一、背景
2020年2月25日,一家为零售、餐饮等企业搭建微信小程序,开发微信公众号等服务的业内知名某公司(本文中称“A公司”)[1]发布公告称,经调查,公司 SaaS 业务生产环境和数据遭到本集团研发中心运维部一位核心运维员工人为破坏,导致本公司当前暂时无法向客户提供 SaaS产品。公司已于 2020年 2月 24 日向公安局报案,该员工已经被刑事拘留。(本文中称“A公司删库事件”)。[2]据相关报道,事件造成A公司平台搭载的小程序全部宕机,近300万商家数据丢失。[3]飞来的删库横祸,给2019年刚上市的A公司带来了巨大损失。3月5日,A公司收盘价为4.91港元,相较2月24日开盘价6.18港元,股价大跌20%,市值缩水约28亿港元。内忧外患,目前暂不清楚A公司损失了多少客户,但流失是不可避免的。[4]对于本次事件的赔偿,A公司表示,公司管理层准备了1.5亿元人民币赔付拨备金,其中公司承担1亿元,管理层承担5000万元。[5]
实际上近年来国内外由于人为故意或过失造成数据删除的事件并不少见,随着数据应用程度和重要性的不断提升,其发生的频率及影响也在不断增加。A公司删库事件是近年来该类案件中影响最大,造成损失最为严重的事件之一。
本文希望通过A公司删库事件,对网络安全等级保护相关制度及其意义等进行介绍和探讨,为企业合规实施网络运行安全和数据安全保护,提供解决方案的参考。
二、 什么是网络安全等级保护?
1、 网络安全等级保护制度的概念
网络安全等级保护制度作为我国现行网络安全领域的一项重要制度,是指根据保护对象、受损害客体与侵害程度将网络系统分为五级,并针对第一级到第五级的网络系统等级对象按照标准进行建设、管理和监督的制度体系。涉及网络安全等级划分的概念可参照下图。
等级 | 保护对象 | 受损害客体 | 侵害程度 |
第一级 | 一般网络 | 公民、法人和其他组织的合法权益 | 一般损害 |
第二级 | 公民、法人和其他组织的合法权益 | 严重损害 | |
社会秩序和公共利益 | 一般损害 | ||
第三级 | 重要网络 | 公民、法人和其他组织的合法权益 | 特别严重损害 |
社会秩序和公共利益 | 严重损害 | ||
国家安全 | 一般损害 | ||
第四级 | 特别重要网络 | 社会秩序和公共利益 | 特别严重损害 |
国家安全 | 严重损害 | ||
第五级 | 极其重要网络 | 国家安全 | 特别严重损害 |
2、 网络安全等级保护制度溯源
时间 | 制度沿革 |
1994年 | 《计算机信息系统安全保护条例》发布并实施,其中首次提出网络等级保护的概念和要求。 |
1999年 | 强制性国家标准《计算机信息系统安全保护等级划分准则》(GB17859)发布。 |
2003年
| 国家信息化领导小组发布《关于加强信息安全保障工作的意见》(中办发[2003]27号)提出实行信息安全等级保护。 |
2007年 | 《信息安全等级保护管理办法》公通字(2007)43号发布实施,目前仍然有效。 |
2008-2012年 | 《信息系统安全等级保护指南》、《基本要求》、《设计技术要求》、《测评要求》等国家标准陆续发布并实施,即所谓等保1.0标准。 |
2017年 | 《网络安全法》正式实施。作为基础性法律在第二十一条明确提出国家实行网络安全等级保护制度。 |
2018年 | 发布《网络安全等级保护条例》(征求意见稿)。所谓等保2.0开始启动。 |
2019年 | 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019 )、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019 )、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019 )正式实施,标志着等保2.0的时代正式到来。 |
3、 网络安全等级保护的主要义务内容
我国的网络安全等级保护的义务总体可分为形式性义务和实体性义务。
形式性义务即按照法律法规的有关规定,网络运营者实施网络安全等级保护的具体步骤和工作流程,具体包括系统定级、备案、安全建设和整改、等级测评和监督检查等主要规定动作,以及按照等保2.0标准新增的包括安全检测、通报预警、案事件调查、数据防护、灾难备份、应急处理、风险评估等工作内容。形式性义务是实施网络等级保护的外在形式,也是监管部门判断和检查企业是否实施了网络安全等级保护的主要标准。
实体性义务是实施网络安全等级保护的具体要求,依照《网络安全法》第21条的规定,包括制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施;法律、行政法规规定的其他义务。2018年6月发布的《网络安全等级保护条例》(征求意见稿)进一步针对不同网络安全等级的情况,区分了一般安全保护义务和特殊安全保护义务。虽然该条例到目前仍未公布正式版,但其内容体现了监管部门的立法意图,其中很多内容也被正式发布并实施的相关国家标准所采纳,对于企业开展网络安全等级保护的合规工作有重大参考意义。涉及义务的大体内容可以参见下表。
网络安全等级 | 一般安全保护义务 | 特殊安全保护义务 |
第一、二级 | ¨责任人员的确定 ¨制定管理制度规范 ¨采取技术措施 ¨留存网络日志 ¨保护数据/个人信息安全 ¨安全事件报告对应 | 无 |
第三级以上 | ¨组织机制的确立 ¨特定人员的安全审查和安全管理 ¨制定并落实网络安全总体规划和整体安全防护策略 ¨落实监测预警和动态分析 ¨落实重要网络设施等保护措施 ¨定期等级测评 |
三、 为什么实施网络安全等级保护?
