2015年6月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》。2015年7月6日至8月5日,该草案面向社会公开征求意见。2016年6月,第十二届全国人大常委会第二十一次会议对草案二次审议稿进行了审议,随后将《中华人民共和国网络安全法(草案二次审议稿)》面向社会公开征求意见。10月31日,网络安全法草案三次审议稿提请全国人大常委会审议。2016年11月7日,十二届全国人大常委会经表决高票(154票赞成、0票反对、1票弃权)通过了《中华人民共和国网络安全法》(以下简称《网络安全法》)。作为我国的网络安全基本法,《网络安全法》是网络安全领域“依法治国”的重要体现,对保障我国网络安全有着重大意义。
《网络安全法》共七章七十九条,2017年6月1日起正式施行。
一、立法背景与意义
1、立法背景
“没有网络安全就没有国家安全”。网络安全已经成为关系国家安全和发展、关系广大人民群众切身利益的重大问题。网络已经深刻地融入了经济社会生活的各个方面,网络安全威胁也随之向经济社会的各个层面渗透,网络安全的重要性随之不断提高。
党的十八大以来,以习近平同志为核心的党中央从总体国家安全观出发,对加强国家网络安全工作作出了重要的部署,对加强网络安全法制建设提出了明确的要求,制定《网络安全法》是适应我们国家网络安全工作新形势、新任务,落实中央决策部署,保障网络安全和发展利益的重大举措,是落实国家总体安全观的重要举措。中国是网络大国,也是面临网络安全威胁最严重的国家之一,迫切需要建立和完善网络安全的法律制度,提高全社会的网络安全意识和网络安全保障水平,使我们的网络更加安全、更加开放、更加便利,也更加充满活力。
在这样的形势下,制定网络安全法是维护国家广大人民群众切身利益的需要,是维护网络安全的客观需要,是落实国家总体安全观的重要举措。
2、立法意义
《网络安全法》是国家安全法律制度体系中的一部重要法律,是网络安全领域的基本大法,与之前出台的《国家安全法》、《反恐怖主义法》等属同一位阶。《网络安全法》对于确立国家网络安全基本管理制度具有里程碑式的重要意义。
《网络安全法》是落实国家总体安全观的重要举措。“没有网络安全就没有国家安全,没有信息化就没有现代化。”《网络安全法》是适应我国网络安全工作新形势、新任务,落实中央决策部署,保障网络安全和发展利益的重大举措。《网络安全法》中明确提出了有关国家网络空间安全战略和重要领域安全规划等问题的法律要求,有助于推进与其他国家和行为体就网络安全问题展开有效的战略博弈。
《网络安全法》助力网络空间治理,护航“互联网+”。《网络安全法》的出台将成为新的起点和转折点,公民个人信息保护进入正轨,网络暴力、网络谣言、网络欺诈等“毒瘤”生存的空间将被大大挤压,而“四有”中国好网民从道德自觉走向法律规范,用法律武器维护自己的合法权益,为“互联网+”的长远发展保驾护航。
《网络安全法》完善了网络安全义务和责任。《网络安全法》将原来散见于各种法规、规章中的规定上升到人大法律层面,对网络运营者等主体的法律义务和责任做了全面规定。
二、基本内容
1、相关概念
为了统一术语,《网络安全法》给出了相关概念。
(1)网络
网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
(2)网络安全
网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
从这个概念来讲,网络安全包括传统的网络安全、数据安全,是范围更大的网络安全,更加侧重网络运行安全、信息安全。
(3)网络运营者
网络运营者是指网络的所有者、管理者和网络服务提供者。
网络运营者是网络安全法中非常重要的概念,是关键义务主体或核心义务主体,出现31次。如几大电信运营商、BAT等企业以及国家机关中的网络执法部门都属于网络运营者的范畴。同时,关键信息基础设施也是一种网络运营者。
《网络安全法》去掉了草案中关于“包括基础电信运营者、网络信息服务提供者、重要信息系统运营者等”的规定,可能考虑到在互联网飞速发展的现今,对于“网络运营者”这一概念只规定内涵而对其外延采用开放的描述方式,似乎是一种更聪明也是更合乎时宜的做法。需要注意的是,是否被认定为“网络运营者”主要取决于企业是否成为了网络信息系统的所有者和管理者,以及企业的业务是否提供了各类网络服务,特别是互联网信息服务。
(4)网络数据
网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据。
(5)个人信息
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
