通信世界网消息(CWW) 2016年11月7日,十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》(以下简称“《网络安全法》”)。该法自2017年6月1日起施行,作为我国网络空间的第一部基础性法律,《网络安全法》对互联网企业的安全保障义务提出了更高要求,对互联网企业行为进行明确规范。
关键信息基础设施建设要求提高
《网络安全法》第三十一条指出关键信息基础设施的具体范围和安全保护办法由国务院制定。首次引入了“关键信息基础设施”的概念,并规定在网络安全等级保护制度的基础上实行重点保护。关键信息基础设施作为关乎国家安全、社会公共利益和公民福祉的战略性资源,其重要性显而易见。重要的互联网企业(如拥有数亿用户的百度、阿里、腾讯)现在已可被视为基础信息平台,被列入关键信息基础设施范围的可能性极大,一旦这些互联网企业及其系统出现中断、瘫痪或其他问题,都将会造成重大损失。
那么,如果被列入关键信息基础设施的目录,互联网企业则应遵守以下规定。
年度风险检测评估。根据《网络安全法》第三十八条,被列入关键信息基础设施范围的互联网企业,应自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
限制数据的境外传输。根据《网络安全法》第三十七条,被列入关键信息基础设施范围的互联网企业,在运营过程中收集的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当进行跨境安全评估。法律、行政法规另有规定的,依照其规定。作为我国首部限制数据向境外传输的法律,网络安全法限制传输的信息范围无疑是较大的,且对“重要数据”的界定也是有待细化的。除此之外,限制数据境外传输的执行也是互联网企业必须正视的一个问题。
国家安全审查。根据《网络安全法》第三十五条,被列入关键信息基础设施范围的互联网企业,采购网络产品和服务,可能影响国家安全的,应当接受国家安全审查。以法的形式确立关键信息基础设施的国家安全审查制度体现了关键信息基础设施对国家安全的重大战略意义。此外,法律责任部分对应罚则的规定也彰显了国家安全审查制度的重要性。
签订保密协议。根据《网络安全法》第三十六条,被列入关键信息基础设施范围的互联网企业采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
对重要系统和数据库进行容灾备份。根据《网络安全法》第三十四条第三款之规定,被列入关键信息基础设施范围的互联网企业应履行的安全保护义务包括对重要系统和数据库进行容灾备份,以防止遇到网络安全事件时出现信息丢失的情况,保证互联网企业信息系统的正常运行。
明确了互联网企业实施实名制的义务
《网络安全法》在《反恐怖主义法》第二十一条的电信用户实名制的规定基础上,有了进一步突破。《网络安全法》第二十四条规定了互联网企业为用户提供信息发布、即时通信等服务,在与用户签订协议或者确认提供服务(如微信,微博)时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,互联网企业不得为其提供相关服务。
实名制实施面临的问题主要是信息泄露和用户的不配合问题。就信息泄露而言,实名制的规定是为了维护整个社会的公共利益,在此制度之下会有一系列相关的信息保护制度,且实名制采取的是“后台实名、前台自愿”的原则,与信息保护问题并不冲突。就用户的配合问题而言,实名制对于互联网企业的未来潜在用户来说问题不大,但大规模存量用户的实名制将是互联网企业需要解决的一大问题。
加大互联网企业对有害信息处置力度
《网络安全法》第四十七条规定了互联网企业对有害信息(法律、行政法规禁止发布或传输的信息)的发现义务,该义务相对于《电信条例》第六十一条和《互联网信息服务管理办法》第十六条的“明显”发现而言,提高了互联网企业对有害信息的审查义务。
互联网企业必须加大对人员、技术、资金及设备等基础保障的投入,以提升其对有害信息的发现能力,加大对其用户所发布的信息的管理力度。在处置方面,除了要求及时采取停止传输、消除等传统处置措施外,《网络安全法》第六十八条对互联网企业的不作为规定了罚则,加大了对互联网企业的处罚力度。从法律层面规定了对互联网上有害信息或非法信息的处置,给国家互联网信息系统的健康运行提供了法律依据。
加强了互联网企业对信息安全的保护
《网络安全法》第四十条到第四十三条规定了互联网企业对用户的信息安全义务。其中,第四十条规定互联网企业对其收集的用户信息的严格保密制度;第四十一条规定了互联网企业对用户信息的公开收集和使用的规则,按约定收集和使用信息;第四十二条规定互联网企业应采取适当措施,以确保其收集的用户信息的安全并防止用户信息的泄露、毁损和灭失;在发生或可能发生的情况下,及时采取补救措施。
值得注意的是,此次还规定了“被遗忘权”。《网络安全法》第四十三条指出了互联网企业对于其收集的错误的公民个人信息,有义务采取措施予以删除和更正。互联网的发展,使得各种网站上的信息也是鱼龙混杂,互联网企业如何解决错误信息的及时更正和完全删除问题,将是未来一段时间社会关注的重点。以往互联网企业所积压的未更正信息和未删除干净的信息及帖子也将再次面临挑战,这对互联网企业的设备、技术、人力等基础保障都提出了新的要求和挑战。
提高了对互联网企业日志留存的要求
根据《网络安全法》第二十一条第三款,互联网企业应采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月,以保护网络数据安全。
相对于其他法律文件规定的日志留存时间,该法对互联网企业提出了更高的要求。一方面,该规定为执法机关的取证提供了便利;另一方面,留存时间的延长,也对互联网企业提出了新的挑战,设备扩容、技术保障等都是亟需解决的问题;另外,应制定相应的日志存储和管理制度,对于留存日志的保密、未到期日志的存储、到期日志的处理及留存日志的行政检查等问题都应详细规定,保护网络数据安全。
规定了互联网企业的执法协助义务
《网络安全法》第二十八条规定互联网企业应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。互联网企业的执法协助是目前国际上的通用做法,是国际惯例。以往我国多是依靠“红头文件”,该规定改变了这一局面。明确规定互联网企业的这一义务,提高了执法效率。此外,第四十九条规定互联网企业对网信部门和有关部门依法实施的监督检查,应当予以配合。但是配合的程度和执法机关应遵循的正当执法程序并没有予以规定,所以在协助执法过程中互联网企业也应重视这一问题。
除了以上所述,《网络安全法》还规定了互联网企业的其他安全保障义务。如:制定内部安全管理制度和操作规程,确定网络负责人;网络安全事件的应急、补救及报告义务;实行数据分类、重要数据备份、加密等。
总体而言,《网络安全法》对互联网企业提出了更高的要求。网络安全法的落地,还需要其他一些列法规的配合,在这个过程中,互联网企业应严格遵守《网络安全法》,依法履行各项安全保障义务,加强自身的各项能力建设,避免在法律适用等环节中出现问题。
作者:陕西省通信管理局 张涛