今日頭條
官方微信
官方抖音
資訊頻道法律就是秩序,有好的法律才有好的秩序——亞里士多德
在《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)出臺前,我國專門用于規范互聯網安全的法律僅有三部:《電子簽名法》《全國人民代表大會常務委員會關于網絡信息保護的決定》及《全國人民代表大會常務委員會關于維護互聯網安全的決定》,而與網絡安全相關的法律更多地散見于其他法律、行政法規、部門規章、司法解釋、規范性文件或政策性文件之中。
不難看出,整體上我國關于互聯網安全的立法存在法律位階低、缺乏系統完善的法律規范兩大問題。烏爾比安曾說過,“法是權威的,但并不是永恒的”。這句名言可以說最為貼合網絡安全領域面臨的挑戰。隨著網絡技術發展的日新月異,其中一部分法律內容陳舊,已不再適應當前的形勢。
《網絡安全法》是我國第一部全面規范網絡空間安全管理問題的基礎性法律。它的出臺順應了網絡安全發展法制化路線,填補了我國在網絡安全方面的法律空白,對我國網絡安全發展有著重要的意義,也是國際網絡安全的重要組成部分。從實踐角度看,它從各個層面推動了國家關鍵信息基礎設施和數據安全體系的建設,滿足了當下迫切的安全需求,為我國網絡空間安全治理取得巨大突破提供了法律高度的強大助力。
距2017年6月1日《網絡安全法》正式施行已過去兩周年,這兩年里在《網絡安全法》框架下抵制的網絡違法犯罪事件,進行網絡空間安全行動有哪些?對未來我國如何貫徹和堅持依法治網、依法辦網、依法上網,進一步營造清朗的網絡空間,有哪些可以進一步探索和深入的空間?
《網絡安全法》回顧
中國工程院院士李建成教授指出,“網絡安全建設,應當以法律為根,技術為基。”《網絡安全法》是在吸取國內外立法經驗的基礎上,經過兩次公開征集意見,人大常委會三次審議之后完成的。盡管立法過程歷時較短,但其中不乏制度亮點。
(一) 明確監管機制
《網絡安全法》中對網絡安全監管機制有了一個系統完整的規定,明確網絡安全監管責任主體、監管責任權限及監管主體法律責任:
以法律形式確定網絡安全監管機制,強化對互聯網市場的監管。改變過去不制定專門的網絡安全監管法律規范,僅將其納入相關法律、行政法規和部門規章中的“滲透式”模式;
明確政府監管機構的職權范圍,規定在國家網信部門的統籌協調下,公安部門、國務院電信部門等相關部門在各自權限范圍內負責監管工作,同時將網絡相關行業組織納入到監管主體中來,兼具“自上而下”及“自下而上”的監管模式,解決了無明確立法依據導致實際工作中多存在互相推諉、協作不利、效率低下的現象;
強調監管主體的法律責任,避免監管部門工作人員出現玩忽職守、濫用職權、徇私舞弊的情況。
(二) 通過立法推進網絡實名制
網絡實名制是指政府機關、網絡服務提供者要求網絡服務使用者在接受網絡服務之前進行真實身份信息認證的一種網絡管理規則,簡而言之具體操作上是“前臺可匿名,后臺需實名”,旨在營造良好的網絡環境。
2012年12月28日,全國人民代表大會常務委員會通過《加強網絡信息保護的決定》,這是我國第一部規定網絡實名制的法律性質文件。
2013年9月1日,工信部發布的《電話用戶真實身份信息登記規定》和《電信和互聯網用戶個人信息保護規定》正式施行,規定手機用戶實名制,為網絡實名制認證奠定基礎。
2014年8月7日,網信辦發布《即時通信工具公眾信息服務發展管理暫行規定》,規定即時通信工具服務使用者應當通過真實身份信息認證后注冊賬號,以此“試水”。
2015年3月1日,網信辦發布《互聯網用戶賬號名稱管理規定》,將原先“即時通信工具服務使用者”擴大到“互聯網信息服務使用者”,這也是我國網絡實名制真正落實的第一步。
