LANGUAGE

×

Comprehensive Reserve of Knowledge And Capabilities

《网络安全法》施行四周年实践观察(一)

Hanling & Partners Hanling & Partners Hanling & Partners
Hanling & Partners Hanling & Partners Jul 28,2021
Hanling & Partners Hanling & Partners 787

《网络安全法》(以下称“网安法”)自2017年6月1日起正式施行以来,至今已近四载。作为我国首部全面规范网络空间,管理网络安全,维护网络生态的基础性法律,网安法的问世使得我国在网络领域的执法活动有了真正意义上的法律依据,更为网络运营者、关键信息基础设施运营者乃至任何个人、组织等权利、义务主体提供了守法的遵循规范。四年以来,网安法的施行促进了后续多部网络安全政策、法规、规章、标准等相继出台公布,形成了以网安法为首,深入细化且不断完善的网络安全法律体系;同时网安法的规则在各级主管部门的具体执法过程中得以运用,客观上积累了大量执法案例供实务界参考与研讨。笔者希望通过系列文章,对网安法施行四年来的实践状况进行回顾。

本文作为系列文章的第一期,首先将站在企业的立场上,对网安法基本内容进行总结,旨在为读者提供有关网安法的简单思路。

 

一、网安法立法概述

网安法共设7章79条,包括总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任以及附则。条文内容围绕“网络空间主权维护、网络安全与信息化发展并重、网络安全综合治理、网络安全重点保护”原则展开,其中“网络安全支持与促进”和“监测预警与应急处置”主要涉及国家机关、主管部门的法定权责;而对于企业的规定则集中规定在“网络运行安全”与“网络信息安全”,这也是企业层面更为关心的部分。

掌握“网络”和“安全”这两个基础性概念至关重要。所谓“网络”是指“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”,即采纳广义网络的定义,除互联网之外,还包括相对封闭的局域网和工业控制系统,另外也为未来信息技术不断发展而可能衍生出的网络新形态留下空间。所谓“安全”则是指“通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”,目前通说将上述“安全”理解并拆分为“物理安全”、“系统安全”、“数据安全”、“内容安全”四个层面,分别对应于网络设施的安全、信息系统的安全、信息自身的安全和信息利用的安全。对于企业来说,简言之,需要在上述四个方面均应做到合规。

整体而言,《网络安全法》作为规范网络主体和行为的基本法,具有公法的明显特征,可将其纳入网络安全领域的部门行政法范畴中;但同时例如个人信息保护、公开信息边界、信息共享的各方权利义务在网安法条文中也有所体现,可以想见在后续网络空间法律关系民事化进程中,网安法势必将充当重要之角色。这就要求企业不仅需要采取措施,积极应对网安法执法机关、主管部门的监督、管理、指导,还应理清与用户之间,特别是用户个人信息保护,用户发送信息管理方面等的民事关系。

 

二、网安法的规范主体

网安法所规范的主体可划分为三类:一是网络运营者与关键信息基础设施运营者(CIIO);二是特定业务运营者(包括网络产品/服务提供者、电子信息发送/应用软件下载服务提供者、网络安全服务机构等);三是任何个人和组织。同时网安法基于不同主体、所从事特定网络活动之区分,附以其相匹配的责任。这其中又以“网络运营者与关键信息基础设施运营者”的划分更为重要,决定了企业在网安法框架下的主要义务和责任。但是需要注意的是上述分类并不是完全割离的。比如,网络运营者与特定运营者这两类主体,前者基于某主体是否拥有、管理某网络或提供某项网络服务,后者则基于是否提供某项特定产品或服务,两者完全可能落实在同一主体上。

对于企业来说,界定本企业在网安法项下的主要义务和责任首先要判断其是否属于网络运营者。网安法将网络运营者定义为网络的所有者、管理者和网络服务提供者。此处,考虑到网络空间与物理空间的异质性,如果网络运营者利用其在境外所有或管理的网络面向中国境内提供网络服务等时,是否应受到网安法的规制值得关注,这也是笔者在实践中经常遇到的问题。结合本法第2条来看,网安法适用于中国境内建设、运营、维护和使用网络以及网络安全的监督管理活动,换言之网络执法管辖权的行使空间原则上局限于我国领土。但是,一般来说网络管辖权的对象不仅包括网络设施、网络主体等有形部分,也包括了网络行为,以及相关的数据和信息等无形的部分。对于属地管辖而言,国家通常可以对其境内的一切网络设施、网络主体、网络行为,以及相关的数据和信息行使管辖权。所以,笔者认为即使网络运营者及网络设备等有形部分并不在境内,但其面向中国境内提供网络服务的行为以及相关的数据和信息的流通等无形部分确有跨境效果,因此此类跨境网络行为以及伴随该行为所发生的数据和信息流通就应当遵守网安法的相关规定。

