金融科技研究系列:网络安全法律法规综述
2020-07-07
网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统;网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
没有网络安全就没有国家安全,没有信息化就没有现代化。席大大总书记于2018年4月20日至21日在全国网络安全和信息化工作会议上的讲话指出,要树立正确的网络安全观,加强信息基础设施网络安全防护,加强网络安全信息统筹机制、手段、平台建设,加强网络安全事件应急指挥能力建设,积极发展网络安全产业,做到关口前移,防患于未然。在当前全国疫情防控和复工复产中,互联网发挥了重要作用。特殊时期“停课不停学”,国家大中小学网络云平台正式开通,全国几亿学生在家上课;过亿上班族在家办公,“云办公”“云会议”“云面试”等成为人们工作的新常态,与此相对应的网络安全问题也日益凸显。研究网络安全,首先从现行的规定入手,为此,笔者将目前我国网络安全相关的法律法规予以整理和归纳,以期首先从法律法规角度对网络安全问题予以清晰的认知。
本文分为三部分:法律法规目录、概览及主要内容
一、网络安全法律法规目录
二、网络安全法律法规概览
三、主要内容
通过梳理网络安全相关的专项法律法规,笔者发现,我国与网络安全相关的法律法规正从局部到全面、从个别领域到网络生态,从日常生活到国家安全等方面逐步完善。
就整个法律体系建设而言,经历了从早期的公安部门出台的行政规章办法、措施等,到全国人大做出的决定,到国务院层面做出的行政法规,再到全国人大通过的法律,整个法律体系初步建成并日益完善。
从内容角度讲,从早期的计算机信息网络国际联网的安全保护、互联网安全保护技术措施到对于相关违规行为追究法律责任的规定;网络的逐步普及对通过互联网向上网用户提供信息的服务活动提出了规范的需求;互联网与人们的生活息息相关,通过网络进行购物交易成为了人们生活的一部分,与之相关的网络交易、电子商务的法律法规也先后出台;《网络安全法》的出台,标志着网络安全已经上升到国家战略及国家立法的层面,《网络安全法》更多从基本制度角度予以了规范,为我国网络安全的法律法规发展提供了整体的框架,后续以该法为指导的规范性文件正陆续出台;随着抖音等网络音视频产品的出现及普及,网络音视频的专项规定也应运而生,全网建立健康文明的内容生态环境的需求与日俱增;落实《网络安全法》,优推与国家安全息息相关的网络安全审查,对于国家关键信息基础设施运营者可能涉及国家安全的采购网络产品和服务实施网络安全审查。
从监管部门角度讲,经历了由早期的公安部、工信部、工商局(现市场监督管理部门)到专门主管机构(即国家互联网信息办公室)的设立及与其他部门的合作,体现了由单一部门到专业部门及各部门通力合作的发展历程。
下文将从网络信息安全保护,网络交易、电子商务,信息产品内容及安全审查等几个方面予以整理分析。
(一)网络安全基本法律(《网络安全法》)
1.法律出台
《中华人民共和国网络安全法》(简称“《网络安全法》”)为全国人民代表大会常务委员会于2016年11月7日发布、并于2017年6月1日生效的一部法律,该部法律为网络安全领域的第一个专门法律,也是网络安全领域最基础的规范性文件之一。
2.规范对象
《网络安全法》主要规范了网络运营者(即网络的所有者、管理者和网络服务提供者)、网络数据(即通过网络收集、存储、传输、处理和产生的各种电子数据)、个人信息(以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等)。网络数据是人们在使用网络过程中产生的各种电子数据,有巨大的价值,网络安全是为了保证网络的稳定运行与数据的安全;网络运营者在网络安全中扮演着重要的角色,网络运营者应采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性;个人信息是网络数据的一种,由于涉及到个人隐私,需要予以特别的关注及保护;国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
3.主要内容
《网络安全法》从体例主要包括:总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任。
(1)总则
《网络安全法》的立法宗旨为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展;《网络安全法》适用范围为我国境内建设、运营、维护和使用网络,以及网络安全的监督管理。国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作。
(2)网络安全支持与促进
