田申
腾讯网络安全与犯罪研究基地高级研究员
《网络安全法》已于2017年6月1日正式实施,作为互联网安全领域的基本法,其确立了网络安全的四大维度、建立了网络安全等级保护制度,明确了网络运营者的相关责任。
这些规定以及网安法后续配套的规章、标准、指南等都将会对互联网公司的战略布局、策略安排、业务开展等领域产生一系列影响。为了向互联网产品侧提供更为直观、精准的解读,我们尝试使用“法律绘像”的方式对《网络安全法》进行可视化表达。
《网络安全法》
确立的安全维度
网络安全是《网络安全法》的核心概念,网络安全的内容与范围决定了该法的调整范围与保护对象。根据《网络安全法》的规定,网络安全包括以下四个维度:
1.物理安全
物理安全即网络设备基础设施的安全。其中包括关键信息基础设施使用与采购符合国家强制性标准的设备;网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供等等
2.运行安全
运行安全即信息系统的运行安全。其中主要包括运营商提供产品或服务过程中不得设置恶意程序、发现安全缺陷与漏洞风险进行防控与报告、落实网络实名制规定、应急机制建设等方面。
3.数据安全
数据安全即信息数据的自身安全。在网络安全法中,对于个人数据与重要数据的安全保护被提升到很高的层面。根据网安法要求,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。在提供、使用用户信息时必须征得用户同意或者对数据做脱敏化处理。同时,对于关键信息基础设施中的个人信息与重要数据出境需要由国家进行安全评估。
4.内容安全
内容安全即信息利用的安全。其主要是指,任何组织和个人在使用网络时应当遵守国家法律法规,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
《网络安全法》
对互联网公司的主要影响
《网络安全法》全面强化的了网络运营者的安全管理义务,我们归纳总结《网络安全法》中关于网络运营者的十大安全管理义务:
结合上述十大管理义务,对互联网公司主要产品与业务产生的影响如下:
1.强化网络运营者的安全风险内控责任
《网络安全法》要求网络运营者应当从内部建立专门的网络安全管理部门,制定落实网络安全管理标准,采用与完善相关技术手段与措施,维护防止危及网络运营安全的事件发生。同时,要对网络运行状态进行检测,对相关网络日志应当保存不少于6个月(监测、记录网络运行状态、网络安全事件的技术措施相关的网络日志)。此外,网络运营者对于产品与服务应当持续提供安全维护,不得在规定或约定期限内停止安全维护。
2.风险告知与报告责任
风险告知与报告责任是指网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险,或者发生个人信息泄露时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。这里需要指出的是,公司在发现安全缺陷、漏洞在履行告知和报告义务后,如果向社会公布这些安全缺陷或者漏洞的,还需要遵守国家有关规定。换句话说,就是,发现问题要向用户和国家主管部门报告,但如果向社会全体公布这些问题的,还应当遵守相关的国家规定。
3.强化个人信息的保护义务
保护个人信息是当前网络工作中的重要方面,随着云计算、大数据时代的到来,越来越多的企业和机构拥有搜索个人信息的能力,个人信息的使用、交互、跨境传输越发频繁。虽然个人信息大数据的应用场景愈来愈丰富,但随之而来的网络犯罪也愈发严重。在这一背景下,《网络安全法》将公民个人信息的保护提升到了一个前所未有的高度,这也给我们公司的产品侧提出了更高的安全保护要求。
该规定涉及互联网公司的绝大多数产品,其中对于具有收集海量用户信息的产品在收集、使用用户个人信息时需要注意相关问题:
第一,收集、产生用户个人信息时履行告知义务,对于需要采集、使用用户个人信息的,应当在用户协议与安装时进行强提醒,做到告知合规。
第二,使用、提供用户个人信息时应当履行告知义务,或者对个人信息数据进行脱敏处理。个人数据的大规模交换、使用目前已经是数字经济的基础,而《网络安全法》明确规定了网络运营者在对个人信息进行大数据处理、使用时应当征得用户同意或者使数据不可回溯到用户个人。
对于征得用户同意,需要在合规策略上进行调整,而对于数据脱敏,目前没有统一标准与认识,这需要各产品侧结合数据使用的具体场景对用户数据的脱敏进行事前评估风险、事中合同约束、事后补救等措施予以落实。
第三,《网络安全法》确立了“用户通知删除”规定,即:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”
这对于收集用户信息的产品侧提出来新的要求,即:建立用户个人信息投诉、反馈机制,并借鉴《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中关于“用户通知”的要求完善我们的用户投诉提交清单制度。
4.用户身份管理责任:网络实名制
用户身份管理责任即网络实名制责任,根据《网络安全法》规定,网络运营者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。实名制的指导原则是“后台实名,前台自愿”。
在《网络安全法》实施前,在相关法规与规范性文件中对于“网络实名制”已经提出了相应的要求,但这是第一次将该规定上升到国家级的法律层面。由此对于互联网公司的网络服务提出了明确要求。
这里对互联网公司的挑战在于,部分产品或因用户增量巨大导致尚未全部完成实名认证工作,例如,游戏帐号等实名认证工作还有待加强。此外,许多产品为了更好的用户体验,登录方式采用网络社交帐号转跳接入方式完成,这种方式是否完全符合实名制的要求还需要进一步研究。
