中伦观点 | 解读《网络安全法》：八大角度面面观

中伦观点 | 解读《网络安全法》：八大角度面面观

2016-11-15 中伦律师事务所 

法律适用与管辖

2016年11月7日，全国****会表决通过了《网络安全法》，并决定自2017年6月1日起正式实施，该法构成我国网络空间安全管理的基本法律。《网络安全法》采取了有限的域外管辖原则，依照法七十五条，境外的主体实施入侵或攻击境内关键信息基础设施的活动，造成严重后果的，依法追究法律责任，且中国执法机关可实施财产冻结等制裁措施，这是为应对日益严重的全球网络安全威胁的需要。

在法律体系上，《网络安全法》与《国家安全法》、《反恐怖主义法》、《刑法》、《保密法》、《治安管理处罚法》、《关于加强网络信息保护的决定》、《关于维护互联网安全的决定》、《计算机信息系统安全保护条例》、《互联网信息服务管理办法》等现行法律法规共同构成中国关于网络安全管理的法律系统。考虑到《网络安全法》是一部框架性的法律，很多条款需要制定配套的法律法规来执行，可以预见，在2017年6月1日起正式实施之前，国务院及相关的部门会制定和颁布一系列的配套法律法规，比如网络安全等级保护制度、关键信息基础设施的认定和保护办法、数据跨境传输的安全评估办法、网络产品和服务的国家安全审查制度等，数量上可能会达十余部。这些配套的法律法规会具体细化《网络安全法》相关条款的解释，对企业而言具有重要的意义，需要密切关注。

网络安全等级保护制度

根据《网络安全法》第二十一条规定，国家实行网络安全等级保护制度。网络运营者承担的实施网络安全等级保护制度相关的安全保护义务包括：

1）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

3）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

4）采取数据分类、重要数据备份和加密等措施；

5）法律、行政法规规定的其他义务。

在《网络安全法》颁布之前，我国已经实行信息系统安全等级保护制度。1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定我国的计算机信息系统实行安全等级保护。1999年，公安部组织制定的《计算机信息系统安全保护等级划分准则》发布。2007年，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》，明确了信息安全等级保护的具体要求。我们理解，基于信息系统安全等级保护制度已经普遍实施的现状，在《网络安全法》实施之后，其确立的网络安全等级保护制度应当会与目前的信息系统安全等级保护制度相衔接和融合，而不会成为两个并行的制度体系。

关键信息基础设施

《网络安全法》第三十一条对关键信息基础设施进行了规定，法律公布后，社会的关注热点是如何准确地理解关键信息基础设施的范围。

在立法过程中，关键信息基础设施如何定义及确定其范围也一直是争议的焦点。《网络安全法（草案）》一审稿采用了列举的方式界定关键信息基础设施的外延，即：“提供公共通信、广播电视传输等服务的基础信息网络，能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统，军事网络，设区的市级以上国家机关等政务网络，用户数量众多的网络服务提供者所有或者管理的网络和系统”，构成关键信息基础设施；二审稿删除了列举方式，直接采用危害后果的方式来界定，即：“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”。在《网络安全法》正式文本中，综合了一审和二审稿，采用了列举加危害后果双重界定的方式，即：“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。《网络安全法》授权国务院另行制定关键信息基础设施的具体范围和安全保护办法。

2016年6月，**网络安全和信息化领导小组办公室制定了《国家网络安全检查操作指南》，并于7月在全国范围内启动了关键信息基础设施网络安全检查工作。按照《国家网络安全检查操作指南》的规定，“关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，且这些系统一旦发生网络安全事故，会影响重要行业正常运行，对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。关键信息基础设施包括网站类，如党政机关网站、企事业单位网站、新闻网站等；平台类，如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；生产业务类，如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等”。从以上定义可以看出，《国家网络安全检查操作指南》下关键信息基础设施的范围是比较广泛的，比如即时通信系统和电商平台都有可能成为关键信息基础设施，其对我们理解《网络安全法》下关键信息基础设施的范围具有一定的借鉴意义。

