2017年6月1日���,《中華人民共和國網(wǎng)絡安全法》正式實施�。作為我國互聯(lián)網(wǎng)領域第一部專門法律,《網(wǎng)絡安全法》申明了網(wǎng)絡主權原則��,建立了關鍵信息基礎設施保護制度�,明確了互聯(lián)網(wǎng)信息內(nèi)容管理部門、網(wǎng)絡運營者與個人在網(wǎng)絡安全保護領域的權利與義務��,進一步完善了個人信息保護規(guī)則��,并為構建網(wǎng)絡安全法律法規(guī)體系提供了基礎性依據(jù)。五年來�,《網(wǎng)絡安全法》取得了以下成效。
第一���,以網(wǎng)安法為基礎構建的網(wǎng)絡安全法規(guī)體系逐漸健全����。在網(wǎng)絡信息內(nèi)容治理領域�,網(wǎng)安法與《網(wǎng)絡信息內(nèi)容生態(tài)治理規(guī)定》、《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定》等法規(guī)有效打擊了網(wǎng)絡傳播違法不良信息行為�,規(guī)范了網(wǎng)絡信息服務提供者的運營行為。在個人信息保護領域�,網(wǎng)安法與《民法典》、《個人信息保護法》���、《數(shù)據(jù)安全法》�、《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》等法律法規(guī)為隱私權與個人信息權益提供法律保障����。在數(shù)據(jù)安全領域�,網(wǎng)安法與《數(shù)據(jù)安全法》、《區(qū)塊鏈信息服務管理規(guī)定》��、《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》等法律法規(guī)共同構建了兼顧維護數(shù)據(jù)安全與促進數(shù)據(jù)流動的平衡機制。第二����,網(wǎng)絡安全治理的社會參與更加廣泛,全國各級網(wǎng)絡舉報部門受理舉報數(shù)量由2017年的5263.9萬件上升為2020年的16319.2萬件����。第三,互聯(lián)網(wǎng)信息內(nèi)容管理部門開展的網(wǎng)絡空間治理專項活動規(guī)范化提升����,治理能力不斷加強。在執(zhí)法依據(jù)上�,互聯(lián)網(wǎng)領域法律與互聯(lián)網(wǎng)細分領域配套制度逐步建立,進一步規(guī)范和保障了互聯(lián)網(wǎng)信息內(nèi)容管理部門依法履行行政執(zhí)法職責��。在治理主體上��,國家網(wǎng)信辦積極與國家工業(yè)和信息化部等部門合作���,多部門聯(lián)合推進《網(wǎng)絡安全法》實施落地�,積極構建協(xié)同聯(lián)動的網(wǎng)絡安全保障體系����。此外�,國家網(wǎng)信辦還通過政企聯(lián)動����、行業(yè)自治引導企業(yè)增強自治意識,督促企業(yè)履行社會責任��,提高了監(jiān)管效能��。
武漢大學網(wǎng)絡安全學院將以關鍵信息基礎設施����、網(wǎng)絡信息與跨境數(shù)據(jù)流動中的網(wǎng)絡安全保護、網(wǎng)絡安全信息共享制度以及相應法律責任為切入���,介紹我國以網(wǎng)安法為基礎構建的兼顧網(wǎng)絡安全保護與促進信息流動的平衡機制��。
一����、關鍵信息基礎設施的網(wǎng)絡安全保護
依據(jù)《網(wǎng)絡安全法》第31條對關鍵信息基礎設施的定義��,可以界明關鍵信息基礎設施的范圍����。關鍵信息基礎設施包括可能影響國家安全、公共安全��、國計民生的基礎網(wǎng)絡�,重要信息系統(tǒng),政務網(wǎng)絡�,以及可能影響國家安全數(shù)據(jù)所在的信息系統(tǒng)。依據(jù)《國家網(wǎng)絡安全操作指南》對《網(wǎng)絡安全法》第三十一條的進一步細化規(guī)定��,可以根據(jù)基礎設施的不同性質(zhì)將其劃分為網(wǎng)站類�、平臺類以及業(yè)務生產(chǎn)類三大類,再對不同大類下所涉及的不同生產(chǎn)生活的方面進行細分規(guī)定�。具體類別如下圖所示:
關鍵信息基礎設施的法律主體包括參與到保護過程中,享受監(jiān)督�、安全審查、應急演練等權利的管理者和承擔安全保護管理義務的運營者���,依據(jù)《網(wǎng)絡安全法》的規(guī)定�,關鍵信息基礎設施制度的法律主體范圍以及相應的權利義務內(nèi)容如下�。
關鍵信息基礎設施的管理者是指具備管理關鍵信息基礎設施義務的國家行政機關。關鍵信息基礎設施保護制度以頂層設計����、整體防護、統(tǒng)籌協(xié)調(diào)、分工負責為原則�。其中頂層設計就是由國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào),國務院電信主管部門�、公安部門和國務院標準化行政主觀部門等分工負責。而《關鍵信息基礎設施保護條例》將分工部門又增加了國家安全���、國家保密行政管理和國家秘密管理等部門���。管理者作為進行頂層設計的國家行政機關部門,占據(jù)著基礎設施運行管理法律關系的主導地位��,依據(jù)《網(wǎng)絡安全法》中的相關規(guī)定��,管理者主要享受下列權利:管理權��、執(zhí)法權���、司法權���、監(jiān)督權、建設整改權����。
關鍵信息基礎設施的運營者作為重要的參與者����,保障著基礎設施�、網(wǎng)絡平臺���、產(chǎn)品服務的信息數(shù)據(jù)的安全����,責任重大�。《網(wǎng)絡安全法》中對于運營者應當承擔的義務作出了以自愿承擔為原則的規(guī)定���,其中表明�,除了法定主體以外����,其他自愿參與關鍵信息基礎設施保護的主體,包括企業(yè)���,人民群體等�,都可以成為保護制度主體的一份子����。關鍵信息基礎設施的運營者由于參與者的身份具有多樣性����,其中包括關鍵信息基礎設施的所有者���、管理者和網(wǎng)絡服務提供者�。所以依據(jù)他們的不同參與身份而享有不同方向和領域的權利和義務���,其中拋棄他們之間的差異性����,而應當共同享有的群里主要包括:關鍵信息基礎設施的所有權���、運營管理的參與權�,監(jiān)督意見權���、監(jiān)測評估權��、相關信息收集使用權等��。
近年來��,全球范圍內(nèi)針對關鍵信息基礎設施的網(wǎng)絡攻擊時間逐年攀升���,����,各國網(wǎng)絡安全保障措施雖然頗有成效但依然難以地域外部風險�。關鍵信息基礎設施一旦遭到破壞���,影響范圍廣�,對于經(jīng)濟發(fā)展�、政治安全和國家安全都可能帶來嚴重危害。加強關鍵信息基礎設施保護��,強化關鍵信息基礎設施保護能力����,防范關鍵信息基礎設施安全風險對于國家網(wǎng)絡安全具有重要意義。
以金融基礎設施為例���,近年來銀行業(yè)金融機構是網(wǎng)絡攻擊的重災區(qū)����,尤其信息泄漏、黑客攻擊呈高發(fā)態(tài)勢����,如影響全球金融業(yè)的“SWIFT驚天銀行大劫案”、2013年2月 2 月中國人壽 80 萬名客戶個人保單信息泄露事件等等����,銀行業(yè)及金融機構的網(wǎng)絡安全態(tài)勢非常嚴峻。因此���,《網(wǎng)絡安全法》中明確指出金融機構是關鍵信息基礎設施的運營者�,一方面����,突出了金融行業(yè)的戰(zhàn)略地位和價值,另一方面�,也明確了金融機構做好自身網(wǎng)絡安全工作的義務和責任。
自《網(wǎng)絡安全法》落地以來��,隨著國家對金融基礎設施安全和金融消費者權益保護的重視��,相關的法律法規(guī)陸續(xù)出臺���,形成了包括個人信息保護�、金融信息處理與跨境傳輸合規(guī)、網(wǎng)絡安全等級保護����、網(wǎng)絡及數(shù)據(jù)安全審查、金融消費者權益保護���、金融信息保護內(nèi)控制度在內(nèi)六個方面的制度組合����,向金融行業(yè)相關機構施加了嚴格的信息及數(shù)據(jù)安全方面的合規(guī)義務���,從而預防金融行業(yè)網(wǎng)絡安全風險。
二��、網(wǎng)絡信息安全保護
