2017年6月1日,我国网络安全领域内的根本大法《网络安全法》(下称“网安法”)将正式实施,与此同时,互联网信息办公室所制定的一系列配套行政法规,包括有《互联网新闻信息服务管理规定》及其《实施细则》、《网络产品和服务安全审查办法》、《互联网信息内容管理行政执法程序规定》等,也将于同日一并生效。但这只是一个开始,今后,更多的配套细则和规定也会应时而生。
至此,我国网络安全领域内立法、执法的大幕正式拉开,并将产生多层次、多方面、多角度的协同效应。
网安法的出台背景
信息时代使得人类站在了新时代的前沿,然而在享受互联网的红利和便捷时,开放的、共享的环境也使得我们常常暴露在危险之中。
《网安法》在第一条就明确指出,“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法”。
要真正读懂这番话,必然离不开深入了解我国网络安全的现状。
据《2016中国网民网络安全诉求洞察报告》显示,2016年十大网络安全事件,不论国内国外,都集中表现为数据泄露,具体手段包括但不限于非法出售、安全入侵等。据统计,2015年互联网应急中心共接收境内外报告的网络安全事件126916起,同比增长125.9%;威胁主要来自于境内,有126424起,同比增长128.6%。相比之下,来自境外的威胁逐渐减少,同比减少了43.9%。就网络威胁的渠道来看,PC端占比约为73%,是移动端的3倍,这在很大程度上也是因为电信、交通、金融等重要行业的信息存储,都主要依赖于PC端,而这些机构又极易受到网络入侵和攻击。此外,从2016年起,接连发生的大学生遭电信诈骗致死事件,公民个人隐私泄露案件,更突出了网络安全保护的刻不容缓。
基于上述种种背景,作为名副其实的网络大国,我国的《网络安全法》及其配套文件应运而生。归结来说,其目的主要围绕以下三个方面:
1. 加强关键信息基础设施的安全保障
大家都知道,电信、能源、交通、金融、政务等关键信息基础设施是维持我们日常生活、工作、社会运转的重要基石,也同时支撑着相关行业或领域的重要业务,其中存储着大量个人和业务数据,已经成为网络攻击的重点对象。但目前我国关键信息基础设施安全保障整体水平还不高,难以有效抵御有组织大强度的网络攻击。
2. 加强对个人和企业的权益保护
显然易见的是,网上非法获取、倒卖个人信息,侵犯知识产权等事件时有发生,严重损害企业和个人的权益,甚至危害个人生命安全。因此,《网安法》一以贯之的一项重要议题就是用户个人隐私的保护(下文详述)。
3. 维护国家安全和社会公共利益
防止恐怖和犯罪组织等,利用网络策划组织暴力、恐怖活动,传播极端、淫秽等信息,破坏社会的和谐稳定。
亮点解读
《网安法》将“网络运营者”广泛地定义为“网络的所有者、管理者和网络服务提供者”。可以说,管辖的范围是非常广泛的。在第三章“网络运行安全”中,又具体划分为“一般规定”和“关键信息基础设施的运行安全”两部分,前者适用于所有的网络运营者,是底线,也是门槛;后者则是对关键信息基础设施的运营机构提出了更高的要求。
亮点1:全面设定网络运营者的安全保护义务
“网络安全等级保护制度”这一概念是《网安法》的亮点之一,但具体如何分级、谁来分级、目前还未出台明确的规定或解释,有赖于网信办或相关部门予以细化。
不过,在信息安全方面的分级保护制度,倒也不是没有先例。公安部、国家保密局、国家密码管理局、国务院信息化工作办公室国家四部委在2007年制定的《信息安全等级保护管理办法》中,就将信息系统的安全保护等级分为了五级。
值得注意的是,《网安法》中关于义务性规定的数量远远大于禁止性规定,并详细列明了违反义务性规定所要承担的行政责任,这也反映出我国针对网络侵权甚至犯罪,“预防大于追究”的原则。比如,许多有关网络运营者的规定是首次出现在我国法律中:“留存相关的网络日志不少于六个月”(第二十一条);“向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息”(第二十六条)等。
此外,在《网安法》第六十条中,还列出了网络运营方其他的义务要求以及违规的法律责任:
“第六十条 违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:
(一)设置恶意程序的;
(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;
(三)擅自终止为其产品、服务提供安全维护的。”
亮点2:明确举报危害网络安全行为的主体
《网安法》第十四条规定:“任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。”
根据中国互联网网络信息中心《第38次中国互联网络发展状况统计报告》,截至2016年6月,我国网民规模达7.10亿,国内域名总数3698万个,网站近454万家。互联网的海量信息,仅仅依靠政府部门监管,无法维护良好的网络空间秩序。发挥公众参与在网络治理中的作用,可收到事半功倍、一举多得的效果。
网络安全法明确了公民对危害网络安全行为的举报权利,政府部门受理、处置公民举报的责任,保障了公民通过网络举报参与网络空间治理的有效性,让民间力量与官方机构一同努力,共筑网络安全防线。
亮点3:对关键信息基础设施提高了责任要求
《网络安全法》引入了“关键信息基础设施”的概念,“关键信息基础设施”作为关乎国家安全和利益的战略性资源,其重要性无需多言,对其在法律和制度层面进行重点保护,也是目前各国立法的大势所趋。
当然,这也意味着法律对关键信息基础设施提出了更高的责任要求,如上图所示,除了内部的人员培训、制度架构设计等,还要求在采购时,对可能影响国家安全的网络产品和服务,及时申报有关部门进行安全审查。对此,《网安法》在第二十三条中也明确指出“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证或者安全检测符合要求后,方可销售或者提供”。
考虑到金融机构经常会采购一些用于金融数据存储、加密或解密的设备或软件,这类设备或软件有很大可能属于网络关键设备和网络安全专用产品的范畴,建议密切关注国家网信办或有关部门制定的网络关键设备和网络安全专用产品目录,并且在未来采购审查中要求供应商提供相关安全认证和安全检测证明。此外,对于“可能影响国家安全的”网络产品和服务采购,目前尚未有明确的判断标准,金融机构应对监管机构后续对此的解读给予关注。
亮点4:着重保护个人信息,与民刑法相衔接
在《网安法》第二十二条第三款、第四十一至四十四条中,对用户个人信息数据的收集、存储、使用都给出了非常严格的规定,说其严格,不仅仅是因为设定的义务多而全,也是因为设定了较高的法律责任,在常规的行政罚款之余,还规定有“责令暂停相关业务、停业整顿、关闭网站,吊销相关业务许可证或者吊销营业执照”。
可能面临的其他法律责任
1. 《民法总则》
2017年3月刚通过的《民法总则》(将于2017年10月1日生效),就明确规定,“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”
《民法总则》出台前,对个人信息的保护主要通过侵犯公民个人信息入罪和行业主管机关对特定领域或性质的个人信息保护进行监管的方式实现。《民法总则》将个人信息权从隐私权中分离,确立了个人信息权的独立地位,体现了互联网和大数据时代加强个人信息和数据保护的需求。
2. 《消费者权益法》
《消费者权益保护法》第五十六条规定,“经营者有下列情形之一,除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照……(九)侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的。”
3. 《刑法》
拒不履行信息网络安全管理义务罪(第二百八十六条之一)
网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一) 致使违法信息大量传播的;
(二) 致使用户信息泄露,造成严重后果的;
(三) 致使刑事案件证据灭失,情节严重的;
(四) 有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
侵犯公民个人信息罪(第二百五十三条之一)
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
在此,不妨引用两高新近出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》做两点补充,恰好也在2017年6月1日生效:
(1) 未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。(第三条)
(2) 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。(第九条)
总而言之,2017年的6月1日注定是个“不平凡的儿童节”。自《网安法》生效之日起,“网络安全保卫战”的号角正式吹响,每一个网络运营主体都有义务承担起相应的责任,企业必须细致、严谨地做好自查与合规工作,同时密切关注新法新规的发展动态。
本文信息仅作一般参考,不应视为针对特定事物的法律意见或依据。