解读《网络安全法》及《网络安全审查办法 (修订草案征求意见稿)》的新变化【惟胜会·数字安全】
惟胜道律师事务所
2021 年 8 月 3 日
+ 更多信息 后退
自2021年8月起,惟胜道数字安全研究小组将推出《数字安全合规月刊》电子版,电子月刊聚焦网络安全与数据保护,呈现前沿动态、新规速递、热点案例、专业解读等内容,帮助读者掌握最新前沿趋势。若您对此感兴趣,请在惟胜会公众号后台留下您的【邮箱+姓名】,并特别注明数字安全合规月刊。
2015年6月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》。2016年11月7日,十二届全国人大常委会表决通过了《中华人民共和国网络安全法》(以下简称《网络安全法》)。作为我国的网络安全基本法,《网络安全法》是网络安全领域“依法治国”的重要体现,对保障我国网络安全有着重大意义。国家互联网信息办公室(下称“网信办”)于2021年7月10日发布了关于《网络安全审查办法(修订草案征求意见稿)》(下称“意见稿”)公开征求意见的通知。没有网络安全就没有国家安全,没有信息化就没有现代化。党的十八大以来,以习近平同志为核心的党中央从总体国家安全观出发,对加强国家网络安全工作作出了重要的部署,对加强网络安全法制建设提出了明确的要求,制定《网络安全法》是适应我们国家网络安全工作新形势、新任务,落实中央决策部署,保障网络安全和发展利益的重大举措,是落实国家总体安全观的重要举措。中国是网络大国,也是面临网络安全威胁最严重的国家之一,迫切需要建立和完善网络安全的法律制度,提高全社会的网络安全意识和网络安全保障水平,使我们的网络更加安全、更加开放、更加便利,也更加充满活力。在这样的形势下,制定网络安全法是维护国家广大人民群众切身利益的需要,是维护网络安全的客观需要,是落实国家总体安全观的重要举措。《网络安全法》是国家安全法律制度体系中的一部重要法律,是网络安全领域的基本大法。《网络安全法》完善了网络安全义务和责任,明确提出了有关国家网络空间安全战略和重要领域安全规划等问题的法律要求,是适应我国网络安全工作新形势、新任务,落实中央决策部署,保障网络安全和发展利益的重大举措。没有网络安全就没有国家安全,没有网络主权就没有网络空间安全。网络空间主权主要表现为三方面:一是对内的最高权,各国有权自主选择网络发展道路、网络管理模式、互联网公共政策;二是对外的独立权,各国有平等参与国际网络空间治理的权利;三是防止危害国家的网络安全,不搞网络霸权,不干涉他国内政,不从事、纵容或支持维护他国国家安全的网络活动。根据国家网络空间主权原则,国家不仅有权对其领土境内的关键基础设施基、重要数据、网络空间活动和信息通信网络监管理行使主权,也可依法对境外个人或组织对我国境内的网络破坏活动行使司法管辖权,即具有域外的效力。《网络安全法》中明确规定,网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。《网络安全法》对网络运营者等主体的法律义务和责任做了全面规定,确定了相关法定机构对网络安全的保护和监督职责,明确了网络运营者应履行的安全义务,平衡了涉及国家、企业和公民等多元主体的网络权利与义务,协调政府管制和社会共治网络治理的关系,形成了以法律为根本治理基础的网络治理模式。《网络安全法》明确运营者在收集个人信息时必须合法、正当、必要,收集应当与个人订立合同;个人信息一旦泄露、损坏、丢失,必须告知和报告,同时个人具有对其信息的删除权和更正权(删除权的两种情形:违反法律法规、约定的合同期限已满)。《网络安全法》首次将关键信息基础设施安全保护制度以立法形式进行保护。以立法的形式将国家主权范围内的关键信息基础设施列为国家重要基础性战略资源加以保护,已经成为各主权国家网络空间安全法治建设的核心内容和基本实践。6.确立了关键信息基础设施重要数据跨境传输的规则。《网络安全法》第三十七条标志着中国正式开始基于网络主权原则对数据跨境传输进行法律限制。任何本国或者外国公司在采集和存储与个人信息和关键领域相关数据时,必须使用主权国家境内的服务器。《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。同时第三十一条规定,对可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。网络运营者要从定级备案、安全建设、等级测评、安全整改、监督检查角度,严格落实网络安全等级保护制度。与网络安全产品和服务有关的安全制度主要涉及市场准入制度、强制性安全检测制度、强制性安全认证制度。2016年底,国家互联网信息办公室会同相关部门出台的《网络产品和服务安全审查办法》,采用企业承诺与社会监督相结合,第三方评价与政府监管相结合,实验室检测、现场检查、在线监测、背景调查相结合的方式,对网络产品和服务及其提供者进行网络安全审查。重点审查网络产品和服务的安全性、可控性,主要包括:产品和服务被非法控制、干扰和中断运行的风险;产品及关键部件研发、交付、技术支持过程中的风险;产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;其他可能危害国家安全和公共利益的风险。《网络安全法》第三十一条规定,“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护,关键信息基础设施的具体范围和安全保护办法由国务院制定。”这是我国首次在法律层面提出关键信息基础设施的概念和重点保护范围。为了强化对关键信息基础设施安全保护的责任,《网络安全法》从国家主体和关键信息基础设施运营者两大层面,分别明确了对关键信息基础设施安全保护的法律义务和责任。在国家层面,《网络安全法》第三十二条规定,“按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。”在关键信息基础设施运营者方面,《网络安全法》第三十四条专门设定了关键信息基础设施的运营者应当履行的四大安全保护义务:一是设置专门安全管理机构和安全管理负责人;二是定期对从业人员进行网络安全教育、技术培训和技能考核;三是对重要系统和数据库进行容灾备份;四是制定网络安全事件应急预案,并定期进行演练。