光明網(wǎng) 2022年06月01日
2017年6月1日,《中華人民共和國網(wǎng)絡(luò )安全法》正式實(shí)施。作為我國互聯(lián)網(wǎng)領(lǐng)域第一部專(zhuān)門(mén)法律,《網(wǎng)絡(luò )安全法》申明了網(wǎng)絡(luò )主權原則,建立了關(guān)鍵信息基礎設施保護制度,明確了互聯(lián)網(wǎng)信息內容管理部門(mén)、網(wǎng)絡(luò )運營(yíng)者與個(gè)人在網(wǎng)絡(luò )安全保護領(lǐng)域的權利與義務(wù),進(jìn)一步完善了個(gè)人信息保護規則,并為構建網(wǎng)絡(luò )安全法律法規體系提供了基礎性依據。五年來(lái),《網(wǎng)絡(luò )安全法》取得了以下成效。
第一,以網(wǎng)安法為基礎構建的網(wǎng)絡(luò )安全法規體系逐漸健全。在網(wǎng)絡(luò )信息內容治理領(lǐng)域,網(wǎng)安法與《網(wǎng)絡(luò )信息內容生態(tài)治理規定》、《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規定》等法規有效打擊了網(wǎng)絡(luò )傳播違法不良信息行為,規范了網(wǎng)絡(luò )信息服務(wù)提供者的運營(yíng)行為。在個(gè)人信息保護領(lǐng)域,網(wǎng)安法與《民法典》、《個(gè)人信息保護法》、《數據安全法》、《關(guān)于審理使用人臉識別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規定》等法律法規為隱私權與個(gè)人信息權益提供法律保障。在數據安全領(lǐng)域,網(wǎng)安法與《數據安全法》、《區塊鏈信息服務(wù)管理規定》、《汽車(chē)數據安全管理若干規定(試行)》等法律法規共同構建了兼顧維護數據安全與促進(jìn)數據流動(dòng)的平衡機制。第二,網(wǎng)絡(luò )安全治理的社會(huì )參與更加廣泛,全國各級網(wǎng)絡(luò )舉報部門(mén)受理舉報數量由2017年的5263.9萬(wàn)件上升為2020年的16319.2萬(wàn)件。第三,互聯(lián)網(wǎng)信息內容管理部門(mén)開(kāi)展的網(wǎng)絡(luò )空間治理專(zhuān)項活動(dòng)規范化提升,治理能力不斷加強。在執法依據上,互聯(lián)網(wǎng)領(lǐng)域法律與互聯(lián)網(wǎng)細分領(lǐng)域配套制度逐步建立,進(jìn)一步規范和保障了互聯(lián)網(wǎng)信息內容管理部門(mén)依法履行行政執法職責。在治理主體上,國家網(wǎng)信辦積極與國家工業(yè)和信息化部等部門(mén)合作,多部門(mén)聯(lián)合推進(jìn)《網(wǎng)絡(luò )安全法》實(shí)施落地,積極構建協(xié)同聯(lián)動(dòng)的網(wǎng)絡(luò )安全保障體系。此外,國家網(wǎng)信辦還通過(guò)政企聯(lián)動(dòng)、行業(yè)自治引導企業(yè)增強自治意識,督促企業(yè)履行社會(huì )責任,提高了監管效能。
武漢大學(xué)網(wǎng)絡(luò )安全學(xué)院將以關(guān)鍵信息基礎設施、網(wǎng)絡(luò )信息與跨境數據流動(dòng)中的網(wǎng)絡(luò )安全保護、網(wǎng)絡(luò )安全信息共享制度以及相應法律責任為切入,介紹我國以網(wǎng)安法為基礎構建的兼顧網(wǎng)絡(luò )安全保護與促進(jìn)信息流動(dòng)的平衡機制。
