我国网络安全与数据保护立法趋严

大数据时代，数据资源的共享呈现出不可抵挡之势。数据正在成为企业内部最为重要的资产。与此同时，相应的网络安全、数据保护问题也日益凸显，个人信息的保护亦得到广泛关注。日前，在由律商联讯举办的“网络安全及数据保护”专题研讨会上，安杰律师事务所合伙人杨洪泉就《网络安全法》领域的执法情况以及未来发展趋势进行分享。

近年来，国内外各种数据安全事件频繁出现，国家也从立法层面逐步完善对数据及个人信息等的保护。2017年以前，我国的数据保护和网络安全立法呈现碎片化和宽松化状态；2017年6月1日，《网络安全法》的生效以及相关配套法律的落地，搭建起我国网络安全的基本保障框架。

“目前，《网络安全法》框架下主要解决的问题是：网络运营者的网络安全义务，包括网络安全等级保护；关键信息基础设施运营者的特殊保护义务；个人信息的收集、使用和传输；数据本地化及跨境数据传输安全审查的要求；网络产品和服务安全提供者的审查等。”杨洪泉称，其中，网络运营者作为信息终端，往往掌握着大量的用户信息及各类数据，因此，在互联网信息安全这一问题上，网络运营者的态度及做法至关重要。此外，关键信息基础设施涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等领域，上述领域的运营者将承担相应的网络安全保护法定义务。

单从网络安全保护项下的个人信息保护来看，2018年1月，江苏省消保委对百度涉嫌获取消费者个人信息及相关问题提起公益诉讼；同月，国家网信办网络安全协调局对支付宝年度账单事件，约谈支付宝、芝麻信用相关负责人，要求加强专项整顿；此外，工信部信息通信管理局针对相关手机应用软件存在侵犯用户个人隐私的问题，对百度、支付宝、今日头条进行约谈，要求三家企业本着充分保障用户知情权和选择权的原则立即进行整改；2018年11月，中消协发布《100款App个人信息收集与隐私政策测评报告》；2019年1月，中央网信办、工业和信息化部、公安部、市场监管总局发布《关于开展App违法违规收集使用个人信息专项治理公告》；3月，“App个人信息举报”微信公众号设立。

杨洪泉称，“自2017年以来，执法行动和案件主要针对个人信息保护、未采取必要的网络安全措施、未落实网络安全等级保护措施、关键信息基础设施的识别、数据本地化等领域。就上述事件来看，未来网络安全执法会越来越严。”

此外，杨洪泉指出，2019年可能会颁发的新规包括：已发布征求意见稿的《关键信息基础设施安全保护条例》《个人信息和重要数据出境安全评估办法》《网络安全等级保护条例》，以及发布草案的《出境数据安全评估指南》。“但上述新规的最终版本可能受到诸多因素的影响，与草案或征求意见稿有所不同。”

对于未来的执法趋势，杨洪泉认为，执法机构会持续加强对个人信息的保护，不仅关注隐私政策，还注重个人信息的收集和处理；网络安全等级保护制度2.0版本（针对的对象从政府机关等扩展到所有社会主体，个人、家庭使用除外）呼之欲出，未来，所有中国公司都将被要求实行网络安全等级保护制度，可能会产生对跨国公司进行处罚的案例。此外，可能会出现更多违反数据本地化、数据出境规则的案件以及加强跨境数据传输安全的专项宣传或执法活动。

为应对新的法律要求，杨洪泉建议，首先企业需要对数据资产进行全面的法律审计，了解数据如何收集、使用和传输；其次，进行差异化分析，找出现行做法和新的法律规定之间的差距；再次，通过制定新政策或修改已有政策、法律文本，改进数据合规系统；最后，企业需要全面合规，实行健全的数据合规体系。

来源：中国贸促会网站