当企业判断其属于网络运营者时,接下来应该做的便是判断其是否属于CIIO。根据网安法的规定,CIIO是在网络运营者的基础上,属于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施(CII)的运营者,采用了“特定行业范围+严重危害后果”的方式加以定义。CII的具体范围和安全保护办法由国务院制定,但目前尚未出台。值得一提的是,2016年6月中央网信办网络安全协调局制定的《国家网络安全检查操作指南》附件中所含《关键信息基础设施确定指南(试行)》(以下称“确定指南”),乃是目前在确定CII方面最有参考价值的规范文件。其中对于确定CII提出了三步走的方法:一是确定本地区、本部门、本行业的关键业务;二是确定关键业务相关的信息系统或工业控制系统;三是遵照关键信息基础设施相关量化标准最终确定。在CII相关配套规范尚未出台和落地的情况下,企业可以根据上述确定指南规定的指标初步评估是否属于CIIO。

从上述定义可见,网安法对规范主体所作出的定义较为宽泛,甚至对除网络运营者和关键信息基础设施运营者之外的某些特定运营者未加以明确规定。这就给企业能否正确把握各规范主体的范围和边界带来了难度。诸如第22条中所规制的“网络产品、服务的提供者”这一主体便引出了以下两个疑问,存在争议:一是何为“网络产品提供者”,特别是提供一般意义上构成完整产品各部件的厂商是否属于“网络产品提供者”;二是“网络服务的提供者”是否等同于第76条所定义“网络运营者”之一的“网络服务提供者”。

[i]由于网安法的制度设计、责任分配均围绕各主体设计并展开,因此明确各规范主体的边际实为第一步,也最为关键。随着网络安全法律体系整体不断扩充和完善,相信规范主体的范围和界定问题也将会逐步得以明确。

 

三、网安法的重要制度的概要

对于企业而言,其所应遵循的网安法项下重要制度可归纳为网络运行安全制度、网络信息管理(以个人信息保护为主)制度、协助和报告制度。

1. 网络运行安全制度

诚如上文二中所述,网安法的制度逻辑在于,根据规范主体的不同与特定业务的差异加以区分并配套责任,但网安法下的核心规范主体仍是网络运营者和关键信息基础设施运营者,网安法的重要制度设计也多围绕二者展开并加以区分规定,这一点集中体现在网络运行安全保护制度方面。


规范主体

相关条文

责任名称

责任内容

网络运营者

第21条

安全等级保护制度

Ÿ   制定内部安全管理制度和操作规程,确定网络安全负责人

Ÿ   采取防范危害行为的技术措施

Ÿ   采取监测记录技术措施

Ÿ   网络日志留存不少于六个月

Ÿ   数据分类、重要数据备份和加密

第24条实名制Ÿ   要求用户提供真实身份信息
第25条应急预案、风险处置Ÿ   制定应急预案,及时处置安全风险

而关键信息基础设施运营者除应承担上述责任外,基于其对国家网络安全的特殊意义,还应承担下列责任:

规范主体

相关条文

责任名称

责任内容

关键基础设施运营者

第34条

更严格的安全等级保护制度

Ÿ   设置专门安全管理机构和安全管理负责人,对负责人和关键岗位人员进行安全背景审查

Ÿ   定期进行网络安全教育、技术培训和技能考核

Ÿ   对重要系统和数据库进行容灾备份

Ÿ   制定网络安全事件应急预案,并定期进行演练

第35条采购行为安全审查Ÿ   涉及国家安全的采购活动须经审查
第36条采购安全保密协议Ÿ   与产品/服务提供者签订安全保密协议
第37条数据跨境转移限制

Ÿ   个人信息、重要数据境内保存

Ÿ   确需出境应安全评估

第38条安全监测评估制度Ÿ   自行或委托网络安全服务机构对其安全性和可能风险每年至少进行一次监测评估

除此之外,针对特定运营者基于其业务形态,网安法规定有特定之网络运行安全责任:

规范主体

相关条文

责任名称

责任内容

网络产品/服务提供者

第22条

产品/服务品质

保障义务

Ÿ   符合相关国家标准的强制性要求

Ÿ   禁止设置恶意程序

Ÿ   提供的产品货物服务持续安全维护

网络安全服务机构

第26条

遵守国家有关规定

Ÿ   开展网络安全认证、检测、风险评估等活动,向社会发布网络安全信息应遵循国家有关规定

网络运行安全保护制度对任何个人或组织的要求主要体现为第12条以及第27条规定的禁止个人或组织从事、协助、参与危害网络安全的活动。

2.网络信息管理制度

网安法设专章规定网络信息管理制度,但细看可发现,其核心乃是个人信息保护相关内容,当然除个人信息保护之外,针对与用户有关信息管理和禁止性信息的取缔亦是网络信息管理制度的重要组成部分。首先个人信息保护方面,网安法主要规制网络运营者(包括关键信息基础设施运营者)、网络产品/服务提供者等主体。

