2016年11月7日,《中华人民共和国网络安全法》(简称《网络安全法》或《法律》)予以颁布。该法是特别针对中国网络安全事务而制定的第一部综合法律。

简介

《网络完全法》将于2017年6月1日起正式实施,目的在于达成两个关键目标:(1)保护中国免受网络安全侵袭,以及(2)保护公民的合法权益免受网络安全侵袭,防止个人信息被滥用。

新的《法律》自颁布之日起便受到了广泛关注,但在法律界和学术界以外或许并未获得广泛理解。本文将通过回答关于《网络安全法》的5个关键问题以及该法的颁布对于在中国从商者的影响来对《网络安全法》作进一步的解释。

《网络完全法》适用于哪些人?

《网络完全法》适用于三类实体:

  • 关键信息基础设施运营商(英文简称CII's)
  • 网络运营者

  • 关键网络设备和网络安全产品供应商(简称"信息技术产品供应商")

"关键信息基础设施"被定义为"公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施"。从表面上看,该定义划分了两类关键信息基础设施运营商:(1)关键的公共通信和信息服务的网络运营商以及(2)私营行业网络运营商,其运营的网络一旦遭到破坏,将对国家安全、中国经济或广大民众造成严重损害。

"网络运营者"被该《法律》定义为网络的所有者和管理者以及网络服务供应商。"网络"是指由计算机或者其他信息终端及相关设备组成的对信息进行收集、存储、传输、交换、处理的系统。

这些定义十分宽泛,适用于任何在中国使用计算机网络、网站、应用或其他电子平台从第三方用户收集信息并进行存储、传输、交换或处理从而经营其业务的实体。由于商业世界对于计算机网络和信息技术的广泛使用,几乎任何一家利用这类技术对从中国客户那里收集的信息进行存储、处理和传输的公司都属于该法保护的范围。

《网络安全法》的关键条款有哪些?

《网络安全法》对关键信息基础设施运营商、网络运营者和信息技术产品供应商施加了某些颇有争议的繁重义务。

根据该《法律》,关键信息基础设施运营商必须:

  • 实施一些标准和流程来确保数据安全;
  • 对内部安全管理系统和运营规则进行密切高度的监督管理;
  • 建立个人负责制,以监控安全管理系统和运营规则;
  • 对整个公司内部人员进行安全管理系统和运营规则的介绍;
  • 定期进行审计以确保安全管理系统正确实施且遵守运营规则;
  • 建立一套机制向相关权威机构报告违规情况。

网络运营者必须对用户的个人信息进行保密并建立一个系统来保护那些信息。此外,提供网络服务、域名登记、固定线路和移动服务、即时消息和相关服务的网络运营者还有义务要求用户在签订服务协议时提供真实的身份证明信息。网络运营者同时还须提供应急计划,以便处理网络安全事故和系统故障、病毒、网络侵袭。最后,网络运营者还必须为国家安全服务提供技术支持和援助,以确保国家安全并协助犯罪案件的调查。

信息技术产品供应商必须:

  • 确保其产品和服务不包含有害的程序;
  • 当发现有系统缺陷和弱点时采取补救措施并向用户和相关权威机构汇报;
  • 无论协议中是否与用户有相关约定,都必须就产品和服务为用户提供安全维护;
  • 如需就相关产品和服务收集用户信息,必须通知用户并获得其许可;
  • 销售或使用关键网络设备和专业网络安全产品时,向相关权威机构获取安全证书。

也许《网络安全法》中最重要的条款就是在中国收集的数据必须存储于中国,不得转移和/或存储于中国以外的地区。值得注意的是该项义务用户不得豁免。如果需要将数据转移至境外,除非中国其他法律规定允许数据的海外转移,否则关键信息基础设施运营商或网络运营者必须获得国家网信部门和国务院的许可。

该《法律》对收集、使用和传输个人信息有何限制?