《網(wǎng)絡安全法》與《個人信息保護法》等法律法規(guī)除了賦予私人就個人信息權益受侵害提起民事訴訟的權利��,還賦予檢察機關在公民個人信息遭受損害時提起民事公益訴訟的權力��。檢察機關聚焦網(wǎng)絡時代公民個人信息保護更高需求���,依法履行公益訴訟檢察職能����,堅決維護個人信息安全。2021年檢察機關共辦理個人信息保護領域公益訴訟案件2000余件��,同比上升近3倍�。
2021年8月通過的《個人信息保護法》專設公益訴訟條款,明確將個人信息保護納入檢察公益訴訟法定領域���。檢察機關在辦案中發(fā)現(xiàn)��,當前個人信息保護面臨四個突出問題�,須加強綜合治理�。一是利用手機App等違規(guī)收集個人信息問題突出,存在強制授權����、過度索權、超范圍收集個人信息等情況����。2021年,檢察機關共辦理網(wǎng)絡侵害個人信息公益訴訟案件800余件��,同比上升約1.7倍��。二是特定群體個人信息需要加大保護力度,未成年人���、老年人等群體防范意識薄弱����,更易成為個人信息侵害的對象����。三是個人信息泄露導致騷擾電話和電信網(wǎng)絡詐騙風險。四是個人信息保護監(jiān)管合力不足�。個人信息保護涉及對象多、領域廣�,多個部門職責交叉或者職權定位不夠明晰,亟須形成監(jiān)管合力����。
下一步���,檢察機關將繼續(xù)加大公益訴訟辦案力度�,推動個人信息保護法落地落實�。一是突出保護重點,聚焦重點人員��、重點領域,為個人信息安全保駕護航�。具體而言,在保護重點上��,嚴格保護生物識別�、宗教信仰、特殊身份���、醫(yī)療健康�、金融賬號�、行蹤軌跡等敏感個人信息;在保護對象上��,特別保護兒童�、婦女、殘疾人�、老年人、軍人等特定群體的個人信息����;在保護領域上,重點保護教育����、醫(yī)療�、就業(yè)����、養(yǎng)老、消費等領域處理的個人信息以及涉100萬人以上的大規(guī)模個人信息��,同時精準保護因時間���、空間等聯(lián)結形成的特定對象的個人信息��。二是強化檢察機關內(nèi)部銜接配合����,充分發(fā)揮檢察一體化辦案優(yōu)勢���,積極應對個人信息公益損害網(wǎng)絡化�。檢察機關將繼續(xù)暢通內(nèi)部線索審查移送機制����,注重在涉及個人信息保護的刑事��、民事����、行政檢察案件中同步發(fā)現(xiàn)公益訴訟案件線索��,加強全流程����、全鏈條保護�,實現(xiàn)懲治違法和保護公益的多重效果。三是形成個人信息保護監(jiān)管合力����。檢察機關將加強與網(wǎng)信、工信����、公安、市場監(jiān)管���、教育等職能部門在線索移送�、信息共享����、專業(yè)咨詢、辦案輔助等方面的協(xié)作配合����,健全行政執(zhí)法與公益訴訟檢察銜接機制���,積極穩(wěn)妥辦理涉及網(wǎng)絡黑灰產(chǎn)、數(shù)據(jù)安全的重大網(wǎng)絡侵害類公益訴訟案件��。兵器��,檢察機關還加強與法院的溝通協(xié)調(diào)���,深化個人信息保護公益訴訟制度探索����。此外��,檢察機關還將通過提出檢察建議等方式��,督促相關單位或部門采取有效防范措施�,筑牢個人信息保護“防火墻”。
三����、跨境數(shù)據(jù)流動中的網(wǎng)絡安全保護
在經(jīng)濟貿(mào)易全球化的背景下,跨境數(shù)據(jù)流動不斷加速����,在發(fā)揮著降低企業(yè)成本、盤活線上跨境交易����、支撐企業(yè)國際運營、促進國際執(zhí)法合作等積極作用的同時����,也對各國的國家安全、產(chǎn)業(yè)發(fā)展和個人的隱私保護等造成了威脅���。例如����,近年來科技巨頭濫用數(shù)據(jù)����、境外暗網(wǎng)售賣個人數(shù)據(jù)等惡性事件層出不窮,2013年的“棱鏡門事件”更是引發(fā)了世界關注���,讓世界各國深刻地認識到跨境數(shù)據(jù)流動會給國家安全與個人隱私帶來巨大風險�,進而推動了全球跨境數(shù)據(jù)流動研究和立法潮流�。我國在國家安全主視角下���,數(shù)據(jù)跨境流動規(guī)則體系日漸完善,監(jiān)管力度逐步加強���,目前我國主要從個人信息����、重要數(shù)據(jù)���、國家秘密���、行業(yè)數(shù)據(jù)以及出口管制、境外調(diào)取進行多維度的跨境活動監(jiān)管�。
