作者:宁宣凤 吴涵 金杜律师事务所商务合规部

2017年是《网络安全法》(以下简称“《网安法》”)正式生效施行的元年,也是承前启后的一年。《网安法》是对以往我国各行业网络安全监管制度的一次系统性的梳理,同时在“国家网信部门统筹协调,各行业主管分别负责”的新监督管理体系下,《网安法》的生效施行也标志着我国的网络安全监管进入了新的发展阶段。

事实上,《网安法》2017年6月1日的正式施行,加快了相关的部门规章、司法解释、国家标准的出台速度,目前有多个部门规章和国家标准正在广泛征求公众意见。此外,涉及多个方面的网络安全执法工作也在各个行业内迅速展开,网信部门、电信主管部门、公安部门等都已经在各自职责范围内加大网络安全的执法力度。《网安法》的出台和后续动作一时可谓“东方夜放花千树”,受到了海内外企业、组织与媒体等的多方关注。

立法现状

在《网安法》成文之前,我国对于网络安全保护的监管规则多散见于各部委的各项规定中。由于缺乏上位法的框架,监管规则多呈现出“碎片化”的特点,且多个执法机构的监管实践中还可能存在冲突。《网安法》出台的重大意义之一在于,从法律层面梳理了网络安全监管的体系,明确了各执法部门的职责,使得后续配套措施能够“顺理成章”。《网安法》在审议通过至目前生效实施以来,国家互联网信息办公室(以下简称“国家网信办”)与各行业的主管与监管部门、国家与行业的标准制定组织等机构共同协作,根据《网安法》相关条款的规定陆续发布了一系列相关的规定与配套措施,务求为《网安法》中相关制度的实施提供更具体的指引,力争建立一套完整且有效的监管体系。

(下表整理了截止目前网络安全领域主要的立法工作成果和进度)

从目前立法进展来看,我国网络安全领域的立法体现了全面、创新和多层次的特点。

第一,我国网络安全领域的立法内容丰富全面。《网安法》在 “网络运行安全”与“网络信息安全”两大维度下,分别规定了网络运营者的权利、义务和责任,以及国家为维护网络安全所需要建立的监测预警与应急处置等机制。对于网络运行安全而言,《网安法》针对网络运营者和关键信息基础设施运营者两类主体,从内部制度、技术措施、采购对象、数据存储和跨境传输等多个方面规定了相应的责任和义务。除一般网络运行安全规定以外,《网安法》梳理了此前散见在不同规范性文件中关于个人信息保护的规定,如在第四章集中整理了网络运营者在保护个人信息安全方面的义务,以及个人信息主体的重要权利,并在第六章中为侵害个人信息权利的行为拟定了相应的法律责任。除此以外,《网安法》还对于网络信息内容管理做出了提纲挈领的要求。在国家网信办后续出台的互联网信息内容管理的部门规章以及规范性文件中,针对网络信息内容管理工作从行业、执法程序以及适用场景等多个方面进行了全面的细化,比如《互联网新闻信息服务管理规定》、《互联网信息内容管理行政执法程序规定》、《互联网新闻信息服务新技术新应用安全评估管理规定》以及《互联网论坛社区服务管理规定》等。

第二,《网安法》及其配套措施从立法技术和内容上都体现了创新性。从立法技术上看,《网安法》一方面梳理总结了行业中的现有规定,除个人信息保护的相关规定以外,比如《网安法》规定的“网络安全等级保护制度”就源于1994年国务院制定的《计算机信息系统安全保护条例》中规定的计算机信息系统安全等级保护制度,该制度在2007年公安部等部门制定的《信息安全等级保护管理办法》中也得到了细化。因此“网络安全等级保护制度”是对于现有制度的总结和归纳。另一方面,《网安法》及其配套措施也在原有的制度上做了创新性的统筹协调。比如,根据《网安法》制定和公布的网络关键设备和网络安全专用产品目录,就避免了多个政府部门分别对网络相关设备和产品进行安全认证及检测所导致的重复认证和检测工作,有利于减少资源浪费,减轻企业负担。