此外,对于用户冒用他人身份证件、电话号码等进行实名验证的,产品在用户协议中应当明确责任归属,同时也要在不影响业务开展的情况下尽量丰富验证实名审查机制。
5.全面治理网络空间的机遇与挑战:合法使用网络、阻断义务、配合义务、投诉机制
《网络安全法》针对层出不穷的网络违法犯罪现象进行规制:任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
我们一直对于滋生在互联网公司产品或者服务上的网络违法犯罪事件深恶痛绝,一方面互联网公司自身通过技术手段对抗网络黑灰色产业链,另一方面,也通过积极配合司法机关严厉打击网络诈骗等网络犯罪行为。
《网络安全法》再次重申了合法使用网络的要求,相关条款很多都是与《刑法》内容相衔接。这对互联网公司的产业侧主要的影响有以下三个方面:
第一,全面治理网络空间,有助于司法机关保护互联网公司用户与产品的合法权益,相关配套法律及司法解释也使以往难以打击的违法犯罪活动,例如晒号软件、扫码平台等纳入法律规制范畴,这对公司的产品是有利的。
第二,全面治理网络空间,提升了互联网公司产品侧的管理责任,即需要对违法犯罪行为的发现、阻断提出了更高的要求,如果在这方面产品侧的建设跟不上,将导致陷入“拒不履行网络安全管理义务罪”、“帮助信息网络犯罪活动罪”等刑事法律风险之中。
同时,还要求网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。互联网公司的产品应当履行有害信息、数据的阻断义务,并完善用户投诉举报机制。
第三,全面治理网络空间,强化对网络违法犯罪活动的打击,提升了互联网公司产品侧的司法配合责任,即需要更多地参与到配合司法机关调查取证方面。这种配合需要基于刑事诉讼法、人民检察院刑事诉讼规则等程序性法律、司法解释的规定,而不是司法机关随意进行调取。
6.强化关键信息基础设施运营者的责任
根据《网络安全法》规定,关键信息基础设施运营者包括:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
(1)关键信息基础设施的运营者的主要责任与义务
根据网络安全法规定,关键信息基础设施运营者应当做到:
第一,设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。
第二,定期对从业人员进行网络安全教育、技术培训和技能考核。
第三,对重要系统和数据库进行容灾备份。
第四,制定网络安全事件应急预案,并定期进行演练。
(2)关键信息基础设施个人信息与重要是数据出境的评估管理责任
《网络安全法》规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因义务需要,确需向境外提供的,应当依法进行安全评估。
对于这条规定的具体支持的法规及标准为:《个人信息和重要数据出境安全评估办法》、《数据出境安全评估指南》、《重要数据识别指南》,目前上述法规及标准在征求意见阶段,正在跟踪之中。对于个人信息与重要数据出境需要注意以下几个方面:
第一,不是所有的数据出境都要进行评估,需要评估的数据只限于个人信息和重要数据,这里的重要数据是对国家而言,而不是针对企业和个人。
第二,对于确需出境的数据,法律作了制度上的安排,经过安全评估认为不会危害国家安全和社会公共利益的,可以出境。同时评估不是许可,即在国家评估过程中数据经过自评估的仍可出境,除非出现法定不得出境的条件。
第三,经个人信息主体同意的,个人信息可以出境。特别要说明的是,拨打国际电话、发送国际电子邮件、通过互联网跨境购物以及其他个人主动行为,视为已经个人信息主体同意。
对于上述公司可能被纳入关键信息基础设施的产品,需要从以下几个方面进行完善:
第一,对网络安全进行全面评估,重新修订各事业群的总体安全策略、安全技术框架、安全管理策略等配套文件以备报送。
第二,制定业务安全需求、设备安全需求、系统开发安全规范、安全功能测试、安全方案测试、项目实施需求等文件。
第三,加强业务持续性管理,保证具有支持业务稳定、持续运行的性能。
第四,理对境外传送数据的场景,特别是对重要信息基础设施的数据出境情况,完善自行评估制度,并通过技术措施和安全策将出境信息风险降低到可控范围,确保获得国家评估通过。
第五,检查需要采购的产品和服务,是否与提供者签订了安全保密协议,明确了安全保密义务。
第六,强化重要信息基础设施工作人员的安全教育,进行技术岗位培训,吸引具备相关从业资质的人员加入团队。
第七,定期根据应急预案进行安全演练,确定符合法律法规要求的演练周期,并根据实际情况调整预案。
第八,严格规范重要信息基础设施的人员招录,对被录用人的背景、专业、资质等方面进行审查。
第九,梳理需要定期备份的重要业务信息、系统数据库及软件系统,提供异地数据备份功能,将相关数据传送至备份场地。
第十,成立指导网络安全工作的指导委员会,对重要信息基础设施平台配备专职安全管理员。
下一步需注意事项
及开展工作
1.积极应对执法检查
今年是《网络安全法》正式实施的第一年,网信办等执法部门对《网络安全法》及配套法律法规的执法检查力度将有明显提升。对此,一方面需要对外密切关注执法检查重点,及时、准确向产品侧传递执法检查信息,另一方面建议各产品侧依照《网络安全法》的规定开展自查工作。
2.摸清产品侧安全风险底数
由于互联网公司各事业群的工作范围较广,几乎涉及《网络安全法》所规制的各个方面。产品侧对相关网络安全风险点进行排查,特别是对数据安全、用户个人信息安全以及内容安全等方面进行全方位评估,并做出相应的调整。
本文原题为《与互联网公司的安全治理》,转自微信公众号“刑法E本通”(ID:exingfa),敬请关注!
