2022年8月9日,上海政法学院经济法学院副院长曹阳教授、上海政法学院副教授商建刚、上海政法学院经济法学院副教授孙益武、上海政法学院副教授哥舒·泮、上海政法学院上海全球安全治理研究院特聘副研究员丁迪、上海政法学院经济管理学院徐威娜博士等六位老师,以“滴滴网络安全审查案”(以下简称“滴滴案”)为例展开线上线下同步数据合规教学研讨会。
同时,上海政法学院教授张继红、上海政法学院副教授杨彤丹、上海政法学院蓝纯杰博士、上海政法学院佟秀毓博士、上海政法学院经济法学院舒静怡博士等多位学者参加了线上研讨。上海瀛泰律师事务所高级合伙人、数据合规委员会主任章煦春律师参与研讨。
本次研讨会共有10位数据合规培训与考试基地的研究和教材编写人员以及上海瀛泰律师事务所所两位律师参加。本次会议由商建刚主持,他首先对滴滴案件进行了事实回顾和展望,然后与会专家展开研讨。全会主要讨论了以下三个问题:
2021年6月30日滴滴在美股上市,网络安全审查办公室于7月2号启动了网络安全审查并通知滴滴不再进行新的用户注册,国家互联网信息办公室(以下简称“网信办”)7月4日和7月9日两次发出下架“滴滴出行”的通报,最终网信办对滴滴作出了处罚80.26亿元人民币的决定。章律师提到对于企业家而言,最大的困扰是在九龙治水、多头监管之下,不知道各种审查对应的是哪个行政机构或是应当遵循哪部法律法规及监管规则。在滴滴案中出现了多个“行政主体”,其中网络安全审查办公室在本次网络安全审查中发挥着什么职能,各位老师在会上表达了不同观点。经过研讨,杨彤丹教授认为,本案涉及的网络安全审查办公室其实是网信办的内设机构,其并非一个执法机构,而本案的执法主体是网信办,原因有以下两点:首先,从网信办的设立出发。网信办最初实际上是在2011年设立的,当时只是在国家新闻办公室下面加上了一个牌子,人员设置其实一模一样。2014年国务院对网信办进行了重组,由此脱离了国家新闻办公室,独立负责全国互联网信息内容管理工作并负责监督管理执法,属于国务院下设的行政机构。此时,其与中共中央网络安全和信息化委员会办公室(前身是中央网络安全和信息化领导小组)属于“一套班子、两块牌子”。2018年3月,国务院下发《国务院关于机构设置的通知》明确指出:“国家互联网信息办公室与中央网络安全和信息化委员会办公室,一个机构两块牌子,列入中共中央直属机构序列。”从此,网信办既是一个行政机构同时也隶属于党的体系,具有多重身份属性。其次,从2022年2月15日施行的《网络安全审查办法》第四条可以推断出网信办是网络信息领域最主要的牵头主管部门,协同其他部门建立一个灵活优秀的协调机制,而这个牵头主管部门需要内设一个办事机构来落实其日常的工作运作,因此就将网络安全审查办公室设在网信办下,负责帮助网信办制定网络安全审查相关制度规范,组织网络安全审查。本次滴滴案的具体审查行动就是由网络安全审查办公室启动和调查,但因为该机构并非行政主体,无法直接对外作出行政处罚,所以只能由具有国务院法定授权的行政机构网信办对滴滴公司实施行政处罚。需要注意的是,两次要求滴滴公司下架产品、进行整改属于行政强制措施而非行政处罚。蓝纯杰博士同样认为网络安全审查办公室具有协调功能,他认为国家网络安全审查工作机制与全面依法治市委员会机构的功能定位比较类似,而在全面依法治市委员会下面存在的上海市委全面依法治市委员会办公室就与网络安全审查办公室的性质类似,同样采用了“设在”这样一个用语,表示网络安全审查办公室和网信办并不是一个上下级或者隶属关系,而是为了协调《网络安全审查办法》中提到的13个部门而设立的专门议事协调机构,隶属于国务院。