《網絡安全法》作為我國第一部網絡安全的專門性綜合性立法,在應對網絡安全挑戰這一全球性問題時,提出了中國自己的方案。在宏觀層面,體現了新時代背景下國家與政府對網絡空間的重視,對全球競爭的大戰略的思考,和對未來世界大契機的規劃。在中觀層面,保障了社會主體的數據安全,網絡安全活動有法可依,有助於保障與促進我國數據經濟與網絡活動的發展。
一、法律立法目的、背景與要求
《網絡安全法》立法目的包括:(1)維護網絡空間的國家主權和國家安全;(2)維護公共利益;(3)保護公民、法人和其他組織在網絡空間的合法權益。按立法慣例,該立法目的規定於《網絡安全法》第1條。
《網絡安全法》的出臺背景基於:(1)中國經濟、社會已高度依賴於信息網絡,網絡的安全與否,直接關係著國家安全、經濟發展,並影響廣大老百姓的切身利益。(2)境外如歐洲、美國等主要國家地區的網絡安全立法思想已經逐步成熟,立法架構已初步完成,中國再不完成網絡立法有落後被動之憂。
二、主要原則
《網絡安全法》確立了兩大基本原則:
1、 網絡主權原則
《網絡安全法》在第1條開宗明義確立了我國的"網絡主權"思想,即主張網絡主權是國家主權在網絡空間中的自然延伸和表現。
同時,《網絡安全法》第2條明確規定:本法適用於我國境內網絡以及網絡安全的監督管理。這是我國網絡空間主權對內最高管轄權的具體體現。
在操作層面上,《網絡安全法》第75條明確採取了"有限域外管轄原則"。當境外主體實施入侵或攻擊境內關鍵信息基礎設施的活動,造成嚴重後果的,中國執法機關可依法追究法律責任,並實施財產凍結等制裁措施。
2、保護與發展並重原則
《網絡安全法》第3條明確規定,堅持網絡安全與信息化發展並重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網絡基礎設施建設和互聯互通,鼓勵網絡技術創新和應用,支持培養網絡安全人才,建立健全網絡安全保障體系,提高網絡安全保護能力。
該規定與歐洲《通用數據保護條例》(GDPR)"既承認數據主體對數據的基本權利,也明確基於社會利益數據應具有流動性、共享性"的思想具有相通性。
三、適用範圍
《網絡安全法》第2條確定規定,其適用範圍地中國境內建設、運營、維護和使用網絡。也就是說,只要是在中國境內通過網絡提供服務,不論共組織的具體屬性是內資還是外資,都應遵守《網絡安全法》及相關規定和要求。
關於 "境內網絡"的理解,通常認為是:(1)物理上,依託位於我國境內網絡設施;(2)內涵上,為境內居民、企業等社會主體提供服務。
需要說明的,在適用的邊界確定上,《網絡安全法》與歐洲《通用數據保護條例》(GDPR)(參考文章:)還存在較大的差距,遠沒有GDPR規定的詳盡與具體。
四、數據主體權利義務
1、知情權
《網絡安全法》第22條規定,網絡服務提供者發現存在安全缺陷、漏洞等風險時,有"及時告知用戶"的法定義務。
《網絡安全法》第42條規定:"可能"發生個人信息洩露、毀損、丟失等情況下,網絡運營者也應當"按照規定及時"告知用戶的義務。
2、決定權
《網絡安全法》第41條規定:網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。
3、控制權
《網絡安全法》第43條規定,用戶發現網絡運營者違法或違約收集、使用其個人信息的,有權要求其刪除個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求其予以更正。
從條款上看,在數據主體的權利規定上,《網絡安全法》的規定與歐洲《通用數據保護條例》(GDPR)相比(參考文章:)顯示過於原則和概括性,同時也缺乏人文氣息和思想表達。
五、網絡運營者的義務
1、保密義務
《網絡安全法》第40條規定,網絡運營者應當對其收集的用戶信息嚴格保密。
《網絡安全法》第42條第一款進一步明確:網絡運營者不得洩露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但《網絡安全法》同意也規定,經過處理無法識別特定個人且不能復原的除外。這一點與歐洲《通用數據保護條例》(GDPR)很相似。
2、 安全性保障義務
《網絡安全法》第40條規定,網絡運營者應建立健全用戶信息保護制度。
《網絡安全法》第42條第二款進一步明確:網絡運營者應當採取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息洩露、毀損、丟失。在發生或者可能發生個人信息洩露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。
3、合法、正當、必要的義務
《網絡安全法》第44條規定: 任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。
第41條規定:網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
關於合法、正當、必要的義務,歐洲《通用數據保護條例》(GDPR)也類似規定。
4、執行實名制義務
《網絡安全法》第24條規定,網絡運營者為用戶辦理網絡接入、域名註冊服務,辦理固定電話、移動電話等入網手續,或者為用戶提供信息發佈、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得為其提供相關服務。《網絡安全法》針對部分網絡服務的"不實名,無服務"的實名制的要求,明顯更側重於國家治理層面的需要。
關於網絡運營者的義務,與歐洲《通用數據保護條例》(GDPR)相比(參考文章:),基本內容相似人,但同時也存在一個明顯差異,那就是《網絡安全法》更關注於網絡運營者的義務、責任,並沒有像GDPR那樣公開承認網絡運營者對數據的合法權益。
六、法律責任
(一) 行政處罰
根據《網絡安全法》第六章,違反本法的具體法律處罰措施包括:
(1)責令改正;
(2)警告;
(3)罰款;
(4)責令暫停相關業務;
(5)停業整頓;
(6)關閉網站;
(7)吊銷相關業務許可證或者吊銷營業執照;
(8)對直接負責的主管人員等進行罰款;
(9)違法行為記錄到信用檔案;
(10)職業禁入。
(二)刑事責任
根據2015年11月實施的《刑法修正案(九)》規定,拒不履行信息網絡安全管理義務罪,指網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令採取改正措施而拒不改正,具有法律規定的情形的,將會構成相應的"拒不履行信息網絡安全管理義務罪","非法利用信息網絡罪","幫助信息網絡犯罪活動罪"。
七、結語
從目前整體上看,《網絡安全法》仍延續了我國"宜粗不宜細,宜寬不宜緊"的傳統立法思想,並體現出了較濃厚的"強調義務、罰款偏輕"的特點。但從未來發展上看,《網絡安全法》在立法思想和具體條款方面,都存在許多值得研究與完善的地方與空間。
作者∣陳德志,錦天城律所資深律師,上海市律師協會證券業務研究委委員,從事公司證券行業近十年,主要執業領域為境內外上市、併購重組、企業投融資及企業合規。
上海錦天城法律實習生孫清對本文亦有幫助。
閱讀更多 百律 的文章
