一、出台背景
随着网络技术的逐步发展和普及,以及人们对互联网从接受到依赖的过程,网络安全问题也日益成为一个不容忽视的现实。根据第38次《中国互联网络发展状况统计报告》统计,截至2016年6月,中国的网民规模达7.10亿,手机网民规模也已达到6.56亿,互联网普及率为51.7%。网络活动的蓬勃发展也使得我国的网络安全防护水平进一步提升,然而,层出不穷的网络安全问题仍然难以避免。国家互联网应急中心(CNCERT)发布的第69期《互联网安全威胁报告》显示,截至2016年9月,我国境内感染网络病毒的终端数为近197万个,被篡改网站数量为5,241个,国家信息安全漏洞共享平台(CNVD)共收集整理信息系统安全漏洞1,129个。应用软件供应链安全问题凸显、网络安全高危漏洞频现、网络设备安全漏洞风险依旧,我国面临的网络安全形势不容乐观。
互联网的联通性和虚拟性使其与物理空间相比迥然不同,如何对其实施有效监管也对各国政府及相关部门提出了新的挑战。在借鉴和考量国外经验的基础上,2016年11月7日,全国人民代表大会常务委员会正式通过并公布了《中华人民共和国网络安全法》,并将于2017年6月1日起正式实施。
二、主要内容及亮点
作为我国第一部针对网络信息安全领域的总体纲领性法律文件,《网络安全法》确立了诸多网络领域的基本原则与相关概念,其基础地位与重要性不言而喻,而其对企业运行管理及个人日常生活的影响也必将是深远的。
(一)对网络运营者的责任提出了更高的要求
《网络安全法》第三章共19条详细规定了网络运营者在维护网络运行安全方面的责任和义务,明确要求网络运营者应根据网络安全等级保护制度履行安全保护义务,维护网络数据的完整性和保密性。同时,网络运营者使用的网络产品和服务应符合国家相关标准的强制要求,网络产品和服务的提供者还应当为其产品和服务持续提供安全维护。针对网络安全事件,网络运营者应制定应急预案,并在发生危害网络安全的事件时,立即启动应急预案并采取相应补救措施。在公安机关、国家机关依法维护国家安全和侦察犯罪活动时,网络运营者还应该提供技术支持和协助。
1. “网络运营者”的内涵
《网络安全法》将“网络运营者”的概念定义为“网络的所有者、管理者和网络服务提供者”。由于并未对网络的范围或服务的内容加以限制,使得“网络运营者”的概念实际上非常广泛,任何建设、运营网络或者通过网络提供服务的主体(法人或自然人)都将成为《网络安全法》的适用对象。具体而言,不仅互联网企业,因发展业务需要而延伸至互联网的传统线下企业甚至架设运营网站的自然人都将被包含其中。而对于不同的网络运营者,《网络安全法》却并未区别规定其在维护网络运行安全方面的义务,这无疑在实际上加重了作为网络运营者的自然人的责任。
2. 关键信息基础设施的重点保护
值得注意的是,在对网络运营者普遍适用的要求之上,《网络安全法》单独规定了对于“关键信息基础设施”的重点保护,第三十一条规定:
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
然而,对于“关键信息基础设施”的概念,《网络安全法》并未给出清晰明确的定义,而是以“列举+危害后果”的方式进行综合解释。事实上,对于“关键信息基础设施”概念的界定和范围,在最初的草案及后续的两次审议稿中均存有着较大的变化。草案试图从行业、服务领域、用户数量等方面进行定义;二审稿中则删除了行业和服务领域属性,转而强调其在安全方面的特殊重要性;到了三审稿,又重新添加了行业和领域属性,并与安全性一并进行考量。因此,结合立法者的意图,笔者认为,在判断企业是否属于“关键信息基础设施”的适用对象时,首先需要审查企业所从事业务的行业和领域,如果其从事的业务涵盖公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等行业和领域,则当然成为关键信息基础设施的运营者,从而应适用更高要求的网络安全保护义务;但如果企业的业务不属于上述行业和领域,则需要进一步判断其业务所涉及网络功能和通信数据的安全属性,如果在遭到破坏或泄露时存在严重危害国家安全和公共利益的可能,则也应属于“关键信息基础设施”的适用对象。