从定义中可以看出,网络安全法中个人信息多侧重自然人的信息,对虚拟人的信息如用户名、密码、IP、MAC、上网时间、Cookies 等信息还没有明确定义。个人信息不同于个人数据、个人隐私,自然人的健康、犯罪、私人等活动信息,网络安全法中并没有提到。
(6)关键信息基础设施
国家需要对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施进行保护。
《网络空间安全战略》中进一步明确,公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统(如阿里巴巴、腾讯、百度)等 14 个大行业领域属于国家关键信息基础设施。
关键信息基础设施安全保护条例(征求意见稿)》中对关键信息基础设施范围进行了更具体的界定。下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。
2、法律框架
《网络安全法》全文共七章七十九条,包括:总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任以及附则。从主体对象角度,可将各条款分为10大类。
(1)网络安全法的目标和范围
第一条:网络安全法的目的。
第二条:网络安全法的管辖权。
(2)国家角度
第三条:网络安全法的原则、方针、实现路径。
第四条:解决顶层设计问题。
第五条:国家采取多种手段保护网络安全风险和威胁,解决行业力量不足问题。
第六条:构建网络安全的良好环境。
第七条:网络空间治理的国际合作态度。
第八条:赋予国家相关部门网络安全的监督职责。
第十二条:国家保护公民、法人和其他组织依法使用网络的权利,同时履行义务。
第十三条:未成年人保护。
第十四条:保护举报人的合法权益。
第十五条:国家强化标准体系建设。
第十六条:国家加大投入,解决投入不足问题。
第十七条:建设网络安全社会化服务体系。
第十八条:鼓励和支持创新。
第十九条:网络安全宣传教育。
第二十条:促进网络安全人才培养。
(3)网络用户角度
第十一条:行业组织规范和自律。
第十二条:权利和义务。
第十四条:有权对网络安全违法行为进行举报。
第二十六条:开展安全认证、检测、风险评估,发布的网络安全信息应遵守国家规定。
第二十七条:违法网络安全的范围定义。
第二十九条:情报交换和风险评估。
第四十六条:严禁网络犯罪。
(4)网络运营者角度
第九条:遵纪守法、履行义务、接受监督、承担责任。
第二十一条:实行网络安全等级保护制度。
第二十四条:实名制要求、网络身份认证,贯彻落实真实身份的用户服务。
第二十五条:网络安全事件的应急处置和报告。
第二十八条:提供合法的侦查协助。
第四十条:建立用户信息保护制度。
第四十一条:强化个人信息保护,收集使用个人信息要合法、正当、必要。
第四十二条:个人信息保护责任,不得泄露、篡改、毁损。
第四十三条:要合理合法支持个人删除权和更正权。
第四十四条;不得窃取、非法获取、非法出售个人信息。
第四十七条:具有违法信息传播的阻断义务。
第四十九条:建立投诉、举报制度。
第五十六条:较大安全风险或者安全事件的约谈。
(5)关键信息基础设施的运营者角度
第三十一条:定义,落实国家等级保护制度,突出保护重点。
第三十二条:工作规划、实施安全保护工作。
第三十三条:建设三同步原则。
第三十四条:关键信息基础设施运营者的义务。
第三十五条:网络产品和服务的采购,应通过国家安全审查。
第三十六条:采购网络产品和服务,应签订保密协议。
第三十七条:个人信息和重要数据应境内存储。
第三十八条:每年至少一次风险评估。
(6)网络产品和服务提供者角度
第十条:网络安全和数据安全的要求。
第十六条:加大投入、知识产权保护、支持国家网络安全技术创新项目。
第十七条:支持网络安全认证、检测和风险评估等安全服务。
第十八条:网络数据保护和利用、公共数据资源开发、网络安全管理方式创新。
第二十一条:网络安全等级保护制度。
第二十二条:产品服务的强制性准入要求和义务。
第二十三条:网络关键设备和网络安全专用产品的强制性认证或检测。
第三十五条:网络产品和服务需通过国家安全审查。
第三十六条:产品和服务的保密协议。
第三十七条:境外数据传输需进行安全评估。
第三十八条:开展风险检测评估工作。
第四十八条:电子信息发送和应用软件下载的安全。
(7)国家网信部门角度
第八条:统筹协调网络安全工作和相关监督管理工作。
第十四条:具有对危害网络安全行为举报的处置权利。
第二十三条:主导安全专用产品目录、安全认证、安全检测工作。
第三十条:赋予获取维护网络安全的各种信息的权利。
第三十五条:主导国家安全审查。
第三十七条:主导数据境外传输的安全评估工作。
第三十九条:统筹协调关键信息基础设施的安全风险检测、安全应急演练、网络安全信息共享。
第五十条:违规违法信息的处置、阻断的权利。
第五十一条:统筹协调网络安全监测预警和信息通报工作。
第五十三条:协调建立网络安全风险评估、应急工作。
