深入解讀《中華人民共和國網絡安全法》
2015年6月,第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網絡安全法(草案)》。2015年7月6日至8月5日,該草案面向社會公開征求意見。2016年6月,第十二屆全國人大常委會第二十一次會議對草案二次審議稿進行了審議,隨后將《中華人民共和國網絡安全法(草案二次審議稿)》面向社會公開征求意見。10月31日,網絡安全法草案三次審議稿提請全國人大常委會審議。2016年11月7日,十二屆全國人大常委會經表決高票(154票贊成、0票反對、1票棄權)通過了《中華人民共和國網絡安全法》。作為我國的網絡安全基本法,《中華人民共和國網絡安全法》是網絡安全領域“依法治國”的重要體現,對保障我國網絡安全有著重大意義。
《中華人民共和國網絡安全法》共七章七十九條,2017年6月1日起正式施行。
一、立法背景與意義
1、立法背景
“沒有網絡安全就沒有國家安全”。網絡安全已經成為關系國家安全和發展、關系廣大人民群眾切身利益的重大問題。網絡已經深刻地融入了經濟社會生活的各個方面,網絡安全威脅也隨之向經濟社會的各個層面滲透,網絡安全的重要性隨之不斷提高。
黨的十八大以來,以習近平同志為核心的黨中央從總體國家安全觀出發,對加強國家網絡安全工作作出了重要的部署,對加強網絡安全法制建設提出了明確的要求,制定《中華人民共和國網絡安全法》是適應我們國家網絡安全工作新形勢、新任務,落實中央決策部署,保障網絡安全和發展利益的重大舉措,是落實總體國家安全觀的重要舉措。中國是網絡大國,也是面臨網絡安全威脅最嚴重的國家之一,迫切需要建立和完善網絡安全的法律制度,提高全社會的網絡安全意識和網絡安全保障水平,使我們的網絡更加安全、更加開放、更加便利,也更加充滿活力。
在這樣的形勢下,制定網絡安全法是維護國家廣大人民群眾切身利益的需要,是維護網絡安全的客觀需要,是落實總體國家安全觀的重要舉措。
2、立法意義
《中華人民共和國網絡安全法》是國家安全法律制度體系中的一部重要法律,是網絡安全領域的基本大法,與之前出臺的《中華人民共和國國家安全法》、《中華人民共和國反恐怖主義法》等屬同一位階。《中華人民共和國網絡安全法》對于確立國家網絡安全基本管理制度具有里程碑式的重要意義。
《中華人民共和國網絡安全法》是落實總體國家安全觀的重要舉措。“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化。”《中華人民共和國網絡安全法》是適應我國網絡安全工作新形勢、新任務,落實中央決策部署,保障網絡安全和發展利益的重大舉措。《中華人民共和國網絡安全法》中明確提出了有關國家網絡空間安全戰略和重要領域安全規劃等問題的法律要求,有助于推進與其他國家和行為體就網絡安全問題展開有效的戰略博弈。
《中華人民共和國網絡安全法》助力網絡空間治理,護航“互聯網+”。《中華人民共和國網絡安全法》的出臺將成為新的起點和轉折點,公民個人信息保護進入正軌,網絡暴力、網絡謠言、網絡欺詐等“毒瘤”生存的空間將被大大擠壓,而“四有”中國好網民從道德自覺走向法律規范,用法律武器維護自己的合法權益,為“互聯網+”的長遠發展保駕護航。
《中華人民共和國網絡安全法》完善了網絡安全義務和責任。《中華人民共和國網絡安全法》將原來散見于各種法規、規章中的規定上升到人大法律層面,對網絡運營者等主體的法律義務和責任做了全面規定。
二、基本內容
1、相關概念
為了統一術語,《中華人民共和國網絡安全法》給出了相關概念。
(1)網絡
網絡是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。
(2)網絡安全
網絡安全是指通過采取必要措施,防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網絡處于穩定可靠運行的狀態,以及保障網絡數據的完整性、保密性、可用性的能力。
從這個概念來講,網絡安全包括傳統的網絡安全、數據安全,是范圍更大的網絡安全,更加側重網絡運行安全、信息安全。
(3)網絡運營者
網絡運營者是指網絡的所有者、管理者和網絡服務提供者。
網絡運營者是網絡安全法中非常重要的概念,是關鍵義務主體或核心義務主體,出現31次。如幾大電信運營商、BAT等企業以及國家機關中的網絡執法部門都屬于網絡運營者的范疇。同時,關鍵信息基礎設施也是一種網絡運營者。
《中華人民共和國網絡安全法》去掉了草案中關于“包括基礎電信運營者、網絡信息服務提供者、重要信息系統運營者等”的規定,可能考慮到在互聯網飛速發展的現今,對于“網絡運營者”這一概念只規定內涵而對其外延采用開放的描述方式,似乎是一種更聰明也是更合乎時宜的做法。需要注意的是,是否被認定為“網絡運營者”主要取決于企業是否成為了網絡信息系統的所有者和管理者,以及企業的業務是否提供了各類網絡服務,特別是互聯網信息服務。
(4)網絡數據
網絡數據是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據。
(5)個人信息
個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。
