.png)
.png)
.png)
.png)
作者:数据合规业务委员会
* 本文共2168字,需阅读4分钟。
中国最大的网约车平台“滴滴出行”于2021年6月30日在美国挂牌上市,股票代码为“DIDI”。但就在挂牌2天后,网络安全审查办公室2021年7月2日按照《中华人民共和国国家安全法》【1】、《中华人民共和国网络安全法》【2】(以下简称“《网安法》”)及《网络安全审查办法》【3】对“滴滴出行”App实施网络安全审查,要求“滴滴出行”在审查期间停止新用户注册。事隔两天,国家互联网信息办公室称收到举报并在检测核实确定“滴滴出行”App存在严重违法违规收集使用用户个人信息问题后,通知应用商店下架“滴滴出行”App。
移动互联网应用程序(Application,通称“APP”)已成为数据时代下企业开展业务的重要平台。用户在各个平台可以通过下载、注册和使用相关APP,付费使用企业提供的服务。然而APP本身并非只是提供一个服务及接受服务的平台那么简单。用户在注册APP后,通常还可以在APP上支付、评价服务、领取企业给予用户的福利甚至社交等。而在此过程中,企业通常会要求用户提供相应的个人信息,一方面确实系服务所需,如寄送物品、发放虚拟消费券等;另一方面获取相关用户信息有利于企业精准营销,获得广告和流量盈利。然而,如企业因网络安全数据领域的违法违规导致其APP不能用于新用户的注册,被下架,甚至被停止使用,则将导致企业无法继续经营,直接影响企业是否可以上市及上市后的持续经营。《中华人民共和国数据安全法》(以下简称“《数据安全法》”)已于2021年6月10通过,《个人信息保护法(草案)》(以下简称“《个保法》”)的审议讨论已接近尾声,结合中国政府最近一段时间对多个APP的执法情况,可以看出中国政府对网络安全及数据保护的重视程度。
为了方便识别APP在数据搜集和使用方面是否已做到合法、合规,以APP为主要运营平台的拟上市企业可以将数据看作一种特殊的资产,从维护国家利益和个体利益的角度进行自查和评估。
一、APP的运行不得损害国家利益
《数据安全法》第二十一条对数据分类分级保护制度作出规定,首次提出“核心数据”的概念,明确“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度”。由此可见,由于核心数据关系国家安全和经济命脉,任何核心数据的不当使用和管理将对国家利益造成重大损害。
《数据安全法》规定国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护【4】,并将重要数据具体目录和具体分类分级保护制度的制定权限下放到行业主管部门和各地区国家机关【5】。建议拟上市企业应当首先关注《工业数据分类分级指南(试行)》【6】、《基础电信企业数据分类分级方法》【7】、《个人金融信息保护技术规范》【8】等行业数据分级分类的国家标准,同时密切关注地方行业主管部门发布的数据分类分级目录等要求。
由于《数据安全法》提出对数据全生命周期各环节的安全保护义务【9】,因此拟上市企业应当对核心数据和重要数据的使用进行自评估,包括核心数据、重要数据是否存在被窃取、泄露、毁损以及非法利用或出境的风险。
此外,如根据《网安法》判断拟上市公司为关键信息基础设施的运营者,因业务需要确需向境外提供数据,应当向所属国家网信部门申请安全评估【10】。
二、APP的运行不得损害个人利益
有待审议通过的《个保法》承继了严厉惩罚个人信息违法行为的国际通行做法,对于“情节严重”的违规处理个人信息行为设置了更为严格的法律责任。违法企业可能被处以5000万元以下或者上一年度营业额5%以下罚款。而相关责任人的罚款数额也大幅提高,将可能受到高达百万的惩处【11】。
因此拟上市企业应当根据《App违法违规收集使用个人信息行为认定方法》【12】(以下简称“《认定方法》”)的相关规定,从以下几个方面判断自身是否具有违法违规情形:
1)是否制定了符合《认定方法》要求的隐私政策及采取《认定方法》确定的形式让用户知晓。
2)是否明确告知了收集个人信息的目的、方式和范围的。
3)是否经用户同意收集使用个人信息及超出范围收集个人信息。
4)是否符合个人信息收集最小化原则。
5)向第三方提供用户个人信息的,是否经过用户事前同意。
6)是否设置了用户注销删除个人信息和投诉举报的功能。
我们注意到,市面上现有APP大多设置成若不同意相关格式条款和声明,就不能使用。从《民法典》与相关消费者保护的法律及规定来看,互联网企业提供的免除自身责任的格式条款是无效的。此外,根据现有与立法部门的沟通显示,相关做法的合法性并不能得到主管部门的认同。消费者可以既不同意APP上弹出的声明或条款,也能有权使用相关APP,这是长久的立法趋势。互联网企业不能忽略这样的可能性。
三、拟上市企业数据合规制度的建立
根据《数据安全法》第二十七条的要求,根据监管机构对拟上市企业的问询函,拟上市企业还应当建立关于数据收集和处理的内部个人信息保护制度,以及有关程序运行和软件控制的技术配套措施。
随着我国数据保护领域相关法律、法规制度的更新和完善,包括对《网络安全审查办法》的修订,拟上市企业应当出于保护国家利益和个体利益的目的,及时跟进采取相应的合规措施。
注释
【1】《中华人民共和国国家安全法》,第十二届全国人民代表大会常务委员会第十五次会议通过,自2015年7月1日起施行。
【2】《中华人民共和国网络安全法》,第十二届全国人民代表大会常务委员会第二十四次会议通过,自2017年6月1日起施行。
【3】《网络安全审查办法》,自2020年6月1日起实施。2021年7月10日,国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知。
【4】《中华人民共和国数据安全法》,第二十一条。
【5】详见《中华人民共和国数据安全法》第二十一条第三款:各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
【6】详见工业和信息化部办公厅关于印发《工业数据分类分级指南(试行)》的通知【工信厅信发〔2020〕6号】。
【7】基础电信企业数据分类分级方法,YD/T 3813-2020,2020年12月9日实施,不适用于涉及国家秘密的数据。
【8】《个人金融信息保护技术规范》,JR/T 0171-2020,2020年2月13日实施。
【9】《中华人民共和国数据安全法》,第二十七条。
【10】《中华人民共和国网络安全法》,第三十七条。
【11】《个人信息保护法(草案)》第六十五条第二款:有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
【12】详见关于印发《App违法违规收集使用个人信息行为认定方法》的通知【国信办秘字〔2019〕191号】。
* 若需了解更多相关信息,请发送邮件至info@wintell.cn或致电上海总部官方电话咨询!
