作者:冯坚坚 李岑
来源:北京市竞天公诚律师事务所
2016年11月7日,《网络安全法》(以下亦称“新法”)通过,并将于2017年6月1日起正式施行。本次新法作为一部保障网络安全的基础性法律,引起社会各界的广泛关注和讨论,三次审议稿中包括关键信息基础设施、个人信息跨境传输等重要概念界定、对安全保护义务的规定等内容也经历了数次修改调整。
本文一方面从保护客体、适用范围、适用主体承担的义务等方面对新法进行解读,试图为互联网相关企业,也是对此次新法最为关注的一类企业提出建议。另一方面,文末也提出了企业将需要怎样的专业法律合规服务来帮助自己做预先风险自测,以应对新法实施后带来的重大变化。
关键词:
“两种重要信息”、“四种重要主体”、“五类重要义务”、“六个待明确的‘新规’”、“企业该做些什么”、“企业需要的专业法律合规服务”。
一 两种重要信息
作为一部网络安全相关的基础性法律,《网络安全法》从两个维度来解决“保护什么”的问题:一是从社会公共利益的角度,保护对国家安全和社会公共利益产生影响的内容,本法中较为重要,也是引起关注最多的就是关键信息基础设施;一是从公民和社会组织的角度,保护个人信息。新法也用较长的条文篇幅围绕着上述内容的保护进行了规定。
(一)关键信息基础设施(Critical Information Infrastructures,即“CII”)
“关键信息基础设施”是此次新法出台后最受关注的事项之一。在《网络安全法(草案)》三版审议稿中,对“关键信息基础设施”的界定也屡次修改。
最终正式出台的《网络安全法》结合第一次和第二次审议稿,以列举行业领域加可能导致后果两个方面对关键信息基础设施做出了界定。
在《网络安全法》正式出台前,中央网络安全和信息化领导小组办公室发布了一份《国家网络安全检查操作指南》(“《操作指南》”),对如何确定CII的步骤做出了说明:
首先,确定本地区、本部门、本行业的关键业务是什么,是涉及能源、金融还是交通、市政等领域;
确定了关键业务后,再确定支持关键业务的信息系统或工业控制系统是什么,形成CII候选清单。例如,支持电力行业火电企业的发电机组控制系统、管理信息系统;支持市政供水水厂的生产控制系统、供水管网监控系统等。
最后,根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定是否属于关键信息基础设施。而这个认定过程的具体标准也可以参考该操作指南。
相比于《网络安全法》的原则性规定,《操作指南》更具有指向性和操作性,对CII范围的确定更有参考价值。但最终CII的具体范围和保护办法仍将以国务院等部门另行确定的规则为准。具体标准的制定是否会参考该指南虽然仍不能确定,但指南中所确立的CII三步确认法很可能在今后的新规中体现。
(二)个人信息
个人信息定义
《网络安全法》和《保护规定》将能够识别自然人身份的信息定义为个人信息,也就是说,只要一个信息能够单独或者结合“定位”到该自然人,都属于个人信息。
用户使用服务的时间、地点等内容是否属于《网络安全法》个人信息范畴而受到规制值得商榷
虽然《网络安全法》和《保护规定》中对个人信息均有明确定义,但从表述范围来看,《保护规定》界定的个人信息似乎更为宽泛。除了能够识别自然人身份的信息属于个人信息外,《保护规定》还将用户使用服务的时间、地点等信息也纳入个人信息范畴,未经用户书面许可,不得收集和使用。用户使用服务的时间、地点等数据成为越来越多的网络服务提供者关注的领域,对这类信息收集和使用的合法性也一直受到广泛争议和质疑。
而本次《网络安全法》并未将上述信息数据纳入个人信息范畴,虽然在条款中规定“网络运营者不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息”。但《保护规定》从效力层级上仅属于部门规章。从上述规定可以看出,新法对个人信息界定的侧重点在于一种或者几种信息是否能定位到这个人,而无论这种信息是以什么方式呈现。如果通过信息无法判断是某个具体的人使用了产品、服务,很可能就不属于新法意义下要保护的个人信息,有时这种信息甚至是可以通过合法的公开渠道查询,那么对这种信息的收集使用也就不受限制。不过,在无法识别自然人身份的情况下,用户使用服务的时间、地点等信息是否受到《网络安全法》规制仍值得商榷,并有待监管机关进一步明确。
此外,我们可以明确的一点是,无论是《保护规定》还是《网络安全法》,其目的并不在于完全禁止对个人数据的收集、使用。企业基于大数据的利用发掘产品服务,创新商业模式正是政府监管部门支持鼓励的行为。法律的目的在于保护用户个人隐私和合法权益,规制和禁止非法销售、收集或滥用个人信息数据的违法行为。因此,无论是可以识别自然人身份的信息,还是用户使用服务时间、地点的信息,应当经过用户合法授权并依法收集、使用和提供。
二 四种重要主体(网络运营者、CII运营者、网络产品服务提供者、任何个人和组织)
本次《网络安全法》中的网络运营者是指网络的所有者、管理者和网络服务提供者,这一界定范围十分广泛,几乎将涉及网络产品服务的主体都纳入其中,只要“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理”,都适用《网络安全法》。而不区分外资企业或内资企业,也不区分提供的产品服务是否收费。
