在全球数字经济发展的大背景下,数据已成为企业的重要资产。2021 年 6 月 10 日,第十三届全国人民代表大会常务委员会第二十九次会议审议通过了《中华人民共和国数据安全法》(以下简称《数据安全法》)。该法已于 2021 年 9 月 1 日起施行。《数据安全法》作为我国数据安全领域的基础性法律,明确了数据安全领域内治理体系的顶层设计,通过规制数据处理活动、保障数据安全、保护个 人和组织合法权益、维护国家主权和安全,引领和促进数据的开发利用,要求企业依法强化合规建设,对企业与机构的责任、义务提 出了更加细致的规范和要求。其中第一章明确要求“应建立健全数据安全治理体系,提高数据安全保障能力”。
为推进数据合规工作,排除企业数据合规风险,本白皮书基于企业数据合规工作的必要性,首先对国内外数据合规价值观和法律法规环境进行了概述;然后对金融科技、智能汽车、在线教育、电信及互联网四个重要领域的数据合规现状、要点、治理方案、法律法规焦点问题进行了详细介绍。
随着信息技术产业革命的发展,新一代信息技术不断涌现, 正影响着各行各业变革和人们的日常生活。截至 2020 年 12 月, 我国在线教育用户规模达 3.42 亿,占网民整体的 34.6%;手机在线教育用户规模达 3.41 亿,占手机网民的 34.6%。下半年,随着疫情防控取得积极进展,大中小学基本恢复正常的教学秩序,在线教育用户规模回落,但较疫情之前(2019 年 6 月)仍增长了1.09 亿,行业发展态势良好。企业作为最大的受益主体,对相关数据合规的审查和数据风险防控就显得尤为重要。
(一)在线教育行业数据合规现状分析
据著名咨询机构IDC 预测,2025 年全球数据量将高达175ZB。其中,中国数据量增速最为迅猛,预计 2025 年将增至 48.6ZB, 占全球数据圈的 27.8%,平均每年的增长速度比全球快 3%,中国将成为全球最大的数据圈(数据圈指被创建、采集或是复制的数据集合)。数字经济带来了前所未有的红利,吸引着更多的投资者及创业者的加入,但在纷杂的市场竞争中,也面临着许多法律问题,从投资者层面来说,从事在线教育行业的企业良莠不齐,需要对投资的企业开展风险防控。去年 7 月起,教育部等六部门就已开始大力整顿线上培训机构。13.6 万家在线教育机构在去年注销,意味着在线教育野蛮生长时代的结束。今年 1 月 18 日, 中纪委网站发布《资本漩涡下的在线教育》一文,直指在线教育存在虚假宣传、资金链断裂、盲目扩张、资本助推致内耗严重等一系列问题。5 月,北京市市场监管局对“猿辅导”和“作业帮” 处以警告并顶格罚款 250 万元,引发在线教育行业“裁员潮”。
为此,“双减”意见中出台了几项关键性举措。
第一,学科类培训机构将统一登记为非营利性机构。其收费纳入政府指导价管理,由各地政府科学合理确定计价办法,明确收费标准。
第二,严禁资本化运作。学科类培训机构一律不得上市融资, 严禁资本化运作,上市公司不得通过股票市场融资投资,不得通过发行股份或支付现金等方式购买有关资产。已违规的,要进行清理整治。
“非营利性”“严禁资本化运作”这几个关键词,让教育培训行业今后再难成为资本捞钱的工具。“双减”意见出台后,已经连跌了几个月的教育股再次全线大跌。拥有数万名员工的教育机构,既然未来无法再盈利,面临的无非是关停裁员或转型两条出路。在教培企业转型的浪潮下,企业的数据合规风险防控愈加重要。
1. 在线教育数据要素的特点
(1) 依托互联网和大数据,具有多种媒体学习资源和资源共享渠道,信息数据更新速度快。“教育+互联网”衍生下的在线教育行业各类新模式、新技术、新业态纷纷涌现。
(2) 非K12 的职业教育增势迅猛。2021 上半年,在线教育行业乱象频发,整顿力度持续加大;K12 教育用户规模略有回落。职业教育增势迅猛,用户规模翻一番同比增长 120%;中国在线职业教育市场发展空间巨大,市场规模稳定增长,预计 2021 年,职业教育市场规模将超 3000 亿元;体制内就业的吸引力不断上升,考公成为“风潮”,考公类培训 App 规模增长;短视频+职业教育前景良好,未来或将成为在线职业教育的标配。
教育部于 6 月 15 日宣布成立校外教育培训监管司,承担面向中小学生(含幼儿园儿童)的校外教育培训管理工作等,推动“双减”工作落地见效。K12 教育企业在教育部双减新规的严管下面临着教育模式创新和转型升级的考验。互相共存,彼此制约, 安全与发展成为在线教育数据要素的新的挑战。
(二)在线教育行业案例及数据合规要点
1. 关于个人信息保护
在线教育所涉及的个人信息可分为以下四类:注册信息,即用户在首次使用在线教育平台或 App 时录入的信息;在线教学信息,是指在线教育平台发布的信息以及用户在平台上的相关使用和存储信息;系统安全及客服信息,是指平台系统运营方面的有关信息及客服的联络和服务信息;其他功能所涉信息等等。
