热点分析 | 网络安全法下的企业合规义务清单

导语

《网络安全法》自2017年6月1日实施以来热度与关注度持续不断。两年多期间内颁布的各项法律、行政法规，例如关系普罗大众权益的《电子商务法》，商密企业为之振奋的《密码法》，网信办不时发布的有关互联网信息内容的各项管理办法，或是两高最新发布的《办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》，都紧紧围绕着网络安全这个主题，可以说为企业构建了一张完整的网络安全合规义务之网。

本文拟在《网络安全法》为企业提出的五个合规义务方向的基础上，回顾网络安全法颁布以来法律、法规、政策和司法解释的最新进展，为企业再次整理、罗列合规义务清单。

一、网络安全保护义务

《网络安全法》第21条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

网络安全等级保护制度来源于1994年《中华人民共和国计算机信息系统安全保护条例》提出的计算机信息系统安全等级保护要求，被称为等保1.0标准。2019年5月13日，网络安全等级保护技术2.0版本（简称等保2.0）正式公开发布，等保2.0覆盖工业控制系统、云计算、大数据、物联网等新技术新应用，为落实信息系统安全工作提供了方向和依据。

是否完成网络安全等级保护备案，已成为网络运营者是否履行网络安全保护义务的一个形式要求，近期也成为一些重点行业领域进行合法经营的必备要件。例如2019年8月，教育部、中央网信办、工信部等八部门发布《关于引导规范教育移动互联网应用有序健康发展的意见》，提出建立教育移动应用备案制度，未在2020年1月31日前完成完成ICP备案和等级保护备案的将不得上架发行。

网络安全的等级保护备案是一个系统工程，需要逐一落实保护技术标准，具体技术要求就不在本文赘述。概括讲，企业应从如下几个方面自审：

• 制定内部安全管理制度和操作规程

• 确定网络安全负责人

• 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施

• 采取监测、记录网络运行状态、网络安全事件的技术措施

• 按照规定留存相关的网络日志不少于六个月

• 采取数据分类、重要数据备份和加密等措施

• 遵守其他法律法规要求

二、实名制义务

《网络安全法》第24条规定，网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。

因大学生求职被骗身亡事件暴露的Boss直聘为未提供真实身份信息的用户提供信息发布服务，虽然BOSS直聘对大学生死亡没有承担直接赔偿责任，但北京市网信办联合天津市网信办认定BOSS直聘违反网络安全实名制义务，责令改正。

2017年下半年以来，网信办持续发布了有关跟帖、群组、公众账号、微博客等多项管理办法，均提到按照“前台自愿，后台实名”的原则，对注册用户进行真实身份信息认证，不得向未认证真实身份信息的用户提供服务。

• 微博客信息服务管理规定

• 互联网用户公众账号信息服务管理规定

• 互联网群组信息服务管理规定

• 互联网跟帖评论服务管理规定

三、监测预警及应急处置义务

《网络安全法》第25条规定，网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

企业的合规义务有三点，分别是预案、补救措施与报告，其中工信、公安或是行业主管部门（例如金融系统的银保监会、教育行业的教育部）谁作为报告主管部门却是实践中让企业困扰的问题之一。

作为与本义务相关的配套规定或政策，工信部《公共互联网网络安全威胁监测与处置办法》2018年1月1日实施，指出对于基础电信企业、互联网企业、域名注册管理和服务机构，以电信主管部门作为报告对象。企业的合规义务包括：

• 制定网络安全应急预案制度

• 明确责任部门、责任人和联系人

• 监测与处置结果应当及时报送电信主管部门

• 为电信主管部门提供技术支持和协助

四、信息安全管理义务

《网络安全法》第47条规定，网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录,并向有关主管部门报告。

网络信息安全一直以来都是互联网企业的合规重点，更是明确列入网络安全义务之一。网络信息合法合规的要求一直贯穿在各种不同形式的网络信息服务的管理制度中，国家网信办刚刚发布的《网络信息内容生态治理规定》更是以“生态治理”的概念对政府、企业、社会和网民提出了经济、法律和技术多种手段相结合的综合治网格局。

对于企业而言，即是网络信息内容的生产者，亦是网络信息内容服务平台，不同身份将履行不同的信息安全管理义务。习近平总书记在2018年全国网络安全和信息化工作会议上强调，“要压实互联网企业的主体责任，决不能让互联网成为传播有害信息、造谣生事的平台”。在《网络信息内容生态治理规定》在第三章第八条至第十七条，进一步细化了网络信息内容服务平台的主体责任，从机制制度建设、个性化算法推荐技术应用、内容审核、用户管理等方面做出了具体规定，鼓励开发适合未成年人使用的模式，并特别要求互联网企业（平台）应当编制网络生态治理工作年度报告。通过这些方面，《规定》建立起了覆盖网络信息内容服务平台从业人员、治理机制，以及平台重点环节和技术方案适用的全方位、全流程立体监管体系。

五、用户个人信息保护义务

个人信息保护是《网络安全法》实施以来的监管热点，也是企业合规义务的重中之重。具体体现在《网络安全法》的第40-44条。2019年1月25日上午，中央网信办、工信部、公安部、市场监管总局等四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，决定自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理，从行政执法监督和落实对企业提出了的个人信息保护要求：

一方面，要求企业建立健全个人信息保护的制度，具体包括：

• 确定责任部门和责任人

• 建立工作流程和安全管理制度

• 对工作人员及代理人实行权限管理

• 妥善保管记录，并采取相应的安全储存措施

• 对储存用户个人信息的信息系统实行接入审查，并采取防入侵、防病毒等措施

• 用户个人信息操作记录

• 定期举办安全和隐私保护培训

另一方面，对网络运营者还提出了遵守收集使用个人信息的合法、正当和必要原则。划定网络运营者的侵犯个人信息的一些违法红线。要求网络运营者保障信息主体要求删除或更正的权利。

回顾《网络安全法》颁布以来的立法和执法历程，网络安全法对企业提出的纲领性的合规义务要求通过配套制度、政策以及监管部门的专项治理活动，要求日益明确和可执行性；另一方面，仍有一些问题还有待落地，比如对关键信息基础设施的识别，个人信息和重要数据的出境管理要求，在不同情况下的安全性评估如何做……我们理解这些已经在《网络安全法》确定的框架性要求下明确主管部门，明确判断标准，都将对企业，特别是互联网企业的下一步经营决策有重要意义。在即将到来的2020年，企业的网络安全义务仍然任重而道远，不可松懈！

作者简介

史 蕾  德衡律师集团   一般合伙人

曾就职于环球资源（NASQ：GSOL）和奇虎360公司法务部，拥有十多年的公司内部法务工作经验。

擅长股权激励、公司治理及互联网产品合规风控；专注互联网游戏、直播、互联网教育与出版、大数据和网络安全等行业领域；新三板挂牌及公司治理。

主要业绩：

为某大数据公司提供用户隐私保护项目提供专项合规筛查服务，并提供整改建议和员工培训；

为多家科技类创业公司提供股权激励方案制定；

为互联网公司搭建海外融资架构；

互联网教育科技企业新三板挂牌项目；

代表多家挂牌公司完成新三板定向增发；

担任多家互联网或高科技公司日常法律顾问。

声明

“首席法律通讯” 所刊登的文章仅代表作者本人观点，不得视为首席法律通讯的正式法律意见或建议。如需转载或引用该等文章的任何内容，请注明出处。

未经本公众号书面同意，不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨，欢迎与本公众号联系。

长按或扫码关注我们