1、?第一部分 调研问卷分析第二部分 监管部门概览第三部分 案件与争议借鉴第四部分 法律法规概述与分析第五部分 数据合规指引?P 01P 10P 19P 38P 59?知悉多数企业对履行数据安全义务的现状，有利于掌握现阶段企业在进行数据合规工作中所面临的现实问题，是数据合规工作的基础。故本部分调研问卷结果可以帮助企业对现阶段数据合规问题的盲点、通病、瑕疵予以警惕与重视，并为数据合规指引提供重要参考。在“数据保护”的范畴下，多个部门有权进行监管。对现行相关数据监管部门进行梳理，可以帮助企业更好地理解监管部门的逻辑。案件与争议具有鲜明的参考作用，通过对执法案件的解读以及对诉讼、争议的分析，可以知悉实践

2、中数据保护常见的争议所在与解决方式，既有利于深入了解网络安全法等相关法律法规，也对企业合规具有参考作用。2017 年以来，围绕着“数据保护”这一主题，以网络安全法为代表的诸多法律法规相继生效或开始征求意见，新规的大量涌现创设了新的数据合规义务，企业需要充分了解自身所面对的合规环境。2018 年是中国企业开展数据合规的关键之年。网络安全法的正式实施成为数据合规的基础；公众对于数据保护的意识不断提升。企业保护自身数据安全、保护用户个人隐私的能力已经成为了企业的核心竞争力之一。数据合规工作与其他合规事项相似，均与风险管理息息相关，可以从“主动合规”与“危机处理”两个角度进行。?|021.法律生效后企

3、业的应对?28.7%4.63%?0.93%?1.39%?0.46%?11.11%?29.17%?34.72%?25.46%?7.41%?|?03?2.与有关部门的接洽情况?18.98%9.26%8.8%3.24%39.35%36.11%?7.87%?15.74%?4.63%?6.02%?4.17%?0.46%?36.57%?37.04%?|041.等级保护测评义务?2.安全保护义务?1.可参见安徽省蚌埠怀远县教师进修学校网站因未落实等级保护制度而被予以行政处罚的案例。?31.02%53.24%6.94%5.09%2.78%0.93%?|?05?2.参见杨合庆主编：解读，中国法制出版社 2017

4、 年版，第 50 页。?3.用户信息审核义务?4.公共信息巡查义务?5.违法信息处置义务?6.第三方安全保密义务?0%0.46%0.93%0.46%0%0%0%0.46%98.15%?40.28%46.30%9.72%3.70%?1.39%0.93%97.69%?|064.公共信息巡查义务?5.违法信息处置义务?6.第三方安全保密义务?0%0.46%0.93%0.46%0%0%0%0.46%98.15%?|?07?1.数据收集、利用情况?97.69%1.39%0.93%?|08?54.63%34.26%17.59%15.28%?21.3%23.61%11.11%6.48%4.17%0%39.8

5、1%?97.69%1.39%0.93%48.15%9.26%42.59%?|?09?2.数据跨境传输情况?4.17%30.09%12.96%18.98%9.72%3.7%53.7%?62.96%68.98%60.65%9.26%66.2%5.09%14.81%22.22%?11.57%10.65%44.44%33.33%?|?11?1.部门概况?1.中华人民共和国中央人民政府网站（在“国务院办事机构”下可以看到国家互联网信息办公室与中央网络安全和信息化领导小组办公室是一个机构两块牌子的关系，列入中共中央办事机构序列），http:/ 年 10 月 30 日最后一次访问。2.中央网络安全和信息化领

6、导小组办公室 2014 年公开选拔处级领导干部工作公告，http:/ 年 12 月 13 日最后一次访问。?|12?2.行政权力2.1 行政处罚?2.2 行政许可?3.中央互联网新闻信息服务单位许可信息（截至 2018 年 1 月 30 日），http:/ 年 1 月 31 日最后访问。?|?13?2.3 约谈?4.马民虎：网络安全法使用指南，中国民主法制出版社 2017 年版，第 228-229 页。5.“约谈网站 2003 家！2017 年全国网信行政执法工作大盘点”，https:/ 年 2 月 5 日最后访问。6.北京网信办约谈今日头条、凤凰新闻手机客户端负责人，两家企业将暂停部分频道内

7、容更新，http:/ 年 1 月 2 日最后访问。7.公安部概况，http:/:9000/gdnps/content.jsp?id=4949776，2017 年 10 月 29 日最后访问。?1.部门概况?|148.此处对于经营性的判断与企业是否盈利无关，而是指用户能否直接无偿使用网站上显示的信息，一般通常浏览的互联网站均属如此。9.ICP 经营许可证是我国电信条例中规定的增值电信业务经营许可证中的一种，一般包括移动信息服务业务经营许可证（SP 经营许可证）、互联网信息服务许可证（ICP 经营许可证）、互联网数据中心经营许可证（IDC 许可证）、互联网接入服务业务经营许可证（ISP 许可证）和