第七十三条:对第三十条的约束、权利约束。
(8)有关部门角度
第八条:赋予网络安全保护和监督管理职责和权利。
第十四条:保护举报人的合法权益。
第十五条:组织制定产品、服务和运行安全的国家标准、行业标准。
第十九条:组织、指导、督促网络安全宣传教育。
第二十三条:制定、公布安全产品目录、开展安全认证和安全监测工作。
第三十条:赋予获取维护网络安全的各种信息的权利。
第三十五条:在网信协同下开展国家安全审查。
第三十七条:在网信协同下开展安全评估。
第三十九条:配合做好网络安全信息共享。
第四十九条:对网络运营者依法实施监督检查。
第五十条:违规违法信息的处置、阻断的权利。
第五十一条:建立网络安全监测预警与信息通报制度。
第五十三条:建立网络安全风险评估、应急工作机制。
第五十四条:开展网络安全风险监测和评估。
第五十六条:省级以上人民政府有关部门可以启动安全事件约谈。
第六十九条:违反有关部门要求,可以进行处罚。
第七十三条:对第三十条的约束、权利约束。
(9)公安部门角度
第八条:赋予网络安全保护和监督管理权利。
第十四条:举报处置权利。
第二十八条:侦查协助制度。
第六十三条:第二十七条网络犯罪的处罚权利。
第六十四条:第四十四条个人信息违法的处罚权利。
第六十七条:第四十六条违法网站、通信群组、违法信息发布违法的处罚权利。
第六十九条:不提供侦查协助的单位的处罚。
第七十四条:境外违法的制裁措施。
(10)个人信息角度
第二十二条:个人信息收集必须明示并取得用户同意,并遵守相关法律法规。
第三十七条:个人享有信息的数据主权。
第四十一条:个人信息的使用和收集必须合法、正当、必要。
第四十二条:不得泄露、篡改、毁损其收集的个人信息。
第四十三条:个人具有信息的删除权和更正权。
第四十四条:严禁个人信息的非法获取、非法出售和提供。
第四十五条:安全监管部门必须对个人信息进行保密。
第六十四条:违反个人信息的处罚。
三、法律特色
1、网络安全基本大法
《网络安全法》是我国网络安全领域的基础性法律,是我国第一部网络安全领域的法律,也是我国第一部保障网络安全的基本法。《网络安全法》与现有《国家安全法》、《保密法》、《反恐怖主义法》、《反间谍法》、《刑法修正案(九)》、《治安管理处罚法》、《电子签名法》等属同等地位的法律。
2、三项基本原则
第一,网络空间主权原则。《网络安全法》第一条“立法目的”开宗明义,明确规定要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。习近平总书记指出,《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,覆盖国与国交往的各个领域,其原则和精神也应该适用于网络空间。各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利应当得到尊重。第二条明确规定,《网络安全法》适用于我国境内网络以及网络安全的监督管理。这是我国网络空间主权对内最高管辖权的具体体现。
第二,网络安全与信息化发展并重原则。习近平总书记指出,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。《网络安全法》第三条明确规定,国家坚持网络安全与信息化并重,遵循积极利用、科学发展、依法管理、确保安全的方针;既要推进网络基础设施建设,鼓励网络技术创新和应用,又要建立健全网络安全保障体系,提高网络安全保护能力,做到“双轮驱动、两翼齐飞”。
第三,共同治理原则。网络空间安全仅仅依靠政府是无法实现的,需要政府、企业、社会组织、技术社群和公民等网络利益相关者的共同参与。《网络安全法》坚持共同治理原则,要求采取措施鼓励全社会共同参与,政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等应根据各自的角色参与网络安全治理工作。
3、六大显著特征
第一,明确了网络空间主权的原则。没有网络安全就没有国家安全,没有网络主权就没有网络空间安全。网络主权原则根植于《联合国宪章》和国家法理的基本准则。网络空间主权主要表现为三方面:一是对内的最高权,各国有权自主选择网络发展道路、网络管理模式、互联网公共政策;二是对外的独立权,各国有平等参与国际网络空间治理的权利;三是防止危害国家的网络安全,不搞网络霸权,不干涉他国内政,不从事、纵容或支持维护他国国家安全的网络活动。根据国家网络空间主权原则,国家不仅有权对其领土境内的关键基础设施基、重要数据、网络空间活动和信息通信网络监管理行使主权,也可依法对境外个人或组织对我国境内的网络破坏活动行使司法管辖权,即具有域外的效力。
第二,明确了网络产品和服务提供者的安全义务。《网络安全法》第二十二条明确规定,网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
