日前,記者就《網絡安全法》實施的有關問題采訪了國家互聯網信息辦公室網絡安全協調局負責人。
問:《網絡安全法》於6月1日起施行,有關准備工作進展如何?
答:《網絡安全法》將於6月1日起正式施行,這在網絡安全歷史上具有裡程碑意義。
《網絡安全法》的公布和施行,不僅從法律上保障了廣大人民群眾在網絡空間的利益,有效維護了國家網絡空間主權和安全,而且還有利於信息技術的應用,有利於發揮互聯網的巨大潛力。
《網絡安全法》公布後,各部門、各地方以及廣大企業、科研單位和院校開展了多種形式的學習宣傳貫徹活動,法律所確定的重要理念、基本要求正在深入人心。目前,有關部門正在按照法律要求抓緊研究起草相關制度文件,包括關鍵信息基礎設施保護辦法、個人信息和重要數據出境安全評估辦法、網絡關鍵設備和網絡安全專用產品目錄等。其中,《網絡產品和服務安全審查辦法(試行)》等配套制度文件已經公開發布。國家標准化部門正抓緊組織制定《個人信息安全規范》等國家標准。總體上看,各項工作都在按計劃推進。
問:據報道,近期有外國協會和機構建議推遲實施《網絡安全法》,擔心《網絡安全法》會制造貿易壁壘、限制國外企業和技術產品進入中國市場,你對此有什麼評論?
答:借鑒國際通行做法,根據本國國情,制定相關法律、行政法規,並依法對網絡進行管理,完全是各國主權范圍內的事情。
制定和實施《網絡安全法》,其目的是要維護國家網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的權益,而不是要限制國外企業、技術、產品進入中國市場,不是要限制數據依法有序自由流動。
問:關鍵信息基礎設施保護是《網絡安全法》新設立的一項重要制度,6月1日後這一制度如何實施?
答:《中華人民共和國立法法》要求,法律規定明確要求有關國家機關對專門事項作出配套的具體規定的,有關國家機關應當自法律施行之日起一年內作出規定。目前有關部門正在按照《網絡安全法》的要求,抓緊制定相關配套規定,其中關鍵信息基礎設施保護辦法有望近期公開征求意見,個人信息和重要數據出境安全評估辦法正在根據各方面意見修改完善。建議相關企業、機構等抓緊做好法律實施的准備工作,自覺用法律規范網絡行為。
問:關鍵信息基礎設施的范圍如何確定?中國將采取什麼措施加強關鍵信息基礎設施保護?
答:關鍵信息基礎設施保護制度的目的是要確保涉及國家安全、國計民生、公共利益的信息系統和設施的安全,與等級保護制度相比所涉及的范圍相對較小。從各國的情況看,具體明確關鍵信息基礎設施相當復雜,是一個在實踐中不斷完善、不斷調整的過程。目前國家互聯網信息辦公室正會同有關部門按照《網絡安全法》的要求,抓緊研究制定相關指導性文件和標准,指導相關行業領域明確關鍵信息基礎設施的具體范圍。
加強關鍵信息基礎設施保護,首先是按照《網絡安全法》的要求,抓緊制定相關配套制度和標准。要重點做好以下幾方面工作:一是要加強關鍵信息基礎設施保護工作的統籌,強化頂層設計和整體防護,避免多頭分散、各自為政的情況發生。二是要建立完善責任制,政府主要是加強指導監管,關鍵信息基礎設施運營者要承擔起保護的主體責任。三是要加強對從業人員的網絡安全教育、技術培訓和技能考核,切實提高網絡安全意識和水平。四是要做好網絡安全信息共享、應急處置等基礎性工作,提昇關鍵信息基礎設施保護能力。五是要加強關鍵信息基礎設施保護中的國際合作。
問:《網絡安全法》規定關鍵信息基礎設施運營者在中華人民共和國境內收集產生的個人信息和重要數據應當在境內存儲。這種規定會不會限制數據跨境流動,影響國際貿易?
