盈科国际律师学院、盈科女律师学院数据合规专题系列课程之《企业网络安全与数据合规实务精要》圆满结束。本次课程由北京市盈科律师事务所张良律师担任主讲嘉宾。张良律师是北京市盈科律师事务所胡昕宇律师团队核心成员，其善于从商业和企业战略角度出发，在全面系统的法律知识基础上结合网络数据安全领域最前沿的产品和技术，为客户提供高品质且切实可行的网络安全和数据保护综合解决方案。

2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》，自2021年9月1日起施行；十三届全国人大常委会第三十次会议8月17至20日在北京举行，个人信息保护法草案（三次审议稿）将在会上审议。本次课程张良律师结合时事热点，带来她本人对网络安全与数据合规法律实务的系统介绍。

一、引言部分：从近期案例看企业数据合规痛点

通过近期滴滴出行网络安全审查、旷世科技IPO数据合规与科技伦理问询以及近年墨迹风云科技、每日互动网络科技等热点案例，张良律师分析了网络安全与数据合规所关涉的重点行业，并总结出企业数据合规的主要痛点包括：国外IPO网络安全审查、网络安全等级保护测评、建立并有效执行完善的防泄漏和保障网络安全的数据内控体系、数据中的个人信息是否取得授权、是否侵犯个人隐私、是否有数据安全和个人隐私保护措施以及数据获取/使用/处理/流转过程是否合法合规等。

二、概要部分：发展沿革及合规义务清单

第二部分主要结合张良律师近几年的实践经验和研究心得，对我国网络安全与数据合规领域的立法背景、立法沿革和框架、主要监管机构以及适用范围等进行了详实的介绍；根据《网络安全法》、《数据安全法》以及《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》等具体法律文件，列举介绍了企业所应遵循的合规义务清单。

三、制度介绍：网络安全等级保护制度、个人信息保护制度以及网络安全审查制度

1、网络安全等级保护制度概要

网络安全等级保护制度是按照网络重要性及其受破坏后结果的严重性，实施分级、分类、分阶段保护的制度。1994 年，国务院颁布的《中华人民共和国计算机信息系统安全保护条例》被视为等级保护制度的起源。2017年，《网络安全法》生效，其中第21条规定“国家实行网络安全等级保护制度”，将“国家网络安全等级保护制度”提升为法律要求，并使等级保护制度从“信息（系统）安全”层面进一步拓展至“网络安全”层面。此外，等保2.0规范体系还包括《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》和《信息安全技术 网络安全等级保护安全设计技术要求》等系列国家标准。即将生效的《数据安全法》第27条也规定：利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

等级保护对象主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网（IoT）和工业控制系统和采用移动互联技术的系统等。对于普通企业而言，企业网站、业务系统、办公系统、管理系统以及企业开发的移动应用软件等都属于上述等级保护对象的范畴内。

网络安全等级保护工作大致可以分为1）等保对象梳理，2）定级，3）备案，4）网络安全建设，5）等保测评以及6）安全运行与维护六个阶段。企业可以根据情况自行或在第三方咨询机构的协助下开展前四个阶段的工作，在完成前期准备工作后，邀请等保测评机构对等保对象进行测评，并将《网络安全等级保护测评报告》提交备案机关。三级以上的系统注意每年须进行一次测评。

2、 个人信息保护制度概要

判定某项信息是否属于个人信息，应考虑以下两条路径（之一）:一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人；二是关联，即从个人到信息，如已知特定自然人，则由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。根据《个人信息保护法（草案）》的相关规定，个人信息处理的七大原则包括：合法性、目的明确、最小必要、公开透明、准确性、可问责性以及确保数据安全。

特别要引起相关企业重视的是，《个人信息保护法（草案）》所规定的高额罚款：对于情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。所以，个人信息处理者一定要根据相关法律的规定，逐项梳理并落实应承担的法定义务。

3、网络安全审查制度概要

2021年7月10日发布的《网络安全审查办法》修订草案征求意见稿，将进行网络安全审查的范围从之前的“关键信息基础设施运营者采购网络产品和服务”，扩展增加了“数据数据处理者开展数据处理活动影响或可能影响国家安全” 的情形。此外，征求意见稿增设第六条“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”。

同时《数据安全法》第二十四条规定：“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”本条是落实国家安全审查制度在数据领域的规范。因此，面对国家对网络安全的强监管，相关企业应提升法律意识，定期根据网络安全审查制度对企业的数据处理活动进行风险排查。

四、企业合规路径

张良律师结合之前所接触到的案例，为企业的网络数据合规提出以下方向性建议：1）做好数据成果、核心技术、算法模型等数据资产盘点、知产管理、合规管理等工作，对数据进行分类分级管理；2）确定核心业务系统，从管理制度和技术配套两方面落实网络安全等级保护义务；3）内部搭建并完善数据保护机制；外部做好用户告知、权益保护以及主管机构沟通和汇报等工作；4）提升安全保护意识，加强内部员工数据处理、保密、信息安全等相关的培训、日常管理工作；5）注意各项安全保护措施一定要留痕。

五、法律服务产品

课程的最后张良律师介绍了该领域律师能为企业客户提供的部分服务内容，包括App专项合规整改服务、数据合规常年顾问、数据安全合规培训、数据合规现状评估及企业能力优化、数据安全保护制度的建立和完善、网络安全等级保护专项顾问等。

盈科女律师学院充分利用线上授课方式便捷的特点，高效率传播知识，答疑解惑，授课方式更加灵活。“成全别人、成就自己、收获幸福、优雅绽放”，女律师学院助力盈科律师在专业领域一同携手同行，积小流以成江海，积跬步以至千里。