隨著互聯網與實體經濟、傳統生產等的逐步融合,網路安全尤為關鍵。《中華人民共和國網路安全法》(以下簡稱:網路安全法)最近由全國人大常委會表決通過,於2017年6月1日起正式施行。這部備受關注的網路安全基礎性法律的出台,將會對個人、企業等相關主體產生哪些影響?
對個人:個人信息受保護更加明確
目前,我國網路用戶群體龐大。據中國互聯網路信息中心《第38次中國互聯網路發展狀況統計報告》,截至2016年6月底,中國網民規模達7.1億,互聯網普及率達51.7%,其中手機網民規模達6.56億,網路安全問題不可掉以輕心。那麼,網路安全法的出台,將會給個人帶來哪些影響?
網路安全法對保護個人信息有了明確規定,如「網路運營者不得泄露、篡改、毀損其收集的個人信息」「任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息」等。
中國信息安全研究院副院長左曉棟指出,保護個人信息是當前網路工作中的重要方面,隨著雲計算、大數據時代的到來,越來越多的企業和機構擁有搜索個人信息的能力,個人信息的使用、交互、跨境傳輸越發頻繁。雖然相關部門此前有一些政策法規,但總體比較分散、不成體系,正需要這樣一部上位法。
360網路安全專家裴智勇指出,個人信息泄漏有多種原因,如網站存在安全漏洞,黑客或釣魚網站的竊取,無良商家的盜賣等。第三方機構已披露的數據顯示,2015年,中國網站因為安全漏洞可能泄漏的個人信息多達55.3億條,其中包括大量的用戶實名信息。
中國互聯網協會「互聯網+」研究咨詢中心副主任李易表示,未來網上聊天記錄、郵件往來等,都可以作為證據進行留存取證,網路糾紛和安全問題更便於追溯。這對網民網上消費生活信心的極大提升。他打了個比方,如果個人用戶在手機上下載並使用某個APP而導致個人信息泄露,過去沒法投訴提供服務的應用商,但網路安全法提供了明確的法律依據,「這意味著以後涉及互聯網領域的官司可能會越來越好打了。」
另一方面,網路安全法提出的「網路運營者為用戶辦理網路接入、域名注冊服務,辦理固定電話、行動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,應當要求用戶提供真實身份信息」等規定,也以法律形式明確了「網路實名制」。這給遏制如今網路謠言肆意傳播、網路暴力泛濫等亂象,提供了法治基礎。
左曉棟認為,從打擊犯罪、維護國家安全等角度看,這次提出的網路實名制比以往的電話實名制范圍更廣,且其「前台匿名、後台實名」的原則也充分保護個人隱私,如個人上網發帖子以後照樣可以匿名或用網名,只是在涉及執法時後台能追蹤調查到個人。
對企業:提高了准入門檻和運行安全能力要求
一旦互聯網企業或系統出現問題乃至發生癱瘓,會造成重大損失。在業內專家看來,互聯網發展到現階段,需要設置門檻,不能再「野蠻生長」;這個門檻就是安全,而網路安全法正是「安全保障之門」。
中國政法大學傳播法研究中心副主任朱巍指出,網路安全法對企業的安全資質、內部技術、制度等有了具體規定,要求網路服務提供者開展業務、提供服務的同時保障安全,若達不到要求無法進行服務。這將作為互聯網企業發展的一個衡量標准。
同時,網路安全法也對互聯網公司提出了更高要求。特別是,大型互聯網公司現在已可被視為基礎信息平台,如阿里、網路、騰訊等擁有數億用戶,這些企業應承擔起相應的義務。李易認為,互聯網企業必須有與其基礎信息平台相匹配的技術能力,如應對黑客攻擊、避免用戶損失等。同時,也要有相關的法律條款,對大企業的「霸王條款」進行規制。
業內專家也提出,網路安全法中「關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲」等規定,也對在我國經營的國外互聯網企業有了規范要求。
總的來說,網路安全法將提高互聯網企業的市場准入門檻,對發展運行也提出了更高的要求。尤其,在法律規范下,不具備安全技術能力的中小企業,未來可能更容易被淘汰。
專家建議:具體規定仍待細化
網路安全法出台到具體落實,還有一段過渡時間。在不少專家看來,不少具體規定要「落地」,還有一些配套措施需要完善。
朱巍說,網路實名制問題,到現在還沒有徹底落實,主要原因在技術上,是採用手機還是EID(網路電子身份證)等,方式仍未確定。另外,網站的主體責任問題目前仍未落實;仍未明確不同行業應遵循的具體標准;對於網站創建網民協議、搜集用戶信息、用戶知情權等的具體規定,也較缺乏。而且,現在很多互聯網企業並不保存點對點的信息記錄,一旦出現問題還是很難溯源。
朱巍認為,網路安全法「落地」,需要實施細則、個人數據保護法等其他法規的「配合」,網民協議制度、行業自律規范、技術能力等也都要跟上。
李易說,可以考慮推行評級系統,互聯網企業要正常運營,網路安全評級或可信度需要達到一定的等級,「這也相當於一個准入標准。」
北京師范大學法學院教授、亞太網路法律研究中心主任劉德良表示,未來要處理好網路安全法與一些相關法律法規的關系,如民事侵權責任、個人信息保護、軟硬體市場准入等相關法律法規,在保障網路安全的同時,避免在法律適用等環節出現問題。
互聯網領域新生事物的快速發展,對監管部門提出了更高的要求。業內專家指出,強制要求備案,所有互聯網企業域名解析、伺服器託管需要相關認證等規定,都是對互聯網企業創業的基本要求,尤其對於中小企業。左曉棟等表示,網路安全法到明年正式施行,還有幾個月時間,相關部門當抓緊制定和完善相關細則規定,推動相關企業做好准備工作。
⑵ 網路安全法企業責任有哪些
1、用戶發布信息管理義務網路運營者對其平台上的信息負有管理義務。《網路安全法》第47條規定,網路運營者應當加強對其用戶發布的信息的管理。信息管理手段包括對網上公共信息進行巡查。工信部《通信簡訊息服務管理規定》、公安部《互聯網危險物品信息發布管理規定》、國信辦《互聯網信息搜索服務管理規定》等規定均要求網路服務提供者對公共信息進行實時巡查。2、保障個人信息安全義務網路運營者在運營中會收集大量的個人信息,保障個人信息安全是網路運營者的基本義務。《網路安全法》第40—44條對網路運營者的個人信息保護義務做了較為具體的規定。3、違法信息處置義務網路運營者發現其用戶發布的違法信息,應當立即進行處置。《網路安全法》第47條規定,網路運營者發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,採取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告。4、建立信息安全管理制度義務網路運營者通常是通過公司章程、用戶協議、網路管理制度等對網路平台、用戶進行管理。網路運營者要落實安全管理責任,首先就需要建立健全內部安全管理制度。《網路安全法》第21條規定,網路運營者應當制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任。5、用戶身份信息審核義務建立用戶身份信息制度有助於構建誠信的網路空間。《網路安全法》第24條規定,網路運營者為用戶辦理網路接入、域名注冊服務,辦理固定電話、行動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網路運營者不得為其提供相關服務。
