《网络安全法》施行四周年实践观察(二):配套规范归纳
在上一期文章中,笔者从网安法的概要、规范主体和重要制度三个方面展开论述,对网安法的基本内容进行了总结,本期文章笔者将尽可能对网安法施行后全国层面主要配套规范加以归纳,展现网安法实施四周年的过程中在规则建立方面所做出的主要努力。
网安法被定位为网络安全领域的基础性法律。所谓基础性,笔者认为体现在其存在的意义不局限于解决网络安全领域的某个具体问题,更在于为解决既存问题或潜在问题提供解决原则或思维倾向,故而网安法的条文多以原则性表述为主,以保证在具体适用过程中的弹性。而针对具体问题则更倚仗于网安法相关的法律法规、规章及规范性文件以及标准等特定领域、不同业态的配套规范,因此配套规范的制定、实施和完善对于网安法的“精准落地”尤为关键。结合我国网络安全法律体系的实际,以下笔者将从配套立法及配套标准两个方面对网安法施行以来所制定的相关配套规范进行大致梳理。
一、配套立法
我国网络安全法律体系中,全国层面的法律规范可划分为法律、行政法规、部门规章、部门规范性文件四个层级。从相关立法实践来看,网安法施行这四年中,针对网络安全特定领域、不同业态的配套立法正在不断推进,但也表现出进度不一的状态,特别是在一些亟待明晰或解决的领域内,诸如目前企业较为重视的关键信息基础设施的识别和管理、个人信息和重要数据出境等方面,配套立法尚在推进中,给有关规范主体在具体的理解和适用上带来一定影响。而从制定主体出发,除全国人大常委会负责制定特定领域法律之外,国家互联网信息办公室、公安部、工业和信息化部在其职权范围内开展行政法规草案以及部门规章、部门规范性文件的制定工作;其他部门则多采取单独或与上述部门共同发布部门规章、部门规范性文件的形式实现牵涉本部门主管领域的配套立法工作。
1.法律(含草案)
状态 | 制定机构 | 名称 | 年份 | 关联条文 |
已发布 | 全国人大常委会 | 电子商务法 | 2018 | 第21、25条 第4章 |
已发布 | 全国人大常委会 | 数据安全法 | 2021 | 第37条、 第4章 |
制定中 | 全国人大常委会 | 个人信息保护法 (草案二次审议稿) | 2021 | 第41~44条 |
2.行政法规(含征求意见稿)
状态 | 制定机构 | 名称 | 年份 | 关联条文 |
制定中 | 国家互联网信息办公室 | 关键信息基础设施安全保护条例 (征求意见稿) | 2017 | 第31~39、52~53条 |
制定中 | 国家互联网信息办公室 | 互联网信息服务管理办法 (修订草案征求意见稿) | 2021 | 第9、12、47、50条等 |
制定中 | 公安部 | 网络安全等级保护条例(征求意见稿) | 2018 | 第21、31条 |
3.部门规章(含征求意见稿)
状态 | 制定机构 | 名称 | 年份 | 关联条文 |
已发布 | 国家互联网信息办公室 | 互联网新闻信息服务管理规定(国家互联网信息办公室令第1号) | 2017 | 第12、24、42、47条 |
已发布 | 国家互联网信息办公室 | 互联网信息内容管理行政执法程序规定(国家互联网信息办公室令第2号) | 2017 | 第8、70条 |
已发布 | 国家互联网信息办公室 | 区块链信息服务管理规定(国家互联网信息办公室令第3号) | 2019 | 第24、47条 |
已发布 | 国家互联网信息办公室 | 儿童个人信息网络保护规定(国家互联网信息办公室令第4号) | 2019 | 第13、40~43条 |
已发布 | 国家互联网信息办公室 | 网络信息内容生态治理规定(国家互联网信息办公室令第5号) | 2019 | 第12、47、50条等 |
已发布 | 公安部 | 公安机关互联网安全监督检查规定 | 2018 | 第21、28、47条、第4章等 |
已发布 | 原银监会、工业和信息化部、公安部、国家互联网信息办公室 | 网络借贷信息中介机构业务活动管理暂行办法 | ||
已发布 | 人力资源和社会保障部 | 网络招聘服务管理规定 | 2020 | 第21、37、40~44条 |
已发布 | 国家市场监督管理总局 | 网络交易监督管理办法 | 2021 | 第4章 |
已发布 | 原国家食品药品监督管理总局 | 医疗器械网络销售监督管理办法 | 2017 | 无特别 对应条文 |
已发布 | 国家互联网信息办公室、国家发展和改革委员会等十二部门 | 网络安全审查办法 | 2020 | 第35条 |
制定中 | 国家互联网信息办公室 | 个人信息和重要数据出境安全评估办法(征求意见稿) | 2017 | 第37条 |
制定中 | 国家互联网信息办公室 | 数据安全管理办法(征求意见稿) | 2019 | 第22条、第4章 |
制定中 | 国家互联网信息办公室 | 个人信息出境安全评估办法(征求意见稿) | 第37条 | |
制定中 | 国家互联网信息办公室 | 网络安全威胁信息发布管理办法(征求意见稿) | 第26条 |
4.部门规范性文件(含征求意见稿)
状态 | 制定机构 | 名称 | 年份 | 关联条文 |
已发布 | 国家互联网信息办公室 | 互联网跟帖评论服务管理规定 | 2017 | 第24、47、50、53条 |
已发布 | 国家互联网信息办公室 | 互联网论坛社区服务管理规定 | 2017 | 第24、47、48、49条 |
已发布 | 国家互联网信息办公室 | 互联网群组信息服务管理规定 | 2017 | 第21、24、42、47条 |
