近日举行的十三届全国人大常委会第二十二次会议审议了《个人信息保护法》(草案),该草案确立了“告知——同意”为核心的个人信息处理一系列规则,明确了国家机关对个人信息的保护义务,标志着我国开启了全面加强个人信息的法律保护的进程。

作为一部保护个人信息权益的法律,《个人信息保护法》(以下简称“个保法”)在规范个人信息处理活动的同时,也需要关注个人信息安全和保护的问题。在个保法征求意见稿的说明中提出,要处理好与有关法律的关系。与网络安全法,和已提请全国人大常委会审议的数据安全法草案相衔接,对于网络安全法、数据安全法草案确立的网络和数据安全监管相关制度措施,个保法不再作规定。

本文拟从网络安全的视角出发,通过比较网络安全法、数据安全法草案,归纳及整理出个保法在安全保护义务方面的新变化和新要求,希望为信息安全及法律合规领域的从业人员提供一些借鉴和参考。

网络安全相关的法律责任有什么新变化?

变化很大!此次个保法一经公布即引发热议,其中最重要的原因之一,是空前加大了对违法行为的处罚力度,处罚金额之高,刷新了立法记录,极具威慑力。如:“对情节严重的违法行为,会被处以五千万以下或者上一年度营业额百分之五以下的罚款,对直接负责的主管人员和其他直接责任人员处十万以上一百万以下罚款”。

对于违法企业的处罚,达到甚至超过了网安法、数据安全法处罚上限的50倍(注:其他法律对企业的罚款上限为100万元);而对直接责任人员的个人罚款金额,也达到了原标准的10倍(注:其他法律的罚款上限为10万元)。

这意味着,如果两家企业同时违反某一项网络安全保护义务(如:未履行网络安全等级保护并导致信息泄露),则业务涉及个人信息处理的企业法律风险更高,巨额罚款之下,企业甚至可能陷入倒闭。同样,网络安全从业人员的个人责任也被迅速放大,随时背负着百万元罚款的风险,足以堪称为一项“高危职业”。

针对哪些违反网络安全的行为进行处罚?

个保法针对的处罚事项,即包括了“违法处理个人信息”,也包括了“处理个人信息未按照规定采取必要的安全保护措施”。

换句话说,尽管在《网络安全法》等法律中对网络安全责任已有相关规定,但是如果涉及与个人信息相关的安全保护责任问题,仍然会适用个保法的相关条款。

个保法第62条,对“未按规定采取必要的安全保护措施”的表述比较宽泛,我们认为,应当包含以下内容:

1.个保法所规范的若干必要安全措施(第50条),如:内部管理制度和流程;个人信息的分级分类;加密、去标识化等安全技术措施;合理的操作权限,从业人员的安全教育和培训;安全应急预案等。

2.对采取的保护措施是否符合法律法规进行的安全审计(第53条);

3.对所采取的安全措施是否合法、有效并与风险程度匹配的风险评估(第54条);

4.发生信息泄露事件后的补救措施、履行通知义务等(第55条);

5.个保法之外的,涉及信息安全保护的其他法律法规要求,如:网络安全等级保护(网安法第21条)、关键信息基础设施的运营者对重要系统和数据库的容灾备份(网安法第34条)、重要数据的处理者对数据活动的风险评估(数据安全法第28条)等。根据个保法的起草说明,这些安全义务在网安法及数据安全法等法律法规中已经明确规定,不再重复。因此,对所谓“必要的安全保护措施”不局限于个保法,而应当做扩展性解读。

同时需要注意,违法行为“情节严重”是可能导致巨额处罚的前提条件。但是草案中并没有给出明确的解释和说明,对照其他法律和国外披露的处罚案例,涉及个人信息的重大违法事件,主要包括:

1.大量的个人信息泄露;

2.在信息安全事件中,企业存在明显的过错,如:缺乏基本的安全措施和管理制度,对个人信息的安全保护放任不顾;

3.违法情形持续时间较长,或在收到相关投诉、整改要求之后不予及时纠正;

4.信息泄露后企业处置不当,导致损失扩大;

5.泄露的数据涉及个人敏感数据、重要数据或可能导致危害国家安全、公共利益等情形。

企业应当如何与监管机构沟通?