从立法内容来看,《网安法》还首次在法律层面提出了“网络运营者”、“关键信息基础设施”、“网络安全时间应急预案”等新的概念和机制。以“关键信息基础设施”为例,将相继出台的《关键信息基础设施安全保护条例》、《关键信息基础设施安全检查评估指南》、《关键信息基础设施识别指南》及《关键信息基础设施安全保障评价指标体系》等将建立一个围绕“关键信息基础设施保护”的新监管体系。

第三,网络安全领域的规则建立,是通过“战略-法律-法规-国家及行业标准”的次序和层次做到“层层递进,逐步落实”的。两项国家战略《国家网络空间安全战略》与《网络空间国际合作战略》虽然没有拟定具体的权利义务实施规则,但作为我国网络空间安全领域顶层设计的重要组成部分,为具体规则与制度的建立和落实提供了纲领性的指引。《网安法》作为网络安全领域基础性法律,规定了网络运行安全及网络信息安全等领域的基本内容。而最重要的行政法规与相关配套措施,则是《网安法》切实落地推行的重要依据。该类规则通常是基于《网安法》特定的条款,针对其中所涉及的法律主体的权利与义务关系进行具化,从而提供具有法律约束力的规则指引。此外,国家与行业标准也是网络安全领域立法工作的有益补充,即使推荐性标准可能不具备强制约束力,但能在相关法律法规的逻辑框架下对特定问题进行了细化和补充,在一定程度上反映监管态度,并为执法、司法与合规实践提供更具操作性的指引。

总而言之,我国在网络安全领域的立法工作,正从不同的规范层级、不同的法益主体出发全面展开。在国务院的领导、国家网信部门的统筹协调以及各部委的充分合作下,《网安法》配套立法涵盖的内容广泛、形式多样,发展迅速。我们呼吁社会各界站在国家整体网络安全保障战略的高度下,一方面充分参与立法活动,发表意见,确保规则的有效性和实操性;另一方面也广泛关注《网安法》及其配套措施的落实情况,共同推动我国网络安全制度建设。

执法动态

随着《网安法》施行以及相关配套措施的陆续出台,国家网信办、地方网信部门与其他执法机关也正逐步有序地开展网络安全领域的执法活动。由于网络安全领域的规定涉及的合规义务较多,而各个执法机关也分别在各自的职责范围内展开执法,目前的执法活动呈现出执法主体和执法内容多样化的特点。我们将典型的执法活动小结如下表:

从主要的执法案例中不难发现,目前网络安全的执法工作虽然针对的依然是网络安全领域的核心内容,如网络安全等级保护义务、个人信息保护与关键信息基础设施安全防护等,但在具体的执法活动中已逐步呈现出多样化、全面化的趋势。即使相关制度的《网安法》配套措施仍未落地,在事实上并不影响执法机关根据《网安法》中的相关规定对明显违法的行为进行查处。

另外,除传统的行政调查,目前网络安全领域的执法还出现了联合专项检查等新的方式,比如中央网信办、工信部、公安部、国家标准委四部门在7月份联合开展的隐私条款专项工作。可以预见的是,由多个部门联合针对主要企业启动的评审与检查也是未来网络安全执法的其重要形式之一。通过对主流网络产品与服务的督查,既能够积极带动提升全行业的网络安全合规意识,还可以向社会各界普及网络安全的重要性。

展望与建议

1. 配套措施将进一步细化,国家与行业标准值得重视 

就立法活动而言,随着网络安全领域规则框架的建立,未来多个《网安法》配套措施的出台将为机关执法以及企业合规提供更为具体的实施规则与操作指引。例如,《关键信息基础设施安全保护条例》与《关键信息基础设施识别指南》将有望正式出台、落地,以便更充分地落实相应的安全保护义务,也有利于国家对关键信息基础设施的防护提供更多的支持与协助。除此以外,《个人信息和重要数据出境安全评估办法》与《信息安全技术 数据出境安全评估指南》也可能在明年定稿并最终颁布,备受关注的数据跨境安全评估的主体、范围和监管方式将最终得到确认。此外,网络安全等级保护制度对应的国家指南将进一步澄清其与传统计算机信息系统等级保护制度之间的关系,并为实际的操作提供更明确的指引。

