2017年是我国网络安全与数据保护的立法大年。2017年6月1日《中华人民共和国网络安全法》正式实施，工信部、网信办等国家各部门也出台了多项法规、实施细则、国家标准及其征求意见稿，这些新法律法规的密集颁布必将对中国的网络安全与数据保护制度产生长远影响。值此年末，我们对本年度颁布的网络安全和数据保护重要法律法规（包括征求意见稿）进行了如下梳理：

1

《中华人民共和国网络安全法》

发布机构：全国人民代表大会常务委员会

发布时间：2016年11月7日

生效时间：2017年6月1日

简评：

      《网络安全法》共七章79条，根据全国人大常委会法工委的介绍，大概有六方面亮点内容：一是明确了网络空间主权的原则，二是明确了网络产品和服务提供者的安全义务，三是明确了网络运营者的安全义务，四是进一步完善了个人信息保护规则，五是建立了关键信息基础设施安全保护制度，六是确立了关键信息基础设施重要数据跨境传输的规则。

2

《中华人民共和国民法总则》

发布机构：全国人民代表大会常务委员会

发布时间：2017年3月15日

生效时间：2017年10月1日

简评：

      《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。“首次将个人信息权利明确为公民的一项民事权利。

3

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

发布机构：最高人民法院、最高人民检察院

发布时间：2017年５月９日

生效时间：2017年6月1日

简评：

     《解释》共十三条，明确了“公民个人信息”的范围以及非法“提供公民个人信息”的认定标准，公民姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等均纳入个人信息的范围。

       该解释规定，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息等个人敏感信息五十条以上的，即构成犯罪，处三年以下有期徒刑或者拘役。首次明确规定在网络公布“人肉搜索”结果属“非法提供”，行为人未经权利人同意即将其身份、照片、姓名、生活细节等个人信息公布于众，实际是向不特定多数人提供公民个人信息，也应当认定为“非法提供”，情节严重的，处三年以下有期徒刑或者拘役。

4

《个人信息和重要数据出境安全评估办法（征求意见稿）》

发布机构：国家互联网信息办公室

发布时间：2017年4月11日

生效时间：N/A

简评：

      《评估办法》明确了“数据出境”、“个人信息”和“重要数据”的定义，进一步加强了对数据出境的限制，明确数据出境的安全评估办法，并区分了数据出境所需的两类安全评估。一类是由网络运营者自行组织的安全评估，每年至少一次，并应及时将评估情况报行业主管部门或监管部门。符合《评估办法》规定的几种情况的，网络运营者应报请行业主管或监管部门组织安全评估。同时规定了数据不得出境的几类情形。

5

《网络产品和服务安全审查办法（试行）》

发布机构：国家互联网信息办公室

发布时间：2017年５月2日

生效时间：2017年 6 月1日

简评：

      《办法》规定，公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过网络安全审查。产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定。

6

《互联网新闻信息服务管理规定》

发布机构：国家互联网信息办公室

发布时间：2017年５月2日

生效时间：2017年6月1日

简评：

      《管理规定》将“互联网新闻信息服务”界定为通过互联网站、应用程序、论坛、博客、微博客、公众账号、即时通信工具、网络直播等形式向社会公众提供互联网新闻信息服务，包括互联网新闻信息采编发布服务、转载服务、传播平台服务，明确《互联网新闻信息服务许可证》的有效期为三年。

7

《互联网信息内容管理行政执法程序规定》

发布机构：国家互联网信息办公室

发布时间：2017年５月2日

生效时间：2017年6月1日

简评：

      《规定》共八章四十九条十七个附件。第一章总则规定了互联网信息内容管理行政执法的主体及职权。第二至七章以行政执法办案为主线明确了执法程序，全面规范了管辖、立案、调查取证、约谈、听证、决定、执行等各执法程序环节的具体要求。第八章附则对有关概念进行解释。

8

《互联网新闻信息服务许可管理实施细则》

发布机构：国家互联网信息办公室

发布时间：2017年５月22日

生效时间：2017年6月1日

简评：

      《实施细则》规定，获准提供互联网新闻信息采编发布服务的，可以同时提供互联网新闻信息转载服务；获准提供互联网新闻信息传播平台服务，拟同时提供采编发布服务、转载服务的，应当依法取得互联网新闻信息采编发布、转载服务许可。此外，还对许可变更、续办、注销等环节的条件、材料、程序等提出明确要求，进一步完善许可退出机制。

9

《关键信息基础设施安全保护条例（征求意见稿）》

发布机构：国家互联网信息办公室

发布时间：2017年7月10日

生效时间：N/A

简评：  

      《保护条例》明确了关键信息基础设施及其运营者的范围，列举了五大类已被划为关键信息基础设施和关键信息基础设施运营者所处的行业，但这并不意味着这五类行业内的所有网络设施和信息系统都应被认定为关键信息基础设施。是否被认定为关键信息基础设施，首先须判断该网络设施和信息系统是否一经破坏或数据泄露即可能造成危害国家安全或国计民生的严重后果。例如，银行作为金融行业的典型单位，其核心业务信息系统因处理核心交易信息而极有可能被认定为关键信息基础设施，但银行内部的员工管理系统由于并不涉及危害国家安全或国计民生的风险，则不应当被认定为关键信息基础设施。

