2.3 法律特色
2.3.1 网络安全基本大法
《网络安全法》是我国网络安全领域的基础性法律,是我国第一部网络安全领域的法律,也是我国第一部保障网络安全的基本法。《网络安全法》与现有《国家安全法》、《保密法》、《反恐怖主义法》、《反间谍法》、《刑法修正案(九)》、《治安管理处罚法》、《电子签名法》等属同等地位的法律。
2.3.2 三项基本原则
第一,网络空间主权原则。《网络安全法》第一条“立法目的”开宗明义,明确规定要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。习近平总书记指出,《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,覆盖国与国交往的各个领域,其原则和精神也应该适用于网络空间。各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利应当得到尊重。第二条明确规定,《网络安全法》适用于我国境内网络以及网络安全的监督管理。这是我国网络空间主权对内最高管辖权的具体体现。
第二,网络安全与信息化发展并重原则。习近平总书记指出,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。《网络安全法》第三条明确规定,国家坚持网络安全与信息化并重,遵循积极利用、科学发展、依法管理、确保安全的方针;既要推进网络基础设施建设,鼓励网络技术创新和应用,又要建立健全网络安全保障体系,提高网络安全保护能力,做到“双轮驱动、两翼齐飞”。
第三,共同治理原则。网络空间安全仅仅依靠政府是无法实现的,需要政府、企业、社会组织、技术社群和公民等网络利益相关者的共同参与。《网络安全法》坚持共同治理原则,要求采取措施鼓励全社会共同参与,政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等应根据各自的角色参与网络安全治理工作。
2.3.3 六大显著特征
第一,明确了网络空间主权的原则。没有网络安全就没有国家安全,没有网络主权就没有网络空间安全。网络主权原则根植于《联合国宪章》和国家法理的基本准则。网络空间主权主要表现为三方面:一是对内的最高权,各国有权自主选择网络发展道路、网络管理模式、互联网公共政策;二是对外的独立权,各国有平等参与国际网络空间治理的权利;三是防止危害国家的网络安全,不搞网络霸权,不干涉他国内政,不从事、纵容或支持维护他国国家安全的网络活动。根据国家网络空间主权原则,国家不仅有权对其领土境内的关键基础设施基、重要数据、网络空间活动和信息通信网络监管理行使主权,也可依法对境外个人或组织对我国境内的网络破坏活动行使司法管辖权,即具有域外的效力。
第二,明确了网络产品和服务提供者的安全义务。《网络安全法》第二十二条明确规定,网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
第三,明确了网络运营者的安全义务。《网络安全法》将原来散见于各种法规、规章中的规定上升到人大法律层面,对网络运营者等主体的法律义务和责任做了全面规定,确定了相关法定机构对网络安全的保护和监督职责,明确了网络运营者应履行的安全义务,平衡了涉及国家、企业和公民等多元主体的网络权利与义务,协调政府管制和社会共治网络治理的关系,形成了以法律为根本治理基础的网络治理模式。
第四,进一步完善了个人信息保护规则。《网络安全法》明确运营者在收集个人信息时必须合法、正当、必要,收集应当与个人订立合同;个人信息一旦泄露、损坏、丢失,必须告知和报告,同时个人具有对其信息的删除权和更正权(删除权的两种情形:违反法律法规、约定的合同期限已满)。《网络安全法》首次给予个人信息交易一定的合法空间。
第五,建立了关键信息基础设施安全保护制度。以立法的形式将国家主权范围内的关键信息基础设施列为国家重要基础性战略资源加以保护,已经成为各主权国家网络空间安全法治建设的核心内容和基本实践。《网络安全法》首次将关键信息基础设施安全保护制度以立法形式进行保护。
第六,确立了关键信息基础设施重要数据跨境传输的规则。隶属于数据主权的概念,即数据本地化存储,通常是指主权国家通过制定法律或规则限制本国数据向境外流动。任何本国或者外国公司在采集和存储与个人信息和关键领域相关数据时,必须使用主权国家境内的服务器。《网络安全法》第三十七条标志着中国正式开始基于网络主权原则对数据跨境传输进行法律限制。
2.3.4 九类网络安全保障制度
为了更好地履行《网络安全法》,运营者需要建立对应制度,分别是网络安全等级保护制度、网络产品和服务采购制度、网络产品和服务的强制性准入制度、网络安全产品和关键设备的强制性认证和检测制度、网络安全风险评估制度、用户实名制度、网络安全监测预警和信息通报制度、网络安全事件应急预案制度、开展网络安全认证、监测、风险评估制度、关键信息基础设施运行安全保护制度、用户信息保护制度、合法侦查犯罪协助制度、关键信息基础设施重要数据境内留存制度、网络安全信息管理制度、网络信息安全投诉、举报制度。
1.网络安全等级保护制度
《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。经过20多年的发展,国家确定实施网络安全等级保护制度从国家制度上升为国家法律。同时第三十一条规定,对可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。网络运营者要从定级备案、安全建设、等级测评、安全整改、监督检查角度,严格落实网络安全等级保护制度。
2.网络产品和服务安全制度
