【政策法规】从企业经营角度解读《网络安全法》

时间：2020-07-20

　　前言 　　中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过《中华人民共和国网络安全法》（以下简称《网络安全法》）, 该法将于2017年6月1日起施行。 　　全国人民代表大会法律委员会2015年6月24日首次提出的《网络安全法》草案一共六十八条，2016年6月和11月两次修改后，最终通过的法案一共七章七十九条。 　　正如全国人大常委会法制工作委员会副主任郎胜在草案说明中指出的，制定《网络安全法》的必要性有三：“一是，网络入侵、网络攻击等非法活动，严重威胁着电信、能源、交通、金融以及国防军事、行政管理等重要领域的信息基础设施的安全，云计算、大数据、物联网等新技术、新应用面临着更为复杂的网络安全环境。二是，非法获取、泄露甚至倒卖公民个人信息，侮辱诽谤他人、侵犯知识产权等违法活动在网络上时有发生，严重损害公民、法人和其他组织的合法权益。三是，宣扬恐怖主义、极端主义，煽动颠覆国家政权、推翻社会主义制度，以及淫秽色情等违法信息，借助网络传播、扩散，严重危害国家安全和社会公共利益。” 　　围绕着上述三个问题，《网络安全法》通过以下七个方面做了具体规定：维护网络主权和战略规划、保障网络产品和服务安全、保障网络运行安全、保障网络数据安全、保障网络信息安全、监测预警与应急处置、网络安全监督管理体制。 　　从责任主体的角度来看，《网络安全法》涉及的责任主体涵括了全社会：国务院、国家网信部门、国务院电信主管部门、公安部门、地方人民政府、网络运营者、网络相关行业组织、研究机构、高等学校、使用网络的个人和组织等等。 　　本文仅仅从以下两类企业的运营角度来解读《网络安全法》的规制：一是，提供了网络服务或者网络产品的企业；二是，在运营中涉及个人信息的企业。这两类企业常常互有交叉。 　　《网络安全法》针对以下两类企业有特殊规定，本文暂未涉及：一是为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务的企业；二是涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施的运营者。 　　一、企业负有协助保障国家安全、用户信息安全的义务，同时要保障自身网络运行安全。 　　《网络安全法》第一条（下文如没有明确注明法规名称，则引用的均是《网络安全法》）开宗明义就阐明：“为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。”可见，《网络安全法》首要维护的是国家安全和社会公共利益，保障用户信息安全就事关社会公共利益，而企业保障自身网络运行安全本身一定意义上也是为了国家安全和社会公共利益。 　　2017年5月13日，广州市信息安全等级保护工作协调小组办公室刊发了一份特急通知《关于立即开展Windows系统勒索软件防范及相关漏洞排查修复工作的紧急通知》（穗等保办〔2017〕5号），要求各单位立即进行Windows系统漏洞排查修复处置以及防范勒索软件的工作。该通知提及的勒索软件，系利用电脑系统的漏洞远程对受害电脑中的文件进行加密，勒索财物后方解锁。 　　2017年5月13日下午，360安全卫士的官方网站首页发出红色警报：“比特币病毒全球肆虐，波及范围已超过100个国家。西班牙电信全体员工电脑瘫痪，英国病人已预约心脏手术被迫取消，中国大批高校也出现感染情况，众多师生的电脑文件被病毒加密，只有支付赎金才能恢复……” 　　据瑞星2016年中国信息安全报告，“在报告期内，瑞星‘云安全’系统共截获勒索软件样本26.5万个，感染共计1,311万次”，在趋势展望中提及“敲诈软件依然会是低成本高收益网络犯罪主流” 并警示“敲诈软件似乎已经盯上了企业，同个人数据相比，企业数据显得更加重要，勒索成功率会大幅上升”。 　　可见，企业运营中的网络安全举足轻重。 　　《网络安全法》第二十一条、第二十五条规定企业应制定内部安全管理制度和操作规程、网络安全事件应急预案，采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施、采取监测、记录网络运行状态、网络安全事件的技术措施、采取数据分类、重要数据备份和加密等措施，发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。 　　第二十二条则强调“网络产品、服务应当符合相关国家标准的强制性要求”。 　　关于标准有国际标准、国家标准、行业标准、地方标准和企业标准。其中，国家标准包括强制性国家标准和推荐性国家标准。《网络安全法》则强调网络产品、服务要符合国家标准的强制性要求。 　　将与《网络安全法》同一天实施的《网络产品和服务安全审查办法(试行)》则规定，“关系国家安全的网络和信息系统采购的重要网络产品和服务，应当经过网络安全审查”；网络安全审查办公室“按照国家有关要求、根据全国性行业协会建议和用户反映等”，可以“按程序确定审查对象，组织第三方机构、专家委员会对网络产品和服务进行网络安全审查，并发布或在一定范围内通报审查结果”。 　　