《网络安全法》及其部分配套规定今起实施
作者:宁宣凤 吴涵 李沅珊
2016年11月7日,全国人大常委会审议通过了《中华人民共和国网络安全法》(“《网安法》”),该法将于2017年6月1日,也即今日正式实施。为了配合《网安法》的实施,国家互联网信息办公室(以下简称“网信办”)在《网安法》出台后陆续发布了一系列配套规定,并将与《网安法》同日实施。除此之外,网信办网络安全协调局负责人还透露,《网安法》实行之日起一年内将有更多的配套规定出台,包括但不限于关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法等。[1]
作为我国网络安全领域的基础性法律,《网安法》的正式施行对于维护我国网络安全及规范相关市场主体行为具有重大意义。本文根据我们前期跟踪发布的法律法规解读,对今日实施的《网安法》和配套规定,及其个人信息保护相关的司法解释进行梳理,并列举未来一年内可能发布的更多相关规定和技术标准,为企业进行网络安全及数据合规提供参考。
《网安法》以及配套规定
总体而言,《网安法》一共有七章七十九条,分别从网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任五个方面对网络运营者应对网络安全挑战进行了框架性的规定。
回顾《网安法》的立法过程历时近一年半、在三易其稿后终获全国人大常委会通过。在整个制订过程中,《网安法》因其对我国网络安全领域的全面规制和重大影响而广受社会各界、特别是经营互联网相关业务的企业的高度关注。对于此类企业、特别是在华外资企业而言,需特别注意的《网安法》要点包括(点击链接查看全文:《网安法》来了——企业应该知道的五件事):
第一、就适用范围而言,《网安法》的适用对象并无内外商之别,只要是在我国境内通过网络提供服务,不论是内资还是外资企业,都同等受制于《网安法》的各项规定和要求。
第二、就网络运行安全而言,我国法律首次提出“网络安全等级保护制度”这一概念。但《网安法》并未进一步阐明该制度的内涵,也没有说明该制度将如何实施以及“网络安全等级”具体又将如何划分和确定。
第三、《网安法》首次提出“关键信息基础设施”的概念,其受关注的原因主要有三:
按照其目前的定义表述,其潜在的覆盖范围十分广泛,可能影响数量众多的企业;
其为相关运营者设置了更高的、负担更重的网络安全保护义务;
对关键信息基础设施传输个人信息和业务数据至境外的独特限制。
第四、在“网络运行安全”之外,《网安法》的另一侧重点在于保护“网络信息安全”,特别是网络运营者收集和使用的“个人信息”的安全。在这方面,《网安法》进行了诸多首创新的规定:
首次在法律层面确立了一般意义上“个人信息”的概念;
首次成体系地在法律层面确定了个人信息保护的基本规则;
首次明确了禁止向他人提供个人信息的例外情形;
在法律层面规定特定个人信息的本地化存储要求,以维护国家信息安全;
首次在法律层面明确了违反个人信息保护规则的行政责任。(点击链接查看全文:个人信息保护的百万罚单时代来了?)
第五、同样出于保障网络安全的考虑,《网安法》对于“网络关键设备和网络安全专用产品”的相关经营者也设定了专门要求。因此,一家企业即使不属于网络运营者,只要其从事“销售”或“提供”此类设备和产品的业务,同样需要遵守《网安法》的相关规定。
基于以上《网安法》的总体框架,网信办还发布了以下将于今日(2017年6月1日)生效实施的规定。
1.《网络产品和服务安全审查办法(试行)》(以下简称“《审查办法》”)
2017年5月2日,网信办发布了《网络产品和服务安全审查办法(试行)》(“《审查办法》”),并将于2017年6月1日起正式实施。尽管《审查办法》仅有十六条规定,但其构建了网络产品和服务安全审查的基本制度框架。相比于网信办于2017年2月4日发布的《网络产品和服务安全审查办法(征求意见稿)》(以下简称“《征求意见稿》”),试行的《审查办法》在多个方面做出了改进。
具体而言:
《审查办法》删除了《征求意见稿》第一条、第二条、第四条第(5)项中的“公共利益”,避免对安全审查的产品和服务的范围以及审查过程中的判断标准进行任意扩大化解释;
综合考虑现实商业实践后,审查办法》将审查起始点从“研发环节”延后至“生产、测试环节”;
明确了党政部门或重点行业只要采购的产品和服务属于“关系国家安全的网络和信息系统的重要网络产品和服务”,均应经过网络安全审查,即将“未进行审查”(灰名单)和“未通过审查”(黑名单)的产品和服务完全排除在允许采购的范围之外;
一定程度上厘清了,评估报告是针对“网络产品和服务”,而不是对“提供者”安全性和可信性的定性结果;
新增的救济途径和罚则条款弥补了《征求意见稿》中的缺失(点击链接查看全文:画龙画虎先画骨——解读《网络产品和服务安全审查办法(试行)》)。
2.《互联网新闻信息服务管理规定》(以下简称“《管理规定》”)和《互联网新闻信息服务许可管理实施细则》(以下简称“《实施细则》”)
网信办分别于2017年5月2日和5月22日发布了《管理规定》和《实施细则》,二者都自2017年6月1日起施行。
网信办在《管理规定》中不仅将《网安法》明确列为立法依据之一,而且将《网安法》下的信息安全保护、用户实名制等要求有机融入《管理规定》对互联网新闻信息服务的监管,凸显了在全新的自媒体态势下,对于互联网新闻除业务监管和舆论监管以外的第三重重要监管维度即“网络安全监管”,从而使《规定》直接成为《网安法》的重要配套措施之一。
