童勇男(德恒上海律师事务所合伙人)
北大法宝律所实务库
本文仅限学习交流使用,如遇侵权,我们会及时删除。
CLI.A.
前言:自年6月1日《网络安全法》(以下简称“《网安法》”)正式实施以来,包括《关键信息基础设施安全保护条例(征求意见稿)》(以下简称“《保护条例》”)、《个人信息和重要数据出境评估办法(征求意见稿)》(以下简称“《评估办法》”)等在内的一系列配套措施也相继落地。这些法规的出台对企业经营者在网络安全合规方面提出了更高的要求,各企业应当根据自身情况,及时制定或更新内部网络安全制度,落实网络安全合规工作。
本文拟梳理《网安法》的相关制度体系,并且结合已经或即将出台的配套实施细则,帮助企业更好的理解自身的合规义务,提出实用建议。
一、《网安法》适用于哪些企业?
《网安法》的适用范围非常广泛,任何在中国境内“建设、运营、维护和使用网络”的企业都受到《网安法》的制约。具体来说,《网安法》提出了“网络运营者”的核心概念,即“网络的所有者、管理者和网络服务提供者”。其中,一部分网络运营者被称为“关键信息基础设施运营者”(以下简称“CIIO”),因为其所在的行业和其运营的基础设施的重要性,被《网安法》赋予了比普通网络运营者更为重大的安全保障义务。另外,针对网络产品、服务的提供者,《网安法》还提出了特殊的安全保障义务。
总体来说,任何企业在特定条件下都有可能落入《网安法》的管辖范围之内。以网络运营者的定义为例,由于其包括网络服务的提供者,即任何“通过网络提供服务”的主体,其指向的范围实际上是十分广泛的,不仅涵盖了以网上业务为主业的互联网企业,例如电商平台、网约车平台等,还有可能包括任何在其主营业务之外,提供其他网络服务的传统线下企业,如面向不特定大众提供WiFi上网服务、网上意见反馈、投诉举报服务的传统企业。因此,《网安法》实际上覆盖到了各种不同的商业形态。
另外,还需注意的是,《网安法》的适用对象并无内外资之别,只要是中国境内的网络运营者,不论是内资还是外资企业,都同样属于《网安法》的规范对象。
二、网络运营者有哪些合规义务?
对作为网络运营者的企业来说,《网安法》提出的合规要求主要可以归纳为两方面:一方面,从社会公共利益的角度出发,要求网络运营者建立完善的网络运营保障体系,制定网络安全事件应急预案,保护网络能够安全、平稳运行而不受外部的干扰和破坏。另一方面,从用户隐私保护的角度出发,要求网络运营者在搜集用户信息时建立相应的保密制度,并且加强对用户发布的信息的管理,及时对发现的违法信息采取处置措施。
1.网络安全保障制度
首先,《网安法》要求企业按照网络安全等级保护制度的要求,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或被窃取、篡改,具体包括:制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施。
当然,由于不同企业对网络的依赖程度和受到网络安全攻击后造成的影响程度都不尽相同,企业的安全保护义务是根据网络安全等级保护制度的等级划分来确定的,等级划分越高的企业所肩负的安全保护责任也会越重。由于目前尚未出台具体的网络安全等级划分制度,企业在制定内部制度时应当结合自身的具体情况,尽量做到与《网安法》的规定相契合。
此外,为了应对突发的网络安全事件,《网安法》还要求企业制定相应的网络安全事件应急预案,在发生危害网络安全的事件时,网络运营者需立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。结合中央网络安全和信息化领导小组办公室(以下简称“中央网信办”)于年1月10日发布的《国家网络安全事件应急预案》(以下简称“《预案》”)的通知,我们建议企业在制定应急预案的过程中,明确突发事件发生时的主要负责人、通知机制、补救措施等内容。在安全事件发生后,要尽快报告企业所在地网信部门,以及时启动相关部门的应急处置工作。
2.用户信息保密制度
《网安法》的另一重点,在于确立企业在用户信息采集时对用户信息的保密制度,并且对于用户发布的违法信息能够主动发现,及时采取删除、举报等措施。例如,在企业收集、使用个人信息时,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。另外,企业收集的个人信息还必须与其提供的服务相关。
值得注意的是《网安法》对于“个人信息”的定义,是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出身日期、身份证件号码、个人生物识别信息、住址、电话号码等。”因此,除了定义中列明的几项信息外,判断某项信息是否属于个人信息的标准关键在于该信息能不能单独或者与其他信息结合用于识别“个人身份”。在实践中,一些企业搜集的如用户使用某项服务的时间、地点等信息,由于可能与其他信息结合而用于识别某个用户的“个人身份”,也有可能落入个人信息的定义范畴。
除此之外,《网安法》还规定了企业对用户发布的信息的管理义务,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。另外,企业还应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
3.跨境数据安全评估
根据《网安法》第三十七条的规定,CIIO在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当事先进行安全评估。在此基础上,《评估办法》进一步扩大了数据本地化要求的适用范围,囊括了所有的网络运营者,且对于非网络运营者(其他个人和组织)数据出境的安全评估工作,也应参照《评估办法》执行。据此,《评估办法》实际上将所有主体都“一网打尽”。
关于“重要数据”的范围界定,按照《评估办法》的规定,重要数据是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。因此,企业在实践中判断某项信息是否属于重要数据,应当从社会公共利益的角度出发。有待出台的识别指南也将进一步消除信息归类的不确定性。
对于安全评估的具体办法,《评估办法》将安全评估工作按照信息本身的重要程度分为两部分:一是需要报请行业主管或监管部门评估评估的信息,包括:(1)含有或累计含有50万人以上的个人信息;(2)数据量超过GB;(3)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;(4)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;(5)关键信息基础设施运营者向境外提供个人信息和重要数据;和(6)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。
针对其余的需要出境的信息,企业应当在数据出境前,自行对数据出境进行安全评估,并对评估结果负责。评估的内容包括:(1)数据出境的必要性;(2)涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;(3)涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;(4)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;和(5)数据出境及再转移后被泄露、毁损、篡改、滥用等风险等。
值得注意的是,以下三类情况下信息是不得出境的:(1)个人信息出境未经个人信息主体同意,或可能侵害个人利益;(2)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;(3)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
三、CIIO有哪些特殊的合规义务?