已发布 | 国家互联网信息办公室 | 互联网新闻信息服务新技术新应用安全评估管理规定 | 2017 | 第21、24、47条 |
已发布 | 国家互联网信息办公室 | 互联网新闻信息服务单位内容管理从业人员管理办法 | 2017 | 第10、26、53条 |
已发布 | 国家互联网信息办公室 | 微博客信息服务管理规定 | 2018 | 第21、24、 42、47、49条等 |
已发布 | 国家互联网信息办公室 | 金融信息服务管理规定 | 2018 | 第10、12、50条等 |
已发布 | 国家互联网信息办公室 | 互联网用户公众账号信息服务管理规定 | 2021 | 第10、24、47条等 |
已发布 | 工业和信息化部 | 工业控制系统信息安全防护能力评估工作管理办法 | 2017 | 第17、26条 |
已发布 | 工业和信息化部 | 公共互联网网络安全突发事件应急预案 | 2017 | 第53、55条 |
已发布 | 工业和信息化部 | 公共互联网网络安全威胁监测与处置办法 | 2017 | 第51、52、57条 |
已发布 | 国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会 | 网络关键设备和网络安全专用产品目录(第一批) | 2017 | 第23条 |
已发布 | 国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会 | 承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批) | 2018 | 第23条 |
已发布 | 国家卫生健康委员会 | 国家健康医疗大数据标准、安全和服务管理办法(试行) | 2018 | 第3、4章 |
已发布 | 公安部 | 网络安全等级保护测评机构管理办法 | 2018 | 第21条 |
已发布 | 公安部 | 互联网个人信息安全保护指南 | 2019 | 第41~44条 |
已发布 | 公安部 | 贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见 | 2020 | 第21、34条 |
已发布 | 国家互联网信息办公室、公安部 | 具有舆论属性或社会动员能力的互联网信息服务安全评估规定 | 2018 | 第53、54条 |
已发布 | 国家互联网信息办公室、文化和旅游部、国家广播电视总局 | 网络音视频信息服务管理规定 | 2019 | 第12条、47、48条等 |
已发布 | 国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部 | 云计算服务安全评估办法 | 2019 | 第35条 |
已发布 | 工业和信息化部、教育部、人力资源和社会保障部等十部门 | 加强工业互联网安全工作的指导意见 | 2019 | 第51~55条 |
已发布 | 中央网络安全和信息化委员会办公室 | 关于做好个人信息保护利用大数据支撑联防联控工作的通知 | 2020 | 第41~44条 |
已发布 | 国家互联网信息办公室、公安部、商务部等七部门 | 网络直播营销管理办法(试行) | 2021 | 第47、48、 50条 |
已发布 | 国家互联网信息办公室、工业和信息化部、公安部、市场监督管理总局 | App违法违规收集使用个人信息行为认定方法 | 2019 | 第22、 41~43条 |
已发布 | 国家互联网信息办公室、工业和信息化部、公安部、市场监督管理总局 | 常见类型移动互联网应用程序必要个人信息范围规定 | 2021 | 第41条 |
已发布 | 国家医疗保障局 | 国家医疗保障局关于加强网络安全和数据保护工作的指导意见 | 2021 | 第21、34、 52条 |
制定中 | 国家互联网信息办公室 | 汽车数据安全管理若干规定(征求意见稿) | 2021 | 第37条、 第4章 |
制定中 | 工业和信息化部 | 网络安全漏洞管理规定(征求意见稿) | 2019 | 第22、26条 |
制定中 | 工业和信息化部 | 移动互联网应用程序个人信息保护管理暂行规定(征求意见稿) | 2021 | 第41~44条 |
二、配套标准
除了上述的配套立法外,尤其需要注意的是各种类型的标准。从目前来看,可以说以国家标准的形式落实法条的理念已在实践中得到落实。“安全保障,技术为基,标准先行”,可以说标准蕴含量化规范与技术指标双重因素。从规范的维度,标准的制定和实施依托于国家有关的政策法规,反过来又推进政策法规的落地实施;从技术的维度,标准的优势在于其定性与定量,通过标准可以实现规范技术运用和引导行业技术发展之效果,从而在保障网络安全的末端发挥更多作用。因此企业对与自身密切相关的配套标准的把握程度,客观上也将影响自身合规性。
网安法第15条规定:“国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。”该条旨在打造覆盖我国网络全域,深入各行各业,国家标准与行业标准相辅相成的网络安全标准体系,而2016年发布的《关于加强国家网络安全标准化工作的若干意见》也提出:“全国信息安全标准化技术委员会(以下简称“信安标委”)在国家标准委的领导下,在中央网信办的统筹协调和有关网络安全主管部门的支持下,对网络安全国家标准进行统一技术归口,统一组织申报、送审和报批。”可见涉及网络安全的国家标准的立改废层面,信安标委起到了至关重要的作用。
