2017年6月1日,《中華人民共和國網絡安全法》正式實施。作為我國互聯網領域第一部專門法律,《網絡安全法》申明了網絡主權原則,建立了關鍵信息基礎設施保護制度,明確了互聯網信息內容管理部門、網絡運營者與個人在網絡安全保護領域的權利與義務,進一步完善了個人信息保護規則,並為構建網絡安全法律法規體系提供了基礎性依據。五年來,《網絡安全法》取得了以下成效。
第一,以網安法為基礎構建的網絡安全法規體系逐漸健全。在網絡信息內容治理領域,網安法與《網絡信息內容生態治理規定》、《互聯網信息服務算法推薦管理規定》等法規有效打擊了網絡傳播違法不良信息行為,規范了網絡信息服務提供者的運營行為。在個人信息保護領域,網安法與《民法典》、《個人信息保護法》、《數據安全法》、《關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若乾問題的規定》等法律法規為隱私權與個人信息權益提供法律保障。在數據安全領域,網安法與《數據安全法》、《區塊鏈信息服務管理規定》、《汽車數據安全管理若乾規定(試行)》等法律法規共同構建了兼顧維護數據安全與促進數據流動的平衡機制。第二,網絡安全治理的社會參與更加廣泛,全國各級網絡舉報部門受理舉報數量由2017年的5263.9萬件上昇為2020年的16319.2萬件。第三,互聯網信息內容管理部門開展的網絡空間治理專項活動規范化提昇,治理能力不斷加強。在執法依據上,互聯網領域法律與互聯網細分領域配套制度逐步建立,進一步規范和保障了互聯網信息內容管理部門依法履行行政執法職責。在治理主體上,國家網信辦積極與國家工業和信息化部等部門合作,多部門聯合推進《網絡安全法》實施落地,積極構建協同聯動的網絡安全保障體系。此外,國家網信辦還通過政企聯動、行業自治引導企業增強自治意識,督促企業履行社會責任,提高了監管效能。
武漢大學網絡安全學院將以關鍵信息基礎設施、網絡信息與跨境數據流動中的網絡安全保護、網絡安全信息共享制度以及相應法律責任為切入,介紹我國以網安法為基礎構建的兼顧網絡安全保護與促進信息流動的平衡機制。
一、關鍵信息基礎設施的網絡安全保護
依據《網絡安全法》第31條對關鍵信息基礎設施的定義,可以界明關鍵信息基礎設施的范圍。關鍵信息基礎設施包括可能影響國家安全、公共安全、國計民生的基礎網絡,重要信息系統,政務網絡,以及可能影響國家安全數據所在的信息系統。依據《國家網絡安全操作指南》對《網絡安全法》第三十一條的進一步細化規定,可以根據基礎設施的不同性質將其劃分為網站類、平臺類以及業務生產類三大類,再對不同大類下所涉及的不同生產生活的方面進行細分規定。具體類別如下圖所示:
關鍵信息基礎設施的法律主體包括參與到保護過程中,享受監督、安全審查、應急演練等權利的管理者和承擔安全保護管理義務的運營者,依據《網絡安全法》的規定,關鍵信息基礎設施制度的法律主體范圍以及相應的權利義務內容如下。
關鍵信息基礎設施的管理者是指具備管理關鍵信息基礎設施義務的國家行政機關。關鍵信息基礎設施保護制度以頂層設計、整體防護、統籌協調、分工負責為原則。其中頂層設計就是由國家網信部門負責統籌協調,國務院電信主管部門、公安部門和國務院標准化行政主觀部門等分工負責。而《關鍵信息基礎設施保護條例》將分工部門又增加了國家安全、國家保密行政管理和國家秘密管理等部門。管理者作為進行頂層設計的國家行政機關部門,佔據著基礎設施運行管理法律關系的主導地位,依據《網絡安全法》中的相關規定,管理者主要享受下列權利:管理權、執法權、司法權、監督權、建設整改權。
