国浩视点 |《网络安全法》给企业合规带来的新挑战

作者：国浩律师事务所   方诗龙

《网络安全法》于2017年6月1日正式实施。三年前也就是2013年6月，美国中央情报局（CIA）前职员爱德华·斯诺登爆料美国的“棱镜”计划，震惊全球。2017年5月,“勒索病毒”疯狂攻击全球上百个国家,无数宝贵资料被病毒加密锁定。在一系列网络安全事件之后，现在几乎没人怀疑加强网络安全管理的必要性了。《网络安全法》就是构建我国网络空间管辖的基本法，它的实施必将推动我国网络空间安全管理进一步向法制化、系统化、规范化方向发展。然而，很多一些企业至今仍有一些疑惑，如果我们企业既不是互联网企业，也不是做网络安全产品或服务的，那《网络安全法》跟自己到底有什么关系？

回答这个问题，不仅要看《网络安全法》第12条（使用网络应当履行的基本守法义务）、第27条（不得从事危害网络安全的行为及帮助行为）、第44条（不得非法获取、非法出售个人信息）和第46条（禁止利用网络发布犯罪信息）对网络使用者设定的守法义务，更要看《网络安全法》给网络运营者施加的法律责任。“网络运营者”是《网络安全法》新定义的一个词语，《网络安全法》第76条对“网络”和“网络运营者”这两个词语都进行了定义。网络，是指“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”，很明显这个一个广义的定义，它不仅指互联网，也包括局域网和工业控制系统[注1]。再看“网络运营者”，是指“网络的所有者、管理者和网络服务提供者”。从这两个定义可以看出，只要企业有局域网或自己的工业控制系统，企业及其直接责任人员在《网络完全法》下就有法定的合规义务。

企业的法定义务到底有哪些，我们分一般企业和构成关键信息基础设施的企业进行阐述。 

如果企业并不构成下文所述的关键信息基础设施，比如企业只是有一个自己内部的局域网用于企业内部管理，像我们律师事务所这样，那企业及直接责任人员的法定义务主要是在《网络安全法》第21条、25条、40-42条、49条。

第21条： 网络运营者的安全保护义务。

“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。”

第25条：网络运营者防范和应对网络安全的义务。

“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。”

第49条：网络运营者应当建立网络安全投诉、举报制度。

“网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。

网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合。”

第40-42条：网络运营者的个人信息保护义务。第40条规定网络运营者印度建立健全用户信息保护制度。第41条规定网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则。第42条规定网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。

《网络安全法》在第六章罚则部分规定，网络运营者不履行第21条、第25条规定的网络安全保护义务，且拒不改正的，处以1万以上10万以下的罚款，对直接负责的主管人员处5000元以上5万元以下的罚款。

《网络安全法》中设置有专门的“关键信息基础设施的运行安全”一节，强化了对关键信息基础设施的重点保护。《网络安全法》第31条首先规定，“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定”。

上述法条是从行业和重要性两个方面界定了“关键信息基础设施”，行业是“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等”，重要性是“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益”。由于重要性的理解存在一定的主观性，因此行业的判断就是首当其中的事情，这其中最麻烦的事情恐怕莫过于对“等”字的理解。笔者举几个简单的例子，相信所有人都认同中国高铁的运行系统肯定构成关键信息基础设施，但高铁的机车生产、零部件生产单位的生产控制系统是不是关键信息基础设施？复旦大学、中国科学院的局域网是不是关键信息基础设施？上海的摩天高楼如上海中心、金茂大厦的运行网络是不是关键信息基础设施？这些问题的解答都需要等待国务院出台《关键信息基础设施安全保护条例》。值得注意的是2016年12月27日颁布的《国家网络空间安全战略》（颁布时间比《网络安全法》晚一个多月），其中就规定“关键信息基础设施是指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施，包括但不限于提供公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统等”。笔者认为这个定义就比《网络安全法》中的规定要宽泛，纳入了“教育、科研、工业制造”，也纳入了“重要的互联网应用系统”，特别是“工业制造”，这就是一个极其宽泛的领域。据此定义，高铁机车生产单位的控制系统、复旦大学的局域网都会认为“关键信息基础设施”。至于重要商业设施，美国就将其列为关键基础设施之一[注2]，中国如何规定关键信息基础设施还有待《关键信息基础设施安全保护条例》的出台。而且，依据《网络安全法》第31条第2款，“国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系”，这意味着即便不能界定为关键信息基础设施，也可以自愿参与国家对关键信息基础设施的保护体系。

《网络安全法》第33-39条详细规定了对关键信息基础设施的保护体系。笔者在此重点列举一下第34条和第37条规定的合规义务。《网络安全法》第34条规定了关键信息基础设施的运营者除了履行第21条规定的一般安全保护义务之外，还应当履行下列安全保护义务：

（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；
（二）定期对从业人员进行网络安全教育、技术培训和技能考核；
（三）对重要系统和数据库进行容灾备份；
（四）制定网络安全事件应急预案，并定期进行演练；
（五）法律、行政法规规定的其他义务。

《网络安全法》第37条规定，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定”。此条已经引起了很多外商投资企业的关注，特别是在国内的外资金融机构的高度关注。作为外企在中国境内的分支机构，很多在中国的外商投资企业的管理中心其实还是在境外，很多数据其实也存储在境外。《网络安全法》实施之后，数据的跨境传输就受到限制，要进行安全评估，这目前是很多外资金额机构、外资生产单位当前比较头疼的问题，一方面从业务的实际出发，的确需要将境内产生的个人信息和重要数据传输到国外总部，另一方面《网络安全法》实施之后数据出境如何进行安全评估尚不明朗（《个人信息和重要数据出境安全评估办法》正在征求意见中），实践中如何操作还有很大的疑问。这些疑问，都只能随着《网络安全法》的实施、更多操作细则的出台来消除。

总体而言，全球化与国际主权之间的冲突在网络领域尤为明显，《网络安全法》就是这种冲突和协调的结果。既然《网络安全法》已经出台，那企业就应当遵守新法设定的更多法定义务。 

方诗龙     国浩上海办公室合伙人

【 本文为作者原创，如需转载请通过留言方式联系本公众号运营者，谢谢！】