全国人大常委会于2015年6月初次审议了《中华人民共和国网络安全法(草案)》("一次审议稿"),并于今年6月再次审议了《中华人民共和国网络安全法(草案二次审议稿)》("二次审议稿",与一次审议稿合称"《网络安全法(草案)》")。二次审议稿已结束征求意见,有望于今年年底或明年年初颁布。
一、立法背景与框架
《网络安全法(草案)》是我国第一部针对网络安全的综合性法规,其立法目是为保障网络安全,维护网络空间主权和国家安全,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。该项立法主要针对目前现实中凸显的三类网络安全问题:(一)网络入侵和攻击等非法活动,严重威胁涉及国家安全、国计民生的关键信息基础设施的安全,云计算、大数据等新技术面临着更为复杂的网络安全环境;(二)个人信息泄露,侵害他人隐私、名誉、知识产权和其他合法权益的网络活动;(三)传播恐怖主义、淫秽色情等违法内容和信息,严重危害国家安全和社会公共利益的活动。
二、主要内容
1、强化国家网络主权,确立安全与发展并重原则
《网络安全法(草案)》规定:在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。
按照网络安全与信息化发展并重的原则,一方面,国家制定网络安全战略和标准体系,采取措施,监测、防御、处置来源于境内外的网络安全风险和威胁,保护关键信息基础设施免受破坏,依法惩治网络违法犯罪活动;同时,国家扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等院校等参与国家网络安全技术创新项目。
2、强化网络运营者的网络安全责任
《网络安全法(草案)》落实了网络运营者在保障网络运行安全的第一责任人的地位。对于网络运营者提出了一系列的要求,主要包括:
采纳符合国家标准的防范措施:网络运营者应当采取符合国家标准的技术和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件。
符合国家网络安全等级保护制度要求,包括:(1)制定内部安全管理制度和操作规程;(2)采取防范危害网络安全行为的技术措施;(3)采取监测、记录的技术措施,留存网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密措施。
网络产品和服务应符合国家标准的强制性要求,网络产品、服务的提供者不得设置恶意程序。
网络关键设备和网络安全专用产品获得安全认证或检测后方可销售。
为用户办理入网手续,提供信息发布、即时通讯服务,应进行实名认证。
制定网络安全事件应急预案。
3、关键信息基础设施的重点保护及数据跨境流动
《网络安全法(草案)》中特别规定了对关键信息基础设施实行重点保护。
首先,对于"关键信息基础设施"的定义,二次审议稿取消了一次审议稿中具体列举式的定义,作出了如下原则性的界定:"国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施";并进一步规定具体范围和安全保护办法由国务院进一步规定。尽管如此,鉴于一次审议稿中列举的"关键信息基础设施"范围包括"用户数量众多的网络服务提供者所有或者管理的网络和系统",很多大型的互联网企业可能会被包含其中。
如果被认定为关键信息基础设施,则其运营者除了遵守网络运营者一般网络安全责任外,还需要履行以下针对于"关键信息基础设施"的安全保护义务:
设置专岗专人,并对其进行安全背景审查;
定期进行网络安全教育培训;
重要系统和数据库容灾备份;
定期演练安全应急预案;
采购网络产品和服务,与提供者签订安全保密协议,可能影响国家安全的,当通过国家安全审查;
每年至少进行一次安全检测评估。
值得注意的是,《网络安全法(草案)》中明确规定了对于关键信息基础设施数据跨境流动的限制,即"关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。"在现行法规中,对于信息跨境流动的限制主要包括:(1)关于国家秘密的限制(包括《保守国家秘密法》、《档案法》、《刑法》等),以及(2)关于特殊行业持有的个人信息的限制(如《征信业管理条例》)。《网络安全法(草案)》的上述规定实质性的扩大了限制信息跨境流通的范围。
4、强化个人信息保护,兼顾大数据发展
我国关于个人信息保护的现行规定散见于《中华人民共和国刑法》、《中华人民共和国侵权责任法》以及其他特别领域的法律法规中,并形成了以"告知与同意"为基本原则和以民事、行政、刑事责任共同组成的个人信息保护框架。
《网络安全法(草案)》在网络个人信息保护方面基本遵循了之前的规则,将个人信息定义为"单独或者与其他信息结合识别公民个人身份的各种信息",要求个人信息的收集和使用应该符合"告知同意原则",并加大了网络运营者、网络产品或服务提供者侵害公民个人信息权利的相应行政处罚。
对于信息收集,除了需明示收集、使用信息的目的、方式和范围,并征得被收集者同意之外,《网络安全法(草案)》还强调了"必要性原则",即"网络运营者不得收集与其提供的服务无关的公民个人信息"。
对于信息的使用,二次审议稿第四十一条规定,"网络运营者不得泄露、篡改、毁损其收集的公民个人信息;未经被收集者同意,不得向他人提供公民个人信息。但是,经过处理无法识别特定个人且不能复原的除外"。该条款最后的例外性规定为通过对个人信息的分析和处理进行大数据的开发和利用提供了法律依据。
5、违反网络安全保护规定的行政责任
《网络安全法(草案)》中就网络运营者违反规定的行为,有针对性地规定了不同程度的行政责任。具体而言,包括责令改正、警告、暂停相关业务、停业整顿、关闭网站、吊销业务许可证以及吊销营业执照、罚款和记入信用档案。相较于一般网络运营者,关键信息基础设施运营者违反规定责任更重。对于故意从事危害网络安全的活动受到治安管理处罚或者刑事处罚的人员,还规定了终身行业禁入。
三、小结
《网络安全法》的出台符合国家关于发展互联网经济和维护网络安全的双重目标,从现有内容上看将对互联网企业产生较为实质的影响。在其正式实施过程中必然会存在一些问题和界限需进一步厘清与探讨,立法本身也需出台相关配套文件。我们将对《网络安全法》相关的进展持续关注。
《中华人民共和国网络安全法(草案二次审议稿)》简析
作者:张金恩 吴琼来源:海问律师事务所

全国人大常委会于2015年6月初次审议了《中华人民共和国网络安全法(草案)》("一次审议稿"),并于今年6月再次审议了《中华人民共和国网络安全法(草案二次审议稿)》("二次审议稿",与一次审议稿合称"