從定義中可以看出,網絡安全法中個人信息多側重自然人的信息,對虛擬人的信息如用戶名、密碼、IP、MAC、上網時間、Cookies 等信息還沒有明確定義。個人信息不同于個人數據、個人隱私,自然人的健康、犯罪、私人等活動信息,網絡安全法中并沒有提到。
(6)關鍵信息基礎設施
國家需要對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施進行保護。
《網絡空間安全戰略》中進一步明確,公共通信、廣播電視傳輸等服務的基礎信息網絡,能源、金融、交通、教育、科研、水利、工業制造、醫療衛生、社會保障、公用事業等領域和國家機關的重要信息系統,重要互聯網應用系統(如阿里巴巴、騰訊、百度)等 14 個大行業領域屬于國家關鍵信息基礎設施。
關鍵信息基礎設施安全保護條例(征求意見稿)》中對關鍵信息基礎設施范圍進行了更具體的界定。下列單位運行、管理的網絡設施和信息系統,一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的,應當納入關鍵信息基礎設施保護范圍:
(一)政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位;
(二)電信網、廣播電視網、互聯網等信息網絡,以及提供云計算、大數據和其他大型公共信息網絡服務的單位;
(三)國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位;
(四)廣播電臺、電視臺、通訊社等新聞單位;
(五)其他重點單位。
2、法律框架
《中華人民共和國網絡安全法》全文共七章七十九條,包括:總則、網絡安全支持與促進、網絡運行安全、網絡信息安全、監測預警與應急處置、法律責任以及附則。從主體對象角度,可將各條款分為10大類。
(1)網絡安全法的目標和范圍
第一條:網絡安全法的目的。
第二條:網絡安全法的管轄權。
(2)國家角度
第三條:網絡安全法的原則、方針、實現路徑。
第四條:解決頂層設計問題。
第五條:國家采取多種手段保護網絡安全風險和威脅,解決行業力量不足問題。
第六條:構建網絡安全的良好環境。
第七條:網絡空間治理的國際合作態度。
第八條:賦予國家相關部門網絡安全的監督職責。
第十二條:國家保護公民、法人和其他組織依法使用網絡的權利,同時履行義務。
第十三條:未成年人保護。
第十四條:保護舉報人的合法權益。
第十五條:國家強化標準體系建設。
第十六條:國家加大投入,解決投入不足問題。
第十七條:建設網絡安全社會化服務體系。
第十八條:鼓勵和支持創新。
第十九條:網絡安全宣傳教育。
第二十條:促進網絡安全人才培養。
(3)網絡用戶角度
第十一條:行業組織規范和自律。
第十二條:權利和義務。
第十四條:有權對網絡安全違法行為進行舉報。
第二十六條:開展安全認證、檢測、風險評估,發布的網絡安全信息應遵守國家規定。
第二十七條:違法網絡安全的范圍定義。
第二十九條:情報交換和風險評估。
第四十六條:嚴禁網絡犯罪。
(4)網絡運營者角度
第九條:遵紀守法、履行義務、接受監督、承擔責任。
第二十一條:實行網絡安全等級保護制度。
第二十四條:實名制要求、網絡身份認證,貫徹落實真實身份的用戶服務。
第二十五條:網絡安全事件的應急處置和報告。
第二十八條:提供合法的偵查協助。
第四十條:建立用戶信息保護制度。
第四十一條:強化個人信息保護,收集使用個人信息要合法、正當、必要。
第四十二條:個人信息保護責任,不得泄露、篡改、毀損。
第四十三條:要合理合法支持個人刪除權和更正權。
第四十四條;不得竊取、非法獲取、非法出售個人信息。
第四十七條:具有違法信息傳播的阻斷義務。
第四十九條:建立投訴、舉報制度。
第五十六條:較大安全風險或者安全事件的約談。
(5)關鍵信息基礎設施的運營者角度
第三十一條:定義,落實國家等級保護制度,突出保護重點。
第三十二條:工作規劃、實施安全保護工作。
第三十三條:建設三同步原則。
第三十四條:關鍵信息基礎設施運營者的義務。
第三十五條:網絡產品和服務的采購,應通過國家安全審查。
第三十六條:采購網絡產品和服務,應簽訂保密協議。
第三十七條:個人信息和重要數據應境內存儲。
第三十八條:每年至少一次風險評估。
(6)網絡產品和服務提供者角度
第十條:網絡安全和數據安全的要求。
第十六條:加大投入、知識產權保護、支持國家網絡安全技術創新項目。
第十七條:支持網絡安全認證、檢測和風險評估等安全服務。
第十八條:網絡數據保護和利用、公共數據資源開發、網絡安全管理方式創新。
第二十一條:網絡安全等級保護制度。
第二十二條:產品服務的強制性準入要求和義務。
第二十三條:網絡關鍵設備和網絡安全專用產品的強制性認證或檢測。
第三十五條:網絡產品和服務需通過國家安全審查。
第三十六條:產品和服務的保密協議。
第三十七條:境外數據傳輸需進行安全評估。
第三十八條:開展風險檢測評估工作。
第四十八條:電子信息發送和應用軟件下載的安全。
(7)國家網信部門角度
第八條:統籌協調網絡安全工作和相關監督管理工作。
第十四條:具有對危害網絡安全行為舉報的處置權利。
第二十三條:主導安全專用產品目錄、安全認證、安全檢測工作。
第三十條:賦予獲取維護網絡安全的各種信息的權利。
第三十五條:主導國家安全審查。
第三十七條:主導數據境外傳輸的安全評估工作。
第三十九條:統籌協調關鍵信息基礎設施的安全風險檢測、安全應急演練、網絡安全信息共享。
