前文:
国际风云 | 数据安全与个人隐私保护
↑ 介绍了个人隐私保护国际大事件以及风险形势。目前,除了欧洲的GDPR和美国的CCPA,全球包括南非、智利、泰国、菲律宾等许多国家和地区都颁布了自己的隐私法案。数据安全和隐私保护一方面已经成为全球企业所面临的“头等大事”,另一方面也成为国际间相互攻讦的政治武器,披上了意识形态的外衣。
在咱们国内,对数据安全和个人隐私保护也越来越重视,先后发布了《数据安全法》、《个人隐私保护法》,以及各细分领域的法规和条款。
本文将重点介绍国内数据安全的监管形势,包括:一、法律法规、二、执法案例、三、APP隐私合规专项治理。
一、法律法规
1)法律立法
在法律立法层面,与数据安全和个人隐私保护直接相关的法律时间线大致如下图:
- 《国家安全法》中,将重要信息系统的数据安全纳入了国家安全的范畴。
第二十五条 国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。
- 《网络安全法》较早(2017年正式施行)就对保护个人信息进行了规定:“网站运营者应当对其收集的用户信息严格保密”,并对收集信息的明示同意、跨境传输的风险评估、建立保密制度、防止数据泄露等问题上进行了规定。
- 《两高司法解释》将泄露数据的相关情形,与《刑法》进行映照,量化了相关条款的刑事责任,并明确对相关违法单位进行“双罚”制,即对单位和相关负责人都进行处罚。
- 《数据安全法》是2021年9月正式实施的一部法律,相对于《网络安全法》以及《个人信息保护法》,这部法律定位于宏观层面、关注数据作为经济发展要素之一的分配、有效利用和安全问题,是“数据要素国家战略的法制基础”。
归纳了一些重点内容:
- 提出保护公民个人和机构组织的数据权益;
- 要求数据活动要具备制度+技术+培训+其他安全措施;
- 明确了行业主管部门对本行业、领域的数据安全监管职责;
- 提出国家建立健全数据交易管理制度,并确定数据交易中介服务机构的义务。
- 《个人信息保护法》确立了以 “告知-同意-严格处理” 为核心的个人信息处理一系列规则,并对突发公卫事件、跨境传输、法律责任进行了规定,其中最高可罚五千万元或者上一年度营业额5%。
《个人信息保护法》,笔者个人认为是可以对标欧洲GDPR的一部法律,两者有不少相似之处,比如核心内容都是以个人信息的“告知-同意-严格处理”作为数据处理原则,在处罚上,《个保法》规定最高可罚五千万元或上一年度营业额的5%,GDPR规定最高罚款2000万欧元,或全球营业额的4%(注意是“全球营业额”)。
在一个关键点,即“什么是个人信息处理的合法情况”中,两部法律都做出了相关设定,对比如下:
两部法律关于个人信息处理的合法情形设定
- 其他法律。结合在实际落地中,监管对个人信息保护的执法案例来看,除了上述几部法律和司法解释,执法过程中依据比较多的法律还有《中华人民共和国反洗钱法》、《中华人民共和国消费者权益保护法》、《中华人民共和国民法典》等。
2)行业监管
《数据安全法》规定各行业主管部门对本行业、领域的数据安全监管职责,这意味着企业的数据安全不仅受网信、公安、工信等部门的监管,各行业的主管部门对数据安全也会越来越关注。以笔者所在的证券业为例,证监会、央行都通过相关的办法、条例、指引来进行行业内的监管。
二、执法案例
自我国的法律不断完善,以及监管对数据安全和个人隐私数据的重视,相关执法落地案例也越来越多,其中银行业是罚单大户,几个比较大额或在行业内有代表性的罚单有:
- 央行处罚6家央行分支机构,最高罚1406万
2020年10月,央行以”侵害消费者个人信息依法得到保护的权利“的理由,处罚、约谈六家银行分支机构,最高处罚机构金额1406万。央行表示,要对侵害行为“零容忍”。
- 东亚央行被罚1674万元
2022年1月,东亚银行(中国)有限公司因违反信用信息采集、提供、查询及相关管理规定,被中国人民银行上海分行罚款1674万元
- 渤海银行,以及相关责任人被罚
2021年,渤海银行长春分行因“未经同意查询个人信息”等违法行为,被警告并处罚款58.6万元。时任相关责任人何晓爽、刘国威和王伟3人被处以1.2万至2万元不等的罚款
- 中信银行因“池子事件”被罚450万
2021年,池子个人信息泄露案,中信银行因“客户信息保护体制机制不健全”等案由被银保监会罚款450万元。
- “望蓉城”餐厅因扫码点餐索取手机号被罚
2021年,上海“望蓉城”餐厅因扫码点餐必须要授权手机号,上海市市场监管局以违反消费者个人信息保护罚款5万元。所以,各位读者下次去餐厅扫码点单时可以留意一下,如果商家在没有授权的情况下就拿到了你的手机号,果断投诉。
- 某房地产公司索取人脸信息被罚
2021年,安徽佳创房地产开发有限公司因未经本人同意在售楼处采集其人脸信息,被当地市场监管局罚款10万元。同样的案例,还有小鹏汽车采集客户人脸被罚。
- 最后一个不得不提的是——滴滴被罚80.26亿
根据国家网信办的官方口径,滴滴公司共存在16项违法事实,归纳起来主要是违法收集相册截图、过度收集剪切板信息、过多收集乘客人脸信息、过度收集司机学历信息等8个方面,都与数据安全和个人信息保护有关。
这个罚单的处罚力度应该怎么评价呢?笔者个人认为力度可以算得上比较大的了。《个人信息保护法》中对违法企业的罚款规定是:“五千万元以下或者上一年度营业额百分之五以下罚款”,滴滴上一年度营收大概1700亿,80亿占了4.7%,基本是顶格罚款。
对比GDPR,在欧洲实施了4年,开出了一千多个罚单,最高一单是去年给亚马逊开的7.5亿欧元的罚款,折合人民币也就50多亿,还因为亚马逊的抗辩暂停了支付。
三、APP隐私合规专项治理行动
2019年11月,国家网信办、工信部、公安部、市场监管总局四部委联合印发《App违法违规收集使用个人信息行为认定方法》,通过APP的检测和通报等形式,纵深推进APP个人信息保护专项整治行动,整治范围涉及:隐私协议精细化、APP安全建设的规范、组织内个人信息保护体系的完善等。
也就是说,专项行动不仅会看APP对个人信息的收集情况,还会看隐私协议是否规范,是否把应该交代的都写清楚了,划重点的是,还会看组织内个人信息保护体系的完善。
截至2022年6月,工信部已累计对322万款APP进行检测,通报、下架了违规APP近3000款。
目前检测活动除了工信部和下属的各地通管局,各大手机平台也会对其生态体系内的APP进行数据安全的合规检测,比如vivo、华为等,有问题的APP会在其应用商店下架整改。另外苹果的APP store中,还会让每个APP明示出它要收集的个人信息数据,让用户在下载之前就一目了然,这个在前面一集也介绍过。
下一集,会介绍一下针对数据和个人信息的攻击威胁手段,比如针对AI模型的攻击、针对API的攻击,以及一些新兴的欺诈手法等。
解读我国对数据安全和隐私保护的立法进度、执法情况,接下来的安排是:
持续更新......