文/吳麗勤
北京岳成律師事務(wù)所重慶分所
近年來(lái)����,合規(guī)是法律界和企業(yè)界最受關(guān)注的話題之一����,而隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱《網(wǎng)安法》)在2017年6月1日的正式實(shí)施,中國(guó)企業(yè)網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)合規(guī)的序幕也被揭開(kāi)����,各企業(yè)根據(jù)《網(wǎng)安法》的內(nèi)容來(lái)改善合規(guī)體系、及時(shí)制定或更新內(nèi)部網(wǎng)絡(luò)安全制度���、落實(shí)網(wǎng)絡(luò)安全合規(guī)工作也勢(shì)在必行。
下面我們將以企業(yè)的視角�����,根據(jù)《網(wǎng)安法》的相關(guān)制度體系�����,并結(jié)合《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)》(以下簡(jiǎn)稱《保護(hù)條例》)���、《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》(以下簡(jiǎn)稱《評(píng)估辦法》)����、《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等在內(nèi)的一系列已實(shí)施及即將出臺(tái)的配套實(shí)施細(xì)則,幫助企業(yè)更好的理解自身的合規(guī)義務(wù)�。
一、《網(wǎng)安法》的適用范圍
根據(jù)該法第九條網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展經(jīng)營(yíng)和服務(wù)活動(dòng)�����,必須遵守法律�、行政法規(guī),尊重社會(huì)公德���,遵守商業(yè)道德��,誠(chéng)實(shí)信用�����,履行網(wǎng)絡(luò)安全保護(hù)義務(wù)�,接受政府和社會(huì)的監(jiān)督�����,承擔(dān)社會(huì)責(zé)任以及第十條建設(shè)、運(yùn)營(yíng)網(wǎng)絡(luò)或者通過(guò)網(wǎng)絡(luò)提供服務(wù)��,應(yīng)當(dāng)依照法律���、行政法規(guī)的規(guī)定和國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求�����,采取技術(shù)措施和其他必要措施����,保障網(wǎng)絡(luò)安全�、穩(wěn)定運(yùn)行,有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件��,防范網(wǎng)絡(luò)違法犯罪活動(dòng)�����,維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性����、保密性和可用性的規(guī)定�,可見(jiàn)任何企業(yè)在特定條件下(例如通過(guò)網(wǎng)絡(luò)提供服務(wù))都有可能落入《網(wǎng)安法》的管轄范圍之內(nèi),不僅是以網(wǎng)上業(yè)務(wù)為主業(yè)的互聯(lián)網(wǎng)企業(yè),例如電商平臺(tái)�、網(wǎng)約車(chē)平臺(tái)等,還包括任何在其主營(yíng)業(yè)務(wù)之外��,提供其他網(wǎng)絡(luò)服務(wù)的傳統(tǒng)線下企業(yè)�����,如面向不特定大眾提供WiFi上網(wǎng)服務(wù)�����、網(wǎng)上意見(jiàn)反饋����、投訴舉報(bào)服務(wù)的傳統(tǒng)企業(yè)。因此����,《網(wǎng)安法》實(shí)際上覆蓋到了各種不同的商業(yè)形態(tài)。
另外�����,根據(jù)《網(wǎng)安法》第二條在中華人民共和國(guó)境內(nèi)建設(shè)����、運(yùn)營(yíng)�����、維護(hù)和使用網(wǎng)絡(luò)�����,以及網(wǎng)絡(luò)安全的監(jiān)督管理�����,適用本法的規(guī)定�����,《網(wǎng)安法》的適用對(duì)象并無(wú)內(nèi)外資之別�,只要是中國(guó)境內(nèi)的網(wǎng)絡(luò)運(yùn)營(yíng)者����,不論是內(nèi)資還是外資企業(yè),根據(jù)網(wǎng)絡(luò)空間的主權(quán)原則���,都同樣屬于《網(wǎng)安法》的規(guī)范對(duì)象。
二、企業(yè)在《網(wǎng)安法》下的合規(guī)義務(wù)
(一)網(wǎng)絡(luò)安全方面
1�����、安全保護(hù)義務(wù):網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求��,履行相關(guān)安全保護(hù)義務(wù)��,保障網(wǎng)絡(luò)免受干擾�����、破壞或者未經(jīng)授權(quán)的訪問(wèn)����,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改��。網(wǎng)絡(luò)產(chǎn)品��、服務(wù)的提供者應(yīng)當(dāng)為其產(chǎn)品���、服務(wù)持續(xù)提供安全維護(hù)�;在規(guī)定或者當(dāng)事人約定的期限內(nèi)����,不得終止提供安全維護(hù)�����。
2��、事后補(bǔ)救義務(wù):網(wǎng)絡(luò)產(chǎn)品��、服務(wù)的提供者不得設(shè)置惡意程序�����;發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品�、服務(wù)存在安全缺陷���、漏洞等風(fēng)險(xiǎn)時(shí)��,應(yīng)當(dāng)立即采取補(bǔ)救措施����,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門(mén)報(bào)告�。