第五十條:違規違法信息的處置、阻斷的權利。
第五十一條:統籌協調網絡安全監測預警和信息通報工作。
第五十三條:協調建立網絡安全風險評估、應急工作。
第七十三條:對第三十條的約束、權利約束。
(8)有關部門角度
第八條:賦予網絡安全保護和監督管理職責和權利。
第十四條:保護舉報人的合法權益。
第十五條:組織制定產品、服務和運行安全的國家標準、行業標準。
第十九條:組織、指導、督促網絡安全宣傳教育。
第二十三條:制定、公布安全產品目錄、開展安全認證和安全監測工作。
第三十條:賦予獲取維護網絡安全的各種信息的權利。
第三十五條:在網信協同下開展國家安全審查。
第三十七條:在網信協同下開展安全評估。
第三十九條:配合做好網絡安全信息共享。
第四十九條:對網絡運營者依法實施監督檢查。
第五十條:違規違法信息的處置、阻斷的權利。
第五十一條:建立網絡安全監測預警與信息通報制度。
第五十三條:建立網絡安全風險評估、應急工作機制。
第五十四條:開展網絡安全風險監測和評估。
第五十六條:省級以上人民政府有關部門可以啟動安全事件約談。
第六十九條:違反有關部門要求,可以進行處罰。
第七十三條:對第三十條的約束、權利約束。
(9)公安部門角度
第八條:賦予網絡安全保護和監督管理權利。
第十四條:舉報處置權利。
第二十八條:偵查協助制度。
第六十三條:第二十七條網絡犯罪的處罰權利。
第六十四條:第四十四條個人信息違法的處罰權利。
第六十七條:第四十六條違法網站、通信群組、違法信息發布違法的處罰權利。
第六十九條:不提供偵查協助的單位的處罰。
第七十四條:境外違法的制裁措施。
(10)個人信息角度
第二十二條:個人信息收集必須明示并取得用戶同意,并遵守相關法律法規。
第三十七條:個人享有信息的數據主權。
第四十一條:個人信息的使用和收集必須合法、正當、必要。
第四十二條:不得泄露、篡改、毀損其收集的個人信息。
第四十三條:個人具有信息的刪除權和更正權。
第四十四條:嚴禁個人信息的非法獲取、非法出售和提供。
第四十五條:安全監管部門必須對個人信息進行保密。
第六十四條:違反個人信息的處罰。
三、法律特色
1、網絡安全基本大法
《中華人民共和國網絡安全法》是我國網絡安全領域的基礎性法律,是我國第一部網絡安全領域的法律,也是我國第一部保障網絡安全的基本法。《中華人民共和國網絡安全法》與現有《中華人民共和國國家安全法》、《中華人民共和國保守國家秘密法》、《中華人民共和國反恐怖主義法》、《中華人民共和國反間諜法》、《中華人民共和國刑法修正案(九)》、《中華人民共和國治安管理處罰法》、《中華人民共和國電子簽名法》等屬同等地位的法律。
2、三項基本原則
第一,網絡空間主權原則。《中華人民共和國網絡安全法》第一條“立法目的”開宗明義,明確規定要維護我國網絡空間主權。網絡空間主權是一國國家主權在網絡空間中的自然延伸和表現。習近平總書記指出,《聯合國憲章》確立的主權平等原則是當代國際關系的基本準則,覆蓋國與國交往的各個領域,其原則和精神也應該適用于網絡空間。各國自主選擇網絡發展道路、網絡管理模式、互聯網公共政策和平等參與國際網絡空間治理的權利應當得到尊重。第二條明確規定,《中華人民共和國網絡安全法》適用于我國境內網絡以及網絡安全的監督管理。這是我國網絡空間主權對內最高管轄權的具體體現。
第二,網絡安全與信息化發展并重原則。習近平總書記指出,安全是發展的前提,發展是安全的保障,安全和發展要同步推進。網絡安全和信息化是一體之兩翼、驅動之雙輪,必須統一謀劃、統一部署、統一推進、統一實施。《中華人民共和國網絡安全法》第三條明確規定,國家堅持網絡安全與信息化并重,遵循積極利用、科學發展、依法管理、確保安全的方針;既要推進網絡基礎設施建設,鼓勵網絡技術創新和應用,又要建立健全網絡安全保障體系,提高網絡安全保護能力,做到“雙輪驅動、兩翼齊飛”。
第三,共同治理原則。網絡空間安全僅僅依靠政府是無法實現的,需要政府、企業、社會組織、技術社群和公民等網絡利益相關者的共同參與。《中華人民共和國網絡安全法》堅持共同治理原則,要求采取措施鼓勵全社會共同參與,政府部門、網絡建設者、網絡運營者、網絡服務提供者、網絡行業相關組織、高等院校、職業學校、社會公眾等應根據各自的角色參與網絡安全治理工作。
3、六大顯著特征
第一,明確了網絡空間主權的原則。沒有網絡安全就沒有國家安全,沒有網絡主權就沒有網絡空間安全。網絡主權原則根植于《聯合國憲章》和國家法理的基本準則。網絡空間主權主要表現為三方面:一是對內的最高權,各國有權自主選擇網絡發展道路、網絡管理模式、互聯網公共政策;二是對外的獨立權,各國有平等參與國際網絡空間治理的權利;三是防止危害國家的網絡安全,不搞網絡霸權,不干涉他國內政,不從事、縱容或支持維護他國國家安全的網絡活動。根據國家網絡空間主權原則,國家不僅有權對其領土境內的關鍵基礎設施基、重要數據、網絡空間活動和信息通信網絡監管理行使主權,也可依法對境外個人或組織對我國境內的網絡破壞活動行使司法管轄權,即具有域外的效力。
第二,明確了網絡產品和服務提供者的安全義務。《中華人民共和國網絡安全法》第二十二條明確規定,網絡產品、服務應當符合相關國家標準的強制性要求。網絡產品、服務的提供者不得設置惡意程序;發現其網絡產品、服務存在安全缺陷、漏洞等風險時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。網絡產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。
