互联网企业的定义
广义的互联网企业指以计算机网络技术为基础,利用网络平台提供服务并因此获得收入的企业。广义的互联网企业可以分为:基础层互联网企业、服务层互联网企业、终端层互联网企业。狭义的互联网企业是指在互联网上注册域名、建立网站,且利用互联网进行各种商务活动的企业,也即为广义互联网企业中的终端层互联网企业。——(百度百科)
互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。——《网络数据安全管理条例(征求意见稿)》
01
多家互联网企业接受网络安全评估引发思考
2021年下半年,国家网信办连续发布了对“滴滴出行”“运满满”“货车帮”“BOSS直聘”实施网络安全评估的公告。评估期间,以上APP均已停止新用户注册。多家互联网企业接受网络安全评估,让数据安全再次成为关注焦点。
以上被评估互联网企业均存在如下共性:1、拥有海量数据;2、境外上市涉及数据出境问题。因而面临着数据出境当中涉及的国家网络安全审查问题。
互联网企业经营行为及数据处理行为,如企业并购、境外上市、数据跨境传输、境外数据分析处理,可能从不同方面影响国家安全;当资本和国家安全发生冲突时,如何取舍?国家相关部门的一系列举动已经给出了明确答案,数据安全已被提升至国家安全的层面。
02
开展数据安全及隐私保护合规治理迫在眉睫
《网络安全法》、《数据安全法》、《个人信息保护法》的颁布实施,无疑将数据安全及个人隐私保护合规提升到新的关注高度,国家网信办配套三大上位法执行落地的《网络数据安全管理条例》亦处于征求意见中,互联网企业如何结合法律法规、监管部门要求及时发现企业数据安全问题所在,循序渐进提升数据安全管控能力是我们亟需思考的问题。
目前,互联网企业的主要数据安全问题,一是违法违规收集和使用个人信息,如在个人不知情的情况下收集个人敏感信息、超出数据主体同意的范围使用个人信息等;
二是未采取有效的技术和管理措施保护数据,导致其收集或在运营中产生的重要数据被窃取、泄露、毁损等情况发生,从而对国家安全、公共利益和个人权益等构成威胁。
对于互联网企业而言,应当依法依规开展数据收集、处理活动,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。
通用性管理
数据全生命周期管理
03
数据安全及隐私保护合规基线动作建议
做好年度数据安全风险评估准备
《数据安全法》第三十条的规定,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
《网络数据安全管理条例》(征求意见稿)第三十二条规定,重要数据处理者,需每年自行或委托数据安全服务机构开展一次数据安全评估,并将年度数据安全评估报告提交给网信部门。第二十六条规定,处理100万以上个人信息的数据处理者,比照重要数据处理者进行规范。
及时开展数据出境前自评估及出境后年度评估
《网络数据安全管理条例》(征求意见稿)第三十二条 处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。
落实个人信息安全影响评估
《个人信息保护法》第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
注重APP上架前收集使用个人信息合规评估
根据《个人信息保护法》、《网络数据安全管理条例(征求意见稿) 》中个人信息保护要求、四部委(网信办、公安部、工信部、市场监管总局)2019年12月联合印发的《App违法违规收集使用个人信息行为认定方法》,从收集使用个人信息合规、数据泄露风险检测两方面进行检测,确保APP上架合规。
参考文献:
《互联网企业数据如何影响国家安全?》——陈婧
《电信网和互联网数据安全通用要求》YD/T 3802-2020
《网络数据安全管理条例》(征求意见稿)
— 往期回顾 —
