网络安全、数据安全、个人信息保护近期执法观察
近日,一份公安机关对某足疗会所作出的行政处罚决定书在网上广为流传。该行政处罚决定书之所以受到社会广泛关注,原因在于公安机关对足疗会所进行查处的依据系《数据安全法》,而不是常见的《治安管理处罚法》;处罚的违法事实则为“该场所的电脑存储有顾客姓名、手机号码、身份证号码等敏感数据且未设置密码,未制定数据安全管理制度,未采取必要措施保障数据安全”。
无独有偶,近日公安机关对某食品经营部、某超市经营部作出的两份行政处罚决定书也引起了大家注意,因为公安机关进行查处的依据系《网络安全法》、《个人信息保护法》,而非常见的《食品安全法》、《消费者权益保护法》。其中,公安机关对某食品经营部作出的行政处罚决定书中载明,公安机关查明的违法事实为“向客人提供的上网服务WiFi为开放式,仅有简单密码,无身份验证措施即可上网,未按规定落实安全技术保护措施,构成涉嫌网络运营者不履行网络安全保护义务”。另外,公安机关对某超市经营部作出的行政处罚决定书中载明,某超市经营部存在的违法事实为“该超市因正常业务需要,收集会员信息,包含姓名、手机号等个人信息,但没有采取相应的加密、去标识化等安全技术措施;没有制定内部管理制度和操作规程。该单位作为个人信息处理者,未采取以上措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失,属于未履行个人信息保护义务”。
由于上述被处罚的场景在现实生活中相当普遍,被处罚单位也是街头巷尾常见的各种接地气的商铺,公安机关行政执法如此“飞入寻常百姓家”,并不寻常。笔者于是检索了相关的数据库,发现上述案例并非个案,而是呈现出批量状态,显然近期公安机关(尤其是某些省市)加大了对网络安全、数据安全和个人信息保护的行政执法的力度,其震慑作用和社会效果也是非常明显的。
在此,笔者强烈建议每个公民、组织都应严格遵守《网络安全法》、《数据安全法》、《个人信息保护法》的规定,履行法定义务,对照相关条款对不合规行为及时进行整改,避免受到行政处罚。但是笔者也认为现阶段法律专业人员对《网络安全法》、《数据安全法》、《个人信息保护法》的理解尚有未尽与困惑之处,不加区别地苛责个体工商户、小微型企业等严格落实三部法律规定是否尚待商榷?