2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》(以下简称《网络安全法》),2017年6月1日起正式实施。《网络安全法》是2015年7月1日颁布施行的《中华人民共和国国家安全法》在网络空间的具体化,是我国第一部网络安全领域的基本法律,也是落实国家总体安全观的专门法律。《网络安全法》确立了一个国家网络空间安全治理的基本框架,明确了网络空间安全治理的具体目标和任务,以法律形式规定了网络空间的安全边界,是依法治国的重要体现,对保障我国网络空间安全与发展具有重大意义。
1、首次以法律形式定义网络数据的概念
《网络安全法》是我国第一部全面规范网络空间安全管理的法律,首次将“网络数据”概念界定为“通过网络收集、存储、传输、处理和产生的各种电子数据”,并将网络范围规定为“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的网络和系统”。总体来看,《网络安全法》扩大了网络数据的范围,对网络数据的表述涵盖了包括个人信息数据在内的多种数据内容,与当前数据管理需求相适应。
2、明确国家实行网络安全等级保护制度
《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度,将网络安全分为五个等级,级别越高,国家网络安全监管部门介入强度越大。在此基础上,要求重要数据须采取备份或加密措施,网络运营者应按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或被窃取、篡改。
(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。
(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。
(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
(4)采取数据分类、重要数据备份和加密等措施。
(5)法律、行政法规规定的其他义务。
在《网络安全法》颁布前,我国已经实行信息系统安全等级保护制度。在《网络安全法》实施后,其确立的网络安全等级保护制度将与信息系统安全等级保护制度实现融合,确保衔接。
3、重点保护关键信息基础设施运行安全
《网络安全法》第三十一条明确规定,“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。按照《网络安全法》,一日被认定为关键信息基础设施,运营者将会承担相应法定责任,具体如下。
(1)关键信息基础设施建设要求(第三十三条)。
(2)关键信息基础设施运营者安全保护义务(第三十四条)。
(3)采购关键信息基础设施产品和服务的国家安全审查要求(第三十五条)。
(4)采购关键信息基础设施产品和服务的保密要求(第三十六条)。
(5)个人信息和重要数据的本地化要求(第三十七条)。
(6)关键信息基础设施的网络安全年度检测评估要求(第三十八条)。
关键信息基础设施安全是保障网络空间安全运行的基础,在网络安全等级保护制度的基础上,《网络安全法》对关键信息基础设施实行重点保护,明确相关的法律要求,确保关键信息基础设施的运行安全。
4、限制数据跨境流动与维护国家数据主权
《网络安全法》第三十七条要求关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有法定的,依照其规定。这里对于重要数据的跨境流动要求仍存在较大的不确定性,具体体现在以下两个方面。
(1)安全评估办法的具体内容和评估程序是否会给相关企业增加合规负担。
(2)制定关键信息基础设施认定和数据跨境传输安全评估相关办法时,如何把握数据安全和商业便利二者间的平衡。
5、部分数据安全问题仍待进一步规制
《网络安全法》并没有对数据进行定义,而是采用“网络数据”和“个人信息”两个概念,未从数据全维度进行安全规范,无法系统解决数据安全保障问题,难以对全流程数据进行有效监管。因此,一些涉及数据安全的问题仍未得到明确和解决,具体包括以下三个方面。
(1)关键信息基础设施范围问题。《网络安全法》制定数据本地化的要求及数据出境安全评估管理制度,这些要求都是围绕关键信息基础设施展开的,比如,要求关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。但是,《网络安全法》并未清晰地划定关键信息基础设施的范围,对关键信息基础设施运营者也没有明确的界定,导致数据本地化的要求被架空。
(2)数据泄露通知问题。数据泄露是数据治理最大的威胁之一。数据泄露通知制度是当前阶段重要的管理制度之一。《网络安全法》提出了数据泄露通知的要求(第四十二条第二款),但是参考国外经验,欧美国家和地区对数据泄露通知制度规定得极为详细,明确了数据泄露通知的条件、程序、主管部门及法律后果。国内数据泄露事件屡屡发生,但是主动履行通知义务的尚不多见。因此,数据泄露通知制度的细化、完善和落地还有很大空间。
(3)数据跨境执法问题。《网络安全法》前瞻性地设计了长臂管辖的条款,其中第七十五条规定:境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。但这条规定不能为我国跨境数据执法提供充分的法律依据,未能明确域外效力。