一、關(guān)鍵信息基礎設施的網(wǎng)絡(luò )安全保護
依據《網(wǎng)絡(luò )安全法》第31條對關(guān)鍵信息基礎設施的定義,可以界明關(guān)鍵信息基礎設施的范圍。關(guān)鍵信息基礎設施包括可能影響國家安全、公共安全、國計民生的基礎網(wǎng)絡(luò ),重要信息系統,政務(wù)網(wǎng)絡(luò ),以及可能影響國家安全數據所在的信息系統。依據《國家網(wǎng)絡(luò )安全操作指南》對《網(wǎng)絡(luò )安全法》第三十一條的進(jìn)一步細化規定,可以根據基礎設施的不同性質(zhì)將其劃分為網(wǎng)站類(lèi)、平臺類(lèi)以及業(yè)務(wù)生產(chǎn)類(lèi)三大類(lèi),再對不同大類(lèi)下所涉及的不同生產(chǎn)生活的方面進(jìn)行細分規定。具體類(lèi)別如下圖所示:
關(guān)鍵信息基礎設施的法律主體包括參與到保護過(guò)程中,享受監督、安全審查、應急演練等權利的管理者和承擔安全保護管理義務(wù)的運營(yíng)者,依據《網(wǎng)絡(luò )安全法》的規定,關(guān)鍵信息基礎設施制度的法律主體范圍以及相應的權利義務(wù)內容如下。
關(guān)鍵信息基礎設施的管理者是指具備管理關(guān)鍵信息基礎設施義務(wù)的國家行政機關(guān)。關(guān)鍵信息基礎設施保護制度以頂層設計、整體防護、統籌協(xié)調、分工負責為原則。其中頂層設計就是由國家網(wǎng)信部門(mén)負責統籌協(xié)調,國務(wù)院電信主管部門(mén)、公安部門(mén)和國務(wù)院標準化行政主觀(guān)部門(mén)等分工負責。而《關(guān)鍵信息基礎設施保護條例》將分工部門(mén)又增加了國家安全、國家保密行政管理和國家秘密管理等部門(mén)。管理者作為進(jìn)行頂層設計的國家行政機關(guān)部門(mén),占據著(zhù)基礎設施運行管理法律關(guān)系的主導地位,依據《網(wǎng)絡(luò )安全法》中的相關(guān)規定,管理者主要享受下列權利:管理權、執法權、司法權、監督權、建設整改權。
關(guān)鍵信息基礎設施的運營(yíng)者作為重要的參與者,保障著(zhù)基礎設施、網(wǎng)絡(luò )平臺、產(chǎn)品服務(wù)的信息數據的安全,責任重大。《網(wǎng)絡(luò )安全法》中對于運營(yíng)者應當承擔的義務(wù)作出了以自愿承擔為原則的規定,其中表明,除了法定主體以外,其他自愿參與關(guān)鍵信息基礎設施保護的主體,包括企業(yè),人民群體等,都可以成為保護制度主體的一份子。關(guān)鍵信息基礎設施的運營(yíng)者由于參與者的身份具有多樣性,其中包括關(guān)鍵信息基礎設施的所有者、管理者和網(wǎng)絡(luò )服務(wù)提供者。所以依據他們的不同參與身份而享有不同方向和領(lǐng)域的權利和義務(wù),其中拋棄他們之間的差異性,而應當共同享有的群里主要包括:關(guān)鍵信息基礎設施的所有權、運營(yíng)管理的參與權,監督意見(jiàn)權、監測評估權、相關(guān)信息收集使用權等。
近年來(lái),全球范圍內針對關(guān)鍵信息基礎設施的網(wǎng)絡(luò )攻擊時(shí)間逐年攀升,,各國網(wǎng)絡(luò )安全保障措施雖然頗有成效但依然難以地域外部風(fēng)險。關(guān)鍵信息基礎設施一旦遭到破壞,影響范圍廣,對于經(jīng)濟發(fā)展、政治安全和國家安全都可能帶來(lái)嚴重危害。加強關(guān)鍵信息基礎設施保護,強化關(guān)鍵信息基礎設施保護能力,防范關(guān)鍵信息基礎設施安全風(fēng)險對于國家網(wǎng)絡(luò )安全具有重要意義。
