其他
中伦观点 | 解读《网络安全法》:八大角度面面观
在法律体系上,《网络安全法》与《国家安全法》、《反恐怖主义法》、《刑法》、《保密法》、《治安管理处罚法》、《关于加强网络信息保护的决定》、《关于维护互联网安全的决定》、《计算机信息系统安全保护条例》、《互联网信息服务管理办法》等现行法律法规共同构成中国关于网络安全管理的法律系统。考虑到《网络安全法》是一部框架性的法律,很多条款需要制定配套的法律法规来执行,可以预见,在2017年6月1日起正式实施之前,国务院及相关的部门会制定和颁布一系列的配套法律法规,比如网络安全等级保护制度、关键信息基础设施的认定和保护办法、数据跨境传输的安全评估办法、网络产品和服务的国家安全审查制度等,数量上可能会达十余部。这些配套的法律法规会具体细化《网络安全法》相关条款的解释,对企业而言具有重要的意义,需要密切关注。
2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
4)采取数据分类、重要数据备份和加密等措施;
5)法律、行政法规规定的其他义务。
在立法过程中,关键信息基础设施如何定义及确定其范围也一直是争议的焦点。《网络安全法(草案)》一审稿采用了列举的方式界定关键信息基础设施的外延,即:“提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统”,构成关键信息基础设施;二审稿删除了列举方式,直接采用危害后果的方式来界定,即:“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”。在《网络安全法》正式文本中,综合了一审和二审稿,采用了列举加危害后果双重界定的方式,即:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。《网络安全法》授权国务院另行制定关键信息基础设施的具体范围和安全保护办法。
2016年6月,中央网络安全和信息化领导小组办公室制定了《国家网络安全检查操作指南》,并于7月在全国范围内启动了关键信息基础设施网络安全检查工作。按照《国家网络安全检查操作指南》的规定,“关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等”。从以上定义可以看出,《国家网络安全检查操作指南》下关键信息基础设施的范围是比较广泛的,比如即时通信系统和电商平台都有可能成为关键信息基础设施,其对我们理解《网络安全法》下关键信息基础设施的范围具有一定的借鉴意义。
一旦被认定为关键信息基础设施,设施运营者将会承担相应的网络安全保护法定义务,包括:
2)关键信息基础设施运营者的安全保护义务(第三十四条);
3)采购关键信息基础设施产品和服务的国家安全审查要求(第三十五条);
4)采购关键信息基础设施产品和服务的保密要求(第三十六条);
5)个人信息和重要数据的本地化要求(第三十七条);
6)关键信息基础设施的网络安全年度检测评估(第三十八条)。
《网络安全法》之前,我国已经有若干的法律法规来规范个人信息的收集和使用,包括《全国人大常委会关于加强网络信息保护的决定》、《消费者权益保护法》、《电信和互联网用户个人信息保护规定》、《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》和《刑法修正案(九)》等。《网络安全法》关于个人信息保护的条款与以往法律法规相比,保护原则没有实质性的改变,但增加了一些保护内容,比如个人信息主体的删除权和更正权等。
依照《网络安全法》七十六条之定义,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。该定义基本与《电信和互联网用户个人信息保护规定》的规定一致。基于以上定义,个人信息必须具备身份的识别性,如果信息和个人身份相分离,则不再构成个人信息。需注意,即使某信息不能单独识别个人身份,但如果其与其它信息结合,具备识别个人身份的功能,仍然构成个人信息。在大数据和数据融合广泛应用的当下,对于存在识别个人身份可能性的信息,尤其应当谨慎判断其是否构成个人信息。
考虑到推动大数据应用已成为我国的一项国家战略,在立法征求意见时,很多专家提出应当为大数据的发展留下空间。在二审稿之后,增加了一个例外的规定(法四十二条),即:对于个人信息的利用的限制条款,“个人信息经过处理无法识别特定个人且不能复原的除外”。这一例外规定被一些业界人士视为是对大数据发展的一项利好规定。
《网络安全法》建立了关于关键信息基础设施产品和服务采购的国家安全审查制度(第三十五条)、数据跨境传输的安全评估制度(第三十七条)等,这些制度的实施,都需要网络运营者和其它主体向有权机关提交相应的审查内容,其中可能包括受知识产权保护的软件代码、加密算法、商业计划和商业秘密等。立法机构为了响应社会对知识产权和商业秘密保护的关切,在征求意见二审稿中,增加了一条,规定:国家网信部门和有关部门在关键信息基础设施保护中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。而在法律正式文本的第三十条中,又把获取信息的范围从“在关键信息基础设施保护中”扩展到“在履行网络安全保护职责中”,并在七十三条中规定了有关行政部门违反法律规定将信息用作其他用途的法律责任,有效地满足了企业(尤其是外企)的合理诉求。
对于涉及国家安全和社会稳定的数据提出本地化要求是一个趋势,也符合国际上的立法惯例。但是,如果数据本地化要求过于泛化,会对企业(尤其是跨国企业)的业务带来负担。因此,下一步有关部门制定对关键信息基础设施的认定和数据跨境传输的安全评估办法时,如何把握数据安全和商业便利两者的平衡关系非常重要。
对数据本地化的法律规制,除了《网络安全法》的规定,以下的数据(或设施)亦明确有本地化的法律要求:
征信数据(《征信业管理条例》第24条);
个人金融信息(《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第6条);
地图数据(《地图管理条例》第34条);
网络出版服务所需的必要的技术设备(《网络出版服务管理规定》第8条);
网约车业务相关数据和信息(《网络预约出租汽车经营服务管理暂行办法》27条)。
2)健全用户信息保护制度(第二十二条和第四十条);
3)落实网络实名制(第二十四条);
4)网络安全事件应急预案(第二十五条);
5)关键信息基础设施的安全保护义务,包括:设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练;法律、行政法规规定的其他义务(第三十四条);
6)采购关键信息基础设施产品和服务的保密制度(第三十六条);
7)关键信息基础设施安全性的年度评估(第三十六条);
8)个人信息的收集和利用规则及制度(第四十一条和第四十二条);
9)个人信息泄露事件的报告制度(第四十二条);
10)违法使用个人信息删除和错误个人信息更正制度(第四十三条);
11)网络运营者对用户非法信息传播的监管(第四十七条);
12)网络信息安全投诉、举报制度(第四十九条)。
业务领域:知识产权,TMT,反垄断与竞争法