(二)首次系统规定了对于个人信息的保护制度
在《网络安全法》出台之前,对于个人信息的保护性规定散见于《电信和互联网用户个人信息保护规定》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络交易管理办法》《规范互联网信息服务市场秩序若干规定》等多项法律法规和规范性文件中,而《网络安全法》首次系统性规定了个人信息保护的基本原则,并明确了相应的法律责任,网络身份信息的收集、使用和保护开始有法可依。
1. “个人信息”的概念
《网络安全法》第七十六条规定:
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
从该定义可以看出,对于个人信息的保护侧重于身份信息的“可识别性”,即能够将具有该等信息的自然人从人群之中识别并分离出来,而且这种可识别性并不限于“姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码”等信息。同时笔者认为,出于对个人信息严格保护的理念,对于“识别”的理解不应该仅局限于定位并指向某一特定自然人,在依靠该等信息能够定位并缩小范围至包含该特定自然人在内的足够少的部分人时,即应被认定为“可识别”的身份信息。
具体而言,笔者认为,以下信息都应属于个人信息的保护范畴:
• 单独可识别信息(如指纹、DNA、虹膜、身份证件号码、电话号码等)
• 与其他信息结合后可识别的非单独信息(如姓名、籍贯、出生日期、住址等)
2. 个人信息的收集、使用、删除和更正
《网络安全法》确立了网络运营者收集、使用个人信息时,应遵循合法、正当、必要的原则。
在收集信息时,应:
•公开收集、使用规则
•明示收集、使用信息的目的、方式和范围
•征得被收集者同意
在使用过程中:
•不得泄露、篡改、毁损个人信息
•未经被收集者同意不得向他人提供个人信息
•应采取措施确保个人信息安全,防止信息泄露、毁损、丢失
值得注意的是,《网络安全法》对于网络运营者向他人提供个人信息的情况做了除外规定,如果个人信息经过处理无法识别特定个人且不能复原的,则不需要经过被收集者同意。该条的规定实际上为我国大数据产业的发展提供了合规性依据。大数据平台通过整合各种数据,分析与挖掘数据的内在价值,从而为业务部门提供数据平台、数据产品与数据服务。大数据平台接入的数据中包含了大量用户的个人信息和隐私,如果要求大数据平台在进行数据整合和交换的过程中征得所有用户同意,无疑是不可能的,也不利于大数据产业和技术的发展,但用户的个人信息泄露风险又确实存在。在这种情况下,《网络安全法》对经过特殊处理、无法识别且不能复原的数据授予一定程度的“豁免权”,一方面对大数据平台的数据加密、脱敏等技术提出了更高的要求,有助于规范整个行业的发展;另一方面也充分考虑到了经过特殊处理后的数据实际上很难与具体用户产生关联性并从中识别出特定的个人,用户个人信息和隐私的保障能够得到有效保护。
同时,《网络安全法》还首次规定了个人的信息删除权和更正权。在发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用个人信息时,用户有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的个人信息有错误的,用户有权要求对其进行更正。
三、部分条文尚待明确
本次《网络安全法》的发布将对我国网络安全体系的建设和运营产生重大影响,由于其对适用对象并未作具体区分,也就意味着只要是在我国境内通过网络提供服务,无论内资还是外资企业,均需要遵守《网络安全法》的相关规定,因此,其对外资企业在华业务开展的影响也受到众多跨国企业和海外媒体的持续关注。
1. 个人信息和重要数据的境内存储
《网络安全法》第三十七条对关键信息基础设施的运营者在网络运营过程中产生的数据存储地点提出了新的要求:
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