与网络安全产品和服务有关的安全制度主要涉及市场准入制度、强制性安全检测制度、强制性安全认证制度。2016年底,国家互联网信息办公室会同相关部门出台的《网络产品和服务安全审查办法》,采用企业承诺与社会监督相结合,第三方评价与政府监管相结合,实验室检测、现场检查、在线监测、背景调查相结合的方式,对网络产品和服务及其提供者进行网络安全审查。重点审查网络产品和服务的安全性、可控性,主要包括:产品和服务被非法控制、干扰和中断运行的风险;产品及关键部件研发、交付、技术支持过程中的风险;产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;其他可能危害国家安全和公共利益的风险。
3.关键信息基础设施运行安全保护制度
《网络安全法》第三十一条规定,“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护,关键信息基础设施的具体范围和安全保护办法由国务院制定。”这是我国首次在法律层面提出关键信息基础设施的概念和重点保护范围。
为了强化对关键信息基础设施安全保护的责任,《网络安全法》从国家主体和关键信息基础设施运营者两大层面,分别明确了对关键信息基础设施安全保护的法律义务和责任。在国家层面,《网络安全法》第三十二条规定,“按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。”
在关键信息基础设施运营者方面,《网络安全法》第三十四条专门设定了关键信息基础设施的运营者应当履行的四大安全保护义务:一是设置专门安全管理机构和安全管理负责人;二是定期对从业人员进行网络安全教育、技术培训和技能考核;三是对重要系统和数据库进行容灾备份;四是制定网络安全事件应急预案,并定期进行演练。另外设定了一项兜底性条款,即“以及法律、行政法规规定的其他义务”。
4.网络安全风险评估制度
《网络安全法》第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。同时,《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。建议今后运营者开展网络安全等级保护测评工作,这样既满足风险评估,同时满足网络安全等级保护制度。
5.用户实名制度
《网络安全法》立法确立了网络实名制在我国的实施,第二十四条规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通信等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
在此之前,我国已经有相关的法律法规对实名制进行规定。2016年1月1日实施的《中华人民共和国反恐怖主义法》规定,电信、互联网、金融、住宿、长途客运、机动车租赁等业务经营者、服务提供者,应当对客户身份进行查验。对身份不明或者拒绝身份查验的,不得提供服务。2015年的《互联网用户账号名称管理规定》规定,互联网信息服务提供者应当按照“后台实名、前台自愿”的原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号。2016年的《移动互联网应用程序信息服务管理规定》要求,移动互联网应用程序提供者按照“后台实名、前台自愿”的原则,对注册用户进行基于移动电话号码等真实身份信息认证。
6.网络安全事件应急预案制度
《网络安全法》第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。建议应急预案制度应覆盖所有网络安全场景、对相关人员开展应急预案培训、结合发生的安全事件和面临的安全风险,制定符合自身组织架构的网络安全应急预案,并在预案中明确内部及业务部门的应急响应责任,准备措施以及应对突发事件的配合机制,并组织演练。
7.网络安全监测预警和信息通报制度
《网络安全法》第五十一条规定,国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。这是从国家层面要建立安全态势感知与信息通报制度,说明了将来会出台国家层面的“网络安全监测预警和信息通报制度”。习近平总书记在2016年4月19日讲到,“全天候全方位感知网络安全态势。知己知彼,才能百战不殆”,同时指出,“感知网络安全态势是最基本最基础的工作。要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。要建立政府和企业网络安全信息共享机制,把企业掌握的大量网络安全信息用起来。”
《网络安全法》第五十二条规定,负责关键信息基础设施安全保护工作的部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。这条主要从行业层面讲安全态势感知与信息通报制度,行业主管部门要在国家指导下出台行业层面的“网络安全监测预警和信息通报制度”。
8.用户信息保护制度
《网络安全法》第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。同时,第二十二条规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
《网络安全法》对保护个人信息有了明确规定,如“网络运营者不得泄露、篡改、毁损其收集的个人信息”,“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”等。
9.关键信息基础设施重要数据境内留存制度
《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