草案专门设置了第六章“履行个人信息保护职责的部门”,但是从全文看,监管机构的设置和权限划分是比较模糊的,这增加了企业合规的难度和潜在风险。

根据个保法第56条规定,国家网信办负责统筹和协调个人信息保护工作和监督管理,及国务院有关部门、县级以上地方人民政府有关部门,统称为“履行个人信息保护职责的部门”。可见,我国采用的是分散管理的模式,这与一些国家设置统一的数据保护机构有所不同。但是对“有关部门”的模糊定义,会导致企业在执行的过程中无所适从。

考虑到《网络安全法》,《数据安全法》等,均对网络及数据安全保护义务设定了处罚条款,在具体执行中企业还可能面临法律适用、多头监管,甚至监管及处罚口径不统一的困境。

此外,个保法赋予了监管机构宽泛的执法权力,如:接受投诉、举报;询问当事人;约谈负责人;查阅及复制合同、记录、账簿及其他资料;实施现场检查;查封或扣押;责令改正;罚款;没收违法所得;停业整顿;通报有关部门;吊销业务许可或营业执照;计入信用档案等。但是在立法的同时,没有做具体权限的划分,而是统一赋予了所谓“履行个人信息保护职责的部门”。一旦出现重复执法,或执法不当等情况,企业将苦不堪言。

保法下,企业是否需要承担额外的安全业务?

1、安全审计义务(第53条)

个保法新增要求个人信息处理者定期对信息处理活动、采取的保护措施是否合法进行审计的义务。同时,监管部门也有权要求个人信息处理者委托专业机构进行审计。

等保2.0中主要在安全区域边界、安全计算环境和安全管理中心的要求中提到审计要求。安全区域边界的审计内容主要指网络和设备的重要安全事件、用户行为等;安全计算环境的审计内容主要是用户行为、安全事件、主客体的访问行为等;管理中心的审计内容主要指管理员的各种操作日志。

企业应注意识别,个保法的审计对象与等保2.0之间的区别。草案中对委托“专业机构”审计的主体及相关要求,仍有待进一步的明确。

2、风险评估(第54条)

鉴于对个人信息权利的潜在威胁,个保法对处理个人信息的企业提出了“风险评估—记录—保存”的要求。(第38条、第54条)

即,对个人有重大影响的信息处理活动,在事前要开展风险评估和记录,评估事项包含:处理敏感个人信息;利用个人信息进行自动化决策;委托处理个人信息、向第三方提供、公开个人信息;向境外提供个人信息等。

风险评估的内部包括:个人信息的处理目的、处理方式是否合法、正当、必要;对个人的影响及风险程度;所采取的安全保护措施是否合法、有效并与风险程度相适应。

关于安全评估,在网安法中主要针对关键信息基础设施的运营者,即:因业务需要,确需向境外提供其系统所收集和产生的个人信息和重要数据的,应当进行安全评估(网安法第37条);以及,对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门(网安法第38条)。

同样,在数据安全法中,也要求重要数据的处理者,应当对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告(数据安全法第28条)。

对比网安法与数据安全法,个保法对所有个人信息处理者均提出了事先风险评估的要求,而不限于关键信息基础设施的运营者;同时,对评估范围和内容作了扩大和细化。鉴于评估范围涉及到个人敏感信息、委托处理、对第三方提供等常见场景,我们可以预见,个人信息的风险评估将成为信息安全合规的一项常态化工作,融入企业的日常管理之中。

个保法草案还要求,风险评估报告和处理记录应当至少保存三年。这极有可能成为今后监管机构的重点检查事项之一,为核查企业是否落实个人信息的保护埋下了伏笔。

启示

没有网络安全,就没有个人信息保护。安全是保护的基础和前提。尽管本次个保法的重点在于明确个人信息的处理规则,规范信息处理活动,但仍有相当篇幅涉及到个人信息的安全保护措施,并对安全审计、个人信息处理的风险评估等提出了新要求。

从个保法草案中,我们可以看出立法者希望通过设定巨额的处罚机制,实现与国际标准接轨,提升企业对个人信息的保护意识和管理水平的意图。但同时,草案中仍保留了一些模糊地带,会给监管机构行使职权(包含巨额处罚),企业合法合规管理带来诸多不确定性及潜在风险。建议所在企业涉及个人信息处理的安全从业人员、内部合规人员,对照个保法的新规定,进一步完善企业合规管理及内控制度,提升安全保护措施,以不断适应新变化和新要求。