标签归档:立法

数据安全顶层设计奠基:《数据安全法(草案)》公开征求意见

2020年7月伊始,《数据安全法(草案)》在千呼万唤中得以亮相,成为总体国家安全观下新的拼图,与《国家安全法》《网络安全法》《核安全法》及未来的《生物安全法(草案)》并立。

《数据安全法(草案)》目前只是初次公开征求意见,条文距离最终文本还存在很大的不确定性,但更为重要的是揭示出的立法趋势。

一、界定概念

《数据安全法(草案)》对一些基础概念进行明确:

二、设立义务

对于大多数企业来说,更为关注的是《数据安全法(草案)》新设立了哪些义务,企业需要新采取哪些合规措施。在《数据安全法(草案)》中列明了以下项目:

其中处理重要数据需要报送风险评估报告需要包括以下内容:

如果违反,则可能面临以下行政处罚:

三、数据交易

在2020年4月,《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》提出“引导培育大数据交易市场,依法合规开展数据交易”,并将数据列为一种生产要素,要求:

(二十二)加强数据资源整合和安全保护。探索建立统一规范的数据管理制度,提高数据质量和规范性,丰富数据产品。研究根据数据性质完善产权性质。制定数据隐私保护制度和安全审查制度。推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。

在《数据安全法(草案)》对数据交易的中介机构专门要求,如果违反,最高也会面临100万元的罚款或吊销经营许可:

  • 提供方说明数据来源
  • 审核交易双方的身份
  • 并留存审核、交易记录

国家标准《信息安全技术 数据交易服务安全要求》(GB/T 37932-2019)会成为《数据安全法》适用所倚重的对象,对交易过程的技术措施与管理措施进行了框架性的规定。此外在该国家标准中设计了数据交易服务的参考框架:

四、立法与监管方向

相较于草案阶段的义务,未来立法与监管的方向同样值得留意。

《数据安全法(草案)》不仅在关注境内的数据获得,同样赋予了管辖境外数据活动的“长臂”,并且加入了“对等原则”,即如果境外国家(地区)在与数据和数据开发利用的投资、贸易方面对中国采取歧视性措施,中国也会采取对等措施。但具体如何判断歧视性措施,对等措施如何采取则有待未来立法进一步明确,这恐怕需要不短的时间。

除了设置自己的“长臂”,《数据安全法(草案)》对海外的“长臂”(如欧洲GDPR、美国“云法案”)同样进行了回应,针对海外执法机构在境内调取数据,同样进行了限制。要求向主管机关报告并获得批准或依据中国加入的国际条约,方可提供数据。

此外,未来围绕数据的立法与监管可能会在以下方向着力:

  • 管辖境外影响境内合法权益的数据活动
  • 向境外执法机构提供数据的流程
  • 数据分级分类,由各地区、部门制定重要数据保护目录
  • 统一的数据安全风险评估、报告、信息共享、监测预警机制
  • 数据安全应急处置机制
  • 数据安全审查制度,且审查是最终决定
  • 出口管制拓展至数据领域
  • ……

《网络安全法》从首次公开征求意见到最终生效历时接近两年,《数据安全法》也正在开始同样的进程:

八部委防沉迷涉嫌违法

沉迷

网络游戏实名制终于要来了,在China Joy上八部委(新闻出版总署、中央文明办、教育部、公安部、工业和信息化部、共青团中央、中华全国妇女联合会、中国关心下一代工作委员会)下发了《关于启动网络游戏防沉迷实名验证工作的通知》,通知具体内容我没有搜到,只是从媒体报道中查到零星信息:

《通知》提出,网络游戏运营企业要按规定要求,全力做好网络游戏防沉迷验证的各项相关工作:认真做好本企业应承担的网络游戏用户注册信息识别等工作;按流程及时报送需验证的用户身份信息;严格将经实名验证证明是提供了虚假身份信息的用户纳入网络游戏防沉迷系统。

《通知》强调,所有网络游戏运营企业必须严格按照《网络游戏防沉迷系统开发标准》和《网络游戏防沉迷系统实名认证方案》进行开发部署,不得随意更改实施方式,扩大或者缩小系统功能权限,违反者将予以查处,并停止其网络游戏出版运营和相关互联网接入服务,直至取消相关许可。

