元達&LexisNexis：2018中國數據保護年度報告（79頁）.pdf

《元達&LexisNexis：2018中國數據保護年度報告（79頁）.pdf》由會員分享，可在線閱讀，更多相關《元達&LexisNexis：2018中國數據保護年度報告（79頁）.pdf（79頁珍藏版）》請在三個皮匠報告上搜索。

1、?第一部分 調研問卷分析第二部分 監管部門概覽第三部分 案件與爭議借鑒第四部分 法律法規概述與分析第五部分 數據合規指引?P 01P 10P 19P 38P 59?知悉多數企業對履行數據安全義務的現狀，有利于掌握現階段企業在進行數據合規工作中所面臨的現實問題，是數據合規工作的基礎。故本部分調研問卷結果可以幫助企業對現階段數據合規問題的盲點、通病、瑕疵予以警惕與重視，并為數據合規指引提供重要參考。在“數據保護”的范疇下，多個部門有權進行監管。對現行相關數據監管部門進行梳理，可以幫助企業更好地理解監管部門的邏輯。案件與爭議具有鮮明的參考作用，通過對執法案件的解讀以及對訴訟、爭議的分析，可以知悉實踐

2、中數據保護常見的爭議所在與解決方式，既有利于深入了解網絡安全法等相關法律法規，也對企業合規具有參考作用。2017 年以來，圍繞著“數據保護”這一主題，以網絡安全法為代表的諸多法律法規相繼生效或開始征求意見，新規的大量涌現創設了新的數據合規義務，企業需要充分了解自身所面對的合規環境。2018 年是中國企業開展數據合規的關鍵之年。網絡安全法的正式實施成為數據合規的基礎；公眾對于數據保護的意識不斷提升。企業保護自身數據安全、保護用戶個人隱私的能力已經成為了企業的核心競爭力之一。數據合規工作與其他合規事項相似，均與風險管理息息相關，可以從“主動合規”與“危機處理”兩個角度進行。?|021.法律生效后企

3、業的應對?28.7%4.63%?0.93%?1.39%?0.46%?11.11%?29.17%?34.72%?25.46%?7.41%?|?03?2.與有關部門的接洽情況?18.98%9.26%8.8%3.24%39.35%36.11%?7.87%?15.74%?4.63%?6.02%?4.17%?0.46%?36.57%?37.04%?|041.等級保護測評義務?2.安全保護義務?1.可參見安徽省蚌埠懷遠縣教師進修學校網站因未落實等級保護制度而被予以行政處罰的案例。?31.02%53.24%6.94%5.09%2.78%0.93%?|?05?2.參見楊合慶主編：解讀，中國法制出版社 2017

4、 年版，第 50 頁。?3.用戶信息審核義務?4.公共信息巡查義務?5.違法信息處置義務?6.第三方安全保密義務?0%0.46%0.93%0.46%0%0%0%0.46%98.15%?40.28%46.30%9.72%3.70%?1.39%0.93%97.69%?|064.公共信息巡查義務?5.違法信息處置義務?6.第三方安全保密義務?0%0.46%0.93%0.46%0%0%0%0.46%98.15%?|?07?1.數據收集、利用情況?97.69%1.39%0.93%?|08?54.63%34.26%17.59%15.28%?21.3%23.61%11.11%6.48%4.17%0%39.8

5、1%?97.69%1.39%0.93%48.15%9.26%42.59%?|?09?2.數據跨境傳輸情況?4.17%30.09%12.96%18.98%9.72%3.7%53.7%?62.96%68.98%60.65%9.26%66.2%5.09%14.81%22.22%?11.57%10.65%44.44%33.33%?|?11?1.部門概況?1.中華人民共和國中央人民政府網站（在“國務院辦事機構”下可以看到國家互聯網信息辦公室與中央網絡安全和信息化領導小組辦公室是一個機構兩塊牌子的關系，列入中共中央辦事機構序列），http:/ 年 10 月 30 日最后一次訪問。2.中央網絡安全和信息化領

6、導小組辦公室 2014 年公開選拔處級領導干部工作公告，http:/ 年 12 月 13 日最后一次訪問。?|12?2.行政權力2.1 行政處罰?2.2 行政許可?3.中央互聯網新聞信息服務單位許可信息（截至 2018 年 1 月 30 日），http:/ 年 1 月 31 日最后訪問。?|?13?2.3 約談?4.馬民虎：網絡安全法使用指南，中國民主法制出版社 2017 年版，第 228-229 頁。5.“約談網站 2003 家！2017 年全國網信行政執法工作大盤點”，https:/ 年 2 月 5 日最后訪問。6.北京網信辦約談今日頭條、鳳凰新聞手機客戶端負責人，兩家企業將暫停部分頻道內