设立这样一个协调机构的原因在于13个部门中的任何一个机关都很难单独实现安全审查的功能,网络安全审查需要各个部门的相互配合和资源调动,从而为有为监管创造条件。滴滴案的处罚金额为80.26亿人民币,即使放眼全球来看这个处罚金额在侵犯个人信息案件中也是一个极高的数字,远高于欧盟GDPR目前被罚的最高记录——2021年亚马逊案件的7.46亿欧元(约57亿元人民币)。为什么本次对于滴滴的处罚力度如此之大以及在这样严厉处罚背后能否总结出企业合规的核心关注点?各个老师对此阐明了自己的观点:徐威娜博士提出合规中最重要的就是对技术进行风险评估。某种技术本身一定是优缺点并存的,企业合规就是要去权衡技术的优缺点,并对缺点与技术结合带来的风险漏洞评估后,提前做出相应的规避措施。蓝纯杰博士提到企业不能忽略国家监管。从近期微软收购Tiktok失败、恒大爆雷事件以及摩拜单车事件等,都可以看出产业金融化以后资本逐利的的无序扩张,这给国家的发展带来了很多不利因素,而国家已经利用技术开始对企业进行有为监管。尤其是数据安全关系到国家的战略,政府部门正在利用科技手段高度监管此类违法事件,企业应当将数据合规置于企业经营中的重要地位,将企业的合规覆盖到生产、流通的全过程、全领域和全方位。丁迪博士通过讲述滴滴背后柳氏家族的发展故事提醒企业家发展企业不能只顾自己的金钱利益而不顾国家安危,滴滴案件的超高处罚金额可以看出国家对于侵犯国家安全行为的零容忍态度。孙益武教授提出对企业来说合规可能是从个保法开始的,网络安全审查的“安全”侧重于国家安全。本次公示出来的滴滴存在“过度收集”、“违法收集”等行为违反了《个人信息保护法》中最小必要原则和知情同意原则,但更需要注意的是向公众披露的前提是这些行为都不涉及国家安全问题,真正涉及国家安全的违法行为因为设定了加密级别并未向公众披露。而且涉及到国家安全的案件是没有任何申诉和复议程序的,且审查结论也尚未向公众公布,没有其他救济途径。最终强调了网络安全审查与数据安全审查属于并列的关系,两者同时进行并不矛盾。在具体数据合规方面可能存在一定的重叠,因此企业进行合规需要同时关注个人信息和国家安全两个层面。张继红教授认为,《国家安全法》的出台以基本法的形式确立了总体国家安全观的指导地位。国家安全是悬在每个企业头上的达摩克里斯之剑,随时都可能落下,是企业合规真正要关注的问题。滴滴案件为何会触发如此之重的处罚,归根结底在于涉及了国家安全这一核心问题。关于数据涉及国家安全的行政处罚如何救济的问题专家提出了很多意见,但是最终的条款没有因此改变——《数据安全法》第二十四条规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。”曹阳教授认为在数据经济时代下,对于企业来说数据是新时代中具有极高价值的财富,但数据合规是一种高额的成本。对于公民和国家来说数据安全是他们高度重视的问题。而现在的数据,可能同时涉及到国家经济安全、政治安全、文化安全,不再是一个单纯的数据。所以这个矛盾是根本性存在的,只能通过找到动态平衡点去平衡双方的利益。现在绝大部分企业都希望通过整合数据来促进商业模式的更新从而获取高额利益,但这只是一种众所周知的捷径,使用先进技术来驱动商业模式的迭代才是未来企业家应该努力探索的正确道路。三、在当前的立法中,数据跨境应当注意什么?如何实施数据跨境?
