我们所知的《中华人民共和国网络安全法》是去年11月7日通过,并从今年6月1日也就是今天开始施行的。就该法律的获准通过及其解读,FreeBuf还曾专访过段和段律师事务所创始人刘春泉律师,主要就其对企业安全可能产生的影响做了相对深入的解读。
路透社先前发表的评论文章中援引了美国商会主席James Zimmerman的话,他认为中国的这项法律“模糊,暧昧,监管机构完全可以对其进行各种解读”;不过我们知道,《网络安全法》是中国第一部有关网络安全的基础性、“大纲性”的法律,刘春泉律师就曾说过它“仍需完善”,但至少中国朝着网络安全进行了重要的一步迈进。
值此《网络安全法》施行之际,我们再行梳理相关这部法律的更多信息,期望通过下面这5个问题,让所有关心《网络安全法》的各位清楚,这部法律对我们每个人、企业组织和各种不同的角色而言意味着什么?
就网络安全法的内容来说,先前各类文章都已经说得很明确,如果你不愿意看《网络安全法》全文,那么全国人大常委会法工委经济法室副主任杨合庆早前的总结就已经比较到位。这部法律比较明确的是6个亮点:
网络安全法明确了网络空间主权的原则;
明确了网络产品和服务提供者的安全义务;
明确了网络运营者的安全义务;
进一步完善了个人信息保护规则;
建立了关键信息基础设施安全保护制度;
确立了关键信息基础设施重要数据跨境传输的规则。
以上的每个部分都有相应的内容,比如大众媒体普遍更关注个人信息隐私保护问题在《网络安全法》中的体现。中国日报在评论文章中提到《网络安全法》带来的第一个好处就是个人信息不再“裸奔”,这是个人信息保护制度带来的变化。
再比如该法明确了网络是国家主权范围,需要进行管辖。明确网络空间主权至少已经从最基础的层面提出国家对网络空间行使权力的问题。如第七十五条,“境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任…”
网络产品和服务提供者的安全义务,以及网络运营者的安全义务都是对企业安全提出的要求,或者说对互联网及有互联网业务的企业而言提出了基本的安全需求。比如对企业安全资质、内部技术、安全制度作具体规定。
而“关键信息基础设施保护制度”,目的是为了保证涉及国家安全、国计民生、公共利益的信息系统及设施的安全。这里的“关键基础设施”范围尚未划定,网信办还在研究制定指导性文件与标准,为不同的行业领域明确关键信息基础设施的具体范围。这类数据的跨境传输自然也需要作相应规定。
有关这个问题,在我们先前和刘春泉律师的采访中已经相对详细地探讨过。当时我们就提到《网络安全法》是个基础性质的法律,而且它具有一定的偏向性。配合《网络安全法》的另一套“组合拳”还在紧张的筹备中。
前文提到“关键基础设施”的时候就聊到,这个概念的范畴在《网络安全法》中并没有明确,但网信办正在对此进行研究,从事标准与文件的制定。实际上,中国经济网昨天的消息提到,有关部门正在研究起草相关制度文件,包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法、网络关键设施和网络安全专用产品目录等。这些实际上都是更为具体的,用于对《网络安全法》的具体施行作补充的内容。
到目前为止,《网络产品和服务安全审查办法(试行)》的配套制度文件已经公开发布;国家标准化部门还在抓紧组织制定《个人信息安全规范》等标准。所以《网络安全法》从来就不是孤立的、静态的。
比如“关键基础设施”无论在哪个国家的各行业都是相当复杂的,也是后续需要完善和调整的。所以《网络安全法》从来不是一纸空文,或者说它为后续更多工作的开展提供了基础。
法新社在最近的一篇评论文章中援引耶鲁法|·www.9159.com24小时客服学院中美关系专家Graham Webster的话:“很显然,其管理制度正在发展,而且并不是像一盏灯一样在6月1日进行一次简单的开关。”中国“正与许多国家一样,针对面临的合法化问题和挑战进行角力。即便有种种警示和含糊不清的问题,但都是期望让它往好的方向发展。”
实际上,《网络安全法》的制定从开展调查、确定立法思路起草草案大纲、拟订主要制度和初步方案、征求不同部门意见,再到草案初稿、修改并形成草案——这些过程都是为解决具体问题而作的,包括现在仍在进行的各项规则、标准和文件制定工作。
如前所述,配套和相关法律法规都会相继到来。可能很多人并不知道6月1日起开始施行的并不只是《网络安全法》。如果就相关网络安全的内容来谈,实际上还有部分法律法规也在今天起实施。包括:
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》:《刑法》中提到侵犯公民个人信息罪的入罪要件是“情节严重”,而这则解释就明确了什么是“情节严重”,包括行踪轨迹信息、内容信息、征信信息、财产信息——非法获取、出售或提供50条以上即为情节严重。白帽子需要在意这一解释。
《网络产品和服务安全审查办法(试行)》:着力于提高网络产品和服务安全可控水平。
《互联网新闻信息服务许可管理实施细则》等:这一细则进一步明确,通过互联网、公众帐号、即时通讯工具、网络直播、论坛等提供互联网信息服务的,需要取得互联网新闻信息服务许可,且服务提供者转载新闻信息,应注明新闻信息来源、原作者、原标题、编辑真实姓名等,不得歪曲、篡改标题原意和新闻信息内容,并保证新闻信息来源可追溯。和《网络安全法》一起,这是新媒体需要注意规范的。
这主要是值得企业作大量研究的问题,尤其是对企业安全做出更为具体的要求和规定。刘春泉律师说过:
“《网络安全法》比较侧重于企业安全,比如企业应该怎么去保护信息、怎么去保护网络安全等。”“《网络安全法》颁布之后,企业需要重视自己的安全建设。”
此后企业有了更具体的义务和责任去维护网络安全,并对用户和客户负责。比如其中第二十一条,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应补救措施,并按照规定向有关主管部门报告。
再比如从第三十三条,至第三十八条针对关键信息基础设施运营者所做的规定(如关键信息基础设施运营商应当自行或委托网络安全服务机构对其网络安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门),具有相当的强制性——在法律责任部分明确提到若不履行这些规定,则由有关主管部门责令整改、给予警告;拒不改正或导致危害网络安全等后果的,处十万元以上一百万元以下罚款,而且还对直接负责的主管人员除以一万元以上、十万元以下罚款。
这些都是值得企业组织去认真学习与核对的。总的来说,是对企业安全资质和制度、内部技术做了规定,如果达不到法律的要求,网络服务提供者将无法开展服务,甚至对不具备法律要求安全技术能力的企业可吊销证照。
至于个人,前文提到的个人信息保护大约是《网络安全法》的重头戏了。比如其中明确网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息,并规定了相应法律责任。这也是白帽子需要注意的问题。
还有《网络安全法》以法律的形式对网络实名制做出了规定,若不提供真实身份信息,网络运营者将不能为其提供相关服务。这对个人用户而言也是需要关心的,相关审查的内容。比如百度网盘、贴吧等产品从6月1日起就正式实行实名制,如果用户此后未能完成实名认证,后续百度部分产品使用会受到一定的限制。
在去年《网络安全法》通过之际就有不少国外媒体提到,这对身在中国的外企而言是个坏消息。这可能也是《网络安全法》的一个聚焦热点,除了境外机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国关键信息基础设施的活动,造成严重后果需要依法追究法律责任,其中还有一条提到关键信息基础设施运营者在中华人民共和国境内收集产生的个人信息和重要数据应当在境内存储。
澎湃新闻在针对国家互联网信息办公室网络安全协调局的采访中,有关负责人就提到这项规定是对关键信息基础设施运营者提出的要求,而非所有网络运营者;而且也并不针对所有数据,仅限个人和重要数据;需要出境的数据,经过安全评估认为不会危害国家安全和社会公共利益的是可以出境的;经过个人信息主体同意的个人信息也可以出境(比如拨打国际电话、发送国际电子邮件、跨境购物都视为个人信息主体同意)。
而已经发布的《网络产品和服务安全审查办法(试行)》对可能影响国家安全的产品和服务进行安全审查,并不针对特定国家地区,也没有国别差异,目的是提高网络产品和服务的安全可控水平,维护国家安全与公共利益。
总的来说,《网络安全法》的部分职责是维护国家网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的利益,“而不是要限制国外企业、技术、产品进入中国市场,不是要限制数据依法有序自由流动”。
《网络安全法》的意义已无需多言,这是国内针对安全的立法向网络安全强国看齐的重要一步,即便它尚无解决所有网络安全问题的可能,却依旧是个很好的开始,而且是从今天开始。
下一篇: 如何保护企业云免受勒索软件攻击?