2016年11月7日,十二屆全國人大常委會第二十四次會議表決通過了《中華人民共和國網絡安全法》(以下簡稱“《網絡安全法》”)。該法自2017年6月1日起施行,作為我國網絡空間的第一部基礎性法律,《網絡安全法》對互聯網企業(yè)的安全保障義務提出了更高要求,對互聯網企業(yè)行為進行明確規(guī)范。
關鍵信息基礎設施建設要求提高
《網絡安全法》第三十一條指出關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。首次引入了“關鍵信息基礎設施”的概念,并規(guī)定在網絡安全等級保護制度的基礎上實行重點保護。關鍵信息基礎設施作為關乎國家安全、社會公共利益和公民福祉的戰(zhàn)略性資源,其重要性顯而易見。重要的互聯網企業(yè)(如擁有數億用戶的百度、阿里、騰訊)現在已可被視為基礎信息平臺,被列入關鍵信息基礎設施范圍的可能性極大,一旦這些互聯網企業(yè)及其系統(tǒng)出現中斷、癱瘓或其他問題,都將會造成重大損失。
那么,如果被列入關鍵信息基礎設施的目錄,互聯網企業(yè)則應遵守以下規(guī)定。
年度風險檢測評估。根據《網絡安全法》第三十八條,被列入關鍵信息基礎設施范圍的互聯網企業(yè),應自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
限制數據的境外傳輸。根據《網絡安全法》第三十七條,被列入關鍵信息基礎設施范圍的互聯網企業(yè),在運營過程中收集的個人信息和重要數據應當在境內存儲。因業(yè)務需要,確需向境外提供的,應當進行跨境安全評估。法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。作為我國首部限制數據向境外傳輸的法律,網絡安全法限制傳輸的信息范圍無疑是較大的,且對“重要數據”的界定也是有待細化的。除此之外,限制數據境外傳輸的執(zhí)行也是互聯網企業(yè)必須正視的一個問題。
國家安全審查。根據《網絡安全法》第三十五條,被列入關鍵信息基礎設施范圍的互聯網企業(yè),采購網絡產品和服務,可能影響國家安全的,應當接受國家安全審查。以法的形式確立關鍵信息基礎設施的國家安全審查制度體現了關鍵信息基礎設施對國家安全的重大戰(zhàn)略意義。此外,法律責任部分對應罰則的規(guī)定也彰顯了國家安全審查制度的重要性。
簽訂保密協議。根據《網絡安全法》第三十六條,被列入關鍵信息基礎設施范圍的互聯網企業(yè)采購網絡產品和服務,應當按照規(guī)定與提供者簽訂安全保密協議,明確安全和保密義務與責任。
對重要系統(tǒng)和數據庫進行容災備份。根據《網絡安全法》第三十四條第三款之規(guī)定,被列入關鍵信息基礎設施范圍的互聯網企業(yè)應履行的安全保護義務包括對重要系統(tǒng)和數據庫進行容災備份,以防止遇到網絡安全事件時出現信息丟失的情況,保證互聯網企業(yè)信息系統(tǒng)的正常運行。
明確了互聯網企業(yè)實施實名制的義務
《網絡安全法》在《反恐怖主義法》第二十一條的電信用戶實名制的規(guī)定基礎上,有了進一步突破。《網絡安全法》第二十四條規(guī)定了互聯網企業(yè)為用戶提供信息發(fā)布、即時通信等服務,在與用戶簽訂協議或者確認提供服務(如微信,微博)時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,互聯網企業(yè)不得為其提供相關服務。
實名制實施面臨的問題主要是信息泄露和用戶的不配合問題。就信息泄露而言,實名制的規(guī)定是為了維護整個社會的公共利益,在此制度之下會有一系列相關的信息保護制度,且實名制采取的是“后臺實名、前臺自愿”的原則,與信息保護問題并不沖突。就用戶的配合問題而言,實名制對于互聯網企業(yè)的未來潛在用戶來說問題不大,但大規(guī)模存量用戶的實名制將是互聯網企業(yè)需要解決的一大問題。
加大互聯網企業(yè)對有害信息處置力度
《網絡安全法》第四十七條規(guī)定了互聯網企業(yè)對有害信息(法律、行政法規(guī)禁止發(fā)布或傳輸的信息)的發(fā)現義務,該義務相對于《電信條例》第六十一條和《互聯網信息服務管理辦法》第十六條的“明顯”發(fā)現而言,提高了互聯網企業(yè)對有害信息的審查義務。