     《保护条例》同时明确了关键信息基础设施的运营者及网络安全管理负责人的合规义务，对运营者采购、使用的网络关键设备、网络安全专用产品的监管要求，以及监测预警、应急处置和检测评估的指导方法。

10

《信息安全技术 大数据安全管理指南（征求意见稿）》

发布机构：全国信息安全标准化技术委员会

发布时间：2017年５月24日

生效时间：N/A

简评：

      明确了大数据安全管理原则与大数据安全管理角色与责任，并指出大数据安全风险及其管理评估方法，同时列举了如生命科学大数据等风险分析示例。

11

《信息安全技术 数据出境安全评估指南（草案）》

发布机构：全国信息安全标准化技术委员会

发布时间：2017年５月27日

生效时间：N/A

简评：

       首次公布了重要数据识别指南，并列举了27个行业主管部门统计的重要数据的划分范围。同时规定了数据出境安全评估流程、评估要点、评估方法等内容。国家网信部门、行业主管部门以及网络运营者应按照本评估指南对其向境外提供的个人信息和重要数据进行主管部门评估和安全自评估。

12

《信息安全技术个人信息安全规范（报批稿）》

发布机构：全国信息安全标准化技术委员会

发布时间：2017年５月29日

生效时间：N/A

简评：

     详细规范了个人信息控制者开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动时应遵循的原则和安全要求。详细规定了个人信息和个人敏感信息的分类和判定。同时给出了保障个人信息主体选择同意权的实现方法，并提出了个人信息控制者可参考的设计功能界面模板及隐私政策的指导性模板。

13

《信息安全技术数据交易服务安全要求（征求意见稿）》

发布机构：全国信息安全标准化技术委员会

发布时间：2017年8月25日

生效时间：N/A

简评：

     《安全要求》规定了数据交易服务涉及的交易参与方、交易对象和交易过程的安全要求，适用于提供数据交易服务的组织进行安全自评估，也适用于第三方机构对数据交易服务组织进行安全测评。《征求意见稿》规定，数据交易服务机构应确保数据供方满足“应为无违法违规记录的合法组织或自然人”等五项要求；数据交易服务机构应确保数据需方满足“应按供需双方约定的使用目的、范围、方式和期限使用数据，禁止进行个人信息的再识别”等七项要求；数据交易服务机构应满足“应将从事境内数据交易服务的数据交易服务平台部署在我国境内”等四项基本要求。

14

《信息安全技术 数据出境安全评估指南（征求意见稿）》

发布机构：全国信息安全标准化技术委员会

发布时间：2017年8月30日

生效时间：N/A

简评： 

      较草案版新增“境内运营”、“加工处理”和“个人信息主体同意”的定义，完善了安全自评估的启动条件及评估方法，进一步明确了“个人信息”、“个人敏感信息”、“数据出境”、和“重要数据”的范围。

       根据《评估指南》的要求，我们分析以下几种需要根据评估指南进行数据出境安全评估的情形：

1)    境外网络运营者在中国境内开展业务，或向中国境内提供产品或服务过程中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的；

2)    境内网络运营者向位于中国境内的，但不属于本国司法管辖或未在境内注册的主体（如境外企业的代表处）提供中国境内收集和产生的个人信息和重要数据的；

3)    个人信息和重要数据存储在境内，但接触该数据的权限也开放给境外的机构、组织、个人的行为（即境内数据在境外下载或可访问查看的），但公开信息及公开的网页访问除外；

4)    网络运营者集团内部涉及将中国境内开展业务，或向中国境内提供产品或服务过程中收集和产生的个人信息和重要数据，由境内主体转移至境外主体的。

        同样，在评估指南的规定下，我们分析了以下不属于数据出境亦不需要进行安全评估的几种情形：

1)    境内网络运营者将在境外收集或由境外主体在境外收集和产生的个人信息和重要数据，未经任何变动或加工处理，再传输至境外的，不属于数据出境；

2)    境内网络运营者在中国境内存储、加工处理在境外收集或由境外主体在境外收集和产生的个人信息和重要数据，再传输至境外的，不属于数据出境；

3)    仅向境外机构、组织或个人开展业务、提供商品或服务的境内网络运营者收集和产生不涉及境内公民个人信息和重要数据的其他数据，向境外提供的，不视为境内运营亦不属于数据出境。

15

《信息安全技术 关键信息基础设施安全检查评估指南（征求意见稿）》

发布机构：全国信息安全标准化技术委员会

发布时间：2017年8月30日

生效时间：N/A

简评：

       本标准规定了关键信息基础设施检查评估工作准备、实施、总结各环节的流程要求，以及在检查评估具体要求和内容，定义了关键信息基础设施检查评估工作由合规检查、技术检测和分析评估三个主要部分组成。同时进一步落实了信息安全等级保护制度，并规定了包括安全管理机构设置和人员安全管理情况的合规制度。

我们将继续关注这一领域的进展并及时进行解读。

杨洪泉

杨洪泉律师作为安杰律师事务所合伙人，在电信、互联网和IT、争议解决、劳动等领域拥有丰富经验，尤为擅长提供个人信息保护和网络安全领域的法律服务。