正如我们上文提到的,CIIO作为某些重点领域的网络运营者,被《网安法》赋予了除普通网络运营者之外的、更高要求的安全保障义务。CIIO运营的网络或系统被称为关键信息基础设施(以下简称“CII”)。
1.CII的范围
《保护条例》第十八条规定了在一系列特定领域内的企业或机关,如果其运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围。这些企业或机关包括:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。
从上述第(五)点可以看出,该定义仍具有一定的开放性和不确定性,任何未落入明确列举的行业和领域内的企业所运营的网络设施和信息系统,只要关系到“国家安全、国计民生、公共利益”的均有可能被认定为CII。因此《保护条例》第十九条授权国家网信部门会同电信和公安部门制定CII识别指南(以下简称“《识别指南》”),行业主管或监管部门(如电信行业的工信部,能源行业的发改委和能源局)将按照《识别指南》,组织识别本行业的CII。可以预期,《识别指南》和各行业清单的出台将极大程度地减少现有法律下对于CII界定的不确定性。
2.CIIO的特殊合规要求
A.运营者安全保护
依据《网安法》第三十四条的规定,CIIO应当设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。结合《保护条例》第二十五条,该安全管理负责人将负责以下工作:(1)组织制定网络安全规章制度、操作规程并监督执行;(2)组织对关键岗位人员的技能考核;(3)组织制定并实施本单位网络安全教育和培训计划;(4)组织开展网络安全检查和应急演练,应对处置网络安全事件;和(5)按规定向国家有关部门报告网络安全重要事项、事件。
此外,《保护条例》还规定了将“运营者主要负责人”作为企业的安全保护工作“第一责任人”,负责建立健全网络安全责任制并组织落实,且对企业CII安全保护工作全面负责。根据理解,此处的“运营者主要负责人”和第二十五条中的“安全管理负责人”可以不是同一个人,在发生网络安全事故时,两个负责人都可能要承担相应的法律责任。
B.产品和服务安全
根据《网安法》第三十五条和三十六条的规定,CIIO采购的网络产品和服务,可能影响国家安全的,应当通过有关部门的安全审查,还应当与提供者签订安全保密协议,明确安全和保密义务与责任。《保护条例》在此基础上进一步增加了以下规定:(1)对外包开发的系统、软件,接受捐赠的网络产品,在其上线应用前进行安全检测。(2)发现使用的网络产品、服务存在安全缺陷、漏洞等风险的,应当及时修复或上报。(3)CII的运行维护应当在境内实施。因业务需要,确需进行境外远程维护的,应事先报国家行业主管或监管部门和国务院公安部门。(4)面向CII开展安全检测评估,发布系统漏洞、计算机病毒、网络攻击等安全威胁信息,提供云计算、信息技术外包等服务的机构,应当符合有关要求。
四、普通网络运营者和CIIO的合规义务之比较
可以看到,普通网络运营者和CIIO的合规义务存在一定的交叉关系,即CIIO运营的网络,除适用一般的网络安全保护制度之外,国家对其实施重点保护,并设定了较高的法定义务和限制。两者的合规义务之比较可以参考下表:
普通网络运营者的合规责任
CIIO附加的合规责任
建立网络安全保障制度,保障网络安全;
制定应急预案,应对突发的网络安全事件;
建立用户信息保护制度,保障用户的知情权和隐私安全;
进行跨境数据安全评估,避免不必要的跨境数据传输
任命运营者主要负责人;
设置专门安全管理机构和安全管理负责人;
采购网络产品和服务的,应当与提供者签订安全保密协议
总之,随着《网安法》和其他配套措施的陆续出台,企业在网络安全合规方面将面临更大的挑战。普通企业应当结合实际情况,建立起规范的网络安全内控系统,保障自身网络系统和用户信息的安全。CIIO企业还应当在普通企业的基础上建立更为高级别的安全保护制度,按照新规要求及时对网络安全保护管理制度进行更新,尽量降低企业在新规则下的合规风险。
本号倾情奉献