《网络安全法》施行前夕
国家互联网信息办公室
网络安全协调局负责人
答记者问
转自中国网信网 2017-05-31
日前,记者就《网络安全法》实施的有关问题采访了国家互联网信息办公室网络安全协调局负责人。
问:《网络安全法》于6月1日起施行,有关准备工作进展如何?
答:《网络安全法》将于6月1日起正式施行,这在网络安全历史上具有里程碑意义。
网络安全法》的公布和施行,不仅从法律上保障了广大人民群众在网络空间的利益,有效维护了国家网络空间主权和安全,而且还有利于信息技术的应用,有利于发挥互联网的巨大潜力。
《网络安全法》公布后,各部门、各地方以及广大企业、科研单位和院校开展了多种形式的学习宣传贯彻活动,法律所确定的重要理念、基本要求正在深入人心。目前,有关部门正在按照法律要求抓紧研究起草相关制度文件,包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法、网络关键设备和网络安全专用产品目录等。
其中,《网络产品和服务安全审查办法(试行)》等配套制度文件已经公开发布。国家标准化部门正抓紧组织制定《个人信息安全规范》等国家标准。总体上看,各项工作都在按计划推进。
问:据报道,近期有外国协会和机构建议推迟实施《网络安全法》,担心《网络安全法》会制造贸易壁垒、限制国外企业和技术产品进入中国市场,你对此有什么评论?
答:借鉴国际通行做法,根据本国国情,制定相关法律、行政法规,并依法对网络进行管理,完全是各国主权范围内的事情。
制定和实施《网络安全法》,其目的是要维护国家网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的权益,而不是要限制国外企业、技术、产品进入中国市场,不是要限制数据依法有序自由流动。
问:关键信息基础设施保护是《网络安全法》新设立的一项重要制度,6月1日后这一制度如何实施?
答:《中华人民共和国立法法》要求,法律规定明确要求有关国家机关对专门事项作出配套的具体规定的,有关国家机关应当自法律施行之日起一年内作出规定。
目前有关部门正在按照《网络安全法》的要求,抓紧制定相关配套规定,其中关键信息基础设施保护办法有望近期公开征求意见,个人信息和重要数据出境安全评估办法正在根据各方面意见修改完善。建议相关企业、机构等抓紧做好法律实施的准备工作,自觉用法律规范网络行为。
问:关键信息基础设施的范围如何确定?中国将采取什么措施加强关键信息基础设施保护?
答:关键信息基础设施保护制度的目的是要确保涉及国家安全、国计民生、公共利益的信息系统和设施的安全,与等级保护制度相比所涉及的范围相对较小。
从各国的情况看,具体明确关键信息基础设施相当复杂,是一个在实践中不断完善、不断调整的过程。目前国家互联网信息办公室正会同有关部门按照《网络安全法》的要求,抓紧研究制定相关指导性文件和标准,指导相关行业领域明确关键信息基础设施的具体范围。
加强关键信息基础设施保护,首先是按照《网络安全法》的要求,抓紧制定相关配套制度和标准。
要重点做好以下几方面工作:一是要加强关键信息基础设施保护工作的统筹,强化顶层设计和整体防护,避免多头分散、各自为政的情况发生。二是要建立完善责任制,政府主要是加强指导监管,关键信息基础设施运营者要承担起保护的主体责任。三是要加强对从业人员的网络安全教育、技术培训和技能考核,切实提高网络安全意识和水平。四是要做好网络安全信息共享、应急处置等基础性工作,提升关键信息基础设施保护能力。五是要加强关键信息基础设施保护中的国际合作。
问:《网络安全法》规定关键信息基础设施运营者在中华人民共和国境内收集产生的个人信息和重要数据应当在境内存储。这种规定会不会限制数据跨境流动,影响国际贸易?