国家对于网络安全采取支持和促进的态度,主要体现在:国家建立和完善网络安全标准体系;国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务;国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展;国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。
(3) 网络运行安全
国家实行网络安全等级保护制度,网络产品、服务应当符合相关国家标准的强制性要求;网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供;网络运营者为用户为其提供服务(办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务)时,应当要求用户提供真实身份信息;国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认;网络运营者应当制定网络安全事件应急预案,并按照规定向有关主管部门报告。
(4)网络信息安全
网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。收集、使用个人信息经被收集者同意:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息。
网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
(5)监测预警与应急处置
国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。
发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。
(二)早期网络安全规定(《国际联网办法》《网安技术措施》《维护网安决定》)
1.互联网在国内发展早期,任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密,不得从事下列危害计算机信息网络安全的活动,不得利用国际联网侵犯用户的通信自由和通信秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。从事国际联网业务的单位和个人应当接受公安机关的安全监督、履行安全保护职责,应当自网络正式联通后到公安机关指定的受理机关办理备案手续;加强对公用账号的管理,建立账号使用登记制度;建立健全安全保护管理制度。当时的规定更多强调了在互联网初期阶段,加强网络联网中的一些原则性规定,如登记管理等,体现了当时的社会的状态,主要是为了维护国家网络安全活动,公安机关为当时主要监管机构。
2. 要加强互联网安全保护技术措施,即保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法,从技术措施和技术方法进行规范,规范的对象包括互联网服务提供者(指用户提供互联网接入服务、互联网数据中心服务、互联网信息服务和互联网上网服务的单位)、联网使用单位。未经用户同意不得公开、泄露用户注册信息,互联网服务提供者、联网使用单位应当依法使用互联网安全保护技术措施,不得侵犯用户的通信自由和通信秘密。负责对互联网安全保护技术措施的主管机关为公安机关公共信息网络安全监察部门。
对数据中心(是指提供主机托管、租赁和虚拟空间租用等服务的单位)提出了额外的要求:(1)记录并留存用户注册信息;(2)在公共信息服务中发现、停止传输违法信息,并保留相关记录;(3)联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。
3.全国人民代表大会常务委员会做出了关于维护互联网安全的决定,其列举了侵犯互联网系统、传播计算机病毒、擅自中断互联网运行等行为,构成犯罪的,依法追究刑事责任。利用互联网实施违法行为,违反社会治安管理或违反其他法律、行政法规且尚不构成犯罪的,由有关行政管理部门依法给予行政处罚;对直接负责的主管人员和其他直接责任人员,依法给予行政处分或者纪律处分;利用互联网侵犯他人合法权益,构成民事侵权的,依法承担民事责任。
笔者认为,该决定颁布时,全国尚处于促进互联网的应用和网络技术的普及过程中,当时有关互联网安全方面的法律法规尚不完善,而利用互联网进行的各种违法活动又不断出现,在此背景下,全国人民代表大会常务委员会为维护互联网安全而做出的利用互联网进行违法行为而相应追责的决定,该决定的出台具有一定的历史特殊性,尽管全国人民代表大会常务委员会为立法机构,而法律的出台要经过比较繁琐的程序,为了解决当时突出的问题,最高立法机关以决定的方式对相关行为予以规范,一方面突出了网络安全问题的紧迫性,体现了国家对该等问题的重视,另一方面也体现了对网络安全立法完善的迫切需求。
(三)网络信息服务(《网信服务办法》《网信市场秩序规定》)