《网络安全法》对网络运营者收集和使用"个人信息"规定了一部分积极和消极的义务,这些个人信息指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。包括以下义务:

  • 对任何用户的个人信息进行保密;
  • 向用户披露网络运营者收集和使用个人信息所采纳的规则(包括收集和使用的方法和范围)以及就收集和使用个人信息而征得用户的同意;
  • 不收集任何与运营者提供的服务不相关的个人信息;
  • 网络运营者不得泄露、篡改、毁损其收集的个人信息;
  • 未经被收集者同意,不得向任何第三方提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外;
  • 采取技术措施确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

用户发现网络运营者违反法律、行政法规的规定的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。

若违反该《法律》的规定,是否会有惩罚或制裁措施?

是的。

《网络安全法》就违规问题设立了一个合理的综合惩罚体系。

对于网络运营者、关键信息基础设施运营商以及网络产品和服务供应商处以人民币1万元至5万元不等的罚款。对于那些对违法行为"直接负责"的个人处以人民币5千元至10万元不等的罚款。

该部《法律》对我的业务有何影响?

作者认为,《网络安全法》对于业务有五个方面的潜在影响:

首先,采取积极步骤来保护用户个人信息的义务很可能意味着那些属于关键信息基础设施运营商、网络运营者或信息技术产品供应商范畴的实体将产生更多的合规费用,这些费用来自制定政策和手续以及实施保护个人信息、保护网络免受网络安全侵袭的体系、雇佣和/或培训员工来监控合规情况以及在某些情况下,从相关权威机构获得安全证书。

其次,维护信息主权独立的要求可能会潜在地影响在中国的跨国公司有效运营的能力。当《法律》发生效力时,跨国公司将不能将在中国收集的信息传输和/或存储至中国境外,并且必须在不违法的情况下继续运营。这可能要求公司将本地数据备份至服务器、从位于中国的数据中心而非境外数据中心获得和存储数据,或将这些服务分包给中国的一家第三方供应商(这或许是个理想的解决方案,但也可能不是)。

其三,该法对于如何收集、存储和使用个人信息的限制可能使公司在中国的运营变得更为困难和/或产生更高的成本,尤其是当这些公司通过电子商务平台出售其货物和服务。

最后,与国家安全服务和其他政府机构合作对犯罪行为和网络安全事故进行调查的义务以及在中国境外出售产品或传输数据、获得安全许可的情形下,涉及商业机密和知识产权问题时又存在潜在的难题。跨国公司在向中国政府披露其电脑系统的细节问题时,是否会有难处?几年前谷歌和中国政府之间广为人知的口角之战只是过眼烟云?回答当然是否定的。

简评

当中国政府公布《网络安全法》第一份草案时,该《法律》因其过于模糊、规定的义务繁重以及允许国家过多获取商业网络和数据而收获一部分批评之声。从某种程度上说,这些批评有点不公平。中国不是第一个引入苛刻的网络安全法的国家,而且如果爱德华斯诺登的话被信以为真的话,那些对于探听政府机密感到担忧的人肯定会更加害怕来自自己政府的压力。但那并不意味着对于如何贯彻网络安全法的担忧缺乏保障。该《法律》几乎一定会增加合规方面的成本并对许多在中国运营的企业造成运营方面的困难。

《法律》覆盖范围之广也令人担忧。很显然,它适用于传统的基于IT技术发展的企业,如电子零售商、社交网络网站以及基于某些应用程序而设立的企业。但是,那些更为传统的、通过使用电脑网络来收集客户个人信息并将这些信息传输或存储于中国境外的中国企业、如专业的服务行业、银行和零售商,他们该如何应对呢?

在现阶段可能要确切定义谁受该《法律》制约也许为时过早。我们预计将来相关立法将发布能更精确地说明哪些企业受该法律约束的条款。在此之前,那些认为自己可能属于关键信息基础设施供应商、网络运营者或信息技术产品供应商范畴并在中国运营的企业,应该做好准备,接受相关意见并考虑是否开始采取相关措施、部署相关系统来确保其不违反2017年6月1日即将生效的《网络安全法》。

2017年4月《中国法律快讯》的完整链接和其他文章的链接如下:

The New PRC Cyber Security Law - 5 Key Questions (Chinese)

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.