答:《网络安全法》做出这样的规定,目的是为了维护国家网络安全,保护人民群众利益。
落实法律要求,要把握以下几点:1.这是对关键信息基础设施运营者提出的要求,而不是对所有网络运营者的要求。2.不是所有的数据,只限于个人信息和重要数据,这里的重要数据是对国家而言,而不是针对企业和个人。3.对于确需出境的数据,法律作了制度上的安排,经过安全评估认为不会危害国家安全和社会公共利益的,可以出境。4. 经个人信息主体同意的,个人信息可以出境。特别要说明的是,拨打国际电话、发送国际电子邮件、通过互联网跨境购物以及其他个人主动行为,视为已经个人信息主体同意。
《网络安全法》关于数据境内留存和出境评估的规定,不是要阻止数据跨境流动,更不是要限制国际贸易。当今数据跨境流动已经成为经济全球化的前提,是推进“一带一路”建设的必要条件,我们愿同各国就此问题开展交流合作,共同促进数据依法有序自由跨境流动,充分保障个人信息安全和国家网络安全。
问:《网络产品和服务安全审查办法(试行)》已经正式发布,这个办法的实施会不会给国外企业带来不公平待遇,形成事实上的技术壁垒?
答:《网络产品和服务安全审查办法(试行)》规定,对可能影响国家安全的网络产品和服务进行安全审查,其目的是提高网络产品和服务的安全可控水平,防范供应链安全风险,维护国家安全和公共利益。
安全审查的重点是产品和服务的安全性、可控性,包括产品被非法控制、干扰和中断运行的风险,产品提供者非法收集用户信息的风险等。
安全审查不针对特定国家和地区,没有国别差异,审查不会歧视国外技术和产品,不会限制国外产品进入中国市场。相反,安全审查会提高消费者对使用产品的信心,扩大企业市场空间。
问:《网络安全法》规定,“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供”,请问这条如何执行?
答:国家互联网信息办公室、工业和信息化部、公安部、国家认监委即将发布第一批网络关键设备和网络安全专用产品目录。列入这一目录的设备和产品,应该按照有关国家标准的强制性要求,由具备资格的机构进行认证或检测。此前,已经按照国家有关规定检测符合要求或认证合格的,在有效期内无须进行认证或检测。
问:《网络安全法》规定,“网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息”,这是否会侵害个人隐私,妨碍网上言论自由?
答:中国坚持积极利用、科学发展、依法管理、确保安全的方针,在推进互联网发展,加强互联网管理过程中,充分保障人权和言论自由,充分尊重广大人民群众的知情权、参与权、表达权和监督权。
同时,也强调任何人、任何机构都应该对自己在网上的言行负责,个人的自由不应以损害他人的自由和社会公共利益为代价,任何人和机构都有义务自觉维护网络秩序,自觉维护网络安全。
对这条规定有两点理解:1.针对的是用户公开发布的信息,而不是个人通信信息,不会损害个人隐私。2.要求停止传输的是违法信息,不存在妨碍言论自由问题。
问:《网络安全法》要求,采取技术措施和其他必要措施阻断来源于境外的非法信息的传播。这一要求是不是意味着要严格管控国外网站,限制信息跨境流动?
答:现实世界中,无论是企业还是个人,进入哪个国家就要遵从哪个国家的法律法规要求,违法行为都将受到法律的制裁。网络空间也不例外,在中国境内网络上传播的信息必须符合中国法律法规的规定。
中国坚持依法治网,采取技术措施和其他必要措施阻断违法信息在境内传播,是国家网络空间主权的体现,是维护国家安全和广大人民群众利益的客观要求。我们支持信息跨境自由流动,但这要以不损害他国网络空间主权为条件,阻断违法信息进入本国网络空间与支持信息跨境自由流动不矛盾。
问:《网络安全法》提出要推广安全可信的网络产品和服务,“安全可信”是什么含义?
