我(wǒ)們所知(zhī)的《中(zhōng)華人民共和國網絡安全法》是去(qù)年11月7日通過,并從今年6月1日也就是今天開(kāi)始施行的。就該法律的獲準通過及其解讀,FreeBuf還曾專訪過段和段律師事務所創始人劉春泉律師,主要就其對企業安全可能産生(shēng)的影響做了相對深入的解讀。
路透社先前發表的評論文章中(zhōng)援引了美國商(shāng)會主席James Zimmerman的話(huà),他認爲中(zhōng)國的這項法律“模糊,暧昧,監管機構完全可以對其進行各種解讀”;不過我(wǒ)們知(zhī)道,《網絡安全法》是中(zhōng)國第一(yī)部有關網絡安全的基礎性、“大(dà)綱性”的法律,劉春泉律師就曾說過它“仍需完善”,但至少中(zhōng)國朝着網絡安全進行了重要的一(yī)步邁進。
值此《網絡安全法》施行之際,我(wǒ)們再行梳理相關這部法律的更多信息,期望通過下(xià)面這5個問題,讓所有關心《網絡安全法》的各位清楚,這部法律對我(wǒ)們每個人、企業組織和各種不同的角色而言意味着什麽?
就網絡安全法的内容來說,先前各類文章都已經說得很明确,如果你不願意看《網絡安全法》全文,那麽全國人大(dà)常委會法工(gōng)委經濟法室副主任楊合慶早前的總結就已經比較到位。這部法律比較明确的是6個亮點:
網絡安全法明确了網絡空間主權的原則;
明确了網絡産品和服務提供者的安全義務;
明确了網絡運營者的安全義務;
進一(yī)步完善了個人信息保護規則;
建立了關鍵信息基礎設施安全保護制度;
确立了關鍵信息基礎設施重要數據跨境傳輸的規則。
以上的每個部分(fēn)都有相應的内容,比如大(dà)衆媒體(tǐ)普遍更關注個人信息隐私保護問題在《網絡安全法》中(zhōng)的體(tǐ)現。中(zhōng)國日報在評論文章中(zhōng)提到《網絡安全法》帶來的第一(yī)個好處就是個人信息不再“裸奔”,這是個人信息保護制度帶來的變化。
再比如該法明确了網絡是國家主權範圍,需要進行管轄。明确網絡空間主權至少已經從最基礎的層面提出國家對網絡空間行使權力的問題。如第七十五條,“境外(wài)的機構、組織、個人從事攻擊、侵入、幹擾、破壞等危害中(zhōng)華人民共和國的關鍵信息基礎設施的活動,造成嚴重後果的,依法追究法律責任…”
網絡産品和服務提供者的安全義務,以及網絡運營者的安全義務都是對企業安全提出的要求,或者說對互聯網及有互聯網業務的企業而言提出了基本的安全需求。比如對企業安全資(zī)質、内部技術、安全制度作具體(tǐ)規定。
而“關鍵信息基礎設施保護制度”,目的是爲了保證涉及國家安全、國計民生(shēng)、公共利益的信息系統及設施的安全。這裏的“關鍵基礎設施”範圍尚未劃定,網信辦還在研究制定指導性文件與标準,爲不同的行業領域明确關鍵信息基礎設施的具體(tǐ)範圍。這類數據的跨境傳輸自然也需要作相應規定。
有關這個問題,在我(wǒ)們先前和劉春泉律師的采訪中(zhōng)已經相對詳細地探讨過。當時我(wǒ)們就提到《網絡安全法》是個基礎性質的法律,而且它具有一(yī)定的偏向性。配合《網絡安全法》的另一(yī)套“組合拳”還在緊張的籌備中(zhōng)。
前文提到“關鍵基礎設施”的時候就聊到,這個概念的範疇在《網絡安全法》中(zhōng)并沒有明确,但網信辦正在對此進行研究,從事标準與文件的制定。實際上,中(zhōng)國經濟網昨天的消息提到,有關部門正在研究起草相關制度文件,包括關鍵信息基礎設施保護辦法、個人信息和重要數據出境安全評估辦法、網絡關鍵設施和網絡安全專用産品目錄等。這些實際上都是更爲具體(tǐ)的,用于對《網絡安全法》的具體(tǐ)施行作補充的内容。
