文/吳麗勤
北京岳成律師事務所重慶分所
近年來,合規是法律界和企業界最受關注的話題之一���,而隨著《中華人民共和國網絡安全法》(以下簡稱《網安法》)在2017年6月1日的正式實施�����,中國企業網絡安全和個人信息保護合規的序幕也被揭開,各企業根據《網安法》的內容來改善合規體系�����、及時制定或更新內部網絡安全制度�����、落實網絡安全合規工作也勢在必行。
下面我們將以企業的視角����,根據《網安法》的相關制度體系�,并結合《關鍵信息基礎設施安全保護條例(征求意見稿)》(以下簡稱《保護條例》)���、《個人信息和重要數據出境安全評估辦法(征求意見稿)》(以下簡稱《評估辦法》)����、《國家網絡安全事件應急預案》等在內的一系列已實施及即將出臺的配套實施細則,幫助企業更好的理解自身的合規義務��。
一���、《網安法》的適用范圍
根據該法第九條網絡運營者開展經營和服務活動�,必須遵守法律、行政法規����,尊重社會公德���,遵守商業道德����,誠實信用�,履行網絡安全保護義務,接受政府和社會的監督,承擔社會責任以及第十條建設����、運營網絡或者通過網絡提供服務,應當依照法律����、行政法規的規定和國家標準的強制性要求�����,采取技術措施和其他必要措施,保障網絡安全、穩定運行,有效應對網絡安全事件,防范網絡違法犯罪活動,維護網絡數據的完整性�����、保密性和可用性的規定����,可見任何企業在特定條件下(例如通過網絡提供服務)都有可能落入《網安法》的管轄范圍之內,不僅是以網上業務為主業的互聯網企業,例如電商平臺���、網約車平臺等,還包括任何在其主營業務之外,提供其他網絡服務的傳統線下企業,如面向不特定大眾提供WiFi上網服務��、網上意見反饋��、投訴舉報服務的傳統企業���。因此���,《網安法》實際上覆蓋到了各種不同的商業形態����。
另外,根據《網安法》第二條在中華人民共和國境內建設、運營�����、維護和使用網絡���,以及網絡安全的監督管理��,適用本法的規定,《網安法》的適用對象并無內外資之別,只要是中國境內的網絡運營者����,不論是內資還是外資企業��,根據網絡空間的主權原則,都同樣屬于《網安法》的規范對象。
二����、企業在《網安法》下的合規義務
(一)網絡安全方面
1��、安全保護義務:網絡運營者應當按照網絡安全等級保護制度的要求,履行相關安全保護義務��,保障網絡免受干擾��、破壞或者未經授權的訪問��,防止網絡數據泄露或者被竊取、篡改�。網絡產品�����、服務的提供者應當為其產品、服務持續提供安全維護��;在規定或者當事人約定的期限內�����,不得終止提供安全維護。
2�����、事后補救義務:網絡產品��、服務的提供者不得設置惡意程序����;發現其網絡產品�����、服務存在安全缺陷�����、漏洞等風險時,應當立即采取補救措施��,按照規定及時告知用戶并向有關主管部門報告����。
3、強制認證檢測義務:網絡產品�、服務的提供者不得設置惡意程序��;網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求后�����,方可銷售或者提供���。
4�、網絡實名管理義務:網絡運營者為用戶辦理網絡接入、域名注冊服務�����,辦理固定電話����、移動電話等入網手續,或者為用戶提供信息發布��、即時通訊等服務����,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息��。用戶不提供真實身份信息的��,網絡運營者不得為其提供相關服務��。
5、制定應急預案管理的義務:網絡運營者應當制定網絡安全事件應急預案����,及時處置系統漏洞���、計算機病毒���、網絡攻擊�����、網絡侵入等安全風險;在發生危害網絡安全的事件時�����,立即啟動應急預案��,采取相應的補救措施,并按照規定向有關主管部門報告。
6、提供技術支持協助的義務:網絡運營者應當為國家安全機關�����、公安機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助��。
7�����、設置投訴舉報機制的義務:網絡運營者應當建立網絡信息安全投訴、舉報制度����,公布投訴�、舉報方式等信息�,及時受理并處理有關網絡信息安全的投訴和舉報。
(二)用戶信息保密方面
1���、確保個人信息安全的義務:網絡產品、服務具有收集用戶信息功能的���,其提供者應當向用戶明示并取得同意;涉及用戶個人信息的�,還應當遵守本法和有關法律����、行政法規關于個人信息保護的規定��。