为推进此项工作,八部门也进行了分工。其中具体为:新闻出版行政部门组织开展对网络游戏防沉迷系统监督检测,特别是督促企业切实落实实名验证工作,对存在违规问题的网络游戏运营企业进行查处;公安部门 “全国公民身份证号码查询服务中心”依法依规、保质保量开展实名验证工作;通信管理部门协助相关部门做好相关网站的管理工作;文明办、教育、团委、关心下一代委员会等部门积极引导未成年人合理安排生活、娱乐,在防沉迷系统限制下使用网路游戏,养成文明健康的上网习惯。

据介绍,本次防沉迷实名验证工作的要点是:网游企业需要按要求将用户注册信息向公安部身份查询中心报送,经验证后,如果用户提供了虚假身份信息将被纳入网游防沉迷系统。这一机制可以解决用户身份信息真实性问题,但对于未成年人借用成年人真实身份玩游戏的情况依然起不到作用。

也许这次是来真的了,但这么做有违法嫌疑。从身份验证的方式来说,毫无疑问是去查验用户的居民身份证,判断其是否是未成年人,或者是否是虚假信息。未成年人则纳入防沉迷系统,如果提供了虚假信息同样纳入防沉迷系统。法律上可以将提供身份证的行为表述为“沉迷于网络游戏应当提供居民身份证以验证用户身份”。这就是问题所在,根据《网络游戏防沉迷系统开发标准》,5个小时就算沉迷。只有提供身份证的成年人才能沉迷,不提供身份证就甭想玩网络游戏超过5小时。

《居民身份证法》第十四条第一款规定的很清楚。

有下列情形之一的,公民应当出示居民身份证证明身份:

  1. 常住户口登记项目变更;
  2. 兵役登记;
  3. 婚姻登记、收养登记;
  4. 申请办理出境手续;
  5. 法律、行政法规规定需要用居民身份证证明身份的其他情形。

显然沉迷于网络游戏所需的身份证明不属于前四种中任意一种。至于第五种中的其他情形,法律和行政法规都没有规定沉迷网游需要身份证,所谓《关于启动网络游戏防沉迷实名验证工作的通知》,只是多部委联合制定的行政规章,达不到行政法规的层级。换句话说,根据《立法法》的规定,只有全国人大,全国人大常委会或国务院才有权规定沉迷网游需要出示身份证。《关于启动网络游戏防沉迷实名验证工作的通知》属于典型的越权立法,多个部委联合起来擅自增设进行网络游戏的门槛。国务院作为主管单位,有权撤销或变更此通知,全国人大也应履行职责,撤销该通知。

《居民身份证法》第十三条规定“公民从事有关活动,需要证明身份的,有权使用居民身份证证明身份,有关单位及其工作人员不得拒绝。”可见公民使用身份证证明身份是一种权利,而非义务。我无意讨论是否防沉迷系统的合理性,但判断用户是否为未成年人,除非法律或者行政法规的规定,不得将查验身份证作为沉迷网游的先决条件,但公民可以主动提供身份证表明身份。

好吧,我承认这篇基本是在胡说八道……

如何实现网络实名制(4):互联网实名制规定

光说不练假把式,网络实名制说了这么多,如果不能将之付诸于条文,那无异于纸上谈兵。所以,这里照猫画虎,勉为其难写了一个互联网实名制的规定,这个规定的颁布,需要国务院以国务院令的形式推出,而不能以部委规章,更不能以地方法规或规章的形式推出。

此条文没有任何法律意义,仅供学习、研究、参考之使用。如有不足之处,欢迎指出。

互联网实名制规定

第一条 为了保证互联网环境的秩序,维护网络用户的合法权益,制定本规定。

第二条 中华人民共和国境内的互联网服务提供商和互联网服务提供商的用户,应当遵守本规定。

第三条 本规定所称互联网服务提供商,是指在境内依法设立和经营互联网接入业务的机构。

第四条 本规定所称互联网服务提供商的用户,是指接受互联网服务提供商接入互联网服务的个人。

第五条 本规定所称实名,是指符合法律、行政法规和国家有关规定的身份证件上使用的姓名。

下列身份证件为实名证件:
(一)居住在境内的中国公民,为居民身份证或者临时居民身份证;
(二)居住在境内的16周岁以下的中国公民,为身份证或者户口簿;
(三)香港、澳门居民,为港澳居民往来内地通行证;台湾居民,为台湾居民来往大陆通行证或者其他有效旅行证件;
(四)外国公民,为护照。
前款未作规定的,依照有关法律、行政法规和国家有关规定执行。