第三,明确了网络运营者的安全义务。《网络安全法》将原来散见于各种法规、规章中的规定上升到人大法律层面,对网络运营者等主体的法律义务和责任做了全面规定,确定了相关法定机构对网络安全的保护和监督职责,明确了网络运营者应履行的安全义务,平衡了涉及国家、企业和公民等多元主体的网络权利与义务,协调政府管制和社会共治网络治理的关系,形成了以法律为根本治理基础的网络治理模式。
第四,进一步完善了个人信息保护规则。《网络安全法》明确运营者在收集个人信息时必须合法、正当、必要,收集应当与个人订立合同;个人信息一旦泄露、损坏、丢失,必须告知和报告,同时个人具有对其信息的删除权和更正权(删除权的两种情形:违反法律法规、约定的合同期限已满)。《网络安全法》首次给予个人信息交易一定的合法空间。
第五,建立了关键信息基础设施安全保护制度。以立法的形式将国家主权范围内的关键信息基础设施列为国家重要基础性战略资源加以保护,已经成为各主权国家网络空间安全法治建设的核心内容和基本实践。《网络安全法》首次将关键信息基础设施安全保护制度以立法形式进行保护。
第六,确立了关键信息基础设施重要数据跨境传输的规则。隶属于数据主权的概念,即数据本地化存储,通常是指主权国家通过制定法律或规则限制本国数据向境外流动。任何本国或者外国公司在采集和存储与个人信息和关键领域相关数据时,必须使用主权国家境内的服务器。《网络安全法》第三十七条标志着中国正式开始基于网络主权原则对数据跨境传输进行法律限制。
4、九类网络安全保障制度
为了更好地履行《网络安全法》,运营者需要建立对应制度,分别是网络安全等级保护制度、网络产品和服务采购制度、网络产品和服务的强制性准入制度、网络安全产品和关键设备的强制性认证和检测制度、网络安全风险评估制度、用户实名制度、网络安全监测预警和信息通报制度、网络安全事件应急预案制度、开展网络安全认证、监测、风险评估制度、关键信息基础设施运行安全保护制度、用户信息保护制度、合法侦查犯罪协助制度、关键信息基础设施重要数据境内留存制度、网络安全信息管理制度、网络信息安全投诉、举报制度。
(1)网络安全等级保护制度
《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。经过20多年的发展,国家确定实施网络安全等级保护制度从国家制度上升为国家法律。同时第三十一条规定,对可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。网络运营者要从定级备案、安全建设、等级测评、安全整改、监督检查角度,严格落实网络安全等级保护制度。
(2)网络产品和服务安全制度
与网络安全产品和服务有关的安全制度主要涉及市场准入制度、强制性安全检测制度、强制性安全认证制度。2016年底,国家互联网信息办公室会同相关部门出台的《网络产品和服务安全审查办法》,采用企业承诺与社会监督相结合,第三方评价与政府监管相结合,实验室检测、现场检查、在线监测、背景调查相结合的方式,对网络产品和服务及其提供者进行网络安全审查。重点审查网络产品和服务的安全性、可控性,主要包括:产品和服务被非法控制、干扰和中断运行的风险;产品及关键部件研发、交付、技术支持过程中的风险;产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;其他可能危害国家安全和公共利益的风险。
(3)关键信息基础设施运行安全保护制度
《网络安全法》第三十一条规定,“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护,关键信息基础设施的具体范围和安全保护办法由国务院制定。”这是我国首次在法律层面提出关键信息基础设施的概念和重点保护范围。
为了强化对关键信息基础设施安全保护的责任,《网络安全法》从国家主体和关键信息基础设施运营者两大层面,分别明确了对关键信息基础设施安全保护的法律义务和责任。在国家层面,《网络安全法》第三十二条规定,“按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。”
在关键信息基础设施运营者方面,《网络安全法》第三十四条专门设定了关键信息基础设施的运营者应当履行的四大安全保护义务:一是设置专门安全管理机构和安全管理负责人;二是定期对从业人员进行网络安全教育、技术培训和技能考核;三是对重要系统和数据库进行容灾备份;四是制定网络安全事件应急预案,并定期进行演练。另外设定了一项兜底性条款,即“以及法律、行政法规规定的其他义务”。
(4)网络安全风险评估制度
