2016年11月7日,《网络安全法》(以下亦称“新法”)通过,并将于2017年6月1日起正式施行。本次新法作为一部保障网络安全的基础性法律,引起社会各界的广泛关注和讨论,三次审议稿中包括关键信息基础设施、个人信息跨境传输等重要概念界定、对安全保护义务的规定等内容也经历了数次修改调整。
本文一方面从保护客体、适用范围、适用主体承担的义务等方面对新法进行解读,试图为互联网相关企业,也是对此次新法最为关注的一类企业提出建议。另一方面,文末也提出了企业将需要怎样的专业法律合规服务来帮助自己做预先风险自测,以应对新法实施后带来的重大变化。
一、两种重要信息一、两种重要信息 作为一部网络安全相关的基础性法律,《网络安全法》从两个维度来解决“保护什么”的问题:一是从社会公共利益的角度,保护对国家安全和社会公共利益产生影响的内容,本法中较为重要,也是引起关注最多的就是关键信息基础设施;一是从公民和社会组织的角度,保护个人信息。新法也用较长的条文篇幅围绕着上述内容的保护进行了规定。
(一)关键信息基础设施(Critical Information Infrastructures,即“CII”)
“关键信息基础设施”是此次新法出台后最受关注的事项之一。在《网络安全法(草案)》三版审议稿中,对“关键信息基础设施”的界定也屡次修改。
| 《中华人民共和国网络安全法(草案)》第一次审议稿
|
《中华人民共和国网络安全法(草案)》第二次审议稿
|
《中华人民共和国网络安全法》正式颁布版本
|
| 提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统。
|
一旦遭到遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全,国计民生,公共利益的关键信息基础设施。
|
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
|
| 关键信息基础设施安全保护办法由国务院制定。
|
关键信息基础设施的具体范围和安全保护办法由国务院制定。
|
关键信息基础设施的具体范围和安全保护办法由国务院制定。
|
最终正式出台的《网络安全法》结合第一次和第二次审议稿,以列举行业领域加可能导致后果两个方面对关键信息基础设施做出了界定。
在《网络安全法》正式出台前,中央网络安全和信息化领导小组办公室发布了一份《国家网络安全检查操作指南》(“《操作指南》”),对如何确定CII的步骤做出了说明:
首先,确定本地区、本部门、本行业的关键业务是什么,是涉及能源、金融还是交通、市政等领域;
其次,确定了关键业务后,再确定支持关键业务的信息系统或工业控制系统是什么,形成CII候选清单。例如,支持电力行业火电企业的发电机组控制系统、管理信息系统;支持市政供水水厂的生产控制系统、供水管网监控系统等;
最后,根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定是否属于关键信息基础设施。而这个认定过程的具体标准也可以参考该操作指南。
相比于《网络安全法》的原则性规定,《操作指南》更具有指向性和操作性,对CII范围的确定更有参考价值。但最终CII的具体范围和保护办法仍将以国务院等部门另行确定的规则为准。具体标准的制定是否会参考该指南虽然仍不能确定,但指南中所确立的CII三步确认法很可能在今后的新规中体现。
(二)个人信息
个人信息定义:
| 《网络安全法》
|
以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
|
| 《电信和互联网用户个人信息保护规定》(“《保护规定》 ”)
|
电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。 |
《网络安全法》和《保护规定》将能够识别自然人身份的信息定义为个人信息,也就是说,只要一个信息能够单独或者结合“定位”到该自然人,都属于个人信息。
用户使用服务的时间、地点等内容是否属于《网络安全法》个人信息范畴而受到规制值得商榷。
虽然《网络安全法》和《保护规定》中对个人信息均有明确定义,但从表述范围来看,《保护规定》界定的个人信息似乎更为宽泛。除了能够识别自然人身份的信息属于个人信息外,《保护规定》还将用户使用服务的时间、地点等信息也纳入个人信息范畴,未经用户书面许可,不得收集和使用。用户使用服务的时间、地点等数据成为越来越多的网络服务提供者关注的领域,对这类信息收集和使用的合法性也一直受到广泛争议和质疑。
而本次《网络安全法》并未将上述信息数据纳入个人信息范畴,虽然在条款中规定“网络运营者不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息”。但《保护规定》从效力层级上仅属于部门规章。从上述规定可以看出,新法对个人信息界定的侧重点在于一种或者几种信息是否能定位到这个人,而无论这种信息是以什么方式呈现。如果通过信息无法判断是某个具体的人使用了产品、服务,很可能就不属于新法意义下要保护的个人信息,有时这种信息甚至是可以通过合法的公开渠道查询,那么对这种信息的收集使用也就不受限制。不过,在无法识别自然人身份的情况下,用户使用服务的时间、地点等信息是否受到《网络安全法》规制仍值得商榷,并有待监管机关进一步明确。
