每日财经播报

網路安全2017年度盤點丨互聯網法律觀察


摘要:【摘要】不容置疑,「網路安全」是2017年中國互聯網法律政策領域的熱詞。不容置疑,「網路安全」是2017年中國互聯網法律政策領域的熱詞。如果說2016年度的網路安全集中在信息安全監管的輿論和方向角度(

【摘要】不容置疑,「網路安全」是2017年中國互聯網法律政策領域的熱詞。

網路安全2017年度盤點丨互聯網法律觀察

不容置疑,「網路安全」是2017年中國互聯網法律政策領域的熱詞。如果說2016年度的網路安全集中在信息安全監管的輿論和方向角度(詳見享法:2016年度國內互聯網信息安全監管大事記,2017年度的網路安全大事件則包括戰略、法規、標準和執法多維度看點:確立網路主權概念進而發布網路問題國際戰略;以《網路安全法》為核心打造全方位法律監管體系和合規要求;國家標準委逐項落地網路安全各領域標準化體系;監管部門落實網路安全執法檢查。

一、中國首度就網路問題發布國際戰略

2017年3月1日,外交部和國家互聯網信息辦公室共同發布《網路空間國際合作戰略》。這是中國首度就網路問題發布國際戰略。《網路空間國際合作戰略》以和平發展為主題,以合作共贏為核心,倡導和平、主權、共治、普惠作為網路空間國際交流與合作的基本原則,確立了維護主權與安全、構建國際規則體系、促進互聯網公賓士理、保護公民合法權益、促進全球數字經濟合作、打造網上文化交流平台文化等中國參與網路空間國際合作的六大戰略目標。

二、以《網路安全法》為核心打造全方位法律監管體系和合規要求

1. 《網路安全法》正式實施

2017年6月1日,《網路安全法》正式實施。網路安全法共七章七十九條,內容上突出六大亮點:

√ 明確網路空間主權的原則;

√ 明確網路產品和服務提供者的安全義務;

√ 明確網路運營者的安全義務;

√ 完善個人信息保護規則;

√ 建立關鍵信息基礎設施安全保護制度;

√ 確立關鍵信息基礎設施重要數據跨境傳輸的規則。

2. 配套:關於個人信息與重要數據保護

2017年4月11日,國家互聯網信息辦公室就《個人信息和重要數據出境安全評估辦法(徵求意見稿)》公開徵求意見,內容共十八條。 本辦法對「網路運營者」、「數據出境」、「個人信息」和「重要數據」明確定義。強調網路運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據,應當在境內存儲。因業務需要,確需向境外提供的,應當按照有關規定進行安全評估。《評估辦法》規定了自行評估和監管評估兩種評估程序。

2017年5月8日,最高人民法院、最高人民檢察院聯合發布《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(「《解釋》」,自2017年6月1日起施行)。《解釋》共十三條,明確了「公民個人信息」的界定範圍,將財產狀況、行蹤軌跡等明確列入公民個人信息範疇;明確了侵犯公民個人信息的定罪量刑標準,區分三類信息分別適用「五十條」「五百條」和「五千條」標準認定「情節嚴重」;造成被害人死亡、重傷、精神失常或者被綁架等嚴重後果或造成重大經濟損失或者惡劣社會影響等情形均屬刑法第二百五十三條第一款規定的「情節特別嚴重」。

3. 配套:關於網路產品和服務安全

2017年5月2日,國家互聯網信息辦公室發布《網路產品和服務安全審查辦法(試行)》(「《審查辦法》」),自2017年6月1日起實施。《審查辦法》內容包括網路安全審查的範圍、審查的內容、審查機構、網路產品和服務提供者的權利和義務及法律責任等方面。《審查辦法》明確要求關係國家安全的網路和信息系統採購的重要網路產品和服務,應當經過網路安全審查。 網路安全審查重點審查網路產品和服務的安全性、可控性。

2017年6月8日,工業和信息化部就《互聯網新業務安全評估管理辦法(徵求意見稿)》公開徵求意見。本管理辦法規定中華人民共和國境內的電信業務經營者擬將互聯網新業務,即電信業務經營者通過互聯網新開展其已取得經營許可的電信業務,或者通過互聯網運用新技術試辦未列入《電信業務分類目錄》的新型電信業務,面向社會公眾上線的(含合作推廣、試點、商用試驗)的,應當按照電信管理機構有關規定和互聯網新業務安全評估標準,從用戶個人信息保護、網路安全防護、網路信息安全、建立健全相關管理制度等方面,開展互聯網新業務安全評估。

4. 配套:關於關鍵信息基礎設施安全保護

2017年7月10日,國家互聯網信息辦公室就《關鍵信息基礎設施安全保護條例(徵求意見稿)》公開徵求意見。《關鍵信息基礎設施安全保護條例(徵求意見稿)》規定哪些重點單位運行、管理的網路設施和信息系統,一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的,應當納入關鍵信息基礎設施保護範圍。關鍵信息基礎設施的運營者對本單位關鍵信息基礎設施安全負主體責任,履行網路安全保護義務,接受政府和社會監督,承擔社會責任。關鍵信息基礎設施在網路安全等級保護制度基礎上,實行重點保護。

5. 配套:關於網路安全威脅監測與應急預案

2017年1月10日,中央網信辦印發《國家網路安全事件應急預案》。本預案並將網路安全事件分為四級:特別重大網路安全事件、重大網路安全事件、較大網路安全事件、一般網路安全事件。網路安全事件應急響應分為四級,分別對應特別重大、重大、較大和一般網路安全事件,I級為最高響應級別。網路安全事件應急處置工作實行責任追究制。