7、容更新，http:/ 年 1 月 2 日最后訪問。7.公安部概況，http:/:9000/gdnps/content.jsp?id=4949776，2017 年 10 月 29 日最后訪問。?1.部門概況?|148.此處對于經營性的判斷與企業是否盈利無關，而是指用戶能否直接無償使用網站上顯示的信息，一般通常瀏覽的互聯網站均屬如此。9.ICP 經營許可證是我國電信條例中規定的增值電信業務經營許可證中的一種，一般包括移動信息服務業務經營許可證（SP 經營許可證）、互聯網信息服務許可證（ICP 經營許可證）、互聯網數據中心經營許可證（IDC 許可證）、互聯網接入服務業務經營許可證（ISP 許可證）和

8、呼叫中心經營許可證等。本文中將重點探討的是 ICP 備案，此處不再做贅述。?2.1 行政許可和備案?2.1.1 聯網備案?2.1.2 等級保護?|?152.2 行政處罰?2.3 巡查執法?2.4 監督檢查?10.參見：公安部：建立網警常態化公開巡查執法機制 全國首批 50 個省市網警執法賬號亮相網絡空間，http:/ 2017 年 10 月 31 日最后訪問。11.參見：http:/ 2017 年 10 月 31 日最后訪問。12.參見：全國 50 個省市公安機關 6 月 1 日起啟動網警巡查執法機制,有專家和全國人大代表建議完善立法,為網警巡查執法“助威”，http:/ 2017 年 10

9、月 31 日最后一次訪問。?|161.部門概況?13.信息通信管理局，http:/ 年 1 月 2 日最后訪問。14.網絡安全管理局，http:/ 年 1 月 2 日最后訪問。?|?17?2.行政權力2.1 網絡實名及其他?2.2 行政許可2.2.1 互聯網信息服務許可與備案?15.工信部組織對虛擬運營商實名制落實情況進行抽查暗訪，http:/ 年 1 月 30 日最后訪問。?|18?2.2.2 新業務審批?2.3 工業控制系統安全管理?16.楊合慶：中華人民共和國網絡安全法釋義，中國民主法制出版社 2017 年版，頁 151。17.廣東省通信管理局網絡安全法執法率先出手，https:/ 年

10、1 月 30 日最后訪問。?2.4 行政處罰?|20?|?211.網絡運行安全?1.1 案件概況1.1.1 未履行網絡安全保護義務?|221.1.2 未履行身份驗證義務?|?231.1.3 網絡產品、服務未符合相關國家標準的強制性要求?1.1.4 從事或支持危害網絡安全的活動義務?1.2 案例分析?1.2.1 網絡安全保護義務?1.參見：國內首例高校違法案例誕生，因為落實等保制度致學生信息泄漏，https:/ 年 11 月 23 日最后一次訪問65%20%10%5%?|242.修武縣公安局網警大隊查處全縣首例違反網絡安全法案件，https:/ 年 1 月 2 日最后訪問。?1.2.2 身份驗證

11、義務?|?25?1.2.3網絡產品、服務應當符合相關國家標準的強制性要求?1.2.4 不得從事危害網絡安全的活動或者為其提供支持?2.網絡信息安全?2.1 行政處罰案例?|26?|?272.2 約談案例?|28?1.龐理鵬訴東方航空、趣拿公司案1.1 案情基本信息?1.2 案情簡介?1.3 爭議焦點?|?29?1.4 啟示?2.新浪微博訴脈脈案2.1 案件基本信息?|302.2 案情簡介?2.3 爭議焦點?|?31?2.4 啟示?3.樂動卓越訴阿里云案3.1 案件基本信息3.2 案情簡介?|32?3.3 爭議焦點?3.4 啟示?|?33?1.杜天禹侵犯公民個人信息案1.1 案件基本信息?1.去

12、年公安機關偵破侵犯公民個人信息案件 4900 余起，http:/ 年 1 月 15 日最后訪問。2.參見：侵犯個人信息類刑事案件，上海、廣東、浙江、江蘇進前五，http:/ 案情簡介?1.3 啟示?2.雀巢員工侵犯公民個人信息案?2.1 案件基本信息2.2 案情簡介?|?35?2.3 爭議焦點?2.4 啟示?1.華為與微信用戶數據爭議事件1.1 爭議基本情況?|36?1.3 啟示?2.菜鳥驛站與順豐速運就物流數據爭議事件2.1 爭議基本情況?|?37?2.2 爭議焦點?2.3 啟示?|?39?1.網絡運營者義務的一般規定1.1 等級保護制度?1.1.1信息安全技術 網絡安全等級保護基本要求 第

13、3 部分：移動互聯安全擴展要求（征求意見稿）?1.1.2信息安全技術 網絡存儲安全技術要求（征求意見稿）?|40?1.網絡運營者義務的一般規定1.1 等級保護制度?1.1.1信息安全技術 網絡安全等級保護基本要求 第3 部分：移動互聯安全擴展要求（征求意見稿）?1.1.2信息安全技術 網絡存儲安全技術要求（征求意見稿）?|?41?1.2 用戶實名制義務?1.2.1信息安全技術 網站可信評估指標（征求意見稿）?1.3 網絡應急處置措施?1.3.1國家網絡安全事件應急預案?|42?1.3.2工業控制系統信息安全事件應急管理工作指南?1.3.3信息安全技術 信息安全風險處理實施指南?1.3.4信息技