回溯我國數(shù)據(jù)跨境流動的法律體系構建過程,從最初的《網(wǎng)絡安全法》中對個人信息和重要數(shù)據(jù)的跨境行為規(guī)范��,到立法活動更多落腳于個人信息方向���。隨著數(shù)字經(jīng)濟發(fā)展���,數(shù)據(jù)作為生產(chǎn)要素不僅關涉到個人隱私安全,部分重要數(shù)據(jù)可能會對于國家安全造成影響,我國隨即出臺《數(shù)據(jù)安全法》等相關法律法規(guī)對重要數(shù)據(jù)的跨境活動進行規(guī)制����。各個行業(yè)監(jiān)管部門也在相關法律指引下��,針對各自領域的敏感數(shù)據(jù)�、重要數(shù)據(jù)進行跨境流動行為規(guī)范。
具體而言���,我國對于數(shù)據(jù)跨境主要從兩個維度進行規(guī)制�,一是本地化限制�,按照目前中國相關法律法規(guī),本地化要求更多適用于關鍵信息基礎設施運營者(“CIIO”)����,要求其在境內(nèi)運營過程中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)都應當在境內(nèi)進行存儲。同時部分行業(yè)敏感數(shù)據(jù)也存在分散的本地化要求����,包括但不限于征信業(yè)、銀行業(yè)�、汽車制造業(yè)等接觸敏感數(shù)據(jù)、重要數(shù)據(jù)較為頻繁的領域��。二是限制性數(shù)據(jù)跨境��,我國目前對于數(shù)據(jù)跨境活動主要采取限制性規(guī)范,要求數(shù)據(jù)控制主體在數(shù)據(jù)跨境活動前需符合法律規(guī)定條件或按照規(guī)定完成安全評估���、保護認證等條件���。
通觀我國和全球主要國家和地區(qū)數(shù)據(jù)跨境流動治理模式與規(guī)制規(guī)則,跨境數(shù)據(jù)流動治理已經(jīng)成為經(jīng)濟發(fā)展和時代發(fā)展的必然要求����,全球數(shù)據(jù)跨境治理正處于高速發(fā)展階段,數(shù)據(jù)跨境流動背后不僅為數(shù)據(jù)安全風險��,更是逐步涉及國家競爭問題��。自我國《網(wǎng)絡安全法》頒布的五年以來����,我國緊隨國際數(shù)據(jù)流動治理熱潮,在總體國家安全觀視角下結合國家現(xiàn)實需求搭建了較為完善的中國特色的數(shù)據(jù)治理體系����,通過各項跨境數(shù)據(jù)領域的法律法規(guī)的不斷完善以促進公民權益、經(jīng)濟發(fā)展��、國家安全等目標的有機協(xié)同,在飛速發(fā)展與安全保障中找到可實現(xiàn)數(shù)據(jù)價值最大化的平衡點�。
四、網(wǎng)絡安全信息共享制度的完善
近年來來自境內(nèi)外網(wǎng)絡安全威脅問題的日益嚴峻����,通過建立網(wǎng)絡安全信息共享機制這一方式提高主體防御網(wǎng)絡風險的能力、最小化網(wǎng)絡攻擊的損害后果����,同時降低安全維護成本�,成為系統(tǒng)性構筑我國網(wǎng)絡安全堡壘的一大舉措。
我國《網(wǎng)絡安全法》第三十九條中規(guī)定“促進有關部門����、關鍵信息基礎設施的運營者以及有關研究機構、網(wǎng)絡安全服務機構等之間的網(wǎng)絡安全信息共享”��,這是“網(wǎng)絡安全信息共享”首次以立法的形式展現(xiàn)并對此作出了原則性規(guī)定��。而2021年9月1日起施行的《關鍵信息基礎設施安全保護條例》第二十三條明確規(guī)定“國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關部門建立網(wǎng)絡安全信息共享機制��,及時匯總����、研判、共享、發(fā)布網(wǎng)絡安全威脅����、漏洞、事件等信息���,促進有關部門�、保護工作部門���、運營者以及網(wǎng)絡安全服務機構等之間的網(wǎng)絡安全信息共享”�,試圖以關鍵信息基礎設施為切入口���,逐步構建我國網(wǎng)絡安全信息共享機制�。全國信息安全標準化技術委員會日前發(fā)布了《信息安全技術 網(wǎng)絡安全信息共享指南》(征求意見稿)����,試圖進一步規(guī)范網(wǎng)絡安全信息共享的具體措施,打通網(wǎng)絡安全信息共享的技術壁壘����。