《网络安全法》第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。同时,《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。建议今后运营者开展网络安全等级保护测评工作,这样既满足风险评估,同时满足网络安全等级保护制度。
(5)用户实名制度
《网络安全法》立法确立了网络实名制在我国的实施,第二十四条规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通信等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
在此之前,我国已经有相关的法律法规对实名制进行规定。2016年1月1日实施的《中华人民共和国反恐怖主义法》规定,电信、互联网、金融、住宿、长途客运、机动车租赁等业务经营者、服务提供者,应当对客户身份进行查验。对身份不明或者拒绝身份查验的,不得提供服务。2015年的《互联网用户账号名称管理规定》规定,互联网信息服务提供者应当按照“后台实名、前台自愿”的原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号。2016年的《移动互联网应用程序信息服务管理规定》要求,移动互联网应用程序提供者按照“后台实名、前台自愿”的原则,对注册用户进行基于移动电话号码等真实身份信息认证。
(6)网络安全事件应急预案制度
《网络安全法》第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。建议应急预案制度应覆盖所有网络安全场景、对相关人员开展应急预案培训、结合发生的安全事件和面临的安全风险,制定符合自身组织架构的网络安全应急预案,并在预案中明确内部及业务部门的应急响应责任,准备措施以及应对突发事件的配合机制,并组织演练。
(7)网络安全监测预警和信息通报制度
《网络安全法》第五十一条规定,国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。这是从国家层面要建立安全态势感知与信息通报制度,说明了将来会出台国家层面的“网络安全监测预警和信息通报制度”。习近平总书记在 2016 年 4 月 19日讲到,“全天候全方位感知网络安全态势。知己知彼,才能百战不殆”,同时指出,“感知网络安全态势是最基本最基础的工作。要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。要建立政府和企业网络安全信息共享机制,把企业掌握的大量网络安全信息用起来。”
《网络安全法》第五十二条规定,负责关键信息基础设施安全保护工作的部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。这条主要从行业层面讲安全态势感知与信息通报制度,行业主管部门要在国家指导下出台行业层面的“网络安全监测预警和信息通报制度”。
(8)用户信息保护制度
《网络安全法》第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。同时,第二十二条规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
《网络安全法》对保护个人信息有了明确规定,如“网络运营者不得泄露、篡改、毁损其收集的个人信息”,“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”等。
(9)关键信息基础设施重要数据境内留存制度
《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
第三十七条是与数据主权有关的规定。数据主权也被称为数据本地化存储,指主权国家通过制定法律或规则限制本国数据向境外流动。任何本国或者外国公司在采集和存储与个人信息和关键领域相关数据时,必须使用主权国家境内的服务器。据国际电信联盟ITU的统计,2015年全球通过互联网的跨境数据量超过1 ZB(1万亿GB),如果没有数据主权的保护和跨境流动的法律机制,将可能直接影响个人的隐私和自由,乃至一个国家的经济运行,危及国家安全。俄罗斯、澳大利亚等国通过立法的形式对数据的流动进行动态调整和控制。欧盟规定:如果雇员的个人数据转移到欧盟以外的其他国家,采集这些数据时,雇员必须得到通知,否则不能转移出境。
对于涉及国家安全和社会稳定的数据提出本地化要求是一个趋势,也符合国际上的立法惯例。但是,如果数据本地化要求过于泛化,会对企业(尤其是跨国企业)的业务带来负担。因此,下一步有关部门制定对关键信息基础设施的认定和数据跨境传输的安全评估办法时,如何把握数据安全和商业便利两者的平衡关系非常重要。
对数据本地化的法律规制,除了《网络安全法》的规定,以下数据(或设施)亦明确有本地化的法律要求:
我国网络安全和保密相关的法律禁止涉及国家秘密和国家安全的数据跨境传输。
