编者按:
随着《中华人民共和国个人信息保护法》、《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》的出台,数据合规引发互联网企业的广泛关注,而数据合规在城燃企业当中似乎关注不高。
但是,近年来各燃气企业加大物联技术推广运用和信息化、数字化手段融入管理,而燃气企业所属市政管网、门站、储配站、储气设施等保障城镇燃气供应的设施、设备在运行过程中也积累了大量关系国计民生、城市能源安全的信息、数据,燃气企业“最后一公里”的特征又整合了很多用户的个人数据......在燃气企业传统商业模式备受挑战的当下,各大企业纷纷在开辟增值业务。那么,数据业务会成为城燃企业的新“金矿”吗?
下文将从数据信息系统建设的合规要求、数据信息管理规则、数据信息业务规则三个方面展开,对城燃企业的数据合规要求进行了深入分析,以期为城燃企业应对数据合规挑战提供方向指引。
正文:
城燃企业数据合规挑战与应对
文:北方瑞气、逢雨
随着《中华人民共和国个人信息保护法》、《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》(以下统称“三法一例”)等法律、法规及《网络安全审查办法》等操作层面的细则、标准、规范相继生效,我国对于网络数据安全及个人信息保护的法律框架基本形成,与此同时国家对这方面的监管和处罚力度进一步加强。
针对城市燃气行业而言,其业务活动中收集、存储、利用的数据,呈现出“量大”、“面广”、“重要”三个特点。从客户端看,通过多年的发展与积累,基于为城镇众多用户提供用气服务,在开户、安检、缴费、维修等业务活动中,收集了大量居民用户、非居民用户姓名、名称、住址、家庭人口、购气记录、银行账户、所属行业等海量业务数据信息,从供给端看,燃气设施作为城镇市政基础设施的重要组成部分,近年来各燃气企业加大物联技术推广运用和信息化、数字化手段融入管理,燃气企业所属市政管网、门站、储配站、储气设施等保障城镇燃气供应的设施、设备在运行过程中也积累了大量关系国计民生、城市能源安全的信息、数据。
外界法治环境的变化和燃气企业自身的特点,催生了燃气行业应当将数据安全、数据合规纳入运营管理之中,鉴于数据信息保护法律领域为一个全新的领域,本文旨在结合新的法律、法规对企业数据合规提出的新要求、新挑战,对企业应当在此领域落实的“新动作”予以总结、提示。
一、城燃企业数据信息系统建设的合规要求
(一)三同步原则
数据信息系统建设“三同步原则”的具体含义为:企业建设、购置信息基础设施应与相应的数据信息安全保护措施“同步规划、同步建设、同步使用”。本原则的确立旨在要求企业加大数据信息安全的物质保障和资金投入,从源头起步保障数据信息安全。
(二)采购网络产品和服务时的安全义务
1、采购安全可信的产品和服务
《关键信息基础设施安全保护条例》第19条规定:“运营者应当优先采购安全可信的网络产品和服务”。此条规定要求燃气企业采购与网络信息有关的软件、硬件产品(例如核心网络产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备等)及技术咨询、开发服务时,要将产品和服务的安全纳入考察范围。
2、签订安全保密义务并监督落实
《关键信息基础设施安全保护条例》第20条、《网络安全法》第36条都要求运营者采购网络产品和服务,应当与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。相对于原有的只重视在采购合同中约定产品质量、价款、规格、标准的情况,未来燃气企业作为买方采购网络信息产品与服务的,应同时签订《安全保密协议》对产品、服务提供者的安全义务与责任做出约定。
3、必要时接受安全审查
《网络安全法》第35条规定关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织国家安全审查。根据现行《网络安全审查办法》,目前采用企业预判产品和服务风险、申报安全审查、网络安全办公室审查的方式,但不排除监管机构在认为产品、服务存在可能影响国家安全的情况下,主动进行安全审查。
二、城燃企业数据信息管理规则
(一)组织人力保障:设置数据安全负责人和管理机构
组织和人员是企业数据合规、数据安全工作和责任的承接者。前述“三法一例”中都无一例外的对数据合规的组织和人员做出要求。《数据安全法》第27条强调“重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。”《网络安全法》第34条、《关键信息基础设施安全保护条例》第14条要求“关键信息基础设施的运营者”设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;此外《个人信息保护法》第52条规定:处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
鉴于各企业在规模大小、管理体制、组织机构等方面呈现多元化的形态,在落地此项管理规则过程中也有诸多问题需要考虑,比如数据合规组织为一级组织还是二级组织;在集团化管理的公司,集团设置还是普及到法人实体,都是需要探索的问题。
(二)制度保障:建立数据安全与合规管理制度
“没有规矩、不成方圆”,对业务活动建章立制是管理活动的基本要求之一,同样在“三法一例”中也都对建立健全全流程数据安全管理制度和内部操作规程做出了规定。燃气企业应当针对数据收集、存储、使用、加工、传输、提供、公开、删除等业务环节,结合具体的业务场景和管理需求,逐步建立数据安全与合规有关的制度、标准、规范、指南等体系性制度文件。数据合规组织制度、数据合规风险管理流程、合规审查流程、违规举报、调查与处置流程、合规报告程序等方面。
