强化运营商数字化转型的依法合规管理
行业法治
强化运营商数字化
转型的依法合规管理
□文/薛兴华
全面数字化转型在给运营商带来崭新发展机遇的同时,也引发一系列合规问题,企业面临前所未有的法律风险和严峻挑战。在数字化转型的过程中,合 规建设fn风险防控已成为当务之急,在 疫情防控常态化情形下,需要认真研判外部法治环境和数字化转型对合规管理的新要求,通过深化依法合规管理体系建设,实现合规管理组织体系健全、制 度体系完备、工作流程规范、管控措施到位,聚焦助力企业数字化转型和高质量发展。
一、运营商数字化转型面临的严峻挑战
新冠疫情发生后,我国一些传统产业遭受较大冲击,而网络办公、在线教育、远程医疗、大数据、新基建等新业态加速发展,产业数字化、数字产业化发展成为新一轮科技革命方向。
(一)运营商数字化转型成为必然趋势
1、发展数字经济是迈向高质量发展的有效途径
数字经济的发展以数据作为关键生产要素,实现与各领域深度融合,孕育 着许多新业态新模式,成为经济发展实现质量变革、效率变革和动力变革的重要途径。中国信信息通信研究院最近发布的(中国数字经济发展白皮书(2020 年)》显示,2019年,在国际经济环境复杂严峻、国内发展任务艰巨繁重的背景下,我国数字经济依然保持了较快增长,各领域数字经济稳步推进,质量效益明显提升,数字经济增速持续保持高位。该意见提出,深入实施数字经济战略,把支持线上线下融合的新业态新模式作为经济转型和促进改革创新的重要突破口。更有效发挥数字化创新对实体经济提质增效的带动作用,推动“互联网+ ”和大数据、平台经济等迈向新阶段。许 多地方政府提出,聚焦重点领域,加快 培育数字产业新优势。
令_数卞化转增仆:洽运代商带來崭新发展机遇的h时,ikoin•系列f r m N题,企业临册所未灯的法f H和严峻佻战。仆数卞化u喂的过稈中,n•规边设和H险防栉已成力4务之急,作疫怙防拧常态化怙肜卜,‘
彳,;耍认m o m外部法治坏境和数卞化转喂对r t规符邱的新耍求。
2、数字经济助推新业态新模式的快速成长
数字化转型是技术与商业模式的深度融合,数字化转型的最终结果是商业
• 52•
模式的变革。中央网信办等十三部门《关 于支持新业态新模式健康发展,激活消 费市场带动扩大就业的意见》提出,加 快数字产业化、产业数字化发展,推动 经济社会数字化转型。许多地方政府出 台扶持政策,加快培育数字产业发展。 这些都为运营商在新冠疫情常态化下实 施数字化转型提供契机,创造了良好的 营商环境。3、充分利用数字化技术推动企业转 型升级大力发展数字经济是顺应新一轮科 技革命和产业变革的必由之路。数字化 转型是技术与商业模式的深度融合,数 字化转型的最终结果是商业模式的变革。 发展数字经济在保护创新的同时更需要 规范好秩序,国家需要加快制度体系建 设,健全完善关键信息基础设施安全保 护法律体系,制定数据采集、开发、共 享、确权、流通、交易、安全等方面制度, 依法规范数字资产申请、授权、利用等 行为。企业在认清发展数字经济营商环 境的同时,更需要关注面临的法治环境, 确保数字化转型的依法合规。(二)当前数字化转型面临的法律风险1、 依法合规管理存在漏洞网络运营商拓展数据业务面临严峻 的法律挑战,侵害用户个人信息权益较 突出,企业违法违规行为成为社会关注 的热点。少数网络运营商法治意识淡薄, 倒卖依法获得的用户个人信息行为时有 发生,某地方法院判决的网络运营商倒 卖用户信息大案,反映出在依法治国和 网络信息安全管控高压态势下,网络运 营商数字化转型存在的漏洞,依法合规 管理存在的短板。2、 网络实行实名制管理不到位互联网实名制实施不到位,A P P 强制、频繁.过度索取权限,欺
骗误导用 户提供个人信息,成为引发法律风险的 重要根源。工信部、国资委主管的电信运营企业全面实施实名制后,无主管部 门的移动互联网APP 、拨号软件、信息 发布、搜索引擎、即时通讯、网络支付、 网络预约、网络购物、网络游戏、网络 直播、广告推广、应用商店等信息网络 应用服务提供者难以实行实名制,除导 致网络信息安全外,还会引发大数据应 用的法律纠纷,使得网络运营商拓展大 数据业务面临许多不确定因素。
3、 数据信息泄露事件频繁发生
数据权属不明导致的数据信息泄露
事件频繁发生,应用A P P 已成为个人信 息生成、收集、获取、迁移的重要载体, 个人信息保护存在多头监管和多部门执 法不力状况。保护消费者知情权和选择 权存在不足,采用大数据技术对个人信 息的滥用,未经用户个人同意,过度收 集或泄露、非法出售、非法向他人提供 个人信息行为时有发生,为网络违法犯罪 提供平台;过渡采集个人信息,违规和 超范围使用个人信息较普遍;未经用户 同意与其他应用共享、使用用户个人信 息,强制用户使用定向推送功能,侵犯 用户个人信息权。