第三,明確了網絡運營者的安全義務。《中華人民共和國網絡安全法》將原來散見于各種法規、規章中的規定上升到人大法律層面,對網絡運營者等主體的法律義務和責任做了全面規定,確定了相關法定機構對網絡安全的保護和監督職責,明確了網絡運營者應履行的安全義務,平衡了涉及國家、企業和公民等多元主體的網絡權利與義務,協調政府管制和社會共治網絡治理的關系,形成了以法律為根本治理基礎的網絡治理模式。
第四,進一步完善了個人信息保護規則。《中華人民共和國網絡安全法》明確運營者在收集個人信息時必須合法、正當、必要,收集應當與個人訂立合同;個人信息一旦泄露、損壞、丟失,必須告知和報告,同時個人具有對其信息的刪除權和更正權(刪除權的兩種情形:違反法律法規、約定的合同期限已滿)。《中華人民共和國網絡安全法》首次給予個人信息交易一定的合法空間。
第五,建立了關鍵信息基礎設施安全保護制度。以立法的形式將國家主權范圍內的關鍵信息基礎設施列為國家重要基礎性戰略資源加以保護,已經成為各主權國家網絡空間安全法治建設的核心內容和基本實踐。《中華人民共和國網絡安全法》首次將關鍵信息基礎設施安全保護制度以立法形式進行保護。
第六,確立了關鍵信息基礎設施重要數據跨境傳輸的規則。隸屬于數據主權的概念,即數據本地化存儲,通常是指主權國家通過制定法律或規則限制本國數據向境外流動。任何本國或者外國公司在采集和存儲與個人信息和關鍵領域相關數據時,必須使用主權國家境內的服務器。《中華人民共和國網絡安全法》第三十七條標志著中國正式開始基于網絡主權原則對數據跨境傳輸進行法律限制。
4、九類網絡安全保障制度
為了更好地履行《中華人民共和國網絡安全法》,運營者需要建立對應制度,分別是網絡安全等級保護制度、網絡產品和服務采購制度、網絡產品和服務的強制性準入制度、網絡安全產品和關鍵設備的強制性認證和檢測制度、網絡安全風險評估制度、用戶實名制度、網絡安全監測預警和信息通報制度、網絡安全事件應急預案制度、開展網絡安全認證、監測、風險評估制度、關鍵信息基礎設施運行安全保護制度、用戶信息保護制度、合法偵查犯罪協助制度、關鍵信息基礎設施重要數據境內留存制度、網絡安全信息管理制度、網絡信息安全投訴、舉報制度。
(1)網絡安全等級保護制度
《中華人民共和國網絡安全法》第二十一條規定,國家實行網絡安全等級保護制度。經過20多年的發展,國家確定實施網絡安全等級保護制度從國家制度上升為國家法律。同時第三十一條規定,對可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。網絡運營者要從定級備案、安全建設、等級測評、安全整改、監督檢查角度,嚴格落實網絡安全等級保護制度。
(2)網絡產品和服務安全制度
與網絡安全產品和服務有關的安全制度主要涉及市場準入制度、強制性安全檢測制度、強制性安全認證制度。2016年底,國家互聯網信息辦公室會同相關部門出臺的《網絡產品和服務安全審查辦法》,采用企業承諾與社會監督相結合,第三方評價與政府監管相結合,實驗室檢測、現場檢查、在線監測、背景調查相結合的方式,對網絡產品和服務及其提供者進行網絡安全審查。重點審查網絡產品和服務的安全性、可控性,主要包括:產品和服務被非法控制、干擾和中斷運行的風險;產品及關鍵部件研發、交付、技術支持過程中的風險;產品和服務提供者利用提供產品和服務的便利條件非法收集、存儲、處理、利用用戶相關信息的風險;產品和服務提供者利用用戶對產品和服務的依賴,實施不正當競爭或損害用戶利益的風險;其他可能危害國家安全和公共利益的風險。
(3)關鍵信息基礎設施運行安全保護制度
《中華人民共和國網絡安全法》第三十一條規定,“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護,關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。”這是我國首次在法律層面提出關鍵信息基礎設施的概念和重點保護范圍。
為了強化對關鍵信息基礎設施安全保護的責任,《中華人民共和國網絡安全法》從國家主體和關鍵信息基礎設施運營者兩大層面,分別明確了對關鍵信息基礎設施安全保護的法律義務和責任。在國家層面,《中華人民共和國網絡安全法》第三十二條規定,“按照國務院規定的職責分工,負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業、本領域的關鍵信息基礎設施安全規劃,指導和監督關鍵信息基礎設施運行安全保護工作。”
在關鍵信息基礎設施運營者方面,《中華人民共和國網絡安全法》第三十四條專門設定了關鍵信息基礎設施的運營者應當履行的四大安全保護義務:一是設置專門安全管理機構和安全管理負責人;二是定期對從業人員進行網絡安全教育、技術培訓和技能考核;三是對重要系統和數據庫進行容災備份;四是制定網絡安全事件應急預案,并定期進行演練。另外設定了一項兜底性條款,即“以及法律、行政法規規定的其他義務”。
(4)網絡安全風險評估制度
《中華人民共和國網絡安全法》第三十八條規定,關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。同時,《中華人民共和國網絡安全法》第二十一條規定,國家實行網絡安全等級保護制度。建議今后運營者開展網絡安全等級保護測評工作,這樣既滿足風險評估,同時滿足網絡安全等級保護制度。