规范主体

规则名称

相关条文

规则内容

网络运营者

安全保障

第40条

Ÿ   对收集的用户信息严格保密

Ÿ   建立健全用户信息保护制度

第42条
Ÿ   采取技术措施等确保信息安全,防止个人信息泄露、毁损、丢失
告知-同意第41条

Ÿ   公开收集、使用规则,明示收集、使用信息的目的、方式和范围

Ÿ   收集、使用时,应经被收集者同意

第42条
Ÿ   未经同意,不得向他人提供个人信息,但经处理无法识别特定个人且不能复原的除外
收集、使用限制第41条

Ÿ   合法、正当、必要的范围内收集使用

Ÿ   不得违反法律、行政法规的规范和双方约定

Ÿ   不得收集无关的个人信息

信息完整性第42条Ÿ   不得泄露、篡改、毁损其收集的个人信息
查阅及订正第43条

Ÿ   违反法律、行政法规或双方约定收集、使用的,有权要求删除

Ÿ   发现有错误的,有权要求订正

网络产品/服务提供者

合法处理个人信息

第22条

Ÿ   遵守本法和有关法律、行政法规关于个人信息保护的规定

任何个人或组织

禁止非法获取、出售个人信息

第44条

Ÿ   不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息

其次,在信息管理和禁止性信息取缔环节,网安法所作出的制度设计如下。

规范主体

规则名称

相关条文

规则内容

网络运营者

用户发布信息管理

第47条

Ÿ   加强用户发布信息的管理

Ÿ   对禁止性信息采取处置措施等

网络信息申诉第49条Ÿ   建立网络信息安全投诉、举报制度

电子信息发送服务/应用软件下载服务提供者

安全管理义务

第48条

Ÿ   对通过电子信息、应用软件发布禁止性信息内容用户停止提供服务、采取消除处置措施、记录等

任何个人或组织

禁止传播非法信息

第46条

Ÿ   不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组

Ÿ   不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息

第48条
Ÿ   发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息

3.协助和报告制度

企业在实务操作中,不仅应当承担上述网络运行安全保护及网络信息管理相关的各项责任外,在网安法认为必要时,应当根据规定向相关主管部门报告,或者提供必要的协助。

规范主体

规则名称

相关条文

规则内容

网络运营者

网络安全事件报告

第25条

Ÿ   发生危害网络安全事件时,按照规定向有关主管部门报告

协助侦查犯罪第28条Ÿ   为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助
个人信息泄露、毁损、丢失报告第42条Ÿ   在发生或者可能发生个人信息泄露、毁损、丢失的情况时,立即采取补救措施,按照规定及时告知用户并向有关主管部门报告
用户违法信息报告第47条Ÿ   发现用户发布或者传输禁止性信息,应当采取处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告
协助监督检查第49条Ÿ   对网信部门和有关部门依法实施的监督检查,应当予以配合

网络产品/服务提供者

安全缺陷、漏洞报告

第22条

Ÿ   发现网络产品、服务存在安全缺陷、漏洞等风险时,应当及时向有关主管部门报告

电子信息发送服务/应用软件下载服务提供者

用户违法信息报告

第48条

Ÿ   对通过电子信息、应用软件发布禁止性信息内容用户停止提供服务、采取消除处置措施、记录等


四、小结

欲实现网络安全层面的合规,笔者认为企业应迈出的第一步是便是找准其在网安法的定位。网安法已向我们展示其制度逻辑在于根据规范主体的不同与特定业务的差异加以区分并配套责任,企业在明确其定位后则可“按图索骥”,利用上述表格弄清楚自身应承担的义务和责任,再从制度、人员、技术等各方面着手,保障企业经营活动符合网安法的要求。

当然,就目前而言实践中对于各种义务的侧重和要求不尽相同,这一点与特定领域配套规范的落地以及具体执行层面的操作存在密不可分的联系,故而接下来笔者将对配套规范的制定和实施以及网安执法现状进行梳理。企业自身也应当结合这些实践情况,抓住当前网络安全法律体系尚在不断完善的机遇期,在仍处发展阶段的制度方面早做准备,在执法等实践中重点规范领域有的放矢。

在本系列第二篇中笔者将着眼于梳理网安法施行以来配套规范的制定情况,欢迎各位继续关注。




[i] 《中华人民共和国网络安全法释义》将“网络服务提供者”区分为“网络接入服务提供者(ISP)”和“网络内容服务提供者(ICP)”两类,这种理解乃基于该网络为互联网之前提,如若根据网安法中“网络”的定义,则网络服务本身并不局限于互联网,因而“网络服务的提供者”较之“网络服务提供者”其范围似乎更广,但仍存在争议。