孙益武教授通过梳理关于数据跨境法律法规出台的历史过程,发现我国对于数据跨境安全的问题是高度重视的。比如我国法律规定了“数据本地化”,即关键信息基础设施数据必须在国内境内存储,确有需要进行跨境数据传输的要求严格遵守法律法规,主动履行申报的义务。虽然滴滴案件中可能存在一些关于新旧法律适用的争议问题,但是之后再发生类似事件将不会有审查方面的法律障碍。张继红教授认为国家安全问题已经延伸到了网络空间中,包括热议的元宇宙与数据安全都要意识到国家安全问题是不可触犯的底线。《网络安全法》出台是为了保护CIIO(关键信息基础设施的运营者)免遭外来的网络攻击,而《数据安全法》是因为如今数据已经成了各国战略性的资源,某种程度上来说甚至比黄金和货币都更珍贵。要注意的是,CIIO、重要和国家核心数据的处理者以及达到规定数量的个人信息处理者在出境问题上都需要把国家安全放在首位。企业基于业务需要出境一定要遵循三条路径:进行安全评估、个人信息保护认证和标准合同。其中需要进行安全评估的包括重要数据、CIIOI和达到规定数量的个人信息的处理者,对此不能做扩大解释。除了上述三种情形以外的其他情形企业可以选择认证或者标准合同路径,减少企业的负担。舒静怡博士认为我国目前使用安全评估的路径相较于个人信息保护认证和标准合同更为靠谱,因为我国目前缺乏对于专业机构的定义和程序规定,同时也没有类似欧盟成熟的标准合同审核流程。章律师在此基础上提出了新的问题:1.标准合同是否可以根据具体的交易背景进行相应修改?2.谁有资格进行数据出境个人信息保护认证?章煦春律师认为对重要数据的认定,可能随着不同业务场景下的数据集合,数据用途、共享方式的变化,产生认知上的动态调整。个人信息用量级来体现,是因为个人信息中敏感个人信息和一般个人信息已有法定区分标准,以量级来判定因个人信息泄露给个人、公共利益、国家安全造成的威胁比较容易识别,但真正难以识别的重要数据。首先,重要数据可能会随着业务场景的变化而变化;其次,在不同行业,对同一类型数据的重要性认知可能会有极大差异,全国信息安全标准化技术委员会的《重要数据识别指南》从2020年7月立项至今仍处于征求意见稿阶段。我们以“复工复产数据”为例,如果单看企业用电数据,谈不上是重要数据。但如果通过对不同企业、同一时段的复工复产用电数据进行深入分析后,分析出我国重点领域经济运行态势,那这些相应的企业用电数据就应当算是重要数据。因此,应对重要数据建立动态识别规则,希望国家法律规定进一步予以明确。曹阳教授认为不管数据的未来如何发展,它都不可能建立一个逻辑完美普世机制,它一定是个案的、动态的、具体的一个规范。提出建立一个非常具体的规则来指导数字经济发展中的问题是不可能的。技术在不断发展、商业模式在不断的发展,同一数据在不同场景下性质也是完全不一样的。因此,对于数据的规制实质上是没有标准的,无法形成一个固定的模式,对数字经济一定是动态的、个案的规制。不管是国家安全还是数据安全,都不可能建立一个统一的标准。1、在网络安全审查、数据跨境等方面,不公开的违法违规行为主要有哪些?如何界企业的行为是否损害国家安全?4、新时代下如何争夺关于数据主权的国际话语权问题?5、滴滴案件目前聚焦在行政法上,理论上来说是否有可能涉及刑事违法,是否可能适用合规不起诉?
本次研讨会系2022年6月29日上海市法学会与上海政法学院数据合规项目协议签约揭牌仪式在上海政法学院(普陀校区)隆重举行之后的第二次集中教学研讨活动。通过本次研讨,将有助于数据合规教材的编写和培训内容的提升。
新媒体合作请联系Sharon内容推广、转载授权、原创投稿、发布招聘...
作者:商建刚
编辑:Sharon
点击图片查看文章
(www.pharmaip.cn)
(www.giips.cn)