第三十七条是与数据主权有关的规定。数据主权也被称为数据本地化存储,指主权国家通过制定法律或规则限制本国数据向境外流动。任何本国或者外国公司在采集和存储与个人信息和关键领域相关数据时,必须使用主权国家境内的服务器。据国际电信联盟ITU的统计,2015年全球通过互联网的跨境数据量超过1ZB(1万亿GB),如果没有数据主权的保护和跨境流动的法律机制,将可能直接影响个人的隐私和自由,乃至一个国家的经济运行,危及国家安全。俄罗斯、澳大利亚等国通过立法的形式对数据的流动进行动态调整和控制。欧盟规定:如果雇员的个人数据转移到欧盟以外的其他国家,采集这些数据时,雇员必须得到通知,否则不能转移出境。
对于涉及国家安全和社会稳定的数据提出本地化要求是一个趋势,也符合国际上的立法惯例。但是,如果数据本地化要求过于泛化,会对企业(尤其是跨国企业)的业务带来负担。因此,下一步有关部门制定对关键信息基础设施的认定和数据跨境传输的安全评估办法时,如何把握数据安全和商业便利两者的平衡关系非常重要。
对数据本地化的法律规制,除了《网络安全法》的规定,以下数据(或设施)亦明确有本地化的法律要求:
❖ 我国网络安全和保密相关的法律禁止涉及国家秘密和国家安全的数据跨境传输。
❖ 征信数据(《征信业管理条例》第24条)。
❖ 个人金融信息(《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第6条)。
❖ 地图数据(《地图管理条例》第34条)。
❖ 网络出版服务所需的必要的技术设备(《网络出版服务管理规定》第8条)。
❖ 网约车业务相关数据和信息(《网络预约出租汽车经营服务管理暂行办法》27条)。
2.3.5 惩罚措施
《网络安全法》在第六章规定了详尽的法律责任,大致规定了14种惩罚手段,分别是约谈、断网、改正、警告、罚款、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证、吊销营业执照、拘留、职业禁入、民事责任、刑事责任。
对网络运营者,根据违法行为的情形,主要的法律责任承担形式包括:责令改正、警告、罚款,责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员等进行罚款等;有关机关还可以把违法行为记录到信用档案。对于违反法律第二十七条的人员,法律还建立了职业禁入的制度。
除了以上行政处罚外,网络运营者还应当包括违法行为所导致的民事责任和刑事责任。网络运营者如果因违反《网络安全法》的行为给他人造成损失的,该行为具有民事上的可诉性,网络运营者应当承担相应的民事责任。
我国《刑法修正案(九)》规定的拒不履行信息网络安全管理义务罪,指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,具有法律规定的情形之一的,构成本罪。
《网络安全法》为网络运营者设定了诸多的网络安全保护义务(如网络安全等级保护和关键信息基础设施保护等),如果由于不履行法律的规定而导致严重后果的,可能受到刑事的追诉,从而承担拒不履行信息网络安全管理义务罪的后果。下面给出几个比较典型的惩罚措施。
1.约谈
《网络安全法》第五十六条明确,省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络运营者的法定代表人或者主要负责人进行约谈。
2.断网
《网络安全法》第五十八条明确规定,因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。“在特定区域对网络通信采取限制等临时措施”被业界很多人解读为断网。
3.拘留
拘留适用范围为,对从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关没收违法所得,依据情节严重情况,可处五日以下或者五日以上十五日以下拘留。
4.罚款
如果被罚款对象是运营者,范围为最低一万,最高一百万。如果被罚款对象是个人,范围最低五千元,最高十万元。为了打击违法犯罪,《网络安全法》同时规定了违法所得或采购金额的一倍以上十倍以下罚款,大大提高了犯罪成本。执行罚款的部门主要由运营者的主管部门、公安部门组成。
5.职业禁入
《网络安全法》要求关键信息基础设施的运营者设置专门的安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。如果发现受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
2.3.6 全社会参与者
1.监管者
《网络安全法》第八条明确规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
从《网络安全法》中可以看出网络安全的治理层级,可分为领导机构、规划机构、协调机构、关键基础设施主管机构。
❖ 统筹领导机构:中央国家安全领导机构。
❖ 统筹规划机构:国务院和各级人民政府(网络安全相关事务,制定关键信息基础设施的具体范围和安全保护方法,可以在特定区域对网络通信采取限制等临时措施)。
❖ 统筹协调机构:网信办(负责协调网络安全工作和相关监督管理工作,协调关键信息基础设施的安全保护)。
❖ 国家关键基础设施主管机构:各部委(电信主管部门、公安部门、其他有关机关在各自职责范围内的网络安全职责)。
2.监管对象
非政府网络要素参与者就是通常意义上的监管对象。非政府网络要素参与者包括国家机关政务网络的运营者、网络运营者、电子信息发送服务提供者、应用软件下载服务提供者、关键信息基础设施的运营者、网络产品或者服务的提供者、被收集者、行业组织、大众传播媒介、企业和高校、职教培训机构、安全认证或者安全检测机构、安全管理负责人、关键岗位人员、从业人员等。