從上述發展歷程來看,網絡實名制存在立法等級低的問題.網絡實名制是以公民身份制度為依托建立的“網絡身份證”,理應比照規定現行身份制度的立法層級,而《網絡安全法》的出臺恰好有力地解決了這一問題。
(三) 明確定義關鍵信息基礎設施
國際上關于此領域存在兩個類似的概念,即關鍵基礎設施和關鍵信息基礎設施。
各國對關鍵基礎設施有著基本的共識,主要包括兩大特征:一是該設施為國家正常運轉提供必不可少的支持;二是一旦遭到破壞,會對國家安全、社會穩定、公眾健康和安全造成嚴重的影響。
而如何界定關鍵信息基礎設施,各國則存在著較大的分歧。隨著網絡信息技術的迅速發展,越來越多的基礎設施逐步接入互聯網,關鍵信息基礎設施這一概念所涵蓋的范圍也不斷擴大。現今兩者的概念邊界逐漸模糊,經常交錯適用,可理解為從傳統安全和網絡安全兩大不同的領域來界定同一保護對象。
我國《網絡安全法》延續了國際上的慣常做法,采用了“關鍵信息基礎設施”這一概念。同時,在經過兩次公開征集意見后,改變了最初采用的“列舉式”定義,而以“列舉式”與“概括式”相結合的方式來界定關鍵信息基礎設施。這種定義方式既突出了“關鍵信息基礎設施”的本質,同時也列舉出“關鍵信息基礎設施”較常見的類型,以便實踐中更具操作性。
(四) 嚴格規定跨境數據流動規則
《網絡安全法》規定,關鍵信息基礎設施的運營者在我國境內運營過程中所收集和產生的重要數據和個人信息,不得在境外儲存。確因業務需要向境外流動的,應當先接受相應的安全評估。
在《網絡安全法(草案)》公開征集意見時,這條規定曾引起了包括美國商會等46家來自世界不同地區的國際企業團體聯名抵制,認為該條規則增加了貿易壁壘。實際上,歐盟和美國基于優先考慮不同的群體利益,形成了兩種不同的保護規則。
歐盟將保護消費者放在首要位置,而通過個人數據保護立法規定個人數據權;
美國在世界互聯網企業前十位中占據六席,故將保護產業利益放在核心地位,僅對敏感的個人數據單獨立法。
各個國家會根據自身的經濟、社會情況選擇不同的跨境數據流動規則,我國的互聯網行業正處于蓬勃發展的階段,在世界互聯網企業前十位中占據四席,互聯網產品和服務要求迅速、創新、用戶量大,如果給企業太多的規則限制,將會降低企業創新的積極性,慢慢失去競爭力,最終導致合規不利于發展、不利于安全的結果發生。但是某些涉及國計民生、公共利益的數據無限制地向境外轉移可能危及國家安全。
因此,《網絡安全法》對此采取了一種非常謹慎的態度,僅規定關鍵信息基礎設施運營者收集和產生的數據向境外轉移時需要進行安全評估,但并未指明“安全評估”是“國際安全”“產業安全”“個人數據安全”或三者的集合,保持了規范性和靈活性的平衡。
案例摘選
我國面臨的網絡完全威脅態勢,無論來自內部還是外部在這兩年里也發生了明顯的變化,比如攻擊手段越來越隱蔽,攻擊手法越來越復雜,獨狼式的網絡攻擊迅速轉向團伙化的分工形式,網絡攻擊的效率大大提升,尤其是攻擊篡改、植入后門、數據竊取等危害互聯網網站安全的行為呈現快速增長趨勢,網絡安全形勢始終處于不容樂觀情景之中:
據CNCERT抽樣監測發現,2019年前4個月我境內被篡改的網站8,213個,同比增長48.8%;被植入后門的網站10,010個,同比增長22.5%。同時,近期發現由于運營者安全配置不當,很多數據庫直接暴露在互聯網上,導致大量用戶個人信息泄露。造成這些事件很大原因是一些互聯網網站運營者網絡安全意識不強,特別是中小網站安全管理和防護能力較低,缺乏有效安全保障措施,成為網絡攻擊的重點目標和主要入口。
