通力法律评述 | 网络安全合规: 网络文化企业和投资机构应关注的新命脉 ——近期部分网络帐号关停事件的法律启示
作者:通力律师事务所 陈巍 | 李仲英 | 任愿达
根据央视网等媒体的报道, 北京市网信办依法约谈部分网站, 责令网站切实履行主体责任, 加强用户账号管理, 积极传播社会主义核心价值观, 营造健康向上主流舆论环境。随后, 部分新媒体依据相关法律法规、网站内容管理规定及用户协议关闭了一批违规账号。
我们理解, 前述事件也是对网络安全、文化安全纽带关系的重申, 值得业内人士对信息利用、信息传播与信息安全之间内在平衡进行再思考, 同时更对网络文化产业的企业和投资机构具有较强的引领与启示作用。
我国《网络安全法》已于今年6月1日施行, 对应的部分配套法规已出台或尚处在征求意见或送审等环节中, 从宏观层面(基本法层面)观察, 目前的法律框架已经完成法律逻辑上的自洽(将在下文详述), 足以就有关部门采取监管措施保障网络安全提供有效的法律依据。同时, 我国对于网络安全的重视在《网络安全法》关于“网络空间主权”的表述中已可见一斑, 在“明确规则”引领下的依法运行势必对包括网络文化产业在内之相关行业的合法合规性提出更高要求, 建议业内企业与投资机构站在网络安全合规的新高度, 对网络文化产业的安全合规管理、资本进入、走向公开市场等事项予以特别关注。
本文力图通过对新法规环境下网络安全合规规则的分析, 梳理对应之网络安全法体系的部分相关内容, 向网络文化产业企业、投资机构提示新规则的关注点以及可以得到的一些启示。
一、网络文化产业安全合规要求在基本法层面下的制度保障
国家安全法层面的制度规范
我国《国家安全法》第二十三条明确, 国家坚持社会主义先进文化前进方向, 继承和弘扬中华民族优秀传统文化, 培育和践行社会主义核心价值观, 防范和抵制不良文化的影响, 掌握意识形态领域主导权, 增强文化整体实力和竞争力。
我们理解, 该条是从国家安全的高度, 通过法律的形式就国家对于文化方面的政策导向提供制度保障。
网络安全法层面的制度规范
我国《网络安全法》第六条明确, 国家倡导诚实守信、健康文明的网络行为, 推动传播社会主义核心价值观, 采取措施提高全社会的网络安全意识和水平, 形成全社会共同参与促进网络安全的良好环境。该法第十二条第二款明确, 任何个人和组织使用网络应当遵守宪法法律, 遵守公共秩序, 尊重社会公德, 不得危害网络安全, 不得利用网络从事危害国家安全、荣誉和利益, 煽动颠覆国家政权、推翻社会主义制度, 煽动分裂国家、破坏国家统一, 宣扬恐怖主义、极端主义, 宣扬民族仇恨、民族歧视, 传播暴力、淫秽色情信息, 编造、传播虚假信息扰乱经济秩序和社会秩序, 以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。该法第十三条明确, 国家支持研究开发有利于未成年人健康成长的网络产品和服务, 依法惩治利用网络从事危害未成年人身心健康的活动, 为未成年人提供安全、健康的网络环境。
我们理解, 《网络安全法》的相关规定对网络文化产业起到了如下作用: 第一, 响应国家安全的要求, 将相关不良文化对于意识形态的侵蚀危害上升到国家安全的层面, 与《国家安全法》的规定相衔接, 形成网络文化安全保护的“双保险”; 第二, 呼应网络安全的需求, 将网络文化安全与网络空间主权、网络空间治理的内涵紧密联系, 将“网络空间”具象化、“治理手段”清晰化; 第三, 回应私权保障的诉求, 将虚拟空间、社区的名誉隐私保护、未成年人保护、知识产权保护等落到实处。由此, 《网络安全法》的“桥梁”作用进一步凸显: 将网络空间内的主权、文化安全的主导权与私权保障的主导权进行统一。
民事基本法层面的制度规范
新颁布的《民法总则》第一百一十条明确, 自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。该法第一百一十一条明确, 自然人的个人信息受法律保护; 任何组织和个人需要获取他人个人信息的, 应当依法取得并确保信息安全, 不得非法收集、使用、加工、传输他人个人信息, 不得非法买卖、提供或者公开他人个人信息。此外, 《著作权法》及其实施条例等则为网络空间内的知识产权保护提供了相应依据。