此外,可以明确的一点是,无论是《保护规定》还是《网络安全法》,其目的并不在于完全禁止对个人数据的收集、使用。企业基于大数据的利用发掘产品服务,创新商业模式正是政府监管部门支持鼓励的行为。法律的目的在于保护用户个人隐私和合法权益,规制和禁止非法销售、收集或滥用个人信息数据的违法行为。因此,无论是可以识别自然人身份的信息,还是用户使用服务时间、地点的信息,应当经过用户合法授权并依法收集、使用和提供。
二、
四种重要主体(网络运营者、CII运营者、网络产品服务提供者、任何个人和组织)
本次《网络安全法》中的网络运营者是指网络的所有者、管理者和网络服务提供者,这一界定范围十分广泛,几乎将涉及网络产品服务的主体都纳入其中,只要“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理”,都适用《网络安全法》。而不区分外资企业或内资企业,也不区分提供的产品服务是否收费。
关键信息基础设施运营者(CII运营者)、网络产品、服务提供者以及其他个人和组织是《网络安全法》规范的另外三个重要主体,虽然条款中并没有对该等主体做出明确定义。但从网络运营者的界定范围来看,这三类主体的范围与网络运营者之间均有交叉和重叠(各类主体之间的关系如下图)。特别是CII运营者应属于广义网络运营者的一部分,因此,除了承担网络运营者需要负担的义务外,因涉及国计民生、国家安全和公共利益,法律为其规定了更严格的安全保护义务和标准。除此之外,即使没有提供网络产品、服务的个人和组织,新法也对其使用网络服务、获取个人信息等行为设置了规范。
三、
五类重要义务
新法用大量条文篇幅为网络运营者等主体规定了各类网络安全义务,也是第一次以法律的形式提出了很多具有前瞻性的概念,为各主体设置了强制性规范。各类运营主体、其他个人和组织的规范总结为以下五种重要义务,不同主体可以自行“对号入座”。
但需要说明的是,因各主体之间存在上图所示的交叉和包含关系,在承担义务方面也会存在重叠,但为突出各主体承担的主要义务,本部分仍按照四种主体类型进行了区分。
(一)
报告义务
| |
网络运营者
|
CII运营者
|
网络产品、服务提供者
|
备注
|
| 报
告
义
务
|
在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并向主管部门报告。
在发现其用户发布、传输违法违规信息情况下立即处置并向主管部门报告。
收集的个人信息泄露、毁损、丢失等情况下向主管部门报告。
|
将每年对其网络安全性和潜在风险的检测评估情况和改进措施报送相关负责部门。
|
网络产品、服务存在安全缺陷、漏洞等风险时采取补救措施并向主管部门报告。
电子信息发送服务提供者和应用软件下载服务提供者在知道其用户设置恶意程序,发布、传输违法违规信息的情况下采取处置措施,保存记录并向主管部门报告。
|
审议稿第三稿将电子信息发送服务提供者和应用软件下载服务提供者在“发现”后的处置报告义务,修改为“知道”,对服务提供者规定的义务更加严格。
|
(二)
安全保护、管理义务
| |
网络运营者
|
CII运营者
|
网络产品、服务提供者
|
个人和组织
|
| 安全管理、 保护义务
|
网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;
按照网络安全等级保护制度的要求,履行21条规定的安全保护义务,包括但不限于制定安全制度和操作规则,确定网络安全负责人;采取技术措施等。 建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
|
除履行网络运营者承担的安全保护义务外,仍须承担34条规定的安全保护义务。
|
网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
|
任何个人和组织使用网络应当遵守法律和道德规范,不得危害网络安全,损害公共利益和他人合法权益。
任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于上述危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
|
(三)
安全评估审查义务
| |
网络运营者
|
CII运营者
|
网络产品、服务提供者
|
| 安全评估、
审查义务
|
/
|
采购网络产品和服务,可能影响国家安全的,应当通过国家安全审查。
在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当依法进行安全评估。
自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。
|
/ |
(四)
保密义务
| |
网络运营者
|
CII运营者
|
网络产品、服务提供者
|
| 保密义务
|
应对其收集的用户信息严格保密,并建立健全用户信息保护制度。
|