(三)重要手段:数据分类保护制度
分类保护是数据保护的重要手段,通过分类可以使企业对其处理的数据区分层次、分清重点采取不同的保护措施。另一方面,数据分类保护制度也是《网络安全法》、《数据安全法》、《个人信息保护法》对企业数据管理的要求。
在金融领域,《个人金融信息保护技术规范》对金融数据按敏感程度进行分类,将个人金融信息分成C3、C2、C1管理。被归属于C3的金融信息是最高级别保护的信息,用于用户鉴别的个人生物识别信息则属于此类信息。对此,金融机构在数据的使用与处理方面,则应注意不得将C3以及C2类别信息中的用户鉴别辅助信息对外共享或委托给第三方机构处理。一般而言,城燃企业可以根据数据性质、敏感度、泄露破坏后的危害程度等因素,完成对本企业掌握的数量巨大的数据的分类,并采取不同的加密、备份、权限管理等措施。总之,在此问题上,建议城燃企业遵循先分类、后分级、再梳理的程序,落实数据分类保护制度。
(四)夯实意识防线:数据安全教育培训制度
《网络安全法》、《数据安全法》、《个人信息保护法》三部法律对企业组织开展数据安全教育培训,提高数据合规意识、培育网络安全氛围做出要求,城燃企业应当根据自身需求,选择国家法律法规、企业制度规章、行业正反案例、网络安全技术等专题、采取“请进来、送出去”的方式、利用各种资源按年度、季度、月度进行专题教育培训。
(五)事前防范的重要保障:数据安全监测制度
数据安全监测预警是数据合规管理、关口前移,防微杜渐的重要保障,也是一个负责任的企业对保障数据安全的应有之义。《数据安全法》第29条、《网络安全法》第21条要求企业开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。同时对监测、记录网络运行状态、采取网络安全事件的相关技术措施的网络日志保存不少于六个月。
(六)自我防范:数据安全风险评估制度
“三法一例”中均对企业建立数据安全风险评估制度有所要求。综合其规定内容,要点如下:
1、评估的类别及频次
数据安全风险评估分为综合评估和专项评估。综合评估针对企业整体数据管理情况,每年至少一次。专项评估是根据法律的要求,针对企业特定业务活动和场景提出的特殊要求。根据《个人信息保护法》第55条规定个人信息处理者应当在开展下列业务活动之前进行风险评估,并对处理情况进行记录:
(1)处理敏感个人信息;
(2)利用个人信息进行自动化决策;
(3)委托处理个人信息、向他人提供个人信息、公开个人信息;
(4)向境外提供个人信息;
(5)其他对个人有重大影响的个人信息处理活动。
2、评估的主要内容
参照《个人信息保护法》第55条规定企业数据安全风险评估的主要内容包括:
(1)数据处理目的、处理方式等是否合法、正当、必要;
(2)对利益相关方权益的影响及安全风险;
(3)所采取的安全保护措施是否合法、有效并与风险程度相适应。
3、评估实施的主体
《网络安全法》、《数据安全法》、《个人信息保护法》没有对评估实施的主体做出强制要求。参照《关键信息基础设施安全保护条例》第17条的规定,企业可自行或者委托网络安全服务机构开展数据安全风险评估均可。
4、评估报告和处理结果的保存要求
参照《个人信息保护法》第55条规定企业数据安全风险评估报告和处理情况记录应当至少保存三年。
(七)数据合规审计制度
《个人信息保护法》第54条规定“个人信息处理者应当定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计。”本条规定没有明确数据合规审计的频次,实施主体(内审还是外审)。燃气企业可以根据经营现状自行决定。
(八)编制网络安全应急预案
针对网络安全事件突发性、不确定性的特点《网络安全法》、《个人信息保护法》要求企业应当制定网络安全事件应急预案并定期进行演练,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
(九)强制报告义务
强制报告义务是指企业发生特定情况时,必须向相应的关键信息基础设施安全保护部门、网信部门、公安机关报告的义务。根据《关键信息基础设施安全保护条例》第11、18、21条的规定,发生以下三种情况,关键信息基础设施运营者必须履行报告义务:
1、关键信息基础设施发生较大变化,可能影响其认定结果时;
2、发生重大网络安全事件或重大网络安全威胁时;
3、企业合并、分立、解散时。
三、城燃企业数据信息业务规则
(一)收集用户信息的规则
收集用户信息是处理信息的第一步,也是最关键的一步,因为在收集这个环节,企业和用户直接发生信息的交互与沟通,其他存储、使用、加工、传输、提供、公开、删除等信息处理活动都可以在未有用户参与、配合的情况下由企业自行完成。基于以上原因,部分企业数据处理者,甚至误认为所谓“数据合规”就是收集用户信息的合规。虽然此种观点有失偏颇,但也从侧面反映出落实收集用户信息的规则,在数据合规中的基础核心作用。
依据《网络安全法》、《个人信息保护法》的相关内容,对收集用户信息的规则总结如下:
1、知情-同意原则
知情-同意原则的含义是通过明确的方式让用户知道企业在进行收集用户信息的行为,公开收集、使用信息的规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