除了網絡犯罪組織發起的惡意攻擊之外,國內企業因對用戶個人隱私處理不當、安全防護能力薄弱導致數據泄露事件等,觸犯《網絡安全法》而遭到處罰的事件越來愈多,互聯網領域是重災區。一方面是監管和執法部門有法可依后對于安全事件的處理更加科學和迅速,也能夠嚴格起來。另一方面也反映出企業對于《網絡安全法》重視程度不夠,在個人隱私保護十分薄弱的國內大環境下存在抱團違法的僥幸思想,也有部分企業礙于安全投入的占比從無到有再到較高的水平,資源跟不上導致事件頻發而遭到處罰。此外針對企業的黑灰產產業鏈越來越成熟,針對個人用戶的違法APP花樣百出,這也是我國網絡安全形勢既嚴峻且復雜的原因。
本章節摘選了國家監管機構、研究機構、專業媒體等渠道發布的典型執法案例,可以看到國家是依法治網、化解網絡風險的意愿和能力都是十分強大的,《網絡安全法》適用對象應當應以為戒,加強自身的合規能力,免于業務因違法而限于停滯。
國家網信辦要求8家網站限期整
2019年5月28日,國家網信辦對8家知名互聯網網站年檢限期整改網站進行檢查。
其中某網站整改后,相關管理規章制度建設和人員等仍不符合互聯網新聞信息服務許可設立條件,不予通過本次年檢,責令其繼續進行針對性整改。另一網站不再提供互聯網新聞信息服務,依法注銷其互聯網新聞信息服務許可。
對應《網絡安全法》條例:
第五十六條 省級以上人民政府有關部門在履行網絡安全監督管理職責中,發現網絡存在較大安全風險或者發生安全事件的,可以按照規定的權限和程序對該網絡的運營者的法定代表人或者主要負責人進行約談。網絡運營者應當按照要求采取措施,進行整改,消除隱患。
9款App涉黃被國家網信辦清理關停
2019年4月16日,針對即時通信工具傳播違法違規信息、匿名注冊、欺詐誘騙、為線下違法違規活動提供平臺服務等行業亂象,國家網信辦近日啟動即時通信工具專項整治工作,從應用展現、服務導向、商業模式、注冊機制、信息內容、群組管理等方面,對各類即時通信工具進行深入巡查和測試。9款即時通信工具因為傳播淫穢色情信息,或為招嫖賣淫、售賣淫穢色情音視頻等提供推廣和平臺服務,近日被國家網信辦清理關停。
對應《網絡安全法》條例:
第六十八條 網絡運營者違反本法第四十七條規定,對法律、行政法規禁止發布或者傳輸的信息未停止傳輸、采取消除等處置措施、保存有關記錄的,由有關主管部門責令改正,給予警告,沒收違法所得;拒不改正或者情節嚴重的,處十萬元以上五十萬元以下罰款,并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
因其傳播導向不良信息,網信辦約談某知名新聞網站
2019年4月16日,國家網信辦指導北京市網信辦針對末知名新聞網對用戶發布違法違規信息未盡到審查義務,持續傳播炒作導向錯誤、低俗色情、虛假不實等違法有害信息的嚴重問題約談該企業負責人。
對應《網絡安全法》條例:
第九條 網絡運營者開展經營和服務活動,必須遵守法律、行政法規,尊重社會公德,遵守商業道德,誠實信用,履行網絡安全保護義務,接受政府和社會的監督,承擔社會責任。
新浪微博因違法信息被網信辦約談整改
2018年1月27日,國家互聯網信息辦公室指導北京市互聯網信息辦公室針對新浪微博對用戶發布違法違規信息未盡到審查義務,持續傳播炒作導向錯誤、低俗色情、民族歧視等違法違規有害信息 的嚴重問題約談該企業負責人,責令其立即自查自 糾,全面深入整改。新浪微博隨即對問題突出的熱捜榜、熱門話題榜等版塊采取下線一周等整改措施。整改后的熱捜榜、熱門 話題榜等不但增加了正能量的“新時代”板塊,同時對熱搜榜內容也進行了整改,娛樂話題比例被大幅降低,增加了民生和社會熱點事件。與此同時,正能量營銷成為了新趨勢。
