汇业评论

文 | 黄春林 汇业律师事务所 合伙人

2018年6月1日，《网络安全法》正式实施一周年。一年来，网安有关的政策与细则逐步落地，网安监管与执法案例频见报端，企业网安合规获得了前所未有的重视，各界关于网安合规的理解与建议也如雨后春笋。

本文中，汇业黄春林律师团队结合近期网安合规项目经验，就企业普遍关注的十个网络安全合规问题，汇总解答如下：

一、到底是不是网络运营者？

很多非互联网企业，尤其是传统工业企业以及那些toB业务的企业，普遍认为自己不属于网安法意义上的“网络运营者”，所以无需遵守网安法21条等规定的网安合规义务。我们认为这种观点存在较大法律风险。

首先，网安法意义上的“网络运营者”是一个非常广泛的概念，包括网络（各种网络和触网的系统，例如局域网、工业控制系统、自动化办公系统、社交媒体等）的所有者（并非物权意义上的所有）、管理者（含网络或内容管理）和网络服务提供者（不仅仅是ISP）。所以从这个意义上讲，企业可能会因为任何“触网”的要素，被认定为网安法意义上的“网络运营者”

其次，企业网安合规的法律依据不仅仅是网安法，还包括全国人大的决定以及其他单行法规（例如国务院292号令）、规章（例如工信部24号令）等，更不能忽略消法、民法总则、刑法等基本法。这些法律法规设定的网安合规义务，并不局限于“网络运营者”的主体范畴。

二、网安合规到底要做些什么？

这是很多企业最迷茫的问题之一。大家都觉得网安合规很重要，但受限于内部网络/业务的复杂性及法律规范的模糊性，无从下手。

事实上，根据汇业黄春林律师团队的经验，一切脱离行业特点和企业实际情况谈网安合规的普适性路径，都是“耍流氓”。企业的涉网业务不同、触网程度不同、服务对象不同，其网安合规的触点就会有很大的差异。

所以，我们通常建议企业在开展网安合规检视项目前，应当开展网安合规调研（包括会议、访谈及问卷等形式），根据调研情况开展有针对性的合规评估及整改实施。

总体而言，企业应当结合前期调研情况，从下列角度匹配合规触点：（1）合规深度：技术措施层面、管理制度层面、岗位人员层面及透明度层面；（2）合规广度：运行安全（包括接入、运行、事件、协助、等保、CII等）及信息安全（PI、数据、内容、实名、未成年人等）。

三、是否必须要做等保备案与测评？

等级保护被称为网安合规的第一道坎儿。这不仅是因为等保责任大、执法严（公安主管），还因为等保体系本身为企业网安合规设立了一套较好的实践标准——参照等保测评体系整改后，企业的整体网安合规风险大大降低。

等保合规体系包括了定级、备案、测评及整改等多个合规触点。整体而言，所有网络运营者都应当开展等保定级，二级以上的需要公安等保备案，三级以上的需要开展强制测评，整改包括技术措施整改和管理制度整改。

目前，各地网安部门已经按行业逐步推进、检查落实等保要求，部分企业（含传统外企）因未履行等保义务而被处罚的案件频见报端。

四、收集哪些信息需要获得用户的同意？

通过网络收集个人信息（PI）需要获得用户同意，这是不争的问题。但是，收集用户信息（非PI）以及通过线下途径收集PI，是否需要用户同意，似乎业界有不同的观点。

首先，根据网安法第22条第3款规定，收集用户信息的，“其提供者应当向用户明示并取得同意”，网信办在解读这一条时明确讲到这里的“用户信息”是有别于第四章的“个人信息”的；其次，未经用户同意收集用户信息，是否涉嫌侵犯隐私权或不正当竞争，则是企业应当考虑的其他合规风险。

其次，消法、刑法等规范的个人信息并未严格限定在网络环境下，线下收集、使用个人信息仍然可能会违反消法、刑法等规定。所以，用户信息合规，应当是一个多层面（民、行与刑）、多角度（立法、执法与司法）的综合合规。

此外，很多企业普遍关注的员工信息收集（例如考勤、忠诚度调查等）合规、用户信息收集同意豁免情形等问题，实践中可能会因为使用场景差异、信息内容差异等因素影响合规性判断。

五、隐私政策合规重点有哪些？

根据近期几轮执法检查及约谈案例实践，监管机构目前主要关注的隐私政策合规重点包括但不限于：

（1） 隐私政策的放置位置、确认方式是否合规？例如，实践中（尤其是媒体）有一种误解，认为但凡是“默认勾选”的隐私政策都是不合规的。事实上， “默认勾选”的隐私政策是否合规，取决于该隐私政策适用的业务模式、个人信息类型，甚至勾选本身的显著性等多重因素。