答:安全可信与自主可控、安全可控一样,至少包括以下三个方面含义:
一是保障用户对数据可控,产品或服务提供者不应该利用提供产品或服务的便利条件非法获取用户重要数据,损害用户对自己数据的控制权;
二是保障用户对系统可控,产品或服务提供者不应通过网络非法控制和操纵用户设备,损害用户对自己所拥有、使用设备和系统的控制权;
三是保障用户的选择权,产品和服务提供者不应利用用户对其产品和服务的依赖性,限制用户选择使用其他产品和服务,或停止提供合理的安全技术支持,迫使用户更新换代,损害用户的网络安全和利益。
安全可信没有国别和地区差异,国内外企业和产品都应该符合安全可信的要求。
田申
腾讯网络安全与犯罪研究基地高级研究员
《网络安全法》已于2017年6月1日正式实施,作为互联网安全领域的基本法,其确立了网络安全的四大维度、建立了网络安全等级保护制度,明确了网络运营者的相关责任。
这些规定以及网安法后续配套的规章、标准、指南等都将会对互联网公司的战略布局、策略安排、业务开展等领域产生一系列影响。为了向互联网产品侧提供更为直观、精准的解读,我们尝试使用“法律绘像”的方式对《网络安全法》进行可视化表达。
《网络安全法》
确立的安全维度
网络安全是《网络安全法》的核心概念,网络安全的内容与范围决定了该法的调整范围与保护对象。根据《网络安全法》的规定,网络安全包括以下四个维度:
1.物理安全
物理安全即网络设备基础设施的安全。其中包括关键信息基础设施使用与采购符合国家强制性标准的设备;网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供等等
2.运行安全
运行安全即信息系统的运行安全。其中主要包括运营商提供产品或服务过程中不得设置恶意程序、发现安全缺陷与漏洞风险进行防控与报告、落实网络实名制规定、应急机制建设等方面。
3.数据安全
数据安全即信息数据的自身安全。在网络安全法中,对于个人数据与重要数据的安全保护被提升到很高的层面。根据网安法要求,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。在提供、使用用户信息时必须征得用户同意或者对数据做脱敏化处理。同时,对于关键信息基础设施中的个人信息与重要数据出境需要由国家进行安全评估。
4.内容安全
内容安全即信息利用的安全。其主要是指,任何组织和个人在使用网络时应当遵守国家法律法规,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
《网络安全法》
对互联网公司的主要影响
《网络安全法》全面强化的了网络运营者的安全管理义务,我们归纳总结《网络安全法》中关于网络运营者的十大安全管理义务:
结合上述十大管理义务,对互联网公司主要产品与业务产生的影响如下:
1.强化网络运营者的安全风险内控责任
《网络安全法》要求网络运营者应当从内部建立专门的网络安全管理部门,制定落实网络安全管理标准,采用与完善相关技术手段与措施,维护防止危及网络运营安全的事件发生。同时,要对网络运行状态进行检测,对相关网络日志应当保存不少于6个月(监测、记录网络运行状态、网络安全事件的技术措施相关的网络日志)。此外,网络运营者对于产品与服务应当持续提供安全维护,不得在规定或约定期限内停止安全维护。
2.风险告知与报告责任
风险告知与报告责任是指网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险,或者发生个人信息泄露时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。这里需要指出的是,公司在发现安全缺陷、漏洞在履行告知和报告义务后,如果向社会公布这些安全缺陷或者漏洞的,还需要遵守国家有关规定。换句话说,就是,发现问题要向用户和国家主管部门报告,但如果向社会全体公布这些问题的,还应当遵守相关的国家规定。
3.强化个人信息的保护义务
保护个人信息是当前网络工作中的重要方面,随着云计算、大数据时代的到来,越来越多的企业和机构拥有搜索个人信息的能力,个人信息的使用、交互、跨境传输越发频繁。虽然个人信息大数据的应用场景愈来愈丰富,但随之而来的网络犯罪也愈发严重。在这一背景下,《网络安全法》将公民个人信息的保护提升到了一个前所未有的高度,这也给我们公司的产品侧提出了更高的安全保护要求。
该规定涉及互联网公司的绝大多数产品,其中对于具有收集海量用户信息的产品在收集、使用用户个人信息时需要注意相关问题:
第一,收集、产生用户个人信息时履行告知义务,对于需要采集、使用用户个人信息的,应当在用户协议与安装时进行强提醒,做到告知合规。
第二,使用、提供用户个人信息时应当履行告知义务,或者对个人信息数据进行脱敏处理。个人数据的大规模交换、使用目前已经是数字经济的基础,而《网络安全法》明确规定了网络运营者在对个人信息进行大数据处理、使用时应当征得用户同意或者使数据不可回溯到用户个人。
对于征得用户同意,需要在合规策略上进行调整,而对于数据脱敏,目前没有统一标准与认识,这需要各产品侧结合数据使用的具体场景对用户数据的脱敏进行事前评估风险、事中合同约束、事后补救等措施予以落实。
第三,《网络安全法》确立了“用户通知删除”规定,即:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”
这对于收集用户信息的产品侧提出来新的要求,即:建立用户个人信息投诉、反馈机制,并借鉴《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中关于“用户通知”的要求完善我们的用户投诉提交清单制度。
4.用户身份管理责任:网络实名制
用户身份管理责任即网络实名制责任,根据《网络安全法》规定,网络运营者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。实名制的指导原则是“后台实名,前台自愿”。
在《网络安全法》实施前,在相关法规与规范性文件中对于“网络实名制”已经提出了相应的要求,但这是第一次将该规定上升到国家级的法律层面。由此对于互联网公司的网络服务提出了明确要求。