根据刑法第二百五十三条侵犯公民个人信息罪,“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”,企业窃取个人信息或未经允许向第三方买卖个人信息都构成侵犯公民个人信息罪。
合规要点:
1) 制定内部管理制度和操作规程,对个人信息实行分类管理;
2) 采取相应的加密、去标识化等安全技术措施;
3) 合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
4) 制定并组织实施个人信息安全事件应急预案;
5) 企业非经批准不得将个人信息提供给境外的司法/执法机构。
2. 关于对未成年人个人信息的特别保护与隐私政策
关于 2018 年,Facebook 旗下的聊天工具“Messenger 少儿版”被指未遵守美国保护青少年隐私的法律法规 COPPA,在家长未授权条件下,采集不到十岁的少儿隐私信息。后 Facebook 又爆发了泄露 5000 万用户隐私信息的事件,可能面临欧盟 16 亿美元的罚款。
2020 年 1 月以来,“App 个人信息举报平台”关于疫情期间在线教育类收集个人信息被举报的数量占比超过了 80%,30%左右的 App 没有公开隐私政策等收集使用个人信息的规则,另有 15% 左右的 App 虽提供了隐私政策,但是属于格式文本,没有详细说明收集个人信息的目的、方式、范围。这导致用户不知个人信息去向,而未经用户允许向第三方提供其个人信息属于侵权。
合规要点:
1) 与家长和其监护的儿童的权益(可能)密切相关的重要条款,采用加粗字体来特别提醒;
2) 在收集到儿童个人信息后,通过技术手段及时对数据进行匿名化处理;
3) 若企业对于儿童的个人信息用于除政策列明之外的 目的、范围或与使用于数据收集不一致的传输方式时,企业应当通知儿童监护人并取得监护人的同意;
4) 只共享必要的儿童个人信息,且受本隐私政策中所声明目的的约束;
5) 服务中的部分功能可能需要儿童在设备中开启特定的访问权限(例如摄像头、相册、麦克风及或日历),以实现这些权限所涉及信息的收集和使用,当儿童和监护人需要关闭该功能时,大多数移动设备都会支持该项需求。
3. 关于数据处理过程中不同类别的数据处理关系
单独收集控制,是指在线教育企业自己收集控制用户个人信息,没有第三方参与,仅仅是用户与企业的双向联系,例如各大网校的在线教育平台。
委托收集控制,是指在线教育企业通过第三方平台收集控制用户个人信息,第三方成为企业和用户之间的媒介,典型的是不同企业或个人之间的数据买卖和数据共享。
合规要点:
1) 受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;
2) 委托合同不生效、无效、被撤销或者终止的,受托方应当将个人信息返还个人信息处理者或者予以删除, 不得保留;
3) 未经个人信息处理者同意,受托方不得转委托他人处理个人信息。
4. 关于网络和数据安全技术
其一是设备本身存在的漏洞。不管是计算机软硬件还是网络系统,都是由人为编程而来,背后难免会出现缺陷或漏洞,而这些漏洞则为网络攻击提供了缝隙,让网络安全暴露在外。
其二是网络边界的被打破。如今网络的普及和发展,正在让网络世界与物流世界边界瓦解,联网成为趋势,但同时也成为问题滋生的风险。
其三是数据流通的加快。伴随着网络边界被打破,网联化趋势愈发加剧,数据生产、流通和共享也是越来越频繁,导致数据泄露的风险不断加大。
其四是各种新技术的应用。新一轮科技革命的到来,推动了人工智能、5G、生物识别、物联网等一众新技术的应用,而这些新技术不但本身可能存在安全风险,与此同时还可能成为网络犯罪的帮凶。
其五是内鬼的层出不穷。相关数据显示,当前超过 85%的网络安全威胁来自于内部,其危害程度远远超过黑客与病毒攻击。企业内部员工也成为数据风险的推动者之一。
(三)在线教育行业数据合规治理方案
在线教育平台运营者需从技术、管理层面同时发力提升信息泄露防护能力、增强数据安全保护思想意识。
1. 提升数据安全保护技术能力
运营重要信息系统,掌握大量教育数据的机构(如教育主管部门、重点高校、教育领域协会组织、国家教育基础设施与电子资源库、其他教育数据中心等)可提升以数据安全为核心的防护技术能力,保证教育信息安全,避免数据泄露事件频发。一是针对运营的海量教育数据建立数据管理平台,对数据进行统一管理;二是通过高强度、安全可靠的加密手段为重要信息提供有力保护,保证敏感关键信息无论何时何地都是加密状态,可信环境内,加密文档可正常使用,在非可信环境内无法访问加密文档;三是建立全面的信息泄露溯源追责机制,通过防泄露技术进行技术防护,通过完整的文档、操作审计发现风险触发点,做到事中研判防御,事后溯源追责。