关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
|
/ |
(五)
信息规范收集、使用的义务
| |
网络运营者
|
CII运营者
|
网络产品、服务提供者
|
个人和组织
|
| 信息规范收集、 使用义务
|
不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
|
在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当依法进行安全评估。
|
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
|
任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。 |
四、
六个待明确的
“
新规
”
本次《网络安全法》是一部基础性的安全保障法律,很多条文仅做出原则性规定,而并没有对问题的解决提供具体指导思路,可操作性不强。因此,在实际操作中如何落实操作各项原则性保护办法和制度就需要各主管部门另行制定实施细则、指引或相关产品目录等规范性文件。从《网络安全法》的表述来看,接下来将出台的“新规”主要有以下几个:
1、
网络产品和服务安全审查办法
国家互联网信息办公室于2017年2月4日发布《网络产品和服务安全审查办法》征求意见稿,该征求意见稿明确了关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查。国家网信办聘请专家成立网络安全审查委员会,并认证第三方安全审查机构,进行第三方安全评价工作。但需要注意的是,该征求意见稿不仅仅是针对CII运营者采购网络产品服务而言,而是所有可能对公共利益产生影响的网络产品、服务都需要进行审查。
审查重点为网络产品、服务安全性、可控性。具体包括:
● 产品和服务被非法控制、干扰和中断运行的风险;
● 产品及关键部件研发、交付、技术支持过程中的风险;
● 产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;
● 产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;
【条文链接】:
第三十五条关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
2、
网络安全等级保护制度
新法中屡次提及的网络安全等级保护制度的具体内容目前仍没有明确。有观点认为,新法中的网络安全等级保护制度可能与我国已经通过相关法规确立的两项网络安全等级保护制度(即“计算机信息系统安全等级保护制度”和“通信网络安全分级保护制度”)在涉及网络及其安全的限度内有所交叉或重叠。但现在仍无法判断新法中的等级保护制度是在已有制度基础上进行吸收、整合,还是重新构建。
无论如何,网络安全等级保护制度对于网络运营者而言具有重要的指示规范作用,因为从新法规定来看,网络运营者的安全保护义务将基于网络安全等级保护制度来确定,这意味着不同等级的网络运营者所肩负的安全保护义务是不同的。
【条文链接】:
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行...安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
第三十一条国家对...关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
3、
网络关键设备和网络安全专用产品目录
今后对网络关键设备和网络安全专用产品将实行“清单管理”,由相关主管部门制定产品目录,凡是出现在目录中的设备、产品都需要进行安全认证和检测才能够销售或提供。需要注意的是,审议稿第二稿中,仅对“销售”网络关键设备和网络安全专用产品进行规制,但最终稿中将范围扩大到“销售或提供”。因此,即使免费提供目录中的设备、产品,也需要完成认证和检测。
【条文链接】:
第二十三条网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
4、关键信息基础设施的具体范围和安全保护办法
目前《网络安全法》对CII的原则性定义较为宽泛,可操作性不强。因涉及国家安全和社会公共利益,各部门将根据行业特征分别制定并实施对关键信息基础设施的安全保护和安全规划。前文所述的《操作指南》中关于CII的认定方法也很可能成为各部门在实际操作中的借鉴和指引。
【条文链接】:
第三十一条关键信息基础设施的具体范围和安全保护办法由国务院制定。
第三十二条按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。
5、
个人信息跨境传输的安全评估办法
因涉及国家安全和公共利益,未来CII运营者中国境内运营中收集和产生的个人信息、重要数据跨境传输将受到限制。本次新法并没有明确重要数据的含义,在第三次审议稿中更是将“重要业务数据”(important business data)修改为“重要数据”(important data),限制传输的数据范围更大。由此,对企业产生的影响也就更大,甚至可能阻碍企业业务的开展和与境外的合作。但本次新法并没有完全禁止数据跨境传输,在因业务需要而确需向境外提供的情况下,经过安全评估后可以进行数据的跨境提供。虽然监管部门将进一步制定安全评估办法,但最终哪些信息是因业务需要提供而须经过评估的标准仍十分模糊,监管部门对此有较大的裁量权。