关键信息基础设施运营者(CII运营者)、网络产品、服务提供者以及其他个人和组织是《网络安全法》规范的另外三个重要主体,虽然条款中并没有对该等主体做出明确定义。但从网络运营者的界定范围来看,这三类主体的范围与网络运营者之间均有交叉和重叠(各类主体之间的关系如下图)。特别是CII运营者应属于广义网络运营者的一部分,因此,除了承担网络运营者需要负担的义务外,因涉及国计民生、国家安全和公共利益,法律为其规定了更严格的安全保护义务和标准。除此之外,即使没有提供网络产品、服务的个人和组织,新法也对其使用网络服务、获取个人信息等行为设置了规范。
三 五类重要义务
新法用大量条文篇幅为网络运营者等主体规定了各类网络安全义务,也是第一次以法律的形式提出了很多具有前瞻性的概念,为各主体设置了强制性规范。本文将这些针对各类运营主体、其他个人和组织的规范总结为以下五种重要义务,不同主体可以自行“对号入座”。
但需要说明的是,因各主体之间存在上图所示的交叉和包含关系,在承担义务方面也会存在重叠,但为突出各主体承担的主要义务,本部分仍按照四种主体类型进行了区分。
(一)报告义务
(二)安全保护、管理义务
(三)安全评估审查义务
(四)保密义务
(五)信息规范收集、使用的义务
四 六个待明确的“新规”
本次《网络安全法》是一部基础性的安全保障法律,很多条文仅做出原则性规定,而并没有对问题的解决提供具体指导思路,可操作性不强。因此,在实际操作中如何落实操作各项原则性保护办法和制度就需要各主管部门另行制定实施细则、指引或相关产品目录等规范性文件。从《网络安全法》的表述来看,接下来将出台的“新规”主要有以下几个:
1.网络产品和服务安全审查办法
国家互联网信息办公室于2017年2月4日发布《网络产品和服务安全审查办法》征求意见稿,该征求意见稿明确了关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查。国家网信办聘请专家成立网络安全审查委员会,并认证第三方安全审查机构,进行第三方安全评价工作。但需要注意的是,该征求意见稿不仅仅是针对CII运营者采购网络产品服务而言,而是所有可能对公共利益产生影响的网络产品、服务都需要进行审查。
审查重点为网络产品、服务安全性、可控性。具体包括:
● 产品和服务被非法控制、干扰和中断运行的风险;
● 产品及关键部件研发、交付、技术支持过程中的风险;
● 产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;
● 产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;
【条文链接】:
第三十五条关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
2. 网络安全等级保护制度
新法中屡次提及的网络安全等级保护制度的具体内容目前仍没有明确。有观点认为,新法中的网络安全等级保护制度可能与我国已经通过相关法规确立的两项网络安全等级保护制度(即“计算机信息系统安全等级保护制度”和“通信网络安全分级保护制度”)在涉及网络及其安全的限度内有所交叉或重叠。但现在仍无法判断新法中的等级保护制度是在已有制度基础上进行吸收、整合,还是重新构建。
无论如何,网络安全等级保护制度对于网络运营者而言具有重要的指示规范作用,因为从新法规定来看,网络运营者的安全保护义务将基于网络安全等级保护制度来确定,这意味着不同等级的网络运营者所肩负的安全保护义务是不同的。
【条文链接】:
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行...安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
第三十一条国家对...关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
3. 网络关键设备和网络安全专用产品目录
今后对网络关键设备和网络安全专用产品将实行“清单管理”,由相关主管部门制定产品目录,凡是出现在目录中的设备、产品都需要进行安全认证和检测才能够销售或提供。需要注意的是,审议稿第二稿中,仅对“销售”网络关键设备和网络安全专用产品进行规制,但最终稿中将范围扩大到“销售或提供”。因此,即使免费提供目录中的设备、产品,也需要完成认证和检测。
【条文链接】:
第二十三条网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
4. 关键信息基础设施的具体范围和安全保护办法
目前《网络安全法》对CII的原则性定义较为宽泛,可操作性不强。因涉及国家安全和社会公共利益,各部门将根据行业特征分别制定并实施对关键信息基础设施的安全保护和安全规划。前文所述的《操作指南》中关于CII的认定方法也很可能成为各部门在实际操作中的借鉴和指引。
【条文链接】:
第三十一条关键信息基础设施的具体范围和安全保护办法由国务院制定。
第三十二条按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。
5. 个人信息跨境传输的安全评估办法
