【政策法規】從企業經營角度解讀《網絡安全法》

時間：2020-07-20

　　前言 　　中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議于2016年11月7日通過《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）, 該法將于2017年6月1日起施行。 　　全國人民代表大會法律委員會2015年6月24日首次提出的《網絡安全法》草案一共六十八條，2016年6月和11月兩次修改后，最終通過的法案一共七章七十九條。 　　正如全國人大常委會法制工作委員會副主任郎勝在草案說明中指出的，制定《網絡安全法》的必要性有三：“一是，網絡入侵、網絡攻擊等非法活動，嚴重威脅著電信、能源、交通、金融以及國防軍事、行政管理等重要領域的信息基礎設施的安全，云計算、大數據、物聯網等新技術、新應用面臨著更為復雜的網絡安全環境。二是，非法獲取、泄露甚至倒賣公民個人信息，侮辱誹謗他人、侵犯知識產權等違法活動在網絡上時有發生，嚴重損害公民、法人和其他組織的合法權益。三是，宣揚恐怖主義、極端主義，煽動顛覆國家政權、推翻社會主義制度，以及淫穢色情等違法信息，借助網絡傳播、擴散，嚴重危害國家安全和社會公共利益。” 　　圍繞著上述三個問題，《網絡安全法》通過以下七個方面做了具體規定：維護網絡主權和戰略規劃、保障網絡產品和服務安全、保障網絡運行安全、保障網絡數據安全、保障網絡信息安全、監測預警與應急處置、網絡安全監督管理體制。 　　從責任主體的角度來看，《網絡安全法》涉及的責任主體涵括了全社會：國務院、國家網信部門、國務院電信主管部門、公安部門、地方人民政府、網絡運營者、網絡相關行業組織、研究機構、高等學校、使用網絡的個人和組織等等。 　　本文僅僅從以下兩類企業的運營角度來解讀《網絡安全法》的規制：一是，提供了網絡服務或者網絡產品的企業；二是，在運營中涉及個人信息的企業。這兩類企業常常互有交叉。 　　《網絡安全法》針對以下兩類企業有特殊規定，本文暫未涉及：一是為用戶辦理網絡接入、域名注冊服務，辦理固定電話、移動電話等入網手續，或者為用戶提供信息發布、即時通訊等服務的企業；二是涉及公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域的關鍵信息基礎設施的運營者。 　　一、企業負有協助保障國家安全、用戶信息安全的義務，同時要保障自身網絡運行安全。 　　《網絡安全法》第一條（下文如沒有明確注明法規名稱，則引用的均是《網絡安全法》）開宗明義就闡明：“為了保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，制定本法。”可見，《網絡安全法》首要維護的是國家安全和社會公共利益，保障用戶信息安全就事關社會公共利益，而企業保障自身網絡運行安全本身一定意義上也是為了國家安全和社會公共利益。 　　2017年5月13日，廣州市信息安全等級保護工作協調小組辦公室刊發了一份特急通知《關于立即開展Windows系統勒索軟件防范及相關漏洞排查修復工作的緊急通知》（穗等保辦〔2017〕5號），要求各單位立即進行Windows系統漏洞排查修復處置以及防范勒索軟件的工作。該通知提及的勒索軟件，系利用電腦系統的漏洞遠程對受害電腦中的文件進行加密，勒索財物后方解鎖。 　　2017年5月13日下午，360安全衛士的官方網站首頁發出紅色警報：“比特幣病毒全球肆虐，波及范圍已超過100個國家。西班牙電信全體員工電腦癱瘓，英國病人已預約心臟手術被迫取消，中國大批高校也出現感染情況，眾多師生的電腦文件被病毒加密，只有支付贖金才能恢復……” 　　據瑞星2016年中國信息安全報告，“在報告期內，瑞星‘云安全’系統共截獲勒索軟件樣本26.5萬個，感染共計1,311萬次”，在趨勢展望中提及“敲詐軟件依然會是低成本高收益網絡犯罪主流” 并警示“敲詐軟件似乎已經盯上了企業，同個人數據相比，企業數據顯得更加重要，勒索成功率會大幅上升”。 　　可見，企業運營中的網絡安全舉足輕重。 　　《網絡安全法》第二十一條、第二十五條規定企業應制定內部安全管理制度和操作規程、網絡安全事件應急預案，采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施、采取監測、記錄網絡運行狀態、網絡安全事件的技術措施、采取數據分類、重要數據備份和加密等措施，發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。 　　第二十二條則強調“網絡產品、服務應當符合相關國家標準的強制性要求”。 　　關于標準有國際標準、國家標準、行業標準、地方標準和企業標準。其中，國家標準包括強制性國家標準和推薦性國家標準。《網絡安全法》則強調網絡產品、服務要符合國家標準的強制性要求。 　　將與《網絡安全法》同一天實施的《網絡產品和服務安全審查辦法(試行)》則規定，“關系國家安全的網絡和信息系統采購的重要網絡產品和服務，應當經過網絡安全審查”；網絡安全審查辦公室“按照國家有關要求、根據全國性行業協會建議和用戶反映等”，可以“按程序確定審查對象，組織第三方機構、專家委員會對網絡產品和服務進行網絡安全審查，并發布或在一定范圍內通報審查結果”。 　　可以預見，提供網絡產品和服務的企業將面臨自我審查、社會監督和國家審查，運營成本上升，同時，產品和服務的質量也有一定的改善。 　　二、企業收集、使用、管理個人信息方面應建立健全三個制度、遵循三個原則以及維護用戶信息的義務。 　　2016年8月，大學新生徐玉玉被電話詐騙9900元學費后猝死的新聞引爆了全國人民對電話詐騙和個人信息被泄露等社會問題的關注。 　　2017年04月17日，新華網報道，浙江松陽警方偵破一起特大侵犯公民個人信息案件，查獲非法獲取的各類公民個人信息7億余條，共370余G的電子數據，抓獲犯罪嫌疑人20名。犯罪嫌疑人中有兩名黑客，其中一名于2016年2月入侵某部委的醫療服務信息系統，將該系統數據庫內的部分公民個人信息導出進行販賣；另一名黑客則于2016年9月侵入某省扶貧網站，下載系統內大量公民個人信息數據販賣。 【1】 　　瑞星2016年中國信息安全報告中提及2016年全球數據泄露前十件大事中，泄露數據最多的當屬雅虎十億郵箱信息泄露。據雅虎官方的披露，2013年該司亦曾泄露五億條信息，且與2016年的數據泄露數據不同。可以推斷，雅虎公司先后兩次的事故共導致十五億的數據泄露。 　　這些被泄露的數據流入犯罪集團后，給社會造成無數個類似徐玉玉遭遇的被害人。 　　《網絡安全法》對此非常重視，設專章規定網絡信息安全。 　　該法規定了網絡運營者應建立健全用戶信息保護制度、網絡信息安全投訴、舉報制度。《網絡安全法》第四十條規定：“網絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。”第四十九條第一款規定：“網絡運營者應當建立網絡信息安全投訴、舉報制度，公布投訴、舉報方式等信息，及時受理并處理有關網絡信息安全的投訴和舉報。” 　　《網絡安全法》規定了網絡運營者收集、使用個人信息，應當遵循合法、正當、必要、公開、同意五個原則。 　　第四十一條規定“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。 　　“網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。” 　　《網絡安全法》規定了網絡運營者維護用戶信息的消極義務和積極義務。 　　消極義務包括：網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。 　　積極義務則包括：采取技術措施和其他必要措施，確保其收集的個人信息安全；在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告；采取措施予以刪除收集、使用其個人信息；采取措施予以更正收集、存儲的錯誤個人信息。 　　三、《網絡安全法》、《刑法》、《治安處罰法》以及司法解釋對違反網絡安全法的行為布下法網。 　　《網絡安全法》第六章“法律責任”涉及的罪名有十幾個：拒不履行信息網絡安全管理義務罪，網絡服務瀆職罪，破壞計算機信息系統罪，非法侵入計算機信息系統罪，提供侵入、非法控制計算機信息系統程序、工具罪，幫助信息網絡犯罪活動罪，侵犯公民個人信息罪，非法經營罪，非法利用信息網絡罪，網絡服務瀆職罪，危害國家安全罪，傳播淫穢物品罪，故意傳播虛假恐怖信息罪…… 　　該法設置了責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照、罰款、拘留等多種行政處罰手段，結合《治安處罰法》相關規定，則行政處罰范圍涵括了目前受到公眾關注的國家安全、個人信息安全的內容。 　　特別值得注意的是，第七十一條關于違法行為記入信用檔案的規定，該規定也適用于雖然未達到行政處罰、刑事處罰承擔的違法行為，范圍很廣，對違法的個人和企業負面影響不小。 　　《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》于2017年5月8日頒布，并將與《網絡安全法》一并在2017年6月1日實施，該司法解釋主要針對“侵犯公民個人信息罪”進行了詳細規定，例如，何謂“公民個人信息”、“提供公民個人信息”、 “情節嚴重”等等，并將“設立用于實施非法獲取、出售或者提供公民個人信息違法犯罪活動的網站、通訊群組，情節嚴重的”定為非法利用信息網絡罪定罪處罰；“網絡服務提供者拒不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴重后果的” 定為拒不履行信息網絡安全管理義務罪處罰。 　　結語 　　《網絡安全法》針對企業行為有非常嚴密的框架性規定，并針對違法行為規定了嚴厲的處罰手段，未來陸續還有配套的細則出臺，涉及網絡產品、網絡服務和用戶信息的企業不可掉以輕心。 （作者：北京市盈科（廣州）律師事務所 邱恒榆律師/合伙人） 　　想詳細了解2017年6月1日正式施行的《網絡安全法》全文，請閱讀當天的下一篇推送“【政策法規】中華人民共和國網絡安全法”