關鍵信息基礎設施的運營者作為重要的參與者,保障著基礎設施、網絡平臺、產品服務的信息數據的安全,責任重大。《網絡安全法》中對於運營者應當承擔的義務作出了以自願承擔為原則的規定,其中表明,除了法定主體以外,其他自願參與關鍵信息基礎設施保護的主體,包括企業,人民群體等,都可以成為保護制度主體的一份子。關鍵信息基礎設施的運營者由於參與者的身份具有多樣性,其中包括關鍵信息基礎設施的所有者、管理者和網絡服務提供者。所以依據他們的不同參與身份而享有不同方向和領域的權利和義務,其中拋棄他們之間的差異性,而應當共同享有的群裡主要包括:關鍵信息基礎設施的所有權、運營管理的參與權,監督意見權、監測評估權、相關信息收集使用權等。
近年來,全球范圍內針對關鍵信息基礎設施的網絡攻擊時間逐年攀昇,,各國網絡安全保障措施雖然頗有成效但依然難以地域外部風險。關鍵信息基礎設施一旦遭到破壞,影響范圍廣,對於經濟發展、政治安全和國家安全都可能帶來嚴重危害。加強關鍵信息基礎設施保護,強化關鍵信息基礎設施保護能力,防范關鍵信息基礎設施安全風險對於國家網絡安全具有重要意義。
以金融基礎設施為例,近年來銀行業金融機構是網絡攻擊的重災區,尤其信息泄漏、黑客攻擊呈高發態勢,如影響全球金融業的“SWIFT驚天銀行大劫案”、2013年2月 2 月中國人壽 80 萬名客戶個人保單信息泄露事件等等,銀行業及金融機構的網絡安全態勢非常嚴峻。因此,《網絡安全法》中明確指出金融機構是關鍵信息基礎設施的運營者,一方面,突出了金融行業的戰略地位和價值,另一方面,也明確了金融機構做好自身網絡安全工作的義務和責任。
自《網絡安全法》落地以來,隨著國家對金融基礎設施安全和金融消費者權益保護的重視,相關的法律法規陸續出臺,形成了包括個人信息保護、金融信息處理與跨境傳輸合規、網絡安全等級保護、網絡及數據安全審查、金融消費者權益保護、金融信息保護內控制度在內六個方面的制度組合,向金融行業相關機構施加了嚴格的信息及數據安全方面的合規義務,從而預防金融行業網絡安全風險。
二、網絡信息安全保護
《網絡安全法》與《個人信息保護法》等法律法規除了賦予私人就個人信息權益受侵害提起民事訴訟的權利,還賦予檢察機關在公民個人信息遭受損害時提起民事公益訴訟的權力。檢察機關聚焦網絡時代公民個人信息保護更高需求,依法履行公益訴訟檢察職能,堅決維護個人信息安全。2021年檢察機關共辦理個人信息保護領域公益訴訟案件2000餘件,同比上昇近3倍。
2021年8月通過的《個人信息保護法》專設公益訴訟條款,明確將個人信息保護納入檢察公益訴訟法定領域。檢察機關在辦案中發現,當前個人信息保護面臨四個突出問題,須加強綜合治理。一是利用手機App等違規收集個人信息問題突出,存在強制授權、過度索權、超范圍收集個人信息等情況。2021年,檢察機關共辦理網絡侵害個人信息公益訴訟案件800餘件,同比上昇約1.7倍。二是特定群體個人信息需要加大保護力度,未成年人、老年人等群體防范意識薄弱,更易成為個人信息侵害的對象。三是個人信息泄露導致騷擾電話和電信網絡詐騙風險。四是個人信息保護監管合力不足。個人信息保護涉及對象多、領域廣,多個部門職責交叉或者職權定位不夠明晰,亟須形成監管合力。
下一步,檢察機關將繼續加大公益訴訟辦案力度,推動個人信息保護法落地落實。一是突出保護重點,聚焦重點人員、重點領域,為個人信息安全保駕護航。具體而言,在保護重點上,嚴格保護生物識別、宗教信仰、特殊身份、醫療健康、金融賬號、行蹤軌跡等敏感個人信息;在保護對象上,特別保護兒童、婦女、殘疾人、老年人、軍人等特定群體的個人信息;在保護領域上,重點保護教育、醫療、就業、養老、消費等領域處理的個人信息以及涉100萬人以上的大規模個人信息,同時精准保護因時間、空間等聯結形成的特定對象的個人信息。二是強化檢察機關內部銜接配合,充分發揮檢察一體化辦案優勢,積極應對個人信息公益損害網絡化。檢察機關將繼續暢通內部線索審查移送機制,注重在涉及個人信息保護的刑事、民事、行政檢察案件中同步發現公益訴訟案件線索,加強全流程、全鏈條保護,實現懲治違法和保護公益的多重效果。三是形成個人信息保護監管合力。檢察機關將加強與網信、工信、公安、市場監管、教育等職能部門在線索移送、信息共享、專業諮詢、辦案輔助等方面的協作配合,健全行政執法與公益訴訟檢察銜接機制,積極穩妥辦理涉及網絡黑灰產、數據安全的重大網絡侵害類公益訴訟案件。兵器,檢察機關還加強與法院的溝通協調,深化個人信息保護公益訴訟制度探索。此外,檢察機關還將通過提出檢察建議等方式,督促相關單位或部門采取有效防范措施,築牢個人信息保護“防火牆”。
三、跨境數據流動中的網絡安全保護
在經濟貿易全球化的背景下,跨境數據流動不斷加速,在發揮著降低企業成本、盤活線上跨境交易、支橕企業國際運營、促進國際執法合作等積極作用的同時,也對各國的國家安全、產業發展和個人的隱私保護等造成了威脅。例如,近年來科技巨頭濫用數據、境外暗網售賣個人數據等惡性事件層出不窮,2013年的“棱鏡門事件”更是引發了世界關注,讓世界各國深刻地認識到跨境數據流動會給國家安全與個人隱私帶來巨大風險,進而推動了全球跨境數據流動研究和立法潮流。我國在國家安全主視角下,數據跨境流動規則體系日漸完善,監管力度逐步加強,目前我國主要從個人信息、重要數據、國家秘密、行業數據以及出口管制、境外調取進行多維度的跨境活動監管。
回溯我國數據跨境流動的法律體系構建過程,從最初的《網絡安全法》中對個人信息和重要數據的跨境行為規范,到立法活動更多落腳於個人信息方向。隨著數字經濟發展,數據作為生產要素不僅關涉到個人隱私安全,部分重要數據可能會對於國家安全造成影響,我國隨即出臺《數據安全法》等相關法律法規對重要數據的跨境活動進行規制。各個行業監管部門也在相關法律指引下,針對各自領域的敏感數據、重要數據進行跨境流動行為規范。
具體而言,我國對於數據跨境主要從兩個維度進行規制,一是本地化限制,按照目前中國相關法律法規,本地化要求更多適用於關鍵信息基礎設施運營者(“CIIO”),要求其在境內運營過程中收集和產生的個人信息和重要數據都應當在境內進行存儲。同時部分行業敏感數據也存在分散的本地化要求,包括但不限於征信業、銀行業、汽車制造業等接觸敏感數據、重要數據較為頻繁的領域。二是限制性數據跨境,我國目前對於數據跨境活動主要采取限制性規范,要求數據控制主體在數據跨境活動前需符合法律規定條件或按照規定完成安全評估、保護認證等條件。
通觀我國和全球主要國家和地區數據跨境流動治理模式與規制規則,跨境數據流動治理已經成為經濟發展和時代發展的必然要求,全球數據跨境治理正處於高速發展階段,數據跨境流動背後不僅為數據安全風險,更是逐步涉及國家競爭問題。自我國《網絡安全法》頒布的五年以來,我國緊隨國際數據流動治理熱潮,在總體國家安全觀視角下結合國家現實需求搭建了較為完善的中國特色的數據治理體系,通過各項跨境數據領域的法律法規的不斷完善以促進公民權益、經濟發展、國家安全等目標的有機協同,在飛速發展與安全保障中找到可實現數據價值最大化的平衡點。
四、網絡安全信息共享制度的完善