(5)用戶實名制度
《中華人民共和國網絡安全法》立法確立了網絡實名制在我國的實施,第二十四條規定,網絡運營者為用戶辦理網絡接入、域名注冊服務,辦理固定電話、移動電話等入網手續,或者為用戶提供信息發布、即時通信等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得為其提供相關服務。
在此之前,我國已經有相關的法律法規對實名制進行規定。2016年1月1日實施的《中華人民共和國反恐怖主義法》規定,電信、互聯網、金融、住宿、長途客運、機動車租賃等業務經營者、服務提供者,應當對客戶身份進行查驗。對身份不明或者拒絕身份查驗的,不得提供服務。2015年的《互聯網用戶賬號名稱管理規定》規定,互聯網信息服務提供者應當按照“后臺實名、前臺自愿”的原則,要求互聯網信息服務使用者通過真實身份信息認證后注冊賬號。2016年的《移動互聯網應用程序信息服務管理規定》要求,移動互聯網應用程序提供者按照“后臺實名、前臺自愿”的原則,對注冊用戶進行基于移動電話號碼等真實身份信息認證。
(6)網絡安全事件應急預案制度
《中華人民共和國網絡安全法》第二十五條規定,網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。建議應急預案制度應覆蓋所有網絡安全場景、對相關人員開展應急預案培訓、結合發生的安全事件和面臨的安全風險,制定符合自身組織架構的網絡安全應急預案,并在預案中明確內部及業務部門的應急響應責任,準備措施以及應對突發事件的配合機制,并組織演練。
(7)網絡安全監測預警和信息通報制度
《中華人民共和國網絡安全法》第五十一條規定,國家建立網絡安全監測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分析和通報工作,按照規定統一發布網絡安全監測預警信息。這是從國家層面要建立安全態勢感知與信息通報制度,說明了將來會出臺國家層面的“網絡安全監測預警和信息通報制度”。習近平總書記在 2016 年 4 月 19日講到,“全天候全方位感知網絡安全態勢。知己知彼,才能百戰不殆”,同時指出,“感知網絡安全態勢是最基本最基礎的工作。要全面加強網絡安全檢查,摸清家底,認清風險,找出漏洞,通報結果,督促整改。要建立統一高效的網絡安全風險報告機制、情報共享機制、研判處置機制,準確把握網絡安全風險發生的規律、動向、趨勢。要建立政府和企業網絡安全信息共享機制,把企業掌握的大量網絡安全信息用起來。”
《中華人民共和國網絡安全法》第五十二條規定,負責關鍵信息基礎設施安全保護工作的部門應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度,并按照規定報送網絡安全監測預警信息。這條主要從行業層面講安全態勢感知與信息通報制度,行業主管部門要在國家指導下出臺行業層面的“網絡安全監測預警和信息通報制度”。
(8)用戶信息保護制度
《中華人民共和國網絡安全法》第四十條規定,網絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。同時,第二十二條規定,網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。
《中華人民共和國網絡安全法》對保護個人信息有了明確規定,如“網絡運營者不得泄露、篡改、毀損其收集的個人信息”,“任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息”等。
(9)關鍵信息基礎設施重要數據境內留存制度
《中華人民共和國網絡安全法》第三十七條規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。
第三十七條是與數據主權有關的規定。數據主權也被稱為數據本地化存儲,指主權國家通過制定法律或規則限制本國數據向境外流動。任何本國或者外國公司在采集和存儲與個人信息和關鍵領域相關數據時,必須使用主權國家境內的服務器。據國際電信聯盟ITU的統計,2015年全球通過互聯網的跨境數據量超過1 ZB(1萬億GB),如果沒有數據主權的保護和跨境流動的法律機制,將可能直接影響個人的隱私和自由,乃至一個國家的經濟運行,危及國家安全。俄羅斯、澳大利亞等國通過立法的形式對數據的流動進行動態調整和控制。歐盟規定:如果雇員的個人數據轉移到歐盟以外的其他國家,采集這些數據時,雇員必須得到通知,否則不能轉移出境。
對于涉及國家安全和社會穩定的數據提出本地化要求是一個趨勢,也符合國際上的立法慣例。但是,如果數據本地化要求過于泛化,會對企業(尤其是跨國企業)的業務帶來負擔。因此,下一步有關部門制定對關鍵信息基礎設施的認定和數據跨境傳輸的安全評估辦法時,如何把握數據安全和商業便利兩者的平衡關系非常重要。
對數據本地化的法律規制,除了《中華人民共和國網絡安全法》的規定,以下數據(或設施)亦明確有本地化的法律要求:
我國網絡安全和保密相關的法律禁止涉及國家秘密和國家安全的數據跨境傳輸。
征信數據(《征信業管理條例》第24條)。
