《中华人民共和国网络安全法》(简称《网络安全法》)自2017年6月1日起施行,这是中国建立严格的网络治理指导方针的一个重要里程碑。早在《网络安全法》施行之前,中国已就加强信息安全方面做出了一定努力。例如,2010年出版的白皮书《互联网在中国》,就是中国于互联网使用上的一个早期政策指南。而此次颁布《网络安全法》则标志着中国在打击网络犯罪方面迈入至一个重要里程。
虽然《网络安全法》已经通过并得已施行,但在其使用方面仍存在不确定性。由于部分要求模棱两可、定义也比较宽泛,一些企业担心这将对其在中国的运营产生潜在影响,而另一些企业则担心《网络安全法》会对在中国市场的外国企业造成贸易壁垒。
鉴于此情形以及公众的期待,国家互联网信息办公室(CAC)发布官方指南,对《网络安全法》做进一步解释。例如,2017年4月11日,国家互联网信息办公室发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》,向社会公开征求意见。该征求意见稿为《网络安全法》第37条提供了重要补充,并就中国政府如何管理个人信息和重要数据的境外输出提供了权威见解。
《网络安全法》概述
《网络安全法》由七个章节、79项条款组成,涵盖范围极为广泛。其包含一个全局性的框架,旨在监管网络安全、保护个人隐私和敏感信息,以及维护国家网络空间主权/安全。《网络安全法》与一些最常用的网络安全标准相类似,比如美国国家标准与技术研究所(NIST)的网络安全框架和ISO 27000-27001,主要强调了网络产品、服务、运营、信息安全以及监测、早期诊断、应急响应和报告等方面的要求。在保护数据隐私方面,《网络安全法》与其他国家的数据隐私法律法规亦相近。然而在国家网络空间主权和国家安全方面则有更为特殊的要求。
受影响的企业和主要要求
根据《网络安全法》中针对某类实体的条款多次被提及,该法很明显更适用于网络运营者和关键信息基础设施运营者(CIIs)。如《网络安全法》附则中对于“网络运营者”的定义,几乎适用于所有拥有或管理其网络的中国企业。然而术语定义得比较宽泛,除了传统的信息技术、网络服务供应商和通信企业外,《网络安全法》还可以理解为涵盖各个行业。因此,可以说任何企业(无论规模、国内或跨国企业)于中国通过运营网络(包括网站和内外部网络)开展业务,及提供服务或收集数据的,就很可能包含在此法之内。
虽然CAC尚未出台关于关键信息基础设施运营者的进一步说明,但它覆盖各个行业,包括但不限于通信、信息服务、能源、交通、公用事业、金融服务、公共服务和政府服务。总体来说,就目标而言,《网络安全法》对网络运营者和关键信息基础设施运营者的要求是相同的,但对后者则更为严格。详细的要求差异列示如下。
《网络安全法》共七个章节,有四个章节概述了主要要求。
网络运行
《网络安全法》将本章节分为两部分:即适用于网络运营者的一般规定,及适用于关键信息基础设施运营者的运行安全规定。每个部分的主要要求包含以下内容:
第一部分:一般规定
条款
主要要求*
第21条
必须制定以下内容:内部安全管理制度和操作规程,确定网络安全负责人;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施。
第22条
第23条
第24条
在提供服务前,应当要求用户提供真实身份信息。
第25条
网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。
第26条
开展网络安全认证、风险评估、检测等活动应当遵守国家有关规定。
第29条
支持网络运营者建立健全全行业的网络安全规范,加强网络安全评估并定期报告。
* 以上为遴选内容,非详尽条款。
与其他安全规范相比,第24条尤为值得关注。它要求网络运营者在签署服务协议之前确认用户提供了真实身份信息。服务种类往往包括但不限于网络接入、固定电话服务、移动服务、即时通讯和其他网络服务。
第二部分:关键信息基础设施运营者的运行安全规定
条款
主要要求*
第31条
国家重点保护公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的网络安全。也鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
第32条
对于负责规划、指导和监督关键信息基础设施运行安全保护工作的部门,应明确其角色和职责。
第33条
确保关键信息基础设施运行的稳定性和持续性。
第34条
除《网络安全法》第21条的规定外,关键信息基础设施运营者还应当履行下列安全保护义务:
第37条
第38条
第39条
国家网信部门应当就统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
* 以上为遴选内容,非详尽条款。
尽管《网络安全法》中第37条是针对关键信息基础设施运营者提出的,然而依据征求意见稿,其要求已扩展至个人和其他机构。该征求意见稿根据预期要求提供了更多详细内容,这些内容包括但不限于:
信息安全
《网络安全法》第四章涉及信息安全,重点体现在个人信息的保护上。根据《网络安全法》附则中的定义,个人信息是指以电子或其他方式记录的,能够单独或与其他信息结合以识别个人身份的各种信息。包括姓名、出生日期、身份证号码、个人生物识别信息(如指纹、面部识别、视网膜扫描)、地址、电话号码及其他相类似的个人资料等。于本章节节选的条款有:
条款
主要要求*
第40条
网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第41条
网络运营者收集、使用个人信息,应当遵循相关的法律法规,并经被收集者同意。此外,网络运营者不得收集与其提供的服务无关的个人信息。
第42条
第43条
个人发现网络运营者违反法律规定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。此外,发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。
第47条
网络运营者应当加强对其用户发布的信息的管理。发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息。
* 以上为遴选内容,非详尽条款。
在数据隐私方面,《网络安全法》与其他地区的数据隐私法律相类似,包括香港的《个人资料(私隐)条例》。
监测和响应
本章节强调了由适当的网络安全治理机构来监测、检测和应对安全事件的重要性。此外,应在安全事件发生后立即进行安全评估以确定事件造成的影响和损害。本章节的主要条款有:
条款
主要要求*
第52条
关键信息基础设施运营者应建立健全监测、检测和通报安全事件的网络安全制度。
第53条
第55条
发生网络安全事件,应当立即启动网络安全事件应急预案。对网络安全事件进行调查和评估,并及时向社会发布与公众有关的警示信息。
* 以上为遴选内容,非详尽条款。
本章节与NIST网络安全框架和ISO 2700x这两个标准的相关要求非常相似,而后两个标准则就具体的要求阐述得更为详尽些。
监管处罚
《网络安全法》第六章概述了违反本法所应承担的监管处罚。处罚包括个人和企业应支付罚金和承担法律责任。罚款金额为人民币5,000元至1,000,000元不等;而法律责任则包括停业、吊销营业执照、个人被免职或者追究当事人的刑事责任等。例如,违反本法第26条或第37条的,将被处以停业或终止营业。
法律法规合规活动的即时影响
在《网络安全法》施行后不久,监管机构就将这项新法律用于对各个行业和企业的调查中。于目前接受调查的均为中国一些大型的社交媒体平台——腾讯、百度和新浪微博。监管机构运用《网络安全法》对这三家互联网巨头进行调查,旨在调查企业是否存在潜在的违反该法的行为,特别是企业是否存在可能无法控制用户发布不当内容的情况。此类调查与维护国家网络空间主权与安全方面息息相关。对于企业由于其他不同原因所产生的违法行为(例如违法了《网络安全法》第21、24和47条的规定等),监管机构均对企业进行了罚款,或予以警告,责令企业在规定时间内进行整改。
总体而言,凡于中国境内经营的企业,无论其是国内企业还是跨国企业,均应认真参阅《网络安全法》,确保企业行为符合监管要求。企业应考虑采取以下措施以遵循《网络安全法》的规定:
对于那些已经符合国际网络安全标准(如ISO2700x和NIST的网络安全框架)和数据隐私法规的企业,好消息是他们在遵守《网络安全法》时不需要做过多的工作。尽管如此,这些企业仍然需要关注与国家网络空间主权和安全方面的有关要求。此外,对于在中国设立子公司的跨国企业,为满足其数据的归属要求,可能需要就某些应用系统和基础设施进行重新设计。
即便是许多知名跨国企业在国外运营时也面临着同样的挑战,他们不清楚收集了哪些数据、数据如何使用或者数据在什么位置,这些对他们在建立坚实的网络安全基础方面形成了制约。随着《网络安全法》的施行,企业对其当前运营的审查变得更为重要,特别是与数据相关的业务,如此才能确保企业遵守当地的法规。总之,企业若没有对最新的法规进行培训,其就无法采取正确的措施。
