2017年6月1日,我国网络安全领域内的根本大法《网络安全法》(下称“网安法”)将正式实施,与此同时,互联网信息办公室所制定的一系列配套行政法规,包括有《互联网新闻信息服务管理规定》及其《实施细则》、《网络产品和服务安全审查办法》、《互联网信息内容管理行政执法程序规定》等,也将于同日一并生效。但这只是一个开始,今后,更多的配套细则和规定也会应时而生。
亮点1全面设定网络运营者的安全保护义务
“网络安全等级保护制度”这一概念是《网安法》的亮点之一,但具体如何分级、谁来分级、目前还未出台明确的规定或解释,有赖于网信办或相关部门予以细化。
不过,在信息安全方面的分级保护制度,倒也不是没有先例。公安部、国家保密局、国家密码管理局、国务院信息化工作办公室国家四部委在2007年制定的《信息安全等级保护管理办法》中,就将信息系统的安全保护等级分为了五级。
值得注意的是,《网安法》中关于义务性规定的数量远远大于禁止性规定,并详细列明了违反义务性规定所要承担的行政责任,这也反映出我国针对网络侵权甚至犯罪,“预防大于追究”的原则。比如,许多有关网络运营者的规定是首次出现在我国法律中:“留存相关的网络日志不少于六个月”(第二十一条);“向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息”(第二十六条)等。
此外,在《网安法》第六十条中,还列出了网络运营方其他的义务要求以及违规的法律责任:
“第六十条 违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:
(一)设置恶意程序的;
(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;
(三)擅自终止为其产品、服务提供安全维护的。”
亮点2明确举报危害网络安全行为的主体
《网安法》第十四条规定:“任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。”
根据中国互联网网络信息中心《第38次中国互联网络发展状况统计报告》,截至2016年6月,我国网民规模达7.10亿,国内域名总数3698万个,网站近454万家。互联网的海量信息,仅仅依靠政府部门监管,无法维护良好的网络空间秩序。发挥公众参与在网络治理中的作用,可收到事半功倍、一举多得的效果。
网络安全法明确了公民对危害网络安全行为的举报权利,政府部门受理、处置公民举报的责任,保障了公民通过网络举报参与网络空间治理的有效性,让民间力量与官方机构一同努力,共筑网络安全防线。
亮点3对关键信息基础设施提高了责任要求
《网络安全法》引入了“关键信息基础设施”的概念,“关键信息基础设施”作为关乎国家安全和利益的战略性资源,其重要性无需多言,对其在法律和制度层面进行重点保护,也是目前各国立法的大势所趋。
当然,这也意味着法律对关键信息基础设施提出了更高的责任要求,如上图所示,除了内部的人员培训、制度架构设计等,还要求在采购时,对可能影响国家安全的网络产品和服务,及时申报有关部门进行安全审查。对此,《网安法》在第二十三条中也明确指出“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证或者安全检测符合要求后,方可销售或者提供”。
考虑到金融机构经常会采购一些用于金融数据存储、加密或解密的设备或软件,这类设备或软件有很大可能属于网络关键设备和网络安全专用产品的范畴,建议密切关注国家网信办或有关部门制定的网络关键设备和网络安全专用产品目录,并且在未来采购审查中要求供应商提供相关安全认证和安全检测证明。此外,对于“可能影响国家安全的”网络产品和服务采购,目前尚未有明确的判断标准,金融机构应对监管机构后续对此的解读给予关注。
亮点4着重保护个人信息,与民刑法相衔接
在《网安法》第二十二条第三款、第四十一至四十四条中,对用户个人信息数据的收集、存储、使用都给出了非常严格的规定,说其严格,不仅仅是因为设定的义务多而全,也是因为设定了较高的法律责任,在常规的行政罚款之余,还规定有“责令暂停相关业务、停业整顿、关闭网站,吊销相关业务许可证或者吊销营业执照”。