从目前世界各国的立法实践来看,数据本地化是网络安全制度设计中的一个趋势。俄罗斯曾于2014年7月通过法案,规定互联网服务商必须将收集的俄罗斯公民个人信息存储在俄罗斯境内服务器,并告知存储这些个人信息服务器的具体地理位置;欧盟也于今年4月投票通过了《一般数据保护条例》,对个人数据跨境流动进行了严格限制,不得随意转到第三国。
但如果法律规定过于宽泛,又势必会给外资企业的业务开展造成负担。从该条规定来看,适用的对象限于我国境内的关键信息基础设施的运营者,然而正如上文所述,对于“关键信息基础设施”的具体范围,需要结合网络功能和通信数据的安全属性综合考虑,同时也尚待国务院通过细则加以厘定,这就使得外资企业目前尚无法确定自身是否属于该条所规范的对象。同时,对于“重要数据”的界定也并不清晰。在三审稿中,限制向境外传输的数据被限定为“重要业务数据”,而在正式稿中则去掉了“业务”的限制,实际扩大了限制境外传输的信息范围,给未来留下了更多的解释空间,也意味着只要符合主体要求,企业的任何数据都可能面临境内存储的限制。
那么,对于在境外运营的网络服务提供商,由于网络的联通性而从境内收集和产生的数据,是否就可以不受制于上述规定呢?事实上,《网络安全法》第五十条赋予了国家网信部门和有关部门对于网络信息安全的监督管理职责,在发现来源于境外的法律、行政法规禁止发布或者传输的信息时,可以采取技术措施和其他必要措施阻断传播。
2. 网络安全等级保护制度
《网络安全法》新提出了“网络安全等级保护制度”的概念,网络运营者应当按照该制度履行包括但不限于采取相应安全保障技术措施、监测网络运行状态、留存相关网络日志不少于六个月、数据分类、重要数据备份和加密等义务,同时,对于关键信息基础设施实行重点保护。
然而,《网络安全法》并未对网络安全等级保护制度作进一步的解释,也未说明该如何划分不同的网络安全等级,不同等级的网络运营者在所负的网络安全保障义务上是否有所区别也尚不明确。
3. 网络运营者的安全管理和协助义务
根据《网络安全法》第二十八条和第四十九条的规定,网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助,并应该对网信部门和有关部门依法实施的监督检查予以配合。
值得注意的是,在最初的草案中,网络运营者的技术支持和协助仅限于“必要”的范围内,而在后续的两次审议稿和最终的正式稿中则去掉了该等表述。该变化也引起了外国企业及媒体的高度关注,主要的忧虑在于担心中国的安全机关以维护国家安全和侦查犯罪活动为由,强制要求外国企业提供有损于其用户数据和隐私安全的信息,导致企业面临法律和道德上的双重风险。
另外,《网络安全法》第四十八条还规定:
任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
电子信息发送服务提供者和应用软件下载服务提供者,应该履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等措施,保存有关记录,并向有关主管部门报告。
根据该条规定,电子信息发送服务提供者负有对用户发送的电子信息的安全管理义务,在知道用户发送的信息属于禁止性信息时,应采取停止传输、消除信息和报告主管部门等措施。由于电子信息发送服务属于私密性较强的通信方式,对于采取“点对点”(peer-to-peer)传输方式的电子信息来说,由于不存在中转服务器,服务提供者很难从技术上做到对用户发送的信息的实时管理;而对于通过云端或中转服务器传输的电子信息,该条规定则无异于要求服务提供者对涉及用户隐私的信息内容进行实时监控。不管是何种情况,该规定都不恰当地加重了服务提供者的负担和责任,并可能将其置于遵守法律法规和保护用户个人数据隐私之间的两难境地。
四、结语
在全球信息化的浪潮下,如何对虚拟网络空间进行管理,正确引导与网络安全相关的企业行为和个人活动,是对监管部门智慧的重大考验。《网络安全法》在设立了一系列框架和基本原则的同时,也留下了诸多亟待解决的实际操作问题。我们也将持续关注其后续动态和发展。