数据是一种无形资产。随着信息技术的快速发展和互联网应用的普及,数据资产的流动所产生的经济价值和社会价值不言而喻,但是伴随着这一过程的安全风险也随之急剧增加。在我们直面2017年《网络安全法》生效所带来的合规新需求,经历了2018年重点关注网络用户个人信息安全及网络环境净化的新规发布以及执法活动,2019年是数据合规走向常规化、趋于实践化的一年。

一、2019年《网络安全法》配套新规进展

1.《网络安全等级保护条例(征求意见稿)》

1994年国务院第一次颁布《计算机信息系统安全保护条例》,就规定计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。在此基础上,2007年《信息安全等级保护管理办法》(俗称“等保1.0”)具体规定了信息系统的安全保护等级划分,及如何开展等级保护的实施与管理工作。

2017年的《网络安全法》则在法律层面进一步规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行一定的安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。根据《网络安全法》的这一要求,公安部于2018年6月27日发布《网络安全等级保护条例(征求意见稿)》,为深入推进实施国家网络安全等级保护制度,公开征求意见。《网络安全等级保护条例(征求意见稿)》的发布标志着等保2.0时代的到来。

第一,在等保1.0的体系下,《信息安全等级保护管理办法》强调由国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室发布的《关于信息安全等级保护工作的实施意见》将“信息系统”定义为由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。

在《网络安全等级保护条例(征求意见稿)》中,则把适用范围调整为:除了个人及家庭自建自用的网络外,在中国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例。“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。其中包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。可见,为了配合《网络安全法》的实施,同时适应新技术、新应用的发展,等保2.0的保护对象已从笼统的“信息系统”,变成了更为具体的,依托于“网络”而实现的各类应用场景。

第二,《网络安全等级保护条例(征求意见稿)》对安全保护的等级划分作了进一步调整:

具体而言,《网络安全等级保护条例(征求意见稿)》规定,所有网络运营者应:

  • 确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度;
  • 建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;
  • 落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;
  • 落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施;
  • 落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志;
  • 落实数据分类、重要数据备份和加密等措施;
  • 依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用;
  • 落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;
  • 落实联网备案和用户真实身份查验等责任;
  • 对网络中发生的安全事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。
  • 法律、行政法规规定的其他网络安全保护义务。

三级及以上网络的运营者,还需履行额外的特殊安全保护义务:

  • 确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度;
  • 制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;
  • 对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;
  • 对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;
  • 落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全事件等进行动态监测分析,并与同级公安机关对接;
  • 落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;
  • 建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;
  • 法律和行政法规规定的其他网络安全保护义务。

第三,就法律责任而言,《信息安全等级保护管理办法》仅作了一般性规定,第三级以上信息系统运营、使用单位违反本办法规定,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果。

《网络安全法》第五十九条、六十四条、六十九条等规定,为未来《网络安全等级保护条例》生效后的实施,提供了更具体的处罚法律依据。违反《网络安全等级保护条例》的处罚包括:

  • 由有关主管部门责令改正;
  • 由有关主管部门单处或并处警告;
  • 对单位最高可处一百万元以下罚款;
  • 对直接负责的主管人员最高可处十万元以下罚款;
  • 有违法所得的,没收违法所得、处违法所得一倍以上十倍以下罚款;
  • 情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

第四,在现有的等保1.0国家标准体系基础之上,新的等保2.0国家标准体系已初步形成,包括一个通用要求,以及五个具体领域(分别是云计算、移动互联、物联网、工业控制、大数据)的扩展要求,这些国家标准将会在2019年之后陆续生效:

其中,安全等级保护工作实施的基本流程为:

出处:GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南

2、2019年版《个人信息安全规范(征求意见稿)》

2017年《网络安全法》关于网络信息安全一章,把以前零散在各个法律规定中的个人信息安全保护问题,重新放在了每个合规人的工作重点列表之中。根据《网络安全法》中对于个人信息保护的要求,推荐性国家标准《GB/T 35273-2017信息安全技术个人信息安全规范》(以下简称“《个人信息安全规范》”)于2017年12月29日发布,2018年5月1日生效。

一方面,《个人信息安全规范》中所描述的,基于个人信息生命周期的信息处理流程为《网络安全法》的原则性规定提供了极具实践意义的操作流程规范。另一方面,我们也看到,如果全盘参考、适用现行的《个人信息安全规范》,仍然会在复杂多变的实际情况面前触礁。

在短暂实施半年之后,2019年,对《个人信息安全规范》的更新、修正已产生了一稿草案、两次征求意见稿。与现行的《个人信息安全规范》相比,除了多处的语言修正以外,最新一次征求意见稿中的重要变化如下:

另外, 公安部、北京市网络行业协会于2019年4月10日发布了《互联网个人信息安全保护指南》。公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,组织北京市网络行业协会和公安部第三研究所等单位相关专家,研究起草了该指南,供互联网服务单位在个人信息保护工作中参考借鉴。

值得一提的是,除了个人信息的全生命链处理以外,《个人信息安全规范》第10节以及《互联网个人信息安全保护指南》第4节都用相当的篇幅强调了个人信息保护过程中的人员及组织管理要求。应该说,实现对个人信息客体保护的具体要求只是个人信息保护工作的一个重要方面,而个人信息控制者如何在内部完善与个人信息保护相关的组织与人员管理工作,是另一个更为主观、动态且需要持续投入合规资源的工作重点。

3、《数据安全管理办法(征求意见稿)》

2019年5月28日,国家互联网信息办公室就《数据安全管理办法(征求意见稿)》向社会公开征求意见。该意见稿为《网络安全法》第四章网络信息安全的实施提供了进一步的细节性规定,其中明确,在中国境内利用网络开展数据收集、存储、传输、处理、使用等活动(以下简称数据活动),以及数据安全的保护和监督管理,适用本办法。意见稿中重要的内容包括:

  • 纯粹因家庭和个人事务的原因,在中国境内利用网络开展数据收集、存储、传输、处理、使用等活动,不适用本办法。
  • 网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后,网络运营者应当向个人信息主体提供核心业务功能服务,不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息,而拒绝提供核心业务功能服务。

  • 网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围,对个人信息主体采取歧视行为,包括服务质量、价格差异等。
  • 网络运营者从其他途径获得个人信息,与直接收集个人信息负有同等的保护责任和义务。
  • 网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。向境外提供个人信息按有关规定执行。
  • 境内用户访问境内互联网的,其流量不得被路由到境外。
  • 发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。
  • 网络运营者违反本办法规定的,由有关部门依照相关法律、行政法规的规定,根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。

需要注意的是,《网络安全法》适用于在中国境内建设、运营、维护和使用网络,以及网络安全的监督管理。但是,《数据安全管理办法(征求意见稿)》特别提出了“境内用户访问境内互联网的,其流量不得被路由到境外”这一规定。同时,在公开渠道可以看到的《个人信息保护法》的专家建议中,已频见针对处理个人信息的境外行为的规制内容。我们可以预见到,为了正确实施《网络安全法》的规定,那些经由境外而可能产生规避《网络安全法》效果的行为,都将在各类配套新规中受到进一步的规范。

目前,一些国内领先的互联网综合服务提供商也在自己的业务中回应“境内外同时合规”的这一趋势。比如腾讯公司在腾讯平台的《应用内访问境外IP规范指引》中,就要求平台内的第三方移动互联网应用程序提供者承诺,如因业务必需而使用非中国大陆IP的,该应用所涉及的境外IP必须符合中国的法律规定。

4、《个人信息出境安全评估办法(征求意见稿)》

《网络安全法》第37条规定,关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。根据这个要求,2017年4月11日,国家互联网信息办公室发布《个人信息和重要数据出境安全评估办法(征求意见稿)》,向社会公开征求意见。该意见稿要求,所有的网络运营者都应就拟出境的个人信息和重要数据,进行安全评估。

国家互联网信息办公室于2019年6月13日发布《个人信息出境安全评估办法(征求意见稿)》,向社会公开征求意见。

从《网络安全法》生效之初,我们就持续协助客户处理数据出境的各类问题。“出境”是一个广义的概念。根据尚未定稿生效的推荐性国家标准《GB/TXXXX-XXXX信息安全技术数据出境安全评估指南》中的描述,以下情形都属于出境:

  • 向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;
  • 数据未转移存储至本国以外的地方,但可以被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
  • 网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。

因此,在跨国公司的日常业务中,涉及信息出境的常见情形就包括:

  • 就公司发现的内部不合规行为,进行跨境的公司调查;
  • 就境外监管部门或外国适用法律的要求,应对跨境政府执法行动;
  • 应对国际间的争议解决;
  • 在日常业务中,与外国总部共享必要的信息,共用总部的IT资源;
  • 与境外的业务伙伴开展必要的合作;
  • 应对跨境非诉交易,等。

如果对照2018年5月25日欧盟发布的《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”),不难看出《个人信息出境安全评估办法(征求意见稿)》借鉴了GDPR中对于个人数据跨境传输的标准合同要求,即网络运营者申报个人信息出境安全评估之前,应与接收者签订合同。

该办法要求网络运营者如向境外提供在中国境内运营中收集的个人信息的,应当按照本办法进行安全评估:

根据《个人信息出境安全评估办法(征求意见稿)》中的要求,首先,网络运营者与个人信息接收者之间的个人信息跨境传输协议的通用部分应包含下述内容:

  • 个人信息出境的目的、类型、保存时限。
  • 个人信息主体是合同中涉及个人信息主体权益的条款的受益人。
  • 个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任。
  • 接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估。
  • 合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理。
  • 双方约定的其他内容。

其次,合同应当明确网络运营者承担以下责任和义务:

  • 以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间。
  • 应个人信息主体的请求,提供本合同的副本。
  • 应请求向接收者转达个人信息主体诉求,包括向接收者索赔;个人信息主体不能从接收者获得赔偿时,先行赔付。
  • 接收者不得将接收到的个人信息传输给第三方,除非:(a)网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等通知个人信息主体。(b)因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任。(c)涉及到个人敏感信息时,已征得个人信息主体同意。

再次,合同应当明确接收者承担以下责任和义务:

  • 为个人信息主体提供访问其个人信息的途径,个人信息主体要求更���或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除。
  • 按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限。
  • 确认签署合同及履行合同义务不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。
  • 接收者不得将接收到的个人信息传输给第三方,除非:(a)接收者承诺在个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人信息。(b)涉及到个人敏感信息时,已征得个人信息主体同意。

最后,即使《个人信息出境安全评估办法(征求意见稿)》全面借鉴GDPR中对于个人数据跨境传输的标准合同要求,我们仍建议国内的网络运营者无需盲目效仿GDPR的做法,而更应该客观审视自身业务需求与国内监管要求之间的不一致,并且在《个人信息出境安全评估办法(征求意见稿)》要求之外的合同约定中,例如准据法、争议解决方式的选择、技术审计等方面,与境外接收者之间作更切合实际情况的约定。

5、《儿童个人信息网络保护规定》

2019年8月22日国家互联网信息办公室发布《儿童个人信息网络保护规定》,该规定已于2019年10月1日生效。该规定适用于在中国境内通过网络从事收集、存储、使用、转移、披露不满十四周岁未成年人(以下简称“儿童”)的个人信息的活动。

《民法总则》规定十六周岁以下的未成年人属于限制民事行为能力人的,实施民事法律行为由其法定代理人代理或者经其法定代理人同意、追认;属于无民事行为能力人的,由其法定代理人代理实施民事法律行为。随着互联网的迅猛发展,以及上网人群低龄化特征日趋显著,由于个人信息被滥用而导致的侵害儿童权益的问题层出不穷,如何有效地识别儿童个人信息主体,保护并合法使用儿童的个人信息必然成为合规重点。其中重要的内容包括:

  • 强调儿童个人信息全生命周期的利用原则:网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。
  • 专门保障:网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。
  • 取得儿童监护人的必要同意:网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意
  • 儿童或者其监护人的权利:儿童或者其监护人有权要求网络运营者更正存在错误的儿童个人信息,也有权要求网络运营者,因撤回同意或其他情形,删除其收集、存储、使用、披露的儿童个人信息。
  • 例外情形:通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的,依照其他有关规定执行。

《儿童个人信息网络保护规定》的出台,标志着儿童个人信息,不再仅仅作为个人敏感信息的一种类型,而单独作为一个规制对象,需要相关的个人信息控制者遵循更高的合规要求。

二、2019年《网络安全法》执法重点回顾

1、2019年APP侵害用户权益专项整治工作

2019年1月23日,中共中央网络安全和信息化委员会办公室、工业和信息化部、公安部、国家市场监督管理总局发布《关于开展APP违法违规收集使用个人信息专项治理的公告》。公告中指出,虽然移动互联网应用程序(以下简称“APP”)得到广泛应用,但是APP强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出。中央网信办、工业和信息化部、公安部、市场监管总局决定,自2019年1月至12月,在全国范围组织开展APP违法违规收集使用个人信息专项治理。

2019年3月3日, APP违法违规收集使用个人信息专项治理工作组发布《APP违法违规收集使用个人信息自评估指南》,其中提出9个评估项、32个评估点,主要用于APP运营者对其他收集使用个人信息的情况进行自查自纠。APP运营者应遵守《网络安全法》、《消费者权益保护法》等法律要求,参考个人信息保护国家标准,持续提升个人信息保护水平。

2019年3月18日,国家市场监督管理总局、中共中央网络安全和信息化委员会办公室发布《关于开展APP安全认证工作的公告》。公告强调国家鼓励APP运营者自愿通过APP安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的APP。