⑶ 《網路安全法》發布以後,對雲服務提供公司來說,有哪些影響
是一個新的挑戰,對企業的信息安全防護的能力與水準,提出了更高要求。亞馬遜雲科技也及時做出了響應,從威脅檢測和事件響應、身份和訪問管理、網路和基礎設施安全、數據保護和隱私以及治理、風險和合規性五個角度,分析了對於安全管理方面的見地。
⑷ 相關公司拒絕執行個人信息安全法第十五條規定怎麼處理
《個人信息保護法》三讀通過,標志著我國對個人信息的立法保護方面上升到了新的高度;但相對應的是,作為「信息處理者」的企業也有了法律上新的義務。
作者 | 呂長軍 中國傳媒大學法律碩士校外導師
編輯 | 布魯斯
2021年8月, 我國《個人信息保護法》三讀通過 ,標志著我國對個人信息的立法保護方面上升到了新的高度;但相對應的是,作為「信息處理者」[1]的企業也有了法律上新的義務,包括:制度完備義務、安全保障義務、個人信息分級分類義務、內部許可權管理義務、信息質量與演算法合規義務、信息主體權益保障義務、事前風險評估義務(例如事前個人信息保護影響評估)、合規審計義務、以及特殊處理者的義務等,因此需要依法建立起符合法律要求的個人信息及數據[2]合規體系。
一、企業建立個人信息及數據合規體系的價值
《個人信息保護法》中對企業提出了建立個人信息保護合規體系的要求,似乎企業負擔加重,但實際上企業按照《個人信息保護法》的要求來進行合規操作有諸多的價值:
其一,合規價值。我國先後出台的《網路安全法》、《數據安全法》和《個人信息保護法》三部法律不僅構建起個人信息和數據保護的基本框架, 而且均明確要求企業建立數據(或個人信息)合規制度,而《個人信息保護法》更是要求大型互聯網平台、業務類型復雜的企業 「應當按照國家規定建立健全個人信息合規制度體系」[3];同時,諸多境外數據保護法律法規如GDPR等也要求企業建立數據及個人信息保護合規體系。可以說,建立個人信息及數據合規體系已經成為現代企業的一項重要法律義務。
其二, 品牌價值和市場競爭力。在強調個人數據與隱私保護的大環境下,企業在數據安全和隱私保護方面的有效努力,最終會得到合作方的認可,更為重要的是可以得到消費者的最後認同,這無疑將提升企業的品牌價值和市場競爭力。
其三,降低企業風險及減少損失。任何企業在個人信息及數據方面不合規的行為,均有可能產生行政調查、侵權訴訟、媒體曝光、甚至刑事案件等後果,將可能會為企業帶來重大的經濟和聲譽損失,包括行政處罰、訴訟賠償、刑事處罰、客戶流失等。
其四,有助於應對行政監管或訴訟。企業的個人信息及數據合規體系的完備,可以在一定程度上證明企業已充分盡到數據及個人信息保護的義務,可以有效助力企業應對監管執法和訴訟抗辯。
二、《個人信息保護法》第51條下企業的合規義務
在《個人信息保護法》中,第51條集中闡述了個人信息處理者的主要合規義務,包括制度建設、信息分類、技術措施、人員管理和應急預案五個基本方面以及兜底的其他措施。
第51條規定:
個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,採取下列措施確保個人信息處理活動符合法律、行政法規的規定,並防止未經授權的訪問以及個人信息泄露、篡改、丟失:
(一)制定內部管理制度和操作規程;
(二)對個人信息實行分類管理;
(三)採取相應的加密、去標識化等安全技術措施;
(四)合理確定個人信息處理的操作許可權,並定期對從業人員進行安全教育和培訓;
(五)制定並組織實施個人信息安全事件應急預案;
(六)法律、行政法規規定的其他措施。
1、制定公司內部管理制度和操作規程
《個人信息保護法》要求個人信息處理者(企業)內部應建立完善的個人信息保護制度以及操作規程。
1)健全內部管理制度
對企業而言,了解和梳理企業個人信息處理活動的目的、范圍和方式,是進行信息處理管理的基礎。在此基礎上,需要整理、制定適應企業內部的個人信息相關制度,包括但不限於:(1)個人信息收集、傳輸及處理制度;(2)個人用戶信息收集及處理告知制度;(3)個人信息安全保護制度(包括傳輸、使用及資料庫安全等);(4)信息分級分類管理制度;(5)個人信息風險評估制度 ;(6)審計制度等。
除上述重要制度外,企業內部管理制度中還應有應急預案制度、個人信息出境管理制度等。(詳見下文)
內部制度應具有合規性、可行性、完備性;也即既要符合法律法規要求,又要從企業自身實際情況出發,可操作,同時應注意全面覆蓋相應各個業務條線, 具有完備性。
2)制定個人信息收集、傳輸、存儲及處理操作流程
流程與制度相輔相成。企業應注意「個人信息處理全流程管理」的重要性,實施從個人信息收集、傳輸、存儲到處理、刪除等各環節的銜接和涵蓋全流程的管理,並在流程中應注意嚴格的許可權管理。
3)設置網路安全負責人、個人信息保護負責人等專職人員
《網路安全法》要求網路運營者設置專門安全管理機構和安全管理負責人,《信息安全技術 個人信息安全規范》規定了個人信息控制者應當設置個人信息保護負責人,而GDPR則要求設置數據保護官。
《個人信息保護法》沒有硬性要求所有的企業均設立「個人信息保護負責人」,而是要求如果處理個人信息達到一定」數量」, 則應設置個人信息保護負責人[4],但「數量」並未予以明確標准。當涉及的個人信息數據量較大時,企業應當考慮設定個人信息保護負責人,由其進行相關工作的統籌和管理,在有必要的情況下可以考慮成立相關部門,負責建立內部合規管理制度和相關措施乃至推行制度及措施的實施。
2、個人信息實行分級分類管理
《網路安全法》、《數據保護法》和《個人信息保護法》都提出要將數據進行分級分類管理。無論從合規或管理效率而言, 企業都有必要對數據進行分級分類管理。
首先,梳理企業信息庫存。搞清企業目前擁有哪些個人信息(數據)、承載個人信息的數據位於何處、如何流動以及與哪些部門相關,是在企業中創建個人信息保護合規框架的基礎。
其次,明確所需信息, 去除非必要信息。對個人信息的處理,應滿足《個人信息法》第6條提出的 「明確合理目的」以及「個人權益影響最小」兩個原則。因此,企業應當明確其需要哪些類型的個人信息,通過清單等形式將所需信息的內容和目的進行陳列,同時,應在企業系統中去除非必要的信息,並嚴格要求各部門不再進行收集或儲存。