8、呼叫中心经营许可证等。本文中将重点探讨的是 ICP 备案，此处不再做赘述。?2.1 行政许可和备案?2.1.1 联网备案?2.1.2 等级保护?|?152.2 行政处罚?2.3 巡查执法?2.4 监督检查?10.参见：公安部：建立网警常态化公开巡查执法机制 全国首批 50 个省市网警执法账号亮相网络空间，http:/ 2017 年 10 月 31 日最后访问。11.参见：http:/ 2017 年 10 月 31 日最后访问。12.参见：全国 50 个省市公安机关 6 月 1 日起启动网警巡查执法机制,有专家和全国人大代表建议完善立法,为网警巡查执法“助威”，http:/ 2017 年 10

9、月 31 日最后一次访问。?|161.部门概况?13.信息通信管理局，http:/ 年 1 月 2 日最后访问。14.网络安全管理局，http:/ 年 1 月 2 日最后访问。?|?17?2.行政权力2.1 网络实名及其他?2.2 行政许可2.2.1 互联网信息服务许可与备案?15.工信部组织对虚拟运营商实名制落实情况进行抽查暗访，http:/ 年 1 月 30 日最后访问。?|18?2.2.2 新业务审批?2.3 工业控制系统安全管理?16.杨合庆：中华人民共和国网络安全法释义，中国民主法制出版社 2017 年版，页 151。17.广东省通信管理局网络安全法执法率先出手，https:/ 年

10、1 月 30 日最后访问。?2.4 行政处罚?|20?|?211.网络运行安全?1.1 案件概况1.1.1 未履行网络安全保护义务?|221.1.2 未履行身份验证义务?|?231.1.3 网络产品、服务未符合相关国家标准的强制性要求?1.1.4 从事或支持危害网络安全的活动义务?1.2 案例分析?1.2.1 网络安全保护义务?1.参见：国内首例高校违法案例诞生，因为落实等保制度致学生信息泄漏，https:/ 年 11 月 23 日最后一次访问65%20%10%5%?|242.修武县公安局网警大队查处全县首例违反网络安全法案件，https:/ 年 1 月 2 日最后访问。?1.2.2 身份验证

11、义务?|?25?1.2.3网络产品、服务应当符合相关国家标准的强制性要求?1.2.4 不得从事危害网络安全的活动或者为其提供支持?2.网络信息安全?2.1 行政处罚案例?|26?|?272.2 约谈案例?|28?1.庞理鹏诉东方航空、趣拿公司案1.1 案情基本信息?1.2 案情简介?1.3 争议焦点?|?29?1.4 启示?2.新浪微博诉脉脉案2.1 案件基本信息?|302.2 案情简介?2.3 争议焦点?|?31?2.4 启示?3.乐动卓越诉阿里云案3.1 案件基本信息3.2 案情简介?|32?3.3 争议焦点?3.4 启示?|?33?1.杜天禹侵犯公民个人信息案1.1 案件基本信息?1.去

12、年公安机关侦破侵犯公民个人信息案件 4900 余起，http:/ 年 1 月 15 日最后访问。2.参见：侵犯个人信息类刑事案件，上海、广东、浙江、江苏进前五，http:/ 案情简介?1.3 启示?2.雀巢员工侵犯公民个人信息案?2.1 案件基本信息2.2 案情简介?|?35?2.3 争议焦点?2.4 启示?1.华为与微信用户数据争议事件1.1 争议基本情况?|36?1.3 启示?2.菜鸟驿站与顺丰速运就物流数据争议事件2.1 争议基本情况?|?37?2.2 争议焦点?2.3 启示?|?39?1.网络运营者义务的一般规定1.1 等级保护制度?1.1.1信息安全技术 网络安全等级保护基本要求 第

13、3 部分：移动互联安全扩展要求（征求意见稿）?1.1.2信息安全技术 网络存储安全技术要求（征求意见稿）?|40?1.网络运营者义务的一般规定1.1 等级保护制度?1.1.1信息安全技术 网络安全等级保护基本要求 第3 部分：移动互联安全扩展要求（征求意见稿）?1.1.2信息安全技术 网络存储安全技术要求（征求意见稿）?|?41?1.2 用户实名制义务?1.2.1信息安全技术 网站可信评估指标（征求意见稿）?1.3 网络应急处置措施?1.3.1国家网络安全事件应急预案?|42?1.3.2工业控制系统信息安全事件应急管理工作指南?1.3.3信息安全技术 信息安全风险处理实施指南?1.3.4信息技

