网络安全法和网络安全等级保护2.0
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

3.5 网络运营者角度

网络运营者是指网络的所有者、管理者和网络服务提供者。“网络运营者”包含三类主体,即网络的所有者、网络的管理者以及网络服务提供者。《网络安全法》对于“网络运营者”这一概念只规定内涵而对其外延采用开放的描述方式,似乎是一种更聪明也是更合乎时宜的做法。但正因为这一合乎时宜的做法导致了大家对于这一概念的解读特别是对于“网络运营者”的范围产生了分歧。

根据《网络安全法》对网络的定义,可以理解网络即指基于终端、设备等硬件而建立起来的信息系统。网络所有者、网络管理者是指前述信息系统的所有者和管理者,如移动、联通、电信等基础电信网络的所有者和管理者。网络服务提供者指的则是依托网络这个信息系统的各类服务提供者,网络服务包括了网络信息服务、网络接入服务以及其他网络服务。《互联网信息服务管理办法》指出互联网信息服务分为经营性和非经营性两类。国家对经营性互联网信息服务实行许可制度(一般称为ICP许可),对非经营性互联网信息服务实行备案制度(一般称为ICP备案)。未取得许可或者未履行备案手续的,不得从事互联网信息服务。

根据《电信业务分类目录(2015年版)》的规定,像电商这类提供经营性互联网信息服务的,需要获得通信管理部门的《中华人民共和国电信与信息服务业务经营许可证》才能开展经营,非经营性互联网信息服务实行备案制度,在所有国内合法的网站上都能在网页的最底端找到ICP备案号码,也就是说,在国内开设网站实际上就是在提供非经营性的互联网信息服务,就是在提供互联网信息服务。“网络信息服务”是网络服务的子概念,网络信息服务的提供者也是网络服务的提供者。

3.5.1 承担社会责任

在《网络安全法》中,网络运营者的责任与义务受到了前所未有的重视和强化。从篇幅上看,全文法条共计七十九条,其中有三十四条内容涉及网络运营者或者与其相关;从法律责任确认上看,总计十七条法条中有九条属于明确网络运营者法律责任的法律条款。《网络安全法》对网络运营者给予严格的法律约束,将更大程度保证网络运营者摆正运营思路、履行自身义务,达到促进网络空间安全稳定的目的。

网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。

同时,在《网络安全法》中可以看到网络运营者具有双重身份:一是市场主体,与网络用户是平等主体间的民事合同关系;二是担任重要的监管职能(对用户发布的信息进行管理,发现非法传输信息的,不但要采取相应措施,而且要向有关主管部门报告)。原因在于技术壁垒给监管部门带来挑战,用户保护自身权利的能力有限。尽管双重身份觉得地位更高,但责任和权利义务更复杂。

3.5.2 网络安全的责任主体

新颁布的《网络安全法》在第七十六条中明确给出定义,“网络运营者包括网络的所有者、管理者和网络服务的提供者。”法律明确了网络运营者不仅包括提供网络服务的运营商,也包括网络设施的所有方和管理方。网络的所有者,确定的是网络及其设施的所有权归属一方;管理者,指网络及其设施的行政管理者;网络服务提供者,指网络电信服务商和网络运行维护的一方。例如,在政府和企事业单位的网络运营中,不仅由代管网络设施运行的相关公司和个人承担网络安全责任,政府和相关企事业单位同样承担网络安全责任。

国家、网络运营者、网络用户是《网络安全法》主要涉及的三方权利主体,其中网络运营者是网络空间形成和运行的核心主体,是连接国家和网络用户的关键节点。网络运营者在信息网络传播活动中具有极其重要的作用和地位,对网络安全维护有着不同于国家和普通网络用户的主体责任。只有网络运营者积极做好网络安全的维护工作,才能保证我国信息网络空间的健康发展。

3.5.3 做好网络安全运行工作

1.严格执行网络安全等级保护制度

网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

2.实名制用户服务机制

网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通信等服务,在与用户签订协议或者确认提供服务时,应要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。

为了从全局角度配合实名制的推广,国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。

3.做好网络安全事件应急处置

网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

建议网络运营者,通过部署网站和系统漏洞监测、扫描类的产品或服务,及时发现漏洞,并在第一时间通过升级补丁或完善应用系统来补救。

4.做好合法的侦查协助工作

网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

如果公安机关需要,网络运营者有义务提供采集的用户数据和网络数据。由侦查人员自己进行侦查取证是获取犯罪证据的最佳方式。但是在涉及计算机犯罪时,由侦查人员单独进行网络犯罪的侦查取证通常是不可能的。网络犯罪的高科技性以及网络技术的日新月异要求网络犯罪侦查必须有高超的网络技术作基础,侦查人员不可能对网络技术样样精通。因此,侦查人员在进行网络犯罪侦查时,需要由存储计算机数据的个人或者网络服务商提供技术协助,才能完成网络犯罪的侦查取证工作。

3.5.4 做好个人信息保护

《网络安全法》规定,网络运营商应当建立健全用户信息保护制度,收集、使用个人信息必须符合合法、正当、必要的原则,目的明确的原则,知情同意的原则等,同时规定了网络运营商应遵守对收集信息的安全保密原则、公民信息境内存放原则、泄露报告制度等。对于关键信息基础设施运营者,要求其遵守公民信息境内存放原则,确需向境外提供的信息,应进行相应的安全评估。对于网络产品、服务的提供者,要求其收集个人信息时应向用户明示并取得同意,还要遵守相关公民个人信息保护的规定。以上规定进一步规范了网络运营商、关键信息基础设施运营者、网络产品、服务的提供者等相关信息采集主体必须履行的法律责任,明确了个人信息的使用权边界,有助于从源头上遏制非法使用个人信息的行为。