征信数据(《征信业管理条例》第24条)。
个人金融信息(《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第6条)。
地图数据(《地图管理条例》第34条)。
网络出版服务所需的必要的技术设备(《网络出版服务管理规定》第8条)。
网约车业务相关数据和信息(《网络预约出租汽车经营服务管理暂行办法》27条)。
5、惩罚措施
《网络安全法》在第六章规定了详尽的法律责任,大致规定了14种惩罚手段,分别是约谈、断网、改正、警告、罚款、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证、吊销营业执照、拘留、职业禁入、民事责任、刑事责任。
对网络运营者,根据违法行为的情形,主要的法律责任承担形式包括:责令改正、警告、罚款,责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员等进行罚款等;有关机关还可以把违法行为记录到信用档案。对于违反法律第二十七条的人员,法律还建立了职业禁入的制度。
除了以上行政处罚外,网络运营者还应当包括违法行为所导致的民事责任和刑事责任。网络运营者如果因违反《网络安全法》的行为给他人造成损失的,该行为具有民事上的可诉性,网络运营者应当承担相应的民事责任。
我国《刑法修正案(九)》规定的拒不履行信息网络安全管理义务罪,指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,具有法律规定的情形之一的,构成本罪。
《网络安全法》为网络运营者设定了诸多的网络安全保护义务(如网络安全等级保护和关键信息基础设施保护等),如果由于不履行法律的规定而导致严重后果的,可能受到刑事的追诉,从而承担拒不履行信息网络安全管理义务罪的后果。下面给出几个比较典型的惩罚措施。
(1)约谈
《网络安全法》第五十六条明确,省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络运营者的法定代表人或者主要负责人进行约谈。
(2)断网
《网络安全法》第五十八条明确规定,因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。“在特定区域对网络通信采取限制等临时措施”被业界很多人解读为断网。
(3)拘留
拘留适用范围为,对从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关没收违法所得,依据情节严重情况,可处五日以下或者五日以上十五日以下拘留。
(4)罚款
如果被罚款对象是运营者,范围为最低一万,最高一百万。如果被罚款对象是个人,范围最低五千元,最高十万元。为了打击违法犯罪,《网络安全法》同时规定了违法所得或采购金额的一倍以上十倍以下罚款,大大提高了犯罪成本。执行罚款的部门主要由运营者的主管部门、公安部门组成。
(5)职业禁入
《网络安全法》要求关键信息基础设施的运营者设置专门的安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。如果发现受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
6、全社会参与者
(1)监管者
《网络安全法》第八条明确规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
从《网络安全法》中可以看出网络安全的治理层级,可分为领导机构、规划机构、协调机构、关键基础设施主管机构。
统筹领导机构:中央国家安全领导机构。
统筹规划机构:国务院和各级人民政府(网络安全相关事务,制定关键信息基础设施的具体范围和安全保护方法,可以在特定区域对网络通信采取限制等临时措施)。
统筹协调机构:网信办(负责协调网络安全工作和相关监督管理工作,协调关键信息基础设施的安全保护)。
国家关键基础设施主管机构:各部委(电信主管部门、公安部门、其他有关机关在各自职责范围内的网络安全职责)。
(2)监管对象
非政府网络要素参与者就是通常意义上的监管对象。非政府网络要素参与者包括国家机关政务网络的运营者、网络运营者、电子信息发送服务提供者、应用软件下载服务提供者、关键信息基础设施的运营者、网络产品或者服务的提供者、被收集者、行业组织、大众传播媒介、企业和高校、职教培训机构、安全认证或者安全检测机构、安全管理负责人、关键岗位人员、从业人员等。
四、十大热点话题
2017年5月31日,在《网络安全法》施行前,网信办网络安全协调局围绕记者提出的十个热点信息进行回应。这些热点信息,可以很好地把握《网络安全法》的精髓。
1、准备工作进展情况
问:《网络安全法》于6月1日起施行,有关准备工作进展如何?
