一、背景
2020年2月25日,一家為零售、餐飲等企業搭建微信小程序,開發微信公眾號等服務的業內知名某公司(本文中稱“A公司”)[1]發佈公告稱,經調查,公司 SaaS 業務生產環境和數據遭到本集團研發中心運維部一位核心運維員工人為破壞,導致本公司當前暫時無法向客戶提供 SaaS產品。公司已於 2020年 2月 24 日向公安局報案,該員工已經被刑事拘留。(本文中稱“A公司刪庫事件”)。[2]據相關報道,事件造成A公司平臺搭載的小程序全部宕機,近300萬商家數據丟失。[3]飛來的刪庫橫禍,給2019年剛上市的A公司帶來了巨大損失。3月5日,A公司收盤價為4.91港元,相較2月24日開盤價6.18港元,股價大跌20%,市值縮水約28億港元。內憂外患,目前暫不清楚A公司損失了多少客戶,但流失是不可避免的。[4]對於本次事件的賠償,A公司表示,公司管理層準備了1.5億元人民幣賠付撥備金,其中公司承擔1億元,管理層承擔5000萬元。[5]
實際上近年來國內外由於人為故意或過失造成數據刪除的事件並不少見,隨著數據應用程度和重要性的不斷提升,其發生的頻率及影響也在不斷增加。A公司刪庫事件是近年來該類案件中影響最大,造成損失最為嚴重的事件之一。
本文希望通過A公司刪庫事件,對網絡安全等級保護相關制度及其意義等進行介紹和探討,為企業合規實施網絡運行安全和數據安全保護,提供解決方案的參考。
二、什麼是網絡安全等級保護?
1、網絡安全等級保護制度的概念
網絡安全等級保護制度作為我國現行網絡安全領域的一項重要制度,是指根據保護對象、受損害客體與侵害程度將網絡系統分為五級,並針對第一級到第五級的網絡系統等級對象按照標準進行建設、管理和監督的制度體系。涉及網絡安全等級劃分的概念可參照下圖。
2、網絡安全等級保護制度溯源
3、網絡安全等級保護的主要義務內容
我國的網絡安全等級保護的義務總體可分為形式性義務和實體性義務。
形式性義務即按照法律法規的有關規定,網絡運營者實施網絡安全等級保護的具體步驟和工作流程,具體包括系統定級、備案、安全建設和整改、等級測評和監督檢查等主要規定動作,以及按照等保2.0標準新增的包括安全檢測、通報預警、案事件調查、數據防護、災難備份、應急處理、風險評估等工作內容。形式性義務是實施網絡等級保護的外在形式,也是監管部門判斷和檢查企業是否實施了網絡安全等級保護的主要標準。
實體性義務是實施網絡安全等級保護的具體要求,依照《網絡安全法》第21條的規定,包括制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;採取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;採取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日誌不少於六個月;採取數據分類、重要數據備份和加密等措施;法律、行政法規規定的其他義務。2018年6月發佈的《網絡安全等級保護條例》(徵求意見稿)進一步針對不同網絡安全等級的情況,區分了一般安全保護義務和特殊安全保護義務。雖然該條例到目前仍未公佈正式版,但其內容體現了監管部門的立法意圖,其中很多內容也被正式發佈並實施的相關國家標準所採納,對於企業開展網絡安全等級保護的合規工作有重大參考意義。涉及義務的大體內容可以參見下表。
三、為什麼實施網絡安全等級保護?
