《網(wǎng)絡安全法》的出臺,無疑順應了網(wǎng)絡空間安全化、法治化的發(fā)展趨勢,對國內網(wǎng)絡空間治理有極為重要的作用。但作為網(wǎng)絡空間安全法律體系的重要起點,《網(wǎng)絡安全法》也只是開了個好頭,接下來,關于民事侵權責任、個人信息保護、軟硬件市場準入、行業(yè)自律規(guī)范等多方面的完善,還需要很長一段時間
自2017年6月1日起,中國網(wǎng)絡安全迎來新的時代。
當天,備受關注的《中華人民共和國網(wǎng)絡安全法》(以下簡稱《網(wǎng)絡安全法》)正式開始實施。以往中國互聯(lián)網(wǎng)行業(yè)在安全方面的諸多積弊,或將嚴格規(guī)范。
中國互聯(lián)網(wǎng)行業(yè)發(fā)展迅猛,監(jiān)管的步伐始終難以跟上行業(yè)發(fā)展速度。而網(wǎng)絡安全是個多元化的命題,涉及個人信息保護、企業(yè)商業(yè)安全、監(jiān)管體系的建立、立法和司法的逐步完善等。
《網(wǎng)絡安全法》的實施,僅是開了個好頭,接下來,法律如何完善實施、監(jiān)管如何進一步有效協(xié)調、對于違法行為如何有效地懲戒,亦是網(wǎng)絡安全現(xiàn)狀能否真正得到改善的重要舉措。從這一角度來看,《網(wǎng)絡安全法》實施之后,仍有很多問題需要逐步厘清。
“安全可控”是立法本意
“《網(wǎng)絡安全法》的頒布,其立法本意是要在我國領域內推廣‘安全可控’的產品和服務。”上海漢盛律師事務所高級合伙人李旻律師在接受《法人》記者采訪時表示。
“安全可控”包含著三方面的意思:首先,在于“產品的安全可控”,即禁止網(wǎng)絡服務提供者通過網(wǎng)絡非法控制和操縱用戶設備,損害用戶對設備和系統(tǒng)的控制權;其次,在于“數(shù)據(jù)的自主可控”,即禁止網(wǎng)絡服務提供者利用提供產品或服務的便利條件非法獲取用戶重要數(shù)據(jù),損害用戶對自己數(shù)據(jù)的控制權;最后,在于“用戶的選擇可控”,即禁止服務提供者利用用戶對其產品和服務的依賴性,限制用戶選擇使用其他產品和服務,損害用戶的網(wǎng)絡安全和利益。
在李昱看來,本次立法亮點頗多。
例如,《網(wǎng)絡安全法》前所未有地提出了網(wǎng)絡空間主權概念,豐富了我國享有的主權范圍,其將網(wǎng)絡空間主權視為我國國家主權在網(wǎng)絡空間中的自然延伸和表現(xiàn)。將網(wǎng)絡空間的概念上升為國家主權,更有利于保障我國合法網(wǎng)絡權益不受他國或國外組織的侵害。一切在我國網(wǎng)絡空間領域內非法入侵、竊取、破壞計算機及其他服務設備或提供相關技術的行為,都將被視作是侵害我國國家主權的行為。
《網(wǎng)絡安全法》還確立了網(wǎng)絡安全等級保護制度,將網(wǎng)絡安全分為五個等級,隨著級別的增高,國家信息安全監(jiān)管部門介入的強度越大,以此對信息系統(tǒng)安全保護起到監(jiān)督和檢查。
實名認證制度則是本次立法的另一大亮點?!毒W(wǎng)絡安全法》規(guī)定了網(wǎng)絡服務經營者、提供者及其他主體在與用戶簽訂協(xié)議或者確認提供服務時應當采取實名認證制度,包括但不限于網(wǎng)絡接入、域名注冊、入網(wǎng)手續(xù)辦理、為用戶提供信息發(fā)布、即時通信等服務。
實務中,這一制度靈活性及可操作性較強,可采取前臺匿名,后臺實名的方式進行。但是,實名認證的工作必須落實到位,若不實行網(wǎng)絡實名制的,則最高可對平臺處以50萬元的罰款。
此外,本次立法還確立了關鍵信息基礎設施運營者采購網(wǎng)絡產品、服務的安全審查制度?!毒W(wǎng)絡安全法》對提高我國關鍵信息基礎設施安全可控水平提出了相關法律要求,并配套相繼出臺了《網(wǎng)絡產品和服務安全審查辦法(試行)》(該《辦法》與《網(wǎng)絡安全法》均于2017年6月1日起生效),明確了關系國家安全的網(wǎng)絡和信息系統(tǒng)采購的重要網(wǎng)絡產品和服務,對網(wǎng)絡產品和服務的安全性、可控性應當經過網(wǎng)絡安全審查。涉及國家安全、軍事領域等產品及服務的采購,若可能影響國家安全的,應當經過國家安全審查。
與此同時,新法還要求建立安全認證檢測制度。針對網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產品,規(guī)定應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求后,方可銷售或者提供。
本次立法還確立了網(wǎng)絡通信管制制度。網(wǎng)絡通信管制制度的確立目的是在發(fā)生重大事件的情況下,通過賦予政府行政介入的權力,犧牲部分通信自由權,來維護國家安全和社會公共秩序的制度。該做法是國際通行做法,例如在發(fā)生暴恐事件中,可切斷不法分子的通聯(lián)渠道,避免事態(tài)進一步惡化,保障用戶的合法權益,維護社會穩(wěn)定。
但是這種管制影響是比較大的,因此《網(wǎng)絡安全法》嚴謹?shù)匾?guī)定實施臨時網(wǎng)絡管制,要經過國務院決定或者批準。一般來說,網(wǎng)絡通信管制制度的實施是短時性的,一旦事件處置結束,政府會立即恢復正常通信,以盡可能小的對地人通信帶來不便。
除以上幾點之外,《網(wǎng)絡安全法》還在重要數(shù)據(jù)強制本地存儲制度、境外數(shù)據(jù)傳輸審查評估制度、個人信息保護制度、個人信息流通制度等方面,進行了相應規(guī)范。
個人信息保護難題待解
作為我國網(wǎng)絡安全治理領域的基礎性立法,《網(wǎng)絡安全法》首次在法律層面規(guī)定了個人信息保護的基本原則,明確指出,收集適用信息應經用戶明示同意,不得收集無關信息,不得向他人提供個人信息,經過處理無法識別特定個人且不能復原的除外,不得非法出售個人信息。
所謂個人信息包括兩類,一類是姓名、住址等基本信息;另一類是賬戶、密碼等交易類信息。隨著互聯(lián)網(wǎng)應用的普及和人們對互聯(lián)網(wǎng)的依賴,互聯(lián)網(wǎng)的安全問題也日益凸顯。惡意程序、各類釣魚和欺詐繼續(xù)保持高速增長,同時黑客攻擊和大規(guī)模的個人信息泄露事件頻發(fā),與各種網(wǎng)絡攻擊大幅增長相伴的,是大量網(wǎng)民個人信息的泄露與財產損失的不斷增加。
北京郵電大學互聯(lián)網(wǎng)治理與法律研究中心副主任崔聰聰在接受《法人》記者采訪時表示,《網(wǎng)絡安全法》在明確收集和利用個人信息應遵循合法、正當和必要原則的基礎上,進一步細化了個人信息收集、處理、利用和傳輸?shù)臈l件,細化了收集人的安全保障義務,通過賦予權利人知情同意、更正權和刪除權等強化了個人的權利,特別是匿名化處理的規(guī)定,有效地平衡了個人信息安全和產業(yè)發(fā)展之間的沖突。
而在電商領域,由于用戶在各大電商網(wǎng)站注冊、購物導致的個人信息泄露事件時有發(fā)生。據(jù)中國電子商務研究中心對1000位用戶在線調查顯示,21.7%的用戶曾因網(wǎng)購、論壇、微信等遭遇過信息泄露,并且11.2%的用戶接到過疑似的詐騙電話;56.8%的用戶表示對互聯(lián)網(wǎng)信息安全擔憂,并會對要填寫個人信息的互聯(lián)網(wǎng)游戲,注冊等保留一定的戒心,而仍有43.2%的用戶認為互聯(lián)網(wǎng)信息泄露與個人無關,不太關注。
另據(jù)中國互聯(lián)網(wǎng)協(xié)會《中國網(wǎng)民權益保護調查報告2016》顯示,近一年的時間,國內6.88億網(wǎng)民因垃圾短信、詐騙信息、個人信息泄露等造成的經濟損失估算達915億元。54%的網(wǎng)民認為個人信息泄露情況嚴重,84%的網(wǎng)民曾親身感受到因個人信息泄露帶來的不良影響。
據(jù)中國電子商務研究中心監(jiān)測,絕大多數(shù)新型的網(wǎng)絡騙術都與個人信息的泄露有關,他們或者是充分利用已經竊取到的受害者個人信息實施網(wǎng)絡詐騙,或者就是以受害者的個人信息為網(wǎng)絡詐騙的攻擊目標,個人信息的非法交易也恰恰是造成網(wǎng)絡詐騙犯罪泛濫的根本原因。
“用戶信息泄露有多種可能性途徑,互聯(lián)網(wǎng)信息泄露隱形風險重重?,F(xiàn)在很多網(wǎng)民擁有多個賬號,注冊時網(wǎng)站一般都要填寫一些個人信息,如常見的賬號、密碼、郵箱等,有的網(wǎng)站甚至要實名認證。”中國電子商務研究中心主任曹磊在接受《法人》記者采訪時表示。
信息泄露帶來的危害毋庸置疑,那么如何保護用戶的個人信息安全?曹磊給出了四點建議:
首先,網(wǎng)站用戶信息泄露必須提防多種可能性途徑?,F(xiàn)在許多APP、網(wǎng)站、公眾號、小程序都需要用戶注冊賬號后才能正常使用。因此,每個網(wǎng)民擁有多個賬號是很平常的事情。在注冊時,網(wǎng)站一般都要填寫一些個人信息,如常見的賬號、密碼、郵箱等,像一些電子商務、婚戀、交友網(wǎng)站等還需要實名認證,要求填寫的信息更加詳細。
而平臺上的用戶數(shù)據(jù)泄露主要有以下幾種方式:黑客利用平臺存在的安全漏洞入侵網(wǎng)站,盜取用戶數(shù)據(jù)庫;網(wǎng)站內部工作人員倒賣用戶信息;通過撞庫攻擊,竊取用戶數(shù)據(jù);利用釣魚攻擊竊取用戶信息;通過木馬、病毒竊取用戶隱私信息。
其次,法律條文應細化,相關部門應適時介入。我國關于網(wǎng)絡信息安全方面的法律條文不夠明確,適用范圍尚且不夠精準,相關條文必須得到進一步細化、規(guī)范,以此更加公平、公正地懲治網(wǎng)絡信息安全事故的造成者,保護公民切身利益。此類信息泄露事件不適用“不告不處理的”的原則,相反,執(zhí)法部門應主動積極介入案件調查,并對實施者進行追責處理。
再次,信息安全無小事,用戶必須增強信息保護意識。警惕要求重新輸入賬號信息,否則將停掉信用卡賬號之類的郵件,不要回復或者點擊郵件的鏈接,以免落入圈套。同時,避免開啟來路不明的電子郵件及文件,安裝殺毒軟件并及時升級病毒知識庫和操作系統(tǒng)補丁,將敏感信息輸入隱私保護,打開個人防火墻。
在使用網(wǎng)絡銀行時,選擇使用網(wǎng)絡憑證及約定賬戶方式進行轉賬交易,不要在網(wǎng)吧、公用計算機上和不明的地下網(wǎng)站做在線交易或轉賬。不要在多個網(wǎng)站使用相同的注冊賬戶名以及登錄密碼,防止網(wǎng)絡黑客有意盜取,造成多個網(wǎng)站個人信息的連環(huán)失竊。
最后,要求網(wǎng)站平臺收集和使用用戶信息應當遵循“合法、正當、必要”三原則。對收集到的用戶信息應當采取安全保護措施,一旦發(fā)生泄密,必須及時采取補救措施,否則可能面臨行政處罰或者用戶的訴訟。
違法懲處力度加大
伴隨著《網(wǎng)絡安全法》的實施,有關違法行為懲處的力度也在相應加大。與《網(wǎng)絡安全法》同于6月1日實施的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》明確規(guī)定,非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息等個人信息50條以上的,即構成犯罪,對掌握公民個人信息的內部工作人員泄露公民個人信息將從重處理。
本次立法還明確了網(wǎng)絡運營者的相應責任,如第四十二條規(guī)定,網(wǎng)絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。
針對當前通信信息詐騙特別是新型網(wǎng)絡違法犯罪呈多發(fā)態(tài)勢,《網(wǎng)絡安全法》增加了懲治網(wǎng)絡詐騙等新型網(wǎng)絡違法犯罪活動的規(guī)定,即任何個人和組織不得設立用于實施詐騙,傳授犯罪方法,制作或者銷售違禁物品、管制物品等違法犯罪活動的網(wǎng)站、通信群組,不得利用網(wǎng)絡發(fā)布與實施詐騙,制作或者銷售違禁物品、管制物品以及其他違法犯罪活動有關的信息。
“《網(wǎng)絡安全法》明確了利用網(wǎng)絡實施詐騙以及為網(wǎng)絡詐騙提供幫助或者便利條件的法律責任。”北京郵電大學互聯(lián)網(wǎng)治理與法律研究中心副主任崔聰聰告訴《法人》記者,《網(wǎng)絡安全法》從立法伊始就將個人信息保護列為了應重點解決的問題之一,切中了當個人信息泄露亂象的要害,同時結合刑法修正案九的相關規(guī)定,進一步加大了對違法收集、濫用個人信息行為的打擊力度。
中國電子商務研究中心法律權益部分析師姚建芳對《法人》記者總結了信息泄露的三種原因:擁有個人信息資料的商業(yè)機構被外部竊取或內部泄露;技術漏洞所致,造成用戶大量隱私內容曝光;用戶個人由于信息保管不當,被不法分子獲得等。
姚建芳認為,保護個人信息,僅靠企業(yè)的技術手段遠遠不夠,根據(jù)業(yè)界掌握的情況,很多互聯(lián)網(wǎng)用戶個人信息泄露事件都是一些企業(yè)內部員工泄露導致的。因此,企業(yè)加大對內部員工的管理、承接至關重要,還可以出臺“黑名單”機制,各電商、互聯(lián)網(wǎng)公司聯(lián)網(wǎng),一次犯罪,各家平臺乃至全行業(yè)永不錄用。
部分外企或受影響
《網(wǎng)絡安全法》在數(shù)據(jù)存儲和境外數(shù)據(jù)傳輸?shù)确矫嬉嘧龀鲆?guī)范,這也引發(fā)了不少企業(yè)尤其是外資企業(yè)的擔憂。
其一是重要數(shù)據(jù)強制本地存儲制度。該制度主要調整的是關鍵信息基礎設施運營者在收集個人信息重要數(shù)據(jù)的合法性問題,規(guī)定了要強制在本地進行數(shù)據(jù)存儲。
其二是境外數(shù)據(jù)傳輸審查評估制度。本地存儲的數(shù)據(jù)若確屬需要數(shù)據(jù)轉移出境的,應同時滿足以下條件:1 .經過安全評估認為不會危害國家安全和社會公共利益的;2 .經個人信息主體同意的。另外,該制度還規(guī)定了一些法律擬制的情況,比如,撥打國際電話、發(fā)送國際電子郵件、通過互聯(lián)網(wǎng)跨境購物以及其他個人主動行為,均可視為已經取得了個人信息主體同意。
此兩項新規(guī)被認為主要針對的行業(yè)包括金融、交通、醫(yī)療保健、公用事業(yè)和通信。其中,要求在中國境內的企業(yè)運營中收集和產生的公民個人信息和重要的業(yè)務數(shù)據(jù),應在中國境內存儲,亦引發(fā)一定爭議。
“受影響比較大的首先是國內外的網(wǎng)絡運營商,以及網(wǎng)絡產品和服務的供應商,如電信、TI等行業(yè)。”一位外企安全專家在接受《法人》記者采訪時強調,這將影響在中國經營的部分外資公司,特別是使用其自有的全球基礎設施和信息技術資源在中國經營業(yè)務的公司,因為在中國收集的原始數(shù)據(jù),包括業(yè)務數(shù)據(jù)和客戶數(shù)據(jù),一般都直接存儲在物理位置位于海外的數(shù)據(jù)中心或服務器上。
鑒于此,很多在中國開展業(yè)務的外資企業(yè),必須開始調整相關布局,將存儲于中國境外的電子郵件服務器等調整至境內,提前規(guī)劃重新建設其基礎設施以符合新法的要求。
此外,一些外資企業(yè)還對新法中的相關內容提出了質疑。如一些美國企業(yè)認為,《網(wǎng)絡安全法》中要求分享原代碼或者公布產品一些設計細節(jié)的內容,可能會傷害技術革新,泄露企業(yè)的商業(yè)機密。
不過在該位專家看來,目前新法剛剛實施,且在實施之前已經留出相當?shù)木彌_時間,一些行業(yè)中的企業(yè)已經開始積極調整業(yè)務模式,以應對法律的規(guī)范。對很多外資企業(yè)來說,目前仍處于學習、了解新法的過程。
“立法的初衷是倡導建立一個統(tǒng)一的安全標準,目的是保護所有網(wǎng)絡用戶的安全。其不只是針對國外企業(yè),所有相關的企業(yè)都會涉及。而且不僅中國有類似的法律,國外很多地方早已有類似的法律。”該專家告訴《法人》記者。