4、 利用网络技术实施违法行为猖獗在互联网互联互通情形下,安卓系
统标准接口方便每个A P P 用户使用,并 发生各种各样的交易行为和市场行为。 互联网公司运营A PP
预装软件开办业务, 与公用电信运营企业互联互通,其平台 承担什么的法律责任,用户使用该平台 业务发生纠纷时,如何确定承担连带责 任,存在法律空白及无法可依情况。不 法分子利用网络技术,在互联网上安装 流氓软件和拨号软件提供虚拟号码实施 活动;采用技术手段实施流量、 流量劫持以及虚假注册账号、非法交易
账号、操纵用户账号等违法行为,•利用 手机动态验证码盗用客户银行存款等诈 骗行为等,严重侵害用户的合法权益。5、 数据资产所有权法律制度缺失随着数字经济的快速发展,大数据
• 53
领域新型法律问题不断出现,大数据领 域法律规则缺失与产品应用之间的矛盾 日益突出。数据的财产价值成为数字经 济社会的核心要素,作为大数据生产要 素的数据究竟归属于谁,特别是源自于 个人信息的用户数据应当如何确权,构 成了个人信息和用户数据保护的深层次 法律问题。数据被大规模采集、分析、 使用和交易,大数据产品市场交易十分活 跃,数据资产所有权法律制度和使用规 则存在
缺失的情况,急需在国家层面建 立数据产权的法律保护制度,确立数据 资产独立的法律地位,明确数据资产的 归属种大数据产品的所有权。二、支撑数字化转型依法合规管理思路依法合规是落实全面依法治国战略 部署的客观要求,也是企业深化改革、 全面实施数字化转型发展的内在需求。 如何构建完善的依法治理机制,建立健 全有效的法律风险防范机制,确保数字 化转型发展,是中央企业法治建设面临 的新课题,也是全面提升依法治企能力 的新目标。企业全面数字化转型,法务 必须先行,运营商面临全新商业模式的 变革、全新的业务流程再造、全新营商 环境和法治环境的适应,企业的依法合 规和风险防控显得十分突出,比任何时 候都需要法律的支撑服务,传统的法务 管理方式面临挑战,深化依法合规管理 体系建设具有举足轻重的作用。(一)健全数据信息安全合规管理制度1、个人信息的保护范围《民法典》适应互联网、大数据时 代对信息通信权利保护的需要,是指导 运营商依法数字化转型的指南,对运营 商具有重大影响。《民法典》明确:个 人信息是以电子或者其他方式记录的能 够单独或者与其他信息结合识别特定自 然人的各种信息,包括自然人的姓名、 出生日期、身份证件号码、生物识别信息、住址、电话号码、、健康信息、 行踪信息等。国家针对个人信息泄露和 滥用的问题,加快立法完善个人信息保 护的法律制度。备受全社会关注的《个 人信息保护法草案》已经提请十三届全 国人大常委会第二十二次会议审议;全 国信息安全标准化委员会制定发布《个 人信息安全规范》《大数据服务安全能 力要求》等国家标准。2、 建立内部安全管理制度。运营商
掌握大量数据信息,在开发产品处理个 人信息中,承担着保护个人信息安全的 责任和义务,需要依照法律法规规定和 国家标准的强制性要求,建立健全企业
内部个人信息安全管理制度。包括个人
信息处理文档化管理制度、个人信息分
级授权管理机制、个人信息安全风险等 级评估制度、个人信息安全事件应急机 制等。3、 加强关键岗位入员权限管控针对用户数据信息管理的重要岗位、 重点领域环节,建立健全岗位职责,加 强关键岗位人员权限管控,形成集事前 防范、事中控制和事后救济于一体的闭 环管控机制,切实把控用户数据信息收 集和使用的合规行为。《网络安全法》 明确规定“网络运营者收集、使用个人 信息,应当遵循合法、正当、必要的原 则。”运营商在提供产品f 卩服务时使用 “用户信息”关键要解决好合法性问题, 主要通过依据法律规定、合同约定、授
权同意等方式获得。企业从业人员、外 包人员必须通过法律培训、考试上岗,
对关键岗位人员工作权限、账号权限进 行严格管控,签订安全保密协议和依法 合规行为承诺书,确立严禁非法提供、 出售用户信息的法律红线。4、 健全内控制度管理流程运营商应当将“用户信息收集和使用审查”纳入企业内控制度管理流程, 使大数据各项业务流转活动互相联系、 互相制约及程序流转规范。内控环节的
• 54
行业法治
责任确保遵循所有相关适用的法律规范,未遵循相关适用的法律规范,导致用户信息泄露、法律诉讼、经济损失及被司法行政机关查处等风险事件,对于违法违规行为当事人按照相关规定进行追责。
5、终止使用后的处理
在个人信息终止使用后,应当停止对个人信息进行收集和使用,并提供注销号码或账号的服务;不得泄露、篡改、毁损、出售或者非法向他人提供个人信自…
不换号转运营商(二)依法承担数据信息安全的合规义务
1、确保数据信息的安全
