作者:通力律師事務所 潘永建 | 朱曉陽
Key Compliance Issues in Using Enterprise WeChat
(Summary)
David Pan, Nigel Zhu
Enterprise WeChat, as a one-stop solution APP for corporate management, is easy to use, highly efficient, and convenient to manage. This article aims to clarify some of the common compliance misunderstandings about using Enterprise WeChat.
I. Enterprise WeChat and WeChat Public Account
Companies that are not familiar with the Enterprise WeChat often mistake Enterprise WeChat for WeChat public account. The compliance focus of the WeChat public account is mainly the management of published contents, while the management of Enterprise WeChat is closely related to Enterprise WeChat』s functions.
II. Compliance Misunderstandings in Using Enterprise WeChat
1. Obligations of Network Logs Retention
The CSL and the Administrative Regulations on Internet Group Information Services are the two major sources for the network operators』 network log retention obligations. This section clarifies whether a company shall fulfil the network log retention obligations for Enterprise WeChat.
2. Other Compliance Obligations of Enterprise WeChat Users
Based on the functions of Enterprise WeChat, companies as its user shall pay close attention to the following compliance issues:
a) Obligations of Founders and Administrators of Internet Group
b) Issues in Connecting Third-party APPs
c) Compliance Obligations in Data Cross-border Transfer
d) Compliance with Extra-territorial Law.
2018年6月1日是中國《網絡安全法》正式生效實施一周年之日。為幫助企業清晰理解網安法下企業的責任與義務, 通力律師事務所網絡安全與數據服務團隊從6月1日起陸續推出《<網絡安全法>實務30問》系列雙語指引, 通過對法律規定的解讀, 結合典型實踐案例, 深度剖析企業的責任與義務, 助力企業合規經營, 有效防範風險。
本篇為《<網絡安全法>實務30問》系列雙語指引的第四篇, 簡析企業使用企業微信過程中可能涉及的合規問題, 以期為相關人士提供參考。
注: 《<網絡安全法>實務30問》系列雙語指引獨家授權威科先行網絡安全與數據合規模塊在線發佈。
企業使用企業微信的合規要點
企業微信作為一站式企業管理解決方案的APP, 使用便捷、溝通高效、方便管理, 近年來迅速獲得了企業的青睞。據騰訊發佈數據, 中國500強企業中已有80%開通了企業微信, 其中活躍企業用戶達到17%。自《網絡安全法》 (以下簡稱《網安法》)施行以來, 部分企業對使用企業微信時需要履行的合規義務產生了困惑。本文旨在澄清企業在使用企業微信中的一些認識誤區。
由於微信公眾號誕生較早, 有不熟悉企業微信的企業將企業微信與微信公眾號混淆。
1. 微信公眾號, 一般指個人或企業註冊的面向公眾的微信賬號, 註冊認證後, 可以通過該公眾號向訂閱、關注該微信公眾號的微信用戶發送文字、音/視頻信息。
2. 企業微信, 即微信的企業版, 僅向企業用戶開放註冊, 提供包括企業郵箱、企業群聊、視頻會議、企業支付、企業管理(如打卡、彙報、審批)及通過API接入企業自身APP等企業辦公管理功能。
3. 相較於微信公眾號, 企業微信是一個相對閉合的平台, 企業微信的功能一般限於企業內部及特定外部客戶之間使用, 而微信公眾號則可以對公眾進行發佈。
由此可見, 企業作為微信公眾號和企業微信的用戶, 因兩者功能不同, 企業的合規義務也不盡相同。企業使用前者應主要關注對發佈內容的管理, 而使用後者的合規義務與其功能密切相關。
1. 留存網絡日誌的義務
網絡日誌是指對網絡信息系統的用戶訪問、運行狀態、系統維護等情況的記錄。《網安法》和《互聯網群組信息服務管理規定》(以下簡稱《管理規定》)對網絡日誌留存義務做出了規定。
(1) 《網安法》
a) 《網安法》第二十一條第三項規定, 網絡運營者應當按照規定留存網絡日誌不少於六個月。
b) 雖然企業因使用企業微信而成為網絡運營者, 但企業根據《網安法》規定留存的網絡日誌僅指企業本身網絡的網絡日誌。儘管這些網絡日誌包括對企業微信的使用情況, 但並非針對企業微信本身的網絡日誌。事實上, 騰訊作為企業微信的所有者、管理者及服務提供者, 由其履行企業微信網絡日誌留存義務。
(2) 《管理規定》
a) 《管理規定》規定:
-
互聯網群組信息服務提供者應當按規定留存網絡日誌不少於六個月;
-
互聯網群組是指互聯網用戶通過互聯網站、移動互聯網等應用程序建立的, 用於群體在線交流信息的網絡空間;
-
互聯網群組信息服務使用者, 包括群組建立者、管理員和成員。
b) 根據企業微信的功能, 企業註冊後, 通過企業微信號添加員工、客戶、供應商並進行信息交流、企業管理等。企業通過企業微信在企業內部組建了互聯網群組, 屬於群組建立者及管理者, 而騰訊系企業微信的開發者及服務提供者。
c) 《管理規定》對於網絡日誌留存義務限於互聯網群組服務提供者, 因此, 騰訊作為該服務提供者承擔前述義務, 企業作為使用者不承擔前述義務。
2. 其他合規義務
根據企業微信的功能, 企業作為其用戶在使用時須注意以下合規要點:
(1) 互聯網群組建立者、管理者的義務
根據《管理規定》, 企業作為互聯網群組建立者、管理者, 應規範群組網絡行為和信息發佈, 禁止或及時制止群組成員利用互聯網群組發佈、傳播法律法規禁止的信息。
(2) 接入APP時注意的問題
通過API接入企業自身或第三方提供的APP, 必須對該APP的合規性負責, 應當履行《網安法》等法律法規規定的對用戶信息的收集、存儲、處理、傳輸等的合規義務。
(3) 數據出境合規義務
對跨國企業而言, 可能會在使用企業微信進行內部通訊、業務審批等過程中將數據不經意間傳輸到了境外, 因此, 企業必須符合法律法規關於數據出境的合規義務, 按照規定進行安全評估。
(4) 域外法律合規義務
對於業務涉及歐盟等海外領域的企業, 其數據合規義務還受到GDPR等域外法律的約束。由於企業微信的使用可能會涉及到個人信息, 企業應當履行GDPR等域外法律的規定。
《<網絡安全法>實務30問》系列雙語指引問題清單
聯繫人:
