★文章为LexisNexis独家内容，未经允许严禁转载

2017年6月1日，《中华人民共和国网络安全法》（以下简称“《网络安全法》”）正式实施。此后，相关部门陆续发布一系列配套规定，明确了《网络安全法》在网络安全保护、关键信息基础设施保护、个人信息和重要数据保护等方面的具体实施规则。

鉴于《网络安全法》及相关配套规定包含若干新的法律概念及制度，对企业的网络安全合规工作提出了新要求，本文拟对《网络安全法》及其配套规定的相关内容进行梳理，并就企业网络安全相关制度的完善提出建议。

根据《网络安全法》及其相关配套规定，网络运营者、关键信息基础设施运营者、网络产品和服务提供者及任何个人和组织，都会受到《网络安全法》的规制。

（一）网络运营者

《网络安全法》中的“网络”指计算机或者其他信息终端及相关设备组成的信息系统[1] 。“网络的运营者”为网络的所有者、管理者和网络服务提供者，涵盖范围广泛，几乎涉及到在中国境内“建设、运营、维护和使用网络” [2]的所有企业。

值得注意的是，此处“企业”并无内资与外资之分，即无论是中资企业，还是外资企业，只要在中国境内建设、运营、维护和使用网络，都应遵守《网络安全法》的规定。

此外，不同于《互联网信息服务管理办法》（国务院令第588号，2011年1月8日起生效）将互联网信息服务分为经营性和非经营性两类，分别实行许可（ICP许可）和备案（ICP备案）的制度，《网络安全法》未对网络服务进行“经营性”和“非经营性”的区分。即任何利用“网络”提供服务的主体，无论是购物网站等提供经营性网络服务的企业，还是设立官方网站用于业务宣传的企业，都可能属于“网络服务提供者”，进而可能被纳入网络运营者的范畴。

（二）关键信息基础设施运营者

在上述“网络运营者”的范围内，《网络安全法》将部分位于特殊行业，一旦网络设施或信息系统被破坏，丧失功能或数据泄露，可能严重危害国家安全、国计民生、公共利益的网络运营者，界定为“关键信息基础设施运营者”。

不同于普通的网络运营者，关键信息基础设施运营者需承担更加严格的安全保障义务。《关键信息基础设施安全保护条例（征求意见稿）》对关键信息基础设施的范围进行了如下的细化规定[3]，下一步相关部门将出台关键信息基础设施的识别指南，各行业主管或监管部门也将组织识别本行业内的关键信息基础设施。据此，各企业可以判定其是否属于关键信息基础设施运营者，明确其应当承担的法律义务。

（三）网络产品和服务提供者

网络产品和服务提供者指提供网络产品 和网络服务[4]的组织或个人[5]，其向关键信息基础设施运营者等提供可能影响国家安全的网络产品或服务时，将会受到《网络安全法》和《网络产品和服务安全审查办法（试行）》（国家互联网信息办公室发布，自2017年6月1日起生效）的规制。

值得注意的是，网络产品和服务提供者并非绝对属于网络运营者，部分只指提供网络产品，不属于网络所有者、使用者和网络服务提供者的组织或个人，虽然在网络运营者的范围之外，也需遵守《网络安全法》的相关规定。

（四）任何个人和组织

对于不属于网络运营者，也不属于网络服务和产品提供者的个人和组织，也需遵守《网络安全法》的规定，合法使用网络。不得利用网络从事危害国家安全、荣誉和利益等行为；不得实施或协助实施侵入他人网络、干扰他人网络正常功能的行为；不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

综上，《网络安全法》所规制的各主体的关系如下：

《网络安全法》主要确定了网络安全保护制度、关键信息基础设施安全保护制度、个人信息和重要数据保护制度以及网络产品和服务管理制度。目前，中国国家互联网信息办公室、全国信息安全标准化技术委员会等部门也针对各制度陆续出台了配套法规及标准。其中，部分文件已经正式生效，而部分文件还处于意见征求阶段。为全面了解上述制度框架下企业应履行的合规义务及注意事项，以下将对《网络安全法》的主要内容进行梳理。

（一） 网络运营安全的保护制度

网络运营安全是网络空间安全的基础条件，网络运营者需建立以下网络安全等级保护制度、网络安全事件应急预案制度以及用户实名制度等。网络运营者若不履行相关义务，可能被处以罚款、停业整顿、暂停相关业务甚至吊销营业执照等，直接负责的主管人员也会受到相应处罚。

1、网络安全等级保护制度

《网络安全法》首次提出“网络安全等级保护制度”。虽然关于如何划分网络运营者的网络安全等级还无具体规定，但参照现有的《信息安全等级保护管理办法》（公通字[2007]43号，2007年6月22日起生效）中关于“信息系统安全保护等级”的划分标准，我们认为网络运营者很可能根据其对“公民、法人和其他组织的合法权益”以及“国家安全、社会秩序和公共利益”的影响程度[6]，被划分为不同的网络安全级别，级别越高，需要履行网络安全保护义务越严格。

虽然网络运营者的安全保护义务需要根据其网络安全等级确定，但在相关划分标准出台之前，各企业可结合自身情况，尽量符合以下要求：
①. 制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
②. 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
③. 采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
④. 采取数据分类、重要数据备份和加密等措施。

2、网络安全事件应急预案制度

网络运营者须制定网络安全事件应急预案制度。网络运营者发现危害网络安全事件时，应当立即启动该应急预案，采取补救措施并向有关主管部门报告；发现其网络产品、服务存在安全缺陷、漏洞时，也需立即采取补救措施，及时告知用户并向有关主管部门报告。

3、用户实名制制度

网络运营者为用户办理网络接入、域名注册服务，固定电话、移动电话等入网手续，或者提供信息发布、即时通讯等服务时，应当要求用户提供真实身份，否则不得为其提供服务。此外，对于用户发布的信息，当发现其违反法律法规时，应立即停止传输，防止其进一步扩散，并保存记录以向相关部门报告。

（二） 网络信息安全的保护制度

在网络信息安全保护方面，《网络安全法》着重强调了对个人信息的保护。根据《网络安全法》及其配套规定，“个人信息”指以电子或者其他方式记录的，能够单独或者与其他信息结合识别特定自然人身份或反映特定自然人活动情况的各种信息。姓名、出生日期、身份证件号码、通信通讯联系方式、个人生物识别信息、住址、账号密码、财产状况、位置、行踪轨迹等都属于个人信息的范畴[7]。关于个人信息的保护制度，主要如下：

1、个人信息的“披露+同意”原则

网络运营者在在使用、收集个人信息时，应向个人信息的主体披露收集、使用个人信息的目的、方式、范围，并取得其同意。非经个人信息的同意，不得向第三方提供个人信息。但是，经过特别处理不能识别特定个人且不能复原的个人信息不在此限。

2、个人信息的保存

对于收集、使用的个人信息，网络运营者应采取技术措施等防止其被泄露、毁损、丢失，若发生相关情况，立即采取补救措施并及时向用户及主管部门报告。当个人信息的使用违反法律法规或违反约定时，个人有权要求进行删除；当个人信息错误时，个人信息的主体有权要求修改。

3、个人信息相关的刑事责任

值得注意的是，2017年5月8日，最高人民法院、最高人民检察院首次出台了关于打击侵害公民个人信息犯罪的司法解释[8]，根据该司法解释，任何组织和个人，违反国家有关规定，向他人出售或者提供公民个人信息，达到以下数量后，可能构成《刑法》第二百五十三条的“侵犯公民个人信息罪”。对于网络运营者，若将履行职责或提供服务过程中获得的公民个人信息出售或者提供给他人，达到以下数量要求的一半时，即可能构成“侵犯公民个人信息罪”。

（三）关键信息基础设施安全的特殊保护制度

关键信息基础设施运营者在网络运营者的安全保护制度基础之上，还需建立规格更高的安全保护制度，此外，在信息数据的存储和传输方面也会受到特别限制。

1、个人信息和重要数据的存储与传输限制

关键信息基础设施运营者在中国境内收集的个人信息和重要数据 [9]，应在中国境内存储。因业务需要确需向境外提供的，应进行安全风险评估。值得注意的是，《个人信息和重要数据出境安全评估办法（征求意见稿）》将受该限制的主体，从关键信息基础设施运营者扩大到所有网络运营者。虽然《个人信息和重要数据出境安全评估办法》为征求意见稿，其内容还有一定的不确定性，但相关部门对个人信息和重要数据实施特殊保护的立法意图已经非常明显。网络运营者应密切关注相关立法动向，并对个人信息和重要数据的存储与境外传输制度进行适时调整。

个人信息和重要数据出境的“安全风险评估”，以企业自主评估为主，主管部门[10] 评估为辅。其评估流程和评估标准具体如下：

上述的“出境目的评估”，指出境目的的“合法性、正当性、必要性”的评估。目前尚无具体的评估标准。我们认为服务器等在境外的企业，基于内部经营管理或公司业务需要向境外传输数据，原则上应属于“正当性、必要性”范畴。

上述“安全风险评估”的具体标准如下，经评估风险级别为“极高”和“高”的将不得向境外传输：
①. 确定个人信息出境对个人权益的影响等级[11]；重要数据出境对国家安全、经济发展和社会公共利益的影响等级[12]。
②. 确定发生安全事件可能性的等级[13] 。
③. 根据上述①和②进行综合评价，将安全风险级别划分为“极高、高、中、低”四个等级。

2、定期进行安全检测评估

关键信息基础设施运营者向境外传输个人信息和重要数据时需进行安全评估外，还应自行或委托网络安全服务机构，针对其网络的安全性和可能存在的风险，每年至少进行一次检测评估，并将检测评估情况和改进措施报送负责关键信息基础设施安全保护工作的相关部门。

3、关键信息基础设施运营者的特别义务

因为关键信息基础设施遭到破坏、丧失功能或者数据泄露后，可能对国家安全、公共利益等造成严重影响，所以关键信息基础设施运营者在履行网络运营者的义务外，还需履行以下特殊义务：
①. 设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；
②. 网络安全关键岗位的专业技术人员实行执证上岗制度；
③. 定期对从业人员进行网络安全教育、技术培训和技能考核；
④. 对重要系统和数据库进行容灾备份；
⑤. 制定网络安全事件应急预案，并定期进行演练。

（四）网络产品和服务的安全管理制度

网络产品和服务的安全管理制度的规制主体主要为网络产品和服务提供者。

首先，网络产品和服务提供者提供“网络关键设备和网络安全专用产品”  时[14]此类设备和产品必须符合相关的国家标准，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或提供。

其次，网络产品和服务提供者向关键信息基础设施运营者提供网络产品和服务时，不仅需要与关键信息基础设施运营者签订安全保密协议，还可能在网络产品的安全性和可控性[15]方面，受到网络安全审查委员会等相关部门的安全审查。

根据上述《网络安全法》的主要内容，网络运营者、关键信息基础设施运营者、网络产品和服务提供者需履行诸多义务，企业，尤其是外资企业的网络安全合规将面临新的挑战。据此，我们建议企业从以下几个角度完善相关制度。

（一）完善企业网络安全保障制度

1、制定网络安全应急预案

网络运营者应制定网络安全应急预案。在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

2、履行网络安全等级制度的相关义务

网络安全等级的划分标准明确后，网络运营者还需履行相应的安全保障义务。但在此之前，建议企业可以根据自身情况，制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施等，尽量符合网络安全等级的要求。

3、关键信息基础设施运营者的企业的特殊注意事项

对于可能属于关键信息基础设施运营者的企业，应密切关注相关部门之后出台的关键信息基础设施识别指南，并做好制定以下制度的准备工作。
①. 在企业内部设置专门安全管理机构，确认安全管理负责人；
②. 对企业网络安全关键岗位的专业技术人员，实施执证上岗制度；
③. 定期对从业人员进行网络安全教育、技术培训和技能考核；
④. 对重要系统和数据库进行容灾备份。

（二）加强个人信息的保护

企业，尤其是对员工、客户等个人信息进行经常性处理和跨境传输的跨国企业来说，需注意履行与个人信息保护相关的合规义务。

1、明确界定“个人信息”

个人信息的判断标准是：单独或与其他信息相结合，能识别特定自然人或反映特定自然人的活动。据此，企业为业务发展需要所收集的诸如产品维修、保修等信息，都可能因可以识别出使用产品的“特定个人”而被纳入“个人信息”范畴。

但是，若企业采用技术手段等筛选、删除这些信息中能识别出客户“特定身份”的信息，那么该等信息则可以作为公司业务发展的普通技术信息使用，不属于“个人信息”，亦不受到《网络安全法》的规制。

2、明确个人信息的收集、使用规则

企业应建立个人信息的收集、使用制度，严格按照制度要求，如实披露收集或使用的目的、方式和范围，并取得信息主体的同意。对于企业已经收集或使用的个人信息，建议企业审查其是否符合“披露+同意”的标准，对于不符合标准的，向个人追加履行“披露+同意”义务。此外，如果涉及到向境外传输个人信息，披露的内容还应包括信息出境的目的、范围、内容、接收方及接收方所在的国家或地区；当个人信息的主体是未成年人时，个人信息出境须经其监护人同意。

值得注意的是，关于“同意”是“明示同意”还是“默示同意”，《网络安全法》并无明确规定，实务上也多采用“某某行为视为同意”的办法，因此原则上取得个人信息主体的默示同意即可，但为防止今后可能出现的争议，建议企业最好取得信息主体的积极同意。

（三）制定个人信息和重要数据的境内存储和出境评估制度

鉴于《个人信息和重要数据出境安全评估办法（征求意见稿）》规定，所有网络运营者在中国境内收集和产生的“个人信息”和“重要数据”必须在中国境内存储，确有必要向境外传输时，进行安全风险评估。因此，对于有进行个人信息和重要数据跨境传输的实际需求的企业而言，建议对个人信息和重要数据的存储与传输制度进行以下调整：