我们理解, 《民法总则》在沿袭、传承《民法通则》相关规定的前提下, 对个人相关权利的保障作了更为明确的规范。相比《民法通则》的规定而言, 《民法总则》对个人信息的保护在规范层面体现得更为明确。同时, 《著作权法》等则是从作品的法律要素、侵权行为的要件与法律责任等方面落实制度规范。
二、网络文化产业安全合规要求在网安法体系中的规范导向
《网络安全法》对网络文化产业安全合规的治理维度
我国《网络安全法》第十二条第一款明确, 国家保护公民、法人和其他组织依法使用网络的权利, 促进网络接入普及, 提升网络服务水平, 为社会提供安全、便利的网络服务, 保障网络信息依法有序自由流动。
实践中, 为谋取商业利益, 一些网络账号的运营者传播的内容存在失真失实与故意夸大的特征, 例如有些内容通过“水军”等占据传播平台的头条, 与依法传播网络信息的理念相悖。我们理解, 网络安全法对网络文化安全的治理包括两个维度, 即依法的“自由”与有序的“自由”。所谓依法的“自由”, 即从事一些行为的自由(be free to do), 而有序的“自由”, 则包含免于遭受一些行为的自由(be free from), 平衡、协调、规范两种自由的原则是权利不得滥用, 例如, 在网络空间滥用言论自由的法律成本在相关事件中已经有所体现。
目前, 伴随着经济全球化与科技现代化的浪潮, 市场经济下的“流量经济”成为新的增长点。作为新的行业领域, 一些市场主体利用人们的“猎奇”心理, 用夺人眼球的标题或者夸大失实的表述, 使得“流量经济”的发展有错位之危、违法之险, 与绿色、健康的“流量经济”导向南辕北辙, 监管部门以“有形之手”进行矫正可谓既在情理之中, 也在法理之中。
规范性文件对网络文化产业安全合规的规制角度
在《网络安全法》出台之前, 一些规范性文件已经包含对网络文化安全进行规制的条文, 例如《互联网新闻信息服务管理规定》等; 目前, 直接配套的部分规范性文件也已在送审或征求意见的阶段, 例如《未成年人网络保护条例(送审稿)》及《互联网新业务安全评估管理办法(征求意见稿)》等。
结合前文所述, 目前广义的网络安全法体系的政策指向、发展方向与规范导向已经十分明确, 并且对于被界定为触及“政策红线”或“法律红线”的主体进行监管约束的法律逻辑已经自洽、法律框架已经明确。我们建议, 网络文化产业业内人士应逐步形成网络安全的业务法治观, 以此指导企业业务的开展与合规的落实, 同时, 投资机构亦应逐步形成网络安全的投资法治观, 明确将拟投资企业的网络安全合规情况作为法律尽职调查的重要关注事项。
三、相关事件对网络文化产业安全合规的一些启示
关注特殊群体保护: 以网络游戏的安全规范为例
《未成年人网络保护条例(送审稿)》第二十二条明确, 网络信息服务提供者提供网络游戏服务的, 应当要求网络游戏用户提供真实身份信息进行注册, 有效识别未成年人用户, 并妥善保存用户注册信息。该送审稿的第二十三条明确, 网络游戏服务提供者应当建立、完善预防未成年人沉迷网络游戏的游戏规则, 对可能诱发未成年人沉迷网络游戏的游戏规则进行技术改造; 网络游戏服务提供者应当按照国家有关规定和标准, 采取技术措施, 禁止未成年人接触不适宜其接触的游戏或游戏功能, 限制未成年人连续使用游戏的时间和单日累计使用游戏的时间, 禁止未成年人在每日的0: 00至8:00期间使用网络游戏服务。
我们理解, 前述送审稿的内容对于网络游戏行业的影响较大, 对于相关企业而言, 一旦送审稿通过后生效, 相关内容将直接影响企业的商业模式: 对于原先内控体系完善的企业, 相关规定的出台体现为企业内控机制的外化; 对于原先内控体系不够完善的企业, 相关的合规成本就会“水涨船高”, 这也提醒业内企业将合规程序前置有利于应对法律法规的更迭。对于投资机构而言, 相关拟投资企业的估值计算、合规调查等亦须考虑更为全面的因素。
关注网络安全审查: 以信息平台的安全规范为例