这里对互联网公司的挑战在于,部分产品或因用户增量巨大导致尚未全部完成实名认证工作,例如,游戏帐号等实名认证工作还有待加强。此外,许多产品为了更好的用户体验,登录方式采用网络社交帐号转跳接入方式完成,这种方式是否完全符合实名制的要求还需要进一步研究。
此外,对于用户冒用他人身份证件、电话号码等进行实名验证的,产品在用户协议中应当明确责任归属,同时也要在不影响业务开展的情况下尽量丰富验证实名审查机制。
5.全面治理网络空间的机遇与挑战:合法使用网络、阻断义务、配合义务、投诉机制
《网络安全法》针对层出不穷的网络违法犯罪现象进行规制:任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
我们一直对于滋生在互联网公司产品或者服务上的网络违法犯罪事件深恶痛绝,一方面互联网公司自身通过技术手段对抗网络黑灰色产业链,另一方面,也通过积极配合司法机关严厉打击网络诈骗等网络犯罪行为。
《网络安全法》再次重申了合法使用网络的要求,相关条款很多都是与《刑法》内容相衔接。这对互联网公司的产业侧主要的影响有以下三个方面:
第一,全面治理网络空间,有助于司法机关保护互联网公司用户与产品的合法权益,相关配套法律及司法解释也使以往难以打击的违法犯罪活动,例如晒号软件、扫码平台等纳入法律规制范畴,这对公司的产品是有利的。
第二,全面治理网络空间,提升了互联网公司产品侧的管理责任,即需要对违法犯罪行为的发现、阻断提出了更高的要求,如果在这方面产品侧的建设跟不上,将导致陷入“拒不履行网络安全管理义务罪”、“帮助信息网络犯罪活动罪”等刑事法律风险之中。
同时,还要求网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。互联网公司的产品应当履行有害信息、数据的阻断义务,并完善用户投诉举报机制。
第三,全面治理网络空间,强化对网络违法犯罪活动的打击,提升了互联网公司产品侧的司法配合责任,即需要更多地参与到配合司法机关调查取证方面。这种配合需要基于刑事诉讼法、人民检察院刑事诉讼规则等程序性法律、司法解释的规定,而不是司法机关随意进行调取。
6.强化关键信息基础设施运营者的责任
根据《网络安全法》规定,关键信息基础设施运营者包括:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
(1)关键信息基础设施的运营者的主要责任与义务
根据网络安全法规定,关键信息基础设施运营者应当做到:
第一,设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。
第二,定期对从业人员进行网络安全教育、技术培训和技能考核。
第三,对重要系统和数据库进行容灾备份。
第四,制定网络安全事件应急预案,并定期进行演练。
(2)关键信息基础设施个人信息与重要是数据出境的评估管理责任
《网络安全法》规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因义务需要,确需向境外提供的,应当依法进行安全评估。
对于这条规定的具体支持的法规及标准为:《个人信息和重要数据出境安全评估办法》、《数据出境安全评估指南》、《重要数据识别指南》,目前上述法规及标准在征求意见阶段,正在跟踪之中。对于个人信息与重要数据出境需要注意以下几个方面:
第一,不是所有的数据出境都要进行评估,需要评估的数据只限于个人信息和重要数据,这里的重要数据是对国家而言,而不是针对企业和个人。
第二,对于确需出境的数据,法律作了制度上的安排,经过安全评估认为不会危害国家安全和社会公共利益的,可以出境。同时评估不是许可,即在国家评估过程中数据经过自评估的仍可出境,除非出现法定不得出境的条件。
第三,经个人信息主体同意的,个人信息可以出境。特别要说明的是,拨打国际电话、发送国际电子邮件、通过互联网跨境购物以及其他个人主动行为,视为已经个人信息主体同意。
对于上述公司可能被纳入关键信息基础设施的产品,需要从以下几个方面进行完善:
第一,对网络安全进行全面评估,重新修订各事业群的总体安全策略、安全技术框架、安全管理策略等配套文件以备报送。
第二,制定业务安全需求、设备安全需求、系统开发安全规范、安全功能测试、安全方案测试、项目实施需求等文件。
第三,加强业务持续性管理,保证具有支持业务稳定、持续运行的性能。
第四,理对境外传送数据的场景,特别是对重要信息基础设施的数据出境情况,完善自行评估制度,并通过技术措施和安全策将出境信息风险降低到可控范围,确保获得国家评估通过。
第五,检查需要采购的产品和服务,是否与提供者签订了安全保密协议,明确了安全保密义务。
第六,强化重要信息基础设施工作人员的安全教育,进行技术岗位培训,吸引具备相关从业资质的人员加入团队。
第七,定期根据应急预案进行安全演练,确定符合法律法规要求的演练周期,并根据实际情况调整预案。
第八,严格规范重要信息基础设施的人员招录,对被录用人的背景、专业、资质等方面进行审查。
第九,梳理需要定期备份的重要业务信息、系统数据库及软件系统,提供异地数据备份功能,将相关数据传送至备份场地。
第十,成立指导网络安全工作的指导委员会,对重要信息基础设施平台配备专职安全管理员。
下一步需注意事项
及开展工作
1.积极应对执法检查
今年是《网络安全法》正式实施的第一年,网信办等执法部门对《网络安全法》及配套法律法规的执法检查力度将有明显提升。对此,一方面需要对外密切关注执法检查重点,及时、准确向产品侧传递执法检查信息,另一方面建议各产品侧依照《网络安全法》的规定开展自查工作。
2.摸清产品侧安全风险底数
由于互联网公司各事业群的工作范围较广,几乎涉及《网络安全法》所规制的各个方面。产品侧对相关网络安全风险点进行排查,特别是对数据安全、用户个人信息安全以及内容安全等方面进行全方位评估,并做出相应的调整。
本文原题为《与互联网公司的安全治理》,转自微信公众号“刑法E本通”(ID:exingfa),敬请关注!