（2） 隐私政策关于个人信息收集、使用、处置（共享、转让、披露等）的目的、范围和方式的披露是否清晰、明确、具体。

（3） 隐私政策是否披露个人信息主体控制权（查询、修改、注销等）及其实现方式。

（4） 隐私政策的更新及更新通知。

（5） 隐私政策是否有披露个人信息控制者及其有效联络方式；等等。

六、数据流动中的审查与监管责任到底有多深？

Facebook剑桥分析事件，引起了企业对数据流动合规的广泛关注和重视。实践中，如何平衡数据流动效率与合规风险，进而确定企业在数据流动中的审查与监管责任深度，是很多企业面临的棘手问题。

实践中，汇业黄春林律师团队建议，企业应当根据“分级管理、分层合规”原则，制定数据流动分级合规手册。即，企业应当根据流动数据的性质、来源、范围、体量、途径及频率等因素，将数据流动分级，并根据分级结果，有针对性的采取形式审查（又称文本审查）、实质审查（包括但不限于资质审查、来源审查、授权审查、责任能力审查、动态管理等）、第三方评估审查。

七、跨国公司必须实现数据本地化？

这或许是外企咨询最频繁的网安合规问题，当然原因是多方面的：

一方面，中国网安法及配套制度实施（或征求意见）后，到底哪些数据必须境内存储，境外媒体或“专家”众所纷纭，导致部分外企境外总部反向施压，要求中国公司必须评估、解决数据跨境转移的合规性。而另一方面，部分中国公司期望借助这个“千载难逢的机会”，以法律强制规定之名要求数据本土化，进而增强本土业务的控制力和话语权。似乎，数据本土化是板上钉钉的问题。

但现实的问题却是：（1）网安法37条有明确的适用前提（主体、行为、数据性质等）；（2）《关键信息基础设施安全保护条例》还在征求意见，CII的范围并没有明确的法律标准；（3）《个人信息和重要数据出境安全评估办法》还在争论、修改中，评估的范围和办法都没成型；（4）贸易摩擦的关键时点，任何政策都可能刺激对方；等等。

所以，企业应当结合中国立法现实、企业行业特征、数据数量级、个人信息类型等因素综合评估数据是否可以跨境转移。

八、35273/27001是否必须遵守？

这个问题，源于大家对网安合规的迷茫和焦虑——实在不知道咋做网安合规，《个人信息安全规范》(GB/T 35273-2017)和ISO/IEC27001又恰好提供了一个“最佳实践”。

但是，《个人信息安全规范》仅仅是一个推荐性的行业标准，并没有GDPR一样的强制力；《个人信息安全规范》中的很多要求，仅仅是网安合规的其中一种可选的尝试/路径。违背《个人信息安全规范》的标准，并不必然承担法律责任；相反的，遵从《个人信息安全规范》的标准，也并不一定就合法合规，尤其是在民事和刑事司法实践中。

同样的问题，很多企业正在实施的ISO/IEC27001认证，也仅仅是网安合规的一个路径选择而已，绝非网安合规的“免死金牌”，企业还是应当根据自身业务特点，开展有针对性的合规评估和整改项目。

九、网络平台的内容审查责任到底有多大？

内容审查被称为是网安合规的放大镜——其他网安合规风险可能会因为内容审查风险而成倍放大。目前，披露出来依据网安法处罚案例最多（约占50%）、处罚最重（轻者约谈、罚款，重则整改、关停）的，就是内容审查违规。

尽管网安法有多条（9、47、48、49等）关于内容审查的规范，但实践中，网络平台（用户能上传、发布内容的一切网络或系统）的审查标准和依据远非这些，例如游戏、视频、文学、论坛、新闻、IM等业态均有相对成熟的内容审查的官方标准。

因此，企业应当结合自身业务特征，制定内容审查规范，确定内容审查岗位和人员，部署内容审查技术措施，并依法依规向主管部门备案或汇报，等等。

十、网络接入合规到底要做什么？

网络接入合规是很多企业最容易忽视的问题，目前已经爆出多个外企因为网络接入违规被处罚的案例。

网络接入有很多合规触点，包括但不限于网站ICP备案合规（境外域名处置、一致性核验等）、公安联网备案合规（变更合规、交互式面审等）、VPN接入与使用合规（自建与租用、数据中心连接等），等等。

实践中，企业应当加强网络集中管理，增强IT部门合规意识，强化IT与法务/合规沟通机制，降低相应的法律风险。