《网络安全法》作为我国第一部网络安全的专门性综合性立法,在应对网络安全挑战这一全球性问题时,提出了中国自己的方案。在宏观层面,体现了新时代背景下国家与政府对网络空间的重视,对全球竞争的大战略的思考,和对未来世界大契机的规划。在中观层面,保障了社会主体的数据安全,网络安全活动有法可依,有助于保障与促进我国数据经济与网络活动的发展。
一、法律立法目的、背景与要求
《网络安全法》立法目的包括:(1)维护网络空间的国家主权和国家安全;(2)维护公共利益;(3)保护公民、法人和其他组织在网络空间的合法权益。按立法惯例,该立法目的规定于《网络安全法》第1条。
《网络安全法》的出台背景基于:(1)中国经济、社会已高度依赖于信息网络,网络的安全与否,直接关系着国家安全、经济发展,并影响广大老百姓的切身利益。(2)境外如欧洲、美国等主要国家地区的网络安全立法思想已经逐步成熟,立法架构已初步完成,中国再不完成网络立法有落后被动之忧。
二、主要原则
《网络安全法》确立了两大基本原则:
1、 网络主权原则
《网络安全法》在第1条开宗明义确立了我国的"网络主权"思想,即主张网络主权是国家主权在网络空间中的自然延伸和表现。
同时,《网络安全法》第2条明确规定:本法适用于我国境内网络以及网络安全的监督管理。这是我国网络空间主权对内最高管辖权的具体体现。
在操作层面上,《网络安全法》第75条明确采取了"有限域外管辖原则"。当境外主体实施入侵或攻击境内关键信息基础设施的活动,造成严重后果的,中国执法机关可依法追究法律责任,并实施财产冻结等制裁措施。
2、保护与发展并重原则
《网络安全法》第3条明确规定,坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
该规定与欧洲《通用数据保护条例》(GDPR)"既承认数据主体对数据的基本权利,也明确基于社会利益数据应具有流动性、共享性"的思想具有相通性。
三、适用范围
《网络安全法》第2条确定规定,其适用范围地中国境内建设、运营、维护和使用网络。也就是说,只要是在中国境内通过网络提供服务,不论共组织的具体属性是内资还是外资,都应遵守《网络安全法》及相关规定和要求。
关于 "境内网络"的理解,通常认为是:(1)物理上,依托位于我国境内网络设施;(2)内涵上,为境内居民、企业等社会主体提供服务。
需要说明的,在适用的边界确定上,《网络安全法》与欧洲《通用数据保护条例》(GDPR)(参考文章:)还存在较大的差距,远没有GDPR规定的详尽与具体。
四、数据主体权利义务
1、知情权
《网络安全法》第22条规定,网络服务提供者发现存在安全缺陷、漏洞等风险时,有"及时告知用户"的法定义务。
《网络安全法》第42条规定:"可能"发生个人信息泄露、毁损、丢失等情况下,网络运营者也应当"按照规定及时"告知用户的义务。
2、决定权
《网络安全法》第41条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
3、控制权
《网络安全法》第43条规定,用户发现网络运营者违法或违约收集、使用其个人信息的,有权要求其删除个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求其予以更正。
从条款上看,在数据主体的权利规定上,《网络安全法》的规定与欧洲《通用数据保护条例》(GDPR)相比(参考文章:)显示过于原则和概括性,同时也缺乏人文气息和思想表达。
五、网络运营者的义务
1、保密义务
《网络安全法》第40条规定,网络运营者应当对其收集的用户信息严格保密。
《网络安全法》第42条第一款进一步明确:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但《网络安全法》同意也规定,经过处理无法识别特定个人且不能复原的除外。这一点与欧洲《通用数据保护条例》(GDPR)很相似。
2、 安全性保障义务
《网络安全法》第40条规定,网络运营者应建立健全用户信息保护制度。
《网络安全法》第42条第二款进一步明确:网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
3、合法、正当、必要的义务
《网络安全法》第44条规定: 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
第41条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
关于合法、正当、必要的义务,欧洲《通用数据保护条例》(GDPR)也类似规定。
4、执行实名制义务
《网络安全法》第24条规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。《网络安全法》针对部分网络服务的"不实名,无服务"的实名制的要求,明显更侧重于国家治理层面的需要。
关于网络运营者的义务,与欧洲《通用数据保护条例》(GDPR)相比(参考文章:),基本内容相似人,但同时也存在一个明显差异,那就是《网络安全法》更关注于网络运营者的义务、责任,并没有像GDPR那样公开承认网络运营者对数据的合法权益。
六、法律责任
(一) 行政处罚
根据《网络安全法》第六章,违反本法的具体法律处罚措施包括:
(1)责令改正;
(2)警告;
(3)罚款;
(4)责令暂停相关业务;
(5)停业整顿;
(6)关闭网站;
(7)吊销相关业务许可证或者吊销营业执照;
(8)对直接负责的主管人员等进行罚款;
(9)违法行为记录到信用档案;
(10)职业禁入。
(二)刑事责任
根据2015年11月实施的《刑法修正案(九)》规定,拒不履行信息网络安全管理义务罪,指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,具有法律规定的情形的,将会构成相应的"拒不履行信息网络安全管理义务罪","非法利用信息网络罪","帮助信息网络犯罪活动罪"。
七、结语
从目前整体上看,《网络安全法》仍延续了我国"宜粗不宜细,宜宽不宜紧"的传统立法思想,并体现出了较浓厚的"强调义务、罚款偏轻"的特点。但从未来发展上看,《网络安全法》在立法思想和具体条款方面,都存在许多值得研究与完善的地方与空间。
作者∣陈德志,锦天城律所资深律师,上海市律师协会证券业务研究委委员,从事公司证券行业近十年,主要执业领域为境内外上市、并购重组、企业投融资及企业合规。
上海锦天城法律实习生孙清对本文亦有帮助。
閱讀更多 百律 的文章
