数据保卫战打响,你准备好了吗?
案例被收录在《中国数据保护年度报告2018》中,作为涉及数据保护及网络安全相关的44起行政执法案件中的一例。
在4月12日举办的2018中国数据保护研讨会上,元达律师事务所和律商联讯LexisNexis联合发布了这份历时一年调研、撰写的《中国数据保护年度报告2018》,并邀请了来自中外知名企业的资深法务、数据运营官及技术与合规领域的专业人士就数据保护问题进行了深入研讨,思满科技Smart Team Global LLC和权威商业信息服务及风险管理提供商华夏邓白氏赞助本次会议。
一、对数据的关注,早已开始
早在2014年,数据问题尚未受到全民关注之时,元达律师事务所就成立了元达数据中心,观察、研究数据保护问题,并向企业提供数据合规法律服务。在数据合规领域的布局,元达可谓相当具有前瞻性。
在采访中,刘晨光表示,元达在数据合规领域,“不仅仅是一家律所”。
“我们团队中的律师,不仅有法律背景,更有IT背景,可以为企业提供他们最需要的数据合规服务,通过技术与法律服务的结合,提供真正的解决方案。”
这是一支既有创新意识又有创新能力的团队,《中国数据保护年度报告2018》的发布也印证了这一点。传统调研报告中往往仅由问卷数据与简单分析构成,而这份报告除了第一部分的调研问卷分析,其后的“监管部门概览”、“案件与争议借鉴”、“法律法规概述与分析”、“数据合规指引”四大板块从调研结果出发,却又不拘泥于调研,向读者展示数据保护法律监管现状的同时,更为他们提供应对的策略,体现出了技术与法律的双重价值。
谈到这份报告独特的价值,元达律师事务所合伙人孙博说:“数据合规的需求会越来越大,但它会超越传统意义上的法律服务,并需要跨专业领域的协作。数据的保护离不开对产生、存储、传输这类数据的技术的理解,但目前还处于法律人士与技术人士相互磨合的阶段。我们的报告除了希望能够协助读者对中国数据保护的法律监管与应对措施有所了解,同时在撰写的过程中也很注重可读性、与实用性,也希望它能够成为跨领域沟通的一本手册,搭建一个桥梁。”
报告中围绕数据合规应对、网络安全基础义务、数据保护情况三大方面对几万家企业进行了问卷调查,形成数十个主题统计图表,而完成这项工作的,是拥有强大数据资源库的律商联讯。
2018年正值律商联讯200周年,而早在2009年,律商网就开始关注个人日常消费和金融行业等领域的个人信息保护问题,到目前,已有相关问题的分析文章近千篇。作为一家杰出的内容和技术解决方案提供商,律商联讯与元达律师事务所联合发布了全球首份基于中国市场数据安全现状并全景式透视、分析中国数据安全保护法律与实践的年度报告——《中国数据保护年度报告2018》。
“如何在日益完善的法律框架下,认清自身状况,了解数据合规的现实与未来,在红线以内顺利地进行相关业务运营,将成为企业无法回避的一个问题。所谓知己知彼,百战不殆。对自身和现实的研究,将有助于企业在法规尚不完善的情况下了解数据收集利用的规则,提前进行应对,也有助于企业了解执法与司法裁判的尺度,更好地帮助企业在激烈的市场竞争中规避法律风险。”律商联讯中华区内容总监徐方这样讲述发布这份报告的初衷。
二、企业数据合规——危机无处不在
元达律师事务所与律商联讯在历时数月联合进行的调研中发现,相当一部分企业已经开始积累对数据合规义务的认知,但一个相对普遍的困扰是缺乏连结法律合规及技术现实的启动及运行机制,同时,跨国间的数据合规实践也成为越来越多的企业所面临的难题。
元达律师事务所合伙人刘晨光和来自百度云解决方案构架及金融云总经理杨俊共同做了《数据保护所面临的内外风险》主题演讲。刘晨光从中国特色的数据立法出发,讲述了当前数据保护面临的执法环境,包括网络安全监管“九龙治水”现象依然存在。数据的流动性、开放性的特性,可能会产生我们目前无法预见的数据安全问题,而“数据安全就是国家安全,信息化就是现代化”这是刘晨光一直认同的观点。
数据总量增多,数据价值凸显,随之而来的就是与数据相关的争议及危机越来越多,整个社会的个人信息保护意识也开始觉醒,更多相关法律颁布施行,其中影响最大的,就是《中华人民共和国网络安全法》。