2019年10月31日,工业和信息化部发布《关于开展APP侵害用户权益专项整治工作的通知》,主要就“私自收集个人信息”,“超范围收集个人信息”,“私自共享给第三方”,“强制用户使用定向推送功能”,“不给权限不让用”,“频繁申请权限”,“过度索取权限”及“账号注销难”8类问题开展规范整治工作。

2019年11月28日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局发布《APP违法违规收集使用个人信息行为认定方法》。该认定方法主要为监督管理部门认定APP违法违规收集使用个人信息行为提供参考,也为APP运营者自查自纠和网民社会监督提供指引。该认定方法就“未公开收集使用规则”,“未明示收集使用个人信息的目的、方式和范围”,“未经用户同意收集使用个人信息”,“违反必要原则,收集与其提供的服务无关的个人信息”,“未经同意向他人提供个人信息”,“未按法律规定提供删除或更正个人信息功能”,“未公布投诉、举报方式等信息”这七个违法违规行为,提供了认定的依据。

2019年12月19日,工信部发布《关于侵害用户权益行为的APP(第一批)通报》。通报提到,在自查自纠阶段共8000多款APP完成整改。在监督检查阶段,工信部组织第三方检测机构对各大应用商店APP进行检查,对发现存在问题的百余家企业进行督促整改。截至通报日,尚有41款APP存在违规收集、使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等问题,未完成整改。这41款APP中,不乏目前国内用户数量排名前列的常用程序。

目前,相关的国家推荐性标准《信息安全技术移动互联网应用程序(APP)收集个人信息基本规范(草案)》于2019年8月第一次公开向社会征求意见,在得到进一步优化和更新之后,该规范已于2019年10月25日第二次公开向社会征求意见。

2、爬虫整顿风暴

2015年11月1日,《刑法修正案(九)》将《刑法》第二百五十三条之一“侵犯公民个人信息罪”修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”

2017年5月8日,最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,就办理侵犯公民个人信息犯罪刑事案件的适用法律问题,作出进一步的司法解释。

2019年下半年开始,据报道,多个杭州大数据公司被当地警方调查。其直接原因是警方接到各地大量投诉,称某些债务催收公司冒充国家机关,采取恐吓、滋扰等软暴力手段催收债务的行为,涉嫌寻衅滋事等犯罪。而大数据公司被当地警方调查的原因,则是这些公司涉嫌利用爬虫技术,违法违规地为催收公司提供被催收对象的个人信息。

2019年11月14日,公安部召开新闻发布会,通报从今年1月开始,公安部部署组织全国公安机关开展“净网2019”专项行动,依法严厉打击侵犯公民个人信息、黑客攻击破坏等网络违法犯罪活动。其中一个重点打击对象就是成为网络“套路贷”犯罪工具和帮凶的少数科技信息公司、数据服务公司、第三方支付公司。公安机关表示,将对“套路贷”违法犯罪活动继续保持高压严打态势,对网络“套路贷”犯罪涉及的技术服务商、数据支撑服务商、支付服务商、推广服务商等进行生态式、全链条打击。特别是对涉及的明知是“套路贷”仍为“套路贷”研发系统平台和APP的科技公司、为“套路贷”进行网上推广的网站和平台、非法获取公民个人信息提供数据支撑的数据公司、为“套路贷”开通资金结算渠道和提供支付服务的第三方支付公司,公安机关将依法查处、严厉打击,绝不姑息。

值得说明的是,爬虫技术本身,并不违法,它只是一种按照一定的规则,自动地抓取万维网信息的程序,这是包括谷歌、百度等各大互联网公司都在广泛使用的重要技术。但是,回到《网络安全法》第四章、《刑法》及其司法解释的规定本身,我们建议,相关经营者在使用科学技术满足商业需求的同时,需严格审视数据合规的界限。数据处理的任何一个环节发生违法违规的情况,不仅仅会带来民事、行政的法律风险,经营者本身及其管理、业务人员都极有可能因为表面看似无害的日常业务,触碰到刑法的红线。

三、结语

在《网络安全法》生效后不久,2017年10月1日,《民法总则》正式生效。其中仅有一条关于公民个人信息的规定是,“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”在2019年8月27日发布的《民法典人格权编(草案三次审议稿)》,则通过第六章“隐私权和个人信息保护”的规定,进一步强化了对隐私权和个人信息保护。最近我们在公开渠道,也已经看到了《个人信息保护法》全文的雏形。个人信息保护的立法进程与实施进展可以说是《网络安全法》下数据合规中发展最快的。

另一方面,就那些与广大网络运营者的日常业务息息相关的其他数据合规问题,比如“关键基础设施及其运营者的范围”,“重要数据的定义”,“如何开展数据出境安全评估”,“为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助的情形”等内容,我们也在持续观察《网络安全法》下其他配套新规的发布进展。