作者:汪蕊 肖宇 Andrew Fuller 金杜律师事务所并购部
早在2014年2月27日,国家主席、中央网络安全和信息化领导小组组长习近平即指出:“没有网络安全就没有国家安全。”[1] 2015年7月1日,《中华人民共和国国家安全法》(“《国安法》”)生效。[2] 《国安法》首次明确提出,中国将“维护国家网络空间主权、安全和发展利益。”[3]
网络安全在近年来所面临的挑战日益严峻。特别是以下几个领域出现的问题,引起了中国政府的高度关注:第一,网络空间的非法入侵及攻击,严重威胁中国所有重要领域的信息基础设施;第二,非法网上活动的增加,损害中国的社会利益,这一问题在个人信息窃取和侵犯知识产权等领域尤甚;第三,利用中国的网络宣扬恐怖主义或极端主义、煽动或颠覆国家制度的情况正在增加,威胁国家安全和公共利益。[4]
2015年7月6日,全国人大常委会发布《中华人民共和国网络安全法(草案)》(“《草案》”),征询公众意见。《草案》一旦通过,将成为中国第一部专门规制网络安全的法律。《草案》与中国政府加强国家安全的举措相呼应,标志着中国政府准备收紧对国内网络及数据安全的监管。
本文首先对《草案》进行概述,继而探讨《草案》对于不同行业的商业利益可能带来的潜在影响。本文将重点讨论《草案》中有关网络产品和服务安全、网络运行安全、网络数据安全以及网络信息安全的条款内容。
《草案》概述
《草案》的立法主旨是保护中国国家的网络空间主权及国家安全。[5] 根据《草案》第2条规定,在中华人民共和国境内建设、运营、维护和使用网络[6],以及对网络安全的监督管理活动,均将适用新法。
《草案》包含68项条文,对于以下方面的网络安全问题具有广泛的监管效力:维护网络主权和战略规划,网络产品和服务安全,网络运行安全,网络数据安全,网络信息安全,预警与应急体系,以及网络监督管理体制。
《草案》建立了网络安全的全面监管体制,规定了网络运营者及网络服务提供者的法律责任 ,并对网络安全框架下的一些重要术语进行了界定。[7] 《草案》规定,“国家网信部门”[8]将负责全面统筹协调网络安全工作和不同政府部门的相关监督管理职能。[9]
网络产品和服务安全
维护网络安全,首先要确保网络产品和服务的安全。中国政府计划对网络产品和服务推行严格的监管政策,以改善中国的网络安全状况。《草案》针对特定关键信息技术硬件和设备建立了一项制度,要求该等硬件和设备被销售和运行前必须达到强制性的安全标准,并通过政府认证。
《草案》第19条规定,网络关键设备和网络安全专用产品应当在相关机构认证合格或通过检测后方可销售。网络关键设备和网络安全专用产品的目录将由国家网信部门会同国务院有关部门另行发布。
然而,《草案》的上述规定并不是一项全新的政策—这些规定更可能是对近年来相关事件的回应或后续发展的结果。在此方面,外国的信息技术供应商可能会在提供任何前述相关产品或服务时面临更大的挑战。
过去很长一段时间内,许多中国的企业和政府部门在其内部信息技术系统中广泛使用了外国的软件和硬件设备。当“棱镜计划”于2013年曝光时,来自IBM、甲骨文和EMC(“IOE”)等美国信息技术巨头的产品已在中国被普遍使用。在此情况下,中国政府开始警惕于使用外国信息技术产品的内在风险。由于这些外国信息技术产品可能产生使外国政府获得中国国家核心和机密信息的潜在风险,越来越多的中国公司和政府部门已停止使用外国信息技术产品(包括但不限于IOE产品[10])。作为替代方案,中国用户已转向使用国内研发的产品和服务,甚或开始研发自有技术。[11]
作为对于这些关注的回应之一,工业和信息化部及中国银行业监督管理委员会(“银监会”)于2014年12月26日发布了《银行应用安全可控信息技术推进指南(2014-2015)》 (“《指南》”) 。[12]《指南》虽未明确禁止外国供应商向中国银行业销售信息技术软件和硬件,但却可能为外国供应商参与中国市场设定较高的门槛。例如,附随于特定网络设备(如骨干路由器)及存储设备(如存储光纤交换机)的软件的源代码必须提交银监会信科部备案,特定网络设备的监控管理接口(如防火墙)必须通过银监会信科部的测试及认证,特定类别的网络设备(如核心交换机)及存储设备(如磁带库)的供应商被要求应在中国境内建立研发中心。[13]
面对《指南》在业内所引发的强烈反应,银监会于2015年初进行和缓表态,声明该指南同等适用于中国和外国公司。[14] 尽管如此,如果银行使用的安全信息技术平台属于“网络关键设备和网络安全专用产品”的范围,其将会受到《草案》第19条的规制,而《草案》的相关规则亦将适用。相应地,如果《草案》中所确立的标准高于《指南》中的相关标准,即使政府部门有任何可能放松监管标准的政策表态,银行业仍可能受制于更严格的管理体系。
网络运行安全
为保护关键信息基础设施的安全,《草案》对这些设施的运营者提出了新的要求。具体而言,《草案》对于被视为“关键信息基础设施”的相关设施的运行安全设定了较高的要求,并在特定情形下纳入了国家安全审查体系。与此同时,《草案》中的部分术语含义较为模糊;因此,这些新监管要求的影响将很大程度上取决于监管机构对这些术语所覆盖范围的解读。
1.“关键信息基础设施”的定义
根据《草案》第25条,“关键信息基础设施”包括:基础信息网络[15],重要行业[16]或公共服务领域[17]的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,以及用户数量众多的网络服务提供者所有或者管理的网络和系统。
“关键信息基础设施”的宽泛定义为监管机构对法律的解释留下了空间。在《草案》生效后,语义模糊的不同术语彼此之间将如何相互作用变得难以预测。例如,由于对“网络服务提供者”没有明确定义,理论上任何通过通讯网络(例如因特网)提供的服务类型均可能落入“网络服务”的范畴。而何等数量的用户将构成“用户数量众多”的情形从而触发监管要求也不甚明晰。再如,在“关键信息基础设施”的定义中,何为“重要信息系统”及“重要行业”两项术语中所述的“重要”概念,并没有明确规定。鉴于《草案》对何种系统属于“重要行业”的“重要信息系统”没有定义或提示,这一问题亦将取决于监管机构就具体个案的自由裁量。
2. 安全审查
《草案》规定了有关确保网络基础设施以及与网络运行有关重要人员安全性的新标准和要求。
《草案》第28条规定,关键信息基础设施运营者必须设置专门的内部安全管理机构,并应指派适格的安全管理负责人。此外,此类设施的运营者必须对安全管理负责人和关键岗位的人员进行背景审查。
《草案》第30条规定,关键信息基础设施的运营者采购网络产品或者服务,可能影响国家安全的,应当通过国家网信部门会同有关政府部门组织的安全审查。第30条意味着当与关键信息基础设施有关的购买行为可能影响国家安全时,《国安法》第59条[18]中所述的国家安全审查程序将被启动。
由于《草案》很可能会提高被影响行业的市场参与门槛,有可能被视为“关键信息基础设施运营者”的外国企业需要仔细考量《草案》中这些新的严格规定可能带来的影响。
网络数据安全
数据安全对于网络安全也至关重要。鉴于政府在个人及敏感信息保护方面的考虑,《草案》对数据存储进行了新的规定。根据这些新规则,当关键信息基础设施收集或产生的相关信息被中国政府视为“重要”或“关键”时,该等信息必须被完全存储在中国大陆境内。与此同时,此项政策适用的例外情形非常有限且描述模糊。
第31条规定, 关键信息基础设施的运营者必须在中华人民共和国境内(在实践中通常被解释为中国大陆)存储在运营活动中所收集和产生的、包括公民个人信息等在内的重要数据。如因正当的业务需要,上述数据必须在境外存储或者必须向境外的组织或者个人提供的,运营者必须按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
然而,在实践中,许多企业基于不同原因在境外服务器存储信息(例如,为了获得更好的存储服务,数据备份需要,或是在企业境外总部存储数据)。如上述规定生效,有此类做法的企业将需要重新和整体考虑他们的数据管理规程、相关运营模式以及企业内部信息技术基础设施的设置和部署。而由于云服务器架构和布局位置所固有的非确定性特征,云服务提供商就此方面的合规要求也会面临挑战。
类似的,第31条也存在语义不清的问题。例如,《草案》并未定义如何判断特定信息属于“重要”信息。而何为“安全评估”也未被明确规定。此外,国家安全审查的原则会不会也适用于安全评估程序?这些问题在《草案》目前的版本中都没有确定的答案。
网络信息安全
《草案》规定了维护网络信息安全的强力措施,并对网络运营者设定了更加严格的要求。《草案》并未仅只在应用层面监管中国网络中的信息传播,而是对网络运营者和网络服务提供者均施加了义务。因此,监管非法信息的传播不再仅只是政府的责任, 也成为网络运营者和网络服务提供者的义务。
《草案》第65条规定,“网络运营者”包括网络的所有者、管理者以及利用他人所有或者管理的网络提供相关服务的网络服务提供者。这一概念包括但不仅限于基础电信运营者、网络信息服务提供者及重要信息系统运营者。[19] 实践中,网络信息服务提供者可能包括如下服务的运营主体:社交服务(如微博),搜索引擎(如百度、搜狗、必应),视频网站(如优酷、土豆、乐视),电子商务平台(如淘宝、京东),公司网站,甚至一些可能会发布信息的非商业网站(如大学的网站)。
《草案》第40条及第41条第2款规定了网络运营者(包括电子信息发送服务提供者和应用软件下载服务提供者)的审查义务。当这些运营者发现禁止发布的信息或非法信息传输时,必须立即停止传输相关信息,并采取必要措施以防止信息继续扩散。运营者必须保存这些事件发生的记录并向有关主管机构报告。
《草案》第43条为有权采取措施阻断被禁止的信息在通讯网络传播的相关主体提供了切实的法律依据。一旦发现被禁止的信息,该等主体将要求网络运营者停止传输,并采取必要措施移除被禁止的内容。当上述被禁止的信息来源于中国境外时,这些有权主体可要求所有有关机构采取必要措施,阻断被禁止的信息继续传播。如《草案》第43条在生效后维持现有内容, 目前中国未在法律层面明确进行规定的网络内容审查机制将变得清晰。
结论
中国政府决心加强中国的网络监管,以增强国家安全和稳定。为达到上述立法目的,《草案》纳入对网络运行和网络信息安全进行严格监管的规定,将具有广泛深远的影响。
在《草案》的最新稿中,部分网络运营者(例如拥有数量众多的用户的网络服务提供者)将被视为关键信息基础设施的运营者,并被要求遵守与关键信息基础设施运营者有关的新规定。网络信息安全将由从上到下和从下到上两个方向的规管结构进行管理,该结构使得网络运营者需要为在他们的网络和平台上的信息负责。
目前,《草案》征求公众意见和评论的截止时间为2015年8月5日。《草案》一旦通过,必将对中国几乎所有行业领域产生重大影响。特别是在中国所推动的更“互联网+”这一宏观战略背景下[20],《草案》的通过将会对中国社会产生广泛和根本性的影响
注释:
[1] 参见“中央网络安全和信息化领导小组第一次会议召开 习近平发表重要讲话”(http://www.cac.gov.cn/2014-02/27/c_133148354.htm)。
[2] 由全国人大常委会颁布并于颁布之日起生效。
[3] 《国安法》进一步规定,对于中国境内可能或潜在可能影响国家安全的网络信息技术产品和服务,将建立国家审查和监管的制度和机制,以有效预防和化解国家安全方面的风险。参见《国安法》第25条及第59条。
[4] 参见附于《中华人民共和国网络安全法(草案)》的《 关于<中华人民共和国网络安全法(草案)>的说明》。
[5] 参见《草案》第1条。
[6] “网络”被定义为:由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的网络和系统。参见《草案》第65条。
[7] 参见《 关于<中华人民共和国网络安全法(草案)>的说明》。
[8] 目前,中国的“国家网信部门”包括成立于2014年2月27日的中共中央网络安全和信息化领导小组办公室及中华人民共和国国家互联网信息办公室。中华人民共和国国家互联网办公室成立于2011年5月4日,是中华人民共和国国务院新闻办公室的下属机构。s뿰⎰镚Ẉꂶ뿰ኸ聨Ⅺ镚膠ࢀꂶⴈ뿰镘Ẁꂶ뿰膠ᅠ镘ᢀꂶẀꂶ镘ᘀ﷽﷽﷽﷽﷽﷽﷽﷽﷽﷽wen ban gong shiᕦ镚뿰ᙤ镚﷽﷽﷽﷽﷽﷽﷽﷽
[9] 参见《草案》第6条。
[10] 2008年,阿里巴巴的首席架构师王坚第一次提出了他关于“去IOE”的想法。这意味着从阿里巴巴的信息技术结构中去除IBM的小型计算机,甲骨文的数据库及EMC的存储设备。即,阿里巴巴愿意使用廉价的PC服务器,基于MY SQL开源的自研数据库以及低端存储设备。通过做出这些改变,阿里巴巴希望将其所有的关键信息技术设备和产品维持在自己的控制之下。参见“去IOE,要到哪里去”(http://news.ccidnet.com/art/1032/20140709/5528735_1.html)及“去Apple,去杀软,去IOE 谁成受益者”(http://luochao.baijia.baidu.com/article/25131)。
[11] 同上。
[12] 于发布日生效。
[13] 参见《指南》及其附件。
[14] 2015年2月12日,银监会发布了《关于 < 指南>的相关说明》 。在说明中,银监会声明《指南》中的相关要求不存在国别差异;源代码备案要求仍在听取各方意见,尚未实施。
[15] 该等网络提供公共通信、广播及电视传输服务等。
[16] 例如能源、交通、水利和金融等。
[17] 包括供电、供水、供气、医疗卫生和社会保障等。
[18] 根据《国安法》第59条,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
[19] 参见《草案》第65条。由于“网络运营者”在《草案》中将被赋予如下的法律责任和义务,确定特定主体是否属于《草案》中所述的“网络运营者”变得关键:确保网络运行安全(《草案》第17条、第20条、第21条、第23条及第24条),数据安全(《草案》第34条至第37条),网络信息安全(《草案》第40条、第42条及第43条)并与适格机构就预警与应急体系进行合作(《草案》第48条)。 网络运营者将就违反或不履行他们的相关义务承担相关法律责任(《草案》第51条、第53条、第57条、第59条及第61条)。
[20] 参见“解读:李克强政府报告中的‘互联网+’是什么”(http://economy.caijing.com.cn/20150305/3832729.shtml)。
更多文章,请点击此处。