再次,對需要處理的信息進行分級分類,以便進一步的管理,包括處理許可權、流程等工作的區分。
其中,企業應對以下兩類信息進行甄別並加以特別關註:
1)敏感個人信息。敏感個人信息包括種族、民族、宗教信仰、個人生物特徵、醫療健康、金融賬戶、個人行蹤等信息。這類信息多與人身、財產安全相關,因此受到法律特別保護,相關的程序和保護措施要求較之一般個人信息要嚴格。
2)未成年人(未滿十四周歲)個人信息。我國法律要求對該類信息的處理應依法取得其監護人的同意。
需要注意的是, 企業收集的個人信息, 不僅僅指收集的外部個人信息, 也包括對內部員工的個人信息。雖然《個人信息保護法》提出因對內部員工「人力資源管理」從而可以進行各種個人信息的收集、處理, 但絕不意味著可以忽略內部員工個人信息權益的保護。
3、個人信息安全保護措施
在網路環境下,數據安全是個人信息保護的基礎,而保障數據安全是個人信息處理者的一項重要且基礎的工作,同時也是一項法律義務。我國《網路安全法》要求網路運營者保障網路安全、維護網路數據的完整性、保密性和可用性[5];《數據安全法》強制性規定了數據處理者保障數據安全的法律義務[6], 《個人信息保護法》則要求企業採用安全技術措施來保護其所處理的個人信息。
匿名化後的數據,不需要遵守有關個人信息保護的條款, 但仍應遵守數據保護的法律規定。
4、個人信息處理許可權及安全教育與培訓
個人信息處理許可權制度經過多年企業界的實踐, 被證明是一項較好的對個人信息及數據管理的機制,《個人信息保護法》將該機制直接列為企業的一項法律義務。該機制的要點在於:
1)設立內部分工和許可權制度。將個人信息的收集、儲存、使用等處理環節,以及風險監控、合規等工作進行明確的分工,並根據分工和信息分級分類情況,對不同員工設置對應級別的許可權。
2) 全員參與(而非重點人員參與)安全與許可權培訓。通過個人信息與數據的安全教育與培訓,牢固樹立數據安全意識,明確各自許可權所在, 防止人為造成數據泄露。
5、個人信息安全事件應急制度
合規工作雖能防患於未然,但並不能完全排除風險。隨著技術進步和企業產品迭代,安全漏洞總難以避免,因此企業應當制定數據安全事件應急預案並定期演練,以備不時之需。我國《網路安全法》中已規定網路運營者應當制定網路安全事件應急預案[9],及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,及時啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
《個人信息保護法》再次強調企業應建立個人信息安全事件應急預案並定期進行演練,並將此作為企業的一項法律義務。
三、《個人信息保護法》下企業的其他合規義務
除第51條外,《個人信息保護法》還在其他條文中規定了企業的一些重要的合規義務, 主要包括:
1、收集、處理個人信息的充分告知義務
《個人信息保護法》再次強調了個人信息收集與處理的「告知-同意」原則。對於需要收集個人信息的企業而言,應制定出明確的個人信息保護政策(《隱私政策》),真實、完整的向用戶告知企業的基本情況、個人信息收集、使用目的、范圍及場景、個人信息處理方式及規則、對外共享及披露情形、個人信息主體權利保障機制、投訴處理渠道等。
個人信息保護政策應公開發布且應送達個人信息主體, 由用戶在注冊或首次運行產品時閱讀並勾選同意後才可繼續使用。如涉及個人信息會被用於用戶畫像和個性化展示的,則應在《隱私政策》中徵得用戶的同意,充分保障用戶知情權;而在進行自動化決策前,應當就自動化決策的透明和公平性做好充分說明。
需要特別注意的是,《個人信息保護法》要求對於收集個人敏感信息的,應取得用戶的單獨同意[10],因此企業不能採取過去的概約性、打包式的同意,而應單獨提示用戶勾選同意方可。
2、信息主體權益保障義務(應提供個人信息查閱復制、修正、移轉及刪除服務)
《個人信息保護法》明確了在個人信息處理活動中個人的各項權利,包括知情權、決定權、限制權、拒絕權、查閱、復制權、可攜權、更正、補充權、刪除權。既然個人享有一系列個人信息權利,也意味著個人信息處理者負有配合個人權利行使的義務。企業需要根據用戶個人的需求,靈活和准確地響應數據主體訪問查詢、更正、刪除、移轉等要求。
1)接受信息主體的要求,提供個人信息查閱、復制的途徑及服務
長期以來,不少互聯網平台將用戶信息視為重要的財產性權益,而用戶想了解平台到底掌握自己哪些信息卻有時連查詢的渠道、途徑都沒有。GDPR開了個人信息嚴格保護的先河,確認個人有查詢權,即有權要求互聯網公司(信息控制者)提供掌握本人信息的明細清單。
《個人信息保護法》也規定了企業應為用戶提供個人信息查閱、復制的法律義務,因此企業也應制定相應的接受用戶要求、核實身份、匯總信息、提供信息的制度和流程。
2)接受信息主體的要求, 提供個人信息修正的途徑及服務
《個人信息保護法》第十五條規定了信息主體對個人信息的修改權,企業應為個人信息處理者提供修正的途徑和服務。相應的,企業應建立起修正溝通渠道、內部修正機制等。
3)接受信息主體的要求,提供移轉的途徑及服務
《個人信息保護法》第十五條規定了信息主體對個人信息的可攜帶權,即個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。該規定不僅有利於個人自由處理其個人信息,也有利於打破數據壟斷和數據孤島現象。而作為企業也應就此制定移轉的內部操作流程。
4)接受信息主體的要求,提供便捷刪除服務
《個人信息保護法》第十五條規定了「基於個人同意而進行的個人信息處理活動,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式」。
撤回同意,是個人信息主體處分自身權利的一種方式。企業應確定撤回方式、撤回渠道等響應機制,並應保證用戶行使權力的便利性,符合「便捷原則」。
雖然法律未解釋何為「便捷」, 但按照通常的理解,「撤回」的難度不應大於「同意」的難度。
因此,企業可在企業主網頁、APP登錄入口等顯著頁面安置「撤回」的鏈接或選項, 並提供明晰的操作指導。企業內部因數據的修改和刪除有可能涉及多個部門,故應建立一系列的操作流程,並應研判其中的風險。
3、數據與演算法的合規義務
1)數據質量的檢查和審視,防止因數據質量引發歧視
演算法以數據為基礎, 數據不準確,則演算法結果、數據分析結論則基本不會准確,有可能會對相關數據主體帶來負面評價,從而導致其合法權益受到影響。
《個人信息保護法》第8條規定:
「處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不利影響。」
《個人信息保護法》將保證個人信息質量作為企業的法定義務,從企業的角度說,則應建立檢查和審視數據的相應制度和流程, 以保障數據獲取的准確度。
2)保證演算法公平合理, 防止不合理差別待遇
互聯網時代「演算法為王」。演算法推薦是搜索引擎、社交軟體、電子商務等幾乎所有平台的標配。平台用代碼、演算法替代了傳統的內容分發過程中編輯的角色,提高了服務效率的同時,也會導致例如大數據殺熟、劣質內容泛濫等一系列侵犯用戶權利的現象。也正因為演算法推薦下的社會問題層出不窮,國家開始通過立法手段進行干預,並在《個人信息保護法》下初步確立了演算法問責制,這在我國還是首次。
《個人信息保護法》第二十四條規定,
個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正。
演算法的透明性、公平及公正性本屬於倫理范疇, 《個人信息保護法》將它上升到了法律的高度, 成為相關企業的法律義務。它要求個人信息處理者必須對所用演算法進行檢查和審視,保證自動化決策的透明度和結果的公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
3) 自動化決策(演算法),需遵循「明確合理目的」以及「個人權益影響最小」兩個原則
《個人信息保護法》第六條規定,企業進行自動化決策,需遵循「明確合理目的」以及「個人權益影響最小」兩個原則,而且在自動化決策對個人權益造成重大影響時,應「向個人提供便捷的拒絕方式」, 也即賦予個人主體拒絕權。這對於長期以來通過個性化推薦、通過用戶畫像為用戶提供各種信息服務的企業來說,產生較強的影響和制約。
4、事前風險評估義務[11]
根據《個人信息保護法》的規定,在下列情況中,企業應當進行事前風險評估,且應將風險評估報告和處理情況記錄至少保存三年:
1)處理敏感個人信息;
2)利用個人信息進行自動化決策;
3) 委託處理個人信息、向他人提供個人信息、公開個人信息;
4) 向境外提供個人信息;
5)其他對個人有重大影響的個人信息處理活動。
我國《數據安全法》中僅規定「重要數據」的處理者應當對其數據活動定期開展風險評估,並向有關主管部門報送風險評估報告[12];《個人信息保護法》則明確在涉及「敏感個人信息」、「自動化決策」、「委託處理」、「向第三方提供」、「對外公開」、「跨境提供」等情形下賦予所有的個人信息處理者以「事前評估」的義務。
因此,風險評估將成為作為信息處理者的企業的一項經常性工作, 應將其制度化、常態化,在保證評估質量的情況下盡量實現高效、快捷。
筆者認為,風險評估報告應當包括本組織涉及的個人信息種類、數量, 收集、存儲、使用、委託、提供等的情況,面臨的安全風險及其應對措施等。
5、合規審計義務
《個人信息保護法》要求定期對企業處理個人信息遵守法律、行政法規的情況進行合規審計[13]。但由誰審計、具體審計內容、審計標准尚未有明確規定,企業應未雨綢繆,參照《個人信息保護法》、《網路安全法》、《數據保護法》三部基本法律中相對具體的規定,制定出應對審計的方案。筆者認為,主要內容應包括:
1) 審查內部管理制度和個人信息備忘錄的完備性和合規性;
2) 定期審計個人信息處理和管理工作;
3) 審計履行個人信息查閱復制、修正、移轉及刪除義務情況(信息主體權益保障情況);
4) 審核風險評估報告及記錄情況;
5) 審核個人信息相關的合同及其他法律文書;
6) 根據個人信息及數據相關法律法規的更新,及時調整內部制度的情況。
6、委託外部進行個人信息處理的合規義務
《個人信息保護法》並非不允許進行個人信息的外部委託處理, 但是應區分「共同處理」與「委託處理」, 其中,共同處理應取得信息主體的充分授權。
在數字經濟發展迅猛的今天, 數據外部委託處理已經極為常見, 比如雲服務,SAAS服務等, 均需要數據的外部存儲與處理。委託處理雖不必取得信息主體的授權,但是,《個人信息保護法》生效後,在對委託第三方(受託人)處理的情況下,委託處理個人信息之前,應事先進行個人信息保護影響評估,並對處理情況進行記錄。
雙方應簽訂書面委託合同, 其中應清楚載明委託事項、受託人許可權、期間等事項, 尤其是委託受託人進行信息處理不應超過個人權利主體的授權許可權或相關法律授予的許可權。
7、跨境數據傳輸的合規義務
《個人信息保護法》並非禁止個人信息跨境傳輸,而是規定了實現數據跨境傳輸的必要條件以及制度性框架,並引入了國際上一些較為成熟的做法,如標准合同機制等。但是,在操作層面還有待於進一步的制度以及有關部門的指導性意見去進行細化,包括標准合同模板、國家網信部門的評估流程及標准、認證部門及認證標准、不對等國家的清單等[14]。因此,在跨境數據流動場景中,企業應嚴格按照《個人信息保護法》、《網路安全法》與《數據安全法》的規定, 慎重處理跨境數據傳輸的問題。
對於企業(尤其是互聯網企業)而言,《個人信息保護法》要求的企業合規內容多而雜,可能涉及企業多個部門,因此企業應根據自身實際情況有一個完整的應對思路和方案, 所有部門都應當做好調整和配合的准備。
我國的《個人信息保護法》吸收了國外立法的優秀做法以及過往國內實踐寶貴經驗,可謂是「集大成者」,真正把我國對個人信息保護提升到了新的水平;但「徒法不足以自行」,個人信息保護法還有待於包括企業在內的各方一起努力,才能真正起到保護公民個人信息、維護公民網路空間權益以及促進信息合理利用的作用。
相關鏈接:
全文 | 《中華人民共和國個人信息保護法》
每周速覽 | 個人信息保護法草案三審
注釋:
[1] 個人信息處理者不僅僅包括企業,也包括政府部門、事業單位等;本文主要討論企業的合規義務。
[2] 數據是信息的載體, 個人信息在網路環境下通常以數據形式存在,故在網路時代個人信息保護和數據保護不可分離。
[3] 參見《個人信息保護法》第58條。
[4] 參見《個人信息保護法》第五十二條:處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及採取的保護措施等進行監督。個人信息處理者應當公開個人信息保護負責人的聯系方式,並將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。
[5] 參見《網路安全法》第10條。
[6] 參見《數據安全法》 第25條。
[9] 參見《網路安全法》第 25 條。
[10] 參見《個人信息保護法》第 29 條。
[11] 參見《個人信息保護法》第 55 條。
[12] 參見《數據安全法》 第28條.