网安法施行以来,信安标委一直忙碌于配套标准的制定工作。据资料显示,截至2020年3月15日,信安标委归口管理的网络安全国家标准已发布322项,逐步建立了以基础、技术、管理、测评为基本类型,以产品与服务、网络与通信、数据与信息、新技术应用等为规范对象和发展方向的多维度立体化网络安全国家标准体系框架。而在数据安全与个人信息保护、关键信息基础设施保护、网络安全等级保护、系统安全评估、产品安全检测与认证、网络安全管理体系等重点领域,配合着相关配套立法及中央网信办领导的专项执法活动,也正不断推进。
值得注意的是,当前信安标委所发布的多为国家推荐性标准,依据《标准化法》的规定,“国家鼓励采用推荐性标准”,因此在实践中很多企业,特别是传统非互联网行业的网络运营者对于是否应该严格遵循该等推荐性标准的要求常抱有困惑。虽然在网络安全领域大量采用推荐性标准可以使标准的适用保持弹性和空间,符合我国“以标准先行先试”的特色;但由于推荐性标准本质上仍属于企业自愿采用的范畴,这就给企业在是否遵循和适用的选择上带来疑惑。
应当明确的是,即使推荐性标准本身被冠以“推荐性”的名称,但并不意味着所有情形下推荐性标准均为自愿采用,推荐性标准在下列几种情形下即存在强制适用的可能性。
一是推荐性标准被法律、法规、规章或规范性文件、强制性标准、依法设立的各种许可或资质要求吸纳或引用的,在执行该等法律法规等时,则应强制适用推荐性标准。二是在交易双方约定或者企业自主承诺执行推荐性标准,此时推荐性标准则变为对企业的强制性要求。三是在交易双方未明确产品的标准时,根据《民法典》第511条之规定,交易双方对标的的质量要求不明确的,在没有强制性国家标准的,则应按照推荐性国家标准履行。
恰巧网安法对于网络安全标准的表述也值得回味。无论是第10条亦或是第22条的表述均为“国家标准的强制性要求”,易言之可理解为无论强制性标准亦或是推荐性标准,如在其具体适用过程中体现出强制性的要求,则均应严格执行,那么就不能排除目前网安法体系下众多推荐性标准强制适用的可能性。例如网安法第21条要求网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,而结合目前等级保护层面,无论是实施指南、基本要求或是设计技术要求等均为推荐性标准。但即使如此,由于网安法对网络运营者施加了义务,是否就意味着网络运营者需要严格遵循等级保护制度下的各项推荐性标准,至少笔者认为答案是肯定的。
为了解除企业在推进网络安全建设中的疑虑,对于网安法配套标准,笔者认为在内容较为完善,已逐渐形成标准族格局和治理生态,且相对重点的领域,适当地将有关推荐性标准吸收为强制性标准,确保标准可以得到充分执行,避免制度落空。
三、小结
纵观配套规范的制定进程,从网络安全法施行伊始对互联网信息服务的集中立法,到近两年对数据安全、个人信息保护配套规范的加速制定,可以发现配套规范一方面在于为特定时期重点治理领域提供执法依据和保障,另一方面顺应时代发展和国际趋势,为新技术和新业态的发展提供指引,虽然在各具体领域内进度不一,但日前国务院发布的2021年立法工作计划中涉及网络安全领域的《关键信息基础设施安全保护条例》以及《数据安全管理条例》赫然在列,制定较为迟滞的领域也正在迎头赶上,彰显出我国建立和完善以网安法为基石的网络安全法律体系之决心。当然,网安法的最终落地,自离不开主管机关在现实执法中对其具体的适用。网安法施行的四年里,网信机关、公安机关、工信部门等开展执法活动日趋普遍,执法案例不断丰富,这为业界开展实务研讨积攒了众多素材。在下一期文章中,笔者将对网安执法状况进行综述,并选取部分典型案例加以简析,敬请各位期待。
[i] 诸如《家用视听商品修理更换退货责任规定 》要求说明书应按照GB 5296.1编制,虽然该标准2017年转为推荐性,但被规章引用后对视听商品仍有强制约束力。
FTZ’s New Practices on Cross-border Data Transfer-A Brief Review of Tianjin FTZ Negative List and Shanghai FTZ Lin-gang Positive List from the Perspective of Healthcare Industry
China Eased Its Regulation on Cross-border Data Transfer: CAC’s New Rules on Data Export Officially Enacted
China's National Standard on Personal Information Processing Notice and Consent Came into Effect
How to Read CAC's New Draft on Data Export
CAC Released Its Rules to Ease Restriction on Cross Border Data Transfer to Hear Public Comments
Update of the Amendment to China’s Company Law
新冠疫情防控政策由“乙类甲管”变更为“乙类乙管”后的劳动管理问题解析
China's New Regulations on the Administration of Market Entity Registration