個人金融信息(《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》第6條)。
地圖數據(《地圖管理條例》第34條)。
網絡出版服務所需的必要的技術設備(《網絡出版服務管理規定》第8條)。
網約車業務相關數據和信息(《網絡預約出租汽車經營服務管理暫行辦法》27條)。
5、懲罰措施
《中華人民共和國網絡安全法》在第六章規定了詳盡的法律責任,大致規定了14種懲罰手段,分別是約談、斷網、改正、警告、罰款、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證、吊銷營業執照、拘留、職業禁入、民事責任、刑事責任。
對網絡運營者,根據違法行為的情形,主要的法律責任承擔形式包括:責令改正、警告、罰款,責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員等進行罰款等;有關機關還可以把違法行為記錄到信用檔案。對于違反法律第二十七條的人員,法律還建立了職業禁入的制度。
除了以上行政處罰外,網絡運營者還應當包括違法行為所導致的民事責任和刑事責任。網絡運營者如果因違反《中華人民共和國網絡安全法》的行為給他人造成損失的,該行為具有民事上的可訴性,網絡運營者應當承擔相應的民事責任。
我國《刑法修正案(九)》規定的拒不履行信息網絡安全管理義務罪,指網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,具有法律規定的情形之一的,構成本罪。
《中華人民共和國網絡安全法》為網絡運營者設定了諸多的網絡安全保護義務(如網絡安全等級保護和關鍵信息基礎設施保護等),如果由于不履行法律的規定而導致嚴重后果的,可能受到刑事的追訴,從而承擔拒不履行信息網絡安全管理義務罪的后果。下面給出幾個比較典型的懲罰措施。
(1)約談
《中華人民共和國網絡安全法》第五十六條明確,省級以上人民政府有關部門在履行網絡安全監督管理職責中,發現網絡存在較大安全風險或者發生安全事件的,可以按照規定的權限和程序對該網絡運營者的法定代表人或者主要負責人進行約談。
(2)斷網
《中華人民共和國網絡安全法》第五十八條明確規定,因維護國家安全和社會公共秩序,處置重大突發社會安全事件的需要,經國務院決定或者批準,可以在特定區域對網絡通信采取限制等臨時措施。“在特定區域對網絡通信采取限制等臨時措施”被業界很多人解讀為斷網。
(3)拘留
拘留適用范圍為,對從事危害網絡安全的活動,或者提供專門用于從事危害網絡安全活動的程序、工具,或者為他人從事危害網絡安全的活動提供技術支持、廣告推廣、支付結算等幫助,設立用于實施違法犯罪活動的網站、通訊群組,或者利用網絡發布涉及實施違法犯罪活動的信息,尚不構成犯罪的,由公安機關沒收違法所得,依據情節嚴重情況,可處五日以下或者五日以上十五日以下拘留。
(4)罰款
如果被罰款對象是運營者,范圍為最低一萬,最高一百萬。如果被罰款對象是個人,范圍最低五千元,最高十萬元。為了打擊違法犯罪,《中華人民共和國網絡安全法》同時規定了違法所得或采購金額的一倍以上十倍以下罰款,大大提高了犯罪成本。執行罰款的部門主要由運營者的主管部門、公安部門組成。
(5)職業禁入
《中華人民共和國網絡安全法》要求關鍵信息基礎設施的運營者設置專門的安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查。如果發現受到治安管理處罰的人員,五年內不得從事網絡安全管理和網絡運營關鍵崗位的工作;受到刑事處罰的人員,終身不得從事網絡安全管理和網絡運營關鍵崗位的工作。
6、全社會參與者
(1)監管者
《中華人民共和國網絡安全法》第八條明確規定,國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責范圍內負責網絡安全保護和監督管理工作。縣級以上地方人民政府有關部門的網絡安全保護和監督管理職責,按照國家有關規定確定。
從《中華人民共和國網絡安全法》中可以看出網絡安全的治理層級,可分為領導機構、規劃機構、協調機構、關鍵基礎設施主管機構。
統籌領導機構:中央國家安全領導機構。
統籌規劃機構:國務院和各級人民政府(網絡安全相關事務,制定關鍵信息基礎設施的具體范圍和安全保護方法,可以在特定區域對網絡通信采取限制等臨時措施)。
統籌協調機構:網信辦(負責協調網絡安全工作和相關監督管理工作,協調關鍵信息基礎設施的安全保護)。
國家關鍵基礎設施主管機構:各部委(電信主管部門、公安部門、其他有關機關在各自職責范圍內的網絡安全職責)。
(2)監管對象
非政府網絡要素參與者就是通常意義上的監管對象。非政府網絡要素參與者包括國家機關政務網絡的運營者、網絡運營者、電子信息發送服務提供者、應用軟件下載服務提供者、關鍵信息基礎設施的運營者、網絡產品或者服務的提供者、被收集者、行業組織、大眾傳播媒介、企業和高校、職教培訓機構、安全認證或者安全檢測機構、安全管理負責人、關鍵崗位人員、從業人員等。
四、十大熱點話題
2017年5月31日,在《中華人民共和國網絡安全法》施行前,網信辦網絡安全協調局圍繞記者提出的十個熱點信息進行回應。這些熱點信息,可以很好地把握《中華人民共和國網絡安全法》的精髓。
1、準備工作進展情況
問:《中華人民共和國網絡安全法》于6月1日起施行,有關準備工作進展如何?