互聯網企業(yè)必須加大對人員、技術、資金及設備等基礎保障的投入,以提升其對有害信息的發(fā)現能力,加大對其用戶所發(fā)布的信息的管理力度。在處置方面,除了要求及時采取停止傳輸、消除等傳統(tǒng)處置措施外,《網絡安全法》第六十八條對互聯網企業(yè)的不作為規(guī)定了罰則,加大了對互聯網企業(yè)的處罰力度。從法律層面規(guī)定了對互聯網上有害信息或非法信息的處置,給國家互聯網信息系統(tǒng)的健康運行提供了法律依據。
加強了互聯網企業(yè)對信息安全的保護
《網絡安全法》第四十條到第四十三條規(guī)定了互聯網企業(yè)對用戶的信息安全義務。其中,第四十條規(guī)定互聯網企業(yè)對其收集的用戶信息的嚴格保密制度;第四十一條規(guī)定了互聯網企業(yè)對用戶信息的公開收集和使用的規(guī)則,按約定收集和使用信息;第四十二條規(guī)定互聯網企業(yè)應采取適當措施,以確保其收集的用戶信息的安全并防止用戶信息的泄露、毀損和滅失;在發(fā)生或可能發(fā)生的情況下,及時采取補救措施。
值得注意的是,此次還規(guī)定了“被遺忘權”。《網絡安全法》第四十三條指出了互聯網企業(yè)對于其收集的錯誤的公民個人信息,有義務采取措施予以刪除和更正。互聯網的發(fā)展,使得各種網站上的信息也是魚龍混雜,互聯網企業(yè)如何解決錯誤信息的及時更正和完全刪除問題,將是未來一段時間社會關注的重點。以往互聯網企業(yè)所積壓的未更正信息和未刪除干凈的信息及帖子也將再次面臨挑戰(zhàn),這對互聯網企業(yè)的設備、技術、人力等基礎保障都提出了新的要求和挑戰(zhàn)。
提高了對互聯網企業(yè)日志留存的要求
根據《網絡安全法》第二十一條第三款,互聯網企業(yè)應采取監(jiān)測、記錄網絡運行狀態(tài)、網絡安全事件的技術措施,并按照規(guī)定留存相關的網絡日志不少于6個月,以保護網絡數據安全。
相對于其他法律文件規(guī)定的日志留存時間,該法對互聯網企業(yè)提出了更高的要求。一方面,該規(guī)定為執(zhí)法機關的取證提供了便利;另一方面,留存時間的延長,也對互聯網企業(yè)提出了新的挑戰(zhàn),設備擴容、技術保障等都是亟需解決的問題;另外,應制定相應的日志存儲和管理制度,對于留存日志的保密、未到期日志的存儲、到期日志的處理及留存日志的行政檢查等問題都應詳細規(guī)定,保護網絡數據安全。
規(guī)定了互聯網企業(yè)的執(zhí)法協助義務
《網絡安全法》第二十八條規(guī)定互聯網企業(yè)應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。互聯網企業(yè)的執(zhí)法協助是目前國際上的通用做法,是國際慣例。以往我國多是依靠“紅頭文件”,該規(guī)定改變了這一局面。明確規(guī)定互聯網企業(yè)的這一義務,提高了執(zhí)法效率。此外,第四十九條規(guī)定互聯網企業(yè)對網信部門和有關部門依法實施的監(jiān)督檢查,應當予以配合。但是配合的程度和執(zhí)法機關應遵循的正當執(zhí)法程序并沒有予以規(guī)定,所以在協助執(zhí)法過程中互聯網企業(yè)也應重視這一問題。
除了以上所述,《網絡安全法》還規(guī)定了互聯網企業(yè)的其他安全保障義務。如:制定內部安全管理制度和操作規(guī)程,確定網絡負責人;網絡安全事件的應急、補救及報告義務;實行數據分類、重要數據備份、加密等。
總體而言,《網絡安全法》對互聯網企業(yè)提出了更高的要求。網絡安全法的落地,還需要其他一些列法規(guī)的配合,在這個過程中,互聯網企業(yè)應嚴格遵守《網絡安全法》,依法履行各項安全保障義務,加強自身的各項能力建設,避免在法律適用等環(huán)節(jié)中出現問題。
作者:陜西省通信管理局 張濤
西安交通大學信息安全法研究中心 王颯颯
京公網安備 11010502049343號