一是重视数据信息安全保障。基于 数据信息安全防护手段种措施能力不足,突出表现为数据处理不规范,在对外合作中提供未脱模的数据;缺乏安全管控制度流程,对收集的用户数据未在内网处理,造
成数据泄露风险事件;对资质和能力审查不严,使用存在漏洞的第三方开源程序,数据安全无法保障。二是 严控数据信息使用范围。运营商应当建立数据安全管理责任制度,制定标识赋码、科学分类、风险分级、安全审查规
则,确保国家关键信息基础设施的自主可控稳定安全。在新冠疫情防控常态化下,个人信息迅速传播转发,医疗数据和个人信息泄露、超范围使用较普遍,未经被收集者同意公开个人信息常发生,保护数据信息安全的任务十分繁重。三 是防止数据信息泄露、毁损、丢失。在 大数据产品开发的数据交易中,必须高度重视数据安全种信息泄露的法律风险管控,确保其收集的个人信息安全,防 止数据信息泄露、毁损、丢失,防范因 违规承担的法律责任。
2、严格实行数据脱敏处理
数据脱敏是指对用户个人敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护,可以直接帮助企业实现依法合规使用,有效防范个人敏感信息泄露的风险。一是确保数据敏感信息的脱敏处理。运营商在数据产品开发和对外使用过程中,对于经用户个人同意收集的信息,应当进行脱敏处理,
• 55•全社会都要加强数据安全意识。摄影/
费锋
隐去用户名称、号码、I P地址等可以直接指向或对应到用户个人身份的信息。在数据产品开发应用领域,大量存在着诸如手机号码、交易记录、通话记录、账户信息、住址信息、征信需求等个人敏感信息,在使用过程中面临着严格的监管要求,承担着有效保护的法律责任。二是数据脱敏的实施规则。使用数据脱敏规则主要有两种情况:首先,网络运营商和互联网公司自身需要,量身定制适合自己的数据脱敏工具,在使用用户个人信息敏感数据进行用户行为分析、个性化推荐、精准营销等分析应用时,必须采取数据脱敏手段。其次,为了大数据产品开发应用的需要,运营商和互联网公司利用掌握的用户个人信息数据,通过数据脱敏处理这一关键环提供给合作伙伴及相关客户,并将数据安全解决方案一起提供给客户。
3、 加强数据绔境流动的管控
一是加强管控责任重大。数据跨境流动是指通过各种技术和方法,实现数据跨越国境的流动,数据跨境流动对助推数字经济发展具有重要作用。由于各 国对个人数据信息保护标准不一致,造 成数据在全球范围内不受限制地流动缺乏安全可信的在线环境,将导致数据隐私和网络信息安全法律风险加大,加强 管控责任重大。二是数据跨境流动风险增大。数字经济快速发展在加速个人数据全球流通和融合的同时,却形成数据的黑产业链,离境数据被恶意利用和买卖的现象频发,很多网络攻击和网络犯罪都是跨国、跨境行为,个人数据泄露事件不断发生,对个人隐私、财产甚至人身安全造成威胁。三是加强安全审评和批准程序。我国《网络安全法》提 出个人信息和重要信息的流动实施本地化存储种
管理的原则,需要跨境流动须要进行安全审评,并报相关部门批准。
4、关注网络信息内容的生态治理
国家互联网信息办公室最近发布的
《网络信息内容生态治理规定》,明确 网络生态治理的对象是网络信息内容,主要涉及内容生产者、内容服务平台和内容服务使用者等三类主体,重点规范了三类主体及网络行业组织的权利与义务。一是网络信息内容生产者。作为制作、复制、发布网络信息内容的组织或者个人,应当遵守法律法规,遵循公序良俗,不得损害国家利益、公共利益和他人合法权益,特别是网络信息内容服务平台企业应当履行信息内容管理主体责任。二是网络信息内容服务平台。作为提供网络信息内容传播服务的网络信息服务提供者,应当重点建立和完善用户注册、账号管理、信息发布审核、跟帖评论审核、版面页面生态管理、实时巡查、应急处置和网络谣言、黑产业链信息处置等制度。三是网络信息内容服务使用者。作为使用网络信息内容服务的组织或者个人,应当按照法律法规的要求和用户协议约定,切实履行相应的法律义务,对网上的违法和不良信息内容有义务以投诉、举报等方式行使监督权。
5、关键信息基础设施运营商的特殊义务
《网络安全法》在具体实施中,关 键信息基础设施保护是核心内容之一,运营商亟需构建关键信息基
础设施保障体系,加强合规体系建设,承担主体责任义务。中央网络安全和信息化委员会正在研究制定《国家关键信息基础设施安全保护条例》,将从法规上建立关键信息基础设施的保护主体责任种管理制度。
关键信息基础设施履行的安全保护义务,包括设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练;采取数据分类、重要数据备份和加密等措施;制定内部安全

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。