另外值得注意的是,《管理规定》不再采用“新闻单位”和“非新闻单位”之分,对提供互联网新闻信息服务的“单位”的“设立”进行分类审批或备案制监管的思路;而是改之以对“互联网新闻信息采编发布服务、转载服务、传播平台服务”这三大服务类型进行许可式监管,发以《互联网新闻信息服务许可证》,并通过设定《互联网新闻信息服务许可证》有效期和申请续办的程序加强持续监管。(点击链接查看全文:开启互联网新闻监管新时代——解读《互联网新闻信息服务管理规定》)。
《实施细则》规定,获准提供互联网新闻信息采编发布服务的,可以同时提供互联网新闻信息转载服务;获准提供互联网新闻信息传播平台服务,拟同时提供采编发布服务、转载服务的,应当依法取得互联网新闻信息采编发布、转载服务许可。此外,还对许可变更、续办、注销等环节的条件、材料、程序等提出明确要求,进一步完善许可退出机制。
3.《互联网信息内容管理行政执法程序规定》(以下简称“《程序规定》”)
2017年5月2日,网信办发布了《程序规定》,并将于2017年6月1日起正式实施。《程序规定》在《行政处罚法》的基本原则下做到“统一协调、面面俱到、内外兼修、与时俱进”,为此后监管执法工作提供了重要的法律依据,可谓是互联网信息内容管理行政执法所仰仗的“利器”。
具体而言,《程序规定》要求各管理部门应当建立行政执法督查制度,由上级部门对下级部门的执法行为进行督查。此外,《程序规定》还要求执法人员应当参加相关培训,经考试或考核后持证上岗,务求在执法队伍建设层面提升执法的规范性。而就具体的执法程序要求而言,《审查办法》从管辖、立案、调查取证、听证与约谈、处罚决定与送达、执行与结案等六大板块,较为全面地规范了国家与地方网信部门的执法行为,为在《网安法》的指导下有效推进互联网信息内容的管理奠定了坚实的程序基础(点击链接查看全文:欲善其事,先利其器——解读《互联网信息内容管理行政执法程序规定》)。
个人信息保护的相关司法解释
如上所述,《网安法》除了对维护网络安全、关键信息基础设施保护等层面做出了明确规定之外,还从个人信息定义、个人信息收集、存储、传输、使用等流转环节的限制以及个人信息泄露的行政责任等方面规定了个人信息保护的基本原则。
在《网安法》出台之前,由于我国没有统一制定的个人信息保护法,个人信息保护的主要依据是2012年全国人大常委会颁布的《关于加强网络信息保护的决定》和2013年全国人大常委会出台的《关于修改<中华人民共和国消费者权益保护法>的规定》,以及2009年通过的《刑法修正案(七)》和2015年通过的《刑法修正案(九)》。《刑法修正案》中关于打击侵犯公民个人信息犯罪的条款被普遍认为是个人信息保护的最后底线。
在《网安法》开始实施之际,2017年5月9日最高人民法院、最高人民法院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(“《解释》”),也将于今日同时正式施行。
《解释》对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。
相比于《网安法》,《解释》扩大了个人信息的认定范围,将个人信息的定义覆盖到“反映特定自然人活动情况的各种信息”,使得比如行踪轨迹信息等具有某种隐私或私密属性的信息类型也纳入到个人信息的范围中;
《解释》明确了“提供”公民个人信息的含义,即“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的”都属于提供公民个人信息的情形;
扩大了非法利用信息网络罪的使用范围,将个人信息交易的网站、微信群、QQ群等形式也明确纳入刑法打击范围;
《解释》对于违反信息网络安全管理义务的刑事责任、涉案公民个人信息数量的计算标准予以了澄清(复制链接查看《解释》全文http://www.spp.gov.cn/xwfbh/wsfbt/201705/t20170509_190088.shtml )。
即将发布的相关规定
随着《网安法》的正式实施,相关的配套规定尚待进一步完善,以下是我们对于近期可能发布或生效的配套规定的初步梳理。
序号
即将发布的规定或技术标准
发布时间
《网安法》依据条款
1
个人信息和重要数据出境安全评估办法(征求意见稿)
2017年4月11日[2]
第三十七条
2
信息安全技术 数据处境安全评估指南(草案)》征求意见稿
2017年5月27日
第三十七条
3
重要数据识别指南
近期
第三十七条
4
个人信息安全规范
近期
第三十七条
5
网络关键设备和网络安全专用产品目录
近期
第二十一条
6
关键信息基础设施的具体范围和安全保护办法
近期
第二十一条
《网安法》的正式施行标志着我国网络空间领域的发展和现代化治理迈出了坚实的一步。但也由于网络安全监管的敏感性和复杂性,《网安法》在设定总体框架的同时,在实际操作层面仍留下了一系列亟待进一步填补的空白,这些空白很可能将在很大程度上决定《网安法》今后的实际执行效果。对于广大在华运营的企业来说,有必要理解《网安法》及其配套措施的规制范围,持续跟踪既有规定以及执行情况对于企业合规以及商业行为的影响。 我们也将与企业一同密切关注《网安法》执法的发展以及其他配套措施的发布。
[1]《网络安全法》施行前夕,国家网信办网络安全协调局负责人答记者问,http://news.163.com/17/0531/13/CLP45MPI000187VI.html。
[2] 据了解,网信办可能对于网络运营者数据出境需符合安全评估办法的要求预设缓冲期,初步设定为自2018年12月31日起实施。