[13] 《個人信息保護法》第54條規定:個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。
[14] 參見《個人信息保護法》第38條、第40條、第43條。
⑸ 如何解決企業遠程辦公網路安全問題
企業遠程辦公的網路安全常見問題及建議
發表時間:2020-03-06 11:46:28
作者:寧宣鳳、吳涵等
來源:金杜研究院
分享到:微信新浪微博QQ空間
當前是新型冠狀病毒防控的關鍵期,舉國上下萬眾一心抗擊疫情。為增強防控,自二月初以來,北京、上海、廣州、杭州等各大城市政府公開表態或發布通告,企業通過信息技術開展遠程協作辦公、居家辦公[1]。2月19日,工信部發布《關於運用新一代信息技術支撐服務疫情防控和復工復產工作的通知》,面對疫情對中小企業復工復產的嚴重影響,支持運用雲計算大力推動企業上雲,重點推行遠程辦公、居家辦公、視頻會議、網上培訓、協同研發和電子商務等在線工作方式[2]。
面對國家和各地政府的呼籲,全國企業積極響應號召。南方都市報在2月中旬發起的網路調查顯示,有47.55%的受訪者在家辦公或在線上課[3]。面對特殊時期龐大的遠程辦公需求,遠程協作平台也積極承擔社會擔當,早在1月底,即有17家企業的21款產品宣布對全社會用戶或特定機構免費開放其遠程寫作平台軟體[4]。
通過信息技術實現遠程辦公,無論是網路層、系統層,還是業務數據,都將面臨更加復雜的網路安全環境,為平穩有效地實現安全復工復產,降低疫情對企業經營和發展的影響,企業應當結合實際情況,建立或者適當調整相適應的網路與信息安全策略。
一、遠程辦公系統的類型
隨著互聯網、雲計算和物聯網等技術的深入發展,各類企業,尤其是互聯網公司、律所等專業服務公司,一直在推動實現企業內部的遠程協作辦公,尤其是遠程會議、文檔管理等基礎功能應用。從功能類型來看,遠程辦公系統可分為以下幾類:[5]
綜合協作工具,即提供一套綜合性辦公解決方案,功能包括即時通信和多方通信會議、文檔協作、任務管理、設計管理等,代表軟體企包括企業微信、釘釘、飛書等。
即時通信(即InstantMessaging或IM)和多方通信會議,允許兩人或以上通過網路實時傳遞文字、文件並進行語音、視頻通信的工具,代表軟體包括Webex、Zoom、Slack、Skype等。
文檔協作,可為多人提供文檔的雲存儲和在線共享、修改或審閱功能,代表軟體包括騰訊文檔、金山文檔、印象筆記等。
任務管理,可實現任務流程、考勤管理、人事管理、項目管理、合同管理等企業辦公自動化(即OfficeAutomation或OA)功能,代表軟體包括Trello、Tower、泛微等。
設計管理,可根據使用者要求,系統地進行設計方面的研究與開發管理活動,如素材、工具、圖庫的管理,代表軟體包括創客貼、Canvas等。
二、遠程辦公不同模式下的網路安全責任主體
《網路安全法》(「《網安法》」)的主要規制對象是網路運營者,即網路的所有者、管理者和網路服務提供者。網路運營者應當承擔《網安法》及其配套法規下的網路運行安全和網路信息安全的責任。
對於遠程辦公系統而言,不同的系統運營方式下,網路安全責任主體(即網路運營者)存在較大的差異。按照遠程辦公系統的運營方式劃分,企業遠程辦公系統大致可以分為自有系統、雲辦公系統和綜合型系統三大類。企業應明確區分其與平台運營方的責任界限,以明確判斷自身應採取的網路安全措施。
(1)自有系統
此類模式下,企業的遠程辦公系統部署在自有伺服器上,系統由企業自主研發、外包研發或使用第三方企業級軟體架構。此類系統開發成本相對較高,但因不存在數據流向第三方伺服器,安全風險則較低,常見的企業類型包括國企、銀行業等重要行業企業與機構,以及經濟能力較強且對安全與隱私有較高要求的大型企業。
無論是否為企業自研系統,由於系統架構完畢後由企業單獨所有並自主管理,因此企業構成相關辦公系統的網路運營者,承擔相應的網路安全責任。
(2)雲辦公系統
此類辦公系統通常為SaaS系統或APP,由平台運營方直接在其控制的伺服器上向企業提供注冊即用的系統遠程協作軟體平台或APP服務,供企業用戶與個人(員工)用戶使用。此類系統構建成本相對經濟,但往往只能解決企業的特定類型需求,企業通常沒有許可權對系統進行開發或修改,而且企業數據存儲在第三方伺服器。該模式的常見企業類型為相對靈活的中小企業。
由於雲辦公系統(SaaS或APP)的網路、資料庫、應用伺服器都由平台運營方運營和管理,因此,雲辦公系統的運營方構成網路運營者,通常對SaaS和APP的網路運行安全和信息安全負有責任。
實踐中,平台運營方會通過用戶協議等法律文本,將部分網路安全監管義務以合同約定方式轉移給企業用戶,如要求企業用戶嚴格遵守賬號使用規則,要求企業用戶對其及其員工上傳到平台的信息內容負責。
(3)綜合型系統
此類系統部署在企業自有伺服器和第三方伺服器上,綜合了自有系統和雲辦公,系統的運營不完全由企業控制,多用於有多地架設本地伺服器需求的跨國企業。
雲辦公系統的供應商和企業本身都可能構成網路運營者,應當以各自運營、管理的網路系統為邊界,對各自運營的網路承擔相應的網路安全責任。
對於企業而言,為明確其與平台運營方的責任邊界,企業應當首先確認哪些「網路」是企業單獨所有或管理的。在遠程辦公場景下,企業應當考慮多類因素綜合認定,分析包括但不限於以下:
辦公系統的伺服器、終端、網路設備是否都由企業及企業員工所有或管理;
企業對企業使用的辦公系統是否具有最高管理員許可權;
辦公系統運行過程中產生的數據是否存儲於企業所有或管理的伺服器;
企業與平台運營方是否就辦公系統或相關數據的權益、管理權有明確的協議約定等。
當然,考慮到系統構建的復雜性與多樣性,平台運營方和企業在遠程協作辦公的綜合系統中,可能不免共同管理同一網路系統,雙方均就該網路承擔作為網路運營者的安全責任。但企業仍應通過合同約定,盡可能固定網路系統中雙方各自的管理職責以及網路系統的歸屬。因此,對於共同管理、運營遠程協作辦公服務平台的情況下,企業和平台運營方應在用戶協議中明確雙方就該系統各自管理運營的系統模塊、各自對其管理的系統模塊的網路安全責任以及該平台的所有權歸屬。
三、遠程辦公涉及的網路安全問題及應對建議
下文中,我們將回顧近期遠程辦公相關的一些網路安全熱點事件,就涉及的網路安全問題進行簡要的風險評估,並為企業提出初步的應對建議。
1.用戶流量激增導致遠程辦公平台「短時間奔潰」,平台運營方是否需要承擔網路運行安全責任?
