在《中华人民共和国网络安全法》(以下简称《网络安全法》)出台前,我国专门用于规范互联网安全的法律仅有三部:《电子签名法》《全国人民代表大会常务委员会关于网络信息保护的决定》及《全国人民代表大会常务委员会关于维护互联网安全的决定》,而与网络安全相关的法律更多地散见于其他法律、行政法规、部门规章、司法解释、规范性文件或政策性文件之中。
不难看出,整体上我国关于互联网安全的立法存在法律位阶低、缺乏系统完善的法律规范两大问题。乌尔比安曾说过,“法是权威的,但并不是永恒的”。这句名言可以说最为贴合网络安全领域面临的挑战。随着网络技术发展的日新月异,其中一部分法律内容陈旧,已不再适应当前的形势。
《网络安全法》是我国第一部全面规范网络空间安全管理问题的基础性法律。它的出台顺应了网络安全发展法制化路线,填补了我国在网络安全方面的法律空白,对我国网络安全发展有着重要的意义,也是国际网络安全的重要组成部分。从实践角度看,它从各个层面推动了国家关键信息基础设施和数据安全体系的建设,满足了当下迫切的安全需求,为我国网络空间安全治理取得巨大突破提供了法律高度的强大助力。
距2017年6月1日《网络安全法》正式施行已过去两周年,这两年里在《网络安全法》框架下抵制的网络违法犯罪事件,进行网络空间安全行动有哪些?对未来我国如何贯彻和坚持依法治网、依法办网、依法上网,进一步营造清朗的网络空间,有哪些可以进一步探索和深入的空间?
《网络安全法》回顾
中国工程院院士李建成教授指出,“网络安全建设,应当以法律为根,技术为基。”《网络安全法》是在吸取国内外立法经验的基础上,经过两次公开征集意见,人大常委会三次审议之后完成的。尽管立法过程历时较短,但其中不乏制度亮点。
(一) 明确监管机制
《网络安全法》中对网络安全监管机制有了一个系统完整的规定,明确网络安全监管责任主体、监管责任权限及监管主体法律责任:
以法律形式确定网络安全监管机制,强化对互联网市场的监管。改变过去不制定专门的网络安全监管法律规范,仅将其纳入相关法律、行政法规和部门规章中的“渗透式”模式;
明确政府监管机构的职权范围,规定在国家网信部门的统筹协调下,公安部门、国务院电信部门等相关部门在各自权限范围内负责监管工作,同时将网络相关行业组织纳入到监管主体中来,兼具“自上而下”及“自下而上”的监管模式,解决了无明确立法依据导致实际工作中多存在互相推诿、协作不利、效率低下的现象;
强调监管主体的法律责任,避免监管部门工作人员出现玩忽职守、滥用职权、徇私舞弊的情况。
(二) 通过立法推进网络实名制
网络实名制是指政府机关、网络服务提供者要求网络服务使用者在接受网络服务之前进行真实身份信息认证的一种网络管理规则,简而言之具体操作上是“前台可匿名,后台需实名”,旨在营造良好的网络环境。
2012年12月28日,全国人民代表大会常务委员会通过《加强网络信息保护的决定》,这是我国第一部规定网络实名制的法律性质文件。
2013年9月1日,工信部发布的《电话用户真实身份信息登记规定》和《电信和互联网用户个人信息保护规定》正式施行,规定手机用户实名制,为网络实名制认证奠定基础。
2014年8月7日,网信办发布《即时通信工具公众信息服务发展管理暂行规定》,规定即时通信工具服务使用者应当通过真实身份信息认证后注册账号,以此“试水”。
2015年3月1日,网信办发布《互联网用户账号名称管理规定》,将原先“即时通信工具服务使用者”扩大到“互联网信息服务使用者”,这也是我国网络实名制真正落实的第一步。
从上述发展历程来看,网络实名制存在立法等级低的问题.网络实名制是以公民身份制度为依托建立的“网络身份证”,理应比照规定现行身份制度的立法层级,而《网络安全法》的出台恰好有力地解决了这一问题。
(三) 明确定义关键信息基础设施
国际上关于此领域存在两个类似的概念,即关键基础设施和关键信息基础设施。
各国对关键基础设施有着基本的共识,主要包括两大特征:一是该设施为国家正常运转提供必不可少的支持;二是一旦遭到破坏,会对国家安全、社会稳定、公众健康和安全造成严重的影响。
而如何界定关键信息基础设施,各国则存在着较大的分歧。随着网络信息技术的迅速发展,越来越多的基础设施逐步接入互联网,关键信息基础设施这一概念所涵盖的范围也不断扩大。现今两者的概念边界逐渐模糊,经常交错适用,可理解为从传统安全和网络安全两大不同的领域来界定同一保护对象。