公安部第三研究所网络安全法律研究中心主任黄道丽在《网络安全法的演进历程与未来路径》主题演讲中从网络安全法的演进历程、现时体系、未来路径三个方面阐述了当前中国网络空间的法治化。黄道丽提到,网络安全法施行后,我国网络安全领域立法呈现的滞后性有所缓解,但立法的执行与有效性尚待检验,结构性冲突与协调问题仍旧亟待解决。
三、网络运行安全与数据保护
《中国数据保护年度报告2018》中提到,据不完全统计,2017年违反《网络安全法》中网络运行安全义务的行政处罚案件至少有20起,主要涉及未履行网络运行安全义务,未履行身份验证义务,网络产品、服务不符合国家标准强制性要求,从事或支持危害网络安全的活动等违法行为。
在“网络运行安全及风险防控”主题研讨中,刘晨光与百度云高级解决方案构架师曹玉嘉就涉及不同数据合规问题的场景进行现场模拟讨论,特别从个人信息保护、数据跨境传输角度进行了法律观点与技术实践的交流,现场法务也积极参与了讨论,实务的问题引起共鸣,思想的火花不断碰撞。
具体到个人信息的保护问题,上海市网信办政策法规处处长孙杰从个人信息的收集、保管、更正与删除等多个方面阐述了个人信息的法律保护现状,而谈到解决办法,除了在技术应用层面加强安全检测与执法,孙杰还提出,在微观技术层面可以大力推进电子身份管理办法、个人信息的读取认证,从源头上减少个人信息的收集、存储。
思满科技创始合伙人Steven Wang从企业的角度出发,对于数据信息的收集、处理与监管的全流程进行了介绍。他提出,在当前的形势下,数据信息监管能力是企业竞争力的重要体现,是杰出企业的制胜锦囊。
四、GDPR来了!
欧盟发布的“一般数据保护条例”(GDPR)将在2018年5月25日正式实施。元达的联盟律所McDermott Will & Emery伦敦办公室的合伙人Ashley Winton通过视频的方式,为在场嘉宾详细介绍了不在欧洲的公司也会受到GDPR影响的四种情形:一是企业在欧洲设有与信息处理有关的机构或组织,二是接受货物或者服务的人是在欧洲的个人,三是即使没有向欧洲销售货物或提供服务,如果检测追踪欧洲个人的行为,也会受到限制;四是与欧洲公司签订合同,被迫受到GDPR的约束。
GDPR的核心,是对个人数据的收集和之后的存储使用,规定更高的透明度与管控。它的实施意味着什么?又将会对在华企业的数据收集、处理和交易产生什么样的影响?如何为企业制定一种可以评估不合规风险的标准?如果一家公司已经满足了中国相关法律法规下的合规要求,如何进一步完善以符合GDPR项下的合规要求……在孙博的主持下,元达律师事务所合伙人,元达数据中心负责人之一的Jared T. Nelson和微软大中华区合规总监李近宇对针对企业关注的热点问题发表了自己的看法。
微软公司作为全球最大的电脑软件提供商和领先的云服务提供商,存储和管控的数据量难以估计,而自2016年GDPR条款公布以来,微软就开展了针对性的数据合规体制的建立工作。微软早在2017年3月就宣布满足GDPR的合规要求,并进一步把对GDPR合规要求的满足作为一种承诺写入了微软云服务的商务合同,为用户提供保障,帮助用户符合GDPR合规要求。李近宇分享了企业可以从三方面进行数据合规的建设工作,包括整体防范、关键性问题的应对以及持续性的优化。同时,他还提出了针对具体经营行为进行风险评判的几个步骤,首先是对风险点进行梳理明确,然后对照当前企业的管控手段,明确风险等级;最后结合风险后果与管控成本制定相应策略。
GDPR公布的近2年时间以来,律商联讯也一直对此保持着高度关注,PSL信息法律实践是Lexis的国际法律实践产品,主要内容包括跟踪、整理GDPR相关法律新闻与相关法规原文,并为GDPR相关法律和合规实践问题提供不同角度的权威法规解读和丰富实践工具。
元达律师事务所更是基于多年来对合规法律服务的深刻理解,在数据合规领域,已经准备好了多项具有针对性的法律服务产品,在现场的展示中受到企业的高度认可。
“我们已做好准备。”对于企业数据合规的前景,刘晨光和徐方有着同样的期待,而这一期待,正在逐步被实现。
[编辑: 于栤]