因涉及国家安全和公共利益,未来CII运营者中国境内运营中收集和产生的个人信息、重要数据跨境传输将受到限制。本次新法并没有明确重要数据的含义,在第三次审议稿中更是将“重要业务数据”(important business data)修改为“重要数据”(important data),限制传输的数据范围更大。由此,对企业产生的影响也就更大,甚至可能阻碍企业业务的开展和与境外的合作。但本次新法并没有完全禁止数据跨境传输,在因业务需要而确需向境外提供的情况下,经过安全评估后可以进行数据的跨境提供。虽然监管部门将进一步制定安全评估办法,但最终哪些信息是因业务需要提供而须经过评估的标准仍十分模糊,监管部门对此有较大的裁量权。
【条文链接】:
第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
6. 安全监测预警和应急处置制度
新法第五章明确了国家将建立安全监测预警机制和应急处置机制。未来企业的网络安全保护工作会面临更严格的监管,受到主管部门和社会的监督。主管部门将根据风险事件的特点或违反安全保护义务行为可能带来的损害对安全事件进行分级,并向社会预警通报,采取其他相应的应急措施。而一旦因发生安全事件被采取信息通报、分级等措施,将可能对企业声誉、社会评价、信用记录等方面带来不良的影响。
【条文链接】:
第五十一条国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。
第五十二条负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
第五十三条国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
五 对企业如何履行安全保护义务的建议
本次《网络安全法》的出台给互联网相关企业从各方面都带来不小的影响,企业今后将要在网络安全保护和管理等方面承担更多的义务和责任。我们为企业梳理并建议以下几件需要做的事情:
1. 完善安全管理制度。采取有效技术措施和网络安全防护设备保障网络安全、稳定运行,能有效应对网络安全事件,具体而言:
● 无线网络接入的加密和分级授权;
● 内部电子邮箱等通讯软件的安全管理;
● 技术部门外部采购行为的规范审查;
● 对系统及硬件供应商、服务商的资质审查、存档记录;
● 系统定期升级、维护;
● 加强信息数据管理,对重要数据做备份、存档、加密等处理。
2. 建立审核监控制度,具体而言:
● 审核监控制度须能够有效监控网络系统,及时发现漏洞和信息泄露等风险;
● 审核监控制度须具备“信息过滤”功能,保证网络服务提供者不会收集与其提供的服务无关的信息,尤其是涉及国家秘密、个人隐私等重要敏感信息;
● 审核监控制度需要解决如何能有效发现、鉴别用户上传、传输内容的问题,以便及时处置;
● 审核监控制度需要解决如何有效应对用户的删除/更正请求的问题;
3. 建立信息标记及回溯制度,使用信息数据地图以识别存储介质的位置以及追踪数据信息的流转路径,为企业进行网络安全评估、信息数据存储传输、敏感信息过滤等提供帮助。
4. 定期进行安全检查和评估,被认定为CII运营者的每年必须进行一次评估。
5. 建立报告制度。及时报告系统漏洞、信息泄露等风险事件。
6. 建立保密制度。依法签署保密协议,并采取设置安全系统,物理隔离区域等手段对个人信息、重要数据进行保密。
7. 建立安全责任制度。本次新法明确规定,在企业违反网络安全保护义务情形下,可对直接负责的主管人员或责任人员企业内部安全保护管理工作分工明确,制度健全。依法对安全负责人及关键岗位人员选任并实施安全审查,定期对从业人员培训、教育和考核。
8. 加强对外包服务的风控。涉及网络信息安全的服务外包时,在协议中明确约定外包服务商的行为规范和风险事件发生时的责任承担。
9. 完善投诉举报制度。公示畅通的投诉举报渠道,并及时处理相关投诉举报。
六 企业在网络安全领域需要什么样的专业法律合规服务
1.尽职调查
以新法和国家安全审查相关指引为基础,并结合本文第五部分建议的措施对企业的网络安全义务履行是否符合法律要求,各项制度建立是否健全进行核查,并从合法性、安全性、保密性等方面对企业安全制度建设是否合规进行尽职调查。
2. 人员访谈
与安全责任人、关键岗位从业人员以及可能对安全审查结果产生影响的人员进行访谈,了解相关岗位的设置,并对人员选任审查、职责分工、授权权限、培训考核情况等方面进行审查。在很多情况下,人员访谈也属于尽职调查的重要组成部分,贯穿尽职调查的过程中完成。
3. 提供制度建设建议,帮助企业完善安全保护管理制度
在上述尽职调查的基础上,与企业聘请的安全评估机构、技术专家等第三方机构以及企业技术部门充分沟通,帮助企业建立和完善安全审核制度、报告制度、保密制度等网络安全保护管理制度和流程,作为企业的日常管理制度的一部分。
4. 起草、审核协议和相关法律文件
帮助企业起草、审核:
● 与网络产品、服务提供者之间的合作协议、保密协议;
● 与外包服务商之间的合作协议、保密协议;
● 网络产品服务相关的用户协议,平台协议,特别是其中的隐私保护及通知政策、个人信息授权许可条款,保密条款等。
5. 及时更新网络安全相关法规和指引
本文中已经阐述了在新法出台后可能出台的六个新规,而面对网络安全监管这一新概念,各个主管部门也在摸索中前进,今后关于网络安全保护的具体实施办法必将有更多的规范性文件和指引。企业须及时解读新规内容,对企业的网络安全保护管理制度进行更新,使其符合主管部门的要求。