1.互联网信息服务分为经营性和非经营性两类。国家对经营性互联网信息服务实行许可制度;对非经营性互联网信息服务实行备案制度。未取得许可或者未履行备案手续的,不得从事互联网信息服务。互联网信息服务提供者不得制作、复制、发布、传播内容合法的信息。经营性互联网信息服务提供者申请在境内境外上市或者同外商合资、合作,应当事先经国务院信息产业主管部门审查同意;国务院信息产业主管部门和省、自治区、直辖市电信管理机构,依法对互联网信息服务实施监督管理。新闻、出版、教育、卫生、药品监督管理、工商行政管理和公安、国家安全等有关主管部门,在各自职责范围内依法对互联网信息内容实施监督管理。
2. 规范境内从事互联网信息服务及与互联网信息服务有关的活动,互联网信息服务提供者承担的义务,主要包括:(1)在用户终端上进行软件下载、安装、运行、升级、卸载等操作的,应当提供明确、完整的软件功能等信息,并事先征得用户同意;(2)互联网信息服务终端软件捆绑其他软件的,应当以显著的方式提示用户,由用户主动选择是否安装或者使用,并提供独立的卸载或者关闭方式,不得附加不合理条件;(3)互联网信息服务提供者在用户终端弹出广告或者其他与终端软件功能无关的信息窗口的,应当以显著的方式向用户提供关闭或者退出窗口的功能标识;(4)未经用户同意,不得收集与用户相关、能够单独或者与其他信息结合识别用户的信息(“用户个人信息”),不得将用户个人信息提供给他人,但是法律、行政法规另有规定的除外;(5)经用户同意收集用户个人信息的,应当明确告知用户收集和处理用户个人信息的方式、内容和用途,不得收集其提供服务所必需以外的信息,不得将用户个人信息用于其提供服务之外的目的;(6)应当妥善保管用户个人信息;保管的用户个人信息泄露或者可能泄露时,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向主管的电信管理机构报告,并配合相关部门进行的调查处理;(7)应当加强系统安全防护,依法维护用户上载信息的安全,保障用户对上载信息的使用、修改和删除;(8)应当以显著的方式公布有效联系方式,接受用户及其他互联网信息服务提供者的投诉,并自接到投诉之日起十五日内作出答复。
(四)网络交易(《网络交易办法》《电子商务法》)
1.网络商品经营者、有关服务经营者在经营活动中收集、使用消费者或者经营者信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络商品经营者、有关服务经营者收集、使用消费者或者经营者信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
网络商品经营者、有关服务经营者及其工作人员对收集的消费者个人信息或者经营者商业秘密的数据信息必须严格保密,不得泄露、出售或者非法向他人提供。网络商品经营者、有关服务经营者应当采取技术措施和其他必要措施,确保信息安全,防止信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
网络商品经营者、有关服务经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性电子信息。
第三方交易平台经营者应当建立平台内交易规则、交易安全保障、消费者权益保护、不良信息处理等管理制度。各项管理制度应当在其网站显示,并从技术上保证用户能够便利、完整地阅览和保存。
网络商品交易及有关服务的监督管理由县级以上工商行政管理部门负责。
2.为了更好的规范通过互联网等信息网络销售商品或者提供服务的电子商务行为,保障电子商务各方主体的合法权益,全国人民代表大会常务委员会通过了有关规范电子商务方面的立法。
电子商务经营者应当履行以下方面的义务:(1)收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定;(2)应当明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件;(3)应当要求申请进入平台销售商品或者提供服务的经营者提交其身份、地址、联系方式、行政许可等真实信息,进行核验、登记,建立登记档案,并定期核验更新:(4)应当采取技术措施和其他必要措施保证其网络安全、稳定运行,防范网络违法犯罪活动,有效应对网络安全事件,保障电子商务交易安全;(5)应当制定网络安全事件应急预案,发生网络安全事件时,应当立即启动应急预案,采取相应的补救措施,并向有关主管部门报告;(6)应当记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性;(7)应当遵循公开、公平、公正的原则,制定平台服务协议和交易规则,明确进入和退出平台、商品和服务质量保障、消费者权益保护、个人信息保护等方面的权利和义务;(8)电子商务平台经营者与平台内经营者协议设立消费者权益保证金的,双方应当就消费者权益保证金的提取数额、管理、使用和退还办法等作出明确约定。