3、強(qiáng)制認(rèn)證檢測(cè)義務(wù):網(wǎng)絡(luò)產(chǎn)品�����、服務(wù)的提供者不得設(shè)置惡意程序���;網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求�����,由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后��,方可銷售或者提供��。
4�����、網(wǎng)絡(luò)實(shí)名管理義務(wù):網(wǎng)絡(luò)運(yùn)營(yíng)者為用戶辦理網(wǎng)絡(luò)接入��、域名注冊(cè)服務(wù)�,辦理固定電話�����、移動(dòng)電話等入網(wǎng)手續(xù)�����,或者為用戶提供信息發(fā)布、即時(shí)通訊等服務(wù)����,在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時(shí),應(yīng)當(dāng)要求用戶提供真實(shí)身份信息���。用戶不提供真實(shí)身份信息的�,網(wǎng)絡(luò)運(yùn)營(yíng)者不得為其提供相關(guān)服務(wù)����。
5、制定應(yīng)急預(yù)案管理的義務(wù):網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案���,及時(shí)處置系統(tǒng)漏洞����、計(jì)算機(jī)病毒�、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)��;在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)�,立即啟動(dòng)應(yīng)急預(yù)案���,采取相應(yīng)的補(bǔ)救措施,并按照規(guī)定向有關(guān)主管部門(mén)報(bào)告��。
6����、提供技術(shù)支持協(xié)助的義務(wù):網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)為國(guó)家安全機(jī)關(guān)��、公安機(jī)關(guān)依法維護(hù)國(guó)家安全和偵查犯罪的活動(dòng)提供技術(shù)支持和協(xié)助���。
7����、設(shè)置投訴舉報(bào)機(jī)制的義務(wù):網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)建立網(wǎng)絡(luò)信息安全投訴��、舉報(bào)制度�����,公布投訴�、舉報(bào)方式等信息,及時(shí)受理并處理有關(guān)網(wǎng)絡(luò)信息安全的投訴和舉報(bào)�����。
(二)用戶信息保密方面
1、確保個(gè)人信息安全的義務(wù):網(wǎng)絡(luò)產(chǎn)品����、服務(wù)具有收集用戶信息功能的,其提供者應(yīng)當(dāng)向用戶明示并取得同意���;涉及用戶個(gè)人信息的���,還應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定����。
2、個(gè)人信息保護(hù)義務(wù):根據(jù)中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布的《中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告2016》顯示�����,54%的網(wǎng)民認(rèn)為個(gè)人信息泄露嚴(yán)重�,其中21%的網(wǎng)民認(rèn)為非常嚴(yán)重。84%的網(wǎng)民親身感受到了由于個(gè)人信息泄露帶來(lái)的不良影響���?��!毒W(wǎng)安法》聚焦個(gè)人信息保密���,嚴(yán)厲打擊對(duì)個(gè)人用戶信息的泄露及非法獲取,對(duì)于保護(hù)個(gè)人信息起到積極作用����。因此,《網(wǎng)安法》在第41至45條對(duì)該方面進(jìn)行了明確且嚴(yán)格的規(guī)定:
除上述規(guī)定的責(zé)任和義務(wù)�����,《最高人民法院����、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》(兩高司法解釋)�����,對(duì)《刑法》第253條及《刑法修正案(九)》的相關(guān)規(guī)定作出解釋���,明晰了侵犯公民個(gè)人信息行為的定罪量刑標(biāo)準(zhǔn)��,是目前公民個(gè)人信息司法保護(hù)的重要依據(jù)�。由于兩高司法解釋不僅明確了犯罪行為責(zé)任主體,將公司�����、公司高管及直接業(yè)務(wù)負(fù)責(zé)人等都納入到責(zé)任主體范圍內(nèi)����,同時(shí)也大幅降低了入罪標(biāo)準(zhǔn),企業(yè)亟需制定規(guī)范的合規(guī)制度以避免可能的刑事責(zé)任風(fēng)險(xiǎn)��。
(三)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)領(lǐng)域企業(yè)的特殊合規(guī)義務(wù)
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》雖然目前尚在征求意見(jiàn)階段�,但其條款也顯示了國(guó)家將對(duì)相關(guān)主體進(jìn)行特殊規(guī)范。
