习总书记在中央网络安全和信息化领导小组第一次会议上指出,“没有网络安全就没有国家安全,没有信息化就没有现代化”。由可见网络安全与国家安全休戚相关。不同责任主体具有网络安全/合规风险的不同需求,技术、管理与法律措施都应纳入考量。法律服务人员可协助责任主体,通过从法条、标准、制度与技术分项控制的路径进行部署与整合,以实现网安法的落地和“可用性”。
那么下面为大家介绍我国网络安全法的几大主体。
一、网络运营者应按照网络安全等级保护制度履行“网络安全保护义务”,特别是制定和优化安全管理制度(以及信息实名与保护制度等),实现对有限人财物的合理配置,并精确到“直接负责的主管人员和其他直接责任人员”,否则有可能承担从警告、罚款到关停、吊销直至刑事责任。
二、网络产品/服务提供者需应对国家标准的“强制性要求”,实现质量(缺陷、漏洞、期限)、服务(保密、水平)的协议层面符合;涉及网络关键设备和网络安全专用产品的,法律服务人员还可提供对认证检测资质与评测协议的审查、目录时效性等方面的法律支持。
三、网安法为电子信息发送/应用软件下载服务提供者的信息发布、推送和下载服务设定了“安全管理义务”,涵盖了从内容审查到质量(恶意软件)控制的各方面,需要法律视角的研判和论证,以认定和识别“任何个人和组织”的禁止性信息内容、危害网络安全行为。
四、网安法针对关键信息基础设施运营者规定了“附加保护要求”,其中背景调查、意识培训、国家安全审查、数据本地化、年度安全评估、应急预案制定和演练都属于前沿、复合的合规内容——这也是为何会在欧盟ENISA两年一度的演习中看到律师身影。
五、网络安全服务机构在“风险评估”、“信息共享”等方面具有不可替代的作用,但规范缺失导致个案频发(如白帽子事件),需要法律服务人员对第26条“国家有关规定”进行研究和指引。
落实网安法对责任主体,特鄙视遂于企业来说,体现了机遇与挑战并存。一方面网络安全威胁具有以小搏大的不对称性,例如5月12日开始蔓延的勒索软件攻击事件,责任主体以提升网络安全风险管理为机遇实现企业网络安全、合规风险的消减,对保障业务运营具有积极意义;另一方面,网安法宽泛的网络运营者定义、义务和责任边界,乃至对企业社会责任的要求,则需企业战略性的初次投入和持续性的投入。
