文/吴丽勤
北京岳成律师事务所重庆分所
近年来,合规是法律界和企业界最受关注的话题之一,而随着《中华人民共和国网络安全法》(以下简称《网安法》)在2017年6月1日的正式实施,中国企业网络安全和个人信息保护合规的序幕也被揭开,各企业根据《网安法》的内容来改善合规体系、及时制定或更新内部网络安全制度、落实网络安全合规工作也势在必行。
下面我们将以企业的视角,根据《网安法》的相关制度体系,并结合《关键信息基础设施安全保护条例(征求意见稿)》(以下简称《保护条例》)、《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称《评估办法》)、《国家网络安全事件应急预案》等在内的一系列已实施及即将出台的配套实施细则,帮助企业更好的理解自身的合规义务。
一、《网安法》的适用范围
根据该法第九条网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任以及第十条建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性的规定,可见任何企业在特定条件下(例如通过网络提供服务)都有可能落入《网安法》的管辖范围之内,不仅是以网上业务为主业的互联网企业,例如电商平台、网约车平台等,还包括任何在其主营业务之外,提供其他网络服务的传统线下企业,如面向不特定大众提供WiFi上网服务、网上意见反馈、投诉举报服务的传统企业。因此,《网安法》实际上覆盖到了各种不同的商业形态。
另外,根据《网安法》第二条在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法的规定,《网安法》的适用对象并无内外资之别,只要是中国境内的网络运营者,不论是内资还是外资企业,根据网络空间的主权原则,都同样属于《网安法》的规范对象。
二、企业在《网安法》下的合规义务
(一)网络安全方面
1、安全保护义务:网络运营者应当按照网络安全等级保护制度的要求,履行相关安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
2、事后补救义务:网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
3、强制认证检测义务:网络产品、服务的提供者不得设置恶意程序;网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
4、网络实名管理义务:网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
5、制定应急预案管理的义务:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
6、提供技术支持协助的义务:网络运营者应当为国家安全机关、公安机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
7、设置投诉举报机制的义务:网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
(二)用户信息保密方面
1、确保个人信息安全的义务:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
2、个人信息保护义务:根据中国互联网协会发布的《中国网民权益保护调查报告2016》显示,54%的网民认为个人信息泄露严重,其中21%的网民认为非常严重。84%的网民亲身感受到了由于个人信息泄露带来的不良影响。《网安法》聚焦个人信息保密,严厉打击对个人用户信息的泄露及非法获取,对于保护个人信息起到积极作用。因此,《网安法》在第41至45条对该方面进行了明确且严格的规定:
除上述规定的责任和义务,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(两高司法解释),对《刑法》第253条及《刑法修正案(九)》的相关规定作出解释,明晰了侵犯公民个人信息行为的定罪量刑标准,是目前公民个人信息司法保护的重要依据。由于两高司法解释不仅明确了犯罪行为责任主体,将公司、公司高管及直接业务负责人等都纳入到责任主体范围内,同时也大幅降低了入罪标准,企业亟需制定规范的合规制度以避免可能的刑事责任风险。
(三)关键信息基础设施保护领域企业的特殊合规义务
《关键信息基础设施安全保护条例》虽然目前尚在征求意见阶段,但其条款也显示了国家将对相关主体进行特殊规范。
1、关键信息基础设施保护领域企业的范围:《保护条例》第十八条:下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。
因此,关键信息基础设施运营者(以下简称CIIO--Critical Information Infrastructure Operators),因为其所在的行业和其运营的基础设施的重要性,被《网安法》赋予了比普通网络运营者更为重大的安全保障义务。
2、特殊合规义务:
1)安全保护义务:设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练等。
2)安全保密协议:关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
3)数据境内留存义务:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
4)进行风险监测评估的义务:关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
(四)跨境数据的安全评估义务
根据《网安法》第三十七条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。该评估的规定也鞥与直接确定了跨境数据的传输规则,具体评估的规则在《评估办法》中也作了详细的规范。
三、违反《网安法》的法律责任
《网安法》第六章规定了详尽的法律责任。情节较轻的,可责令改正、口头警告,情节严重的,可对其进行罚款、责令停业整顿、吊销相关证照等,对于违反该法第27条的人员,还建立了职业禁入的制度。同时依据《网安法》第74条,违法行为给他人造成损害或构成犯罪的,承担相应的民事及刑事责任。
总之,随着《网安法》和其他配套措施的陆续出台,企业在网络安全合规管理方面将面临更大的挑战。普通企业应当结合实际情况,建立起规范的网络安全内控系统,保障自身网络系统和用户信息的安全。CIIO企业还应当在普通企业的基础上建立更为高级别的安全保护制度,按照新规要求及时对网络安全保护管理制度进行更新,尽量降低企业在新规则下的合规风险。