對應《網絡安全法》條例:
第十二條 國家保護公民、法人和其他組織依法使用網絡的權利,促進網絡接入普及,提升網絡服務水平,為社會提供安全、便利的網絡服務,保障網絡信息依法有序自由流動。任何個人和組織使用網絡應當遵守憲法法律,遵守公共秩序,尊重社會公德,不得危害網絡安全,不得利用網絡從事危害國家安全、榮譽和利益,煽動顛覆國家政權、推翻社會主義制度,煽動分裂國家、破壞國家統一,宣揚恐怖主義、極端主義,宣揚民族仇恨、民族歧視,傳播暴力、淫穢色情信息,編造、傳播虛假信息擾亂經濟秩序和社會秩序,以及侵害他人名譽、隱私、知識產權和其他合法權益等活動。
三家網絡科技公司被工信部約談
2018年1月11日,針對近期媒體報道相關手機應用軟件存在侵犯用戶個人隱私的問題,工業和信息化部信息通信管理局約談了三家知名網絡科技公司。三家企業表示,將按照監管部門要求,對相關服務進行全面排查,加強內部管理,完善產品設計,舉一反三,認真整改。今后將繼續嚴格遵守相關法律法規和工信部有關規定,進一步規范用戶個人信息收集使用行為。
對應《網絡安全法》條例:
第四十二條 網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。
支付寶“年度賬單”默認勾選服務協議被約談
2018年1月,支付寶年度賬單被部分網友質疑,年度賬單中用極小的字體默認勾選“同意《芝麻服務協議》”,侵犯了消費者的權益。2018年1 月6曰,國家互聯網信息辦公室網絡安全協調局約談 了支付寶(中國)網絡技術有限公司、芝麻信用管理有限公司的有關負責人,要求切實采取有效措施, 防止類似事件再次發生。螞蟻金服有關負責人表示,將對支付寶平臺全面排查,進行專項整頓,進一步完善平臺治理機制。2019年1月發布的支付寶年度賬單中新增的查看賬單前的身份檢驗功能、賬單內容一鍵隱藏功能以及取消分享賬單功能等,獲得了網友好評。
對應《網絡安全法》條例:
第四十一條 網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
新三板上市公司被查涉侵犯公民個人信息案:累計傳輸數據4000G
2017 年 7 月 8 日,山東破獲一起特大侵犯公民個人信息案,共抓獲犯罪嫌疑人 57 名,打掉涉案公司 11 家,查獲公民信息數據 4000 GB、數百億條。其中,國內知名大數據公司、新三板上市公司“數據堂”涉案。8 個月內,涉案企業日均傳輸公民個人信息 1 億 3 千萬余條,累計傳輸數據壓縮后約為 4000GB 左右,公民個人信息達數百億條,數據量巨大。此外,據辦案人員表示,該案涉案的 11 家公司中,三家公司涉嫌單位犯罪,甚至有 4 名博士生、博士后涉案。
對應《網絡安全法》條例:
第四十一條 網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
主要行政監管行動
2017年、2018年兩次隱私條款專項工作
隱私條款集中反映了網絡運營者對《網絡安全法》及相關法律法規在個人信息保護和網絡安全管理制度的遵守和落實程度,成為行政執法部門的重要監管點。
在2017年的首次隱私條款專項工作中,由國家網信辦、工信部、公安部、信安標委等四部門組成的專家工作組于8月24日對包括:京東商城、航旅縱橫、滴滴出行、攜程網、淘寶、高德地圖、新浪微博、支付寶、騰訊微信、百度地圖等10款網絡產品和服務隱私條款在隱私條款內容、展示方式和征得用戶同意方式等方面進行評審。9月24日,隱私條款專項工作評審結果公布,微信、淘寶等獲評審專家組好評,此外個別產品有待完善。