以金融基礎設施為例,近年來(lái)銀行業(yè)金融機構是網(wǎng)絡(luò )攻擊的重災區,尤其信息泄漏、黑客攻擊呈高發(fā)態(tài)勢,如影響全球金融業(yè)的“SWIFT驚天銀行大劫案”、2013年2月 2 月中國人壽 80 萬(wàn)名客戶(hù)個(gè)人保單信息泄露事件等等,銀行業(yè)及金融機構的網(wǎng)絡(luò )安全態(tài)勢非常嚴峻。因此,《網(wǎng)絡(luò )安全法》中明確指出金融機構是關(guān)鍵信息基礎設施的運營(yíng)者,一方面,突出了金融行業(yè)的戰略地位和價(jià)值,另一方面,也明確了金融機構做好自身網(wǎng)絡(luò )安全工作的義務(wù)和責任。
自《網(wǎng)絡(luò )安全法》落地以來(lái),隨著(zhù)國家對金融基礎設施安全和金融消費者權益保護的重視,相關(guān)的法律法規陸續出臺,形成了包括個(gè)人信息保護、金融信息處理與跨境傳輸合規、網(wǎng)絡(luò )安全等級保護、網(wǎng)絡(luò )及數據安全審查、金融消費者權益保護、金融信息保護內控制度在內六個(gè)方面的制度組合,向金融行業(yè)相關(guān)機構施加了嚴格的信息及數據安全方面的合規義務(wù),從而預防金融行業(yè)網(wǎng)絡(luò )安全風(fēng)險。
二、網(wǎng)絡(luò )信息安全保護
《網(wǎng)絡(luò )安全法》與《個(gè)人信息保護法》等法律法規除了賦予私人就個(gè)人信息權益受侵害提起民事訴訟的權利,還賦予檢察機關(guān)在公民個(gè)人信息遭受損害時(shí)提起民事公益訴訟的權力。檢察機關(guān)聚焦網(wǎng)絡(luò )時(shí)代公民個(gè)人信息保護更高需求,依法履行公益訴訟檢察職能,堅決維護個(gè)人信息安全。2021年檢察機關(guān)共辦理個(gè)人信息保護領(lǐng)域公益訴訟案件2000余件,同比上升近3倍。
2021年8月通過(guò)的《個(gè)人信息保護法》專(zhuān)設公益訴訟條款,明確將個(gè)人信息保護納入檢察公益訴訟法定領(lǐng)域。檢察機關(guān)在辦案中發(fā)現,當前個(gè)人信息保護面臨四個(gè)突出問(wèn)題,須加強綜合治理。一是利用手機App等違規收集個(gè)人信息問(wèn)題突出,存在強制授權、過(guò)度索權、超范圍收集個(gè)人信息等情況。2021年,檢察機關(guān)共辦理網(wǎng)絡(luò )侵害個(gè)人信息公益訴訟案件800余件,同比上升約1.7倍。二是特定群體個(gè)人信息需要加大保護力度,未成年人、老年人等群體防范意識薄弱,更易成為個(gè)人信息侵害的對象。三是個(gè)人信息泄露導致騷擾電話(huà)和電信網(wǎng)絡(luò )詐騙風(fēng)險。四是個(gè)人信息保護監管合力不足。個(gè)人信息保護涉及對象多、領(lǐng)域廣,多個(gè)部門(mén)職責交叉或者職權定位不夠明晰,亟須形成監管合力。
下一步,檢察機關(guān)將繼續加大公益訴訟辦案力度,推動(dòng)個(gè)人信息保護法落地落實(shí)。一是突出保護重點(diǎn),聚焦重點(diǎn)人員、重點(diǎn)領(lǐng)域,為個(gè)人信息安全保駕護航。具體而言,在保護重點(diǎn)上,嚴格保護生物識別、宗教信仰、特殊身份、醫療健康、金融賬號、行蹤軌跡等敏感個(gè)人信息;在保護對象上,特別保護兒童、婦女、殘疾人、老年人、軍人等特定群體的個(gè)人信息;在保護領(lǐng)域上,重點(diǎn)保護教育、醫療、就業(yè)、養老、消費等領(lǐng)域處理的個(gè)人信息以及涉100萬(wàn)人以上的大規模個(gè)人信息,同時(shí)精準保護因時(shí)間、空間等聯(lián)結形成的特定對象的個(gè)人信息。