2017年6月1日《中华人民共和国网络安全法》(“《网安法》”)正式实施,作为我国关于网络安全管理的基础性法律,可以预见《网安法》的正式实施将带动针对网络安全的合规审查。同步生效的还有国家互联网信息办公室(“国家网信办”)以及其他相关部门制定并出台的一系列规范性文件,包括《网络产品和服务安全审查办法(试行)》、《互联网信息内容管理行政执法程序规定》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等。
对于当下通过网络连接的各类主体而言,不论是为了配合相关监管合规要求,还是为了避免因过错导致的自身民事法律责任,均有必要关注《网安法》及相关配套规范性文件的合规要求。我们现结合《网安法》等相关规范性文件,将关于网络安全的主要合规要求概述梳理如下,供大家参考:
一、关于网络安全的主要规定
1.《网安法》第一章即规定了其适用范围和基本规范要求,具体如下:
要素 | 内容 |
规范行为 | 在中国境内的网络建设、运营、维护和使用 |
对中国境内网络安全的监督管理 | |
适用主体 | 网络的建设、维护和运营者(网络运营者包括网络的所有者、管理者和网络服务提供者) |
网络的使用者 | |
网络安全的监管主体 | |
重点保护对象 | 关键信息基础设施(与社会公共利益相关) |
个人信息(与公民和组织利益相关) | |
监管主体 | 中央层面:国家网信办负责统筹协调网络安全工作和相关监督管理工作,工信部和公安部及其他有关部门在各自职责范围内负责网络安全保护和监督管理工作,负责接受公民举报,并在网络安全事件发生的风险增大时采取相应措施。 |
地方层面:县级以上地方政府有关部门按有关规定承担相应的网络安全保护和监督管理职责,负责经常性的网络安全宣传教育。 | |
负责关键信息基础设施安全保护工作的部门:编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作,包括建立健全网络安全监测预警和信息通报制度,按照规定报送网络安全监测预警信息;制定网络安全事件应急预案,定期组织演练。 | |
规范要求 | 基本要求:保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。 |
对于关键信息基础设施的要求:应当确保其具有(1)支持业务稳定、(2)持续运行的性能,并(3)保证安全技术措施同步规划、同步建设、同步使用。 |
值得注意的是,对于“关键信息基础设施”这一重点保护对象,《网安法》结合重点行业和实际影响对其进行了较为宽泛的定义[1],并要求对“关键信息基础设施”在网络安全等级保护制度的基础上实行重点保护,并且特别设定了一定的域外管辖[2]。但是,关于“关键信息基础设施”的具体范畴,仍有待后续实践中进一步明确。
根据《网安法》,将由国务院另行制定关键信息基础设施的具体范围和安全保护办法。2016年6月,中央网络安全和信息化领导小组办公室制定了《国家网络安全检查操作指南》,并于2016年7月在全国范围内启动了关键信息基础设施网络安全检查工作。根据《国家网络安全检查操作指南》中的定义,关键信息基础设施包括“网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等”。在关于关键基础信息设施的细则出台之前,前述定义可为我们理解《网安法》下的关键信息基础设施提供一定借鉴。
2.主要合规要求
《网安法》围绕网络安全,对网络运营安全、网络信息安全、网络安全预警和应急处置系统等各方面问题均进行了规定。
对所有个人和组织而言,均应遵守关于维护网络安全的基本要求,具体包括:(1)任何个人和组织应当对其使用网络的行为负责,不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;(2)不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;(3)明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助;(4)不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。另,任何个人和组织均有权向网信、电信、公安等部门举报危害网络安全的行为。
除上述基本要求外,对于网络运营者或网络产品的提供者,尚需遵守如下要求:
适用主体 | 规范要求 | 具体内容 | 备注 |
网络运营者、网络产品提供者 | 基于网络安全等级保护制度相应的安全保护义务,以保障网络免受干扰、破坏或者未经授权的访问。 | 按照其网络安全等级,(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月;(4)采取数据分类、重要数据备份和加密等措施;(5)依法进行网络安全认证、监测、风险评估活动,向社会发布网络安全信息;以及(6)法律、行政法规规定的其他义务。 | 关于网络安全等级,国务院发布的《中华人民共和国计算机信息系统安全保护条例(2011修订)》第九条、工信部发布的《通信网络安全防护管理办法》(2010年3月1日实施)以及公安部、国家保密局、国家密码管理局和国务院信息工作办公室于2007年6月22日联合发布的《信息安全等级保护管理办法》已有关于信息系统安全等级的划分及相关规定,《网安法》中网络安全等级保护制度是否沿用此前相关等级制度,有待实践进一步确定。 |
网络产品、服务的提供应符合国家标准强制性规定。 | (1)不得设置恶意程序;(2)发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;(3)应持续提供安全维护,在规定或者当事人约定的期限内,不得终止提供安全维护;且(4)网络关键设备和网络安全专用产品还应由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。 | (1)关于网络关键设备和网络安全专用产品的目录将由国家网信部门会同国务院有关部门制定、公布; (2)关于相关国家标准,根据《关于加强国家网络安全标准化工作的若干意见》,全国信息安全标准化技术委员会在国家标准委的领导下,在国家网信办的统筹协调和有关网络安全主管部门的支持下,对网络安全国家标准进行统一技术归口,统一组织申报、送审和报批。 | |
应要求用户提供真实身份信息。 | 为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息;用户不提供真实身份信息的,网络运营者不得为其提供相关服务。 | 根据《关于加强网络信息保护的决定》、《互联网安全保护技术措施规定》、《网络交易管理办法》等规定,企业为用户提供入网、信息发布等服务时,应当要求用户提供真实身份信息并核验。 | |
应建立安全事件应急管理制度。 | 应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。 | ||