《网络产品和服务安全审查办法(征求意见稿)》第二条明确, 关系国家安全和公共利益的信息系统使用的重要网络产品和服务, 应当经过网络安全审查。该征求意见稿第八条明确, 根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请等, 网络安全审查办公室组织第三方机构、专家对网络产品和服务进行网络安全审查, 并发布或在一定范围内通报审查结果。
我们理解, 前述征求意见稿的内容对于网络文化信息平台的影响较大, 对于相关业内企业在采购重要网络产品与服务时, 合规成本可能有所提升。对于投资机构而言, 应更多考虑征求意见稿对信息披露的规范进展, 该等规范将对拟投资主体社会评价的波动性产生影响。
关注数据利用保护: 以文化电商的安全规范为例
《网络安全法》第四十二条明确, 网络运营者不得泄露、篡改、毁损其收集的个人信息; 未经被收集者同意, 不得向他人提供个人信息。但是, 经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施, 确保其收集的个人信息安全, 防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时, 应当立即采取补救措施, 按照规定及时告知用户并向有关主管部门报告。
《网络安全法》第四十三条明确, 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的, 有权要求网络运营者删除其个人信息; 发现网络运营者收集、存储的其个人信息有错误的, 有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
《电子商务法(草案)》第四十六条明确, 电子商务经营主体收集用户个人信息, 应当遵循合法、正当、必要原则, 事先向用户明示信息收集、处理和利用的规则, 并征得用户的同意。电子商务经营主体不得以拒绝为用户提供服务为由强迫用户同意其收集、处理、利用个人信息。禁止采用非法交易、非法入侵、欺诈、胁迫或者其他未经用户授权的手段收集个人信息。电子商务经营主体修改个人信息收集、处理、利用规则的, 应当取得用户的同意。用户不同意的, 电子商务经营主体应当提供相应的救济方法。
我们理解, 相关业内企业及投资机构应当将《网络安全法》与《民法总则》以及《电子商务法(草案)》等相关条文进行体系性理解, 从网络安全的角度落实企业合规制度、主动对自身开展合规调查。
关注政策风向变化: 以前述的帐号关停事件为戒
本次由网信办牵头的清理行动揭示了网络文化安全的“法律红线”, 对于网络文化的资本投向有相当的启示作用, 随着中国网络法制体系的不断健全与完善, 部分不合规的“眼球经济”势必脱离绿色“流量经济”的轨道且渐行渐远, 不具有可持续发展的特征。
目前, 《互联网新业务安全评估管理办法(征求意见稿)》业已发布, 该征求意见稿第九条明确, 电信业务经营者应当按照电信管理机构有关规定和互联网新业务安全评估标准, 从用户个人信息保护、网络安全防护、网络信息安全、建立健全相关管理制度等方面, 开展互联网新业务安全评估; 该征求意见稿第十三条明确, 电信业务经营者应当在互联网新业务面向社会公众上线后45日内, 向准予其电信业务经营许可或者试办新型电信业务备案的电信管理机构告知评估情况。我们建议, 相关企业与投资机构将上述条文所提出的内容作为合规坐标, 及早完善企业内部的网络安全合规体系、落实投资尽职调查的网络安全核查事项。
附: 《网络安全法》体系下的规范导向可能会从行业及企业自律、标准制定与业务监管、特殊群体保护等角度切入, 部分内容参见下表:
作者简介:
陈巍 律师
合伙人
通力律师事务所
李仲英 律师
通力律师事务所
任愿达
通力律师事务所
往期分享
通力法律评述 | 金融数据跨境流动的治理维度与合规路径 ——以近期证券市场案例为视角
通力快讯 | 通力律师应邀参加“全球视角合规攻略”论坛并发表演讲
通力快讯 | 通力成功举办“公募证券投资基金行业热点问题研讨会”
通力快讯 | 通力为多家企业首次公开发行A股股票提供法律服务
▼
本土化资源|国际化视野
微信ID:LlinksLaw
网址:www.llinkslaw.com