原浩:《網(wǎng)絡安全法》對責任主體的合規(guī)影響與法律服務應對
2017年06月01日
本文作者原浩����,江蘇竹輝律師事務所合伙人�,江蘇竹輝律師事務所合伙人��,CISSP (2007-2010)��,江蘇省律協(xié)電子商務與信息網(wǎng)絡業(yè)務委員會副主任����,全國律協(xié)信息網(wǎng)絡與高新技術專業(yè)委員會研討員�,西安交通大學信息安全法律研究中心兼職研究員。
網(wǎng)絡運營者與關鍵信息基礎設施(CII)運營者�����、網(wǎng)絡產(chǎn)品/服務提供者�����、電子信息發(fā)送/應用軟件下載服務提供者����、網(wǎng)絡安全服務機構等主體具有網(wǎng)絡安全/合規(guī)風險的不同需求,法律服務人員可協(xié)助責任主體實現(xiàn)網(wǎng)安法的落地和“可用性”�����。
《網(wǎng)絡安全法》對責任主體的合規(guī)影響與法律服務應對
《網(wǎng)絡安全法》(以下簡稱“網(wǎng)安法”)是我國規(guī)范網(wǎng)絡安全實踐的基本法,2016年11月7日至今國家網(wǎng)信部門也配套出臺了一系列規(guī)章�、規(guī)范性文件、標準等��,系統(tǒng)性識別和規(guī)定了網(wǎng)絡運營者與關鍵信息基礎設施(CII)運營者��、網(wǎng)絡產(chǎn)品/服務提供者�、電子信息發(fā)送/應用軟件下載服務提供者、網(wǎng)絡安全服務機構等主體的職責與義務�,基于區(qū)分主體與責任匹配的體系架構已悄然成型。
落實網(wǎng)安法對責任主體(以企業(yè)為例)來說機遇與挑戰(zhàn)并存����。一方面網(wǎng)絡安全威脅具有以小搏大的不對稱性(如5月12日開始蔓延的勒索軟件攻擊事件),責任主體以提升網(wǎng)絡安全風險管理為機遇實現(xiàn)企業(yè)網(wǎng)絡安全/合規(guī)風險的消減�����,對保障業(yè)務運營具有積極意義���;另一方面�����,網(wǎng)安法寬泛的網(wǎng)絡運營者定義����、義務和責任邊界,乃至對企業(yè)社會責任的要求�,則需企業(yè)戰(zhàn)略性的初次投入和持續(xù)性的投入。
不同責任主體具有網(wǎng)絡安全/合規(guī)風險的不同需求�����,技術�、管理與法律措施都應納入考量。法律服務人員可協(xié)助責任主體�,通過從法條�、標準、制度與技術分項控制的路徑進行部署與整合���,以實現(xiàn)網(wǎng)安法的落地和“可用性”��。
一����、網(wǎng)絡運營者應按照網(wǎng)絡安全等級保護制度履行“網(wǎng)絡安全保護義務”�,特別是制定和優(yōu)化安全管理制度(以及信息實名與保護制度等),實現(xiàn)對有限人財物的合理配置,并精確到“直接負責的主管人員和其他直接責任人員”���,否則有可能承擔從警告�����、罰款到關停����、吊銷直至刑事責任����。
二、網(wǎng)絡產(chǎn)品/服務提供者需應對國家標準的“強制性要求”���,實現(xiàn)質量(缺陷�、漏洞����、期限)、服務(保密�、水平)的協(xié)議層面符合;涉及網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品的����,法律服務人員還可提供對認證檢測資質與評測協(xié)議的審查���、目錄時效性等方面的法律支持。
三���、網(wǎng)安法為電子信息發(fā)送/應用軟件下載服務提供者的信息發(fā)布�����、推送和下載服務設定了“安全管理義務”�,涵蓋了從內容審查到質量(惡意軟件)控制的各方面�,需要法律視角的研判和論證,以認定和識別“任何個人和組織”的禁止性信息內容��、危害網(wǎng)絡安全行為�����。
四��、網(wǎng)安法針對關鍵信息基礎設施運營者規(guī)定了“附加保護要求”����,其中背景調查、意識培訓���、國家安全審查�����、數(shù)據(jù)本地化�����、年度安全評估�����、應急預案制定和演練都屬于前沿�����、復合的合規(guī)內容——這也是為何會在歐盟ENISA兩年一度的演習中看到律師身影�。
五��、網(wǎng)絡安全服務機構在“風險評估”����、“信息共享”等方面具有不可替代的作用��,但規(guī)范缺失導致個案頻發(fā)(如白帽子事件)��,需要法律服務人員對第26條“國家有關規(guī)定”進行研究和指引��。
看完原浩律師的獨到見解�����,小編帶您繼續(xù)延伸閱讀:
《網(wǎng)絡安全法》實施在即�����,哪些規(guī)定貼近“現(xiàn)實”�?