答:《网络安全法》将于6月1日起正式施行,这在网络安全历史上具有里程碑意义。
《网络安全法》的公布和施行不仅从法律上保障了广大人民群众在网络空间的利益,有效维护了国家网络空间主权和安全,有利于信息技术的应用,有利于发挥互联网的巨大潜力。
《网络安全法》公布后,各部门、各地方以及广大企业、科研单位和院校开展了多种形式的学习宣传贯彻活动,法律所确定的重要理念、基本要求正在深入人心。目前,有关部门正在按照法律要求抓紧研究起草相关制度文件,包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法、网络关键设备和网络安全专用产品目录等。其中,《网络产品和服务安全审查办法(试行)》等配套制度文件已经公开发布。国家标准化部门正抓紧组织制定《个人信息安全规范》等国家标准。总体上看,各项工作都在按计划推进。
2、是否会制造贸易壁垒
问:据报道,近期有外国协会和机构建议推迟实施《网络安全法》,担心《网络安全法》会制造贸易壁垒、限制国外企业和技术产品进入中国市场,你对此有什么评论?
答:借鉴国际通行做法,根据本国国情,制定相关法律、行政法规,并依法对网络进行管理,完全是各国主权范围内的事情。
制定和实施《网络安全法》,其目的是要维护国家网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的权益,而不是要限制国外企业、技术、产品进入中国市场,不是要限制数据依法有序自由流动。
3、关键信息基础设施保护
问:关键信息基础设施保护是《网络安全法》新设立的一项重要制度,6月1日后这一制度如何实施?
答:《中华人民共和国立法法》要求,法律规定明确要求有关国家机关对专门事项作出配套的具体规定的,有关国家机关应当自法律施行之日起一年内作出规定。目前,有关部门正在按照《网络安全法》的要求,抓紧制定相关配套规定,其中关键信息基础设施保护办法有望近期公开征求意见,个人信息和重要数据出境安全评估办法正在根据各方面意见修改完善。建议相关企业、机构等抓紧做好法律实施的准备工作,自觉用法律规范网络行为。
4、关键信息基础设施的范围
问:关键信息基础设施的范围如何确定?中国将采取什么措施加强关键信息基础设施保护?
答:关键信息基础设施保护制度的目的是要确保涉及国家安全、国计民生、公共利益的信息系统和设施的安全,与等级保护制度相比所涉及的范围相对较小。从各国的情况看,具体明确关键信息基础设施相当复杂,是一个在实践中不断完善、不断调整的过程。目前,国家互联网信息办公室正会同有关部门按照《网络安全法》的要求,抓紧研究制定相关指导性文件和标准,指导相关行业领域明确关键信息基础设施的具体范围。
加强关键信息基础设施保护首先是按照《网络安全法》的要求,抓紧制定相关配套制度和标准,要重点做好以下几方面工作:一是加强关键信息基础设施保护工作的统筹,强化顶层设计和整体防护,避免多头分散、各自为政的情况发生;二是建立完善责任制,政府主要加强指导监管,关键信息基础设施运营者要承担起保护的主体责任;三是加强对从业人员的网络安全教育、技术培训和技能考核,切实提高网络安全意识和水平;四是做好网络安全信息共享、应急处置等基础性工作,提升关键信息基础设施保护能力;五是加强关键信息基础设施保护中的国际合作。
5、数据跨境流动
问:《网络安全法》规定,关键信息基础设施运营者在中华人民共和国境内收集产生的个人信息和重要数据应当在境内存储。这种规定会不会限制数据跨境流动,影响国际贸易?
