| 公司新聞 |
| 行業新聞 |
 |
| 您當前的位置:網站首頁 ->> 行業新聞 |
| 共享單車背后的網絡安全數據合規問題探析 | |
| 發布時間:2017-07-07 08:39:57 點擊:1863 次 | |
| 近年來,共享單車,即互聯網租賃自行車行業快速發展。據不完全統計,目前全國共有互聯網租賃自行車運營企業30多家,累計投放車輛超過1000萬輛,注冊用戶超1億人次,累計服務超過10億人次。
共享單車企業普遍應用的LBS服務,是基于位置的服務,簡稱“定位服務”,也被廣泛應用于社交、導航、網約車、團購等各種社會生活中。海量個人地理信息被頻繁獲取,暗藏著日益突出的個人地理信息風險。 此外,共享單車企業掌握大量的用戶姓名、身份證號碼、電話號碼、行蹤軌跡、支付賬戶等個人信息,這些個人信息的收集、處理、使用都需要合乎網絡安全和數據信息的法律規定,否則,共享單車企業及背后追逐的資本都將面臨巨大法律風險及違法成本。 《關于鼓勵和規范互聯網租賃自行車發展的指導意見(征求意見稿)》出臺 有鑒于此,今年5月22日,交通運輸部正式發布了《關于鼓勵和規范互聯網租賃自行車發展的指導意見(征求意見稿)》(以下稱“《指導意見》”),開始向社會各界公開征求意見。《指導意見》對社會比較關心的網絡信息安全保護提出了針對性措施,規定加強網絡和信息安全保護。 其要求互聯網租賃自行車運營企業應當遵守國家網絡和信息安全有關規定,將服務器設在中國境內,并落實網絡安全等級保護制度,建立網絡安全管理制度,完善網絡安全防范措施,依法合規采集、使用和保護個人信息,強化系統數據安全保護。采取的信息不得侵害用戶合法權益和社會公共利益,不得超越提供互聯網租賃自行車服務所必需的范圍;采取的信息和生成的相關數據應當在國內儲存和使用。 《指導意見》關于網絡安全以及數據信息的保護,涉及了網絡安全等級保護制度、數據跨境傳輸、個人信息保護,也是10月1日即將生效的《民法總則》和今年6月1日剛實施的《網絡安全法》(以下稱“《網安法》”)的要求。 《民法總則》第一百一十一條規定了自然人的個人信息受法律保護,任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息,首次從民事基本法層面明確個人信息權,把個人信息作為一項重要的民事權利予以保護。 共享單車企業屬于《網安法》所規制的主體“網絡運營者” 共享單車企業也屬于《網安法》所規制的主體“網絡運營者”,其作為網絡運營者,需要履行《網安法》及其配套法規規定的網絡安全保護義務,包括實施個人信息保護、網絡安全等級保護制度、數據跨境傳輸限制等。 關于個人信息保護,《網安法》規定網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。網絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。 這就要求企業收集個人信息需合法明示收集,嚴格保密,不得超越提供互聯網租賃自行車服務所必需的范圍收集和使用。共享單車企業在用戶注冊過程中提供的用戶協議往往會對個人信息收集和使用進行約定,但雖然有此約定,在實踐過程中仍存在濫用用戶個人信息的情形,個人信息保護值得共享單車企業引起注意。 關于網絡安全等級保護制度,《網安法》規定網絡運營者應當按照網絡安全等級保護制度的要求,履行相應安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。 安全保護義務包括(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;(二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;(四)采取數據分類、重要數據備份和加密等措施。由于目前相應的網絡安全等級保護制度實施辦法尚未出臺,建議共享單車企業可以依據我國現行的信息安全等級保護制度建立相應的企業網絡安全管理制度,完善網絡安全防范措施。 關于數據跨境傳輸限制,由于共享單車企業的數據信息涉及我國公民的個人信息和可能屬于國家秘密的地理信息等重要數據,數據跨境傳輸或引起安全問題不容忽視。因此《指導意見》強調共享單車企業應當將服務器設在中國境內,采取的信息和生成的相關數據應當在國內儲存和使用。 《網安法》也第一次將數據出境安全作為一項核心內容,納入國家網絡空間安全整體框架,通過國家法律形式予以規范。作為《網安法》的配套法規,正在制定中的《個人信息和重要數據出境安全評估辦法(征求意見稿)》并未將數據出境評估主體限定在關鍵信息基礎設施運營者,其規定網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據,應當在境內存儲。因業務需要,確需向境外提供的,應當按照該辦法進行安全評估。含有或累計含有50萬人以上的個人信息及包含海洋環境、敏感地理信息數據出境的,網絡運營者應報請行業主管或監管部門組織安全評估;個人信息出境未經個人信息主體同意,或可能侵害個人利益以及數據出境給國家政治、經濟、科技、國防等安全帶來風險,可能影響國家安全、損害社會公共利益的都絕對禁止出境。 刑法加持,“行蹤軌跡”納入刑法保護的“公民個人信息”范圍 此外,在5月9日發布的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中,針對司法實踐中爭議頗多的“公民個人信息”范圍,該解釋將“行蹤軌跡”納入刑法保護的“公民個人信息”范圍,并規定非法獲取、出售或者提供行蹤軌跡信息50條以上即可入罪,加強了對侵犯個人信息犯罪的打擊懲戒力度。 新《測繪法》生效,個人地理信息保護網日漸密集 另外,值得共享單車企業特別關注的是今年7月1日剛剛生效的新修訂的《中華人民共和國測繪法》(以下稱“《測繪法》”),其出臺的背景就包括了地理信息安全風險日益增大,泄密事件頻發。《測繪法》規定地理信息生產、保管、利用單位應當對屬于國家秘密的地理信息的獲取、持有、提供、利用情況進行登記并長期保存,實行可追溯管理。地理信息生產、利用單位和互聯網地圖服務提供者收集、使用用戶個人信息的,應當遵守法律、行政法規關于個人信息保護的規定。《測繪法》強化了對測繪信息、個人地理信息的立法保護,與《網安法》及其配套法規銜接,構建起日漸密集的數據信息保護網。 在逐漸趨嚴的數據信息保護立法下,共享單車企業需要嚴格規范公民個人信息的收集,遵循合法、正當、必要的原則,在必要的范圍內合規使用數據,落實網絡安全等級保護制度,禁止數據非法出境,向他人提供數據時要注意數據脫敏清洗,尤其注意對涉及個人信息及國家秘密的地理信息的管理。 來源:中國IDC圈 石家莊服務器托管 石家莊服務器租用 石家莊機柜租用 石家莊機房 |
|
| 上一條: 保護企業內網數據安全,只需七個步驟 下一條: 菜鳥順豐和解 關聯企業站隊格局微妙 | |
| 【關閉窗口】 |