1����、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)領(lǐng)域企業(yè)的范圍:《保護(hù)條例》第十八條:下列單位運(yùn)行、管理的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)�����,一旦遭到破壞����、喪失功能或者數(shù)據(jù)泄露����,可能?chē)?yán)重危害國(guó)家安全����、國(guó)計(jì)民生、公共利益的�,應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍:
(一)政府機(jī)關(guān)和能源、金融�、交通、水利����、衛(wèi)生醫(yī)療、教育��、社保����、環(huán)境保護(hù)����、公用事業(yè)等行業(yè)領(lǐng)域的單位;
(二)電信網(wǎng)�����、廣播電視網(wǎng)�����、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò),以及提供云計(jì)算����、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位���;
(三)國(guó)防科工��、大型裝備、化工���、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位;
(四)廣播電臺(tái)�����、電視臺(tái)�、通訊社等新聞單位����;
(五)其他重點(diǎn)單位����。
因此��,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者(以下簡(jiǎn)稱CIIO--Critical Information Infrastructure Operators),因?yàn)槠渌诘男袠I(yè)和其運(yùn)營(yíng)的基礎(chǔ)設(shè)施的重要性���,被《網(wǎng)安法》賦予了比普通網(wǎng)絡(luò)運(yùn)營(yíng)者更為重大的安全保障義務(wù)�。
2��、特殊合規(guī)義務(wù):
1)安全保護(hù)義務(wù):設(shè)置專門(mén)安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人���,并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查;定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育�、技術(shù)培訓(xùn)和技能考核;對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份��;制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期進(jìn)行演練等���。
2)安全保密協(xié)議:關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)�,應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議��,明確安全和保密義務(wù)與責(zé)任�。
3)數(shù)據(jù)境內(nèi)留存義務(wù):關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要�,確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估�����。
4)進(jìn)行風(fēng)險(xiǎn)監(jiān)測(cè)評(píng)估的義務(wù):關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估�,并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門(mén)。
(四)跨境數(shù)據(jù)的安全評(píng)估義務(wù)
根據(jù)《網(wǎng)安法》第三十七條:關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)��。因業(yè)務(wù)需要�,確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估�����。該評(píng)估的規(guī)定也鞥與直接確定了跨境數(shù)據(jù)的傳輸規(guī)則�,具體評(píng)估的規(guī)則在《評(píng)估辦法》中也作了詳細(xì)的規(guī)范���。
三、違反《網(wǎng)安法》的法律責(zé)任
《網(wǎng)安法》第六章規(guī)定了詳盡的法律責(zé)任�����。情節(jié)較輕的�����,可責(zé)令改正����、口頭警告,情節(jié)嚴(yán)重的�,可對(duì)其進(jìn)行罰款、責(zé)令停業(yè)整頓�����、吊銷相關(guān)證照等����,對(duì)于違反該法第27條的人員,還建立了職業(yè)禁入的制度��。同時(shí)依據(jù)《網(wǎng)安法》第74條���,違法行為給他人造成損害或構(gòu)成犯罪的����,承擔(dān)相應(yīng)的民事及刑事責(zé)任���。
總之,隨著《網(wǎng)安法》和其他配套措施的陸續(xù)出臺(tái)����,企業(yè)在網(wǎng)絡(luò)安全合規(guī)管理方面將面臨更大的挑戰(zhàn)�����。普通企業(yè)應(yīng)當(dāng)結(jié)合實(shí)際情況,建立起規(guī)范的網(wǎng)絡(luò)安全內(nèi)控系統(tǒng),保障自身網(wǎng)絡(luò)系統(tǒng)和用戶信息的安全�。CIIO企業(yè)還應(yīng)當(dāng)在普通企業(yè)的基礎(chǔ)上建立更為高級(jí)別的安全保護(hù)制度,按照新規(guī)要求及時(shí)對(duì)網(wǎng)絡(luò)安全保護(hù)管理制度進(jìn)行更新,盡量降低企業(yè)在新規(guī)則下的合規(guī)風(fēng)險(xiǎn)�。
