科普第69期| 律所業務介紹專題十二——網路安全與資料保護

作者 | 徐梓桐 華東政法大學本科生
        莫雲帆 香港大學PhD
        周玥汐 西南政法大學本科生
        張朔彬 華東政法大學本科生
        陳錦威 香港大學MCL
        董嘉羽 對外經貿大學研究生
        張博涵 中山大學本科生
        薛鵬飛 布里斯托大學LL.M.
        王思宇 吉林大學PhD
編輯 | 蘇   桐 華中科技大學本科生
        lzzy    美國西北大學LL.M.
責編 | 林靖珊 中國政法大學研究
一、工作內容
二、適合群體與關鍵技能
三、職業發展前景
四、律所排名與近期案例
一、工作內容
(一)個人資訊保護影響評估(PIPIA)/資料保護影響評估(DPIA)
首先,根據《中華人民共和國個人資訊保護法》(PIPL)第55條的規定,個人資訊處理者在處理敏感個人資訊、進行自動化決策、委託處理個人資訊、向其他個人資訊處理者提供個人資訊、公開個人資訊、向境外提供個人資訊等情形時,應當事前進行個人資訊保護影響評估(PIPIA),並對處理情況進行記錄。此外,根據《通用資料保護條例》第35條,當資料處理活動可能對個人的權利和自由造成高風險時,控制者在處理前必須進行資料保護影響評估(DPIA)。這一要求是為了確保個人資訊處理活動的合法性、正當性和必要性,評估對個人權益的影響及安全風險,以及所採取的保護措施是否合法、有效並與風險程度相適應。
(圖片源於網路)
以PIPIA為例,律師通常會為企業起草的材料包括個人資訊保護影響評估報告,其中應詳細說明個人資訊的處理目的、處理方式、對個人權益的影響及安全風險,以及所採取的保護措施。此外,律師還可能需要起草或稽核資料處理協議、隱私政策、員工培訓材料等,以確保企業在個人資訊處理方面的透明度和合規性。在行動上,律師可能會進行現場檢查、訪談企業員工、評估企業的資料處理流程和技術措施,以及監督企業對評估報告中提出的建議的實施情況。律師還需要與企業的資料保護負責人合作,確保評估工作的順利進行。在評估過程中,律師會審閱的材料可能包括企業的個人資訊處理政策、資料處理協議、資料安全管理制度、技術防護措施的描述和證明、以及以往的個人資訊安全事件記錄等。律師需要對這些材料進行詳細分析,以確定企業在個人資訊處理方面的合規性和安全性。
(二)資料出境備案
《中華人民共和國資料安全法》《中華人民共和國個人資訊保護法》等法律法規確立了資料出境安全評估、個人資訊出境標準合同、個人資訊保護認證等資料出境制度,以保障資料安全和個人資訊權益。企業通常需要委託律師協助履行這些出境備案相關義務。律師需起草包括資料出境風險自評估報告、申報書、資料處理者與境外接收方擬訂立的法律檔案等材料。這些檔案需詳細說明資料出境的目的、方式、範圍、種類,以及境外接收方處理資料的用途和方式。同時,還需明確資料在境外的儲存地點、期限,以及資料出境後的安全保障措施,提交至監管機構備案。
(圖片源於網路)
在此過程中,律師會審閱的材料包括但不限於資料處理者的業務說明、資料出境的詳細情況、境外接收方的資料保護能力說明、以及資料處理者與境外接收方擬訂立的法律檔案等。律師需要評估資料出境的合法性、正當性、必要性,以及出境資料的規模、範圍、種類、敏感程度,評估境外接收方的資料保護措施是否符合中國的法律要求。律師還需要確保資料處理者履行了告知義務,取得了個人資訊主體的同意(如適用),並採取了必要的技術保障措施來保護出境資料的安全。
(三)資料保護與網路安全盡職調查
