当经国家网信部门认定的第三方机构评估并报省级及以上网信部门和电信主管部门同意。
四人工智能和算法合规建设
目前我国对AI监管总体的政策导向虽已就位但仍缺少具体的落地方案和实施细则监管发展相对滞后于技术的发展和应用。在我国政府支持和鼓励AI发展、抢占AI发展先机的大背景下未来一段时间的立法和监管政策可能会更加注重平衡AI产业的发展速度和AI技术所带来的风险我们可能会看到一些监管政策由粗到细、由缓到急逐步落地。
在AI伦理监管方面我国在国家层面成立了国家科技伦理委员会《关于加强互联网信息服务算法综合治理的指导意见》“《算法治理指导意见》”也进一步表明国家将建立算法备案制度有序开展备案工作该指导意见同时要求企业应建立算法安全责任制度和科技伦理审查制度对算法应用产生的结果负主体责任。由此可见我国对于AI社会伦理的监管已经逐步形成了从国家制度层面到企业执行层面的指导原则结合我国到2023年初步建立人工智能标准体系的目标相关监管细则要求可能会在未来2-3年内逐步完善和落地。
在AI产品和服务监管方面《算法治理指导意见》将推进算法分级分类安全管理作为了互联网信息服务算法安全治理基本原则之一。据此理解我国未来对于AI领域的监管可能参照《网络安全法》、《数据安全法》和《个人信息保护法》中相关分类分级监管规则基于AI技术的重要程度以及其一旦遭受破坏或恶意利用可能给国家、社会、企业和个人权益造成的损害程度在监管层面将AI技术和系统进行分级以对应不同的监管规则和措施由此建立对于AI的分级分类监管体系。
面对AI行业的快速发展国家层面的敏捷治理或将成为企业合规工作需要面临的新常态而AI行业相关领域的立法和监管细节尚不成熟也将导致企业在未来一段时间内会面临监管规则并不完全清晰的困境这也对企业自主适应能力提出了挑战。此等情形下企业管理层需要认识到不断变化和深化的监管规则会是未来一段时间内需要持续面对的问题之一。同时企业要积极搭建企业内部的合规敏捷治理结构建立不同组织层面的合作机制和沟通桥梁快速应对不断深化的监管规则同时对未来更高级AI的潜在风险持续开展研究和预判做到知己知彼方可百战不殆。
