2016.11.16 董潇 蔡克蒙 郭静荷
全国人民代表大会常务委员会(以下简称“全国人大常委会”)在历经长达一年的三次审议后,最终于2016年11月7日通过了《中华人民共和国网络安全法》(以下简称“《网络安全法》”)。《网络安全法》是中国第一部关于网络安全的综合性法律,它包含了若干新的法律概念及规定,这些概念及规定将对在中国从事商业运营的公司产生影响。
以下我们将从出台背景、适用范围及立法目的、主管机关、主要规定、《网络安全法》终稿与一审、二审稿的比较以及潜在实践影响的角度对《网络安全法》进行简要介绍。
一、简 介
(一)出台背景
为国家安全整体形势所需要,近年来关于信息和科技安全的立法及司法实践迅速发展。2014年4月,为应对新时期的各种挑战,习近平总书记第一次提出了“总体国家安全观”的概念。此后,全国人大常委会加快了一系列与国家安全相关法律的立法工作,包括《反恐怖主义法》、《国家安全法》以及《网络安全法》。这些立法都涉及有关信息和技术安全的规定。网络安全在中国及全世界都成为对于社会的一项挑战,而《网络安全法》是回应这些挑战的关于网络安全方面的主要立法。同时,由于中国尚未出台一部统一的信息保护法,但个人信息保护问题已成为广泛关注的社会问题,因此《网络安全法》也包含了许多与个人信息保护有关的规定,除对以往散见于各法规的要求的总括性规定,也包括一些新的法律要求。
(二)适用范围及立法目的
《网络安全法》适用于在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理。“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的网络和系统(第七十六条)。《网络安全法》将“网络运营者”广泛地定义为“网络的所有者、管理者和网络服务提供者(第七十六条)”。
《网络安全法》将“维护网络空间主权”规定为基本原则。为实现这一目的,《网络安全法》对网络安全、网络运营安全、网络信息安全、网络安全预警和应急处置系统等各方面问题作出了规定。
(三)网络安全主管机关
根据《网络安全法》,中央层面负责统筹协调网络安全工作和相关监督管理工作的为国家网信部门,即国家互联网信息办公室。此外,工业和信息化部和公安部(及其他有关部门)在各自职责范围内负责网络安全保护和监督管理工作(第六条)。
《网络安全法》将于2017年6月1日生效,距其实施还有约半年的过渡期。
二、 主要法律规定
(一)加强网络运营者的安全义务
《网络安全法》对网络运营者规定了一系列安全义务,其中包括:
遵守网络安全等级保护制度的一系列要求(第二十一条);
核实用户真实身份(部分网络运营者的义务)(第二十四条);
制定网络安全事件应急预案(第二十五条);以及
为侦查机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助(第二十八条)。
此外,网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应及时告知用户并向有关主管部门报告;应当为其产品、服务持续提供安全维护;不得设置恶意程序;网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意(第二十二条)。
网络关键设备和网络安全专用产品应当遵守相关国家标准及强制性资格要求,并由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供(第二十三条)。
值得注意的是,《网络安全法》中许多有关网络运营者的规定首次出现在我国法律中,例如:留存相关的网络日志不少于六个月(第二十一条);向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息活动的规制(第二十六条)等。
(二)加强对关键信息基础设施的保护
《网络安全法》在我国法律中首次对关键信息基础设施运营者施加了更严格的安全保护义务,这些义务包括:
设置内部专门机构、负责人,进行内部培训,数据备份以及制定网络安全事件应急预案(第三十四条);
原则上,在中华人民共和国境内运营中收集和产生的个人信息和重要数据需存储在境内(第三十七条);
采购网络产品和服务,可能影响国家安全的,应当通过相关政府部门的国家安全审查(第三十五条);以及
对网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关政府部门(第三十八条)。
(三)个人信息保护
《网络安全法》重申了网络运营者对个人信息的保护义务,这些义务散见于现有法律、法规,包括:网络运营者收集、使用个人信息,遵循合法、正当、必要的原则和“知情和同意”的要求(第四十一条);仅将个人信息用于个人同意的目的(第四十一条);采取安全保护措施以确保个人信息的安全(第四十二条);保护个人查阅和更正其个人信息的权利(第四十三条)。此外,《网络安全法》还包含了一些关于个人信息的新规则,例如:数据泄露通知义务(第四十二条);个人信息的收集、使用需遵守知情和同意原则,但信息经过处理无法识别特定个人且不能复原的除外(第四十二条);个人在发现被收集、存储的其个人信息有错误的或者个人信息的收集、使用违反双方的约定的时候,有权要求网络运营者进行修改或者删除相关个人信息(第四十三条)。
三、对二审稿的关键修改
相较二审稿,《网络安全法》有如下关键修改:
1、关键信息基础设施被重新定义为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域”,以及其他“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”的信息基础设施。定义中对相关行业及领域的列举曾体现在《网络安全法》一审稿中,但在二审稿中被删除。正式的《网络安全法》将对重要行业和领域的列举重新加入到关键信息基础设施的定义里(第三十一条)。
2、具有境内存储要求的信息范围由“公民个人信息和重要业务数据”扩大为“个人信息和重要数据(第三十七条)”;受保护的个人信息的范围由“公民个人信息”扩大为“个人信息”;
3、对未成年人的特别规定:国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动(第十三条);
4、增加了对境外实体危害关键信息基础设施罚则和制裁的专门规定(第七十五条);以及
5、增加了对违法行为的处罚力度。
四、 实践影响
《网络安全法》是我国第一部专门针对网络安全问题的法律。2017年6月1日《网络安全法》正式实施后,在中国从事互联网及其他涉及网络运营的各行业经营者将需履行更严格和全面的法律义务,并将因违反相关义务受到更重的处罚。作为一部关于网络安全的整体性、综合性法律,《网络安全法》之中对于很多方面作出的规定仍是高屋建瓴的,而在实施和执行的细节方面,仍将依赖于更为具体的规定和主管部门的实施意见出台。可以预见,相关主管机关可能会颁布一系列实施细则以落实《网络安全法》的要求,例如:网络安全等级保护制度;关键信息基础设施的具体范围及保护措施;对未成年人在互联网领域的保护;网络关键设备和网络安全专用产品的强制性安全认证及检测要求;关键信息基础设施采购网络产品和服务时,应通过的国家安全审查等。例如,关于未成年人在互联网领域的保护问题,网信办即已于2016年10月发布了《未成年人网络保护条例》(草案)向公众征求意见。
现在距离《网络安全法》的正式实施还有大约半年的时间,相关公司可以利用这一过渡期理解《网络安全法》可能对于公司运营的影响。特别是,若公司被纳入到关键信息基础设施运营者的范畴,则《网络安全法》将可能对于其网络安全架构、安全产品采购、数据存储等方面产生实质性的重大影响。公司需要从这些方面综合性的考虑是否需要采取业务和经营的调整,加强其网络安全保护以确保符合《网络安全法》的规定。考虑到《网络安全法》中的相关要求的实施标准并不完全明确,公司在未来需继续关注相关新法规以及主管机关的实施意见,以对法律的适用作更好的理解。