14、术 安全技术 信息安全事件管理 第 1 部分：事件管理原理（征求意见稿）?1.3.5信息安全技术 网络安全事件应急演练通用指南（征求意见稿）?|?43?1.3.6公共互联网网络安全突发事件应急预案?1.4 开展网络安全认证、风险评估?1.4.1 信息安全技术 数据库管理系统安全评估准则（征求意见稿）?1.5 禁止危害网络安全?1.5.1治安管理处罚法（征求意见稿）?2.网络产品、服务提供者的义务?1.修订治安管理处罚法与时俱进值得点赞，http:/www.chinacourt.org/article/detail/2017/02/id/2542584.shtml，2017 年 10 月 17

15、日最后访问。?2.1 网络产品、服务提供规范?2.1.1治安管理处罚法（征求意见稿）?2.1.2网络产品和服务安全审查办法（试行）?|44|?45?2.1.3 信息安全技术 网络产品和服务安全通用要求（征求意见稿）?2.1.4信息安全技术 信息技术产品安全可控评价指标 第 5 部分：通用计算机（征求意见稿）?2.2 接受安全检测与安全认证义务?2.2.1信息安全技术 移动应用网络安全评价规范（征求意见稿）?3.关键信息基础设施运营者义务?3.1 重点安全保护义务?3.1.1公共互联网网络安全威胁监测与处置办法?|46?3.1.2关键信息基础设施安全保护条例（征求意见稿）?3.1.3信息安全技术

16、 金融信息保护规范（征求意见稿）?3.2“三同步”原则?|?473.2.1中华人民共和国密码法（征求意见稿）?3.3 接受国家安全审查义务?3.3.1中华人民共和国密码法（征求意见稿）?|48?3.3.2关键信息基础设施安全保护条例（征求意见稿）?3.4 数据境内保存与跨境传输规则?3.4.1关键信息基础设施安全保护条例（征求意见稿）?3.4.2个人信息和重要数据出境安全评估办法（征求意见稿）?3.4.3信息安全技术 数据出境安全评估指南（征求意见稿）?|?49?3.5 定期安全检测评估义务?3.5.1互联网新业务安全评估管理办法（征求意见稿）?|50?3.5.2关键信息基础设施安全保护条例（

17、征求意见稿）?3.5.3 信息安全技术 信息安全服务提供方管理要求?3.5.4信息安全技术 关键信息基础设施安全检查评估指南（征求意见稿）?1.个人信息保护义务 1.1民法总则?|?51?1.2电子商务法（征求意见稿）?1.2.1 个人信息?2.独家|首部 草案二审出炉 电商中心专家为你划七大重点，http:/ 2017 年 11 月 14 日最后一次访问。?1.2.2 信息收集?1.2.3 信息利用?|52?1.2.4 信息管理?1.2.5 信息交换?1.2.6 用户权利?1.3测绘法?1.4关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释?1.4.1 对于“公民个人信息”的界定?|?

18、53?1.4.2 对于“提供公民个人信息”、“非法获取”的界定?1.4.3 其他?1.5统计法实施条例?1.6残疾人教育条例?1.7 国家网信办有关互联网信息服务的管理规定?|54?|?55?1.8信息安全技术 个人信息去标识化指南（征求意见稿）?1.9信息安全技术 个人信息安全规范?1.9.1 确定个人信息安全基本原则?|561.9.2 个人信息收集的要求?1.9.3 附件?2.违法违规信息管理?2.1 网信办有关互联网信息服务的管理规定?|?57?1.反不正当竞争法?|58?2.互联网信息内容管理行政执法程序规定?|60?1.身份识别?|?612.数据审计2.1 数据?2.2 网络布局(N

19、etwork Mapping)?2.2.1 明晰存储数据的地理位置情况?2.2.2 明晰网络系统部署情况?|62?3.合同保护措施3.1 数据相关条款的审查?3.2 网络产品和服务采购合同审查?4.个人信息保护?|?63?5.重要数据保护?|64?6.制度设立6.1 安全防护?1.信息安全技术 数据出境安全评估指南（征求意见稿）附录 A。|?65?6.1.1 初步确定安全保护等级?2.信息系统定级与备案工作介绍，http:/ 年 2 月 1 日最后访问。?|66?6.2 数据本地化存储与跨境传输?6.1.2 专家评审和主管部门审批?6.1.3 公安机关备案?|?67?|68?6.3 关键信息基础设施保护?|?69?1.预警1.1 通过新闻报道以及外界舆论感知态势?1.2 主动了解新近法律法规，进行自查自纠?|70?3.响应?3.1 固定证据?2.评估和决策2.1 评估网络安全事件的类别?2.2 拟定网络安全事件采取的应对措施?|?71?3.2 报告与通知?|723.3 解决事件?4.经验总结?