2020年数据保护与网络安全趋势

作者: 杨洪泉,安杰律师事务所
0
600

2017年6月1日生效的《网络安全法》标志着中国已初步建立网络安全及个人信息保护法律框架。此后,中国又颁布了一系列法规(或征求意见稿)对《网络安全法》的各项内容进行细化;相关主管部门也发起了APP专项治理行动以及其他执法行动。

2020年,个人信息保护及网络安全领域的立法和执法有何特点及趋势?

问:2020年在个人信息保护及网络安全领域,可能出现哪些重要的新立法?答:首先,《数据安全法》和《个人信息保护法》已列入十三届全国人大常委会立法规划,希望可于2020年公布草案,向社会征求意见。这两部法律将与《网络安全法》并列,成为全面规范中国数据安全保护及个人信息保护的基础性法律,有非常重要的意义。其次,对于2020年前根据《网络安全法》起草并已向社会公布征求意见稿的若干法规,立法机关有可能在2020年发布其最终生效版本,其中可能包括:

  • 《数据安全管理办法》对利用网络开展收集、存储、传输和处理等数据活动及数据安全保护予以规范;
  • 《个人信息出境安全评估办法》对个人信息跨境传输及安全评估进行规范;
  • 《关键信息基础设施安全保护条例》对“关键信息基础设施”的定义、范围、安全保护措施予以规范;
  • 《网络安全等级保护条例》对等级保护的适用范围、网络等级划分、定级评审等予以规范;
  • 各行业主管部门也可能根据《网络安全法》制定和发布适用于本行业的网络安全、数据安全保护及个人信息保护方面的法规或征求意见稿。

再次,《信息安全技术 个人信息安全规范》正在修订过程中,2020年将有可能迎来其正式修订版本。在《个人信息保护法》未正式出台前,该国家标准仍将作为指导企业个人信息保护合规工作的重要参考文件。2020年也有可能迎来有关网络安全、数据安全保护及个人信息保护方面的其他国家标准或其征求意见稿。

问:2020年在个人信息保护及网络安全执法领域,有哪些值得注意的动向和趋势?

cybersecurity
杨洪泉
安杰律师事务所
合伙人

答:相关部门在2019年的执法重点之一是对APP违法违规收集使用个人信息的专项治理行动。我们认为,2020年,相关主管部门仍有可能延续在此领域的执法行动,对该行为的治理将有可能纳入常态化监管。

此外,APP专项治理行动也深刻影响了最初发起APP专项治理行动的四部委以外的其他部门,并促使其在个人信息保护和网络安全方面加大监督及执法力度。例如,证监会对相关上市企业和拟上市企业的考察项中已包含例如“APP专项治理工作组通知指出问题的整改情况及整改效果”“是否获得主管部门的认可,是否面临被处罚的风险”等问题。2020年,各行业主管部门有可能进一步深化其行业内网络安全及个人信息保护方面的监督和执法。

在“净网2019”专项行动下,公安部严厉打击侵犯公民个人信息等网络违法犯罪活动,其中,利用爬虫技术为“套路贷”提供大数据风控服务的若干科技公司亦深涉其中。我们认为,2020年公安机关仍将对侵犯公民个人信息的各种犯罪行为,包括一些新形态的犯罪行为予以重点打击。

问:2020年,对于企业的个人信息保护和网络安全合规工作,您有何建议?

答:中国网络安全和个人信息保护法律框架虽已初步建立,但仍有部分法律法规及国家标准未落地。在此情况下,企业需平衡合规工作中的“变”与“不变”,即对于已有生效法律、法规和国家标准支持的法律要求(例如建立数据处理记录、制定个人信息管理制度、完善隐私政策、APP治理等工作),企业应尽快开展合规工作;对于仍处于制定过程中的法律、法规和国家标准所体现的合规要求,企业则需具体问题具体分析:一些新要求充分反映了国际立法趋势和行业呼声,在未来将大概率成为生效的合规要求,企业可以开始相关的合规准备工作;而一些新要求争议较大,企业为满足该要求将花费较高成本(例如实现数据的完全本地化),且未来是否能成为最终生效的合规要求有较大的不确定性,对于此类要求,企业不宜采取过于激进的合规措施试图做到“一步到位”。

此外,我建议企业将数据合规工作视为一个有机的整体,采取适当的项目管理措施和工作流程,有计划、有步骤地开展合规工作,避免低效无序的做法。

作者:安杰律师事务所合伙人杨洪泉

Share-based payment

安杰律师事务所
北京市朝阳区东方东路号院号楼
亮马桥外交办公大楼D座层 邮编: 100600
电话: +86 10 8567 5988
传真: +86 10 8567 5999
电子信箱:
yanghongquan@anjielaw.com
www.anjielaw.com