需要注意的是,《个人信息保护法》强调“知情”的前提是企业透明、公开,以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关信息。而对于“同意”则强调个人在充分知情的前提下自愿、明确作出,法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
另外,《个人信息保护法》第13条规定,下列情况无需取得信息提供者的同意,可以直接处理个人信息。具体如下:
(1)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(2)为履行法定职责或者法定义务所必需;
(3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(4)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(5)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(6)法律、行政法规规定的其他情形。
2、合法、正当、诚信原则
合法、正当、诚信原则的含义是处理个人信息的目的、手段应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
3、最小范围、最小方式原则
最小范围原则的含义是收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。仅收集与业务直接相关的个人信息,避免收集与业务无关的信息。一些移动互联网应用程序(APP)通过“一揽子协议”将收集个人数据与其功能或服务进行捆绑,用户不同意全面授权,就无法使用该APP。这严重损害了用户作为个人数据主体的决定权。
最小方式原则的含义是处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
以上规则、原则城燃企业在通过企业公众号、APP、网站开展维修、报装、收费、员工入户安检采集信息、增值业务推广、在营业厅安装摄像、录像监控设备等线上、线下业务场景中,都应当遵守与执行。
(二)数据存储要求
依据《网络安全法》、《个人信息保护法》,对数据、信息存储的相关要求总结如下:
1、境内存储是对数据信息存储地点的要求,也是国家数据主权的体现和保障数据安全的必要措施之一
《网络安全法》第37条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。”《个人信息保护法》第40条规定“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。”
2、采取必要安全措施
除过前文所述,企业应当制定内部管理制度和操作规程;对数据信息实行分类管理;定期对从业人员进行安全教育和培训;制定并组织实施个人信息安全事件应急预案等管理措施之外,《个人信息保护法》第40条要求对数据信息采取加密措施、对敏感信息去标识化、根据企业实际设置合理的操作权限等必要安全技术措施。《网络安全法》第21条强调了企业应当落实“防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”。
3、重要数据备份
针对网络安全事件频发,数据安全面临较多危险的情况,《网络安全法》第21、34条提出企业应对重要数据备份、重要系统和数据库进行容灾备份的要求。
4、个人信息存储的最短期限
关于个人信息存储的期限,《个人信息保护法》第19条规定除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。不同于法律、法规在多数情况下要求企业对特定信息保存最短期限的规定,此处对个人信息存储要求最短期限的规定,也是前文提及处理个人信息应采用对“个人权益影响最小的方式”的体现之一。
(三)处理个人信息的规则
城燃企业在处理用户个人信息时应承担的义务主要为告知义务,按照《个人信息保护法》第17条的规定企业需告知的主要事项有:
1、个人信息处理者的身份和联系方式;
2、个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
3、个人行使本法规定权利的方式和程序;
4、法律、行政法规规定应当告知的其他事项。
同时,告知的程序性要求有两个:一是告知方式显著,二是告知语言清晰易懂。
(四)利用信息自动化决策的规则
一直以来,利用用户个人信息进行“用户画像”,然后根据“用户画像”做所谓的“精准推荐”,一直是互联网平台的惯用做法,直至发展成“大数据杀熟”。《个人信息保护法》对“自动化决策”做出针对性的规范,实际上就是表示平台不能滥用个人信息,不能滥用算法。
关于“自动化决策”需要明确两个问题,一是自动化决策的定义,解决的是哪些行为属于“自动化决策”;二是开展自动化决策需要遵循的规则有哪些?解决如何才能合法合规的开展自动化决策,用好自动化决策。结合《个人信息保护法》的相关规定,分述如下:
1、关于“自动化决策”的定义。根据《个人信息保护法》第73条“自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”。从前述定义来看,目前比较常见的以下行为,均可能归入“自动化决策”范畴:
(1)使用“用户画像”对个人进行评价或推送;
(2)根据个人信息“向个人信息主体提供业务功能的过程中使用个性化展示”;
(3)基于个人信息使用信息程序系统自动化给出决定结果,如金融领域个人征信及贷款额度的审批、劳动与人力资源管理层面对面试人员的自动化筛选等。
2、自动化决策需要遵循的规则
(1)告知—同意是前提、影响评估是保障