資料保護與網路安全盡職調查廣泛存在於VC/PE、M&A交易中,同時也是全球各大主流交易所對擬IPO專案所要求的盡調內容之一。該等專項盡職調查的目的在於評估目標企業在資料保護和網路安全方面的風險狀況,發現潛在的安全威脅和漏洞,並提供可行的解決方案和建議,以增強企業的資訊安全保障能力,以避免未來可能的鉅額罰款。例如,在被萬豪國際酒店集團收購後,喜達屋酒店由於網路安全措施薄弱發生資料洩露事件,導致約3.39億客戶的個人資訊被洩露,包括未加密的護照號碼等敏感資訊,導致收購者萬豪國際酒店集團在英美兩國均收到了鉅額罰款。在美國,萬豪國際酒店集團向聯邦貿易委員會支付了5200萬美元(約合人民幣3.67億元)的和解罰款;在英國,資訊專員辦公室(ICO)也對萬豪處以了1840萬英鎊(約合人民幣1.6億元)的罰款。
在盡職調查過程中,律師會審閱的材料包括但不限於企業的資訊系統安全、網路架構安全、資料安全和安全管理措施。具體來說,這涉及作業系統、資料庫、應用軟體等方面的安全風險;網路裝置的安全性;資料洩露、資料篡改、資料備份等方面的風險;以及安全政策、安全培訓、應急響應等方面的風險。律師還需要關注企業是否建立了資料安全合規管理組織體系,是否明確了資料安全合規的監管責任,是否任命了資料保護官(DPO),並確定了其在企業中的角色和職責。
(圖片源於網路)
起草報告時,律師需要將調查過程中收集的資訊和發現的問題進行整理和分析,形成一份詳細的盡職調查報告。報告中應包括對企業資料保護和網路安全狀況的全面評估,潛在風險的識別,以及對這些問題的法律影響和可能的解決方案。在結論和建議部分,律師會基於盡職調查的結果,提出針對性的建議。這可能包括加強資料安全管理、改進網路安全措施、制定或更新資料保護政策、提高員工的安全意識和培訓、以及建立應急響應計劃等。律師還可能建議企業進行定期的網路安全審計和滲透測試,以持續監控和提升其資料保護和網路安全水平。
(四)隱私政策的制定與資料合規管理
在隱私政策制定與資料管理合規體系構建中,律師的主要工作首先涉及政策的制定。個人資訊收集、使用政策是法律提出的合規要求。《中華人民共和國網路安全法》《電信和網際網路使用者個人資訊保護規定》等都要求經營者應當制定資訊收集和使用的規則,明確資料使用的方式和範圍,並徵得使用者的同意。制定使用者隱私政策不僅是法律的硬性要求,同時也是企業自證合規的防禦手段。在發生糾紛時,企業可以根據隱私政策提出有效的免責抗辯事由。其次,在資料合規管理方面,律師應當分析現有的資料管理流程,識別合規風險,提出改進建議。具體來說,應當先明確資料管理的目標,結合企業所在行業特徵以及自身需求,合理地設定目標。其次,律師應當協助企業識別資料合規風險,並依據風險等級程度及處理緊迫性進行劃分,進而編制書面合規風險評估報告。
(五)網路安全保護合規體系的建立
網路安全關係到企業經營發展的穩定,如果缺少防護手段,不僅會影響企業經營的效益,也會打擊企業的創新力。因此與上述隱私政策制定業務類似,律師通常會參考所適用的網路安全相關法律法規、行業標準、企業內部網路安全政策、操作規程以及過往的網路安全事件案例,協助企業建立健全網路安全管理制度,明確崗位職責和許可權劃分,透過科學的制度對員工行為監管和約束。同時,應定期對網路安全進行風險評估和漏洞掃描,及時發現並修復潛在的安全隱患。如發生網路安全糾紛,律師應當協助企業進行證據保全和資料留存,比如日記記錄、交易記錄等,以幫助企業在糾紛解決中更好地維護自身合法權益。
(六)日常公司內部培訓
企業為了更好地保護自己免受網路攻擊,同時也確保遵守法律法規所要求的內部培訓義務,通常也會委託律師到公司進行日常內部培訓。在培訓過程中,律師可能起草一系列材料包括培訓計劃(主要是幻燈片)、培訓教材、案例分析、測試題以及培訓效果評估報告,並組織一系列的培訓活動,包括線上和線下的講座、研討會、模擬演練和角色扮演等,以系統地傳授網路安全知識,包括網路攻擊的型別、資料保護的重要性、個人資訊的處理規則、以及在發生安全事件時的應急響應措施,同時提高員工的參與度,增強他們的實際操作能力。律師還可能與企業的IT部門合作,確保培訓內容與企業的技術基礎設施和安全需求相匹配。