答:《中華人民共和國網絡安全法》將于6月1日起正式施行,這在網絡安全歷史上具有里程碑意義。
《中華人民共和國網絡安全法》的公布和施行不僅從法律上保障了廣大人民群眾在網絡空間的利益,有效維護了國家網絡空間主權和安全,有利于信息技術的應用,有利于發揮互聯網的巨大潛力。
《中華人民共和國網絡安全法》公布后,各部門、各地方以及廣大企業、科研單位和院校開展了多種形式的學習宣傳貫徹活動,法律所確定的重要理念、基本要求正在深入人心。目前,有關部門正在按照法律要求抓緊研究起草相關制度文件,包括關鍵信息基礎設施保護辦法、個人信息和重要數據出境安全評估辦法、網絡關鍵設備和網絡安全專用產品目錄等。其中,《網絡產品和服務安全審查辦法(試行)》等配套制度文件已經公開發布。國家標準化部門正抓緊組織制定《個人信息安全規范》等國家標準。總體上看,各項工作都在按計劃推進。
2、是否會制造貿易壁壘
問:據報道,近期有外國協會和機構建議推遲實施《中華人民共和國網絡安全法》,擔心《中華人民共和國網絡安全法》會制造貿易壁壘、限制國外企業和技術產品進入中國市場,你對此有什么評論?
答:借鑒國際通行做法,根據本國國情,制定相關法律、行政法規,并依法對網絡進行管理,完全是各國主權范圍內的事情。
制定和實施《中華人民共和國網絡安全法》,其目的是要維護國家網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的權益,而不是要限制國外企業、技術、產品進入中國市場,不是要限制數據依法有序自由流動。
3、關鍵信息基礎設施保護
問:關鍵信息基礎設施保護是《中華人民共和國網絡安全法》新設立的一項重要制度,6月1日后這一制度如何實施?
答:《中華人民共和國立法法》要求,法律規定明確要求有關國家機關對專門事項作出配套的具體規定的,有關國家機關應當自法律施行之日起一年內作出規定。目前,有關部門正在按照《中華人民共和國網絡安全法》的要求,抓緊制定相關配套規定,其中關鍵信息基礎設施保護辦法有望近期公開征求意見,個人信息和重要數據出境安全評估辦法正在根據各方面意見修改完善。建議相關企業、機構等抓緊做好法律實施的準備工作,自覺用法律規范網絡行為。
4、關鍵信息基礎設施的范圍
問:關鍵信息基礎設施的范圍如何確定?中國將采取什么措施加強關鍵信息基礎設施保護?
答:關鍵信息基礎設施保護制度的目的是要確保涉及國家安全、國計民生、公共利益的信息系統和設施的安全,與等級保護制度相比所涉及的范圍相對較小。從各國的情況看,具體明確關鍵信息基礎設施相當復雜,是一個在實踐中不斷完善、不斷調整的過程。目前,國家互聯網信息辦公室正會同有關部門按照《中華人民共和國網絡安全法》的要求,抓緊研究制定相關指導性文件和標準,指導相關行業領域明確關鍵信息基礎設施的具體范圍。
加強關鍵信息基礎設施保護首先是按照《中華人民共和國網絡安全法》的要求,抓緊制定相關配套制度和標準,要重點做好以下幾方面工作:一是加強關鍵信息基礎設施保護工作的統籌,強化頂層設計和整體防護,避免多頭分散、各自為政的情況發生;二是建立完善責任制,政府主要加強指導監管,關鍵信息基礎設施運營者要承擔起保護的主體責任;三是加強對從業人員的網絡安全教育、技術培訓和技能考核,切實提高網絡安全意識和水平;四是做好網絡安全信息共享、應急處置等基礎性工作,提升關鍵信息基礎設施保護能力;五是加強關鍵信息基礎設施保護中的國際合作。
5、數據跨境流動
問:《中華人民共和國網絡安全法》規定,關鍵信息基礎設施運營者在中華人民共和國境內收集產生的個人信息和重要數據應當在境內存儲。這種規定會不會限制數據跨境流動,影響國際貿易?