2017年8月9日,工信部印發《公共互聯網網路安全威脅監測與處置辦法》,自2018年1月1日起實施。《公共互聯網網路安全威脅監測與處置辦法》明確界定了公共互聯網網路安全威脅的範圍,並要求相關專業機構、基礎電信企業、網路安全企業、互聯網企業、域名註冊管理和服務機構等監測發現網路安全威脅后,屬於本單位自身問題的,應當立即進行處置,涉及其他主體的,應當及時將有關信息按照規定的內容要素和格式提交至工信部和各地電信管理部門。

2017年11月14日,工業和信息化部發布《公共互聯網網路安全突發事件應急預案》(「《應急預案》」)。《應急預案》共9條,明確了公共互聯網網路安全突發事件分級(特大、重大、較大和一般網路安全事件)、監測預警(I-IV級)、應急處置、預防與應急準備、保障措施等內容。在啟動I級、II級響應后,針對大規模用戶信息泄露事件,事發單位應根據要求及時告知受影響的用戶,並告知用戶減輕危害的措施。

6. 配套:關於網路信息安全

國家互聯網信息辦公室分別頒布了如下管理規定,針對不同網路信息發布形式和特點加強信息安全管理:

2017年5月2日頒布《互聯網新聞信息服務管理規定》,6月1日實施;

2017年8月25日頒布《互聯網論壇社區服務管理規定》

2017年8月25日頒布《互聯網跟帖評論服務管理規定》

2017年9月7日頒布《互聯網群組信息服務管理規定》

2017年9月7日頒布《互聯網用戶公眾賬號信息服務管理規定》

三、國家標準委逐項落地網路安全各領域標準化體系

2016年8月所發布的《關於加強國家網路安全標準化工作的若干意見》在2017年度得到了實質性進展,在國家標準委領導下,全國信息安全標準化技術委員會分別就2017年度內網路安全法所涉及的信息安全技術領域的具體事項頒布徵求意見稿或草稿,切實落地網路安全法規執行所需的國家標準化體系。

【設計信息安全技術體系的標準化建設太過龐大,以下僅作簡要舉例說明……】

《信息安全技術 大數據安全管理指南(徵求意見稿)》: 明確大數據安全管理的角色與責任,指出大數據安全風險及其管理評估辦法;

《信息安全技術 數據出境安全評估指南(草稿)》: 首次公布了重要數據識別指南,並列舉了27個行業主管部門統計的中澳數據的劃分範圍;

《信息安全技術 個人信息安全規範(報批稿)》:詳細規範了個人信息控制者開展收集、保存、使用、共享、轉讓、公開披露等個人信息處理活動時應遵循的準則;

《信息安全技術 數據交易服務安全要求(徵求意見稿)》:規定數據交易服務參與方、交易對象和交易過程的安全要求;

《信息安全技術 數據出境安全評估指南(徵求意見稿)》:對數據出境是否需要進行評估做出指南;

《信息安全技術 關鍵信息基礎設施安全檢查評估指南(徵求意見稿)》:規定關鍵信息基礎設施檢查評估工作準備、實施、總結環節的流程要求以及具體要求。

四、監管部門落實網路安全執法檢查

自《網路安全法》6月1日正式實施以來,各地網信辦、網安大隊等監管部門落實網路安全執法檢查,查處一批具有典型性代表的網路安全違法事件,形成典型執法案例供各家網路運營者引以為戒,舉例而言:

騰訊、新浪微博、百度貼吧因違反《網路安全法》遭屬地網信辦重罰。騰訊公司微信公眾號平台存在用戶傳播暴力恐怖、虛假信息、淫穢色情等危害國家安全、公共安全、社會秩序的信息;新浪微博對其用戶發布傳播「淫穢色情信息、宣揚民族仇恨信息及相關評論信息」未盡到管理義務;百度貼吧對其用戶發布傳播「淫穢色情信息、暴力恐怖信息帖文及相關評論信息」未盡到管理義務。

多地網站因未落實網路安全等級保護制度,未履行網路安全保護義務,遭黑客攻擊入侵,造成嚴重後果。被網路安全管理部門要求整改和罰款處罰。

廣州市動景計算機科技有限公司提供的UC瀏覽器智能雲加速產品服務存在安全缺陷和漏洞風險,未能及時全面檢測和修補,已被用於傳播違法有害信息,造成不良影響,被要求整改。

阿里雲計算有限公司為用戶提供網路接入服務未落實真實身份信息登記和網站備案相關要求,導致用戶假冒其他機構名義獲取網站備案主體資格,被要求整改切實落實網站備案真實性核驗要求。

淮南職業技術學院系統存在高危漏洞,未落實網路安全管理制度和採取必要安全措施,致使系統存儲的4353名學生的身份信息泄露。公安局網安支隊依法對該學院處以立即整改和行政警告的處罰措施。

小結

盤點2017年網路安全大事件,無論是宏觀的戰略還是具體制度與規則都日趨完善和落地,對網路運營者的履行網路安全義務具有很強的指導意義。可以預見2018年的網路安全法律政策領域,必將是深入理解合規要求和貫徹落實的一年,享法互聯網法律團隊將與各位互聯網運營者一起,為網路安全與合規運營保駕護航!