王新銳 北京市安理律師事務所合伙人
目前很多在產業界來說,大家可能沒有完全理解清楚這個事情,其實在國外來說,光是GTPR的合規催生了一大批公司,給很多公司帶來了業務。但是在國內不管是《網絡安全法》,還是《等保2.0》,還是《數據安全管理辦法》,其實大家我覺得有的時候產業界的理解角度,包括它中間產生的合規義務帶來的需求,大家沒有完全去理解到。因為我們長期服務我們的很多客戶,都是中國的比較頭部的這些科技公司,包括一些跨國公司,那么當有些時候,我們從法律的角度來講,去提出一些合規性的要求的時候,這些合規性的要求一定不是落在紙面的制度,一定要轉化成技術解決方案。我覺得數據安全這一塊,天然就有這樣一個特點,它的合規義務是從法律出來的,是從《網絡安全法》里面,是從未來的《數據安全法》里,未來的《個人信息保護法》里,目前《數據安全管理辦法》,從這些規則出來的。
但這個規則出來之后,它一定要落地,它怎么樣落地?它怎么把法律義務轉化成合規的方案?這一點其實產業界很多時候是可以去思考和交流的。在GDPR之后,有很多國外的公司完全貼合了GDPR的要求,做了很多技術方案。所以我們也經常跟國外有些交流,可以看到國外有些公司專門采取了是一種比較,從合規經營角度出發的技術方案,不完全是說從技術方案,這個可能有點差別。我覺得目前大家可以看到法規不斷的在發,我作為這一行的律師就非常痛苦,為什么痛苦呢?五月底開始,幾乎每一兩天兩三天,就會在夜里凌晨網信辦或者監管機構發一個文,發一個征求意見稿,之前發了《網絡安全審查辦法(征求意見稿)》,后面還發了《兒童個人信息管理辦法》,這些《辦法》你仔細去看它不僅僅是義務,它要轉化為解決方案。
所以我今天不光是給大家講一個法律義務的問題,我想講一個法律義務最后怎么落到技術上的問題。
我們看到,數據安全其實從產業層面來說,傳統的理解肯定就是“三性”的問題,可用性、穩定性、完整性這些問題。這個當然是對的。但是如果我們按《數據安全管理辦法(征求意見稿)》,它的數據安全是大數據安全的概念,它的數據安全的概念跟我們從技術上說的安全,這個概念是有一定區別的。也就是說,它除了數據自身是否安全以外,它還要去討論數據行為是否合法?大家看到除了是一個安全本身以外的問題,它是有法律問題的。而數據行為是否合法?這個定型它完全是一個法律問題嗎?我們從給企業提供合規的角度來說,后面我會講義務的時候發現,很多時候這個合法性判斷最后是要轉化為我采取什么樣的技術手段?相當于我將來我的一個跟數據有關的行為,我要去向監管,我要去向我的合作伙伴,我要向各方去證明我采取了相應的跟我的這個行為相匹配的風險控制的手段。
所以我覺得希望大家去做一個思考,也就是說,你的技術方案在法律合規的角度來講,提供了什么樣合規的價值?我覺得有的時候我跟很多做網絡安全的朋友在聊到,大家都聊我的產品提供了什么樣的功能,提供了什么樣的優點,跟同行怎么樣?我從律師角度去看,從法律合規角度你提供了什么價值?因為從這些新規出臺以后,企業在做預算的時候,在做采購的時候,一定會問這個問題,你這個能解決我們什么樣的合規?我一定要先解決合規要求,法律要求比較高的數據處理。
今年《網絡安全法》出來以后,我們做了案件整理,全國有各種各樣的處罰案例,從約談到企業關門,有的處罰也很重。后面會有一些規則出來以后,其實是要求企業去做映射分析的,也就是說他的數據從前面收集,到使用,到共享,到后面刪除,整個過程它是要記錄的,而且要摸底,這個事情大家可以想象,它結果不是內部的法務的同事,或者是由技術的同事完成的,這個問題特別值得大家去思考。
所以我們回到數據安全這個定義,這個定義我今天所有ppt里面的內容,幾乎沒有個人觀點,我覺得律師不要去講個人觀點,我覺得沒有用,今天我講的內容都是來自于監管領導的一些講話,公開的和內部的講話,這個里面它提到數據安全分為兩重定義:
1、數據自身是否安全?
2、數據行為是否合法?