事件回顧:
2020年2月3日,作為春節假期之後的首個工作日,大部分的企業都要求員工在家辦公。盡管各遠程辦公系統的平台運營方均已經提前做好了應對預案,但是巨量的並發響應需求還是超出了各平台運營商的預期,多類在線辦公軟體均出現了短時間的「信息發送延遲」、「視頻卡頓」、「系統奔潰退出」等故障[6]。在出現故障後,平台運營方迅速採取了網路限流、伺服器擴容等措施,提高了平台的運載支撐能力和穩定性,同時故障的出現也產生一定程度的分流。最終,盡管各遠程辦公平台都在較短的時間內恢復了平台的正常運營,但還是遭到了不少用戶的吐槽。
風險評估:
依據《網路安全法》(以下簡稱《網安法》)第22條的規定,網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設置惡意程序;發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。網路產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。
遠程辦公平台的運營方,作為平台及相關網路的運營者,應當對網路的運行安全負責。對於短時間的系統故障,平台運營方是否需要承擔相應的法律責任或違約責任,需要結合故障產生的原因、故障產生的危害結果、用戶協議中的責任約定等因素來綜合判斷。
對於上述事件而言,基於我們從公開渠道了解的信息,盡管多個雲辦公平台出現了響應故障問題,給用戶遠程辦公帶來了不便,但平台本身並未暴露出明顯的安全缺陷、漏洞等風險,也沒有出現網路數據泄露等實質的危害結果,因此,各平台很可能並不會因此而承擔網路安全的法律責任。
應對建議:
在疫情的特殊期間,主流的遠程辦公平台產品均免費開放,因此,各平台都會有大量的新增客戶。對於平台運營方而言,良好的應急預案和更好的用戶體驗,肯定更有利於平台在疫情結束之後留住這些新增的用戶群體。
為進一步降低平台運營方的風險,提高用戶體驗,我們建議平台運營方可以:
將用戶流量激增作為平台應急事件處理,制定相應的應急預案,例如,在應急預案中明確流量激增事件的觸發條件、伺服器擴容的條件、部署臨時備用伺服器等;
對用戶流量實現實時的監測,及時調配平台資源;
建立用戶通知機制和話術模板,及時告知用戶系統響應延遲的原因及預計恢復的時間等;
在用戶協議或與客戶簽署的其他法律文本中,嘗試明確該等系統延遲或奔潰事件的責任安排。
2.在遠程辦公環境下,以疫情為主題的釣魚攻擊頻發,企業如何降低外部網路攻擊風險?
事件回顧:
疫情期間,某網路安全公司發現部分境外的黑客組織使用冠狀病毒為主題的電子郵件進行惡意軟體發送,網路釣魚和欺詐活動。比如,黑客組織偽裝身份(如國家衛健委),以「疫情防控」相關信息為誘餌,發起釣魚攻擊。這些釣魚郵件攻擊冒充可信來源,郵件內容與廣大人民群眾關注的熱點事件密切相關,極具欺騙性。一旦用戶點擊,可能導致主機被控,重要信息、系統被竊取和破壞[7]。
風險評估:
依據《網安法》第21、25條的規定,網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:(1)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;(2)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;(3)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;(4)採取數據分類、重要數據備份和加密等措施;(5)法律、行政法規規定的其他義務。同時,網路運營者還應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
遠程辦公的實現,意味著企業內網需要響應員工移動終端的外網接入請求。員工所處的網路安全環境不一,無論是接入網路還是移動終端本身,都更容易成為網路攻擊的對象。一方面,公用WiFi、網路熱點等不可信的網路都可能作為員工的網路接入點,這些網路可能毫無安全防護,存在很多常見的容易被攻擊的網路漏洞,容易成為網路犯罪組織侵入企業內網的中轉站;另一方面,部分員工的移動終端設備可能會安裝設置惡意程序的APP或網路插件,員工在疏忽的情況下也可能點擊偽裝的釣魚攻擊郵件或勒索郵件,嚴重威脅企業內部網路的安全。
在計算機病毒或外部網路攻擊等網路安全事件下,被攻擊的企業盡管也是受害者,但如果企業沒有按照《網安法》及相關法律規定的要求提前採取必要的技術防範措施和應急響應預案,導致網路數據泄露或者被竊取、篡改,給企業的用戶造成損失的,很可能依舊需要承擔相應的法律責任。
應對建議:
對於企業而言,為遵守《網安法》及相關法律規定的網路安全義務,我們建議,企業可以從網路安全事件管理機制、移動終端設備安全、數據傳輸安全等層面審查和提升辦公網路的安全:
(1)企業應當根據其運營網路或平台的實際情況、員工整體的網路安全意識,制定相適應的網路安全事件管理機制,包括但不限於:
制定包括數據泄露在內的網路安全事件的應急預案;
建立應對網路安全事件的組織機構和技術措施;
實時監測最新的釣魚網站、勒索郵件事件;
建立有效的與全體員工的通知機制,包括但不限於郵件、企業微信等通告方式;
制定與員工情況相適應的信息安全培訓計劃;
設置適當的獎懲措施,要求員工嚴格遵守公司的信息安全策略。
(2)企業應當根據現有的信息資產情況,採取以下措施,進一步保障移動終端設備安全:
根據員工的許可權等級,制定不同的移動終端設備安全管理方案,例如,高級管理人員或具有較高資料庫許可權的人員僅能使用公司配置的辦公專用移動終端設備;
制定針對移動終端設備辦公的管理制度,對員工使用自帶設備進行辦公提出明確的管理要求;
定期對辦公專用的移動終端設備的系統進行更新、漏洞掃描;
在終端設備上,對終端進行身份准入認證和安全防護;
重點監測遠程接入入口,採用更積極的安全分析策略,發現疑似的網路安全攻擊或病毒時,應當及時採取防範措施,並及時聯系企業的信息安全團隊;
就移動辦公的信息安全風險,對員工進行專項培訓。
(3)保障數據傳輸安全,企業可以採取的安全措施包括但不限於:
使用HTTPS等加密傳輸方式,保障數據傳輸安全。無論是移動終端與內網之間的數據交互,還是移動終端之間的數據交互,都宜對數據通信鏈路採取HTTPS等加密方式,防止數據在傳輸中出現泄漏。
部署虛擬專用網路(VPN),員工通過VPN實現內網連接。值得注意的是,在中國,VPN服務(尤其是跨境的VPN)是受到電信監管的,僅有具有VPN服務資質的企業才可以提供VPN服務。外貿企業、跨國企業因辦公自用等原因,需要通過專線等方式跨境聯網時,應當向持有相應電信業務許可證的基礎運營商租用。
3.內部員工通過VPN進入公司內網,破壞資料庫。企業應當如何預防「內鬼」,保障數據安全?