我国《网络安全法》延续了国际上的惯常做法,采用了“关键信息基础设施”这一概念。同时,在经过两次公开征集意见后,改变了最初采用的“列举式”定义,而以“列举式”与“概括式”相结合的方式来界定关键信息基础设施。这种定义方式既突出了“关键信息基础设施”的本质,同时也列举出“关键信息基础设施”较常见的类型,以便实践中更具操作性。
(四) 严格规定跨境数据流动规则
《网络安全法》规定,关键信息基础设施的运营者在我国境内运营过程中所收集和产生的重要数据和个人信息,不得在境外储存。确因业务需要向境外流动的,应当先接受相应的安全评估。
在《网络安全法(草案)》公开征集意见时,这条规定曾引起了包括美国商会等46家来自世界不同地区的国际企业团体联名抵制,认为该条规则增加了贸易壁垒。实际上,欧盟和美国基于优先考虑不同的群体利益,形成了两种不同的保护规则。
欧盟将保护消费者放在首要位置,而通过个人数据保护立法规定个人数据权;
美国在世界互联网企业前十位中占据六席,故将保护产业利益放在核心地位,仅对敏感的个人数据单独立法。
各个国家会根据自身的经济、社会情况选择不同的跨境数据流动规则,我国的互联网行业正处于蓬勃发展的阶段,在世界互联网企业前十位中占据四席,互联网产品和服务要求迅速、创新、用户量大,如果给企业太多的规则限制,将会降低企业创新的积极性,慢慢失去竞争力,最终导致合规不利于发展、不利于安全的结果发生。但是某些涉及国计民生、公共利益的数据无限制地向境外转移可能危及国家安全。
因此,《网络安全法》对此采取了一种非常谨慎的态度,仅规定关键信息基础设施运营者收集和产生的数据向境外转移时需要进行安全评估,但并未指明“安全评估”是“国际安全”“产业安全”“个人数据安全”或三者的集合,保持了规范性和灵活性的平衡。
案例摘选
我国面临的网络完全威胁态势,无论来自内部还是外部在这两年里也发生了明显的变化,比如攻击手段越来越隐蔽,攻击手法越来越复杂,独狼式的网络攻击迅速转向团伙化的分工形式,网络攻击的效率大大提升,尤其是攻击篡改、植入后门、数据窃取等危害互联网网站安全的行为呈现快速增长趋势,网络安全形势始终处于不容乐观情景之中:
据CNCERT抽样监测发现,2019年前4个月我境内被篡改的网站8,213个,同比增长48.8%;被植入后门的网站10,010个,同比增长22.5%。同时,近期发现由于运营者安全配置不当,很多数据库直接暴露在互联网上,导致大量用户个人信息泄露。造成这些事件很大原因是一些互联网网站运营者网络安全意识不强,特别是中小网站安全管理和防护能力较低,缺乏有效安全保障措施,成为网络攻击的重点目标和主要入口。
除了网络犯罪组织发起的恶意攻击之外,国内企业因对用户个人隐私处理不当、安全防护能力薄弱导致数据泄露事件等,触犯《网络安全法》而遭到处罚的事件越来愈多,互联网领域是重灾区。一方面是监管和执法部门有法可依后对于安全事件的处理更加科学和迅速,也能够严格起来。另一方面也反映出企业对于《网络安全法》重视程度不够,在个人隐私保护十分薄弱的国内大环境下存在抱团违法的侥幸思想,也有部分企业碍于安全投入的占比从无到有再到较高的水平,资源跟不上导致事件频发而遭到处罚。此外针对企业的黑灰产产业链越来越成熟,针对个人用户的违法APP花样百出,这也是我国网络安全形势既严峻且复杂的原因。
本章节摘选了国家监管机构、研究机构、专业媒体等渠道发布的典型执法案例,可以看到国家是依法治网、化解网络风险的意愿和能力都是十分强大的,《网络安全法》适用对象应当应以为戒,加强自身的合规能力,免于业务因违法而限于停滞。
国家网信办要求8家网站限期整
2019年5月28日,国家网信办对8家知名互联网网站年检限期整改网站进行检查。
其中某网站整改后,相关管理规章制度建设和人员等仍不符合互联网新闻信息服务许可设立条件,不予通过本次年检,责令其继续进行针对性整改。另一网站不再提供互联网新闻信息服务,依法注销其互联网新闻信息服务许可。
对应《网络安全法》条例:
第五十六条 省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。
9款App涉黄被国家网信办清理关停
