2017年6月1日,《中华人民共和国网络安全法》正式实施。作为我国互联网领域第一部专门法律,《网络安全法》申明了网络主权原则,建立了关键信息基础设施保护制度,明确了互联网信息内容管理部门、网络运营者与个人在网络安全保护领域的权利与义务,进一步完善了个人信息保护规则,并为构建网络安全法律法规体系提供了基础性依据。五年来,《网络安全法》取得了以下成效。
第一,以网安法为基础构建的网络安全法规体系逐渐健全。在网络信息内容治理领域,网安法与《网络信息内容生态治理规定》、《互联网信息服务算法推荐管理规定》等法规有效打击了网络传播违法不良信息行为,规范了网络信息服务提供者的运营行为。在个人信息保护领域,网安法与《民法典》、《个人信息保护法》、《数据安全法》、《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等法律法规为隐私权与个人信息权益提供法律保障。在数据安全领域,网安法与《数据安全法》、《区块链信息服务管理规定》、《汽车数据安全管理若干规定(试行)》等法律法规共同构建了兼顾维护数据安全与促进数据流动的平衡机制。第二,网络安全治理的社会参与更加广泛,全国各级网络举报部门受理举报数量由2017年的5263.9万件上升为2020年的16319.2万件。第三,互联网信息内容管理部门开展的网络空间治理专项活动规范化提升,治理能力不断加强。在执法依据上,互联网领域法律与互联网细分领域配套制度逐步建立,进一步规范和保障了互联网信息内容管理部门依法履行行政执法职责。在治理主体上,国家网信办积极与国家工业和信息化部等部门合作,多部门联合推进《网络安全法》实施落地,积极构建协同联动的网络安全保障体系。此外,国家网信办还通过政企联动、行业自治引导企业增强自治意识,督促企业履行社会责任,提高了监管效能。
武汉大学网络安全学院将以关键信息基础设施、网络信息与跨境数据流动中的网络安全保护、网络安全信息共享制度以及相应法律责任为切入,介绍我国以网安法为基础构建的兼顾网络安全保护与促进信息流动的平衡机制。
一、关键信息基础设施的网络安全保护
依据《网络安全法》第31条对关键信息基础设施的定义,可以界明关键信息基础设施的范围。关键信息基础设施包括可能影响国家安全、公共安全、国计民生的基础网络,重要信息系统,政务网络,以及可能影响国家安全数据所在的信息系统。依据《国家网络安全操作指南》对《网络安全法》第三十一条的进一步细化规定,可以根据基础设施的不同性质将其划分为网站类、平台类以及业务生产类三大类,再对不同大类下所涉及的不同生产生活的方面进行细分规定。具体类别如下图所示:
关键信息基础设施的法律主体包括参与到保护过程中,享受监督、安全审查、应急演练等权利的管理者和承担安全保护管理义务的运营者,依据《网络安全法》的规定,关键信息基础设施制度的法律主体范围以及相应的权利义务内容如下。
关键信息基础设施的管理者是指具备管理关键信息基础设施义务的国家行政机关。关键信息基础设施保护制度以顶层设计、整体防护、统筹协调、分工负责为原则。其中顶层设计就是由国家网信部门负责统筹协调,国务院电信主管部门、公安部门和国务院标准化行政主观部门等分工负责。而《关键信息基础设施保护条例》将分工部门又增加了国家安全、国家保密行政管理和国家秘密管理等部门。管理者作为进行顶层设计的国家行政机关部门,占据着基础设施运行管理法律关系的主导地位,依据《网络安全法》中的相关规定,管理者主要享受下列权利:管理权、执法权、司法权、监督权、建设整改权。
关键信息基础设施的运营者作为重要的参与者,保障着基础设施、网络平台、产品服务的信息数据的安全,责任重大。《网络安全法》中对于运营者应当承担的义务作出了以自愿承担为原则的规定,其中表明,除了法定主体以外,其他自愿参与关键信息基础设施保护的主体,包括企业,人民群体等,都可以成为保护制度主体的一份子。关键信息基础设施的运营者由于参与者的身份具有多样性,其中包括关键信息基础设施的所有者、管理者和网络服务提供者。所以依据他们的不同参与身份而享有不同方向和领域的权利和义务,其中抛弃他们之间的差异性,而应当共同享有的群里主要包括:关键信息基础设施的所有权、运营管理的参与权,监督意见权、监测评估权、相关信息收集使用权等。
近年来,全球范围内针对关键信息基础设施的网络攻击时间逐年攀升,,各国网络安全保障措施虽然颇有成效但依然难以地域外部风险。关键信息基础设施一旦遭到破坏,影响范围广,对于经济发展、政治安全和国家安全都可能带来严重危害。加强关键信息基础设施保护,强化关键信息基础设施保护能力,防范关键信息基础设施安全风险对于国家网络安全具有重要意义。
