2017年09月號 生活情報
解讀《中華人民共和國網路安全法》
遠東新世紀(中國)投資 / 易玉芹
歷時近一年半才通過的《中華人民共和國網路安全法》(以下簡稱《網路安全法》)於2017年6月1日正式實施,這是我國第一部全面規範網路空間與安全管理問題的基礎性法律,涉及境內網路安全領域的全面規制,因此法制室特別整理相關內容的法律解讀,提供大家參考。
一、適用範圍與主體
適用範圍方面,根據《網路安全法》第二條、第七十六條規定,在中華人民共和國境內建設、運營、維護和使用網路,以及網路安全的監督管理,均受《網路安全法》調整。即境內的PC端、移動端,以及其他使用網路行為幾乎都包括在內,覆蓋範圍非常廣泛。
適用主體上,根據《網路安全法》第九條、第十一條、第十二條、第三十一條等規定,《網路安全法》涉及網路運營者、關鍵資訊基礎設施運營者(CII運營者)、網路產品與服務提供者,以及其他個人與組織四類主體,主要規制網路運營者和關鍵資訊基礎設施運營者兩類主體。按照《網路安全法》第七十六條的定義,「網路運營者」包括網路的所有者、管理者和網路服務提供者,幾乎將所有涉及提供網路產品、服務的主體都納入其中,且不區分免費或付費、內資或外資、個人或組織。
綜上,從《網路安全法》適用範圍與主體的廣泛性可看出,不論PC端還是移動端的社交平臺、電商購物、通訊服務等網路運營者,或是涉及提供線上網路產品/服務的傳統線下個人與組織,如果違反《網路安全法》的強制性規定,都會面臨被處罰或關停的法律風險。
二、實施網路安全等級保護制度
《網路安全法》中,首次將國家實行網路安全等級保護制度上升到法律層面,第二十一條規定明確指出,網路運營者應當履行下列安全保護義務:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任。
(二)採取防範電腦病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施。
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關網路日誌不少於六個月。
(四)採取資料分類、重要資料備份和加密等措施。
(五)法律、行政法規規定的其他義務。
三、網路產品與服務合規
根據《網路安全法》第二十二條、第二十三條規定,國家要求任何的網路產品、服務應當符合國家標準的強制性要求,且對提供者規定如下義務:
(一)不得設置惡意程式。
(二)存在安全缺陷、漏洞等風險時,應立即採取補救措施,及時告知用戶,並向有關主管部門報告。
(三)應持續提供安全維護。
(四)收集使用者資訊應向使用者明示,並取得同意。
本法中,以不少條文規定網路產品、服務提供者對於使用者資訊資料的收集和使用,尤其對個人使用者資訊採集的限制更為嚴格,如「網路運營者收集、使用個人資訊,應遵循合法、正當、必要的原則,公開收集、使用資訊的目的、方式和範圍,並經被收集者同意。」此外,本法對於違法採集資訊的行為也作出具體規定,第六十四條即指出,對於違反的單位主管、責任人、單位將處以重罰,並責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照。由此可見,本次《網路安全法》對於個人資訊的保護力度是空前的,因此,企業在經營過程中,若涉及資訊採集或存儲,務必做到合法合規,並且盡到告知義務,避免受到處罰。
四、安全技術建設要求
本法中,主要針對安全建設要達到的效果提出要求,並未列出如何建設才能實現這一目標。不過從法條規定裡,仍可以看到一些較為具體的安全技術建設要求,例如:第十條提到,依照法律、行政法規的規定和國家標準的強制性要求,換言之,在安全產品採購上,必須滿足國家標準。
五、其他
本法對於招聘安全技術人員的資格也提出了要求,第六十三條規定,違反第二十七條(也就是從事過非法網路攻擊行為)而受到治安管理處罰的人員,五年內不得從事網路安全管理和網路運營關鍵崗位的工作;受到刑事處罰的人員,則終身不得從事網路安全管理和網路運營關鍵崗位的工作。#