根据我们的经验,建立合规的网络数据安全审查制度,不仅能够有效遏制类似事件发生的几率,而且还是类似事件发生后企业免责的最好抗辩事由,谁会苛责一只穷尽所能的勤劳小蜜蜂呢?更重要的是,这不是一项可有可无的善举,而是每一个企业必须承担的法定义务。笔者结合执业经验,梳理出网络数据合规审查(同时也可以用于并购项目中的网络安全法律尽调)部分要点,仅供大家交流、参考。一、企业应当制定网络数据安全保护机制是否有相对健全的网络数据安全保护机制,是网络数据合规审查的首要关注点。这不仅是企业开展互联网业务的前提条件,也是网络公共安全事件发生后,企业是否应当承担责任以及承担多大责任的首要考量因素。根据工信部《电信业务经营许可管理办法》,企业申请办理电信业务经营许可证的,必须向监管机构提交符合要求的“信息安全保障措施”申请材料。此外,全国人大常委会《关于加强网络信息保护的决定》要求,企业应当采取技术措施和其他必要措施,确保信息安全。根据《电信条例》规定,企业应当按照国家有关电信安全的规定建立健全内部安全保障制度,实行安全保障责任制。同时,根据公安部《互联网安全保护技术措施规定》,企业应当建立相应的管理制度,落实互联网安全保护技术措施,且互联网安全保护技术措施应当符合工信部、公安部监管要求及相关行业标准(例如《增值电信业务网络信息安全保障基本要求》、《电信和互联网服务用户个人信息保护分级指南》等)。根据公安部《计算机信息网络国际联网安全保护管理办法》规定,未建立安全保护管理制度的企业,根据情节不同,由公安机关给予责令限期改正、警告、罚款、停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。二、企业应当建立网络数据违法犯罪调查配合机制根据我国法律规定,配合司法机关调查违法犯罪行为是每一个公民和企业的义务,在网络数据安全领域也不例外。企业不仅应当为司法机关提供相关的数据接口与解密支持,还应当提供个案调查配合义务。根据《反恐怖主义法》规定,企业应当为公安机关、国家安全机关进行防范、调查恐怖活动提供网络数据的技术接口和解密技术支持。根据公安部《互联网安全保护技术措施规定》,企业网络数据应当具有符合公共安全行业技术标准的联网接口。此外,根据《计算机信息网络国际联网安全保护管理办法》,企业应当如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。三、企业应当建立网络数据过滤与审核机制企业在互联网领域的合规风险,大部分来至于对网络平台数据的审核不力或监管疏漏,轻则被通报批评或罚款,重则被吊销经营资质。《网络安全法(草案)》、《网络出版服务管理规定》、《互联网信息服务管理办法》、《互联网安全保护技术措施规定》、《互联网新闻信息服务管理规定(修订征求意见稿)》等均明确规定,企业有义务主动发现、停止传输、报告公共网络数据中的违法信息,应当建立网络数据内容审核与过滤机制,加强对其用户发布的信息的管理与审核工作。根据《关于加强网络信息保护的决定》,企业违反过滤与审核规定的,根据情节给予警告、罚款、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚。四、企业应当建立网络数据分级管理与保护制度对网络数据分级,有利于平衡用户与企业利益,方便企业采取针对性的安全保护措施,提高企业合规管理效率。《电信和互联网服务用户个人信息保护定义及分类》以及《电信和互联网服务用户个人信息保护分级指南》根据网络数据的敏感程度不同,将网络数据分类、分级保护,并依据《信息安全等级保护管理办法》采取相应的安全保护措施。《寄递服务用户个人信息安全管理规定》、《人口健康信息管理办法(试行)》、《关于银行业金融机构做好个人金融信息保护工作的通知》等也明确规定,个人信息实行分级管理、分类利用原则。五、企业应当建立网络用户实名验证机制用户的注册与使用行为是企业获取网络数据的主要来源之一,但依法获取该等信息的前提条件是企业必须建立实名验证机制。根据《关于加强网...