到目前爲止,《網絡産品和服務安全審查辦法(試行)》的配套制度文件已經公開(kāi)發布;國家标準化部門還在抓緊組織制定《個人信息安全規範》等标準。所以《網絡安全法》從來就不是孤立的、靜态的。
比如“關鍵基礎設施”無論在哪個國家的各行業都是相當複雜(zá)的,也是後續需要完善和調整的。所以《網絡安全法》從來不是一(yī)紙(zhǐ)空文,或者說它爲後續更多工(gōng)作的開(kāi)展提供了基礎。
法新社在最近的一(yī)篇評論文章中(zhōng)援引耶魯法學院中(zhōng)美關系專家Graham Webster的話(huà):“很顯然,其管理制度正在發展,而且并不是像一(yī)盞燈一(yī)樣在6月1日進行一(yī)次簡單的開(kāi)關。”中(zhōng)國“正與許多國家一(yī)樣,針對面臨的合法化問題和挑戰進行角力。即便有種種警示和含糊不清的問題,但都是期望讓它往好的方向發展。”
實際上,《網絡安全法》的制定從開(kāi)展調查、确定立法思路起草草案大(dà)綱、拟訂主要制度和初步方案、征求不同部門意見,再到草案初稿、修改并形成草案——這些過程都是爲解決具體(tǐ)問題而作的,包括現在仍在進行的各項規則、标準和文件制定工(gōng)作。
如前所述,配套和相關法律法規都會相繼到來。可能很多人并不知(zhī)道6月1日起開(kāi)始施行的并不隻是《網絡安全法》。如果就相關網絡安全的内容來談,實際上還有部分(fēn)法律法規也在今天起實施。包括:
《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件适用法律若幹問題的解釋》:《刑法》中(zhōng)提到侵犯公民個人信息罪的入罪要件是“情節嚴重”,而這則解釋就明确了什麽是“情節嚴重”,包括行蹤軌迹信息、内容信息、征信信息、财産信息——非法獲取、出售或提供50條以上即爲情節嚴重。白(bái)帽子需要在意這一(yī)解釋。
《網絡産品和服務安全審查辦法(試行)》:着力于提高網絡産品和服務安全可控水平。
《互聯網新聞信息服務許可管理實施細則》等:這一(yī)細則進一(yī)步明确,通過互聯網、公衆帳号、即時通訊工(gōng)具、網絡直播、論壇等提供互聯網信息服務的,需要取得互聯網新聞信息服務許可,且服務提供者轉載新聞信息,應注明新聞信息來源、原作者、原标題、編輯真實姓名等,不得歪曲、篡改标題原意和新聞信息内容,并保證新聞信息來源可追溯。和《網絡安全法》一(yī)起,這是新媒體(tǐ)需要注意規範的。
這主要是值得企業作大(dà)量研究的問題,尤其是對企業安全做出更爲具體(tǐ)的要求和規定。劉春泉律師說過:
“《網絡安全法》比較側重于企業安全,比如企業應該怎麽去(qù)保護信息、怎麽去(qù)保護網絡安全等。”“《網絡安全法》頒布之後,企業需要重視自己的安全建設。”
此後企業有了更具體(tǐ)的義務和責任去(qù)維護網絡安全,并對用戶和客戶負責。比如其中(zhōng)第二十一(yī)條,網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡入侵、網絡攻擊等安全風險;在發生(shēng)危害網絡安全的事件時,立即啓動應急預案,采取相應補救措施,并按照規定向有關主管部門報告。