答:《网络安全法》作出这样的规定的目的是维护国家网络安全,保护人民群众利益。落实法律要求要把握以下几点:一,这是对关键信息基础设施运营者提出的要求,而不是对所有网络运营者的要求;二,不是所有的数据,只限于个人信息和重要数据,这里的重要数据是对国家而言的,而不是针对企业和个人的;三,对于确需出境的数据,法律作了制度上的安排,经过安全评估认为不会危害国家安全和社会公共利益的,可以出境;四,经个人信息主体同意的,个人信息可以出境。特别要说明的是,拨打国际电话、发送国际电子邮件、通过互联网跨境购物以及其他个人主动行为,视为已经个人信息主体同意。
《网络安全法》关于数据境内留存和出境评估的规定,不是要阻止数据跨境流动,更不是要限制国际贸易。当今数据跨境流动已经成为经济全球化的前提,是推进“一带一路”建设的必要条件,我们愿同各国就此问题开展交流合作,共同促进数据依法有序自由跨境流动,充分保障个人信息安全和国家网络安全。
6、安全审查是否形成技术壁垒
问:《网络产品和服务安全审查办法(试行)》已经正式发布,这个办法的实施会不会给国外企业带来不公平待遇,形成事实上的技术壁垒?
答:《网络产品和服务安全审查办法(试行)》规定,对可能影响国家安全的网络产品和服务进行安全审查,其目的是提高网络产品和服务的安全可控水平,防范供应链安全风险,维护国家安全和公共利益。
安全审查的重点是产品和服务的安全性、可控性,包括产品被非法控制、干扰和中断运行的风险,产品提供者非法收集用户信息的风险等。
安全审查不针对特定国家和地区,没有国别差异,审查不会歧视国外技术和产品,不会限制国外产品进入中国市场。相反,安全审查会提高消费者对使用产品的信心,扩大企业市场空间。
7、如何执行国家的强制性要求
问:《网络安全法》规定,“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供”,请问这条如何执行?
答:国家互联网信息办公室、工业和信息化部、公安部、国家认监委即将发布第一批网络关键设备和网络安全专用产品目录。列入这一目录的设备和产品应该按照有关国家标准的强制性要求,由具备资格的机构进行认证或检测。此前,已经按照国家有关规定检测符合要求或认证合格的,在有效期内无须进行认证或检测。
8、个人隐私与网上言论自由
问:《网络安全法》规定,“网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息”,这是否会侵害个人隐私,妨碍网上言论自由?
答:中国坚持积极利用、科学发展、依法管理、确保安全的方针,在推进互联网发展、加强互联网管理过程中,充分保障人权和言论自由,充分尊重广大人民群众的知情权、参与权、表达权和监督权。同时,强调任何人、任何机构都应该对自己在网上的言行负责,个人的自由不应以损害他人的自由和社会公共利益为代价,任何人和机构都有义务自觉维护网络秩序,自觉维护网络安全。
对这条规定有两点理解:一,针对的是用户公开发布的信息,而不是个人通信信息,不会损害个人隐私;二,要求停止传输的是违法信息,不存在妨碍言论自由问题。
9、管控国外网站
问:《网络安全法》要求,采取技术措施和其他必要措施阻断来源于境外的非法信息的传播。这一要求是不是意味着要严格管控国外网站,限制信息跨境流动?
答:现实世界中,无论是企业还是个人,进入哪个国家都要遵从哪个国家的法律法规要求,违法行为都将受到法律的制裁。网络空间也不例外,在中国境内网络上传播的信息必须符合中国法律法规的规定。
中国坚持依法治网,采取技术措施和其他必要措施阻断违法信息在境内传播,是国家网络空间主权的体现,是维护国家安全和广大人民群众利益的客观要求。我们支持信息跨境自由流动,但要以不损害他国网络空间主权为条件,阻断违法信息进入本国网络空间与支持信息跨境自由流动不矛盾。
10、如何解安全可信
问:《网络安全法》提出要推广安全可信的网络产品和服务,“安全可信”是什么含义?
答:安全可信与自主可控、安全可控一样,至少包括以下三方面的含义:
一是保障用户对数据可控,产品或服务提供者不应该利用提供产品或服务的便利条件非法获取用户重要数据,损害用户对自己数据的控制权;
二是保障用户对系统可控,产品或服务提供者不应通过网络非法控制和操纵用户设备,损害用户对自己所拥有、使用设备和系统的控制权;
三是保障用户的选择权,产品和服务提供者不应利用用户对其产品和服务的依赖性,限制用户选择使用其他产品和服务,或停止提供合理的安全技术支持,迫使用户更新换代,损害用户的网络安全和利益。
安全可信没有国别和地区差异,国内外企业和产品都应该符合安全可信的要求。
来源:计算机与网络安全