可以预见，提供网络产品和服务的企业将面临自我审查、社会监督和国家审查，运营成本上升，同时，产品和服务的质量也有一定的改善。 　　二、企业收集、使用、管理个人信息方面应建立健全三个制度、遵循三个原则以及维护用户信息的义务。 　　2016年8月，大学新生徐玉玉被电话诈骗9900元学费后猝死的新闻引爆了全国人民对电话诈骗和个人信息被泄露等社会问题的关注。 　　2017年04月17日，新华网报道，浙江松阳警方侦破一起特大侵犯公民个人信息案件，查获非法获取的各类公民个人信息7亿余条，共370余G的电子数据，抓获犯罪嫌疑人20名。犯罪嫌疑人中有两名黑客，其中一名于2016年2月入侵某部委的医疗服务信息系统，将该系统数据库内的部分公民个人信息导出进行贩卖；另一名黑客则于2016年9月侵入某省扶贫网站，下载系统内大量公民个人信息数据贩卖。 【1】 　　瑞星2016年中国信息安全报告中提及2016年全球数据泄露前十件大事中，泄露数据最多的当属雅虎十亿邮箱信息泄露。据雅虎官方的披露，2013年该司亦曾泄露五亿条信息，且与2016年的数据泄露数据不同。可以推断，雅虎公司先后两次的事故共导致十五亿的数据泄露。 　　这些被泄露的数据流入犯罪集团后，给社会造成无数个类似徐玉玉遭遇的被害人。 　　《网络安全法》对此非常重视，设专章规定网络信息安全。 　　该法规定了网络运营者应建立健全用户信息保护制度、网络信息安全投诉、举报制度。《网络安全法》第四十条规定：“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。”第四十九条第一款规定：“网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。” 　　《网络安全法》规定了网络运营者收集、使用个人信息，应当遵循合法、正当、必要、公开、同意五个原则。 　　第四十一条规定“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。 　　“网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。” 　　《网络安全法》规定了网络运营者维护用户信息的消极义务和积极义务。 　　消极义务包括：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。 　　积极义务则包括：采取技术措施和其他必要措施，确保其收集的个人信息安全；在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告；采取措施予以删除收集、使用其个人信息；采取措施予以更正收集、存储的错误个人信息。 　　三、《网络安全法》、《刑法》、《治安处罚法》以及司法解释对违反网络安全法的行为布下法网。 　　《网络安全法》第六章“法律责任”涉及的罪名有十几个：拒不履行信息网络安全管理义务罪，网络服务渎职罪，破坏计算机信息系统罪，非法侵入计算机信息系统罪，提供侵入、非法控制计算机信息系统程序、工具罪，帮助信息网络犯罪活动罪，侵犯公民个人信息罪，非法经营罪，非法利用信息网络罪，网络服务渎职罪，危害国家安全罪，传播淫秽物品罪，故意传播虚假恐怖信息罪…… 　　该法设置了责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照、罚款、拘留等多种行政处罚手段，结合《治安处罚法》相关规定，则行政处罚范围涵括了目前受到公众关注的国家安全、个人信息安全的内容。 　　特别值得注意的是，第七十一条关于违法行为记入信用档案的规定，该规定也适用于虽然未达到行政处罚、刑事处罚承担的违法行为，范围很广，对违法的个人和企业负面影响不小。 　　《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》于2017年5月8日颁布，并将与《网络安全法》一并在2017年6月1日实施，该司法解释主要针对“侵犯公民个人信息罪”进行了详细规定，例如，何谓“公民个人信息”、“提供公民个人信息”、 “情节严重”等等，并将“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组，情节严重的”定为非法利用信息网络罪定罪处罚；“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的” 定为拒不履行信息网络安全管理义务罪处罚。 　　结语 　　《网络安全法》针对企业行为有非常严密的框架性规定，并针对违法行为规定了严厉的处罚手段，未来陆续还有配套的细则出台，涉及网络产品、网络服务和用户信息的企业不可掉以轻心。 （作者：北京市盈科（广州）律师事务所 邱恒榆律师/合伙人） 　　想详细了解2017年6月1日正式施行的《网络安全法》全文，请阅读当天的下一篇推送“【政策法规】中华人民共和国网络安全法”