同时,广泛调研国内大数据关键技术发展情况,实现教育领域大数据安全技术可控是保护数据安全的重要手段之一。在教育行业信息系统的建设、运营、大数据中心搭建、教育机构门户运维等工程中支持国内研发的产品应用,为大数据关键技术发展提供更稳定安全的环境。
2. 健全数据安全保护制度体系
针对教育行业个人信息保护工作不佳,数据泄露事件时有发生的情况,应当从立法、立标、树规、贯标等方面对信息安全技术防护体系进行管理上的补充,提升“三分靠技术,七分靠管理” 的安全意识。
目前数据安全与个人信息保护相关法规已经出台,数据安全合规性需求将进一步加大。针对数据安全保护、信息泄露事件的监管将进入法制时代,基础法规的颁布需要行业领域内制定具体的标准规范进行贯彻,通过国家标准或行业标准对教育行业关键信息、敏感数据进行分类分级管理。可以用数据标签对收集数据、处理数据、存储数据、传输数据和销毁数据提供技术上和操作上的规范要求。对于关系到教育行业发展以及系统用户个人信息的重要数据,需严格控制其存储位置、传输和使用方式。
3. 增强数据安全保护思想意识
在教育行业中的数据保护方面,尤其需要增强用户的网络信息安全意识。
一是针对受教育群体而言,他们是教育信息系统、在线教育平台、App、微服务等应用程序的前端用户,需要提升应用使用安全意识,形成安全习惯。
一是针对企业内部数据管理人员,他们是数据的管理者,同时也是数据的守护者。在企业内部应大力开展数据安全保护意识活动,宣传安全意识,定期举办数据安全教育培训,制定管理人员操作数据的详细规定,定期评估内部人员操作数据行为是否规范。
(四)在线教育行业数据合规法律法规焦点问题
随着《数据安全法》《个人信息保护法》以及具体管理规定的不断出台,规定了国家及中央国家安全领导机构、各地区各部门各行业主管部门的监管职责,同时也明确了在线教育机构作为数据管理者应切实履行数据保护义务,要加强组织领导,明确数据安全责任部门和责任人,建立全生命周期的数据安全管理体系和机制,采取相应的技术措施开展风险监测和应急处置,加强重要数据安全风险评估和出境管理。
现行相关法律法规可以分为两个方面,一是根据新情况修改现行立法并细化相关解释,二是全面保护个人信息,填补新兴领域立法空白。
1. 《数据安全法》
第二十七条“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全”,第三十条“重要数据的处理者应当按照规定对其数据处理活动定期开展 风险评估,并向有关主管部门报送风险评估报告”,第三十二条 “任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据”。这说明在线教育机构应以合法合规的手段收集数据,并对数据处理活动依法依规开展数据安全管理与风险评估工作。
2. 《个人信息保护法》
第四条规定“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”,第九条“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全”。这说明在线教育机构应当在法律允许的范围内收集数据并对其收取的用户个人信息负责。
3. 《网络信息内容生态治理规定》
第二十一条规定,“网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得利用网络和相关信息技术实施侮辱、诽谤、威胁、散布谣言以及侵犯他人隐私等违法行为, 损害他人合法权益”。在线教育机构提供、使用、交流网络教育信息,必须明确依法规范和管理平台上的违法信息、防范和抵制不良信息传播,做好数据合规是在线教育企业必须承担的社会责任,也是法律责任。
本文摘自中国软件评测中心《企业数据合规白皮书(2021 年)》,全文下载:
企业数据合规白皮书(2021 年)
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
相关内容推荐:
数据、网络安全和算法合规怎么做?举例来看企业合规体系建设
围绕企业合规的理论渊源、制度现状、体系建设、实践案例、未来发展趋势等多重维度展开分析,探讨以更高的视野、更长远的目标和更精准的要求推进完善企业合规能力提升。
国家标准支撑《数据安全法》、《个人信息保护法》落地实施导图双发布(附下载)
信安标委秘书处分析了《数据安全法》、《个人信息保护法》标准化需求,梳理出已有标准可为其中条款落地实施提供支撑,提出了下一步标准研制建议,供各方参阅。