1、制定个人信息和重要数据的境内存储制度

建议企业将个人信息和重要数据从企业现有的电子信息中剥离出来，存储于中国境内，与境外的服务器或存储设备隔离。并且，对于需要经常进行数据出境的跨国企业，鉴于对个人信息和重要数据的出境监管愈发严格，在具备商业合理性的前提下，建议其逐步实施服务器的本地化。

2、明确个人信息和重要数据的境外传输规则

建议企业制定信息数据跨境传输的操作指南，明确个人信息和重要数据进行跨境传输的主要负责人，严禁企业职员在工作中可随意接触并向境外传输个人信息和重要数据，防止可能产生的法律风险。

建议企业制定安全风险评估制度，成立安全评估组、明确安全评估要点及方法等。此外，由于个人信息或重要数据属于特殊情形时，将由国家网信部门和行业主管部门进行主管部门评估。所以企业在日常经营活动中，还应当与相关部门保持良好的沟通，积极、及时的进行安全评估。

（四）密切关注《网络安全法》相关的立法动向

鉴于 《网络安全法》正式实施以来，相关部门公布的配套规定和行业标准多为征求意见稿，在其正式生效之前，还具有一定的不确定性。因此，我们建议企业应密切关注立法动向，提前或及时根据相关要求，完善企业网络安全的相关制度，保证企业运营及业务开展的合规性。

（注：作者特别感谢同事王慧律师对本文的贡献。）

********************

[1] 参见《网络安全法》第七十六条。

[2] 参见《网络安全法》第二条。

[3] 参见《关键信息基础设施安全保护条例（征求意见稿）》第十八条。

[4] 网络产品指按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的硬件、软件和系统。包括计算机、信息终端、工控等相关设备，以及基础软件、系统软件等。

[5] 网络服务指供方为满足需方要求提供的信息技术开发、应用活动，以及以网络技术为手段支持需方业务的一系列活动。常见的网络服务包括云计算服务、网络通信服务、数据处理和存储服务、信息技术咨询服务、设计与开发服务、信息系统集成实施服务、信息系统运维服务等。

[6] 参见《信息安全等级保护管理办法》第七条。

[7] 参见《数据出境安全评估指南》及《个人信息和重要数据出境评估办法（征求意见稿）》第十七条。

[8] 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

[9] “重要数据”是指在中国境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据。值得注意的是，《数据出境安全评估指南（征求意见稿）》对石油天然气、煤炭等27个行业内的重要数据进行了界定，几乎涵盖了多数行业中与国家安全、经济发展以及公共利益密切相关的数据

[10] 个人信息和重要数据具有以下情形，网络运营者应报请行业主管或监管部门组织安全评估：①含有或累计含有50万人以上的个人信息；②数据量超过1000GB；③包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；④包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；⑤关键信息基础设施运营者向境外提供个人信息和重要数据；⑥其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。

[11] 主要根据个人信息的敏感程度、数量、范围、技术处理情况等进行判断。

[12] 主要根据重要数据的内容、数量、范围、技术处理情况等进行判断。

[13] 主要根据发送方和接收方的安全保障能力、接收方所在地的政治环境等进行判断。

[14] 根据《网络关键设备和网络安全专用产品目录（第一批）》，网络关键设备包括路由器、交换机、服务器（机架式）等；网络安全专用产品包括防火墙（硬件）、入侵检测系统、入侵防御系统、反垃圾邮件产品等。

[15] “安全性和可控性”主要包括：①产品和服务被非法控制、干扰和中断运行的风险；②产品及关键部件研发、交付、技术支持过程中的风险；③产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险；④产品和服务提供者利用用户对产品和服务的依赖，实施不正当竞争或损害用户利益的风险；⑤其他可能危害国家安全和公共利益的风险。

 张国栋律师相关文章：

【专栏 • 律观“栋”察】规则和影响：哪些企业名称不能用不能随便用？

【专栏 • 律观“栋”察】新版《外商投资企业设立及变更备案管理暂行办法》：分析与应对

【专栏 • 律观“栋”察】《测绘法》修改：企业需要特别关注的几点变化及其对企业的影响

【专栏 • 律观“栋”察】外国人来华就业制度改革及对企业的影响与应对

【专栏 • 律观“栋”察】《民法总则》的实施及其对外商投资企业的影响

【专栏 • 律观“栋”察】自由贸易区及海关监管区域的外汇问题

【专栏 • 律观“栋”察】交易具有真实性吗？--经常项目的外汇管理