第六条 个人在互联网服务提供商办理互联网接入业务时时,应当出示本人身份证件,使用实名。
代理他人在互联网服务提供商开立个人上网业务的,代理人应当出示被代理人和代理人的身份证件。

第七条 在互联网服务提供商处办理互联网接入服务的,互联网服务提供商应当要求其出示本人身份证件,进行核对,并登记其身份证件上的姓名和号码。代理他人在互联网服务提供商处办理互联网接入服务的,互联网服务提供商应当要求其出示被代理人和代理人的身份证件,进行核对,并登记被代理人和代理人的身份证件上的姓名和号码。

不出示本人身份证件或者不使用本人身份证件上的姓名的,互联网服务提供商不得为其办理互联网接入服务。

第八条 互联网服务提供商及其工作人员负有为个人存款账户的情况保守秘密的责任。

互联网服务提供商不得向任何单位或者个人提供有关个人互联网接入的情况,并有权拒绝任何单位或者个人查询、要求提供个人在互联网服务提供商处的任何信息;但是,法律另有规定的除外。

第九条 互联网服务提供商违反本规定第七条规定的,由上级部门给予警告,可以处1000元以上50000元以下的罚款;情节严重的,可以并处责令停业整顿,对直接负责的主管人员和其他直接责任人员依法给予纪律处分;构成犯罪的,依法追究刑事责任。

第十条 本规定施行前,已经在互联网服务提供商办理个人互联网接入服务的,按照本规定施行前国家有关规定执行;本规定施行后,在原用户办理第一次个人互联网接入申请时,原用户没有使用实名的,应当依照本规定使用实名。

第十一条 本规定由工业和信息化部组织实施。

第十二条 本规定自颁布之日起施行。

从末位淘汰制到劳动法的价值

诸多公司都惯用于一种叫做“末位淘汰制”的制度进行裁员,淘汰表现不佳的员工。labor 这种制度起源于通用电气公司的杰克·韦尔奇(Jack Welch)提出的“活力曲线”理论,将员工按照表现分为三六九等,解雇表现最差的一部分,来提高整个公司的运营效率。“末位淘汰制”给通用公司的经营方面取得巨大成功并带来大量收益,90年代这项制度也开始在中国出现,为海尔、华为以及联想等众多企业所采用,并且有蔓延到其他领域(教育,大学)的趋势。

“末位淘汰制”通常写明于与劳动者签订的合同之中,即劳动者初始就知道其就业单位实行“末位淘汰制”。但随着2007年《劳动合同法》的出台,取消了《劳动法》二十三条中“当事人约定的劳动合同终止条件出现,劳动合同即行终止”的规定,劳动合同的终止,只能依据《劳动合同法》第四十四条的规定。用人单位在于劳动者签订的合同中,不能再约定劳动合同的终止条件,即使是约定了,也是无效。看上去,“末位淘汰制”似乎是要画上句点了。

《劳动合同法》如此规定在一定程度上限制了用人单位解雇劳动者的权力,但不代表“末位淘汰制”不能以其他方式存在,“末位淘汰制”作为一种激励制度可以在一定程度上大幅提高用人单位的劳动效率。比如《劳动合同法》第四十条第二项就规定“劳动者不能胜任工作,经过培训或者调整工作岗位,仍不能胜任工作的”,用人单位就“可以解除劳动合同”。尽管排在最末的未必就代表了“不能胜任工作”,因为可能所有人都胜任工作,只是胜任的程度不一致,而总会有人排在末位,但是也算是给“末尾淘汰制”了一条出路。一条并不那么好走的路。假设能够证明某劳动者不能胜任工作,也不得直接将其解雇,而必须再经过“培训或调整工作岗位”,再次不胜任工作,方可解雇。可见其中的重重障碍,以及对于被雇佣劳动者的层层保护。