值得注意的是,网络安全合规工作有着很强的技术性要求,而无论是《网安法》下的部门规章还是规范性文件,其本身性质决定了其不可能为网络安全合规工作提供具体的技术性要求。因此以国家标准与行业标准为代表的“指南性质”文件未来将成为网络安全执法以及企业合规的重要参考性材料。这些国家与行业标准,比如即将生效的《个人信息安全规范》,既能以细致的技术规定和要求指导执法机关的执法以及企业的合规工作,又能够利用其灵活性适应日新月异的技术更迭对法律稳定性所带来的冲击。

2. 网安执法“重点突破”,未来会“全面开花”,执法有望趋于常态化 

目前的网络安全执法还处于比较初步的阶段,可以预见《网安法》下比如网络等级保护制度,关键信息基础设施保护以及个人信息保护等重点问题依然会是未来网络安全执法的重点。但随着《网安法》配套措施的落地,其他比如数据跨境传输安全评估、网络产品与服务采购的国家安全审查等执法工作也将全面展开。与此同时,具备充分实体执法依据的互联网信息与内容管理,也可能会根据《互联网信息内容管理行政执法程序规定》正式全面推进执法实践。

另一方面,考虑到网络运营者的范围较广,网络运营者的责任和义务的主体不局限于互联网企业,还可能包括众多传统行业的内外资企业。而对于执法机构而言,随着执法机关之间的协调与分工将进一步明确,以国家网信办为核心、各行业主管部门为骨干的执法体系也将日益完善。由于网络安全问题较多,执法主体力量充实,我们可以预期未来网络安全执法可能成为一种常态。

3. 建议 

对立法和执法机构而言,不同于传统行业,网络安全领域有着技术性强、行业更新迅速的特点。在网络空间主权的大背景下,网络安全领域的立法和执法一方面是为了维护网络安全,保障国家安全,另一方面受到充分保护的网络环境也能够增强综合国力,提高企业市场竞争力。因此,我们建议立法和执法机构在规则制定以及实践监管中广泛征求企业及技术专家的意见,充分尊重行业发展的规律,力争做到维护网络安全与增强行业竞争力的双重效果。

对于企业而言,要认识到网络安全合规工作的紧迫性,也要理解网络安全合规工作未来可能为企业竞争力带来的良性影响。树立“技术+合规”的理念,尽早梳理内部网络安全和数据合规的漏洞,建立内部完善的合规制度,利用技术和合规的双重手段确保企业的顺利发展。

目前我国已经成为全球最大的网络市场,根据腾讯安全正式发布的《2017年上半年互联网安全报告》,截至2016年12月,我国网民规模达7.31亿,相当于欧洲人口总量。但令人担忧的是,尽管我国网络经济发展迅速,仍有其他国家对我国网络安全现状持怀疑态度,认为中国缺乏对于网络安全的监管,使得中国网络经济处于高速但不稳定的发展轨道。尽管我国一直以来从未轻视网络安全问题,但缺乏明确的监管体系加剧了他国对我国网络安全的不信任感。随着大数据技术和经济的发展,未来数字经济呈现全球一体化的发展趋势,而数据的跨境流动将不可避免。目前包括中国在内的多个国家和地区已经要求在数据跨境中对数据接收国的网络安全情况进行评估,而遗憾的是中国往往不在被认为具有同等网络安全保护程度的“白名单”内。为了维护我国网络安全、网络主权以及国家安全,同时也为了保障我国在未来全球数字经济中的地位,《网安法》及其配套措施的出台和落地正当其时。面对我国网络安全监管缺位的质疑,我们可以自信地说,羌笛何须怨杨柳,春风“已”度玉门关。同时我们也期望,借着《网安法》的一夜春风,未来我国网络安全发展也能“千树万树梨花开”!

注:本文首载于律商联讯《中国法律透视》2017年终刊。