全国网站建设大赛,网店网站设计,柳州十一冶建设集团网站,设计标志公司新型冠状病毒肺炎疫情仍在持续#xff0c;封城、封路、封村等管制措施已成为常态。为配合防控工作#xff0c;政府倡导各企业尽量在线上开展业务#xff0c;各行各业都面临着一个突如其来的微数字化转型。
线上办公/运营并不是把线下的活动转移到线上那么简单#xff0c;事…新型冠状病毒肺炎疫情仍在持续封城、封路、封村等管制措施已成为常态。为配合防控工作政府倡导各企业尽量在线上开展业务各行各业都面临着一个突如其来的微数字化转型。
线上办公/运营并不是把线下的活动转移到线上那么简单事实上如果不能充分理解网络安全和数据合规的法律体系线上作业过程中极易触碰法律责任的红线。因此笔者特别就业务上线运营的常见问题给出五点法律建议。
建议一 从数据着手识别企业风险
数据是新时代的石油做好数据资产的开发、保护和变现能给企业带来极大的经济利益。例如淘宝就利用网站收集的大量交易数据推出了“生意参谋”产品hiQ利用Linkedin公开数据推出了预测员工何时离职的产品等等。
但是数据资产如果取得、利用不合法反而可能给企业带来极大的法律责任风险。
企业的线上运营合规管理首先是准确识别出企业的重要数据资产并投入人力、物力有针对性的保护企业数据。
第二步是风险识别。具体流程包括1将企业重要数据进行分类2针对不同种类的数据进行不同的风险分析3将分析后的数据风险串联起来模拟推演出具有结果导向的数据安全风险场景。
最后就是针对风险场景中的流程、信息系统管控中的薄弱环节来设计匹配的数据安全保护措施。当然数据安全的保护措施离不开健全的数据安全保护机制。一个健全的保护机制的构建至少包括IT技术、数据处理机制、管理治理机制三个方面。
建议二 企业利用重要数据过程中应当重视个人信息合规问题
企业的生产运营是以客户为中心尤其是直接面向终端市场的企业运营中收集的数据大多来自于客户。这其中不可避免地涉及对客户个人信息的收集、清洗、整合等处理在对数据价值挖掘较多的公司还会形成客户画像投入企业的客户池中实现部门间的数据共享。各部门再根据业务需求抓取数据进行客户分析做到精准营销。
可见企业的线上运营几乎无法回避个人信息收集、存储、处理等各个环节任何一个环节发生数据泄露等事故都将在疫情肆虐的背景下再次被推上耻辱柱。最近疫情期间个人回程信息泄露就是一个典型的例子。
但放眼整个用户信息数据处理合规统筹所涉及的法律规范却很是复杂责任制度更加琐碎。企业需要根据上线的业务针对每一个数据处理节点进行合规审查。
比如企业在数据收集、数据本地化存储过程中是否满足《个人信息安全规范》《网络安全法》《征信业务管理条例》等数据本地化的法律要求。企业在对客户画像时是否满足了隐私政策对用户画像的目的限制、数据最小化、匿名化等严格规制。
建议三 企业应对照网安法的规定落实网络安全等级保护制度 既然大家都开始线上办公/运营了那么就会涉及到一个问题。本公司是否属于《网络安全法》“《网安法》”规定的网络运营者
无疑大部分企业都会被归入网络运营者的范畴因为网络运营者包括网络的所有者、管理者和网络服务提供者它们都属于网络等级保护制度的规制对象。
根据《网安法》的规定“网络运营者应当按照网络安全等级保护制度的要求履行相应安全保护义务保障网络免受干扰、破坏或者未经授权的访问防止网络数据泄露或者被窃取、篡改。”
所以企业应当对照法律相关规定自行评定相关等级二级以上的需要主动申报相应的网络安全等级并遵循不同等级的要求和规定。如果达到一定的标准可能还会被认定为关键信息基础设施相应的合规要求还会更高其中涉及内部相关岗位的设定、机房安全管理、培训制度、备份、运维等特殊要求。
《网安法》实施以来违反网安法的行政执法案件处罚原因主要集中在网络安全等级保护制度与平台内容审核制度两方面。对于等级保护适用问题网安法做了原则性的规定。在此基础上公安部和信安标委分别下发了《网络安全等级保护条例征求意见稿》和《信息安全技术网络安全等级保护定级指南征求意见稿》。
在正式文件出台之前实践中适用的仍是《中华人民共和国计算机信息系统安全保护条例》2011年1月8日实施国务院令第588号的安保体系。
建议四 如忽略合规企业作为网络攻击受害者也仍会被处罚
根据《网安法》的规定网络运营者如果不能证明其履行制定网络安全事件应急预案及时处置系统漏洞、计算机病毒、网络攻击、网络侵入及时启动应急预案并采取补救措施等网络安全保护义务的即使作为网络攻击的受害者也可能受到行政处罚或者刑事处罚。
另外需要注意的是企业股东、高管在网络安全管理和网络运营过程中也将面临承担个人法律责任的风险。《网安法》规定了网络安全的主管机关有权对“直接负责的主管人员”处以罚款、取消网络安全管理和网络运营关键岗位任职资格等处罚。还对于特殊行业会对违反网络安全和数据保护的主管人员采取一定的措施。
建议五 数据跨境流动的合规问题
如果企业开展的线上业务或收集客户个人信息涉及多个国家或地区数据合规无疑是企业首先需要考虑的问题因为数据的跨境流动将受到多个法域的法律监管。企业应当知晓所涉法域的法律监管规定且满足其合规要求否则会带来极大的法律风险。
以欧盟《通用数据保护条例》General Data Protection Regulation简称GDPR为例其采用了类似美国长臂管辖的法律模式将执法边界延伸到了所有收集欧盟公民信息的企业同时对违法者设计了非常重大的法律责任被判违法将面临最高2000万欧元或上一年全球年营业额的4%以较高者为准的罚款。
所以企业线上业务涉及境外个人信息收集、传输和流动的不但要符合中国法律的规定履行数据出境安全评估等程序还需要符合其他所涉及法域的法律规定。