2019年4月16日,针对即时通信工具传播违法违规信息、匿名注册、欺诈诱骗、为线下违法违规活动提供平台服务等行业乱象,国家网信办近日启动即时通信工具专项整治工作,从应用展现、服务导向、商业模式、注册机制、信息内容、群组管理等方面,对各类即时通信工具进行深入巡查和测试。9款即时通信工具因为传播淫秽色情信息,或为招嫖卖淫、售卖淫秽色情音视频等提供推广和平台服务,近日被国家网信办清理关停。
对应《网络安全法》条例:
第六十八条 网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
因其传播导向不良信息,网信办约谈某知名新闻网站
2019年4月16日,国家网信办指导北京市网信办针对末知名新闻网对用户发布违法违规信息未尽到审查义务,持续传播炒作导向错误、低俗色情、虚假不实等违法有害信息的严重问题约谈该企业负责人。
对应《网络安全法》条例:
第九条 网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
新浪微博因违法信息被网信办约谈整改
2018年1月27日,国家互联网信息办公室指导北京市互联网信息办公室针对新浪微博对用户发布违法违规信息未尽到审查义务,持续传播炒作导向错误、低俗色情、民族歧视等违法违规有害信息 的严重问题约谈该企业负责人,责令其立即自查自 纠,全面深入整改。新浪微博随即对问题突出的热捜榜、热门话题榜等版块采取下线一周等整改措施。整改后的热捜榜、热门 话题榜等不但增加了正能量的“新时代”板块,同时对热搜榜内容也进行了整改,娱乐话题比例被大幅降低,增加了民生和社会热点事件。与此同时,正能量营销成为了新趋势。
对应《网络安全法》条例:
第十二条 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
三家网络科技公司被工信部约谈
2018年1月11日,针对近期媒体报道相关手机应用软件存在侵犯用户个人隐私的问题,工业和信息化部信息通信管理局约谈了三家知名网络科技公司。三家企业表示,将按照监管部门要求,对相关服务进行全面排查,加强内部管理,完善产品设计,举一反三,认真整改。今后将继续严格遵守相关法律法规和工信部有关规定,进一步规范用户个人信息收集使用行为。
对应《网络安全法》条例:
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
支付宝“年度账单”默认勾选服务协议被约谈
2018年1月,支付宝年度账单被部分网友质疑,年度账单中用极小的字体默认勾选“同意《芝麻服务协议》”,侵犯了消费者的权益。2018年1 月6曰,国家互联网信息办公室网络安全协调局约谈 了支付宝(中国)网络技术有限公司、芝麻信用管理有限公司的有关负责人,要求切实采取有效措施, 防止类似事件再次发生。蚂蚁金服有关负责人表示,将对支付宝平台全面排查,进行专项整顿,进一步完善平台治理机制。 2019年1月发布的支付宝年度账单中新增的查看账单前的身份检验功能、账单内容一键隐藏功能以及取消分享账单功能等,获得了网友好评。
对应《网络安全法》条例:
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
新三板上市公司被查涉侵犯公民个人信息案:累计传输数据4000G
2017 年 7 月 8 日,山东破获一起特大侵犯公民个人信息案,共抓获犯罪嫌疑人 57 名,打掉涉案公司 11 家,查获公民信息数据 4000 GB、数百亿条。其中,国内知名大数据公司、新三板上市公司“数据堂”涉案。8 个月内,涉案企业日均传输公民个人信息 1 亿 3 千万余条,累计传输数据压缩后约为 4000GB 左右,公民个人信息达数百亿条,数据量巨大。此外,据办案人员表示,该案涉案的 11 家公司中,三家公司涉嫌单位犯罪,甚至有 4 名博士生、博士后涉案。
对应《网络安全法》条例:
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
主要行政监管行动
2017年、2018年两次隐私条款专项工作
隐私条款集中反映了网络运营者对《网络安全法》及相关法律法规在个人信息保护和网络安全管理制度的遵守和落实程度,成为行政执法部门的重要监管点。
在2017年的首次隐私条款专项工作中,由国家网信办、工信部、公安部、信安标委等四部门组成的专家工作组于8月24日对包括:京东商城、航旅纵横、滴滴出行、携程网、淘宝、高德地图、新浪微博、支付宝、腾讯微信、百度地图等10款网络产品和服务隐私条款在隐私条款内容、展示方式和征得用户同意方式等方面进行评审。9月24日,隐私条款专项工作评审结果公布,微信、淘宝等获评审专家组好评,此外个别产品有待完善。
而在2018年9月5日启动的第二次隐私条款专项工作中,以信安标委为主的专家工作组对40款网络产品和服务的隐私条款进行了评审,其中涉及2017年隐私条款专项工作中的10款产品,以及出行旅游、生活服务、影视娱乐、工具资讯和网络支付5大类等30款新产品。工作组专家指出,今年的专项工作较去年相比,评审对象数量明显增多,首次采用工作按产品类别进行评审,专家评审从面对面转变为背靠背,评审要点也更加细化完善。目前,专项工作的具体成果仍有待公布。
工信部关于电信和互联网企业网络安全的执法检查及网络安全日常监督信息公开
2018年8月13日,工信部向地方通信管理局及相关企事业单位下发《关于开展2018年电信和互联网行业网络安全检查工作的通知》,要求地方部门及企事业单位配合调查,通过定级备案、自查整改、开展抽查等方式,重点关注依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构等网络运行单位建设与运营的网络和系统在落实《网络安全法》等相关规定及可能存在的网络安全风险隐患等情形,并于10月31日前向部网络安全管理局上报检查工作总结报告。目前,各地方部门已按要求进行区域自查并汇总,有待工信部网络安全管理局正式推出整体总结报告。
与此同时,工信部网络安全管理局自2018年起,定期在官网上公开每季度网络安全威胁态势分析与工作综述。总结目前已公开的信息数据,可以发现目前用户数据泄露、网络安全防护漏洞、平台运营故障等网络安全及个人信息安全事件仍旧频发。对此,主管机关加大网络安全执法监督,推进网络安全试点示范项目工作,并通过举办网络安全应急演练、开展移动恶意程序专项治理工作等,实际推动整改进程。
“剑网2018”专项行动启动,对网络转载、短视频、动漫等重点领域开展版权专项整治
2018年7月,国家版权局、国家网信办、工信部、公安部联合开展打击网络侵权盗版“剑网2018”专项行动,将短视频版权专项整治作为专项行动的重点任务,并将短视频平台企业列为专项行动重点监管对象,着力强化对短视频企业的版权监管。
9月14日,针对重点短视频平台企业在专项整治中的自查自纠情况和存在的突出版权问题,国家版权局在京约谈了抖音短视频、快手、美拍、秒拍等15家重点短视频平台企业。下一阶段,国家版权局将重点打击短视频领域侵权盗版行为,规范短视频平台企业经营行为,强化版权保护行业自律,推动相关权利人组织与短视频企业建立版权保护合作机制。
结语
碍于水平与篇幅,本文仅对《网络安全法》本身和两年里的执法案例进行了管中窥豹,不过也可以初步感知,这两年里发生的执法行动存在着以下显著的发展特征:
关注的法律问题层面:执法案例更加集中于个人信息保护、用户信息发布管理层面,高度关注网络用户个人信息安全及网络环境净化;
执法主体层面:工信部(及其地方所属的通信管理局)以及各级网信办参与执法行动的活跃度提升;
执法对象层面:除了一直属于监管重点的科技公司外,网络直播平台、电商平台、即时通讯平台等受监管关注的频度不断提升,执法对象涉及领域不断拓宽;
处罚措施层面:除了常规的约谈及督促整改以外,整改要求不断细化,处罚措施趋于多样化,包括出现高额罚款、产品下架、服务平台限期停止服务等。
互联网是一个迅速变化的领域,要断言五年后它是一个什么样的状态几乎不可能,这点对于立法者来说也是如此,所以《网络安全法》也会随着形势的变化而不断修订和发展。今后关于网络安全保护的具体实施办法必将有更多的规范性文件和指引,企业须及时解读新规内容,对企业的网络安全保护管理制度进行更新,使其符合主管部门的要求。
以上内容由四川无国界(www.uvsec.com) 整理编辑——专业从事网络信息安全培训与IT风险管理咨询服务。