那么我們可以看到數據行為是否合法,是說整個數據的收集、存儲、使用、處置的過程中的規范行為。現在從監管層領導的角度來講,為什么會有《數據安全管理辦法》?我覺得我們今天不去給大家講那些條文應該怎么理解?因為目前還在征求意見的階段,目前這個版本來自網信辦網絡安全協調組,整個在法規一些表述的修改上,可能還會有些細微的調整,但是整個的信號,我覺得大家要捕捉這個信號是非常明確的。
這也是來自領導的講話,他提到數據安全的事情在監管者看來有兩大原因:
一是技術方面的原因,如系統漏洞、黑客攻擊、網絡入侵;
二是有的人為了謀取經濟利益,利用非法渠道獲取信息進行交易。
所以這就意味著我們在這個環節,一方面是從防護的角度,更多的傳統手段是從防護的角度,那么除了防護的角度以外,怎么樣能夠把企業對于數據全生命周期的義務要求能夠把它內嵌到其中,變成一個管理的制度,我覺得這是大家值得去交流的問題。
那么整個《數據安全法》保護的所謂法利,法律是要服務利益的,我們看到法律出臺,目前來說中國所有的數字經濟領域的法律,大家都可以發現它是比較,我的說法,我的概括,當然也是得到了業界大家的共識,就是說它是一個風險導向的,它不是價值導向的。什么是價值導向?是說我僅僅從一個法律的觀念出發,比如個人對個人信息要有控制權,所以我要賦權給個人,所以它產生了刪除權什么權啊,這是歐洲這樣的思維,因為歐洲它的立法是來自于它二戰的歷史創傷,猶太人被屠殺,所以它把個人信息上升到一個個人隱私,上升到一個最高價值,某種程度上,歐洲的立法很大程度上是一個價值導向。
那么中國的立法和美國的立法,這個思路上可能更接近一些,它更多的是風險導向。也就是說我們去看現實中有哪些風險?我們做數據安全的都會提到有哪些現實安全?這些現實的安全問題怎么去解決?這個是整個立法大的背景。那么它其中有哪些法律上的意義呢?我們會有三個層面,所以整個數據安全管理辦法跟個人信息的區別在什么地方?個人信息的保護相對微觀,從你個人的角度。而數據安全的角度相對是宏觀的,它有三個層面:
1、國家安全層面,它把數據視為一個整體去看,去保護的。
2、企業權益;
3、個人權利。
從國家層面來說,其實它在國家層面提了很多的要求,個人層面來說,之后會有單獨的個人信息保護的立法,中間企業層面它的需求,它怎么樣做到安全又要合規?其實強制性規定是比較少的。但是后續在保護國家和個人的過程中,會涉及到企業。
我們幫企業做合規的過程中有一個總結吧,叫做“不可能三角”。就是有的時候國家、企業、個人是完全利益一致的,但是說實話,并不總是這樣。所以有的時候會發現,不可能是國家、企業、個人三者的利益完全統一,相信大家也會發現這個問題,不是總是統一,所以就意味著三者不能同時兼顧,有的時候可能國家和個人的利益兼顧,企業的利益某種程度上會受到損失,國家和企業的利益受到了保護,個人利益就可能受到損失。所以在每個階段,可能一個階段是說我要讓數字經濟,讓產業發展更快一些,可能相對來說國家和企業利益的保護比較充分,個人的權利可能受損。現在這個階段,個人的權利的保護加強了,可能企業就會面臨著它的業務受到比較大的沖擊,比較大的也想,會有這種價值的沖突。
這一點上,如果你的技術方案能夠兼容幾者的價值,其實這個會非常有價值。而且我們自己看到在國外一些做合規公司,美國的也好,歐洲的也好,快速的崛起,就是因為它們把GDPR中的價值沖突用技術方式解決了,我覺得這個是一個很大的機會。
整個數字立法的思路,這是我們整個從法規中,包括從前面參與的,我們在配合監管部門做很多立法支撐的時候,其實也有一些討論。
第一個,以數據生命周期為軸;首先來說數據安全,這次的《數據安全管理辦法》應該說是我們國家從行政法規層面,從部門規章角度第一次它是按照數據的全生命周期來的。我們之前的法律不管是《網絡安全法》還是其他的涉及到數據的法律,它其實沒有按照生命周期來,這個我覺得是立法思路上的重大調整。大家可以看《數據安全管理辦法》它的第二章是數據的收集,它的第三章是數據的處理和使用。這個傳統上,我們立法上傳統是這樣一個立法思路。所以現在來說整個《數據安全管理辦法》它的框架跟我們企業的操作,跟生命周期是比較一致的。
但另外一方面,意味著一旦它的規則跟你企業平時設定好生命周期處理的機制和你的要求是不一致的時候,你就必須要調整,因為法律完全是按這個來了,你很難像以前一樣,比如我不按照這個去調整,現在法律上是規定的比較清楚了。
第二個是數據采集最小化原則;這個在整個法規中都有提及。什么叫數據最小化原則?簡單說就是最小公約,就是我數據收集了以后,我經歷了什么?我只要能滿足我企業的需求,就不要多收集數據,這個不光限制個人信息,也包括其他的信息。這個原則大體上是對的,因為以目前的保護水平來說,如果過渡收集了數據,你又沒有辦法采取合規手段的保護,現在都說數據資產管理,說數據是石油,很多人在沒有想好怎么想好怎么用的情況下,沒有想好怎么保護的情況下,就過渡的收集數據。
所以在這個情況下,我們現在看到在很多立法中都有看到最小夠用原則,這本身也是國際上APEC也好,美國也好,歐洲也好,在中間體現了一個重要的隱私保護原則,數據是最小化原則。
但是,在這里說但是,數據最小化原則跟很多行業的實踐都是矛盾的,比如說金融,比如說汽車,這些領域,我們現在也在做一個自動駕駛業務,也在做金融企業的合規,一個車出去一天是十多個T的數據,這個怎么做最小化?而且很多領域是需要冗余的,去防止出現錯誤。這個跟數據最小化這個大的原則,其實有的時候會有沖突。
所以我們這次看《數據安全管理辦法》,不管它后續怎么調整,我們大信號是非常清晰的,包括后面一些規則,就是你在收集數據環節是要收緊的。因為這個原則在學術界、在實業界都有爭論,之前大家一直在討論是把收集環節扎得更緊,還是收集環節稍微放松一點,在使用環節去放松,使用環節去管制。但是目前來看,整個現在這個立法來說是在收集方面就扎緊了,這個原則就會使得我們在業務中,有大量數據收集的公司達不到最小化原則的公司,就意味著它收上來的數據怎么保證它的安全?這個是有非常多的技術上需要做的事情。
第三個是加重平臺責任;實際上現在的要求是,一個大的平臺企業,你對于你上面接入的第三方服務,對于你下游,包括跟你的上游,很多數據,我們現在很多人講數據中臺,講數據打通,我跟一些企業去聊,我發現很多時候企業大老板講的東西,跟法律合規上的趨勢是有矛盾的。大老板是講說我們把所有數據打通,我們調用的時候作為一種服務,我們把數據和產品輸出,這樣的話,給客戶帶來更好的效率,更精準減少浪費。但是在我們現在的整個立法過程中,它對于數據的融合,對于數據的打通,對于各種數據脫離它原有的目的這種使用方式,其實有很多時候是有很多限制的。
所以這個里面光是一個權限管理的問題,也就是說數據怎么來的怎么出去的?整個生命周期過程中它上面有哪些限制,已經是有一個很大的需求因為之后的話,相當于你要對上游的數據源它的合規進行負責,你要對下游給出去的數據,它使用的方式負責。那這個過程中,其實理想的情況下,它是要有可追溯性的,包括像歐盟的話,GDPR強調這個,其實我們可以把它理解為可追溯。也就是說,整個過程中,如果你不做這個事情,因為現在法律規定,假如出現風險的話,假如出現問題的話,你要跟它一起承擔責任的,跟你的上游也好下游也好。除非你能證明無過錯,我們知道在法律層面,在司法實踐層面,證明無過錯是很困難的,作為一個大平臺怎么證明我沒有錯?其實是很困難的。這個時候要證明你沒有錯,在很多合規的方面要盡量去做,我在技術上,各方面產品上,在條文上,在相應的文本上做了很多的投入,這個時候你看我所有能做的都做了,但是依然出現了問題,這個時候不會承擔責任的。
第四個以備案作為抓手。整個我們可以看到這次《數據安全管理辦法》以及后續的,像昨天晚上又是凌晨發了一個信息,數據出境的規則,也一樣,它強調的是備案,以備案作為抓手。所以有時候大家去了解,以前我們是行業監管,垂直監管,我是一行兩會我監管的是金融行業,我是交通部我監管汽車,我是衛計委我監管醫療。那么這種垂直的監管,現在面臨一個問題,以前我是根據牌照,針對具體的行政審批去監管,但是現在大家看很多的跨行業發展,很多的融合,原來這個數據原來是一個汽車行業的數據,我同樣可以用到金融領域或者其他領域,所以數據打通的過程中,對這種垂直性的監管不利,因為它不知道這個企業在哪?以前我看牌照就行了,現在這么多互聯網金融企業,或者很多科技這一類的,跟大公司去提供服務的科技數據代包的企業,都是有這個問題。
現在這個規則的要求是說,對于使用這種能涉及到個人敏感信息的,涉及到重要數據的企業要去做備案,這個過程怎么樣去備案?大家看到備案一個抓手,那么備案的過程中,其實對企業來說沒有那么緊張,因為實際上我們自己在幫很多企業做合規項目的時候,一個項目可能訪談十幾個企業的高管,沒有一個高管知道公司數據從頭到尾怎么用?很多高管是我負責數據,把數據抓進來融入到大的池子里,有的人是從里面抽水,我把大池子中的數據輸出提供服務,CEO可能是把一個產品向客戶去推出,我們多次發現一個問題,可能一個公司中沒有人真的知道數據全生命周期怎么流動怎么使用?又有什么限制?
