2017年06月01日
本文作者原浩,江苏竹辉律师事务所合伙人,江苏竹辉律师事务所合伙人,CISSP (2007-2010),江苏省律协电子商务与信息网络业务委员会副主任,全国律协信息网络与高新技术专业委员会研讨员,西安交通大学信息安全法律研究中心兼职研究员。
网络运营者与关键信息基础设施(CII)运营者、网络产品/服务提供者、电子信息发送/应用软件下载服务提供者、网络安全服务机构等主体具有网络安全/合规风险的不同需求,法律服务人员可协助责任主体实现网安法的落地和“可用性”。
《网络安全法》对责任主体的合规影响与法律服务应对
《网络安全法》(以下简称“网安法”)是我国规范网络安全实践的基本法,2016年11月7日至今国家网信部门也配套出台了一系列规章、规范性文件、标准等,系统性识别和规定了网络运营者与关键信息基础设施(CII)运营者、网络产品/服务提供者、电子信息发送/应用软件下载服务提供者、网络安全服务机构等主体的职责与义务,基于区分主体与责任匹配的体系架构已悄然成型。
落实网安法对责任主体(以企业为例)来说机遇与挑战并存。一方面网络安全威胁具有以小搏大的不对称性(如5月12日开始蔓延的勒索软件攻击事件),责任主体以提升网络安全风险管理为机遇实现企业网络安全/合规风险的消减,对保障业务运营具有积极意义;另一方面,网安法宽泛的网络运营者定义、义务和责任边界,乃至对企业社会责任的要求,则需企业战略性的初次投入和持续性的投入。
不同责任主体具有网络安全/合规风险的不同需求,技术、管理与法律措施都应纳入考量。法律服务人员可协助责任主体,通过从法条、标准、制度与技术分项控制的路径进行部署与整合,以实现网安法的落地和“可用性”。
一、网络运营者应按照网络安全等级保护制度履行“网络安全保护义务”,特别是制定和优化安全管理制度(以及信息实名与保护制度等),实现对有限人财物的合理配置,并精确到“直接负责的主管人员和其他直接责任人员”,否则有可能承担从警告、罚款到关停、吊销直至刑事责任。
二、网络产品/服务提供者需应对国家标准的“强制性要求”,实现质量(缺陷、漏洞、期限)、服务(保密、水平)的协议层面符合;涉及网络关键设备和网络安全专用产品的,法律服务人员还可提供对认证检测资质与评测协议的审查、目录时效性等方面的法律支持。
三、网安法为电子信息发送/应用软件下载服务提供者的信息发布、推送和下载服务设定了“安全管理义务”,涵盖了从内容审查到质量(恶意软件)控制的各方面,需要法律视角的研判和论证,以认定和识别“任何个人和组织”的禁止性信息内容、危害网络安全行为。
四、网安法针对关键信息基础设施运营者规定了“附加保护要求”,其中背景调查、意识培训、国家安全审查、数据本地化、年度安全评估、应急预案制定和演练都属于前沿、复合的合规内容——这也是为何会在欧盟ENISA两年一度的演习中看到律师身影。
五、网络安全服务机构在“风险评估”、“信息共享”等方面具有不可替代的作用,但规范缺失导致个案频发(如白帽子事件),需要法律服务人员对第26条“国家有关规定”进行研究和指引。
看完原浩律师的独到见解,小编带您继续延伸阅读:
《网络安全法》实施在即,哪些规定贴近“现实”?
6月1日起,《网络安全法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《互联网新闻信息服务管理规定》、《互联网新闻信息服务许可管理实施细则》等一批影响市民生活的新法规将陆续施行。
个人信息有了“保护伞”
网络运营者不得泄露其收集的个人信息;中介买卖交换个人信息也算侵权;提供个人信息违法所得5000元以上可入刑
收集用户信息应符合“知情同意”
《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,并经被收集者同意。规定:
网络产品、服务具有收集用户信息功能的,其提供者应向用户明示并取得同意;
网络运营者不得泄露、篡改、毁损其收集的个人信息,未经被收集者同意,不得向他人提供个人信息;
任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息;
任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法等。
办理以下网络业务时,应提供身份信息
为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
两高司法解释 贩卖50条个人信息可入罪
两高关于办理侵犯公民个人信息刑事案件司法解释,明确了“公民个人信息”的定义,除了姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况以外,行踪轨迹等也被纳入。
6月1日起实施的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(简称《解释》),对这些具体问题予以了明确。
对于刑法相关规定中“情节严重”的认定标准,司法解释明确规定了入罪10种情形:
包括非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的;
非法获取、出售或提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的;
非法获取、出售或提供前两项规定以外的公民个人信息5000条以上的;
违法所得5000元以上的等。
新媒体纳入互联网新闻管理
由于个别组织和个人在通过新媒体方式提供新闻信息服务时,存在肆意篡改、嫁接、虚构新闻信息等情况,2017年5月,国家网信办发布新的《互联网新闻信息服务管理规定》,并于2017年6月1日施行。
同时规定,互联网新闻信息服务提供者及其从业人员不得通过采编、发布、转载、删除新闻信息,干预新闻信息呈现或搜索结果等手段谋取不正当利益。并明确,未经许可或超越许可范围开展互联网新闻信息服务活动的,由国家和省、自治区、直辖市网信办依据职责责令停止相关服务活动,处1万元以上3万元以下罚款。
新媒体发布有了规矩
微信公众号、网络直播等纳入互联网新闻管理范畴;采编发布、转载等需取得相应许可;未经许可或超范围开展信息服务活动的,最高罚3万元。
江苏国骏信息科技有限公司在信息网络安全、运维平台建设、动漫设计、软件研发、数据中心领域具备十多年的行业沉淀。公司遵循信息安全整体性的IATF模型,从“人员素养”、“制度流程”、“技术产品”三个视角提供全面、可信的方案,业务涵盖咨询、评估、规划、管控、建设、培训等。