1、 法律法规的要求
如前所述,《网络安全法》及其他相关法律法规中已经明确规定了实施网络安全等级保护的要求以及违反时的责任。以A公司删库事件为例,如果A公司没有实施网络安全等级保护,包括上述形式性义务和实质性义务,则A公司违反了法律法规的明确要求,有可能因为删库事件承担以下法律责任。
(1) 刑事责任
《刑法修正案》(九)第28条增设了拒不履行信息网络安全管理义务罪,如果公司存在不履行按照网络安全等级保护制度要求的安全保护义务,且曾经监管部门责令采取改正措施而拒不改正,并有严重情节,有可能构成该条规定的犯罪行为,被追究刑事责任。此时,公司可能会被判处罚金,并对公司直接负责的主管人员和其他直接责任人员处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。
(2) 行政责任
由于A公司删库事件已经造成了导致危害网络安全的严重后果,主管部门可以依据《网络安全法》第59条的规定,对A公司处一万元以上十万元以下罚款,并对A公司直接负责的主管人员处五千元以上五万元以下罚款。实际上公安部门已经将网络运营者是否履行网络安全等级保护义务,作为涉及网络安全运行状况日常检查和专项检查的重点内容之一。企业由于未落实网络安全等级保护制度,未采取有效技术防护措施等问题,被依法处罚的案例屡见不鲜。
(3) 民事责任
除了A公司基于与用户之间的合同约定,可能承担合同违约的民事赔偿责任之外。由于《网络安全法》第21条明确规定网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务。同时该法第74条规定,违反本法规定,给他人造成损害的,依法承担民事责任。因此,由于A公司删库事件遭受损失的第三人可以依据合同或法律规定要求A公司承担民事赔偿的责任。
综上所述,实施网络安全等级保护的义务是法律法规的强制性要求,依法实施是防范法律风险的必然选择。
2、 保证网络运行安全的有效途径
实施网络安全等级保护的目的和目标是保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。为此,在《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)中,针对不同安全等级的保护对象提出了基本要求,其中从范围对象上,既包括针对基础信息网络的安全通用要求,也包括针对云计算、移动互联网络、物联网、工业控制系统等的安全扩展要求。从要求内容上,既包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等技术要求,也包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等管理要求。同时,网络安全等级保护的形式性义务的履行,例如根据定级或等级测评的结果进行网络安全建设和整改等,也是保证企业有针对性地实施和改善网络运行安全管理的有效方式和手段。
A公司删库事件至少暴露了A公司在数据备份方式、重要数据操作权限设定、安全事件的应对措施、安全运维管理等方面存在内部管理的缺陷。网络安全等级保护制度为企业提供了有效的管理工具,明确了企业合规的边界,同时按照网络安全等级保护制度的要求,切实履行安全保护义务,也正是发现、改善企业内部管理缺陷,真正保证网络运行安全的有效途径。
3、 规避风险,提高企业价值
如前所述,A公司删库事件已经极大的损害了公司的价值,造成了公司股东在内利益相关者的重大损失。随着网络安全及数据重要性的日益凸显,数据合规越来越被广泛关注。上市公司或拟上市公司由于数据合规相关问题蒙受损失或者影响IPO审批的例子也屡屡见诸报端。违反数据合规要求,及/或企业运营过程中人为的或者非人为地操作性因素等给企业网络安全运行带来的不确定性,已经成为影响企业价值的重要因素之一。而按照网络安全等级保护制度的要求履行安全保护义务,将在很大程度上降低该种不确定性即风险发生的可能性。同时,采取有效措施保证网络运行和数据的安全,也是数据资源有效利用的重要保证。不确定性风险的规避和资源有效利用的保障,都有利于实质性提升企业价值。
四、 结语
网络无处不在,几乎所有企业的运营都离不开网络的利用和数据的处理。由于技术和应用的日新月异,愈发使得网络运行和数据安全的相关风险发生机率增加,而发生风险时的后果也越来越严重。A公司删库事件再次为我们敲响了警钟。希望企业未雨绸缪,及早按照网络安全等级保护的要求实施安全保护义务,保障企业的安全和有效运营。
[1] 从目前公开的信息,我们无法掌握A公司实施网络安全等级保护等的具体情况。为便于读者理解,本文仅以A公司删库事件为例提出话题,并非对A公司运营、实施及后果等做任何针对性评价。本文除引用公开公告和报道用于事实陈述之外,皆以A公司代称。
[2] 来源:https://cdn2.weimob.com/saas/@assets/saas-fe-group-web-stc/pdf/cn/c2013.pdf(最后访问时间2020年3月18日)
[3] “微盟删库事件折射出多重管理机制缺失” https://t.cj.sina.com.cn/articles/view/1708813312/65da6c0002000lm44?from=tech(最后访问时间2020年3月18日)
[4] “21世纪商业评论:拿出1.5亿赔付商家,微盟能否走出删库阴影?” http://www.21cbr.com/article/83257.html(最后访问时间2020年3月18日)
[5] “微盟因删库事件赔付1.5亿元” http://it.people.com.cn/n1/2020/0303/c1009-31613827.html(最后访问时间2020年3月18日)