一旦被认定为关键信息基础设施，设施运营者将会承担相应的网络安全保护法定义务，包括：

1）关键信息基础设施的建设要求（第三十三条）；

2）关键信息基础设施运营者的安全保护义务（第三十四条）；

3）采购关键信息基础设施产品和服务的国家安全审查要求（第三十五条）；

4）采购关键信息基础设施产品和服务的保密要求（第三十六条）；

5）个人信息和重要数据的本地化要求（第三十七条）；

6）关键信息基础设施的网络安全年度检测评估（第三十八条）。

数据保护

《网络安全法》对于数据的保护包括个人信息保护、用户信息保护和商业秘密保护。

《网络安全法》之前，我国已经有若干的法律法规来规范个人信息的收集和使用，包括《全国****会关于加强网络信息保护的决定》、《消费者权益保护法》、《电信和互联网用户个人信息保护规定》、《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》和《刑法修正案（九）》等。《网络安全法》关于个人信息保护的条款与以往法律法规相比，保护原则没有实质性的改变，但增加了一些保护内容，比如个人信息主体的删除权和更正权等。

依照《网络安全法》七十六条之定义，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。该定义基本与《电信和互联网用户个人信息保护规定》的规定一致。基于以上定义，个人信息必须具备身份的识别性，如果信息和个人身份相分离，则不再构成个人信息。需注意，即使某信息不能单独识别个人身份，但如果其与其它信息结合，具备识别个人身份的功能，仍然构成个人信息。在大数据和数据融合广泛应用的当下，对于存在识别个人身份可能性的信息，尤其应当谨慎判断其是否构成个人信息。

考虑到推动大数据应用已成为我国的一项国家战略，在立法征求意见时，很多专家提出应当为大数据的发展留下空间。在二审稿之后，增加了一个例外的规定（法四十二条），即：对于个人信息的利用的限制条款，“个人信息经过处理无法识别特定个人且不能复原的除外”。这一例外规定被一些业界人士视为是对大数据发展的一项利好规定。

《网络安全法》引入了“用户信息”的概念，第二十二条规定，网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；并在第四十条中要求网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。但法律对于“用户信息”并没有进一步的定义。我们理解，在用户使用产品或服务过程中收集的信息构成用户信息，包括IP地址、用户名和密码、用户身份、上网时间、Cookie信息等。如果用户信息具备身份识别的功能或，则构成用户的个人信息。可见，用户信息的范围相比个人信息更广泛一些。

《网络安全法》建立了关于关键信息基础设施产品和服务采购的国家安全审查制度（第三十五条）、数据跨境传输的安全评估制度（第三十七条）等，这些制度的实施，都需要网络运营者和其它主体向有权机关提交相应的审查内容，其中可能包括受知识产权保护的软件代码、加密算法、商业计划和商业秘密等。立法机构为了响应社会对知识产权和商业秘密保护的关切，在征求意见二审稿中，增加了一条，规定：国家网信部门和有关部门在关键信息基础设施保护中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。而在法律正式文本的第三十条中，又把获取信息的范围从“在关键信息基础设施保护中”扩展到“在履行网络安全保护职责中”，并在七十三条中规定了有关行政部门违反法律规定将信息用作其他用途的法律责任，有效地满足了企业（尤其是外企）的合理诉求。

数据本地化

依照《网络安全法》第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。数据本地化要求包括个人信息和重要数据。对于个人信息的范围，目前法律定义基本明确，但是对于重要数据，仍然留有较大的不确定性，比如是否会区分业务数据和商业信息数据等，需要进一步的配套法律法规加以明确。另外一个不确定性在于安全评估办法的具体内容和评估程序，是否会给相关企业增加严重的合规负担。从目前的立法内容看，国家网信办（或会同工信部）很可能成为安全评估办法的制定机构和评估和实施机构。

对于涉及国家安全和社会稳定的数据提出本地化要求是一个趋势，也符合国际上的立法惯例。但是，如果数据本地化要求过于泛化，会对企业（尤其是跨国企业）的业务带来负担。因此，下一步有关部门制定对关键信息基础设施的认定和数据跨境传输的安全评估办法时，如何把握数据安全和商业便利两者的平衡关系非常重要。