以金融基础设施为例,近年来银行业金融机构是网络攻击的重灾区,尤其信息泄漏、黑客攻击呈高发态势,如影响全球金融业的“SWIFT惊天银行大劫案”、2013年2月 2 月中国人寿 80 万名客户个人保单信息泄露事件等等,银行业及金融机构的网络安全态势非常严峻。因此,《网络安全法》中明确指出金融机构是关键信息基础设施的运营者,一方面,突出了金融行业的战略地位和价值,另一方面,也明确了金融机构做好自身网络安全工作的义务和责任。
自《网络安全法》落地以来,随着国家对金融基础设施安全和金融消费者权益保护的重视,相关的法律法规陆续出台,形成了包括个人信息保护、金融信息处理与跨境传输合规、网络安全等级保护、网络及数据安全审查、金融消费者权益保护、金融信息保护内控制度在内六个方面的制度组合,向金融行业相关机构施加了严格的信息及数据安全方面的合规义务,从而预防金融行业网络安全风险。
二、网络信息安全保护
《网络安全法》与《个人信息保护法》等法律法规除了赋予私人就个人信息权益受侵害提起民事诉讼的权利,还赋予检察机关在公民个人信息遭受损害时提起民事公益诉讼的权力。检察机关聚焦网络时代公民个人信息保护更高需求,依法履行公益诉讼检察职能,坚决维护个人信息安全。2021年检察机关共办理个人信息保护领域公益诉讼案件2000余件,同比上升近3倍。
2021年8月通过的《个人信息保护法》专设公益诉讼条款,明确将个人信息保护纳入检察公益诉讼法定领域。检察机关在办案中发现,当前个人信息保护面临四个突出问题,须加强综合治理。一是利用手机App等违规收集个人信息问题突出,存在强制授权、过度索权、超范围收集个人信息等情况。2021年,检察机关共办理网络侵害个人信息公益诉讼案件800余件,同比上升约1.7倍。二是特定群体个人信息需要加大保护力度,未成年人、老年人等群体防范意识薄弱,更易成为个人信息侵害的对象。三是个人信息泄露导致骚扰电话和电信网络诈骗风险。四是个人信息保护监管合力不足。个人信息保护涉及对象多、领域广,多个部门职责交叉或者职权定位不够明晰,亟须形成监管合力。
下一步,检察机关将继续加大公益诉讼办案力度,推动个人信息保护法落地落实。一是突出保护重点,聚焦重点人员、重点领域,为个人信息安全保驾护航。具体而言,在保护重点上,严格保护生物识别、宗教信仰、特殊身份、医疗健康、金融账号、行踪轨迹等敏感个人信息;在保护对象上,特别保护儿童、妇女、残疾人、老年人、军人等特定群体的个人信息;在保护领域上,重点保护教育、医疗、就业、养老、消费等领域处理的个人信息以及涉100万人以上的大规模个人信息,同时精准保护因时间、空间等联结形成的特定对象的个人信息。二是强化检察机关内部衔接配合,充分发挥检察一体化办案优势,积极应对个人信息公益损害网络化。检察机关将继续畅通内部线索审查移送机制,注重在涉及个人信息保护的刑事、民事、行政检察案件中同步发现公益诉讼案件线索,加强全流程、全链条保护,实现惩治违法和保护公益的多重效果。三是形成个人信息保护监管合力。检察机关将加强与网信、工信、公安、市场监管、教育等职能部门在线索移送、信息共享、专业咨询、办案辅助等方面的协作配合,健全行政执法与公益诉讼检察衔接机制,积极稳妥办理涉及网络黑灰产、数据安全的重大网络侵害类公益诉讼案件。兵器,检察机关还加强与法院的沟通协调,深化个人信息保护公益诉讼制度探索。此外,检察机关还将通过提出检察建议等方式,督促相关单位或部门采取有效防范措施,筑牢个人信息保护“防火墙”。
三、跨境数据流动中的网络安全保护
在经济贸易全球化的背景下,跨境数据流动不断加速,在发挥着降低企业成本、盘活线上跨境交易、支撑企业国际运营、促进国际执法合作等积极作用的同时,也对各国的国家安全、产业发展和个人的隐私保护等造成了威胁。例如,近年来科技巨头滥用数据、境外暗网售卖个人数据等恶性事件层出不穷,2013年的“棱镜门事件”更是引发了世界关注,让世界各国深刻地认识到跨境数据流动会给国家安全与个人隐私带来巨大风险,进而推动了全球跨境数据流动研究和立法潮流。我国在国家安全主视角下,数据跨境流动规则体系日渐完善,监管力度逐步加强,目前我国主要从个人信息、重要数据、国家秘密、行业数据以及出口管制、境外调取进行多维度的跨境活动监管。
回溯我国数据跨境流动的法律体系构建过程,从最初的《网络安全法》中对个人信息和重要数据的跨境行为规范,到立法活动更多落脚于个人信息方向。随着数字经济发展,数据作为生产要素不仅关涉到个人隐私安全,部分重要数据可能会对于国家安全造成影响,我国随即出台《数据安全法》等相关法律法规对重要数据的跨境活动进行规制。各个行业监管部门也在相关法律指引下,针对各自领域的敏感数据、重要数据进行跨境流动行为规范。