6月1日起���,《網(wǎng)絡安全法》����、《最高人民法院�、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》��、《互聯(lián)網(wǎng)新聞信息服務管理規(guī)定》����、《互聯(lián)網(wǎng)新聞信息服務許可管理實施細則》等一批影響市民生活的新法規(guī)將陸續(xù)施行��。
個人信息有了“保護傘”
網(wǎng)絡運營者不得泄露其收集的個人信息�;中介買賣交換個人信息也算侵權����;提供個人信息違法所得5000元以上可入刑
收集用戶信息應符合“知情同意”
《網(wǎng)絡安全法》第四十一條規(guī)定,網(wǎng)絡運營者收集��、使用個人信息�,應當遵循合法、正當�、必要的原則,并經(jīng)被收集者同意�。規(guī)定:
網(wǎng)絡產(chǎn)品、服務具有收集用戶信息功能的�����,其提供者應向用戶明示并取得同意�;
網(wǎng)絡運營者不得泄露、篡改���、毀損其收集的個人信息����,未經(jīng)被收集者同意,不得向他人提供個人信息�;
任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息��;
任何個人和組織應當對其使用網(wǎng)絡的行為負責��,不得設立用于實施詐騙���,傳授犯罪方法等����。
辦理以下網(wǎng)絡業(yè)務時���,應提供身份信息
為用戶辦理網(wǎng)絡接入�����、域名注冊服務��,辦理固定電話�����、移動電話等入網(wǎng)手續(xù)�,或者為用戶提供信息發(fā)布�、即時通訊等服務,在與用戶簽訂協(xié)議或者確認提供服務時��,應當要求用戶提供真實身份信息�����。用戶不提供真實身份信息的�,網(wǎng)絡運營者不得為其提供相關服務。
兩高司法解釋 販賣50條個人信息可入罪
兩高關于辦理侵犯公民個人信息刑事案件司法解釋�,明確了“公民個人信息”的定義,除了姓名����、身份證號碼、通信通訊聯(lián)系方式����、住址、賬號密碼���、財產(chǎn)狀況以外����,行蹤軌跡等也被納入。
6月1日起實施的《最高人民法院�、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(簡稱《解釋》),對這些具體問題予以了明確��。
對于刑法相關規(guī)定中“情節(jié)嚴重”的認定標準���,司法解釋明確規(guī)定了入罪10種情形:
包括非法獲取�����、出售或者提供行蹤軌跡信息����、通信內容���、征信信息�����、財產(chǎn)信息50條以上的��;
非法獲取�����、出售或提供住宿信息����、通信記錄��、健康生理信息�����、交易信息等其他可能影響人身�����、財產(chǎn)安全的公民個人信息500條以上的���;
非法獲取�����、出售或提供前兩項規(guī)定以外的公民個人信息5000條以上的���;
違法所得5000元以上的等����。
也就是說����,“將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人”的,認定“情節(jié)嚴重”的數(shù)量�����、數(shù)額標準減半計算���?��!耙话闳颂峁?0條高度敏感信息入罪,對于“內鬼”來說���,25條就夠了�?!?/span>
新媒體納入互聯(lián)網(wǎng)新聞管理
由于個別組織和個人在通過新媒體方式提供新聞信息服務時,存在肆意篡改����、嫁接�����、虛構新聞信息等情況����,2017年5月�����,國家網(wǎng)信辦發(fā)布新的《互聯(lián)網(wǎng)新聞信息服務管理規(guī)定》�����,并于2017年6月1日施行�����。
同時規(guī)定���,互聯(lián)網(wǎng)新聞信息服務提供者及其從業(yè)人員不得通過采編、發(fā)布�、轉載�、刪除新聞信息���,干預新聞信息呈現(xiàn)或搜索結果等手段謀取不正當利益�。并明確�����,未經(jīng)許可或超越許可范圍開展互聯(lián)網(wǎng)新聞信息服務活動的�,由國家和省、自治區(qū)��、直轄市網(wǎng)信辦依據(jù)職責責令停止相關服務活動�,處1萬元以上3萬元以下罰款。
新媒體發(fā)布有了規(guī)矩
微信公眾號�、網(wǎng)絡直播等納入互聯(lián)網(wǎng)新聞管理范疇;采編發(fā)布���、轉載等需取得相應許可���;未經(jīng)許可或超范圍開展信息服務活動的,最高罰3萬元���。
江蘇國駿信息科技有限公司在信息網(wǎng)絡安全�����、運維平臺建設�、動漫設計、軟件研發(fā)�����、數(shù)據(jù)中心領域具備十多年的行業(yè)沉淀�����。公司遵循信息安全整體性的IATF模型�����,從“人員素養(yǎng)”���、“制度流程”、“技術產(chǎn)品”三個視角提供全面�����、可信的方案��,業(yè)務涵蓋咨詢、評估����、規(guī)劃、管控����、建設、培訓等����。