答:《網絡安全法》做出這樣的規定,目的是為了維護國家網絡安全,保護人民群眾利益。落實法律要求,要把握以下幾點:1.這是對關鍵信息基礎設施運營者提出的要求,而不是對所有網絡運營者的要求。2.不是所有的數據,只限於個人信息和重要數據,這裡的重要數據是對國家而言,而不是針對企業和個人。3.對於確需出境的數據,法律作了制度上的安排,經過安全評估認為不會危害國家安全和社會公共利益的,可以出境。4.經個人信息主體同意的,個人信息可以出境。特別要說明的是,撥打國際電話、發送國際電子郵件、通過互聯網跨境購物以及其他個人主動行為,視為已經個人信息主體同意。
《網絡安全法》關於數據境內留存和出境評估的規定,不是要阻止數據跨境流動,更不是要限制國際貿易。當今數據跨境流動已經成為經濟全球化的前提,是推進『一帶一路』建設的必要條件,我們願同各國就此問題開展交流合作,共同促進數據依法有序自由跨境流動,充分保障個人信息安全和國家網絡安全。
問:《網絡產品和服務安全審查辦法(試行)》已經正式發布,這個辦法的實施會不會給國外企業帶來不公平待遇,形成事實上的技術壁壘?
答:《網絡產品和服務安全審查辦法(試行)》規定,對可能影響國家安全的網絡產品和服務進行安全審查,其目的是提高網絡產品和服務的安全可控水平,防范供應鏈安全風險,維護國家安全和公共利益。
安全審查的重點是產品和服務的安全性、可控性,包括產品被非法控制、乾擾和中斷運行的風險,產品提供者非法收集用戶信息的風險等。
安全審查不針對特定國家和地區,沒有國別差異,審查不會歧視國外技術和產品,不會限制國外產品進入中國市場。相反,安全審查會提高消費者對使用產品的信心,擴大企業市場空間。
問:《網絡安全法》規定,『網絡關鍵設備和網絡安全專用產品應當按照相關國家標准的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後,方可銷售或者提供』,請問這條如何執行?
答:國家互聯網信息辦公室、工業和信息化部、公安部、國家認監委即將發布第一批網絡關鍵設備和網絡安全專用產品目錄。列入這一目錄的設備和產品,應該按照有關國家標准的強制性要求,由具備資格的機構進行認證或檢測。此前,已經按照國家有關規定檢測符合要求或認證合格的,在有效期內無須進行認證或檢測。
問:《網絡安全法》規定,『網絡運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息』,這是否會侵害個人隱私,妨礙網上言論自由?
答:中國堅持積極利用、科學發展、依法管理、確保安全的方針,在推進互聯網發展,加強互聯網管理過程中,充分保障人權和言論自由,充分尊重廣大人民群眾的知情權、參與權、表達權和監督權。同時,也強調任何人、任何機構都應該對自己在網上的言行負責,個人的自由不應以損害他人的自由和社會公共利益為代價,任何人和機構都有義務自覺維護網絡秩序,自覺維護網絡安全。
對這條規定有兩點理解:1.針對的是用戶公開發布的信息,而不是個人通信信息,不會損害個人隱私。2.要求停止傳輸的是違法信息,不存在妨礙言論自由問題。
問:《網絡安全法》要求,采取技術措施和其他必要措施阻斷來源於境外的非法信息的傳播。這一要求是不是意味著要嚴格管控國外網站,限制信息跨境流動?
答:現實世界中,無論是企業還是個人,進入哪個國家就要遵從哪個國家的法律法規要求,違法行為都將受到法律的制裁。網絡空間也不例外,在中國境內網絡上傳播的信息必須符合中國法律法規的規定。
中國堅持依法治網,采取技術措施和其他必要措施阻斷違法信息在境內傳播,是國家網絡空間主權的體現,是維護國家安全和廣大人民群眾利益的客觀要求。我們支持信息跨境自由流動,但這要以不損害他國網絡空間主權為條件,阻斷違法信息進入本國網絡空間與支持信息跨境自由流動不矛盾。
問:《網絡安全法》提出要推廣安全可信的網絡產品和服務,『安全可信』是什麼含義?
答:安全可信與自主可控、安全可控一樣,至少包括以下三個方面含義:
一是保障用戶對數據可控,產品或服務提供者不應該利用提供產品或服務的便利條件非法獲取用戶重要數據,損害用戶對自己數據的控制權;
二是保障用戶對系統可控,產品或服務提供者不應通過網絡非法控制和操縱用戶設備,損害用戶對自己所擁有、使用設備和系統的控制權;
三是保障用戶的選擇權,產品和服務提供者不應利用用戶對其產品和服務的依賴性,限制用戶選擇使用其他產品和服務,或停止提供合理的安全技術支持,迫使用戶更新換代,損害用戶的網絡安全和利益。
安全可信沒有國別和地區差異,國內外企業和產品都應該符合安全可信的要求。