具体而言,我国对于数据跨境主要从两个维度进行规制,一是本地化限制,按照目前中国相关法律法规,本地化要求更多适用于关键信息基础设施运营者(“CIIO”),要求其在境内运营过程中收集和产生的个人信息和重要数据都应当在境内进行存储。同时部分行业敏感数据也存在分散的本地化要求,包括但不限于征信业、银行业、汽车制造业等接触敏感数据、重要数据较为频繁的领域。二是限制性数据跨境,我国目前对于数据跨境活动主要采取限制性规范,要求数据控制主体在数据跨境活动前需符合法律规定条件或按照规定完成安全评估、保护认证等条件。
通观我国和全球主要国家和地区数据跨境流动治理模式与规制规则,跨境数据流动治理已经成为经济发展和时代发展的必然要求,全球数据跨境治理正处于高速发展阶段,数据跨境流动背后不仅为数据安全风险,更是逐步涉及国家竞争问题。自我国《网络安全法》颁布的五年以来,我国紧随国际数据流动治理热潮,在总体国家安全观视角下结合国家现实需求搭建了较为完善的中国特色的数据治理体系,通过各项跨境数据领域的法律法规的不断完善以促进公民权益、经济发展、国家安全等目标的有机协同,在飞速发展与安全保障中找到可实现数据价值最大化的平衡点。
四、网络安全信息共享制度的完善
近年来来自境内外网络安全威胁问题的日益严峻,通过建立网络安全信息共享机制这一方式提高主体防御网络风险的能力、最小化网络攻击的损害后果,同时降低安全维护成本,成为系统性构筑我国网络安全堡垒的一大举措。
我国《网络安全法》第三十九条中规定“促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享”,这是“网络安全信息共享”首次以立法的形式展现并对此作出了原则性规定。而2021年9月1日起施行的《关键信息基础设施安全保护条例》第二十三条明确规定“国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享”,试图以关键信息基础设施为切入口,逐步构建我国网络安全信息共享机制。全国信息安全标准化技术委员会日前发布了《信息安全技术 网络安全信息共享指南》(征求意见稿),试图进一步规范网络安全信息共享的具体措施,打通网络安全信息共享的技术壁垒。
网络安全信息共享制度建设是法治国家面对当前严峻的网络安全形势所做出的理性选择。此种风险社会多利益主体协同共治的模式,在结合中国的实际情况的基础上,能够有效发展网络安全信息共享战略,不断优化网络空间安全环境,及时增强应对网络安全威胁的能力。
五、法律责任
《网络安全法》为未履行网络运行安全义务、未履行网络产品和服务安全义务以及违反用户身份管理规定、违法开展网络安全服务活动、实施危害网络安全行为、侵犯个人信息权利、违反关键信息基础设施采购国家安全审查规定、违反关键信息基础设施数据境内存储和对外提供规定、利用网络从事与违法犯罪相关的活动等违法行为规定了一系列行政责任。刑法第二百八十五条至第二百八十七条以及刑法第二百五十三条之一,规定了非法侵入计算机信息系统、破坏计算机信息系统、拒不履行信息网络安全管理义务、非法利用信息网络、帮助信息网络犯罪活动以及侵犯公民个人信息权益的刑事责任。《个人信息保护法》与《民法典》规定了侵犯公民个人信息的民事责任。在各部门法的协作下,我国已构建起完整的保障网络安全的法律责任体系。
以拒不履行网络安全管理义务罪为例,其是指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播的、或致使用户信息泄露,造成严重后果的、或致使刑事案件证据灭失,情节严重的行为。《网络安全法》基于国家总体安全观,为网络运营者、网络产品或者服务的提供者构建了系统且完备的网络安全管理义务体系,对于违反《网络安全法》相关义务构成犯罪的,依法追究刑事责任。拒不履行信息网络安全管理义务罪的适用正是贯彻落实《网络安全法》、构建我国网络安全法律保障体系的重要环节。与此同时,拒不履行信息网络安全管理义务罪为相关主体设置了在特定条件下可得出罪的条件,这一特殊立法模式也体现了在回应网络安全保护的现实需求下,立法者对于兼顾网络产业长远发展的谨慎考量。其目的是促使互联网企业能够更加自主、规范地开展业务,履行自身的社会义务。在日新月异的网络产业发展面前,拒不履行信息网络安全管理义务罪一方面为确保网络运营者的义务履行提供了有力的法律保障,另一方面也为他们更好地构建自身刑事合规体系留下了一定的时间和空间。
由此可见,《网络安全法》落地五年来,通过不断健全完善网络安全法律制度、加强网络安全领域执法力度与协作,取得了一系列实施成就,构建了切实有效的网络安全保障体系,为我国数字经济高质高效发展提供了坚实基础。(武汉大学供稿)