在科技特别系列报道的第二部分中,龙思聪关注数据保护与网络安全问题。法律法规
是否赶上了市场发展?您的法律团队是否能应变得当、与时俱进?

全世界还未走出五月份WannaCry勒索病毒的阴影时,一种新型的、危害更大、更智能的病毒Petya就紧随其后在六月席卷而来。两种病毒对企业和个人而言影响是惨重的,但更重要的是,这次事件正中要害,凸显了企业监管数字信息并确保其充分安全的迫切性。律师事务所及公司法务部门储存的敏感信息与此密切相关。

网络界仍在努力寻找这两个病毒的源头。与此同时,对于许多人来说,“数据保护”和“网络安全”这些过去让人感觉抽象的概念很快引起了他们的注意。“[这轮病毒袭击]进一步说明了问题的紧迫性,要求特别是大型机构加强其网络入侵侦测及防御策略,这是中国新出台《网络安全法》的要点之一,”AlixPartners上海办公室合伙人Stephen Yu表示。

关于内部风险管理,企业如何在处理个人信息时防止数据泄露是一大挑战。亚洲数据盗窃事件频发。提供在线认证服务的安全公司ThreatMetrix的最新报告发现,亚太地区11.8%的电子商务交易由欺诈性登录构成——网络犯罪分子利用拼合成的被盗身份信息对数字交易进行攻击。

律师事务所是最容易遭受攻击的目标之一,“因为他们拥有机密和享有特权的数据,特别是与并购相关的数据”,国际风险管理公司Kroll亚太区网络安全及调查负责人Paul Jackson表示。

Paul Jackson Kroll 亚太区网络安全及调查负责人 香港 Asia-Pacific Leader of Cyber Security and Investigations Kroll Hong Kong

2016年的巴拿马文件涉及一个离岸律所及数百万份律师 – 客户机密文件的泄漏,这给律所管理者拉响了警报。许多律所都采取了措施,提高网络防御和数据保护的能力。针对企业法务,全球企业法律顾问协会(ACC)3月份为企业法务发布了一份数据安全指南,其中列出的一项内容是,企业法务应该对有权接触公司敏感数据的外部律师作出何种预期要求。

日趋完善

随着意识的提高,对于希望在物联网、大数据及移动支付领域进行相关风险防范的企业,有关网络安全的新规则和预防措施预计会对其产生重要影响。

例如,史密夫斐尔律师事务所东京办公室合伙人Christopher Hunt表示,日本公司对大数据和人工智能(AI)的潜在用途表现出浓厚的兴趣。“考虑到美国和欧洲的这类监管发展程度更高,我们特别留意到制造业和重工业在更努力地应对物联网问题及相应的监管环境,”Hunt表示。“此外,随着日本公司对潜在风险的理解和意识不断提高,他们越来越多地关注如何防范网络风险。”

Christopher Hunt 史密夫斐尔律师事务所 合伙人,东京 Partner Herbert Smith Freehills Tokyo

Kroll的Jackson表示:“在网络安全方面及应对该类问题的支出方面,亚太区企业一般而言较为落后,当然并非总是如此。但情况正在发生变化,因为该地区正在迅速推出更强大的法律和监管框架,加上企业领导层对数据泄露的商业影响有了更多了解。”

从政府推动的倡议中也可以看到改变的决心,例如新加坡的“智慧国倡议”,印度的“数字印度”以及澳大利亚制定的网络安全战略。

一些亚太区司法管辖区的监管机构正在审查或修改现行的法律法规,以适应更具挑战性的法律环境。例如,日本新修定的《个人信息保护法》已于2017年5月全面实施。7月份,新加坡就《个人数据保护法》(PDPA)的修订提案向公众征求意见,并提出将要设立网络安全法。

随着各种关于网络安全和数据保护的内容散见于各种规定和规则中,一些国家正在努力引入更全面的法律。其中值得关注的是中国《网络安全法》的实施,该法于 2017年中和其他配套的规定一同发布。

另一个是印度尼西亚于2016年12月发布的《电子系统个人数据保护规定(2016年第20号规定)》(PDP法规)。去年印尼还做出过其他一些重大的修改。

Assegaf Hamzah & Partners雅加达办公室合作人Zacky Zainal Husein表示,PDP法规是印度尼西亚法律下第一部全面性的数据保护法规,尽管仅限于以电子形式存储的个人资料。“不过与欧盟或印尼的东南亚邻国新加坡和马来西亚相比,它还处于起步阶段,”Husein说。

泰国和印度等国家也有类似的发展现状,这些国家关于网络安全或数据保护的全面法律尚未建立。“2000年的《信息技术法》是印度唯一专门处理网络犯罪的法律,” TechLegis Advocate & Solicitors 新德里办公室TMT和知识产权负责人Salman Waris表示。“考虑到网络犯罪的动态变化和科技的不断发展,即使在过去17年不断修订,印度《信息技术法》的效力仍受到质疑。”

欧洲GDPR

欧洲《通用数据保护条例》(GDPR)将于2018年实施,其中与网络和数据相关的立法内容让很多国家眼前一亮。例如,在菲律宾《数据隐私法》的实施细则和规定中,强制性的72小时数据泄露通知要求就被认为是借鉴了《通用数据保护条例》的规定。

香港个人资料私隐专员亦在2016年检讨《通用数据保护条例》时,考虑修订已施行20年的《个人资料(私隐)条例》的可能性。

“欧洲的数据保护条例被认为是世界上最严格的数据隐私法律,”TechLegis的Waris说。“印度的数据保护和隐私法规也应该(按《通用数据保护条例》规定)包含其中的一些权利。”

You can register for free to enjoy selected content, including this article, or subscribe to unlock all content.

If you are already a registered user or subscriber, login here.

该部分内容仅提供予《商法》注册用户。你可以免费注册去浏览该部份内容(包括这篇文章)。你也可以订阅去解锁所有内容。

如果你已经是我们的注册用户或者订阅会员,请在此登录: