網絡安全法中的關鍵制度解讀

文/續俊旗

網絡安全法中的關鍵制度解讀

文/續俊旗

網絡安全法是中國網絡安全領域的第一部專門法律，是保障網絡安全的基本法。網絡安全法共七章七十九條，其主要內容可解讀為“一項制度、四大領域”，以網絡安全等級保護制度為中心，囊括物理安全、運行安全、數據安全、內容安全四大領域，即基礎設施的安全、信息系統的安全、信息自身的安全、信息利用的安全。為具體落實這些要求，網絡安全法規定了網絡產品與服務安全審查、跨境數據流動安全評估、關鍵信息基礎設施保護、個人信息保護等關鍵制度。

獨具中國特色的網絡安全審查制度

網絡安全審查制度是保障網絡運行安全的關鍵制度設計。網絡安全法規定對可能影響國家安全的關鍵信息基礎設施的網絡產品和服務進行國家安全審查。已經發布并生效的《網絡產品和服務安全審查辦法（試行）》（下稱《審查辦法》）規定了網絡安全審查的細化性要求。網絡安全審查制度的具體實施，需要對以下問題進行進一步明晰。

（一）關于審查的范圍和內容。《審查辦法》中規定的安全審查范圍超出了網絡安全法中規定的關鍵信息基礎設施的安全審查范圍，更接近于國家安全法第59條“特定物項和關鍵技術、網絡信息技術產品和服務”的國家安全審查。《審查辦法》規定的審查范圍大致可歸納為“關鍵信息基礎設施及其他關系國家安全的網絡和信息系統”，范圍仍有很大不明確性。

（二）“安全可控”的內涵。“安全可控”已經成為中國網絡安全體系中一項獨立的制度。何為“安全可控”，官方解釋如下：安全可控至少包括以下三個方面含義：一是保障用戶對數據可控，產品或服務提供者不應該利用提供產品或服務的便利條件非法獲取用戶重要數據，損害用戶對自己數據的控制權；二是保障用戶對系統可控，產品或服務提供者不應通過網絡非法控制和操縱用戶設備，損害用戶對自己所擁有、使用設備和系統的控制權；三是保障用戶的選擇權，產品和服務提供者不應利用用戶對其產品和服務的依賴性，限制用戶選擇使用其他產品和服務，或停止提供合理的安全技術支持，迫使用戶更新換代，損害用戶的網絡安全和利益。總而言之，對自主可控的把握應按照習近平總書記所說的，不能夠排斥先進，不要把自己封閉于世界之外，要在立足開放的環境當中搞網絡安全。此外，也要有效協調好安全可控與外國企業維護自主知識產權和商業秘密的關系。

（三）關于審查的標準。對于審查機制是否有透明、可遵循的標準，還是保持一定的靈活性、威懾性以應對不可預知的法律風險，尚存在諸多爭議，有待在監管實踐中進一步跟進。

（四）審查是否為常態化機制？在具體實施上，要注意其與檢測、認證、設備入網等具體制度的區別，堅持其威懾性、懸而少用的原則，避免失去該制度的權威性、震懾性。然而《審查辦法》第2條規定，關系國家安全的網絡和信息系統采購的重要產品和服務，應當經過網絡安全審查。就其表述而言，審查機制更近似于一項常態機制。監管部門在具體實踐中如何把握與落實，還有待持續關注。

（五）是否針對國外產品和服務？

主管部門在對外聲明中多次強調，網絡安全審查并不針對特定國家和地區，沒有國別差異，審查不會歧視國外技術和產品，不會限制國外產品進入中國市場。在供應鏈全球化的背景下，對信息系統產品和服務進行來源調查變得非常困難，在存在廣泛外包業務的情況下甚至是不可行的。片面排除國外信息技術的利用也排除了本國信息技術產業作為次級供應商進入他國市場的可能，也會喪失中國利用國際先進產品和服務的必然需求。而國家的網絡安全能力和水平，最終由本國信息技術產品和服務的能力和水平決定。