事件回顧:
2月23日晚間,微信頭部服務提供商微盟集團旗下SaaS業務服務突發故障,系統崩潰,生產環境和數據遭受嚴重破壞,導致上百萬的商戶的業務無法順利開展,遭受重大損失。根據微盟25日中午發出的聲明,此次事故系人為造成,微盟研發中心運維部核心運維人員賀某,於2月23日晚18點56分通過個人VPN登入公司內網跳板機,因個人精神、生活等原因對微盟線上生產環境進行惡意破壞。目前,賀某被上海市寶山區公安局刑事拘留,並承認了犯罪事實[8]。由於資料庫遭到嚴重破壞,微盟長時間無法向合作商家提供電商支持服務,此處事故必然給合作商戶帶來直接的經濟損失。作為港股上市的企業,微盟的股價也在事故發生之後大幅下跌。
從微盟的公告可以看出,微盟員工刪庫事件的一個促成條件是「該員工作為運維部核心運維人員,通過個人VPN登錄到了公司內網跳板機,並具有刪庫的許可權」。該事件無論是對SaaS服務商而言,還是對普通的企業用戶而言,都值得反思和自省。
風險評估:
依據《網安法》第21、25條的規定,網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:(1)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;(2)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;(3)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;(4)採取數據分類、重要數據備份和加密等措施;(5)法律、行政法規規定的其他義務。同時,網路運營者還應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
內部員工泄密一直是企業數據泄露事故的主要原因之一,也是當前「侵犯公民個人信息犯罪」的典型行為模式。遠程辦公環境下,企業需要為大部分的員工提供連接內網及相關資料庫的訪問許可權,進一步增大數據泄露甚至被破壞的風險。
與用戶流量激增導致的系統「短時間崩潰」不同,「微盟刪庫」事件的發生可能與企業內部信息安全管理有直接的關系。如果平台內合作商戶產生直接經濟損失,不排除平台運營者可能需要承擔網路安全相關的法律責任。
應對建議:
為有效預防員工惡意破壞、泄露公司數據,保障企業的數據安全,我們建議企業可以採取以下預防措施:
制定遠程辦公或移動辦公的管理制度,區分辦公專用移動設備和員工自有移動設備,進行分類管理,包括但不限於嚴格管理辦公專用移動設備的讀寫許可權、員工自有移動設備的系統許可權,尤其是企業資料庫的管理許可權;
建立數據分級管理制度,例如,應當根據數據敏感程度,制定相適應的訪問、改寫許可權,對於核心資料庫的數據,應當禁止員工通過遠程登錄方式進行操作或處理;
根據員工工作需求,依據必要性原則,評估、審核與限制員工的數據訪問和處理許可權,例如,禁止員工下載數據到任何用戶自有的移動終端設備;
建立數據泄露的應急管理方案,包括安全事件的監測和上報機制,安全事件的響應預案;
制定遠程辦公的操作規范,使用文件和材料的管理規范、應用軟體安裝的審批流程等;
組建具備遠程安全服務能力的團隊,負責實時監控員工對核心資料庫或敏感數據的操作行為、資料庫的安全情況;
加強對員工遠程辦公安全意識教育。
4.疫情期間,為了公共利益,企業通過系統在線收集員工疫情相關的信息,是否需要取得員工授權?疫情結束之後,應當如何處理收集的員工健康信息?
場景示例:
在遠程辦公期間,為加強用工管理,確保企業辦公場所的健康安全和制定相關疫情防控措施,企業會持續地向員工收集各類疫情相關的信息,包括個人及家庭成員的健康狀況、近期所在地區、當前住址、所乘航班或火車班次等信息。收集方式包括郵件、OA系統上報、問卷調查等方式。企業會對收集的信息進行統計和監測,在必要時,向監管部門報告企業員工的整體情況。如發現疑似病例,企業也會及時向相關的疾病預防控制機構或者醫療機構報告。
風險評估:
2020年1月20日,新型冠狀病毒感染肺炎被國家衛健委納入《中華人民共和國傳染病防治法》規定的乙類傳染病,並採取甲類傳染病的預防、控制措施。《中華人民共和國傳染病防治法》第三十一條規定,任何單位和個人發現傳染病病人或者疑似傳染病病人時,應當及時向附近的疾病預防控制機構或者醫療機構報告。
2月9日,中央網信辦發布了《關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》(以下簡稱《通知》),各地方各部門要高度重視個人信息保護工作,除國務院衛生健康部門依據《中華人民共和國網路安全法》、《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》授權的機構外,其他任何單位和個人不得以疫情防控、疾病防治為由,未經被收集者同意收集使用個人信息。法律、行政法規另有規定的,按其規定執行。
各地也陸續出台了針對防疫的規范性文件,以北京為例,根據《北京市人民代表大會常務委員會關於依法防控新型冠狀病毒感染肺炎疫情堅決打贏疫情防控阻擊戰的決定》,本市行政區域內的機關、企業事業單位、社會團體和其他組織應當依法做好本單位的疫情防控工作,建立健全防控工作責任制和管理制度,配備必要的防護物品、設施,加強對本單位人員的健康監測,督促從疫情嚴重地區回京人員按照政府有關規定進行醫學觀察或者居家觀察,發現異常情況按照要求及時報告並採取相應的防控措施。按照屬地人民政府的要求,積極組織人員參加疫情防控工作。
依據《通知》及上述法律法規和規范性文件的規定,我們理解,在疫情期間,如果企業依據《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》獲得了國務院衛生健康部門的授權,企業在授權范圍內,應當可以收集本單位人員疫情相關的健康信息,而無需取得員工的授權同意。如果不能滿足上述例外情形,企業還是應當依照《網安法》的規定,在收集前獲得用戶的授權同意。
《通知》明確規定,為疫情防控、疾病防治收集的個人信息,不得用於其他用途。任何單位和個人未經被收集者同意,不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息,但因聯防聯控工作需要,且經過脫敏處理的除外。收集或掌握個人信息的機構要對個人信息的安全保護負責,採取嚴格的管理和技術防護措施,防止被竊取、被泄露。具體可參考我們近期的文章《解讀網信辦<關於做好個人信息保護利用大數據支撐防疫聯控工作的通知>》
應對建議:
在遠程期間,如果企業希望通過遠程辦公系統收集員工疫情相關的個人信息,我們建議各企業應當:
制定隱私聲明或用戶授權告知文本,在員工初次提交相關信息前,獲得員工的授權同意;
遵循最小必要原則,制定信息收集的策略,包括收集的信息類型、頻率和顆粒度;
遵循目的限制原則,對收集的疫情防控相關的個人信息進行區分管理,避免與企業此前收集的員工信息進行融合;
在對外展示企業整體的健康情況時或者披露疑似病例時,對員工的相關信息進行脫敏處理;
制定信息刪除管理機制,在滿足防控目的之後,及時刪除相關的員工信息;
制定針對性的信息管理和保護機制,將收集的員工疫情相關的個人信息,作為個人敏感信息進行保護,嚴格控制員工的訪問許可權,防止數據泄露。
5.遠程辦公期間,為有效監督和管理員工,企業希望對員工進行適當的監測,如何才能做到合法合規?