再比如從第三十三條,至第三十八條針對關鍵信息基礎設施運營者所做的規定(如關鍵信息基礎設施運營商(shāng)應當自行或委托網絡安全服務機構對其網絡安全性和可能存在的風險每年至少進行一(yī)次檢測評估,并将檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工(gōng)作的部門),具有相當的強制性——在法律責任部分(fēn)明确提到若不履行這些規定,則由有關主管部門責令整改、給予警告;拒不改正或導緻危害網絡安全等後果的,處十萬元以上一(yī)百萬元以下(xià)罰款,而且還對直接負責的主管人員(yuán)除以一(yī)萬元以上、十萬元以下(xià)罰款。
這些都是值得企業組織去(qù)認真學習與核對的。總的來說,是對企業安全資(zī)質和制度、内部技術做了規定,如果達不到法律的要求,網絡服務提供者将無法開(kāi)展服務,甚至對不具備法律要求安全技術能力的企業可吊銷證照。
至于個人,前文提到的個人信息保護大(dà)約是《網絡安全法》的重頭戲了。比如其中(zhōng)明确網絡産品、服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同意;網絡運營者不得洩露、篡改、毀損其收集的個人信息;任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息,并規定了相應法律責任。這也是白(bái)帽子需要注意的問題。
還有《網絡安全法》以法律的形式對網絡實名制做出了規定,若不提供真實身份信息,網絡運營者将不能爲其提供相關服務。這對個人用戶而言也是需要關心的,相關審查的内容。比如百度網盤、貼吧等産品從6月1日起就正式實行實名制,如果用戶此後未能完成實名認證,後續百度部分(fēn)産品使用會受到一(yī)定的限制。
在去(qù)年《網絡安全法》通過之際就有不少國外(wài)媒體(tǐ)提到,這對身在中(zhōng)國的外(wài)企而言是個壞消息。這可能也是《網絡安全法》的一(yī)個聚焦熱點,除了境外(wài)機構、組織、個人從事攻擊、侵入、幹擾、破壞等危害中(zhōng)華人民共和國關鍵信息基礎設施的活動,造成嚴重後果需要依法追究法律責任,其中(zhōng)還有一(yī)條提到關鍵信息基礎設施運營者在中(zhōng)華人民共和國境内收集産生(shēng)的個人信息和重要數據應當在境内存儲。
澎湃新聞在針對國家互聯網信息辦公室網絡安全協調局的采訪中(zhōng),有關負責人就提到這項規定是對關鍵信息基礎設施運營者提出的要求,而非所有網絡運營者;而且也并不針對所有數據,僅限個人和重要數據;需要出境的數據,經過安全評估認爲不會危害國家安全和社會公共利益的是可以出境的;經過個人信息主體(tǐ)同意的個人信息也可以出境(比如撥打國際電(diàn)話(huà)、發送國際電(diàn)子郵件、跨境購物(wù)都視爲個人信息主體(tǐ)同意)。
而已經發布的《網絡産品和服務安全審查辦法(試行)》對可能影響國家安全的産品和服務進行安全審查,并不針對特定國家地區,也沒有國别差異,目的是提高網絡産品和服務的安全可控水平,維護國家安全與公共利益。
總的來說,《網絡安全法》的部分(fēn)職責是維護國家網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的利益,“而不是要限制國外(wài)企業、技術、産品進入中(zhōng)國市場,不是要限制數據依法有序自由流動”。
《網絡安全法》的意義已無需多言,這是國内針對安全的立法向網絡安全強國看齊的重要一(yī)步,即便它尚無解決所有網絡安全問題的可能,卻依舊(jiù)是個很好的開(kāi)始,而且是從今天開(kāi)始。
上一(yī)篇:從今天起企業發生(shēng)信息安全事件,會被追究責任
下(xià)一(yī)篇: 如何保護企業雲免受勒索軟件攻擊?