1、法律法規的要求
如前所述,《網絡安全法》及其他相關法律法規中已經明確規定了實施網絡安全等級保護的要求以及違反時的責任。以A公司刪庫事件為例,如果A公司沒有實施網絡安全等級保護,包括上述形式性義務和實質性義務,則A公司違反了法律法規的明確要求,有可能因為刪庫事件承擔以下法律責任。
(1)刑事責任
《刑法修正案》(九)第28條增設了拒不履行信息網絡安全管理義務罪,如果公司存在不履行按照網絡安全等級保護制度要求的安全保護義務,且曾經監管部門責令採取改正措施而拒不改正,並有嚴重情節,有可能構成該條規定的犯罪行為,被追究刑事責任。此時,公司可能會被判處罰金,並對公司直接負責的主管人員和其他直接責任人員處三年以下有期徒刑、拘役或者管制,並處或者單處罰金。
(2)行政責任
由於A公司刪庫事件已經造成了導致危害網絡安全的嚴重後果,主管部門可以依據《網絡安全法》第59條的規定,對A公司處一萬元以上十萬元以下罰款,並對A公司直接負責的主管人員處五千元以上五萬元以下罰款。實際上公安部門已經將網絡運營者是否履行網絡安全等級保護義務,作為涉及網絡安全運行狀況日常檢查和專項檢查的重點內容之一。企業由於未落實網絡安全等級保護制度,未採取有效技術防護措施等問題,被依法處罰的案例屢見不鮮。
(3)民事責任
除了A公司基於與用戶之間的合同約定,可能承擔合同違約的民事賠償責任之外。由於《網絡安全法》第21條明確規定網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務。同時該法第74條規定,違反本法規定,給他人造成損害的,依法承擔民事責任。因此,由於A公司刪庫事件遭受損失的第三人可以依據合同或法律規定要求A公司承擔民事賠償的責任。
綜上所述,實施網絡安全等級保護的義務是法律法規的強制性要求,依法實施是防範法律風險的必然選擇。
2、保證網絡運行安全的有效途徑
實施網絡安全等級保護的目的和目標是保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改。為此,在《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)中,針對不同安全等級的保護對象提出了基本要求,其中從範圍對象上,既包括針對基礎信息網絡的安全通用要求,也包括針對雲計算、移動互聯網絡、物聯網、工業控制系統等的安全擴展要求。從要求內容上,既包括安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心等技術要求,也包括安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理等管理要求。同時,網絡安全等級保護的形式性義務的履行,例如根據定級或等級測評的結果進行網絡安全建設和整改等,也是保證企業有針對性地實施和改善網絡運行安全管理的有效方式和手段。
A公司刪庫事件至少暴露了A公司在數據備份方式、重要數據操作權限設定、安全事件的應對措施、安全運維管理等方面存在內部管理的缺陷。網絡安全等級保護制度為企業提供了有效的管理工具,明確了企業合規的邊界,同時按照網絡安全等級保護制度的要求,切實履行安全保護義務,也正是發現、改善企業內部管理缺陷,真正保證網絡運行安全的有效途徑。
3、規避風險,提高企業價值
如前所述,A公司刪庫事件已經極大的損害了公司的價值,造成了公司股東在內利益相關者的重大損失。隨著網絡安全及數據重要性的日益凸顯,數據合規越來越被廣泛關注。近年來,上市公司或擬上市公司由於數據合規相關問題蒙受損失或者影響IPO審批的例子也屢屢見諸報端。違反數據合規要求,及/或企業運營過程中人為的或者非人為地操作性因素等給企業網絡安全運行帶來的不確定性,已經成為影響企業價值的重要因素之一。而按照網絡安全等級保護制度的要求履行安全保護義務,將在很大程度上降低該種不確定性即風險發生的可能性。同時,採取有效措施保證網絡運行和數據的安全,也是數據資源有效利用的重要保證。不確定性風險的規避和資源有效利用的保障,都有利於實質性提升企業價值。
四、結語
網絡無處不在,幾乎所有企業的運營都離不開網絡的利用和數據的處理。由於技術和應用的日新月異,愈發使得網絡運行和數據安全的相關風險發生機率增加,而發生風險時的後果也越來越嚴重。A公司刪庫事件再次為我們敲響了警鐘。希望企業未雨綢繆,及早按照網絡安全等級保護的要求實施安全保護義務,保障企業的安全和有效運營。
註釋:
[1] 從目前公開的信息,我們無法掌握A公司實施網絡安全等級保護等的具體情況。為便於讀者理解,本文僅以A公司刪庫事件為例提出話題,並非對A公司運營、實施及後果等做任何針對性評價。本文除引用公開公告和報道用於事實陳述之外,皆以A公司代稱。
[2] 來源:https://cdn2.weimob.com/saas/@assets/saas-fe-group-web-stc/pdf/cn/c2013.pdf(最後訪問時間2020年3月18日)
[3] “微盟刪庫事件折射出多重管理機制缺失” https://t.cj.sina.com.cn/articles/view/1708813312/65da6c0002000lm44?from=tech(最後訪問時間2020年3月18日)
[4] “21世紀商業評論:拿出1.5億賠付商家,微盟能否走出刪庫陰影?” http://www.21cbr.com/article/83257.html(最後訪問時間2020年3月18日)
[5] “微盟因刪庫事件賠付1.5億元” http://it.people.com.cn/n1/2020/0303/c1009-31613827.html(最後訪問時間2020年3月18日)
閱讀更多 新浪法問 的文章