14、術 安全技術 信息安全事件管理 第 1 部分：事件管理原理（征求意見稿）?1.3.5信息安全技術 網絡安全事件應急演練通用指南（征求意見稿）?|?43?1.3.6公共互聯網網絡安全突發事件應急預案?1.4 開展網絡安全認證、風險評估?1.4.1 信息安全技術 數據庫管理系統安全評估準則（征求意見稿）?1.5 禁止危害網絡安全?1.5.1治安管理處罰法（征求意見稿）?2.網絡產品、服務提供者的義務?1.修訂治安管理處罰法與時俱進值得點贊，http:/www.chinacourt.org/article/detail/2017/02/id/2542584.shtml，2017 年 10 月 17

15、日最后訪問。?2.1 網絡產品、服務提供規范?2.1.1治安管理處罰法（征求意見稿）?2.1.2網絡產品和服務安全審查辦法（試行）?|44|?45?2.1.3 信息安全技術 網絡產品和服務安全通用要求（征求意見稿）?2.1.4信息安全技術 信息技術產品安全可控評價指標 第 5 部分：通用計算機（征求意見稿）?2.2 接受安全檢測與安全認證義務?2.2.1信息安全技術 移動應用網絡安全評價規范（征求意見稿）?3.關鍵信息基礎設施運營者義務?3.1 重點安全保護義務?3.1.1公共互聯網網絡安全威脅監測與處置辦法?|46?3.1.2關鍵信息基礎設施安全保護條例（征求意見稿）?3.1.3信息安全技術

16、 金融信息保護規范（征求意見稿）?3.2“三同步”原則?|?473.2.1中華人民共和國密碼法（征求意見稿）?3.3 接受國家安全審查義務?3.3.1中華人民共和國密碼法（征求意見稿）?|48?3.3.2關鍵信息基礎設施安全保護條例（征求意見稿）?3.4 數據境內保存與跨境傳輸規則?3.4.1關鍵信息基礎設施安全保護條例（征求意見稿）?3.4.2個人信息和重要數據出境安全評估辦法（征求意見稿）?3.4.3信息安全技術 數據出境安全評估指南（征求意見稿）?|?49?3.5 定期安全檢測評估義務?3.5.1互聯網新業務安全評估管理辦法（征求意見稿）?|50?3.5.2關鍵信息基礎設施安全保護條例（

17、征求意見稿）?3.5.3 信息安全技術 信息安全服務提供方管理要求?3.5.4信息安全技術 關鍵信息基礎設施安全檢查評估指南（征求意見稿）?1.個人信息保護義務 1.1民法總則?|?51?1.2電子商務法（征求意見稿）?1.2.1 個人信息?2.獨家|首部 草案二審出爐 電商中心專家為你劃七大重點，http:/ 2017 年 11 月 14 日最后一次訪問。?1.2.2 信息收集?1.2.3 信息利用?|52?1.2.4 信息管理?1.2.5 信息交換?1.2.6 用戶權利?1.3測繪法?1.4關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋?1.4.1 對于“公民個人信息”的界定?|?

18、53?1.4.2 對于“提供公民個人信息”、“非法獲取”的界定?1.4.3 其他?1.5統計法實施條例?1.6殘疾人教育條例?1.7 國家網信辦有關互聯網信息服務的管理規定?|54?|?55?1.8信息安全技術 個人信息去標識化指南（征求意見稿）?1.9信息安全技術 個人信息安全規范?1.9.1 確定個人信息安全基本原則?|561.9.2 個人信息收集的要求?1.9.3 附件?2.違法違規信息管理?2.1 網信辦有關互聯網信息服務的管理規定?|?57?1.反不正當競爭法?|58?2.互聯網信息內容管理行政執法程序規定?|60?1.身份識別?|?612.數據審計2.1 數據?2.2 網絡布局(N

19、etwork Mapping)?2.2.1 明晰存儲數據的地理位置情況?2.2.2 明晰網絡系統部署情況?|62?3.合同保護措施3.1 數據相關條款的審查?3.2 網絡產品和服務采購合同審查?4.個人信息保護?|?63?5.重要數據保護?|64?6.制度設立6.1 安全防護?1.信息安全技術 數據出境安全評估指南（征求意見稿）附錄 A。|?65?6.1.1 初步確定安全保護等級?2.信息系統定級與備案工作介紹，http:/ 年 2 月 1 日最后訪問。?|66?6.2 數據本地化存儲與跨境傳輸?6.1.2 專家評審和主管部門審批?6.1.3 公安機關備案?|?67?|68?6.3 關鍵信息基礎設施保護?|?69?1.預警1.1 通過新聞報道以及外界輿論感知態勢?1.2 主動了解新近法律法規，進行自查自糾?|70?3.響應?3.1 固定證據?2.評估和決策2.1 評估網絡安全事件的類別?2.2 擬定網絡安全事件采取的應對措施?|?71?3.2 報告與通知?|723.3 解決事件?4.經驗總結?