既接軌國際又具中國特色的關鍵信息基礎設施保護制度

關鍵信息基礎設施保護是保障網絡物理安全的關鍵制度設計，也是保護網絡運行安全的重中之重。關鍵信息基礎設施保護的重點有三。一是業務連續能力。業務連續能力是關鍵信息基礎設施安全保護中需要解決的首要問題。關鍵信息基礎設施的“關鍵”就在于國計民生對其的高度依賴關系，因此需要關鍵信息基礎設施具備“不間斷可靠供給”的能力。網絡安全法從規劃建設、使用管理、人員配置、容災備份、應急處置等多個方面作出規定，來規范關鍵信息基礎設施的業務連續能力。二是安全可控。自主可控設備目前還不能完全覆蓋中國關鍵信息基礎設施建設和運行管理的要求，基于中國國情，現階段在關鍵信息基礎設施的建設和運行管理中必須有輔助措施來增強關鍵信息基礎設施的可控性。為此,網絡安全法對網絡關鍵設備和網絡安全專用產品的認證檢測和關鍵信息基礎設施采購網絡產品作出了保密和安全審查方面的要求。三是數據安全。由于傳統關鍵基礎設施普遍性的信息化、網絡化趨勢，關鍵信息基礎設施集中承載著越來越多的敏感數據，這些數據事關社會穩定和國家安全。為此，網絡安全法除對網絡數據安全問題和公民個人信息保護作了一般性規定之外，還對關鍵信息基礎設施運營者收集的公民個人信息等重要數據的出境存儲加以限制。

關鍵信息基礎設施保護制度與網絡安全等級保護制度二者之間的關系一直以來是實踐中的疑難點。厘清二者的關系，有助于提升關鍵信息基礎設施保護的實效，也有助于企業更好地落實合規要求。網絡安全法規定“對于國家關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護”。由此可見，網絡安全等級保護制度是關鍵信息基礎設施保護的基礎，關鍵信息基礎設施是等級保護制度的保護重點。等級保護制度和關鍵信息基礎設施保護是網絡安全的兩個重要方面，不可分割。等級保護制度與關鍵信息基礎設施保護制度雖然在發展起源、適用范圍以及具體的操作方法上有所區別，但其保護重要信息系統的目標是一致的，網絡安全等級保護制度和關鍵信息基礎設施保護制度都是國家網絡安全的重要制度。兩種制度存在各種差異，但其最終目的都在于維護國家安全，提高對重要信息系統的保護力度。因此，在制度構建和實際操作中要做好兩種制度的有效銜接，關鍵信息基礎設施保護要吸收等級保護制度中的有益經驗。

值得一提的是，在今后的配套立法過程中，還需要進一步考慮到關鍵信息基礎設施保護與其他相關制度的銜接。

備受矚目的數據跨境流動安全評估制度

數據跨境流動安全評估制度是保障網絡數據安全的關鍵制度設計。根據網絡安全法的規定，關鍵信息基礎設施運營者在中華人民共和國境內收集產生的個人信息和重要數據應當在境內存儲，對個人信息及重要數據實行數據出境的安全評估制度，并授權國家網信部門會同其他監管部門制定詳細的安全評估實施辦法。

全球數據流動對于貿易、創新、競爭和消費者數據遷移越來越重要。然而，對于個人數據的跨境流動也有一個普遍的共識，即要想解決合法性問題，數據的流動不能完全不受限制。為保護公民權利，全球個人信息流動管理方面已經有許多方法機制，最常見的包括：允許滿足一般性排除條款或被這些條款“檢驗”的一次性數據傳輸，確保在同等保護水平情況下的數據跨境傳輸，源公司同意對任何違規行為負責的情況下的數據傳輸，公司在一組適用于所有活動的企業約束規則下進行數據傳輸等。雖然這些跨境數據傳輸的不同選項普遍可用，但它們還沒有被廣泛采用。