二、適合群體與關鍵技能
(一)跨學科知識
熟悉網路安全、資料合規及治理領域的法律諮詢和定製化服務,能夠為客戶提供全面的法律解決方案。熟悉《中華人民共和國資料安全法》等相關法律法規,瞭解資料分類分級保護制度、資料安全風險評估、監測預警、應急處置、資料安全審查等基本制度。隨著法律法規的不斷變化,持續學習新的法律知識,以保持專業能力的前沿性。
(二)具備國際視野
瞭解並適應不同國家和地區的資料保護法規,能夠在全球範圍內提供資料合規的法律服務。具體來說應當瞭解國際上的資料保護法規,如歐盟的《通用資料保護條例》(GDPR),包括資料保護官(DPO)的職責、資料處理的合法性基礎、資料主體的權利等內容。
(圖片源於網路)
(三)風險評估與管理
能夠評估合規風險、制定合規制度與流程、開展合規調查、進行合規培訓、以及應對政府監管和風險事件。開展資料出境風險評估,起草個人資訊出境標準合同及附錄,協助向網信部門進行備案。不斷積累處理網路安全和資料保護相關案件的實際經驗,為客戶提供實用的解決方案。
(四)瞭解隱私政策和資料處理協議
瞭解資料隱私和安全的法律要求,包括資料加密、訪問控制、資料洩露的法律後果等。起草與修訂隱私政策、公司資料管理規範、個人資訊主體請求響應規則、資料處理協議等檔案。
(五)掌握資料分類分級管理
實施資料分類分級管理,包括資料本地化和跨境傳輸處理,個人資訊保護認證。理解新興技術如人工智慧、區塊鏈等的應用和監管,能夠為客戶提供與技術發展相適應的法律服務,並且在資料安全事件發生時,能夠採取必要的應急措施保護資料安全。
(六)監管溝通
從商業角度考量隱私與公司發展的關聯,協助管理與不同利益相關方的關係。注重與監督、管理部門保持溝通,通報或報告個人資訊保護和事件處置等情況,能夠與客戶、監管機構以及其他利益相關方有效溝通和協調,以推動資料保護工作的順利進行。
三、職業發展前景
(一)市場需求
總體而言,在法律法規與技術發展的推動之下,網路安全與資料保護呈現了較大的市場需求。一方面,中國和全球多國都在加強網路安全和資料保護的法律法規建設,如《網路安全法》、《資料安全法》和《個人資訊保護法》等。此外,去年10月,國家資料局的成立也意味著中國向建立健全資料基礎制度邁出了重要一步。這些法律的實施推動了企業對專業法律服務的需求。另一方面,技術快速發展,網際網路產業之外,物聯網、生成式人工智慧、智慧網聯汽車等新興領域在不斷取得突破。並且,技術的發展帶來了新的挑戰,如資料治理、隱私保護、跨境資料傳輸等,這些都需要專業的法律知識和技術支援。
(圖片源於網路)
1.企業合規需求增強。隨著企業對資料資產的重視,如何合規地收集、使用和保護資料成為企業面臨的重大挑戰。律師事務所可以提供資料合規諮詢、風險評估和解決方案等服務。
2. 國際合作與交流頻繁。在全球化背景下,資料跨境流動日益頻繁,不同國家和地區在資料保護方面的法律和規定存在差異。律師事務所需要具備國際視野,幫助企業應對跨境法律挑戰。
3.市場潛力較大。隨著數字經濟的發展,網路安全與資料保護相關的法律服務市場潛力巨大。不僅有大量的傳統企業需要升級資料保護措施,新興的科技企業也在不斷湧現,對資料保護服務的需求旺盛。
(二)發展趨勢