应履行配合执法义务。 | 应当为侦查机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。 | ||
关键信息基础设施的运营商 | 应依法履行安全保护义务。 | 除网络运营者的安全保护义务外,还需(1)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;(2)定期对从业人员进行网络安全教育、技术培训和技能考核;(3)对重要系统和数据库进行容灾备份;(4)制定网络安全事件应急预案,并定期进行演练;(5)法律、行政法规规定的其他义务。 | |
应对其产品及服务采购履行国家安全审查义务。 | 采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。 | 根据《网络产品和服务安全审查办法(试行)》,是否影响国家安全由关键信息基础设施保护工作部门确定;其审查要求为安全可控。 | |
应就其采购的产品及服务签订保密协议。 | 应当按照规定与产品及服务的提供者签订安全保密协议,明确安全和保密义务与责任。 | ||
境内个人信息和重要数据应境内存储;经安全评估后方可境外储存。 | 在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储;确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。 | 在具体行业领域,《地图管理条例》、《人口健康信息管理办法(试行)》、《非银行支付机构网络支付业务管理办法》等,均明确规定企业的服务器和存储设备必须在中华人民共和国境内设置;此外,《网络借贷信息中介机构业务活动管理暂行办》、《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》等均明确禁止向境外转移涉及用户个人敏感信息的网络数据。 | |
应依法履行安全测评及报告义务。 | 应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。 |
此处需补充说明,《网络产品和服务安全审查办法(试行)》(“《审查办法》”)和国家网信办日前发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(下称“《评估办法》”)均试图扩大《网安法》中对关键基础信息设施重点保护制度适用范围,如《审查办法》对需进行安全审查的对象定义并非仅限于关键基础信息设施,《审查办法》第二条规定“关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查”;而《评估办法》亦将数据跨境传输的规制对象扩大到所有的“网络运营者”,且“其他个人和组织”相关的数据跨境传输安全评估工作也参照《评估办法》。因此,网络运营者亦不可忽视对关键基础信息设施适用的相关制度要求。
二、关于网络信息安全的主要规定
《网安法》区分用户信息、个人信息,提出不同的保护要求。关于个人信息的界定,《网安法》与《电信和互联网用户个人信息保护规定》等有关规定[3]一致,个人信息必须具备身份的识别性,如果信息和个人身份相分离,则不再构成个人信息;但是,如果相关信息与其它信息结合可具备识别个人身份的功能,仍然构成个人信息,建议谨慎判断个人信息的范围。《网安法》第四十二条明确了对个人信息利用限制条款的适用例外,即“个人信息经过处理无法识别特定个人且不能复原的除外”。
《网安法》首先强调任何个人和组织不得在其发送的信息中设置恶意程序或含有法律、行政法规禁止发布或者传输的信息;同时,亦要求任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。为此,一方面,《网安法》要求网络运营者落实其安全管理义务,即要求网络运营者应加强对其用户发布的信息的管理,如发现有违反相关规定的内容应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告;另一方面,《网安法》也要求网络运营者对其收集的用户信息严格保密,建立健全用户信息保护制度,并应采取相应的技术措施和其他必要措施。
关于网络经营者对个人信息和用户信息的保护义务主要如下:
信息类型 | 收集和使用 | 保存 |
个人信息 | 应当(1)遵循合法、正当、必要的原则,不得收集与其提供的服务无关的个人信息;(2)公开收集、使用规则,明示收集、使用信息的目的、方式和范围;(3)需经被收集者同意,依法依约收集、使用;(4)应根据信息所有者的要求删除、更正违规或错误收集、存储相关信息;(5)不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息(经过处理无法识别特定个人且不能复原的除外)。 | (1)应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失,如发生相关情况应及时补救报告;且 (2)应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
|
用户信息 | (1)网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意; (2)应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报; (3)应配合网信部门和有关部门依法实施的监督检查。 |
综上可见,根据相关合规要求,建立有效的网络安全保护内控体系,落实符合标准的安全保护技术措施应是企业网络安全合规审查的首要关注点,前述内控体系应包括但不限于关于信息安全保障机制网络数据过滤与审核制度、符合法律规定、国家标准的互联网安全保护技术措施操作规程、关于网络产品及服务的安全性和可控性的核查制度、关于信息出境的必要性及安全性评估的制度、对用户个人信息的权限管理以及安全事件应急管理制度。
注
[1] 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
[2] 若境外的主体实施入侵或攻击境内关键信息基础设施的活动,造成严重后果的,依法追究法律责任,且中国执法机关可实施财产冻结等制裁措施。
[3] 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中明确,刑法第二百五十三条项下的“公民个人信息”系指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
[4] 根据《互联网信息服务管理办法》、《互联网电子邮件服务管理办法》等规定用户网络数据应当至少留存60天,《网络游戏管理暂行办法》则要求不得少于180天,《网络交易管理办法》要求不得少于两年;也有针对部分行业规定储存期限上限的,如《征信业管理条例》明确规定征信机构对个人不良信息的保存期限为5年,超过5年的应当予以删除;《快递条例(征求意见稿)》明确规定,企业应当定期销毁快件运单,确保用户信息安全。
