近日,历时近一年半三易其稿才得以通过的《中华人民共和国网络安全法》(《网络安全法》)正式实施,《网络安全法》是我国第一部全面规范网络空间与安全管理方面问题的基础性法律,对我国网络空间的法治建设具有重要里程碑意义。因《网络安全法》涉及到我国境内网络安全领域的全面规制,其受到社会各界,尤其是互联网行业的高度关注,热议不断。笔者作为互联网领域法律从业者,对《网络安全法》进行专题研究,梳理出重点关注事项并提出合规建议供相关组织或人员参考,文章如有错漏或疏忽,还请各位读者给予批评指正。
00 《网络安全法》概况
作为我国网络安全领域的框架性的法律,《网络安全法》具有适用范围广泛、合规要求与法律责任严格、个人信息保护加强等特点。国家互联网信息办公室网络安全协调局负责人就《网络安全法》实施答记者问表示:目前,有关部门正在按照法律要求抓紧研究起草相关制度文件,包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法、网络关键设备和网络安全专用产品目录等。其中,《网络产品和服务安全审查办法(试行)》等配套制度文件已经公开发布。国家标准化部门正抓紧组织制定《个人信息安全规范》等国家标准。因此,后续的配套法律文件互联网企业应当予以关注。
另外,在监管体系上,根据《网络安全法》第八条的规定,国家网信部门统筹协调网络安全与相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关按照法律法规在各自职责范围内负责网络安全保护与监督管理工作。也即,我国的网络安全监管体系存在双重监管体系。
适用主体上,根据《网络安全法》第九条、第十一条、第十二条、第三十一条等规定,《网络安全法》涉及到对网络运营者、关键信息基础设施运营者(CII运营者)、网络产品与服务提供者以及其他个人与组织四类主体的规制,主要规制的对象是网络运营者和关键信息基础设施运营者两类主体。按照《网络安全法》第七十六条的定义,网络运营者包括网络的所有者、管理者和网络服务提供者,几乎将所有涉及提供网络产品、服务的主体都纳入了其中,且不区分免费或付费、内资或外资、个人或组织。
综上,基于《网络安全法》适用范围与主体的广泛性,笔者认为不论是PC端还是移动端的社交平台、电商购物、通讯服务等网络运营者,还是涉及提供线上网络产品或服务的传统线下个人或组织,均应当按照《网络安全法》做好相应的合规措施,避免被处罚或关停的法律风险。
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
上述规定简而言之,网络运营者应当制定安全管理制度与操作规程,落实网络安全责任人,并且采取包括防范病毒、网络攻击与入侵,监测、记录网络运行与安全事件且留存不少于六个月的网络日志,采取数据分类、备份和加密等在内的技术措施履行安全保护义务。
但是,《网络安全法》并未明确网络安全等级保护制度具体参照的文本或标准,现有可参照的标准为公安部、国家保密局等国家四部委制定的《信息安全等级保护管理办法》(公通字〔2007〕43号),其第七条、第八条对信息系统安全保护等级及保护做了具体规定,在国家尚未出台具体参考文本或标准前,该办法应当作为《网络安全法》的重要配套文件予以关注。
另外,在《信息安全等级保护管理办法》的基础之上,相关行业主管部门也出台过相关意见与规范,如教育部2009年11月发布的《教育部办公厅关于开展信息系统安全等级保护工作的通知》(教办厅函〔2009〕80号)和卫生部2011年11月发布的《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)。因此,在公安部门和行业主管部门的双重监管下,互联网企业对有关行业主管部门发布的文件亦应予以关注。
(一)不得设置恶意程序;
(二)存在安全缺陷、漏洞等风险时,应当立即采取补救措施,及时告知用户并向有关主管部门报告;
(三)应当持续提供安全维护;
(四)收集用户信息应当向用户明示并取得同意。
同时,对于网络关键设备和网络安全专用产品,除应当符合国家强制性要求外,还应由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或提供。至于网络关键设备和网络安全专用产品的目录,将由国家网信部门会同国务院有关部门制定后公布,互联网企业应关注后续进展。