那么這個問題在我們要集中備案的時候,就特別困難,因為我們要進行備案的時候,就需要向監管機構提供這些東西。所以大家可以看到,這個里面的制度要求,每一個制度性的要求,都是商業機會,我覺得都是對產業的機會。這其實就是一個條文,而且這個條文跟《網絡安全法》是高度一致的。所以大家可以看到安全管理的評價考核制度,然后安全計劃啊,安全技術防護啊,風險評估啊,應急預案啊,這里面有些東西是相對原本的東西,所以作為我來說,我覺得企業應該把自己的產品和這些東西對照一下。當我跟客戶溝通的時候,告訴客戶,我在這個方面能給你提供什么價值?
然后我們看一下重要數據,重要數據現在仍然是一個偏模糊的概念,但這次整個規則中,因為傳統上來說,之前我們提到重要數據,拿《網絡安全法》來說,更多強調的是CI這個關鍵基礎設施,但絕大多數公司不是關系國計民生的,你是核電站啊,你是水庫啊,一般不用CI。但是現在來說它擴大了,它講重要數據,重要數據是大面積的數據,一旦泄露對國家對社會產生重大影響,大面積的人口、地理這種數據做一些列舉,企業內部的數據不是重要數據。有重要數據這個概念在這兒,意味著我們現在整個數據核心第一是管個人信息;第二重要數據。這也是上午秘書長提到的,可能重要數據這個層面主要是國家層面,個人信息主要是個人層面,所以這個里面個人數據處理的要求是說當網絡運營者發布的時候要進行安全評估,安全評估要對風險進行一個分析,對是不是重要數據提供數據的失控啊進行分析。
所以我覺得我們之后會面臨到,很多企業對外提供也好,向境外提供也好,而且以后數據出境會非常難,數據出境非常難會帶來一個很大的機會,就是國外的公司必須在中國做本地化數據各種各樣的方案這種合規,而且這種合規跟它之前大公司進行管理包括歐盟的規則要做一個融合,所以相當于給它做一套技術方案,能夠解決它在中國合規性要求,同時跟它在原來的控股集團里面這些制度保持一致。
責任承擔,其實剛才提到了,如果是對接,要求平臺作為第三方數據安全管理承擔監督責任,這種監督一定不是說依靠法務部來去監督的,它是沒有抓手,一定要看一些技術方案,很多時候我們通過API,通過SDK,通過其他的方式把數據進行輸出,那個數據輸出之后是不是有留痕?是不是能控制?他不正常使用的時候,我們有沒有辦法?我們是做了一個數據的兩色,還是做了特別的處理?我覺得一旦能做到,其實是有很大的市場需求,現在很明顯這個需求還是很明顯的,很多企業都說,你們根據法規提出的要求,找不到合適的供應商來去做,可能他們沒有理解到這個要求。
備案制度,剛才其實提到重要數據和個人敏感信息進行備案,那么這種備案制度其實對整個數據的控制,對整個數據的記錄是有很大的要求。
同意原則,很多時候對于比如說未成年人他的家長,他的監護人同時必須要同意,這是最新的規則。這個規則在美國也創造了很大的商業機會,因為這個過程中其實是要驗證是不是他的家長,是不是他的監護人,監護人不是同意?這個過程中一定要用技術方案盡量把它成本降下來。所以跟同意有關的是整個現在數據安全、數據合規中最基本的基礎,這個基礎上,其實有很多時候不能單純靠傳統說掛一個網站,掛一個隱私政策就解決了,其實很多時候要有方案的。
歧視行為,其實主要是說現在不能把個人信息用于區分對待。
爬蟲這個問題,其實今天可能沒有辦法去展開講,但爬蟲其實是現在一個大的痛點,一方面國家要管控爬蟲,另一方面爬蟲說實話是整個互聯網,整個科技行業存在的基石。我們作為企業作為防護端來講,去爬的過程中怎么讓它合規?這個之后整個我們在生命周期管理的時候,要把有些預警機制做進去。
信息刪除,原來很多企業很多數據都不刪,但是后面數據怎么刪除,怎么隔離出去,也是一個很大的問題。
最后一句話,整個數據安全看起來,這幾個字看起來是技術問題,但我覺得在整個法規生效以后,首先是法律問題,法律定義了企業必須做什么事情,法律定義了企業底線這個東西。所以這點上,我希望明年大家在開會的時候,很多企業在生效之后,我們針對新的法規提出一些行業解決方案,相信這個會對整個的市場來說是更多的一些選擇,也讓監管的壓力減少。因為實際上如果有些技術的方案能夠解決,你監管沒有必要去出強力的、壓力比較大的政策,這對我們整個中國的數據經濟是一個很好的推動作用。