近年來來自境內外網絡安全威脅問題的日益嚴峻,通過建立網絡安全信息共享機制這一方式提高主體防御網絡風險的能力、最小化網絡攻擊的損害後果,同時降低安全維護成本,成為系統性構築我國網絡安全堡壘的一大舉措。
我國《網絡安全法》第三十九條中規定“促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享”,這是“網絡安全信息共享”首次以立法的形式展現並對此作出了原則性規定。而2021年9月1日起施行的《關鍵信息基礎設施安全保護條例》第二十三條明確規定“國家網信部門統籌協調有關部門建立網絡安全信息共享機制,及時匯總、研判、共享、發布網絡安全威脅、漏洞、事件等信息,促進有關部門、保護工作部門、運營者以及網絡安全服務機構等之間的網絡安全信息共享”,試圖以關鍵信息基礎設施為切入口,逐步構建我國網絡安全信息共享機制。全國信息安全標准化技術委員會日前發布了《信息安全技術 網絡安全信息共享指南》(征求意見稿),試圖進一步規范網絡安全信息共享的具體措施,打通網絡安全信息共享的技術壁壘。
網絡安全信息共享制度建設是法治國家面對當前嚴峻的網絡安全形勢所做出的理性選擇。此種風險社會多利益主體協同共治的模式,在結合中國的實際情況的基礎上,能夠有效發展網絡安全信息共享戰略,不斷優化網絡空間安全環境,及時增強應對網絡安全威脅的能力。
五、法律責任
《網絡安全法》為未履行網絡運行安全義務、未履行網絡產品和服務安全義務以及違反用戶身份管理規定、違法開展網絡安全服務活動、實施危害網絡安全行為、侵犯個人信息權利、違反關鍵信息基礎設施采購國家安全審查規定、違反關鍵信息基礎設施數據境內存儲和對外提供規定、利用網絡從事與違法犯罪相關的活動等違法行為規定了一系列行政責任。刑法第二百八十五條至第二百八十七條以及刑法第二百五十三條之一,規定了非法侵入計算機信息系統、破壞計算機信息系統、拒不履行信息網絡安全管理義務、非法利用信息網絡、幫助信息網絡犯罪活動以及侵犯公民個人信息權益的刑事責任。《個人信息保護法》與《民法典》規定了侵犯公民個人信息的民事責任。在各部門法的協作下,我國已構建起完整的保障網絡安全的法律責任體系。
以拒不履行網絡安全管理義務罪為例,其是指網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,致使違法信息大量傳播的、或致使用戶信息泄露,造成嚴重後果的、或致使刑事案件證據滅失,情節嚴重的行為。《網絡安全法》基於國家總體安全觀,為網絡運營者、網絡產品或者服務的提供者構建了系統且完備的網絡安全管理義務體系,對於違反《網絡安全法》相關義務構成犯罪的,依法追究刑事責任。拒不履行信息網絡安全管理義務罪的適用正是貫徹落實《網絡安全法》、構建我國網絡安全法律保障體系的重要環節。與此同時,拒不履行信息網絡安全管理義務罪為相關主體設置了在特定條件下可得出罪的條件,這一特殊立法模式也體現了在回應網絡安全保護的現實需求下,立法者對於兼顧網絡產業長遠發展的謹慎考量。其目的是促使互聯網企業能夠更加自主、規范地開展業務,履行自身的社會義務。在日新月異的網絡產業發展面前,拒不履行信息網絡安全管理義務罪一方面為確保網絡運營者的義務履行提供了有力的法律保障,另一方面也為他們更好地構建自身刑事合規體系留下了一定的時間和空間。
由此可見,《網絡安全法》落地五年來,通過不斷健全完善網絡安全法律制度、加強網絡安全領域執法力度與協作,取得了一系列實施成就,構建了切實有效的網絡安全保障體系,為我國數字經濟高質高效發展提供了堅實基礎。(武漢大學供稿)