《网络安全法》规定,公民发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。通过引入了删除权和更正制度,进一步提高了个人对隐私信息的管控程度。

《网络安全法》明确了对侵害公民个人信息行为的惩处措施。网络运营者、网络产品或服务提供者以及关键信息基础设施运营者如未能依法保护公民个人信息,最高可被处以五十万元罚款,甚至面临停业整顿、关闭网站、撤销相关业务许可或吊销营业执照的处罚,直接负责的主管人员和其他直接责任人员也会被处以最高十万元的罚款。

《网络安全法》客观上增加了相关运营单位发生信息安全事件的成本。相关运营单位在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,告知可能受到影响的用户,并按照规定向有关主管部门报告。由于通知会产生很高的成本,发生泄露问题也会对企业声誉产生极大影响,这就倒逼企业必须提高信息保护能力,确保不会出现用户个人信息的泄露。

需要阐明的一个问题是:公民信息需要保护,不能随意泄露、出卖,但是是否需要完全禁止个人信息的买卖?

对此,《网络安全法》的说法是,不得非法出售或者非法向第三人提供个人信息。我国之前在《关于加强网络信息保护的决定》中在出售个人信息问题上的表述是,“不得出售”个人信息;《网络安全法》“不得出售”中加了“非法”二字。两字之差也意味着,网络运营者出售、提供个人信息的行为不是完全被禁止的,非法出售、提供个人信息的行为才是被禁止的,网络运营者合法出售、提供个人信息的行为则是合法的。《网络安全法》一方面对网络运营者保护个人信息给出强制性要求,另一方面对个人信息的合理化使用让出空间,促进信息社会的数据共享,推动网络信息产业的快速发展。

3.5.5 违法信息传播的阻断

《网络安全法》第四十七条规定:网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。

本款对网络运营者从法律上讲是义务,但是从内容上讲更像是一种权力。网络运营者的责任,会对网络运营者和网络用户之间的关系产生影响,这就迫使网络运营者成为实际上的执法主体。但是网络运营者本身并不具备执法资质和能力,只是具有一定的技术手段。如果对违法信息判断错误,会出现违法和侵权。

3.5.6 网络经营者可能涉及的具体罪名

《网络安全法》第二十七条规定,“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。”

《网络安全法》第四十四条规定,“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”

《网络安全法》第四十五条规定,“依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。”

《网络安全法》第四十六条规定,“任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。”

通过分析《网络安全法》,网络运营者可能涉及12种犯罪。

1.侵犯公民个人信息罪

本罪规定于现行刑法第二百五十三条之一,单位或个人皆可犯此罪,网络经营者涉嫌此罪是指具有“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的”或“窃取或者以其他方法非法获取公民个人信息的”行为,“履行职责或者提供服务过程中”犯此罪的,“从重处罚”。

在大数据时代大背景下,涉嫌此罪的案件会层出不穷。

2.侵犯商业秘密罪

本罪规定于现行刑法第二百一十九条,单位或个人皆可犯此罪,网络经营者涉嫌此罪最可能是“以盗窃、或者其他不正当手段获取权利人的商业秘密”或“披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密”给“商业秘密的权利人造成重大损失的”行为。

3.非法侵入计算机信息系统罪

本罪规定于现行刑法第二百八十五条,单位或个人皆可犯此罪,网络经营者涉嫌此罪是指具有“侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的”行为。

4.非法获取计算机信息系统数据、非法控制计算机信息系统罪

本罪同样规定于现行刑法第二百八十五条,单位或个人皆可犯此罪,网络经营者涉嫌此罪是指“非法侵入计算机信息系统罪”之外,侵入其他的“计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的”行为。

5.提供侵入、非法控制计算机信息系统程序、工具罪

本罪同样规定于现行刑法第二百八十五条,单位或个人皆可犯此罪,网络经营者涉嫌此罪是指“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的”行为。

6.破坏计算机信息系统罪

本罪规定于现行刑法第二百八十六条,单位或个人皆可犯此罪,网络经营者涉嫌此罪是指“对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行”或“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”后果严重的行为。

7.网络服务渎职罪

本罪同样规定于现行刑法第二百八十六条,单位或个人皆可犯此罪,网络经营者涉嫌此罪是指“故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的”行为。

8.拒不履行信息网络安全管理义务罪

本罪规定于现行刑法第二百八十六条之一,单位或个人皆可犯此罪,是指网络服务提供者“不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正”,“致使违法信息大量传播的”或“致使用户信息泄露,造成严重后果的”或“致使刑事案件证据灭失,情节严重的”或“有其他严重情节的”行为。

9.非法利用信息网络罪

本罪规定于现行刑法第二百八十七条之一,单位或个人皆可犯此罪,网络经营者涉嫌此罪是指具有下列“情节严重的”行为之一的“利用信息网络实施,(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;(三)为实施诈骗等违法犯罪活动发布信息的。”

10.帮助信息网络犯罪活动罪

本罪规定于现行刑法第二百八十七条之二,单位或个人皆可犯此罪,网络经营者涉嫌此罪是指具有“明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通信传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的”行为。

11.诈骗罪

本罪规定于现行刑法第二百六十六条,网络经营者涉嫌此罪是指具有“利用电信网络技术手段实施诈骗,诈骗公私财物价值三千元以上”的行为。如前所述,按照最新《意见》,网络经营者因不当行为可能被认定为本罪的共犯,并在罪名竞合时择重处罚。

12.滥用职权罪、玩忽职守罪、徇私舞弊罪

这三类罪规定于现行刑法第三百九十七条,是指负有网络管理职责的“国家机关工作人员滥用职权或者玩忽职守”或者“徇私舞弊”,“致使公共财产、国家和人民利益遭受重大损失的”行为。