自动化决策作为“处理”个人信息的一种典型方式,燃气企业开展此类活动,应当遵循个人信息处理的一般原则即“告知—同意原则”。当然如果涉及利用了“敏感个人信息”,根据《个人信息保护法》第29条的规定,此种情况需要取得个人的单独同意,甚至书面同意。
《个人信息保护法》第55、56条规定,开展利用个人信息进行自动化决策前,应当事前进行个人信息保护影响评估。评估的主要内容包括:个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。并要求个人信息保护影响评估报告和处理情况记录应当至少保存三年。
(2)保证“自动化决策”过程的透明度和结果上的禁止不合理差别待遇
《个人信息保护法》第24条强调了自动化决策的“透明度”问题,但透明度的标准,透明到何种程度,仍需未来法律、法规予以明确。
关于结果上的禁止不合理差别待遇,属于对前期平台企业暴露出的“大数据杀熟”、对不同客户实行不合理的歧视性交易条件和差别待遇的回应。
(3)个性化营销/推送选择权
针对相关产品和服务中存在的大量的信息骚扰问题,《个人信息保护法》第24条强调通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
(4)涉及重大影响决定的说明权和拒绝权
根据《个人信息保护法》第24条的规定,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。此处的“有重大影响的决定”有待立法者、监管机构进一步明确,但拒绝交易、拒绝签约、提高价格、降低信用评级等方式一般会被认定为“对个人权益有重大影响的决定”。
(五)向境外提供个人信息的要求
地理意义上的边境十分容易理解,依照《中华人民共和国出入境管理法》的规定“出境是指由中国内地前往其他国家或者地区,由中国内地前往香港特别行政区、澳门特别行政区,由中国大陆前往台湾地区” 。
但是网络意义上的边境却难以确定,严格来说互联网并没有“境”,数据的上传和下载在鼠标点击之间即可完成,但要将主权意义上的“境”映射到互联网上则只能从数据接收方的国籍、所在地、设备所在地、实质性重于形式等角度进行具体判断,例如数据物理存储介质(电脑、手机、硬盘、服务器等设备)的地理位置、雇员的国籍、境外法律实体的国籍、境内相关数据是否能被境外用户访问以及访问的权限如何等。
数据出境是一种敏感、严肃的活动,根据国家互联网信息办公室于2021年10月29日发布的《数据出境安全评估办法》(征求意见稿),满足以下条件之一的,数据处理者向境外提供数据,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
1、关键信息基础设施的运营者收集和产生的个人信息和重要数据;
2、出境数据中包含重要数据;
3、处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
4、累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;
5、国家网信部门规定的其他需要申报数据出境安全评估的情形。
(六)禁止性规定
禁止性规定是指国家法律、法规要求城燃企业在数据管理及业务运营中不应当出现的行为。总结现行法律规定,主要禁止行为类别如下:
1、未经批准不得实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动
本条规则主要体现在《关键信息基础设施安全保护条例》第31条中,即未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。
2、不窃取、不非法出售、不非法提供个人信息
本条规则主要体现在《网络安全法》第44条、《个人信息保护法》第10条中,即任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
关于对外提供信息,近年来城燃企业经常遇见的情况是,地方政府或主管部门以建设城市大数据便民平台或司法机构以反腐反贪、防恐反暴为理由要求企业提供客户数据信息或链接数据端口。针对这种情况,城燃企业可以要求数据需求方提供书面正式文件(载明需要数据的目的、用途、类别等信息)、签订保密协议、自行采取加密措施、要求数据接收方采取加密措施等方式,合理规避自身的法律责任。
3、不泄露、篡改、毁损个人信息
本条规则主要体现在《网络安全法》第42条中,即网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
最后需要说明的是,在行政处罚方面,根据《个人信息保护法》第66条的规定,相关违法行为情节严重的,可能没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照。直接负责的直管人员和其他直接责任人员亦可能面临十万元以上一百万元以下高额罚款,并可以禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护人。
随着数据安全和个人信息保护方面的监管加强,对城燃企业来说对照法律、法规的要求,梳理自身情况,查缺补漏、迅速响应国家监管要求,构筑数据安全和个人信息保护合规要求,必将成为一项任重而道远的工作。
免责声明:以上内容转载自天然气与法律,所发内容不代表本平台立场。
全国能源信息平台联系电话:010-65367702,邮箱:hz@people-energy.com.cn,地址:北京市朝阳区金台西路2号人民日报社
热门跟贴