《网络安全法》施行前夕
国家互联网信息办公室
网络安全协调局负责人
答记者问
转自中国网信网 2017-05-31
日前,记者就《网络安全法》实施的有关问题采访了国家互联网信息办公室网络安全协调局负责人。
问:《网络安全法》于6月1日起施行,有关准备工作进展如何?
答:《网络安全法》将于6月1日起正式施行,这在网络安全历史上具有里程碑意义。
网络安全法》的公布和施行,不仅从法律上保障了广大人民群众在网络空间的利益,有效维护了国家网络空间主权和安全,而且还有利于信息技术的应用,有利于发挥互联网的巨大潜力。
《网络安全法》公布后,各部门、各地方以及广大企业、科研单位和院校开展了多种形式的学习宣传贯彻活动,法律所确定的重要理念、基本要求正在深入人心。目前,有关部门正在按照法律要求抓紧研究起草相关制度文件,包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法、网络关键设备和网络安全专用产品目录等。
其中,《网络产品和服务安全审查办法(试行)》等配套制度文件已经公开发布。国家标准化部门正抓紧组织制定《个人信息安全规范》等国家标准。总体上看,各项工作都在按计划推进。
问:据报道,近期有外国协会和机构建议推迟实施《网络安全法》,担心《网络安全法》会制造贸易壁垒、限制国外企业和技术产品进入中国市场,你对此有什么评论?
答:借鉴国际通行做法,根据本国国情,制定相关法律、行政法规,并依法对网络进行管理,完全是各国主权范围内的事情。
制定和实施《网络安全法》,其目的是要维护国家网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的权益,而不是要限制国外企业、技术、产品进入中国市场,不是要限制数据依法有序自由流动。
问:关键信息基础设施保护是《网络安全法》新设立的一项重要制度,6月1日后这一制度如何实施?
答:《中华人民共和国立法法》要求,法律规定明确要求有关国家机关对专门事项作出配套的具体规定的,有关国家机关应当自法律施行之日起一年内作出规定。
目前有关部门正在按照《网络安全法》的要求,抓紧制定相关配套规定,其中关键信息基础设施保护办法有望近期公开征求意见,个人信息和重要数据出境安全评估办法正在根据各方面意见修改完善。建议相关企业、机构等抓紧做好法律实施的准备工作,自觉用法律规范网络行为。
问:关键信息基础设施的范围如何确定?中国将采取什么措施加强关键信息基础设施保护?
答:关键信息基础设施保护制度的目的是要确保涉及国家安全、国计民生、公共利益的信息系统和设施的安全,与等级保护制度相比所涉及的范围相对较小。
从各国的情况看,具体明确关键信息基础设施相当复杂,是一个在实践中不断完善、不断调整的过程。目前国家互联网信息办公室正会同有关部门按照《网络安全法》的要求,抓紧研究制定相关指导性文件和标准,指导相关行业领域明确关键信息基础设施的具体范围。
加强关键信息基础设施保护,首先是按照《网络安全法》的要求,抓紧制定相关配套制度和标准。
要重点做好以下几方面工作:一是要加强关键信息基础设施保护工作的统筹,强化顶层设计和整体防护,避免多头分散、各自为政的情况发生。二是要建立完善责任制,政府主要是加强指导监管,关键信息基础设施运营者要承担起保护的主体责任。三是要加强对从业人员的网络安全教育、技术培训和技能考核,切实提高网络安全意识和水平。四是要做好网络安全信息共享、应急处置等基础性工作,提升关键信息基础设施保护能力。五是要加强关键信息基础设施保护中的国际合作。
问:《网络安全法》规定关键信息基础设施运营者在中华人民共和国境内收集产生的个人信息和重要数据应当在境内存储。这种规定会不会限制数据跨境流动,影响国际贸易?