除过以上方法,还可以通过《劳动合同法》第三十九条第二项中的劳动者“严重违反用人单位的规章制度”入手来添加“末位淘汰制”。用人单位的规章制度不同于公司章程,公司章程主要是对公司高层约束,而公司规章制度则针对普通员工。尽管层次较低,但要制定出一份有效的公司规章制度,却不是一件容易的事情。根据《公司法》第十八条第三款之规定,公司规章制度的制定,“应当听取公司工会的意见,并通过职工代表大会或者其他形式听取职工的意见和建议。”根据劳动部《劳动合同法》第四条规定,制定规章制度,“应当经职工代表大会或者全体职工讨论,提出方案和意见,与工会或者职工代表平等协商确定”。并且,“在规章制度实施过程中,工会或者职工认为用人单位的规章制度不适当的,有权向用人单位提出,通过协商作出修改完善”,同时还要做到,“直接涉及劳动者切身利益的规章制度应当公示,或者告知劳动者”。

假设用人单位可以做到以上这些(尽管从来没有单位做到过),并且在规章中规定了“末位淘汰制”,那我们就应该有理由认为该制度在该用人单位是合法有效的,即此用人单位可以实行末位淘汰,将处于末位的劳动者依照“严重违反用人单位的规章制度”来进行裁员。而且,通过三十九条实行“末位淘汰制”远比四十条要来的容易,因为现实情况是,工会力量以及劳动者的力量相对于用人单位而言异常薄弱,往往职工代表大会只是用人单位的橡皮图章罢了,因此无法真正代表劳动者的利益。所以,通过操纵职工代表大会,很容易制度出符合用人单位利益的规章制度。

尽管根据《劳动合同法》,用人单位不得直接使用“末位淘汰制”,但根据上文可知,用人单位完全可以用曲线的方式合法的在公司内实行这项制度,达到规避法律的效果。

可能有人会认为,我如此给用人单位出主意,是不是太不把劳动者保障放在眼里了?绝对不是,恰恰相反,我也是为了保障劳动者利益方才出此下策。我们有利于相信,《劳动合同法》是怀着最大的善意去保障劳动者的,但这并不意味着它就能起到最好的效果。毫无疑问,《劳动合同法》是为了保障所有的劳动者而订立的,而不只是为了保障那些已经被雇佣了的劳动者。禁止“末位淘汰制“确实可以保护那些被雇佣的且在淘汰边缘的劳动者们,但另一面,却损害了那些处于就业市场上,极具工作能力的新兴劳动者。解雇条件越苛刻,是可以让用人单位不那么轻易得解雇,但更使得用人单位减少新的就业岗位,而受此影响最严重的,就是应届大学毕业生,无经验,无技术,无背景。

就像我反复引用的美国大法官布兰代斯的一句话:“如果一个法律工作者不曾研究经济学与社会学,那么他就极容易成为一个社会公敌”。“末位淘汰制”,甚至是整个《劳动合同法》,绝对不简单只是一个法律问题,更是一个复杂的经济学与社会学的问题。

与其让法律去决定用人单位可否去实行一项制度,不如把决定权交还于用人单位。尽管我们会考虑中国国情,人口众多,就业压力巨大等等。但正是因为如此,我们才应该把自主权交还给用人单位,让单位可以选择最适合自身的制度,用人单位得到充分发展,进而制造更多的就业机会。

更少的管制意味着用人单位在人事方面有了更多的选择,那些不具备特色的劳动者将得不到青睐,这将激励广大的劳动者们去学习,去培训,拥有属于自己的一技之长,长远看并非坏事。对于那些简单工作的劳动者而言,确实,是很不利于他们的权益,更容易被开除,更少的保障,但如果设立了过高的保护门槛,反而会过犹不及,最低工资的提高将会减少就业岗位,这会给低端劳动者带来更大的伤害,反而彻底没有工作。

立法是一项艺术,诚哉斯言。而运用法律,则要看你的立场了。