本期点评专家
赵德铭律师
昊理文律师事务所 高级合伙人
赵德铭律师1993年取得中国律师执照,他在执业领域拥有丰富经验,其客户主要包括跨国公司、外商投资企业、保险公司、大型国有以及民营企业等。在ALB(《亚洲法律杂志》)2012年首届客户投票中,赵律师获评为“客户最青睐的中国顶级20位律师”。
在海关事务方面,赵律师为诸多著名跨国企业以及国内企业提供海关及关税专项顾问服务,涉及进出口关税、增值税、消费税、进口设备减免税、出口退税、进口转移定价与价格磋商、海关归类与进口税号咨询、知识产权许可的关税问题、进口货物原产地、进出口许可证、加工贸易、保税物流模式、海关特殊监管区域法律咨询、工厂搬迁、深加工结转以及外发加工等事务。
赵律师为诸多企业客户在海关调查以及企业涉嫌走私的案件中提供法律咨询或者担任刑事辩护律师。赵律师还主导了多项为跨国公司在华业务所做的海关法律合规性审计及咨询工作。赵律师经常应邀在海关法律研讨会上以及不同的法学院就中国通关法律环境中存在的实际以及立法问题作专题发言或者演讲。赵德铭律师与昊理文海关与关税业务团队获客户的高度评价,被称为“真正的海关法律及实务专家”。
赵律师亦有15年以上的诉讼(其中含刑事辩护)及仲裁经验。所办理的案件涉及投资、并购、保险、海事、国际及国内贸易、工程项目以及劳动争议等,亦作为仲裁员,参加审理中国国际经济贸易仲裁委员会的仲裁案件。
专家点评内容
2017年6月1日,《网络安全法》及其首部配套法规《网络产品和服务安全审查办法(试行)》(“审查办法”)同时生效。普遍认为,近期还将出台更多与网络安全相关的法律文件。
在《网络安全法》和《审查办法》项下,网络运营者、关键信息基础设施的运营者以及网络产品、服务的提供者等三类主体将受到影响。
▌三类主体的范围
▲网络运营者
网络运营者,根据《网络安全法》,是指网络的所有者、管理者和网络服务提供者。
▲关键信息基础设施的运营者
关键信息基础设施,《网络安全法》将之定义为:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的”信息基础设施。
2017年7月10日出台的《关键信息基础设施安全保护条例(征求意见稿)》,则对关键信息基础设施的范围作出了进一步的细化,规定:
下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:
➀ 政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
➁ 电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
➂ 国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
➃ 广播电台、电视台、通讯社等新闻单位;
➄ 其他重点单位。
▲网络产品、服务的提供者
这类主体的含义相对明确,按字面意思理解即可。
这三类主体并非完全的互斥关系,而是存在一定的交叉重合。根据其定义,可将这三类主体的范围总结为如下所示的韦恩图:
《网络安全法》和《审查办法》对三类主体分别设定了要求和义务。相关企业需要根据自身的业务,判断自己属于哪类或哪几类主体,以便确定相应的合规义务。
▌网络运营者的合规义务
▲安全保护义务
➀ 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
➁ 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
➂ 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
➃ 采取数据分类、重要数据备份和加密等措施;
➄ 当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
➅法律、行政法规规定的其他义务。
▲ 要求用户提供真实身份信息的义务
网络运营者为用户办理下列服务之一的,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
➀网络接入、域名注册服务
➁固定电话、移动电话等入网手续
➂为用户提供信息发布、即时通讯等服务
▲ 保障用户信息和个人信息安全的义务
对于用户信息, 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
对于个人信息:
➀ 网络运营者收集、使用个人信息,应当公开收集、使用的规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
➁ 网络运营者不得收集与其提供的服务无关的个人信息。
➂ 网络运营者不得泄露、篡改、毁损其收集的个人信息。
➃ 网络运营者未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
➄ 网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
这里将用户信息和个人信息作了区分。用户信息包括用户名、密码、IP、Mac、上网时间、Cookies等信息。个人信息则必须具备身份的识别性,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
用户信息是比个人信息范围更宽泛的概念。如果用户信息和个人身份相分离,则不再构成个人信息;但是,如果相关用户信息具备识别个人身份的功能或者与其它信息结合可具备识别个人身份的功能,则构成个人信息。
▲管理用户发布的信息的义务
➀ 网络运营者发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
➁ 国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息,要求网络运营者停止传输,采取消除等处置措施的,网络运营者应当按照有关部门的要求对这些信息采取停止传输、消除等处置措施。
▲协助配合强力和管理机关工作的义务
➀ 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
➁ 网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。
