1 《网安法》的适用范围是什么?
《网安法》第二条开宗明义,将其适用范围确定为“在中华人民共和国境内建设、运营、维护和使用网络”。也即,《网安法》的适用对象并无内外商之别,只要是在我国境内通过网络提供服务,不论是内资还是外资企业,都同等受制于《网安法》的各项规定和要求。
与此同时,《网安法》确立了“网络运营者”这一核心概念,即是指“网络的所有者、管理者和网络服务提供者”,其中的“网络服务提供者”即为“通过网络提供服务”的主体。
鉴于对该等“服务”未做进一步的限制或明确,《网安法》关于“网络服务提供者”及“通过网络提供服务”的表述的覆盖范围实际上是非常广泛的,可以指向任何使用网络为媒介提供服务的主体,这就不仅包括以网络在线业务为主业的互联网企业,例如目前已十分普及的应用商店、电商平台、网约车平台等,还有可能包括因其线下业务向线上延伸而同样需要借助网络的传统线下企业。由此而言,《网安法》的触手实际上伸向了当前网络服务业态的方方面面。
2 在《网安法》出台前,有没有网安领域的其他规定?和它们比起来,《网安法》有什么亮点?
在此之前,我国已陆续出台过不少针对网络安全的规定,例如,《互联网安全保护技术措施规定》,《互联网信息服务管理办法》,《电信和互联网用户个人信息保护规定》等。若涉及到国际联网,还有更具体的要求,例如《计算机信息网络国际联网安全保护管理办法》等。
但上述法规普遍条款较少,涵盖面局限,法律责任也不够详细。相比起来,《网安法》不仅博采众长,做了整合,还提出了许多史无前例的义务性规定,例如:①针对关键信息基础设施运营者提出了更高的责任要求;②提出网络运营者对公民个人信息的保护义务;③提出网络运营者要向用户、向社会及时发布产品和服务的安全缺陷、漏洞风险;④提出了网络运营者需要设置举报、投诉的入口等内容。还有许多其他新增的义务性规定,都是《网安法》的亮点。
另外,《网安法》的法律责任也更加明晰。在上述法律法规中,有的没有规定法律责任;有的规定比较笼统或针对五六种违法行为,一刀切地规定了统一适用的法律责任,但《网安法》针对不同的违法行为,根据轻重影响,分别列出了不同程度的法律责任,更为科学、合理。
3 关键信息基础设施保护是《网络安全法》新设立的重要制度,关键信息基础设施的范围如何确定?
目前,《网安法》第三十一条采用列举+兜底式的方式明确了“关键信息基础设施的范围:
“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”
按照其目前的定义表述,潜在的覆盖范围其实十分广泛,据负责人介绍,目前国家网信办正会同有关部门抓紧研究制定相关指导性文件和标准,指导相关行业领域明确关键信息基础设施的具体范围。
4 6月1日后,关键信息基础设施的“保护”具体怎么操作?
“关键信息基础设施”的保护,可以说是加强性的,一方面,相关行业的企业们要满足对于网络运营者一般性的基础规定,同时,企业还要做好在《网安法》第三十四条中列举的更高要求的合规工作。
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第三十四条除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
5《网安法》出台以后,数据就被禁止出境了吗?
不不不,这就是典型的以偏概全了。《网安法》其实是这么规定的:
第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
根据《网安法》的具体规定以及网信办负责人的介绍,需要明确以下几点:
这是对关键信息基础设施运营者提出的要求,而不是对所有网络运营者的要求。
不是所有的数据,只限于个人信息和重要数据,这里的重要数据是对国家而言,而不是针对企业和个人。
对于确需出境的数据,法律作了制度上的安排,经过安全评估认为不会危害国家安全和社会公共利益的,可以出境。
经个人信息主体同意的,个人信息可以出境。
特别要说明的是,拨打国际电话、发送国际电子邮件、通过互联网跨境购物以及其他个人主动行为,视为已经个人信息主体同意。
就跨国贸易、并购等商业交易来说,如果数据采集点是在境外,需要注意的反而是国外司法辖区的相关规定。但如果是境内的企业(不论内外资)需要将本地采集的数据传输给境外的关联公司、商业伙伴的,则要加强注意了。
6 上述法条中的“因业务需要,确需向境外提供”怎么理解?有进一步详细规定吗?
《个人信息和重要数据出境安全评估办法(征求意见稿)》已经在2017年4月11日公布,其中列出了可以提交安全评估后出境的情形,以及绝对禁止出境的情形。
第九条 出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:
含有或累计含有50万人以上的个人信息;
数据量超过1000GB;
包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
关键信息基础设施运营者向境外提供个人信息和重要数据;
其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。
第十一条存在以下情况之一的,数据不得出境:
个人信息出境未经个人信息主体同意,或可能侵害个人利益;
数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;
其他经国家有关部门认定不能出境的。
7《网络安全法》求网络产品和服务提出了“安全可信”的要求,关键信息基础设施运营者在采购时还要主动提交国家安全审查,“安全可信”怎么判断?
《网安法》第二十三条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
2017年6月9日,《网络关键设备和网络安全专用产品目录(第一批)》已经出台。包括有路由器、交换机、服务器、防火墙、反垃圾邮件软件等。列入《网络关键设备和网络安全专用产品目录》的设备和产品,应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。而具备资格的机构指国家认证认可监督管理委员会、工业和信息化部、公安部、国家互联网信息办公室按照国家有关规定共同认定的机构。
8 众所周知,《网安法》把个人信息的保护提高到了一个新高度,具体对网络运营者提出了哪些要求?
《网安法》对用户个人信息数据的收集、存储、使用都给出了非常严格的规定,说其严格,不仅因为对运营商设定的义务多而全,还因为设定了较高的法律责任,在常规行政罚款之余,还规定有“责令暂停相关业务、停业整顿、关闭网站,吊销相关业务许可证或者吊销营业执照”。
具体需要企业注意的是:
信息收集时:
- 向用户明示并取得同意;公开收集、使用规则,明示收集、使用目的。
- 要求用户提供真实信息。尤其是运营者提供的业务中,涉及到办理网络接入、域名注册、固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务的,如果用户不提供真实身份核验,就不能为其提供相关服务。
信息管理、使用中: - 不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意, 不得向他人提供个人信息,但是,经过处理无法识别特定个人且不能复原的除外。
- 采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
- 用户若发现网络运营者收集、存储的个信有误,有权要求其更正;若发现网络运营者违规使用,有权要求其删除。
- 数据转移,前面已经提到,就不赘述了。
9 如果网络网络运营者没有充分履行个人信息保护方面的要求,可能面临什么法律责任?
就《网安法》来看,主要是行政违法责任,如果有关部门责令整改后无果,可能面临五万到一百万不等的罚款,直接负责的主管人员和相关责任人会面临个人罚款,情节严重,还会被暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
刑事层面,“拒不履行信息网络安全管理义务罪”、“侵犯公民个人信息罪”也可能成为近年的“大热门”。
10 对老百姓而言,如果个人信息被侵犯,还能采取哪些民事救济措施来维权?
《网安法》要求网络运营者们建立有效的信息安全投诉、举报制度和入口,并且及时对投诉、举报进行处理。如果公民发现个人信息被滥用、侵犯等情况,可以向门户商业网站进行申诉,或者拨打12377(中国互联网违法和不良信息举报中心)、12311(网络不良与垃圾信息举报受理中心)进行申诉。
当然,司法救济也是强有力的保护措施。即将于10月1日生效的《民法总则》对于公民个人信息有明确的保护规定。《侵权责任法》、《消费者权益保护法》也是最常被援引的。
