摘要: 2017年6月1日,备受关注的《中华人民共和国网络安全法》(以下称《网络安全法》)将正式实施。掰掰手指头数数,不到20天,网络安全领域的基础法《网络安全法》将引领网络安全保障步入“法时代”。《网络安全法》正式实施之前,让我们再来“温习”一遍。无论是网络安全行业...
2017年6月1日,备受关注的《中华人民共和国网络安全法》(以下称《网络安全法》)将正式实施。掰掰手指头数数,不到20天,网络安全领域的基础法《网络安全法》将引领网络安全保障步入“法时代”。《网络安全法》正式实施之前,让我们再来“温习”一遍。无论是网络安全行业的“新秀”,还是“老兵”,都该理清脉络、抓住本质。从本周开始,我们将推出《网络安全法》系列解读,为你抽丝剥茧,一一梳理。
第一篇,从三个问题,来看《网络安全法》立法的重要性和主要内容框架。
为什么要立法?
没有规矩不成方圆。我国是网络大国,互联网发展迅速,涉及互联网领域的相关问题复杂多样,甚至关乎国家主权。面对日益严峻的网络安全形势,如果没有一个合适的法律作为特定情况的参考依据,网络产品和服务提供者逃避自身的责任,网络运营者无视自身的安全义务,网民的个人信息得不到保护,那么我们又该怎么治理网络,如何保障国家和人民的利益?
国家主席习近平在第二届世界互联网大会上强调,网络空间是人类共同的活动空间,各国应该加强沟通、扩大共识、深化合作,共同构建网络空间命运共同体,并提出了四项原则和五点主张。
四项原则:尊重网络主权,维护和平安全,促进开放合作,构建良好秩序。
五点主张:加快全球网络基础设施建设,促进互联互通;打造网上文化交流共享平台,促进交流互鉴;推动网络经济创新发展,促进共同繁荣;保障网络安全,促进有序发展;构建互联网治理体系,促进公平正义。
网络安全问题是全球性问题,正越来越严重威胁着各国及全球的社会与经济安全。各个国家先后出台、审议了多部网络安全相关的法律法规,比如:新加坡在网络安全立法主要立法包括《国内安全法》、《个人信息保护法》、《网络行为法》等;2010年美国审议了《2010年网络安全法案》、《2010年网络安全加强法案》;澳大利亚政府及各部门制定了一系列与信息安全有关的法律、标准和指南,包括《电信传输法》、《反垃圾邮件法》、《数字保护法》、《信息安全手册》等;2014年,日本国会众议院表决通过《网络安全基本法》……
可见,网络安全法律法规,是网络安全强有力的“盾牌”、“保护伞”,是开展网络活动的立足点。鉴于保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,《中华人民共和国网络安全法》正式出台实施。
《网络安全法》约束对象是什么?
任何个人和组织在访问互联网过程中,涉及到使用和传输个人数据的,都必须满足更严格安全要求和法规。
《网络安全法》约束网络上的所有参与者,即网络上的所有人,如主管部门、网络运营商、设备服务供应商、信息安全解决方案提供商、个人等。
《网络安全法》将主要管理发生在中国的网络活动,由经过授权的单位负责监控和采取预防措施来防范发生在中国的网络违法活动,或者是发生在国外,但在中国造成了负面的后果(如安全风险和威胁,网络犯罪和电信诈骗等)。
《网络安全法》核心是什么?
1.明确了网络空间主权的原则
2.明确了网络产品和服务提供者的安全义务
3.明确了网络运营者的安全义务
4.进一步完善了个人信息保护规则
5.建立了关键信息基础设施安全保护制度
6.确立了关键信息基础设施重要数据跨境传输的规则具体细化来看:
第一点:明确了网络空间主权的原则
《突尼斯协议》提出共识,尽管互联网是全球的,但是每个国家如何治理,各国是有自己主权的。2014年7月,习近平主席在巴西演讲中特别提出了“信息主权”的概念。他强调,虽然互联网具有高度全球化的特征,但每一个国家在信息领域的主权权益都不应受到侵犯。2016年7月推出的《国家安全法》首次以法律的形式明确提出“维护国家网络空间主权”。
第二点:明确了网络产品和服务提供者的安全义务
个人信息的泄露是网络诈骗泛滥的重要原因,公民个人信息的泄露、收集、转卖,已经形成了完整的黑灰产业链。对此,《网络安全法》作出专门规定:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或非法向他人提供个人信息,并规定了相应法律责任。
第三点:明确了网络运营者的安全义务
网络运营者必须采取技术措施对网络运行状态、网络安全事件进行检测和记录,且相关网络日志留存时间不少于六个月。同时,在有关部门依法对网络运营者实施监督检查时,网络运营者必须予以配合。基于国家安全与刑事调查的需求,执法机构在法定程序内要求网络运营者进行相关配合,这也是网络运营者安全保护义务中维护国家安全的一种具体表现。
第四点:进一步完善了个人信息保护规则
《网络安全法》规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。也就是说,网络运营者收集的个人信息,公民有权要求他删除或者是更正,这是个人信息保护的一个很大进步。
同时法律中的一个亮点是,强调了收集个人信息的边界,“不得收集与其提供的服务无关的个人信息”,比如地图导航软件需要用户的物理位置,这是功能性要求,可以满足;但如果要用户提供姓名和身份证号,就属于不必要了。其次,网络安全法中首次明确个人信息数据泄露通知制度,使当前个人信息泄露无法彻底杜绝的情况下,能够通过告知可能受到影响的用户,增强用户对相关诈骗行为的警惕性。这也将迫使相关机构提高网络安全防护能力,降低个人信息泄露风险。
第五点:建立了关键信息基础设施安全保护制度
《网络安全法》第三章用了近三分之一的篇幅规范网络运行安全,强调了要保障关键信息基础设施的运行安全。
关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的系统和设施。
网络运行安全是网络安全的重心,关键信息基础设施安全则是重中之重,与国家安全和社会公共利益息息相关。
《网络安全法》强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。
第六点:确立了关键信息基础设施重要数据跨境传输的规则
《网络安全法》针对关键信息基础设施重要数据跨境传输的规则明确了三部分内容:
一是通过对个人信息和重要数据本地化存储的立法,加强对数据跨境流动的控制和管辖;
二是规制的主体是关键信息基础设施的运营者,主要涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等关键信息基础设施的运营者;
三是数据跨境流动的安全评估机制,即如果遇有特殊情况,需要数据境外跨境流动时,应当按照网信主管部门制定的办法进行安全评估。
第三十七条重构了数据跨境传输的规则,标志着中国正式开始基于网络主权原则对数据跨境传输进行法律限制,这一规定要求在华外企运营业务必须依法合规,体现了《网络安全法》以国家安全为导向,及以安全促发展,以发展促安全的立法目的。
总之,《网络安全法》是中国颁布的第一个系统性的网络安全法规,它的出台具有里程碑式的意义。网络安全从此有法可依了!
预告:
接下来的两篇,我们将从个人信息保护和网络安全建设两个方面予以解读。