另外,《网络产品和服务安全审查办法(试行)》作为《网络安全法》的配套规定已于同日正式实施,该办法规定对可能影响国家安全的网络产品和服务进行安全审查,安全审查的重点是产品和服务的安全性、可控性,包括产品被非法控制、干扰和中断运行的风险,产品提供者非法收集用户信息的风险等。关于网络产品与服务的安全可控,网信办网安局负责人在《网络安全法》实施答记者问上表示其包括三个方面含义:一是保障用户对数据可控,产品或服务提供者不应该利用提供产品或服务的便利条件非法获取用户重要数据,损害用户对自己数据的控制权;二是保障用户对系统可控,产品或服务提供者不应通过网络非法控制和操纵用户设备,损害用户对自己所拥有、使用设备和系统的控制权;三是保障用户的选择权,产品和服务提供者不应利用用户对其产品和服务的依赖性,限制用户选择使用其他产品和服务,或停止提供合理的安全技术支持,迫使用户更新换代,损害用户的网络安全和利益。
所以,互联网企业一方面要注意自己提供的网络产品或服务的生产、设计等是否符合《网络安全法》《网络产品和服务安全审查办法(试行)》级相关国家标准的要求,注意法律风险;另一方面要注意在网络产品或服务的采购中,选择符合国家行业标准及具有安全认证(如目前公安部颁发的安全产品销售许可证)的网络产品、服务提供者。
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(在此需特别关注《网络安全法》第六十三条第3款的规定,违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。也即,应避免招聘因非法网络攻击、窃取网络数据等受到过治安管理处罚或刑事处罚的人员。)
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
《网络安全法》还规定,关键信息基础设施的运营者采购网络产品和服务的,应当与提供者签订安全保密协议,涉及国家安全的,还应当通过国家网信部门会同国务院有关部门组织的国家安全审查(此处提醒关键信息基础设施的运营者在产品或服务非不可替代的前提下,尽量少采购或尽快淘汰国外的网络产品或服务,否则可能受到《网络安全法》第六十五条的处罚)。关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据应当在我国境内存储,个人信息或重要数据因业务需要出境的,应当进行国家安全评估。并且,关键信息基础设施的运营者还应当每年至少进行一次网络安全与风险检测评估,将检测评估情况和改进措施报送安全保护工作部门。《网络安全法》第三十九条还规定了国家网信部门对关键信息基础设施进行安全风险抽查检测、定期网络安全应急演练、为网路安全事件提供技术支持与协助等。
值得注意的是,在《网络安全法》出台前,中央网络安全和信息化领导小组办公室在2016年6月发布了《国家网络安全检查操作指南》,该文件对关键信息基础设施的确定进行了详细的说明,相比《网络安全法》的原则性规定更具有实操和参考借鉴意义,但是对关键信息基础设施的具体范围与安全保护办法还得以国务院后续制定的办法为准。
(一)收集、使用用户个人信息的,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并且经得被收集者同意。
(二)不得收集与提供的服务无关的个人信息,依照法律法规及于用户的约定合法收集、使用用户个人信息。
(三)不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。
(四)应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
(五)履行安全管理义务:应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告;电子信息发送服务提供者和应用软件下载服务提供者,知道其用户发送的电子信息、提供的应用软件,设置有恶意程序或者含有法律、行政法规禁止发布或者传输的信息的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
《网络安全法》还规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
在《网络安全法》正式实施之前,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》在2017年5月9日发布(与《网络安全法》同样自2017年6月1日起正式施行)。相比于《网络安全法》,该司法解释共十三条,进一步明确了公民个人信息的认定范围和侵犯公民个人信息罪的定罪量刑标准,将公民个人信息定义覆盖包括行踪轨迹、财产状况等在内。按照对该司法解释的理解,将“人肉搜索”结果在网络公布的行为应属于“非法提供公民个人信息”,情节严重的有可能面临刑事处罚。