1. 政策法規進一步助力,申報範圍更加明確,監管規則更加完善。具體而言,包括國家網信辦於2023年9月28日釋出的《規範和促進資料跨境流動規定(徵求意見稿)》、《粵港澳大灣區(內地、香港)個人資訊跨境流動標準合同實施指引》、北京市外商投資條例(草案徵求意見稿)》、《廣州市資料條例(徵求意見稿)》和《上海市落實〈全面對接國際高標準經貿規則推進中國(上海)自由貿易試驗區高水平制度型開放總體方案〉的實施方案》,均對於資料流通作出更為清晰的規範,探索建立合法安全便利的資料跨境流動機制,提升資料跨境流動便利性。
2. 規則不斷細化,領域不斷細分。目前,特殊行業領域資料保護規則不斷細化,比如近兩年來不斷火爆的AI與金融行業資料安全、工業等相關領域。在AI領域,國家網信辦釋出《網際網路資訊服務深度合成管理規定》和《生成式人工智慧服務管理暫行辦法》,促進人工智慧的健康發展和規範應用,與生成式人工智慧服務、人工智慧計算平臺安全框架、自動化決策以及科技倫理審查。在金融資料安全領域,中國銀行保險監督管理委員會發布了《銀行保險機構消費者權益保護管理辦法》,中國人民銀行釋出了《中國人民銀行業務領域資料安全管理辦法(徵求意見稿)》,對於銀行、保險、證券、非銀支付等不同行業都進行了進一步規範。在工業領域,《工業網際網路安全分類分級管理辦法(徵求意見稿)》《工業和資訊化領域資料安全行政處罰裁量指引(試行)(徵求意見稿)》等法規徵求意見稿先後釋出,明晰本行業的資料合規要求及流程。[1]
3. 不斷加強未成年人資訊保護。2023年8月,國家網信辦釋出了《移動網際網路未成年人模式建設指南(徵求意見稿)》,將“青少年模式”升級為“未成年人模式”,推動模式覆蓋範圍由APP擴大到移動智慧終端、應用商店,實現軟硬體三方聯動。此外,《未成年人網路保護條例》於2024年1月1日正式施行,企業的未成年資訊保護合規義務增強,相關健全防沉迷制度、設定未成年人模式、進行未成年人個人資訊處理合規審計、私密資訊保護等或許會被重點監督。[1]
(圖片源於網路)
(三)行業挑戰
1. 法規變化的頻繁性和應用的不確定性
近年來,網路安全與資料保護領域的法律法規更新速度顯著加快。在全球範圍內,資料司法保護的立法趨勢展現出統一性與多樣性交織的特點。一方面,歐盟的《通用資料保護條例》(GDPR)引領了一股全球範圍內的資料保護立法潮流;另一方面,各國基於自身國情與戰略需求,立法趨勢呈現多樣化,如美國各州層面的隱私法差異以及澳大利亞強制資料留存法律的實施。
(圖片源於網路) 
中國同樣在該領域釋出了多項重要法規和政策。例如,2023年3月,國家市場監管總局、國家網信辦、工業和資訊化部、公安部聯合釋出了《關於開展網路安全服務認證工作的實施意見》;2024年,則有三項智慧網聯汽車強制性國家標準正式釋出,包括《汽車整車資訊安全技術要求》《汽車軟體升級通用技術要求》和《智慧網聯汽車 自動駕駛資料記錄系統》。此外,還有《旅遊大資料安全與隱私保護要求(徵求意見稿)》《會計資訊化工作規範》和《會計軟體基本功能和服務規範》的修訂等一系列法規和政策出臺。法律法規的頻繁更新會給律所帶來解讀和應用的挑戰。一方面,律師需要投入大量時間和精力去研究新的法規和政策,不斷更新自己的知識庫,以確保能夠為客戶提供最新的法律解讀和合規建議。另一方面,由於法規的複雜性和專業性,律師在解讀過程中也面臨著一定的困難。比如,對於智慧網聯汽車的三項強制性國家標準,律師只有在深入瞭解汽車資訊安全、軟體升級和自動駕駛資料記錄等方面的專業知識後,才能作出更準確的解讀。
除了解讀的挑戰外,法規應用的不確定性也給律師帶來執業困擾。由於網路安全與資料保護領域的法律法規往往涉及多個方面和多個層級,因此在具體應用過程中可能會存在模糊和爭議的地方。例如,在個人資訊保護方面,雖然《個人資訊保護法》已經實施,但在實際操作中,如何界定“敏感個人資訊”、如何確保個人資訊的安全和隱私等仍然存在一定的爭議和不確定性。這些不確定所帶來的額外挑戰和風險需要律師在提供法律服務時格外留意。
2. 新技術應用帶來的安全隱患
網路安全與資料保護涉及的技術領域非常廣泛,不僅涵蓋了傳統的網路安全措施,如防火牆、入侵檢測系統(IDS)、入侵防禦系統(IPS)等,還涉及了新興的技術領域,如資料加密、區塊鏈、網路安全等級保護等。一系列全新的法律問題和需求也逐漸顯現。例如大資料、人工智慧等新技術使得資料處理能力大幅提升的同時,也帶來了新的安全隱患和合規挑戰。以生成式AI為代表的新技術在為企業帶來巨大機遇的同時,也帶來資料安全問題、智慧財產權糾紛,以及道德倫理問題等風險。如何在應用新技術的同時確保資料安全,會成為企業面臨的一大挑戰。[2]
(圖片來源於網路)
在為企業提供法律服務時,除了掌握相關法律法規,律師要密切關注技術革新的前沿動態,更新自己的知識體系,同時還需要深入理解各種網路安全技術的原理和應用場景,以便能夠準確評估客戶面臨的安全風險,併為其提供合適的應對策略和專業的法律建議。
3. 資料跨境傳輸的風險
跨境資料流動的合規性是一個複雜且不斷發展的領域,隨著全球化的加速和資料跨境傳輸的常態化,各國和地區對資料流動的限制與監管也在不斷加強。企業需要在確保資料安全的同時,滿足不同國家和地區的合規要求。因此,跨境資料流動的合規性要求律師不僅要熟悉本國的法律框架,還要深入瞭解目標國家或地區的法律環境,包括資料保護法規、隱私政策、智慧財產權法等。這種跨法域的法律知識要求會給律師帶來不小的挑戰。例如,歐盟的《通用資料保護條例》(GDPR)要求任何向歐盟境內個人收集或處理資料的組織都必須遵守其規定,包括資料收集、處理、儲存和傳輸等方面的嚴格安全措施。而美國則強調資料自由流動,並透過一系列協議推動消除資料流動壁壘,但同時也實施了一系列限制性措施來保護其經濟技術優勢。律師在處理涉及這兩個地區的跨境資料流動案件時,需要同時考慮兩種截然不同的法律框架,這無疑增加了案件的複雜性和處理難度。
四、律所排名及近期案例
1、中國律所排名及近期案例
(1)律所排名
(圖片源於China Business Law榜單[3])
(圖片源於LEGALBAND榜單[4])
(2)國內近期經典案例
案例1:Snap-on、Mitchell與道通科技商業秘密糾紛——《商法》2023年度傑出交易 [5]
法律顧問:美富律師事務所代理Snap-on和Mitchell,安傑律師事務所為其提供中國法諮詢。斐銳律師事務所和Greenberg Traurig代理道通科技,世澤律師事務所擔任其中國法顧問。安傑所與世澤所已合併為安傑世澤律師事務所。
要點回顧:高階工具製造商Snap-on和汽車維修解決方案供應商Mitchell對總部位於深圳的道通科技及其美國子公司提起訴訟,指控其利用駭客手段入侵手持式診斷計算機和資料伺服器,竊取與車輛維修和診斷有關的專有資料,並用假名建立賬戶以訪問這些資料。面對其不當行為的科學證據,道通同意接受臨時禁令(隨後轉為初步禁令),同意不使用或披露其獲得的資料。該案隨後提交JAMS,以確定可仲裁性,並進入仲裁程式。該案涉及盜用商業秘密、違反《數字千年版權法》、違反《計算機欺詐和濫用法》以及各州反駭客法規的索賠。從中國出口資料用於仲裁和訴訟,需要根據中國的《個人資訊保護法》和《資料安全法》對材料進行評估,包括透過各監管機構處理出口申請。
案例2:零跑汽車63億港元香港上市——《商法》2022年度傑出交易 [6]
法律顧問:發行人方面,高偉紳律師事務所提供香港與美國法諮詢,國楓律師事務所提供中國法諮詢,漢坤律師事務所提供中國資料安全法諮詢,普盈律師事務所提供美國出口管制法諮詢。聯席保薦人和承銷商方面,盛信律師事務所擔任香港及美國法顧問,競天公誠律師事務所擔任中國法顧問。