对数据本地化的法律规制，除了《网络安全法》的规定，以下的数据（或设施）亦明确有本地化的法律要求：

我国网络安全和保密相关的法律禁止涉及国家秘密和国家安全的数据跨境传输；

征信数据（《征信业管理条例》第24条）；

个人金融信息（《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第6条）；

地图数据（《地图管理条例》第34条）；

网络出版服务所需的必要的技术设备（《网络出版服务管理规定》第8条）；

网约车业务相关数据和信息（《网络预约出租汽车经营服务管理暂行办法》27条）。

网络实名制

《网络安全法》再一次确立了网络实名制在中国的实施，第二十四条规定，网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

 

在此之前，我国已经有相关的法律法规对实名制进行规定。2016年1月1日实施的《中华人民共和国反恐怖主义法》规定，电信、互联网、金融、住宿、长途客运、机动车租赁等业务经营者、服务提供者，应当对客户身份进行查验。对身份不明或者拒绝身份查验的，不得提供服务。2015年的《互联网用户账号名称管理规定》规定，互联网信息服务提供者应当按照“后台实名、前台自愿”的原则，要求互联网信息服务使用者通过真实身份信息认证后注册账号。2016年的《移动互联网应用程序信息服务管理规定》，要求移动互联网应用程序提供者按照“后台实名、前台自愿”的原则，对注册用户进行基于移动电话号码等真实身份信息认证。

网络运营者的企业制度建设要求

《网络安全法》就网络安全保护对网络运营者设定了一系列的法定义务，有些义务需要网络运营者建立企业的管理制度和操作规程，以满足法律合规性的要求，避免法律风险，主要包括如下：

1）与实施网络安全等级保护制度相关的义务和制度建设，包括制定内部安全管理制度和操作规程，确定网络安全负责人等（第二十一条）；

2）健全用户信息保护制度（第二十二条和第四十条）；

3）落实网络实名制（第二十四条）；

4）网络安全事件应急预案（第二十五条）；

5）关键信息基础设施的安全保护义务，包括：设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；定期对从业人员进行网络安全教育、技术培训和技能考核；对重要系统和数据库进行容灾备份；制定网络安全事件应急预案，并定期进行演练；法律、行政法规规定的其他义务（第三十四条）；

6）采购关键信息基础设施产品和服务的保密制度（第三十六条）；

7）关键信息基础设施安全性的年度评估（第三十六条）；

8）个人信息的收集和利用规则及制度（第四十一条和第四十二条）；

9）个人信息泄露事件的报告制度（第四十二条）；

10）违法使用个人信息删除和错误个人信息更正制度（第四十三条）；

11）网络运营者对用户非法信息传播的监管（第四十七条）；

12）网络信息安全投诉、举报制度（第四十九条）。

法律责任

《网络安全法》第六章规定了详尽的法律责任。对网络运营者，根据违法行为的情形，主要的法律责任承担形式包括责令改正、警告、罚款，责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员等进行罚款等；并且，有关机关还可以把违法行为记录到信用档案。对于违反法律第二十七条的人员，法律还建立了职业禁入的制度。

 

除了以上的行政处罚外，网络运营者还应当关注违法行为所导致的民事责任和刑事责任。网络运营者如果因违法《网络安全法》的行为给他人造成损失的，该行为具有民事上的可诉性，网络运营者应当承担相应的民事责任。《刑法修正案（九）》规定的拒不履行信息网络安全管理义务罪，指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，具有法律规定的情形之一的，构成本罪。《网络安全法》为网络运营者设定了诸多的网络安全保护义务（比如网络安全等级保护和关键信息基础设施保护等），如果由于不履行法律的规定而导致严重后果的，可能会受到刑事的追诉，从而承担拒不履行信息网络安全管理义务罪的后果。

特别声明：

本文仅为交流之目的使用，不构成正式律师意见，亦不得依赖本文进行任何的商业决策或采取法律行动。

作者简介：

陈际红  律师

北京办公室  合伙人 

业务领域：知识产权，TMT，反垄断与竞争法