而在崔聰聰快看來,基于國家安全和保護用戶權益的需要而對數(shù)據(jù)跨境流動進行管理,不會成為也不應該成為國際貿易的障礙,也不是所謂的數(shù)字貿易壁壘,更不會影響公司的競爭力。
2013年6月,美國“棱鏡計劃”被曝光,造成各方對當前國際互聯(lián)網(wǎng)治理安排缺乏信任,各國數(shù)據(jù)本地化立法數(shù)量逐漸增加,并強化了對數(shù)據(jù)跨境流動的管理,如俄羅斯、韓國、澳大利亞、印度、阿根廷、土耳其、印度尼西亞、馬來西亞等國通過修法或制定新的法律強化對數(shù)據(jù)跨境的監(jiān)管。
“規(guī)范與限制數(shù)據(jù)出境的目的在于保障數(shù)據(jù)信息免受未經授權的訪問、使用、披露、破壞、修改和銷毀等,同時防止數(shù)據(jù)被惡意使用威脅國家安全、社會公共安全和個人安全。”崔聰聰說,對中國的立法,既要看到數(shù)據(jù)本地化、境內存儲的要求,也要看到符合法定條件后可以出境的規(guī)定。所以中國網(wǎng)絡安全法的規(guī)定,兼顧了產業(yè)發(fā)展與國家安全、社會公共安全以及個人權益,在發(fā)展與安全之間取得了很好的平衡。
細則仍待完善
《網(wǎng)絡安全法》的出臺,無疑順應了網(wǎng)絡空間安全化、法治化的發(fā)展趨勢,對國內網(wǎng)絡空間治理有極為重要的作用。
不過,盡管是網(wǎng)絡空間安全法律體系的重要起點,《網(wǎng)絡安全法》也只是該法律體系的一個組成部分。下一步,《網(wǎng)絡安全法》從開始實施到完善落實,還需要一定的過渡期。除此之外,新法內的一些具體規(guī)定要具體“落地”,還有一些配套措施要完善。
“《網(wǎng)絡安全法》是網(wǎng)絡安全的基本法,為今后我國構建完整全面系統(tǒng)的網(wǎng)絡安全法律體系奠定了基礎。”遼寧亞太律師事務所董毅智律師在接受《法人》記者采訪時表示,如何權衡安全與發(fā)展之間的關系,將是未來該法實施的重大挑戰(zhàn)。
董毅智認為,我國互聯(lián)網(wǎng)產業(yè)能夠在國際上實現(xiàn)跨越式發(fā)展,實現(xiàn)彎道超車,確實因為前20年相對寬松的監(jiān)管環(huán)境。而今《網(wǎng)絡安全法》的實施,必然會產生安全與發(fā)展的矛盾,如何尋找切和點,真正實現(xiàn)互聯(lián)網(wǎng)安全的法治,需要一個比較長的周期去觀察。
“還應該呼吁和強調執(zhí)法問題,任何立法的最終價值體現(xiàn)在執(zhí)法層面,如何順應民意,在監(jiān)管上實現(xiàn)高超的技術,利用互聯(lián)網(wǎng)的特色,將是一個不斷考量人性弱點的歷程,需要每個網(wǎng)民關注。”董毅智告訴《法人》記者。
目前來看,《網(wǎng)絡安全法》雖是網(wǎng)絡安全領域的根本大法,但在實施中仍有很多細節(jié)問題要解決。比如網(wǎng)絡實名制問題,到現(xiàn)在還沒有徹底落實,在技術上、監(jiān)管主體及網(wǎng)站責任等方面,尚未形成統(tǒng)一標準。
因此,《網(wǎng)絡安全法》的落地,需要相關實施細則以及包括《個人數(shù)據(jù)保護法》等在內的其他法規(guī)的“配合”,網(wǎng)民協(xié)議制度、行業(yè)自律規(guī)范、技術能力等也都要跟上。
與此同時,在今后的實踐中,應處理好《網(wǎng)絡安全法》與一些相關法律法規(guī)的關系,如民事侵權責任、個人信息保護、軟硬件市場準入等相關法律法規(guī),在保障網(wǎng)絡安全的同時,避免在法律適用等環(huán)節(jié)出現(xiàn)問題。
作為新興領域,中國互聯(lián)網(wǎng)行業(yè)發(fā)展迅猛,一些新的問題與瓶頸不斷產生,亦對監(jiān)管部門提出了更高的要求。從這一角度來看,監(jiān)管部門也應加強自身建設,適應飛速發(fā)展、變幻萬千的網(wǎng)絡安全監(jiān)管特征,在立法不斷完善的同時,提高執(zhí)法水平。無論如何,網(wǎng)絡空間不是法外之地。
(本刊記者肖岳對此文亦有貢獻)