另外设定了一项兜底性条款,即“以及法律、行政法规规定的其他义务”。《网络安全法》第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。同时,《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。建议今后运营者开展网络安全等级保护测评工作,这样既满足风险评估,同时满足网络安全等级保护制度。《网络安全法》立法确立了网络实名制在我国的实施,第二十四条规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通信等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。《网络安全法》第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。建议应急预案制度应覆盖所有网络安全场景、对相关人员开展应急预案培训、结合发生的安全事件和面临的安全风险,制定符合自身组织架构的网络安全应急预案,并在预案中明确内部及业务部门的应急响应责任,准备措施以及应对突发事件的配合机制,并组织演练。《网络安全法》第五十一条规定,国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。要全面加强网络安全检查,认清风险,找出漏洞,通报结果,督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。要建立政府和企业网络安全信息共享机制,把企业掌握的大量网络安全信息用起来。”《网络安全法》第五十二条规定,负责关键信息基础设施安全保护工作的部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。这条主要从行业层面讲安全态势感知与信息通报制度,行业主管部门要在国家指导下出台行业层面的“网络安全监测预警和信息通报制度”。《网络安全法》第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。同时,第二十二条规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。《网络安全法》对保护个人信息有了明确规定,如“网络运营者不得泄露、篡改、毁损其收集的个人信息”,“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”等。《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。第三十七条是与数据主权有关的规定。数据主权也被称为数据本地化存储,指主权国家通过制定法律或规则限制本国数据向境外流动。任何本国或者外国公司在采集和存储与个人信息和关键领域相关数据时,必须使用主权国家境内的服务器。对于涉及国家安全和社会稳定的数据提出本地化要求是一个趋势,也符合国际上的立法惯例。但是,如果数据本地化要求过于泛化,会对企业(尤其是跨国企业)的业务带来负担。因此,下一步有关部门制定对关键信息基础设施的认定和数据跨境传输的安全评估办法时,如何把握数据安全和商业便利两者的平衡关系非常重要。《网络安全法》全文共七章七十九条,包括:总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任以及附则。第二部分 《网络安全审查办法(修订草案征求意见稿)》中的新变化“意见稿”共二十三条,2021年7月10日由国家互联网信息办公室发布草案征求意见。“意见稿”以《网络安全法》为基础,展现出了新的变化。”意见稿“第二条中规定的适用对象包括关键信息基础设施运营者和数据处理者。其中数据处理者作为新增主体,要求当开展“影响或可能影响国家安全”的数据处理活动时,应当进行网络安全审查。这一修改扩大了网络安全审查对象范围,强化了数据安全对国家安全的重要性,将数据安全视为国家安全的重要基石。“意见稿”第四条将中国证券监督管理委员会(“证监会”)纳入了国家网络安全审查工作机制成员单位,今后证监会将联合包括网信办在内的12个国务院组成部门和直属机构共同组织开展网络安全审查工作。意见稿赋予证监会协同开展网络安全审查工作的权利,反映出国家对境外上市公司可能产生的数据安全风险极为重视。“意见稿”第六条是本次修订的重点所在。第六条规定“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”该条款有以下几点疑问:第一,运营者需要“掌握”用户个人信息,对于“掌握”的具体含义,“意见稿”并无明确规定及解释。第二,如何认定“100万用户个人信息”的用户数量标准亦无明确的规定和解释。100万的数量级是指向用户数量还是信息数量?用户范围是仅限于国内用户,还是也包括国外用户?上述疑问均需要进一步解答。第三,“赴国外上市”,需要注意的是表述中使用的是“国外”而非“境外”,那么赴香港上市是否属于应当申报网络安全审查的范围?一方面,从字面理解,“境外”是指中国边境(国界)以外的所有国家与地区,包括港澳台和其他外国国家和地区。“国外”则是指中国以外的国家和地区,不包括港澳台地区。另一方面,《网络安全法》第三十七条使用了“中华人民共和国境内”的表述,说明在法律意义上“国内”与“境内”的概念是存在差别的。由此可见,赴香港上市可能并不在本条的规制范围之内。“意见稿”并未对上述疑问进行解释,最终仍需等待相关法律法规作出规范。首先,针对赴国外上市的运营者,在申报网络安全审查时要求提交的申报材料中增加了“拟提交的IPO材料”,可以帮助网络安全审查办公室进一步判断运营者在国外上市可能涉及的数据安全、网络安全问题。其次,意见稿将特别审查程序的期限从45个工作日延长至3个月,于是一般情形下,网络安全审查所需时间在45+15个工作日左右,特别审查程序则可能需要45日+15日+3个月甚至更长,有利于各审查工作机制成员单位充分考量涉及国家安全的事项,并做出谨慎决定。但是“提交补充材料的时间不计入审查时间”和“情况复杂的可以延长时间”给审查期限增加了很大的不确定性。“意见稿”中的上述新增与修改是为了保障我国数据安全,同时也是维护我国在全球范围内的数据主权。
