ENG 中文 日本語

数据合规2020发展趋势与应对

作者:数据合规团队

观点

2017年,我国颁布《网络安全法》,随后又围绕《网络安全法》陆续发布了一系列配套法规、规章和国家标准。经过两年多的发展,在2020年,我们将面临怎样的网络安全和数据合规监管环境?关键信息基础设施(“CII”)的识别和保护是否会进入一个新的阶段?数据跨境传输会遇到哪些问题?企业合规又将遭遇何种挑战?针对企业关注的一系列问题,天达共和数据合规团队对国内数据合规领域在2020年的发展趋势进行展望,以期为企业的合规工作提供参考。


* 本文部分内容由“法律品牌观察”在《展望2020 | 网络安全与数据合规领域的“变”与“不变”》一文中发表。


Q1:2020年,网路安全与信息安全领域将呈现怎样的整体发展趋势

我们认为,总体而言2020年中国的网络安全与信息安全工作将进一步深入发展。具体而言包括:一、立法层面:《个人信息保护法》、《数据安全法》等基础性法律,以及涉及CII和重要数据的识别与认定、数据安全管理、个人信息和重要数据出境安全评估、跨境监管和网络安全等级保护、密码技术监管和应用等支撑性配套规范性文件和标准有望在2020年正式出台或发布征求意见稿;二、执法层面:以网络安全和个人信息保护为重点内容的执法活动仍将活跃,执法活动在实践经验的积累下有可能向更多领域展开,同时呈现专项治理与日常常态化监管并重的态势;三、行业监管层面:金融、医疗健康、教育、电子商务、寄递、人工智能等重点数据相关行业或领域将进一步加强行业内网络安全和信息安全的规范和监管工作;四、企业合规层面:数据合规边界日益清晰,数据合规将成为企业防范风险和创造价值的必然选择。


Q2:随着等保2.0体系的完备与成熟,以及CII保护工作的试点完成,《关键信息基础设施安全保护条例》是否可能正式出台,将对行业发展造成怎样的影响?

据我们了解,由中央网信办和公安部共同制定的《关键信息基础设施安全保护条例》(“CII条例”)本来在2019年已经计划上报国务院。2019年,《信息安全技术 云计算服务运行监管框架》等一系列涉及网络产品和服务管理制度的规范性文件和标准以及等保2.0标准的公布实施,为CII规则体系的建立完善提供了制度支持和保障。《信息安全技术 关键信息基础设施安全检查评估指南》(报批稿)国家标准项目试点和《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)试点工作的完成,为后续的标准推广和CII安全保护奠定了基础。目前CII识别工作在相关重点行业也在逐步开展,我们认为实施CII条例的条件日渐成熟,CII条例有望在今年正式出台。CII条例涉及经营者安全保护责任(包括个人信息和重要数据的存储和跨境传输管理)、产品和服务安全管理、监测预警、应急处置、检测评估等多方面内容,将为公共通信、广播电视、能源、金融、交通、水利、卫生、社会保障等相关领域明确合规边界和要求,推动行业网络安全和信息安全的保护工作。


Q3:在当前法律环境下,数据跨境传输领域的法律服务空间在哪里?历经2017年与2019年两次规制路径优化,2020年,数据跨境传输正式出台监管规范的条件是否满足?

数据跨境传输在网络安全和数据合规领域是世界各国都非常关注的问题,欧盟、美国以及其他一些国家和地区也都已经或正在制定相关规定。在这一全球背景下,如何处理不同国家和地区在合规监管方面的冲突并满足不同法域的合规要求是企业,特别是跨国企业,最为关注的问题之一,也是法律服务的主要焦点之一。

我们认为,经过过去两年多的设计,我国数据跨境传输制度的基本模式已经确定,但目前的数据跨境监管规范仍存在一些需要解决的问题,比如上位法缺失、制度落实还需要设置更具有可操作性的措施等。在我国实施“一带一路”国家战略和进一步加大改革开放力度、不断优化营商环境的过程中,中国企业走出去、外商投资引进来都会涉及数据跨境传输问题。如何平衡数据流动和数据安全是各国都在探讨的问题,我国数据跨境传输制度的出台也宜慎重。为此,除CII运营者的数据跨境传输制度规则外,对一般网络运营者数据跨境传输的监管规范可能还需要时间完善。


Q4:2019年,网络安全的执法重点集中在APP侵害用户权益、爬虫软件侵权等方面,这一趋势在2020年是否会延续,又有哪些领域会受到执法的“重点关照”,哪些领域的监管会更加严格?

2019年见证了APP专项治理工作组强有力的个人信息保护执法行动,同年11月《App违法违规收集使用个人信息行为认定方法》应运而生,体现了2019年App专项治理工作的成果,为后续常态化监管奠定执法基准。2019年的爬虫软件侵权相关执法活动,部分属于因金融领域非法催收问题触发了隐藏的数据合规问题,金融行业目前也在强化消费者权益保护和数据合规,作为企业业务产生或通过合作享有数据之外获取数据的重要途径,爬虫技术获取数据后续仍可能成为执法关注重点。随着《网络安全法》相关配套法律规范不断制定和完善,我们预计比较重要的信息系统的安全和实施等级保护制度的情况,也很可能成为执法关注重点。CII领域数据存储和数据的跨境传输,一旦相关新规出台,这些领域将面临相应监管执法。


从行业角度看,教育、金融、医疗健康、电子商务、寄递、人工智能等行业将可能迎来较强监管。前述多个行业领域近期均有新规出台,均涉及行业领域内所涉个人信息的保护规定,确立、强化了各行业领域行政监管机构的执法依据。


Q5:针对企业2020年的网络安全与数据合规工作,法律工作者的建议是什么,关注的焦点应集中在哪些方面?

随着《网络安全法》相关配套法律法规(包括各行业领域数据合规立法)的逐步完善,《网络安全法》确立的等级保护制度、信息安全和个人信息保护原则将得以细化实施。我们预期,执法关注点除了互联网应用程序对个人信息的收集利用等外,重点还将包括等级保护(包括定级备案要求)、数据存储地和跨境转移等。我们建议企业密切关注网络安全和数据合规领域的立法和执法动态,尤其要注意所属行业领域是否新增细化合规要求;未能完成等级保护定级备案的,抓紧完成定级备案,建立及/或及时调整、完善内部数据和外部数据收集利用的合规管理制度和个人信息保护制度;运营线上业务的企业应关注最新发布的新规并适时调整隐私政策内容及其设置;出海企业和在华外资企业关注业务所涉多个法域的数据存储地和跨境传输数据要求相关立法动态,以便及时作出部署。


作者

作者动态

作者其他文章

相关领域

法律声明 员工通道
Copyright © 1998-2018 天达共和律师事务所 京ICP备11012394号
联系我们 关注公众号
联系我们