消费者要求电子商务平台经营者承担先行赔偿责任以及电子商务平台经营者赔偿后向平台内经营者的追偿,适用《》。
(五)网络信息内容(《网络音视频规定》《网信内容生态规定》)
1.网络音视频管理
各级网信、文化和旅游、广播电视等部门依据各自职责开展网络音视频信息服务的监督管理工作;网络音视频信息服务提供者应当履行一系列的义务:
(1)落实信息内容安全管理主体责任,配备与服务规模相适应的专业人员,建立健全用户注册、信息发布审核、信息安全管理、应急处置、从业人员教育培训、未成年人保护、知识产权保护等制度,具有与新技术新应用发展相适应的安全可控的技术保障和防范措施,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、安全性和可用性。
(2)网络音视频信息服务提供者应当依法对用户进行基于组织机构代码、身份证件号码、移动电话号码等方式的真实身份信息认证。用户不提供真实身份信息的,网络音视频信息服务提供者不得为其提供信息发布服务。
(3)网络音视频信息服务提供者应当加强对网络音视频信息服务使用者发布的音视频信息的管理,部署应用违法违规音视频以及非真实音视频鉴别技术,发现音视频信息服务使用者制作、发布、传播法律法规禁止的信息内容的,应当依法依约停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向网信、文化和旅游、广播电视等部门报告。
2.网络生态建设
网络信息内容生态治理,是指政府、企业、社会、网民等主体,以培育和践行社会主义核心价值观为根本,以网络信息内容为主要治理对象,以建立健全网络综合治理体系、营造清朗的网络空间、建设良好的网络生态为目标,开展的弘扬正能量、处置违法和不良信息等相关活动。国家网信部门负责统筹协调全国网络信息内容生态治理和相关监督管理工作,各有关主管部门依据各自职责做好网络信息内容生态治理工作。
网络信息内容生产者应当采取措施,防范和抵制制作、复制、发布不良信息,网络信息内容服务平台应当履行信息内容管理主体责任,加强本平台网络信息内容生态治理,培育积极健康、向上向善的网络文化;网络信息内容服务使用者应当文明健康使用网络,文明互动,理性表达,不得侵犯他人隐私,损害他人合法权益,谋取非法利益,不得利用深度学习、虚拟现实等新技术新应用从事法律、行政法规禁止的活动。
(六)安全审查(《网络安全审查办法》)
关键信息基础设施对国家安全、经济安全、社会稳定、公众健康和安全至关重要。我国建立网络安全审查制度,目的是通过网络安全审查这一举措,及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,维护国家安全。
关键信息基础设施运营者(包括电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者)采购网络产品和服务(主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务),影响或可能影响国家安全的,应当在与产品和服务提供方正式签署合同前向中国网络安全审查技术与认证中心申报网络安全审查。运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素(也即审查的主要内容):(1)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;(2)产品和服务供应中断对关键信息基础设施业务连续性的危害;(3)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;(4)产品和服务提供者遵守中国法律、行政法规、部门规章情况;(5)其他可能危害关键信息基础设施安全和国家安全的因素。
(七)其他
网络安全法律法规体系是一个综合性的体系,本文主要是围绕着直接与网络安全有关的专项法律法规体系而展开,而网络安全专项法律法规也与其他法律法规相互交叉,如《中华人民共和国刑法》《中华人民共和国民法总则》《中华人民共和国反不正当竞争法》《中华人民共和国侵权责任法》《中华人民共和国消费者权益保护法》等,在实践中解决具体问题时应综合考虑且审慎处理。
本文作者:
王 贺,k8凯发天生赢家·一触即发北京办公室合伙人、律师;主要执业领域为境内外上市、债券、私募融资、风险投资、外商投资、并购、重组、房地产业务等。
邮箱:wanghe@cqhaolun.com
声明:
本文由k8凯发天生赢家·一触即发律师事务所律师原创,仅代表作者本人观点,不得视为k8凯发天生赢家·一触即发律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。