要點回顧:電動車製造商零跑汽車在港交所上市,募得62.8億港元。該交易打破常規地增聘了“中國資料安全法”和“美國出口管制法”兩項法律顧問,顯示了企業在相關領域進行合規性審查的必要性。近年來資料相關法規不斷增加,掌握大量重要資料的企業在上市前設定中國資料安全法顧問具有越來越高的必要性。自2月起,已有數家企業在遞交給港交所的招股書中聘請了“中國資料安全法顧問”,在這些企業中,零跑汽車是首家成功上市的公司。
案例3:某高科技企業適用《資料安全法》第36條應對境外反壟斷調查所涉及的資料出境法律問題 [7]
法律顧問:北京大成(上海)律師事務所
要點回顧:2021年11月,客戶收到歐盟委員會發來的函件,表明歐盟委員會正在對客戶的某家關鍵供應商展開反壟斷調查,要求客戶按照規定協助提供相關材料。如客戶選擇提供,可能違反中國《資料安全法》關於未經主管機關批准不得向境外執法機構提供境內資料的規定;也將違反與其供應商所簽署的保密條款,產生較高的違約責任;並且存在披露自身合規風險的可能,面臨不確定的法律後果。如客戶選擇不提供,可能導致違反歐盟相關法律,從而面臨較高罰款。最終,律所透過巧妙運用當時新頒佈的《資料安全法》之相關規定,啟動相關諮詢和申請程式,並同時及時安排全球競爭法律師團隊透過正當的方式與歐委會進行有效的溝通,並很好地管理該監管機構的預期,使得其接受了客戶提供的正當理由。
2、美國律所排名及近期案例
(1)律所排名
(圖片源於Chambers榜單[8])
(圖片源Legal 500榜單[9])
(2)美國近期經典案例
案例1:AT&T資料洩露事件 [10]
法律顧問:Mason LLP代表資料洩露中受影響的個人
要點回顧:第一次洩密事件於2024年3月披露。洩露的資料包括社會安全號碼等個人資訊。此次洩密事件影響了約60萬現有AT&T賬戶持有人和約6540萬前賬戶持有人。第二次資料洩露發生在2024年4月,並於2024年7月披露。此次洩露事件洩露的資料包括包含AT&T幾乎所有蜂窩客戶、使用AT&T無線網路的移動虛擬網路運營商(MVNO)客戶以及2022年5月1日至2022年10月31日期間與這些蜂窩號碼互動的AT&T固定電話客戶的通話和簡訊記錄的檔案。Mason LLP 將代表其客戶參與集體仲裁。
參考文獻:
[1]董瀟、郭超:《展望2024年:資料保護領域值得關注的十大趨勢》。
[2]金曉萍、李恆:《數據安全與企業資料合規:新時代的挑戰與應對》
[3]Chinese business law: https://law.asia/zh-hans/top-firms-china/#employment.
[4]LEGALBAND: http://cn.legalband.com/band/sjly.html?lyid=453.
[5]年度傑出交易:https://law.asia/zh-hans/china-deals-of-the-year-2023/#IP_20 
[6]年度傑出交易:https://law.asia/zh-hans/deals-china-2022/
[7]大成上海辦公室:《案例分享|大成合夥人助力某高科技企業應對境外反壟斷調查所涉及的資料出境法律問題》。
[8]Chambers: https://chambers.com/legal-guide/global-2
[9]Legal500: https://www.legal500.com/c/united-states/media-technology-and-telecoms/cyber-law-including-data-privacy-and-data-protection
[10]Masonllp: https://www.masonllp.com/case/att-data-breach-cases/

相關文章