答:《网络安全法》做出这样的规定,目的是为了维护国家网络安全,保护人民群众利益。
落实法律要求,要把握以下几点:1.这是对关键信息基础设施运营者提出的要求,而不是对所有网络运营者的要求。2.不是所有的数据,只限于个人信息和重要数据,这里的重要数据是对国家而言,而不是针对企业和个人。3.对于确需出境的数据,法律作了制度上的安排,经过安全评估认为不会危害国家安全和社会公共利益的,可以出境。4. 经个人信息主体同意的,个人信息可以出境。特别要说明的是,拨打国际电话、发送国际电子邮件、通过互联网跨境购物以及其他个人主动行为,视为已经个人信息主体同意。
《网络安全法》关于数据境内留存和出境评估的规定,不是要阻止数据跨境流动,更不是要限制国际贸易。当今数据跨境流动已经成为经济全球化的前提,是推进“一带一路”建设的必要条件,我们愿同各国就此问题开展交流合作,共同促进数据依法有序自由跨境流动,充分保障个人信息安全和国家网络安全。
问:《网络产品和服务安全审查办法(试行)》已经正式发布,这个办法的实施会不会给国外企业带来不公平待遇,形成事实上的技术壁垒?
答:《网络产品和服务安全审查办法(试行)》规定,对可能影响国家安全的网络产品和服务进行安全审查,其目的是提高网络产品和服务的安全可控水平,防范供应链安全风险,维护国家安全和公共利益。
安全审查的重点是产品和服务的安全性、可控性,包括产品被非法控制、干扰和中断运行的风险,产品提供者非法收集用户信息的风险等。
安全审查不针对特定国家和地区,没有国别差异,审查不会歧视国外技术和产品,不会限制国外产品进入中国市场。相反,安全审查会提高消费者对使用产品的信心,扩大企业市场空间。
问:《网络安全法》规定,“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供”,请问这条如何执行?
答:国家互联网信息办公室、工业和信息化部、公安部、国家认监委即将发布第一批网络关键设备和网络安全专用产品目录。列入这一目录的设备和产品,应该按照有关国家标准的强制性要求,由具备资格的机构进行认证或检测。此前,已经按照国家有关规定检测符合要求或认证合格的,在有效期内无须进行认证或检测。
问:《网络安全法》规定,“网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息”,这是否会侵害个人隐私,妨碍网上言论自由?
答:中国坚持积极利用、科学发展、依法管理、确保安全的方针,在推进互联网发展,加强互联网管理过程中,充分保障人权和言论自由,充分尊重广大人民群众的知情权、参与权、表达权和监督权。
同时,也强调任何人、任何机构都应该对自己在网上的言行负责,个人的自由不应以损害他人的自由和社会公共利益为代价,任何人和机构都有义务自觉维护网络秩序,自觉维护网络安全。
对这条规定有两点理解:1.针对的是用户公开发布的信息,而不是个人通信信息,不会损害个人隐私。2.要求停止传输的是违法信息,不存在妨碍言论自由问题。
问:《网络安全法》要求,采取技术措施和其他必要措施阻断来源于境外的非法信息的传播。这一要求是不是意味着要严格管控国外网站,限制信息跨境流动?
答:现实世界中,无论是企业还是个人,进入哪个国家就要遵从哪个国家的法律法规要求,违法行为都将受到法律的制裁。网络空间也不例外,在中国境内网络上传播的信息必须符合中国法律法规的规定。
中国坚持依法治网,采取技术措施和其他必要措施阻断违法信息在境内传播,是国家网络空间主权的体现,是维护国家安全和广大人民群众利益的客观要求。我们支持信息跨境自由流动,但这要以不损害他国网络空间主权为条件,阻断违法信息进入本国网络空间与支持信息跨境自由流动不矛盾。
问:《网络安全法》提出要推广安全可信的网络产品和服务,“安全可信”是什么含义?
答:安全可信与自主可控、安全可控一样,至少包括以下三个方面含义:
一是保障用户对数据可控,产品或服务提供者不应该利用提供产品或服务的便利条件非法获取用户重要数据,损害用户对自己数据的控制权;
二是保障用户对系统可控,产品或服务提供者不应通过网络非法控制和操纵用户设备,损害用户对自己所拥有、使用设备和系统的控制权;
三是保障用户的选择权,产品和服务提供者不应利用用户对其产品和服务的依赖性,限制用户选择使用其他产品和服务,或停止提供合理的安全技术支持,迫使用户更新换代,损害用户的网络安全和利益。
安全可信没有国别和地区差异,国内外企业和产品都应该符合安全可信的要求。