對于重要數據的跨境監管，中國的網絡安全法在關鍵信息基礎設施數據跨境安全評估方面與西方國家的最大不同之處，在于其將個人信息和重要業務數據的跨境轉移安全評估，從非顯性的、偏碎片化要求明確提升到制度化的高度，相關數據的評估不再是具體事項中的國家安全考慮。因此，從某種程度上說，若嚴格執行網絡安全法中的數據跨境安全轉移，或許會在關鍵信息基礎設施保護的力度和范圍上強于西方國家。而關于重要數據的范圍，各國的規定有所不同。目前來看，從國家安全角度出發，各國對公共部門數據和管制技術數據的跨境流動都采取了強管控模式，主要監管措施包括本地存儲、限制出境、安全審查、前置審批等措施；對敏感商業數據則主要通過安全協議的方式，以WTO規則中的“國家安全例外”事項為突破口實施各類安全審查，對敏感數據跨境的限制，作為安全評估的重要因素、合同約定的必要條件體現。

日趨嚴格的個人信息保護制度

個人信息保護制度是保障網絡信息安全的關鍵制度設計。網絡安全法將個人信息保護納入規范范圍。除了相關章節有零散規定外，還專設一章對個人信息保護提出了系統的框架性要求，對個人信息的處理行為也作出了明確規范，具體如下。

（一）關于個人信息的收集利用，網絡安全法重申了2013年頒布的《電信和互聯網用戶個人信息保護規定》提出的“合法、正當、必要”的基本原則，明確規定網絡運營者在收集個人信息時，應遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。

（二）針對個人信息的對外提供環節，網絡安全法規定任何個人和組織不得非法出售或者非法向他人提供個人信息。何為“非法提供”，包括了針對個人信息的非法出售或非法提供，即竊取企業內部信息或其他來源的個人信息進行非法出售等黑色產業鏈的核心環節；也包括針對其他未經授權提供個人信息的行為，如遭到黑客攻擊造成個人信息泄露或竊取、或未經授權將個人信息提供給業務合作伙伴等行為；以及針對政府機構對個人信息的非法提供行為。合法的對外提供有兩種途徑：個人信息主體的同意和匿名化處理。

（三）網絡安全法對個人信息保護的亮點之一在于引入了個人信息主體的刪除權和更正權，即個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息；發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。提高個人信息處理環節的透明度，賦予個人的信息刪除權、修改權，保證個人信息主體對信息的合法權益。

（四）建立個人信息保護機制。網絡安全法明確提出了“建立健全用戶信息保護制度”的要求。在個人信息管理機制方面，中國尚未建立完善的規范體系，目前,網絡安全法為主的法律規范提出的要求主要有：第一，技術手段方面的要求。網絡安全法規定網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。作為對網絡運營者的一般要求，網絡安全法還提出了相關安全管理義務:（1）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（2）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（3）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；（4）采取數據分類、重要數據備份和加密等措施；（5）法律、行政法規規定的其他義務。第二，組織管理、流程制度方面的要求。網絡運營者要“建立健全用戶信息保護制度”。此外，網絡安全法還新增了數據泄露通知機制。

需要指出，網絡安全法并非單純針對個人信息保護的全面性立法，其規范僅是對個人信息保護方面提出了底線性、框架性的要求。還需要與現有的其他法律、法規、部門規章以及司法解釋相協調并整體考慮。未來仍有必要制定一部綜合性的個人信息保護法來對個人信息保護加以系統規范。

本文所闡述的相關制度彼此之間既相對獨立，又存在密不可分的關聯。因此，應該系統地做好制度的具體設計與配套制定建設，確保網絡安全法能夠科學、合理地落地實施。關鍵制度的設計既要立足于中國的實際狀況，也要充分借鑒國外的做法與實踐。由于網絡安全問題的復雜性、長期性、艱巨性，其牽涉到中國的產業基礎、技術能力、法治現狀乃至復雜多變的國際經貿關系等方方面面，還需要在今后的立法、執法和司法實踐中不斷加以完善。

[作者系英特爾（中國）有限公司法律政策總監]