答:《中華人民共和國網絡安全法》作出這樣的規定的目的是維護國家網絡安全,保護人民群眾利益。落實法律要求要把握以下幾點:一,這是對關鍵信息基礎設施運營者提出的要求,而不是對所有網絡運營者的要求;二,不是所有的數據,只限于個人信息和重要數據,這里的重要數據是對國家而言的,而不是針對企業和個人的;三,對于確需出境的數據,法律作了制度上的安排,經過安全評估認為不會危害國家安全和社會公共利益的,可以出境;四,經個人信息主體同意的,個人信息可以出境。特別要說明的是,撥打國際電話、發送國際電子郵件、通過互聯網跨境購物以及其他個人主動行為,視為已經個人信息主體同意。
《中華人民共和國網絡安全法》關于數據境內留存和出境評估的規定,不是要阻止數據跨境流動,更不是要限制國際貿易。當今數據跨境流動已經成為經濟全球化的前提,是推進“一帶一路”建設的必要條件,我們愿同各國就此問題開展交流合作,共同促進數據依法有序自由跨境流動,充分保障個人信息安全和國家網絡安全。
6、安全審查是否形成技術壁壘
問:《網絡產品和服務安全審查辦法(試行)》已經正式發布,這個辦法的實施會不會給國外企業帶來不公平待遇,形成事實上的技術壁壘?
答:《網絡產品和服務安全審查辦法(試行)》規定,對可能影響國家安全的網絡產品和服務進行安全審查,其目的是提高網絡產品和服務的安全可控水平,防范供應鏈安全風險,維護國家安全和公共利益。
安全審查的重點是產品和服務的安全性、可控性,包括產品被非法控制、干擾和中斷運行的風險,產品提供者非法收集用戶信息的風險等。
安全審查不針對特定國家和地區,沒有國別差異,審查不會歧視國外技術和產品,不會限制國外產品進入中國市場。相反,安全審查會提高消費者對使用產品的信心,擴大企業市場空間。
7、如何執行國家的強制性要求
問:《中華人民共和國網絡安全法》規定,“網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求后,方可銷售或者提供”,請問這條如何執行?
答:國家互聯網信息辦公室、工業和信息化部、公安部、國家認監委即將發布第一批網絡關鍵設備和網絡安全專用產品目錄。列入這一目錄的設備和產品應該按照有關國家標準的強制性要求,由具備資格的機構進行認證或檢測。此前,已經按照國家有關規定檢測符合要求或認證合格的,在有效期內無須進行認證或檢測。
8、個人隱私與網上言論自由
問:《中華人民共和國網絡安全法》規定,“網絡運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息”,這是否會侵害個人隱私,妨礙網上言論自由?
答:中國堅持積極利用、科學發展、依法管理、確保安全的方針,在推進互聯網發展、加強互聯網管理過程中,充分保障人權和言論自由,充分尊重廣大人民群眾的知情權、參與權、表達權和監督權。同時,強調任何人、任何機構都應該對自己在網上的言行負責,個人的自由不應以損害他人的自由和社會公共利益為代價,任何人和機構都有義務自覺維護網絡秩序,自覺維護網絡安全。
對這條規定有兩點理解:一,針對的是用戶公開發布的信息,而不是個人通信信息,不會損害個人隱私;二,要求停止傳輸的是違法信息,不存在妨礙言論自由問題。
9、管控國外網站
問:《中華人民共和國網絡安全法》要求,采取技術措施和其他必要措施阻斷來源于境外的非法信息的傳播。這一要求是不是意味著要嚴格管控國外網站,限制信息跨境流動?
答:現實世界中,無論是企業還是個人,進入哪個國家都要遵從哪個國家的法律法規要求,違法行為都將受到法律的制裁。網絡空間也不例外,在中國境內網絡上傳播的信息必須符合中國法律法規的規定。
中國堅持依法治網,采取技術措施和其他必要措施阻斷違法信息在境內傳播,是國家網絡空間主權的體現,是維護國家安全和廣大人民群眾利益的客觀要求。我們支持信息跨境自由流動,但要以不損害他國網絡空間主權為條件,阻斷違法信息進入本國網絡空間與支持信息跨境自由流動不矛盾。
10、如何解安全可信
問:《中華人民共和國網絡安全法》提出要推廣安全可信的網絡產品和服務,“安全可信”是什么含義?
答:安全可信與自主可控、安全可控一樣,至少包括以下三方面的含義:
一是保障用戶對數據可控,產品或服務提供者不應該利用提供產品或服務的便利條件非法獲取用戶重要數據,損害用戶對自己數據的控制權;
二是保障用戶對系統可控,產品或服務提供者不應通過網絡非法控制和操縱用戶設備,損害用戶對自己所擁有、使用設備和系統的控制權;
三是保障用戶的選擇權,產品和服務提供者不應利用用戶對其產品和服務的依賴性,限制用戶選擇使用其他產品和服務,或停止提供合理的安全技術支持,迫使用戶更新換代,損害用戶的網絡安全和利益。
安全可信沒有國別和地區差異,國內外企業和產品都應該符合安全可信的要求。
