您好,歡迎訪問湖北得偉君尚(湖北自貿區武漢片區)律師事務所!

服務熱線:027-87518899

傳       真:027-87693559

NEWS CENTER

當前位置:首頁>>律師隨筆

律師隨筆

網絡安全法下的企業責任 ——《網絡安全法》解讀之(一)

  • 發布者:網站管理員
  • 上傳時間:2018-01-15
  • 瀏覽次數:703
  • 返回上級


本文作者



《中華人民共和國網絡安全法》于201761日起正式開始實施,作為我國的網絡安全基本法,《網絡安全法》在沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化的強音下頒布實施,是網絡安全領域依法治國的重要體現,對保障我國網絡安全有著重大意義。

 

《網絡安全法》全文共779條,包括:總則、網絡安全支持與促進、網絡運行安全、網絡信息安全、監測預警與應急處置、法律責任以及附則。其中第二章網絡安全支持與促進和第五章監測預警與應急處置主要涉及國家機關的法定權責,而對于企業的責任和義務則集中規定在第三章和第四章從第21條到第50條的30個法條中,經過梳理后,可以將其分為網絡運行安全保護、個人信息保護、協助和報告等三類責任,下文將逐一進行解讀分析。

 

一、網絡運行安全保護責任

 

網絡運行安全保護是企業在網絡安全法下的核心責任,在網絡安全法的第三章做了集中規定,并且根據主體的差異,對一般性的主體做出了一般規定,而對關鍵信息基礎設施的運營者做出了特別規定。

 

(一)一般規定

對于一般性主體的網絡運行安全保護責任,可以分為以下六個方面:


1.安全等級保護制度

網絡安全法第21條對于網絡運營者應落實網絡安全等級保護制度,履行具體安全保護義務做出了較詳盡的規定,同時在第59條中明確了相應的法律責任,包括責令整改、警告及罰款等。具體來說,除兜底條款外,還有4項主要義務,包括:1)制定內部安全管理制度和操作規程,確定網絡安全負責人;2)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;3)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并留存相關的網絡日志不少于六個月;4)采取數據分類、重要數據備份和加密。


2.實名制

網絡安全法第24條第1款規定了網絡運營者為用戶辦理網絡接入、域名注冊服務,辦理固定電話、移動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得為其提供相關服務。這也就是我們日常所說的實名制要求,企業違反本條規定的,主管部門可視情節不同,依照網絡安全法第61條予以處罰,處罰方式包括責令整改、罰款、吊銷營業執照等。今年8月和9月,Boss直聘和阿里云就均因未落實用戶實名制分別受到北京市網信辦和廣東省通信管理局的處罰。


3.網絡安全事件應急預案及安全風險處置

對網絡運營者而言,當發生網絡安全事件時,如果有可供執行應急預案,并能夠積極處置安全風險,那么可能就會很大程度地降低網絡安全事件造成的損害,因而網絡安全法第25條明確了網絡運營者應當制定網絡安全事件應急預案,并且需要及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險。企業違反前述規定的,主管部門將依據網絡安全法第591款進行處罰,處罰方式包括責令整改、警告及罰款等。


4.持續安全維護

網絡產品和服務提供者就其提供的產品和服務進行持續安全維護,原本屬于提供者和購買者之間的合同義務,但網絡安全法第22條第2款基于保障網絡運行安全的角度考慮,將這一義務法定化,要求網絡產品、服務的提供者應當為其產品、服務持續提供安全維護,并在法律規定或者當事人約定的期限內,不得終止提供安全維護。同時還在第60條中設定了具體的法律責任,包括警告和罰款等。


5.禁止設置惡意程序

鑒于網絡產品和服務提供者存在一些不規范設置惡意程序的情況,為了規范市場主體的行為,網絡安全法第22條第1款特別明確了網絡產品、服務的提供者不得設置惡意程序的要求。企業違反此規定的,主管部門可以依據網絡安全法第60條視違法情節予以相應處罰,具體包括警告和罰款等方式。


6.禁止從事或協助實施危害網絡安全活動

網絡安全法第27條規定了,任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動;不得提供專門用于從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具;明知他人從事危害網絡安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。

 

(二)關鍵信息基礎設施的運營者的特別責任

除一般規定外,鑒于關鍵信息基礎設施(CII)對國家網絡安全的特殊意義,網絡安全法對其運營者通過專門一節做了特別的規定,具體包括:


1.更嚴格的安全等級保護制度

相比于一般規定,網絡安全法第34條對于CII運營者提出了更高的要求,具體是:1)設置專門安全管理機構和安全管理負責人,并對負責人和關鍵崗位的人員進行安全背景審查;2)定期對從業人員進行網絡安全教育、技術培訓和技能考核;3)對重要系統和數據庫進行容災備份;4)制定網絡安全事件應急預案,并定期進行演練。


2.數據跨境轉移限制

在強調網絡空間主權和數據安全的背景下,網絡安全法第37條明確要求CII運營者在境內收集和產生的個人信息和數據應當在境內存儲,如果確實需要向境外提供的需要進行安全評估。


3.采購行為的安全審查

網絡安全法第35條對CII運營者采購網絡產品和服務提出了一項具體的要求,即可能涉及國家安全的,相關的采購活動需要通過網信部門的國家安全審查。對于向外資企業采購相關產品和服務的CII運營者而言,可能需要加強對該規定的關注。


4.采購需簽訂安全保密協議

除網絡安全法35條規定的安全審查制度外,根據網絡安全法第36條的規定,CII運營者在采購活動中,還應當與產品或服務的提供者簽訂安全保密協議,明確安全和保密義務與責任。


二、個人信息保護責任

 

保護公民的合法權益,是網絡安全法的主要立法目的之一,落實到具體內容中,其核心便是個人信息保護制度。網絡安全法第四章詳盡地規定了企業在個人信息保護方面需承擔的責任,為了便于清晰理解,本文結合2004APEC隱私框架確定的九大原則來梳理網絡安全法的具體條文內容。

 

APEC隱私框架

網絡安全法的規定

預防損害原則

49條:網絡運營者應當建立網絡信息安全投訴、舉報制度,公布投訴、舉報方式等信息,及時受理并處理有關網絡信息安全的投訴與舉報。

告知原則

41條:網絡運營者收集、使用個人信息,應公開搜集、使用規則,明示搜集、使用信息的目的、方式和范圍。

搜集限制原則

41條:網絡運營者收集、使用個人信息,應當遵循合法、正當、必要原則;不得搜集與其服務提供無關的個人信息;

個人信息使用

原則

41條:不得違反法律、行政法規的規范和雙方約定收集、使用個人信息,并按法律、行政法規規定和用戶約定,處理其保存的個人信息;

42條:未經被搜集者同意,不得向他人提供個人信息,但是經過處理無法識別特定個人且不能復原的除外;

44條:不得非法出售或非法向他人提供個人信息;

自主選擇原則

41條:網絡運營者收集、使用個人信息,應經被搜集者同意

完整性原則

46條:網絡運營者不得泄露、篡改、毀損其搜集的個人信息;

安全保障原則

40條:網絡運營者對其搜集的用戶信息嚴格保密,建立健全用戶信息保護制度

42條:應當采取技術措施和其他必要措施,確保信息安全防止在業務活動中收集的公民個人電子信息泄露、毀損、丟失

查閱及更正原則

43條:個人發現網絡運營者違反法律、行政法規的規定或雙方約定收集、使用個人信息的,有權要求刪除其個人信息,發現有錯誤的有權要求網絡運營中更正

問責原則

《網絡安全法》第6法律責任

 

三、協助和報告責任


除前述網絡安全運行責任和個人信息保護責任外,對于企業而言,網安法項下還有一個較為重要的責任,就是協助和報告責任,我們將散見于各條的協助和報告責任匯總歸納如下:

 

協助和報告責任

網絡安全法的規定

安全缺陷、漏洞報告

22條:發現網絡產品、服務存在安全缺陷、漏洞等風險時,應當及時向有關主管部門報告。

網安事件報告

25條:發生危害網絡安全的事件時,按照規定向有關主管部門報告。

用戶違法信息報告

47條:加強對其用戶發布的信息的管理,發現禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,采取消除等處置措施,防止信息擴散,保存有關記錄,并向有關主管部門報告。

協助偵查犯罪

28條:應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。

配合監督檢查

49條:對網信部門和有關部門依法實施的監督檢查,應當予以配合。


得偉君尚TMT事業部:

專注為電信、傳媒、娛樂與高科技(互聯網、云計算、人工智能、大數據、軟件開發等)行業客戶提供全方位法律服務:包括企業股權架構及股權激勵、日常運營合規、知識產權與反不正當競爭、隱私與數據安全、爭議解決、投融資等。其成員均畢業于國內外一流法學院,具有法律與技術多學科背景,以及互聯網科技型企業和國內一流律所的行業經驗。

版權所有:湖北得偉君尚(湖北自貿區武漢片區)律師事務所

技術支持:信榮科技

中国体彩网七星彩开奖