虽然《网络安全法》及相关司法解释已经正式实施,但笔者不乐观的认为,仍旧还有众多网络运营平台在提供服务的时候没有提示用户并征得同意收集其个人信息,并且存在与其他机构交换用户个人信息的情况(如笔者因在国内某知名搜索引擎开户后预留手机号导致常年被推广、贷款等骚扰而无奈停机换号的痛苦过往),甚至存在因网络安全建设不到位导致用户信息大量外泄的情形(如“CSDN用户信息泄露事件”)。《网络安全法》和相关司法解释正式实施后,存在或可能存在上述情形的互联网企业应当积极、及时的进行全面整改,避免“天价罚单”或刑事处罚的可能,促进企业健康运行与发展。
(一)实名制认证:《网络安全法》第二十四条规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。(在本文形成之前,“知乎”已经开始向用户公布收集个人信息的通知并要求实名制,看来“知乎”的法律合规意识还是比较强的。)
(二)关注未成年人保护:《网络安全法》第十三条规定,国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
(三)监测预警与应急处置:《网络安全法》在第五章中专章规定网络安全监测预警和信息通报制度建设,就网络安全监测预警与应急处置的部门、工作机制等进行了规定,并且援引《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规进行规范。
(四)监管部门安全保护义务:《网络安全法》的第十三条、第四十五条、第七十三条规定了监管部门及其工作人员对因职务接触到的信息的安全保护义务与法律责任。
(一)已发布的
1.法律:《刑法》《国家安全法》《反恐怖主义法》《保密法》《治安管理处罚法》《电子签名法》《关于加强网络信息保护的决定》《关于维护互联网安全的决定》
2.司法解释:《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
3.行政法规:《计算机信息系统安全保护条例》《互联网信息服务管理办法》
4.部委规章:公安部——《信息安全等级保护管理办法》《计算机信息网络国际联网安全保护管理办法》,工信部——《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》
5.2017年6月1日同时实施的部委规章:《网络产品和服务安全审查办法(试行)》《互联网新闻信息服务管理规定》《互联网新闻信息服务许可管理实施细则》《互联网信息内容管理行政执法程序规定》
(二)尚未公布但将要发布的
1.《网络关键设备和网络安全专用产品目录》
2.《关键信息基础设施的具体范围和安全保护办法》
3.《个人信息安全规范》
4.《重要数据识别指南》
5.《个人信息和重要数据出境安全评估办法》(已公布征求意见稿)
6.《信息安全技术 数据处境安全评估指南》(已公布草案征求意见稿)
(一)健全安全保护体系
制度建设:
□ 建立信息安全审查制度,进行信息安全保护分级;
□ 建立安全管理制度与操作流程;
□ 建立安全责任制度并落实网络安全负责人;
□ 保密制度:1.涉密人员签署保密协议,2.制定保密协议标准文本对外签署,3.个人信息等重要数据采取物理隔离措施保密;
□ 建立安全事件应急预案制度。
技术措施:□ 防范病毒、网络攻击、入侵的设备或技术措施;□ 建立网络运行与安全事件监测、记录系统,不低于六个月的网络日志备案;
□ 对数据分类、存档,重要数据备份、加密;
□ 定期升级修补漏洞并进行安全维护,漏洞告知与报告。
信息保护:□ 信息与数据本地化专门存储; □ 用户实名认证;
□ 获得收集用户信息的同意,并公布用户信息使用规则;
□ 采取技术及物理措施保护用户信息安全;
□ 采取违法信息监测、删除措施,建立信息泄露事件报告制度。
关键信息基础设施保护:
□ 设置安全管理部门,落实安全管理负责人;
□ 安全部门及关键安全岗位人员进行背景审查;
□ 定期网络安全教育、技术培训与考核;
□ 重要系统和数据库进行容灾备份;
□ 执行安全事件应急预案制度,并定期演练;
□ 建立采购安全审查与保密制度;
□ 网络安全与风险年度评估报告
(二)产品与服务合规
国家标准合规审查与恶意程序排查;
网络关键设备与网络安全专用产品安全认证;
产品与服务提供商资质审查,建立外包制度。
(三)建立报告制度:及时向主管部门报告系统漏洞、信息泄露等安全事件。
(四)建立且向用户公示投诉举报制度,及时处理投诉举报。
(五)严格安全人员的管理,做好信息加密、隔离与保护措施,签署保密协议、竞业限制协议,做好安全信息交接记录。
本文形成于《网络安全法》及其配套规定实施之际,对其中的要点进行了简要梳理,并提出部分个人建议,以期为受《网络安全法》规制的广泛互联网企业提供相应的工作参考。希望有更多的网络安全、互联网、法律及相关专业人士参与《网络安全法》的深入研究、实践与探讨,集聚智慧建设有序健康的法治网络空间。
转载自:商业合规观察
原文出处:文体法律研究院