而在2018年9月5日啟動的第二次隱私條款專項工作中,以信安標委為主的專家工作組對40款網絡產品和服務的隱私條款進行了評審,其中涉及2017年隱私條款專項工作中的10款產品,以及出行旅游、生活服務、影視娛樂、工具資訊和網絡支付5大類等30款新產品。工作組專家指出,今年的專項工作較去年相比,評審對象數量明顯增多,首次采用工作按產品類別進行評審,專家評審從面對面轉變為背靠背,評審要點也更加細化完善。目前,專項工作的具體成果仍有待公布。
工信部關于電信和互聯網企業網絡安全的執法檢查及網絡安全日常監督信息公開
2018年8月13日,工信部向地方通信管理局及相關企事業單位下發《關于開展2018年電信和互聯網行業網絡安全檢查工作的通知》,要求地方部門及企事業單位配合調查,通過定級備案、自查整改、開展抽查等方式,重點關注依法獲得電信主管部門許可的基礎電信企業、互聯網企業、域名注冊管理和服務機構等網絡運行單位建設與運營的網絡和系統在落實《網絡安全法》等相關規定及可能存在的網絡安全風險隱患等情形,并于10月31日前向部網絡安全管理局上報檢查工作總結報告。目前,各地方部門已按要求進行區域自查并匯總,有待工信部網絡安全管理局正式推出整體總結報告。
與此同時,工信部網絡安全管理局自2018年起,定期在官網上公開每季度網絡安全威脅態勢分析與工作綜述。總結目前已公開的信息數據,可以發現目前用戶數據泄露、網絡安全防護漏洞、平臺運營故障等網絡安全及個人信息安全事件仍舊頻發。對此,主管機關加大網絡安全執法監督,推進網絡安全試點示范項目工作,并通過舉辦網絡安全應急演練、開展移動惡意程序專項治理工作等,實際推動整改進程。
“劍網2018”專項行動啟動,對網絡轉載、短視頻、動漫等重點領域開展版權專項整治
2018年7月,國家版權局、國家網信辦、工信部、公安部聯合開展打擊網絡侵權盜版“劍網2018”專項行動,將短視頻版權專項整治作為專項行動的重點任務,并將短視頻平臺企業列為專項行動重點監管對象,著力強化對短視頻企業的版權監管。
9月14日,針對重點短視頻平臺企業在專項整治中的自查自糾情況和存在的突出版權問題,國家版權局在京約談了抖音短視頻、快手、美拍、秒拍等15家重點短視頻平臺企業。下一階段,國家版權局將重點打擊短視頻領域侵權盜版行為,規范短視頻平臺企業經營行為,強化版權保護行業自律,推動相關權利人組織與短視頻企業建立版權保護合作機制。
結語
礙于水平與篇幅,本文僅對《網絡安全法》本身和兩年里的執法案例進行了管中窺豹,不過也可以初步感知,這兩年里發生的執法行動存在著以下顯著的發展特征:
關注的法律問題層面:執法案例更加集中于個人信息保護、用戶信息發布管理層面,高度關注網絡用戶個人信息安全及網絡環境凈化;
執法主體層面:工信部(及其地方所屬的通信管理局)以及各級網信辦參與執法行動的活躍度提升;
執法對象層面:除了一直屬于監管重點的科技公司外,網絡直播平臺、電商平臺、即時通訊平臺等受監管關注的頻度不斷提升,執法對象涉及領域不斷拓寬;
處罰措施層面:除了常規的約談及督促整改以外,整改要求不斷細化,處罰措施趨于多樣化,包括出現高額罰款、產品下架、服務平臺限期停止服務等。
互聯網是一個迅速變化的領域,要斷言五年后它是一個什么樣的狀態幾乎不可能,這點對于立法者來說也是如此,所以《網絡安全法》也會隨著形勢的變化而不斷修訂和發展。今后關于網絡安全保護的具體實施辦法必將有更多的規范性文件和指引,企業須及時解讀新規內容,對企業的網絡安全保護管理制度進行更新,使其符合主管部門的要求。
來源:freebuf
北京市公安局海淀分局備案號:11010802023656號