網(wǎng)絡安全信息共享制度建設是法治國家面對當前嚴峻的網(wǎng)絡安全形勢所做出的理性選擇。此種風險社會多利益主體協(xié)同共治的模式��,在結合中國的實際情況的基礎上,能夠有效發(fā)展網(wǎng)絡安全信息共享戰(zhàn)略�,不斷優(yōu)化網(wǎng)絡空間安全環(huán)境,及時增強應對網(wǎng)絡安全威脅的能力����。
五、法律責任
《網(wǎng)絡安全法》為未履行網(wǎng)絡運行安全義務��、未履行網(wǎng)絡產(chǎn)品和服務安全義務以及違反用戶身份管理規(guī)定����、違法開展網(wǎng)絡安全服務活動、實施危害網(wǎng)絡安全行為��、侵犯個人信息權利�、違反關鍵信息基礎設施采購國家安全審查規(guī)定�、違反關鍵信息基礎設施數(shù)據(jù)境內(nèi)存儲和對外提供規(guī)定、利用網(wǎng)絡從事與違法犯罪相關的活動等違法行為規(guī)定了一系列行政責任���。刑法第二百八十五條至第二百八十七條以及刑法第二百五十三條之一��,規(guī)定了非法侵入計算機信息系統(tǒng)���、破壞計算機信息系統(tǒng)�、拒不履行信息網(wǎng)絡安全管理義務���、非法利用信息網(wǎng)絡����、幫助信息網(wǎng)絡犯罪活動以及侵犯公民個人信息權益的刑事責任��?���!秱€人信息保護法》與《民法典》規(guī)定了侵犯公民個人信息的民事責任。在各部門法的協(xié)作下�,我國已構建起完整的保障網(wǎng)絡安全的法律責任體系。
以拒不履行網(wǎng)絡安全管理義務罪為例�,其是指網(wǎng)絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡安全管理義務����,經(jīng)監(jiān)管部門責令采取改正措施而拒不改正,致使違法信息大量傳播的�、或致使用戶信息泄露,造成嚴重后果的����、或致使刑事案件證據(jù)滅失�,情節(jié)嚴重的行為��?!毒W(wǎng)絡安全法》基于國家總體安全觀,為網(wǎng)絡運營者����、網(wǎng)絡產(chǎn)品或者服務的提供者構建了系統(tǒng)且完備的網(wǎng)絡安全管理義務體系,對于違反《網(wǎng)絡安全法》相關義務構成犯罪的�,依法追究刑事責任。拒不履行信息網(wǎng)絡安全管理義務罪的適用正是貫徹落實《網(wǎng)絡安全法》��、構建我國網(wǎng)絡安全法律保障體系的重要環(huán)節(jié)���。與此同時�,拒不履行信息網(wǎng)絡安全管理義務罪為相關主體設置了在特定條件下可得出罪的條件��,這一特殊立法模式也體現(xiàn)了在回應網(wǎng)絡安全保護的現(xiàn)實需求下���,立法者對于兼顧網(wǎng)絡產(chǎn)業(yè)長遠發(fā)展的謹慎考量。其目的是促使互聯(lián)網(wǎng)企業(yè)能夠更加自主�、規(guī)范地開展業(yè)務,履行自身的社會義務��。在日新月異的網(wǎng)絡產(chǎn)業(yè)發(fā)展面前,拒不履行信息網(wǎng)絡安全管理義務罪一方面為確保網(wǎng)絡運營者的義務履行提供了有力的法律保障�,另一方面也為他們更好地構建自身刑事合規(guī)體系留下了一定的時間和空間。
由此可見�,《網(wǎng)絡安全法》落地五年來,通過不斷健全完善網(wǎng)絡安全法律制度�、加強網(wǎng)絡安全領域執(zhí)法力度與協(xié)作,取得了一系列實施成就���,構建了切實有效的網(wǎng)絡安全保障體系���,為我國數(shù)字經(jīng)濟高質(zhì)高效發(fā)展提供了堅實基礎。(光明網(wǎng))
編輯:李雪彤
