“网络安全法”后的企业合规之路
作者:暂无
来源:《上海信息化》 2017年第4期
文/杨 迅
2016年11月7日,十二届全国常委会第二十四次会议表决通过了《中华人民共和国网络安全法》,自2017年6月1日起施行。作为国家网络领域的基础性法律,该法的出台,不仅为网民的信息安全撑起了法律的保护伞,也为保障网络安全、维护提供了法律保障,更为企业的网络安全建设带来了新的机遇和挑战。
立法的前世与今生
过去30年,互联网技术蓬勃发展,互联网应用以其深度和广度触及人类生活每一个角落,例如电子商务平台实现了买卖商品和服务,社交媒体实现了人与人的跨空间交流,计算机和手机终端实现了远程金融和健康咨询服务……计算机和计算机网络已经不仅关乎计算和通讯,更改变了人们的生存状态。与此同时,任何对计算机网络的入侵,以及由此导致的数据泄露和网络中断,都可能极大地影响生产和生活。2016年11月,国家出台了首部《中华人民共和国网络安全法》(以下简称 “《网络安全法》”),系统地规范了、企业和个人在保护网络空间安全方面的责任,同时也为网络相关产业创造了机遇,提出了挑战。
中国在网络安全立法领域的探索起步很早。在互联网广泛运用之前,就于1994年2月颁布了《中华人民共和国计算机信息安全保护条例》,该条例提出了计算机系统安全的基本原则:第一,国家重点保护关系到国计民生的计算机系统;第二,各企业、单位有责任维护其自己运营的计算机系统安全;第三,建立对重大计算机系统安全事件的报告制度;第四,建立计算机和网络产品的生产许可证制度。1996年2月,又颁布了《中华人民共和国计算机信息网络国际联网管理暂行办法》,该暂行办法确立了计算机网际互联的基本规则和安全性要求。
2000年以后,互联网领域的立法重心转移到了促进网络产业发展、扩大网络应用方面,备部门出台了一系列鼓励互联网产业发展的法律法规。在引导下,互联网在电子商务、社交媒体、网络出版、信息服务、云计算、互联网金融、远程医疗和通讯领域蓬勃发展。但在此阶段,网络安全方面的立法进程却相对滞后,只有中国银行业监督管理委员会、交通运输部等行业主管部门就各自主管领域中运用网络技术的安全性问题,以部门规章形式做出零散的规定。
2012年以后,互联网领域的立法重心重新转移到网络安全方面。2012年年底,全国常委会颁布了《全国人民代表大会常务委员会关于加强网络信息保护的决定》;2013年6月,工业和信息化部(以下简称“工信部”)出台了《电信和互联网用户个人信息保护规定》;2014年3月,修订后的《中华人民共和国消费者权益保》开始实施,对网络交易做出相应规定……国家对个人信息保护的立法虽然零散,但覆盖范围已经较广。
2013年美国承包商前雇员登的叛逃、2014年微软公司停止对Windows XP的技术支持,这两个国际事件的发生,大大加速了网络安全的立法进程。在此背景下,2015年6月出台的《中华人民共和国法》首次将网络安全提升到的高度;同时,《网络安全法》草案第一次向社会公众争求意见。17个月后,《网络安全法》就正式出台。
《网络安全法》的迅速出台体现了其立法的紧迫性和必要性。同时,《网络安全法》中大部分条文是原则性、概括性和授权性的,直接用于规范企业行为的条款相对较少,这就给《网
络安全法》的具体执行带来了许多不确定性。在《网络安全法》下,有关部门正准备起草有关实施条例,期望能在2017年6月1日《网络安全法》正式实施之前出台。
内容的抽丝剥茧
《网络安全法》总共七章,计79条,规定了五个方面的内容:鼓励发展网络安全技术,规范网络运营者的网络安全责任,强化关键信息基础设施运营者的额外责任,保护个人信息安全,打击网络违法行为。
鼓励发展网络安全技术。《网络安全法》从三方面鼓励发展网络安全技术:一是国家将建立和完善网络安全标准,包括网络产品服务和运行安全的国家和行业标准;二是国家将加大对网络安全技术和产品开发的扶持力度,包括保护网络技术的知识产权,支持和鼓励企业、研究机构和高等院校参与网络安全技术的创新活动;三是国家将建立和完善网络安全产品的市场准入制度和认证制度,这就意味着只有安全、可靠的网络安全产品才能被投入市场。国家对网络安全产业的鼓励,为网络安全技术和网络安全产品研发和生产企业创造了前所未有的机遇。
规范网络运营者的网络安全责任。《网络安全法》定义的网络运营范畴宽泛,不仅包括以互联网网站或移动应用为基础的网络服务提供者,而且包括企业公共网站和企业内部局域网运营者。严格意义上,只要一个企业建设、运营、维护或拥有一个计算机网络系统,并通过该计算机网络系统进行业务活动,都可被认为是网络运营者,从而受制于《网络安全法》中关于网络运营者的网络安全保护责任。具体而言,网络运营者的网络安全保护责任包括:建立和实施企业内部的网络安全风险管理;采取必要、合适的技术措施,以防止黑客攻击、计算机病毒,以及监控网络运行;妥善保管网络运行记录和日志至少六个月;建立和实施网络安全事件的应急预案;定期检视网络安全状况,发现安全缺陷、系统漏洞等风险时,及时采取补救措施;发生网络安全事件时,及时向受影响的相关个人和有关部门报告。
虽然《网络安全法》中关于网络运营者的安全责任的覆盖范围很广,但国家关注的并非企业的个别利益,如商业秘密等,而是关注国计民生的公共利益,包括大规模的个人数据以及与国家经济、社会、政治安全有关的其他信息。因此,企业所运营的网络中所储存的个人信息范围越广、越宏观,信息所牵涉到的社会环节越多,其网络安全保护责任也就越重。
强化关键信息基础设施运营者的额外责任。《网络安全法》对关键信息技术设施运营者设定了额外的安全保护责任,主要包括:对关键信息基础设施的安全管理负责人和运营关键信息基础设施的其他核心人员实施安全背景审查;关键信息技术设施的运营者采购网络产品和服务,可能影响的,应当经由国家有关部门进行安全审查,并与产品和服务提供商签署保密协议;关键信息基础设施运营者,在中国境内运营中收集和产生的个人信息和其他重要数据,必须在中国境内储存,如果需要向境外转移的,必须通过国家有关部门的安全评估审查。
由此可见,关键信息基础设施的运营者负有更高、更严格的安全保护责任。但对于关键信息基础设施的范围,该法规定则较为模糊。《网络安全法》列举了可能会被认为是关键信息基础设施的七个重要行业和领域。但《网络安全法》还有一条概括性的规定,即:一旦遇到破坏,丧失功能或者数据泄露,可能严重危害、国计民生、共同利益的信息基础设施,都可能被认为是关键信息基础设施。这就给企业判断其所维护的信息系统是否会被认为是关键信息基础设施造成事实上的困难。
企业可以从立法意图和历史演化两个角度来理解关键信息基础设施的可能范围。从立法意图上看,企业应当判断其所建立和维护的计算机网络系统,仅涉及到企业利益或个别客户的利益,还是牵涉到国计民生和,若为后者,则较有可能被认为是关键信息基础设施。从历史角度看,各个行业主管部门曾经出台过一些在其所主管行业适用的信息安全保护规定,其
中中国银行业监督管理委员会、卫生与计划生育委员会和工信部都有某些信息必须储存在中国境内或某些系统应重点保护的规定,那么这些信息所在的信息系统则较有可能被归入关键信息基础设施。
保护个人信息安全。《网络安全法》重申了对个人信息的保护。从规则上看,《网络安全法》对个人信息保护要求,相对于之前的法律法规并没有太多新突破,基本上还是重申了知情同意、合理限度、安全措施和实名制要求。但这一重申本身就具有立法意义。首先,《网络安全法》将个人信息的保护提高到了的层面,即个人信息不仅是个人私有利益所在,而且涉及到国家和社会的安全;其次,《网络安全法》将过去零散的对个人信息保护的规定统一起来,无论是电信用户、其他消费者或雇员个人信息,都将统一受到《网络安全法》同一标准的保护;最后,《网络安全法》对个人信息保护的重申意味着国家将加强在个人信息保护方面的执法力度,过去散见于各法规和部门规章的个人信息保护方面的规定,在执行方面都可能更加严格。
打击网络违法犯罪。《网络安全法》规定了网络运营者配合有关部门制止网络犯罪行为和配合打击网络犯罪的义务,具体包括:采取必要的技术措施和管理措施,监控网络运行,留存网络日志,以备不时检视之需;采取网络实名制,在提供网络服务之前必须要求用户提供及核实真实的个人信息;当公关部门侦破、查处有关网络犯罪时,提供必要的技术支持;加强对网络信息的管理,对于已知或应知的网络非法信息,应当采取技术手段,防止非法信息的传播;对储存在境外服务器上的非法信息,应根据要求,采取技术措施予以屏蔽。
《网络安全法》没有规定网络运营者在何种情况下将被认为是应当知道网络非法信息的存在,如何识别非法信息,以及应当采取何种技术手段制止非法信息传播。但是,侵犯网络传播权的避风港原则的有关司法解释和案例,对上述问题有一定的借鉴意义。如有关案例表明:网络运营者推荐,排名或置顶其网站所载内容的,网络运营者将被认定为应当知道侵权内容的存在;同样的,在该种情况下该网络运营者也可能会被认为定应当知道其他非法信息的存在。
企业改进策略
对于网络技术和网络产品企业,《网络安全法》的颁布是重大机遇,因为这意味着企业对网络产品的安全性提出了更高要求,对安全的网络产品和服务也有更高需求。
对于几乎所有的企业,无论是否通过网络提供信息服务,是否运行和维护过公开网站、局域网,都负有《网络安全法》下关于维护网络运行安全的责任。尤其是载有个人信息或其他敏感信息的,违护网络安全的责任就会更重,其在网络安全方面的投入也相应更大。
对于金融、公共通讯、能源等敏感行业的企业,如果在其运行和维护的网络中储存有大量的个人信息和其他敏感信息,那么该网络可能被认为是关键信息基础设施,运行和维护该网络的企业就有可能会被要求承担更严格的网络安全责任。
提升维护网络安全的能力并非一蹴而就,需要大量的时间、人力和成本。在《网络安全法》要求下,想要在维护网络安全的合规性、实践可操作性以及成本投入之间达到平衡,可以从四个投入较小、收益较大的方面着手。
首先,企业应当制定适当的信息技术风险管理制度,包括信息系统操作规程、安全设置规范、灾难备份计划和安全事件预案。信息系统操作规程主要用于管理和规范企业员工如何使用企业的计算机信息系统,包括允许或禁止上传和下载的内容范围,个人账户和密码的操作规范,以及IT部门如何监控企业网络的运行等。安全设置规范主要规定如何统一和协调地设置企业信息系统的安全级别,以及采取与该级别相对应的保护措施。灾难备份计划规范频率快慢、范围大小、备份系统及其储存位置等内容。从法律要求上看,建立信息技术风险管理规则是《网络
安全法》下的重要要求,也是最直观、最容易实现的要求。从实际效果看,建立和实施完善的信息技术风险管理制度的企业,在很大程度上可以防患于未然,不太容易发生网络安全事故。而且,一旦发生了网络安全事故,企业可以对事故有所准备,在最大程度上避免损害。
如何建立符合《网络安全法》要求、具有实际可执行效果的信息技术风险管理制度?第一,制度的制定不仅仅是IT部门的责任,而必须有管理层、业务部门、法律部门和人事部门共同参与。其中,法律部门的责任在于通过起草或审核信息技术风险管理制度,确保其符合法律要求,以及反应相关行业的一般实践。第二,信息技术风险管理制度必须符合实际操作需求。如公司可能制定全球使用的信息技术风险管理制度,该制度需要进行本土化修改,反应中国网络操作的现状,并且要翻译成中文,才能有效地在中国子公司实施。第三,信息技术风险管理制度必须通过员工守则和其他人事管理实施,即通过一定的奖惩措施落实信息风险管理制度中员工的行为要求。
其次,企业应当审视其业务中的信息流,控制和管理服务外包中的信息风险。审视过程中,企业应当重点考察以下内容:哪些信息被收集、如何收集;这些信息在各个业务部门之间如何转移;这些信息被如何使用以及用于何种目的;企业采取了哪些技术手段和管理手段用于信息安全保护;企业将哪些信息外包给第三方处理,该信息如何由第三方处理。据此,企业应当重点对企业收集的信息范围是否在其使用目的的合理范围内,采用的技术手段和管理手段是否与信息的敏感性相适应,以及企业在信息服务外包过程中是否充分考虑信息安全问题进行评估。
信息服务外包通常是信息安全最薄弱的环节。企业应当在选择信息服务外包商时,通过尽职调查,考察服务提供商是否有足够的技术能力,经济能力和法律许可,提供满足信息风险管理要求的服务;在委托信息服务时,签署适当的信息服务外包合同条款,设定符合要求的服务准则,并规定在发生安全事故时的合适临时补救措施;在执行信息服务外包时,不时监督和检视服务提供商履约的情况,尤其是对有关信息安全条款的执行。
再次,企业在采购网络设备、部件以及网络服务时,应当遵守有关安全认证和许可证要求。其一,接入网络的设备和产品,必须具备网络接入许可证;其二,企业在境内使用的密码产品或技术,必须是由国家商用密码管理办公室认证通过的产品,唯公司可以为内部通讯目的使用境外的密码产品,但须经备案;其三,网络产品采购必须符合关于等级保护的要求,涉及关键信息技术设备的,其运营商应当符合更严格的生产要求;其四,采购有关网络产品和部件,应当考虑安全冗余,以避免关键网络设备和部件失效导致的网络崩溃风险;其五,在有关敏感领域,如金融、公共交通和信息服务,主管部门如对信息技术和产品的使用有额外要求,应当遵守;其六,采购网络产品和软件,不仅要考虑产品和软件本身的性能,也要考虑到售后服务和维护支持,优先采购能够自主维护或快速响应支持要求的产品和软件;其七,若境内计算机网络与境外互联,应当使用中国网关和工信部批准使用的接入网络。
按照上述要求采购产品和服务,一方面能在较大程度上确保这些产品和服务的安全性能;另一方面,一旦发生信息安全事故,企业领导层和采购部门可以避免自身责任。
最后,企业应当有危机处理措施的预案,以便在信息安全事故发生时尽可能地避免扩大损失。虽然企业采取各种措施尽可能地避免发生信息安全事故,但是信息安全事故仍然有可能会出现,这就需要企业有危机处理的充分准备:其一,企业应当制定危机处理预案,避免信息安全事故发生时手足无措;其二,危机处理团队应当包括管理层、IT部门、业务部门和法律人员,其中业务部门应就危机对企业的影响和潜在的损失做出评估,而法律人员则应在该评估基础上判断企业的法律措施,如向有关部门、受影响的客户、供应商以及保险公司进行通知等;其三,企业应当重视信息安全事件的公关,对外有专人统一发布新闻,对内保持员工口径一致,避免给企业造成不必要的信任危机;其四,在危机处理中,优先考虑采取临时措施,及时恢复
网络运营,而非探究安全事故的根源。当事故解决后,再通过事后调查,追究相关责任方,如服务提供方或肇事员工的责任。
《网络安全法》针对实践中存在的突出问题,从网络运行安全、网络产品和服务安全、网络数据安全、网络信息安全等方面将近年来一些成熟的好做法,以法律形式确定下来,为开展网络安全工作提供了有效保障。在未来法律施行过程中,会更加严格地管控个人和企业行为,为互联网的健康发展撑起保护伞。