▌关键信息基础设施的运营者的合规义务
▲采购前报送安全审查的义务
关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过网络安全审查。至于产品和服务是否影响国家安全,则由关键信息基础设施保护工作部门确定。
网络安全审查由网络安全审查办公室组织第三方机构、专家委员会实施。其审查内容主要包括:
➀ 产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险;
➁ 产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;
➂产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;
➃ 产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险;
➅其他可能危害国家安全的风险。
另外需要注意的是,《审查办法》将网络安全审查的审查对象范围在《网络安全法》的基础上进行了扩大。《审查办法》规定,只要是关系国家安全的网络和信息系统,其采购的重要网络产品和服务,均应当经过网络安全审查。
▲安全保护义务
关键信息基础设施的运营者除了应履行网络运营者所应履行的安全保护义务外,还应当履行下列额外的安全保护义务:
➀ 设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
➁ 定期对从业人员进行网络安全教育、技术培训和技能考核;
➂ 对重要系统和数据库进行容灾备份;
➃ 制定网络安全事件应急预案,并定期进行演练;
➄ 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
➅ 采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
➆ 应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
➇法律、行政法规规定的其他义务。
▲ 个人信息和重要数据存储在境内的义务
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
对于该项信息境内存储义务,《网络安全法》仅将其主体范围限定为“关键信息基础设施的运营者”,内容范围限定为“在中国境内运营中收集和产生的个人信息和重要数据”。
但根据《个人信息和重要数据出境安全评估办法(征求意见稿)》(“出境评估办法(征求意见稿)”),该范围有被扩大的趋势。《出境评估办法(征求意见稿)》规定:
若出境数据存在以下情况之一,则网络运营者应报请行业主管或监管部门组织安全评估:
◆含有或累计含有50万人以上的个人信息;
◆数据量超过1000GB;
◆包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
◆包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
◆关键信息基础设施运营者向境外提供个人信息和重要数据;
◆其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。行业主管或监管部门不明确的,由国家网信部门组织评估。
如果存在以下情况之一,则数据不得出境:
◆个人信息出境未经个人信息主体同意,或可能侵害个人利益;
◆数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;
◆其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
▌网络产品、服务的提供者的合规义务
▲提供的网络产品、服务符合相关国家标准的强制性要求的义务
网络产品、服务的提供者提供的网络产品、服务,除了要依法,还要依照相关的国家标准。国家标准可分为强制性标准(GB)和推荐性标准(GBT),这里强调的是要依照相关强制性国家标准(GB)的要求执行。
网络产品、服务的提供者首先应查询自己提供的产品、服务是否具有相应的强制性国家标准(GB)。如果答案为肯定,则需进一步审查自己的产品、服务是否符合其要求。
2016年8月发布的《关于加强国家网络安全标准化工作的若干意见》中提到,要整合精简强制性标准,在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准,在基础通用领域制定推荐性国家标准。我们可以理解为,未来存在强制性国家标准的网络产品、服务,很可能主要集中在国家关键信息基础设施保护、涉密网络等领域。
▲网络关键设备和网络安全专用产品的安全认证或安全检测义务
网络产品、服务的提供者提供的网络产品、服务中,属于网络关键设备和网络安全专用产品的,还应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定并公布网络关键设备和网络安全专用产品的目录,被列入目录的即属于网络关键设备和网络安全专用产品。
2017年6月1日,国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会等部门制定并公布了《网络关键设备和网络安全专用产品目录(第一批)》,相信后续还会有更多的目录。
▲保护用户信息和个人信息的义务
用户信息
网络产品、服务具有收集用户信息功能的,提供者应当向用户明示并取得同意。
个人信息
涉及用户个人信息的,还应当履行上文中网络运营者关于保障个人信息安全的义务。
▲网络产品、服务的提供者的其他一般性义务
➀网络产品、服务的提供者不得设置恶意程序
➁网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
➂网络产品、服务的提供者应当为其产品、服务持续提供安全维护。在规定或者当事人约定的期限内,不得终止提供安全维护。
企业违反上述合规义务,不予立即改正的,不仅可能会被处以数额不等的罚款,严重者甚至将无法继续其业务。结合《网络安全法》及其配套法规进行网络安全合规,应是网络运营者、关键信息基础设施的运营者以及网络产品、服务的提供者的当务之急。
LCOUNCIL
