网络运行安全保护是企业在网络安全法下的核心责任,在《网络安全法》第三章做了集中规定,并且根据主体的差异,对一般性主体做出了一般规定,而对关键信息基础设施的运营者做出了特别规定。我国网络安全法第四章详尽地规定了企业在个人信息保护方面需承担的责任。
一.对企业网络行为的规定
(一)一般规定
对于一般性主体的网络运行安全保护责任,可以分为以下六个方面:
1.安全等级保护制度
网络安全法第21条对于网络运营者应落实网络安全等级保护制度,履行具体安全保护义务做出了较详尽的规定,同时在第59条中明确了相应的法律责任,包括责令整改、警告及罚款等。具体来说,除兜底条款外,还有4项主要义务。
2.实名制
网络安全法第24条第1款规定了“网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。”
3.网络安全事件应急预案及安全风险处置
对网络运营者而言,当发生网络安全事件时,如果有可供执行应急预案,并能够积极处置安全风险,那么可能就会很大程度地降低网络安全事件造成的损害。企业违反前述规定的,主管部门将依据网络安全法第59条1款进行处罚,处罚方式包括责令整改、警告及罚款等。
4.持续安全维护
网络产品和服务提供者就其提供的产品和服务进行持续安全维护,原本属于提供者和购买者之间的合同义务,但网络安全法第22条第2款基于保障网络运行安全的角度考虑,将这一义务法定化,要求网络产品、服务的提供者应当为其产品、服务持续提供安全维护,并在法律规定或者当事人约定的期限内,不得终止提供安全维护。同时还在第60条中设定了具体的法律责任,包括警告和罚款等。
5.禁止设置恶意程序
鉴于网络产品和服务提供者存在一些不规范设置恶意程序的情况,为了规范市场主体的行为,网络安全法第22条第1款特别明确了网络产品、服务的提供者不得设置恶意程序的要求。企业违反此规定的,主管部门可以依据网络安全法第60条视违法情节予以相应处罚,具体包括警告和罚款等方式。
6.禁止从事或协助实施危害网络安全活动
网络安全法第27条规定,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
(二)关键信息基础设施的运营者的特别责任
除一般规定外,鉴于关键信息基础设施(CII)对国家网络安全的特殊意义,网络安全法对其运营者通过专门一节做了特别的规定,具体包括:
1.更严格的安全等级保护制度
相比于一般规定,网络安全法第34条对于CII运营者提出了更高的要求,具体是:1)设置专门安全管理机构和安全管理负责人,并对负责人和关键岗位的人员进行安全背景审查;2)定期对从业人员进行网络安全教育、技术培训和技能考核;3)对重要系统和数据库进行容灾备份;4)制定网络安全事件应急预案,并定期进行演练。
2.数据跨境转移限制
在强调网络空间主权和数据安全的背景下,网络安全法第37条明确要求CII运营者在境内收集和产生的个人信息和数据应当在境内存储,如果确实需要向境外提供的需要进行安全评估。
3.采购行为的安全审查
网络安全法第35条对CII运营者采购网络产品和服务提出了一项具体的要求,即对于可能涉及国家安全的,相关的采购活动还需要通过网信部门的国家安全审查。对于向外资企业采购相关产品和服务的CII运营者而言,可能需要加强对该规定的关注。
4.采购需签订安全保密协议
除网络安全法35条规定的安全审查制度外,根据网络安全法第36条的规定,CII运营者在采购活动中,还应当与产品或服务的提供者签订安全保密协议,明确安全和保密义务与责任。
二、个人信息保护责任
保护公民的合法权益,是网络安全法的主要立法目的之一,落实到具体内容中,其核心便是个人信息保护制度。
我国网络安全法第四章详尽地规定了企业在个人信息保护方面需承担的责任,中国的网络安全问题具有普遍性,也具有独特的中国特色,作为中国互联网治理经验的总结,对于奠定中国互联网治理的基本框架并进而逐步形成中国治理模式,具有里程碑式的意义。
