2017年09月號 生活情报
解读《中华人民共和国网路安全法》
远东新世纪(中国)投资 / 易玉芹
历时近一年半才通过的《中华人民共和国网路安全法》(以下简称《网路安全法》)於2017年6月1日正式实施,这是我国第一部全面规范网路空间与安全管理问题的基础性法律,涉及境内网路安全领域的全面规制,因此法制室特别整理相关内容的法律解读,提供大家参考。
一、适用范围与主体
适用范围方面,根据《网路安全法》第二条、第七十六条规定,在中华人民共和国境内建设、运营、维护和使用网路,以及网路安全的监督管理,均受《网路安全法》调整。即境内的PC端、移动端,以及其他使用网路行为几乎都包括在内,覆盖范围非常广泛。
适用主体上,根据《网路安全法》第九条、第十一条、第十二条、第三十一条等规定,《网路安全法》涉及网路运营者、关键资讯基础设施运营者(CII运营者)、网路产品与服务提供者,以及其他个人与组织四类主体,主要规制网路运营者和关键资讯基础设施运营者两类主体。按照《网路安全法》第七十六条的定义,「网路运营者」包括网路的所有者、管理者和网路服务提供者,几乎将所有涉及提供网路产品、服务的主体都纳入其中,且不区分免费或付费、内资或外资、个人或组织。
综上,从《网路安全法》适用范围与主体的广泛性可看出,不论PC端还是移动端的社交平台、电商购物、通讯服务等网路运营者,或是涉及提供线上网路产品/服务的传统线下个人与组织,如果违反《网路安全法》的强制性规定,都会面临被处罚或关停的法律风险。
二、实施网路安全等级保护制度
《网路安全法》中,首次将国家实行网路安全等级保护制度上升到法律层面,第二十一条规定明确指出,网路运营者应当履行下列安全保护义务:
(一)制定内部安全管理制度和操作规程,确定网路安全负责人,落实网路安全保护责任。
(二)采取防范电脑病毒和网路攻击、网路侵入等危害网路安全行为的技术措施。
(三)采取监测、记录网路运行状态、网路安全事件的技术措施,并按照规定留存相关网路日志不少於六个月。
(四)采取资料分类、重要资料备份和加密等措施。
(五)法律、行政法规规定的其他义务。
三、网路产品与服务合规
根据《网路安全法》第二十二条、第二十三条规定,国家要求任何的网路产品、服务应当符合国家标准的强制性要求,且对提供者规定如下义务:
(一)不得设置恶意程式。
(二)存在安全缺陷、漏洞等风险时,应立即采取补救措施,及时告知用户,并向有关主管部门报告。
(三)应持续提供安全维护。
(四)收集使用者资讯应向使用者明示,并取得同意。
本法中,以不少条文规定网路产品、服务提供者对於使用者资讯资料的收集和使用,尤其对个人使用者资讯采集的限制更为严格,如「网路运营者收集、使用个人资讯,应遵循合法、正当、必要的原则,公开收集、使用资讯的目的、方式和范围,并经被收集者同意。」此外,本法对於违法采集资讯的行为也作出具体规定,第六十四条即指出,对於违反的单位主管、责任人、单位将处以重罚,并责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照。由此可见,本次《网路安全法》对於个人资讯的保护力度是空前的,因此,企业在经营过程中,若涉及资讯采集或存储,务必做到合法合规,并且尽到告知义务,避免受到处罚。
四、安全技术建设要求
本法中,主要针对安全建设要达到的效果提出要求,并未列出如何建设才能实现这一目标。不过从法条规定里,仍可以看到一些较为具体的安全技术建设要求,例如:第十条提到,依照法律、行政法规的规定和国家标准的强制性要求,换言之,在安全产品采购上,必须满足国家标准。
五、其他
本法对於招聘安全技术人员的资格也提出了要求,第六十三条规定,违反第二十七条(也就是从事过非法网路攻击行为)而受到治安管理处罚的人员,五年内不得从事网路安全管理和网路运营关键岗位的工作;受到刑事处罚的人员,则终身不得从事网路安全管理和网路运营关键岗位的工作。#