2�、個人信息保護義務:根據中國互聯網協會發布的《中國網民權益保護調查報告2016》顯示��,54%的網民認為個人信息泄露嚴重���,其中21%的網民認為非常嚴重。84%的網民親身感受到了由于個人信息泄露帶來的不良影響�?��!毒W安法》聚焦個人信息保密��,嚴厲打擊對個人用戶信息的泄露及非法獲取�,對于保護個人信息起到積極作用����。因此,《網安法》在第41至45條對該方面進行了明確且嚴格的規定:
除上述規定的責任和義務�,《最高人民法院��、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(兩高司法解釋),對《刑法》第253條及《刑法修正案(九)》的相關規定作出解釋�����,明晰了侵犯公民個人信息行為的定罪量刑標準����,是目前公民個人信息司法保護的重要依據。由于兩高司法解釋不僅明確了犯罪行為責任主體��,將公司��、公司高管及直接業務負責人等都納入到責任主體范圍內�����,同時也大幅降低了入罪標準,企業亟需制定規范的合規制度以避免可能的刑事責任風險�。
(三)關鍵信息基礎設施保護領域企業的特殊合規義務
《關鍵信息基礎設施安全保護條例》雖然目前尚在征求意見階段�����,但其條款也顯示了國家將對相關主體進行特殊規范���。
1���、關鍵信息基礎設施保護領域企業的范圍:《保護條例》第十八條:下列單位運行�����、管理的網絡設施和信息系統��,一旦遭到破壞、喪失功能或者數據泄露���,可能嚴重危害國家安全、國計民生����、公共利益的����,應當納入關鍵信息基礎設施保護范圍:
(一)政府機關和能源��、金融����、交通����、水利、衛生醫療��、教育�、社保、環境保護��、公用事業等行業領域的單位�;
(二)電信網��、廣播電視網���、互聯網等信息網絡����,以及提供云計算��、大數據和其他大型公共信息網絡服務的單位�����;
(三)國防科工����、大型裝備����、化工、食品藥品等行業領域科研生產單位��;
(四)廣播電臺��、電視臺����、通訊社等新聞單位�;
(五)其他重點單位。
因此�����,關鍵信息基礎設施運營者(以下簡稱CIIO--Critical Information Infrastructure Operators),因為其所在的行業和其運營的基礎設施的重要性����,被《網安法》賦予了比普通網絡運營者更為重大的安全保障義務�����。
2�、特殊合規義務:
1)安全保護義務:設置專門安全管理機構和安全管理負責人�����,并對該負責人和關鍵崗位的人員進行安全背景審查�����;定期對從業人員進行網絡安全教育、技術培訓和技能考核;對重要系統和數據庫進行容災備份;制定網絡安全事件應急預案,并定期進行演練等�����。
2)安全保密協議:關鍵信息基礎設施的運營者采購網絡產品和服務��,應當按照規定與提供者簽訂安全保密協議����,明確安全和保密義務與責任���。
3)數據境內留存義務:關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲�。因業務需要,確需向境外提供的���,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估����。
4)進行風險監測評估的義務:關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門���。
(四)跨境數據的安全評估義務
根據《網安法》第三十七條:關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要�,確需向境外提供的����,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估�����。該評估的規定也鞥與直接確定了跨境數據的傳輸規則���,具體評估的規則在《評估辦法》中也作了詳細的規范�。
三、違反《網安法》的法律責任
《網安法》第六章規定了詳盡的法律責任��。情節較輕的��,可責令改正�����、口頭警告,情節嚴重的��,可對其進行罰款����、責令停業整頓、吊銷相關證照等�,對于違反該法第27條的人員��,還建立了職業禁入的制度。同時依據《網安法》第74條�����,違法行為給他人造成損害或構成犯罪的��,承擔相應的民事及刑事責任。
總之,隨著《網安法》和其他配套措施的陸續出臺��,企業在網絡安全合規管理方面將面臨更大的挑戰�。普通企業應當結合實際情況,建立起規范的網絡安全內控系統���,保障自身網絡系統和用戶信息的安全。CIIO企業還應當在普通企業的基礎上建立更為高級別的安全保護制度�,按照新規要求及時對網絡安全保護管理制度進行更新��,盡量降低企業在新規則下的合規風險。