【条文链接】:
第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
6、安全监测预警和应急处置制度
新法第五章明确了国家将建立安全监测预警机制和应急处置机制。未来企业的网络安全保护工作会面临更严格的监管,受到主管部门和社会的监督。主管部门将根据风险事件的特点或违反安全保护义务行为可能带来的损害对安全事件进行分级,并向社会预警通报,采取其他相应的应急措施。而一旦因发生安全事件被采取信息通报、分级等措施,将可能对企业声誉、社会评价、信用记录等方面带来不良的影响。
【条文链接】:
第五十一条国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。
第五十二条负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
第五十三条国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
五、
对企业如何履行安全保护义务的建议
本次《网络安全法》的出台给互联网相关企业从各方面都带来不小的影响,企业今后将要在网络安全保护和管理等方面承担更多的义务和责任。企业需梳理并
需要做
以下几件的事情:
1、完善安全管理制度。采取有效技术措施和网络安全防护设备保障网络安全、稳定运行,能有效应对网络安全事件,具体而言:
● 无线网络接入的加密和分级授权;
● 内部电子邮箱等通讯软件的安全管理;
● 技术部门外部采购行为的规范审查;
● 对系统及硬件供应商、服务商的资质审查、存档记录;
● 系统定期升级、维护;
● 加强信息数据管理,对重要数据做备份、存档、加密等处理。
2、建立审核监控制度,具体而言:
● 审核监控制度须能够有效监控网络系统,及时发现漏洞和信息泄露等风险;
● 审核监控制度须具备“信息过滤”功能,保证网络服务提供者不会收集与其提供的服务无关的信息,尤其是涉及国家秘密、个人隐私等重要敏感信息;
● 审核监控制度需要解决如何能有效发现、鉴别用户上传、传输内容的问题,以便及时处置;
● 审核监控制度需要解决如何有效应对用户的删除/更正请求的问题。
3、建立信息标记及回溯制度,使用信息数据地图以识别存储介质的位置以及追踪数据信息的流转路径,为企业进行网络安全评估、信息数据存储传输、敏感信息过滤等提供帮助。
4、定期进行安全检查和评估,被认定为CII运营者的每年必须进行一次评估。
5、建立报告制度。及时报告系统漏洞、信息泄露等风险事件。
6、建立保密制度。依法签署保密协议,并采取设置安全系统,物理隔离区域等手段对个人信息、重要数据进行保密。
7、建立安全责任制度。本次新法明确规定,在企业违反网络安全保护义务情形下,可对直接负责的主管人员或责任人员企业内部安全保护管理工作分工明确,制度健全。依法对安全负责人及关键岗位人员选任并实施安全审查,定期对从业人员培训、教育和考核。
8、加强对外包服务的风控。涉及网络信息安全的服务外包时,在协议中明确约定外包服务商的行为规范和风险事件发生时的责任承担。
9、 完善投诉举报制度。公示畅通的投诉举报渠道,并及时处理相关投诉举报。
六、
企业在网络安全领域需要什么样的专业法律合规服务
1、 尽职调查
以新法和国家安全审查相关指引为基础,并结合本文第五部分建议的措施对企业的网络安全义务履行是否符合法律要求,各项制度建立是否健全进行核查,并从合法性、安全性、保密性等方面对企业安全制度建设是否合规进行尽职调查。
2、人员访谈
与安全责任人、关键岗位从业人员以及可能对安全审查结果产生影响的人员进行访谈,了解相关岗位的设置,并对人员选任审查、职责分工、授权权限、培训考核情况等方面进行审查。在很多情况下,人员访谈也属于尽职调查的重要组成部分,贯穿尽职调查的过程中完成。
3、提供制度建设建议,帮助企业完善安全保护管理制度
在上述尽职调查的基础上,与企业聘请的安全评估机构、技术专家等第三方机构以及企业技术部门充分沟通,帮助企业建立和完善安全审核制度、报告制度、保密制度等网络安全保护管理制度和流程,作为企业的日常管理制度的一部分。
4、起草、审核协议和相关法律文件
帮助企业起草、审核:
● 与网络产品、服务提供者之间的合作协议、保密协议;
● 与外包服务商之间的合作协议、保密协议;
● 网络产品服务相关的用户协议,平台协议,特别是其中的隐私保护及通知政策、个人信息授权许可条款,保密条款等。
5、及时更新网络安全相关法规和指引
本文中已经阐述了在新法出台后可能出台的六个新规,而面对网络安全监管这一新概念,各个主管部门也在摸索中前进,今后关于网络安全保护的具体实施办法必将有更多的规范性文件和指引。企业须及时解读新规内容,对企业的网络安全保护管理制度进行更新,使其符合主管部门的要求。
网上投稿
沪公网安备 31010402007129号