二是強化檢察機關(guān)內部銜接配合,充分發(fā)揮檢察一體化辦案優(yōu)勢,積極應對個(gè)人信息公益損害網(wǎng)絡(luò )化。檢察機關(guān)將繼續暢通內部線(xiàn)索審查移送機制,注重在涉及個(gè)人信息保護的刑事、民事、行政檢察案件中同步發(fā)現公益訴訟案件線(xiàn)索,加強全流程、全鏈條保護,實(shí)現懲治違法和保護公益的多重效果。三是形成個(gè)人信息保護監管合力。檢察機關(guān)將加強與網(wǎng)信、工信、公安、市場(chǎng)監管、教育等職能部門(mén)在線(xiàn)索移送、信息共享、專(zhuān)業(yè)咨詢(xún)、辦案輔助等方面的協(xié)作配合,健全行政執法與公益訴訟檢察銜接機制,積極穩妥辦理涉及網(wǎng)絡(luò )黑灰產(chǎn)、數據安全的重大網(wǎng)絡(luò )侵害類(lèi)公益訴訟案件。兵器,檢察機關(guān)還加強與法院的溝通協(xié)調,深化個(gè)人信息保護公益訴訟制度探索。此外,檢察機關(guān)還將通過(guò)提出檢察建議等方式,督促相關(guān)單位或部門(mén)采取有效防范措施,筑牢個(gè)人信息保護“防火墻”。
三、跨境數據流動(dòng)中的網(wǎng)絡(luò )安全保護
在經(jīng)濟貿易全球化的背景下,跨境數據流動(dòng)不斷加速,在發(fā)揮著(zhù)降低企業(yè)成本、盤(pán)活線(xiàn)上跨境交易、支撐企業(yè)國際運營(yíng)、促進(jìn)國際執法合作等積極作用的同時(shí),也對各國的國家安全、產(chǎn)業(yè)發(fā)展和個(gè)人的隱私保護等造成了威脅。例如,近年來(lái)科技巨頭濫用數據、境外暗網(wǎng)售賣(mài)個(gè)人數據等惡性事件層出不窮,2013年的“棱鏡門(mén)事件”更是引發(fā)了世界關(guān)注,讓世界各國深刻地認識到跨境數據流動(dòng)會(huì )給國家安全與個(gè)人隱私帶來(lái)巨大風(fēng)險,進(jìn)而推動(dòng)了全球跨境數據流動(dòng)研究和立法潮流。我國在國家安全主視角下,數據跨境流動(dòng)規則體系日漸完善,監管力度逐步加強,目前我國主要從個(gè)人信息、重要數據、國家秘密、行業(yè)數據以及出口管制、境外調取進(jìn)行多維度的跨境活動(dòng)監管。
回溯我國數據跨境流動(dòng)的法律體系構建過(guò)程,從最初的《網(wǎng)絡(luò )安全法》中對個(gè)人信息和重要數據的跨境行為規范,到立法活動(dòng)更多落腳于個(gè)人信息方向。隨著(zhù)數字經(jīng)濟發(fā)展,數據作為生產(chǎn)要素不僅關(guān)涉到個(gè)人隱私安全,部分重要數據可能會(huì )對于國家安全造成影響,我國隨即出臺《數據安全法》等相關(guān)法律法規對重要數據的跨境活動(dòng)進(jìn)行規制。各個(gè)行業(yè)監管部門(mén)也在相關(guān)法律指引下,針對各自領(lǐng)域的敏感數據、重要數據進(jìn)行跨境流動(dòng)行為規范。
具體而言,我國對于數據跨境主要從兩個(gè)維度進(jìn)行規制,一是本地化限制,按照目前中國相關(guān)法律法規,本地化要求更多適用于關(guān)鍵信息基礎設施運營(yíng)者(“CIIO”),要求其在境內運營(yíng)過(guò)程中收集和產(chǎn)生的個(gè)人信息和重要數據都應當在境內進(jìn)行存儲。同時(shí)部分行業(yè)敏感數據也存在分散的本地化要求,包括但不限于征信業(yè)、銀行業(yè)、汽車(chē)制造業(yè)等接觸敏感數據、重要數據較為頻繁的領(lǐng)域。二是限制性數據跨境,我國目前對于數據跨境活動(dòng)主要采取限制性規范,要求數據控制主體在數據跨境活動(dòng)前需符合法律規定條件或按照規定完成安全評估、保護認證等條件。
通觀(guān)我國和全球主要國家和地區數據跨境流動(dòng)治理模式與規制規則,跨境數據流動(dòng)治理已經(jīng)成為經(jīng)濟發(fā)展和時(shí)代發(fā)展的必然要求,全球數據跨境治理正處于高速發(fā)展階段,數據跨境流動(dòng)背后不僅為數據安全風(fēng)險,更是逐步涉及國家競爭問(wèn)題。自我國《網(wǎng)絡(luò )安全法》頒布的五年以來(lái),我國緊隨國際數據流動(dòng)治理熱潮,在總體國家安全觀(guān)視角下結合國家現實(shí)需求搭建了較為完善的中國特色的數據治理體系,通過(guò)各項跨境數據領(lǐng)域的法律法規的不斷完善以促進(jìn)公民權益、經(jīng)濟發(fā)展、國家安全等目標的有機協(xié)同,在飛速發(fā)展與安全保障中找到可實(shí)現數據價(jià)值最大化的平衡點(diǎn)。
四、網(wǎng)絡(luò )安全信息共享制度的完善
近年來(lái)來(lái)自境內外網(wǎng)絡(luò )安全威脅問(wèn)題的日益嚴峻,通過(guò)建立網(wǎng)絡(luò )安全信息共享機制這一方式提高主體防御網(wǎng)絡(luò )風(fēng)險的能力、最小化網(wǎng)絡(luò )攻擊的損害后果,同時(shí)降低安全維護成本,成為系統性構筑我國網(wǎng)絡(luò )安全堡壘的一大舉措。
我國《網(wǎng)絡(luò )安全法》第三十九條中規定“促進(jìn)有關(guān)部門(mén)、關(guān)鍵信息基礎設施的運營(yíng)者以及有關(guān)研究機構、網(wǎng)絡(luò )安全服務(wù)機構等之間的網(wǎng)絡(luò )安全信息共享”,這是“網(wǎng)絡(luò )安全信息共享”首次以立法的形式展現并對此作出了原則性規定。而2021年9月1日起施行的《關(guān)鍵信息基礎設施安全保護條例》第二十三條明確規定“國家網(wǎng)信部門(mén)統籌協(xié)調有關(guān)部門(mén)建立網(wǎng)絡(luò )安全信息共享機制,及時(shí)匯總、研判、共享、發(fā)布網(wǎng)絡(luò )安全威脅、漏洞、事件等信息,促進(jìn)有關(guān)部門(mén)、保護工作部門(mén)、運營(yíng)者以及網(wǎng)絡(luò )安全服務(wù)機構等之間的網(wǎng)絡(luò )安全信息共享”,試圖以關(guān)鍵信息基礎設施為切入口,逐步構建我國網(wǎng)絡(luò )安全信息共享機制。全國信息安全標準化技術(shù)委員會(huì )日前發(fā)布了《信息安全技術(shù) 網(wǎng)絡(luò )安全信息共享指南》(征求意見(jiàn)稿),試圖進(jìn)一步規范網(wǎng)絡(luò )安全信息共享的具體措施,打通網(wǎng)絡(luò )安全信息共享的技術(shù)壁壘。
網(wǎng)絡(luò )安全信息共享制度建設是法治國家面對當前嚴峻的網(wǎng)絡(luò )安全形勢所做出的理性選擇。此種風(fēng)險社會(huì )多利益主體協(xié)同共治的模式,在結合中國的實(shí)際情況的基礎上,能夠有效發(fā)展網(wǎng)絡(luò )安全信息共享戰略,不斷優(yōu)化網(wǎng)絡(luò )空間安全環(huán)境,及時(shí)增強應對網(wǎng)絡(luò )安全威脅的能力。
五、法律責任
《網(wǎng)絡(luò )安全法》為未履行網(wǎng)絡(luò )運行安全義務(wù)、未履行網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全義務(wù)以及違反用戶(hù)身份管理規定、違法開(kāi)展網(wǎng)絡(luò )安全服務(wù)活動(dòng)、實(shí)施危害網(wǎng)絡(luò )安全行為、侵犯個(gè)人信息權利、違反關(guān)鍵信息基礎設施采購國家安全審查規定、違反關(guān)鍵信息基礎設施數據境內存儲和對外提供規定、利用網(wǎng)絡(luò )從事與違法犯罪相關(guān)的活動(dòng)等違法行為規定了一系列行政責任。刑法第二百八十五條至第二百八十七條以及刑法第二百五十三條之一,規定了非法侵入計算機信息系統、破壞計算機信息系統、拒不履行信息網(wǎng)絡(luò )安全管理義務(wù)、非法利用信息網(wǎng)絡(luò )、幫助信息網(wǎng)絡(luò )犯罪活動(dòng)以及侵犯公民個(gè)人信息權益的刑事責任。《個(gè)人信息保護法》與《民法典》規定了侵犯公民個(gè)人信息的民事責任。在各部門(mén)法的協(xié)作下,我國已構建起完整的保障網(wǎng)絡(luò )安全的法律責任體系。
以拒不履行網(wǎng)絡(luò )安全管理義務(wù)罪為例,其是指網(wǎng)絡(luò )服務(wù)提供者不履行法律、行政法規規定的信息網(wǎng)絡(luò )安全管理義務(wù),經(jīng)監管部門(mén)責令采取改正措施而拒不改正,致使違法信息大量傳播的、或致使用戶(hù)信息泄露,造成嚴重后果的、或致使刑事案件證據滅失,情節嚴重的行為。《網(wǎng)絡(luò )安全法》基于國家總體安全觀(guān),為網(wǎng)絡(luò )運營(yíng)者、網(wǎng)絡(luò )產(chǎn)品或者服務(wù)的提供者構建了系統且完備的網(wǎng)絡(luò )安全管理義務(wù)體系,對于違反《網(wǎng)絡(luò )安全法》相關(guān)義務(wù)構成犯罪的,依法追究刑事責任。拒不履行信息網(wǎng)絡(luò )安全管理義務(wù)罪的適用正是貫徹落實(shí)《網(wǎng)絡(luò )安全法》、構建我國網(wǎng)絡(luò )安全法律保障體系的重要環(huán)節。與此同時(shí),拒不履行信息網(wǎng)絡(luò )安全管理義務(wù)罪為相關(guān)主體設置了在特定條件下可得出罪的條件,這一特殊立法模式也體現了在回應網(wǎng)絡(luò )安全保護的現實(shí)需求下,立法者對于兼顧網(wǎng)絡(luò )產(chǎn)業(yè)長(cháng)遠發(fā)展的謹慎考量。其目的是促使互聯(lián)網(wǎng)企業(yè)能夠更加自主、規范地開(kāi)展業(yè)務(wù),履行自身的社會(huì )義務(wù)。在日新月異的網(wǎng)絡(luò )產(chǎn)業(yè)發(fā)展面前,拒不履行信息網(wǎng)絡(luò )安全管理義務(wù)罪一方面為確保網(wǎng)絡(luò )運營(yíng)者的義務(wù)履行提供了有力的法律保障,另一方面也為他們更好地構建自身刑事合規體系留下了一定的時(shí)間和空間。
由此可見(jiàn),《網(wǎng)絡(luò )安全法》落地五年來(lái),通過(guò)不斷健全完善網(wǎng)絡(luò )安全法律制度、加強網(wǎng)絡(luò )安全領(lǐng)域執法力度與協(xié)作,取得了一系列實(shí)施成就,構建了切實(shí)有效的網(wǎng)絡(luò )安全保障體系,為我國數字經(jīng)濟高質(zhì)高效發(fā)展提供了堅實(shí)基礎。
最新消息