場景示例:
遠程辦公期間,為了有效監督和管理員工,企業根據自身情況制定了定時匯報、簽到打卡、視頻監控工作狀態等措施,要求員工主動配合達到遠程辦公的監測目的。員工通過系統完成匯報、簽到打卡時,很可能會反復提交自己的姓名、電話號碼、郵箱、所在城市等個人基本信息用於驗證員工的身份。
同時,在使用遠程OA系統或App時,辦公系統也會自動記錄員工的登錄日誌,記錄如IP地址、登錄地理位置、用戶基本信息、日常溝通信息等數據。此外,如果員工使用企業分配的辦公終端設備或遠程終端虛擬機軟體開展工作,終端設備和虛擬機軟體中可能預裝了監測插件或軟體,在滿足特定條件的情況下,會記錄員工在終端設備的操作行為記錄、上網記錄等。
風險評估:
上述場景示例中,企業會通過1)員工主動提供和2)辦公軟體自動或觸發式收集兩種方式收集員工的個人信息,構成《網安法》下的個人信息收集行為。企業應當根據《網安法》及相關法律法規的要求,遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,並獲取員工的同意。
對於視頻監控以及系統監測軟體或插件的使用,如果操作不當,並且沒有事先取得員工的授權同意,很可能還會侵犯到員工的隱私,企業應當尤其注意。
應對建議:
遠程辦公期間,尤其在當前員工還在適應該等工作模式的情形下,企業根據自身情況採取適當的監督和管理措施,具有正當性。我們建議企業可以採取以下措施,以確保管理和監測行為的合法合規:
評估公司原有的員工合同或員工個人信息收集授權書,是否能夠滿足遠程辦公的監測要求,如果授權存在瑕疵,應當根據企業的實際情況,設計獲取補充授權的方式,包括授權告知文本的彈窗、郵件通告等;
根據收集場景,逐項評估收集員工個人信息的必要性。例如,是否存在重復收集信息的情況,是否有必要通過視頻監控工作狀態,監控的頻率是否恰當;
針對系統監測軟體和插件,設計單獨的信息收集策略,做好員工隱私保護與公司數據安全的平衡;
遵守目的限制原則,未經員工授權,不得將收集的員工數據用於工作監測以外的其他目的。
四、總結
此次疫情,以大數據、人工智慧、雲計算、移動互聯網為代表的數字科技在疫情防控中發揮了重要作用,也進一步推動了遠程辦公、線上運營等業務模式的發展。這既是疫情倒逼加快數字化智能化轉型的結果,也代表了未來新的生產力和新的發展方向[9]。此次「突發性的全民遠程辦公熱潮」之後,遠程辦公、線上運營將愈發普及,線下辦公和線上辦公也將形成更好的統一,真正達到提升工作效率的目的。
加快數字化智能化升級也是推進國家治理體系和治理能力現代化的迫切需要。黨的十九屆四中全會對推進國家治理體系和治理能力現代化作出重大部署,強調要推進數字政府建設,加強數據共享,建立健全運用互聯網、大數據、人工智慧等技術手段進行行政管理的制度規則[10]。
為平穩加速推進數字化智能化發展,契合政府現代化治理的理念,企業務必需要全面梳理並完善現有的網路安全與數據合規策略,為迎接新的智能化管理時代做好准備。
⑹ 網路安全法 民營企業如何去落實
有下面3大建議:
一是開展《網路安全法》學習和網路安全檢查。《網路安全法》出台後,該局組織網路安全小組對其進行學習研討,對局網路安全風險進行全面分析排查,修改完善了《網路使用管理辦法》,認真做好網路安全監測預警,抓緊落實各項網路安全維護舉措。按照規定對上網電腦、個人移動存儲介質使用等情況進行了突擊檢查,對發現的問題提出整改意見,要求整改到位。
二是積極參加相關培訓。該局選派計算機審計處負責人先後參加了市經信委、市網路與信息安全協調小組辦公室聯合舉辦的《網路安全法》解讀暨網信安全防範專題講座,以及2017年全國網路安全信息通報暨公安機關網路安全執法檢查部署電視電話會議,對網路安全形勢,以及《網路安全法》出台的重要意義有了更加深刻的認識。
三是藉助專業公司強化自身建設。該局邀請相關專業公司對當前使用的操作系統、資料庫系統、應用軟體,以及伺服器、路由器、防火牆等硬體設備的安全性進行分析,並針對這些設備存在漏洞及管理員操作帶來的安全隱患等制訂了網路安全加固方案,增加了部分網路安全設備,細化了網路安全管理制度,明確了網路安全管理人員及其職責。加固方案實施結束後還將按規定聘請有資質的網路安全等級保護公司進行網路安全等級測評,力求從整體上提高網路的安全防禦能力。