就在昨天(2016年11月7日),《中华人民共和国网络安全法》(“《网安法》”)历时近一年半、在三易其稿后终获全国人大常委会通过,并将于2017年6月1日起正式施行。在整个制订过程中,《网安法》因其对我国网络安全领域的全面规制和重大影响而广受社会各界、特别是经营互联网相关业务的企业的高度关注。本文第一时间从此类企业、特别是在华外资企业的角度,对《网安法》主要条款及要求做一梳理,并总结出企业应该知道的关于《网安法》的五件事。

一、 适用范围:境内广泛的“网络服务提供者”均受到规制

《网安法》第二条开宗明义,将其适用范围确定为“在中华人民共和国境内建设、运营、维护和使用网络”。《网安法》第七十六条第(一)项将“网络”定义为“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”,可见网络必须以一定的物理形式存在。据此,我们理解,在我国“境内”使用“网络”至少意味着,相关的使用行为(包括企业为自身业务经营目的而使用网络)必须依托位于我国境内的网络物理设施。换言之,如果一个主体完全在中国境外、利用位于境外的网络设施在线提供服务,即使由于互联网的互联互通性使得在我国境内也可获取该等服务,《网安法》的前述定义似乎并不规范该等主体的行为。但是,这并不意味着《网安法》对该类主体的行为可能在中国境内造成的影响完全放任不管。例如其第五十条规定,如果网信等有关部门发现来源于我国境外的信息属于我国法律法规禁止发布或者传输的,应当通知有关机构采取技术措施和其他必要措施阻断该等信息的传播。

与此同时,《网安法》确立了“网络运营者”这一核心概念,即是指“网络的所有者、管理者和网络服务提供者”[1],其中的“网络服务提供者”即为“通过网络提供服务”的主体[2]。鉴于对该等“服务”未做进一步的限制或明确[3],《网安法》关于“网络服务提供者”及“通过网络提供服务”的表述的覆盖范围实际上是非常广泛的,可以指向任何使用网络为媒介提供服务的主体,这就不仅包括以网络在线业务为主业的互联网企业,例如目前已十分普及的应用商店、电商平台、网约车平台等,还有可能包括因其线下业务向线上延伸而同样需要借助网络的传统线下企业。由此而言,《网安法》的触手实际上伸向了当前网络服务业态的方方面面。

特别值得注意的是,《网安法》的适用对象并无内外商之别,只要是在我国境内通过网络提供服务,不论是内资还是外资企业,都同等受制于《网安法》的各项规定和要求。但如下文所指出的,《网安法》的某些规定因其特殊性,可能会对在华运营的外资企业产生比内资企业更为显著的影响,因此外资企业需要格外关注《网安法》及其后续实施。

二、 网络运行安全:尚不明朗的“网络安全等级保护制度”

《网安法》用整个第三章共19条的篇幅(接近全文四分之一),为包括网络服务提供者在内的网络运营者规定了一系列保护“网络运行安全”方面的要求和义务。其中的第二十一条明确规定,国家实行“网络安全等级保护制度”,并要求网络运营者按照这一制度的要求履行其网络运行安全保护义务。此外,第三十一条还规定,对于“关键信息基础设施”(详见以下第三部分讨论)要在网络安全等级保护制度的基础上实行重点保护。

值得注意的是,这是我国法律首次提出“网络安全等级保护制度”这一概念。但《网安法》并未进一步阐明该制度的内涵,也没有说明该制度将如何实施以及“网络安全等级”具体又将如何划分和确定。与此相关的是,在《网安法》出台之前,我国已通过相关法规确立了两项涉及网络安全的等级保护制度,分别是“计算机信息系统信息安全等级保护”[4]和“通信网络单元安全分级防护”[5]。前者侧重于对包含网络在内的计算机信息系统实施共分五级的安全保护,后者则专门着眼于对我国境内的电信业务经营者和互联网域名服务提供者管理和运行的公用通信网和互联网(统称“通信网络”)进行单元划分并实施同样共分五级的网络安全防护。由此而言,这两项制度至少在涉及网络及其安全的限度内,与《网安法》确立的“网络安全等级保护制度”间应该存在着交叉或重叠。但鉴于《网安法》的规定尚不明确,我们目前暂无法判断“网络安全等级保护制度”与这两项制度之间的具体关系,也不能确定在未来《网安法》的实施过程中,“网络安全等级保护制度”是将完全取代这两项制度,还是在这两项制度的基础上对其进行某种程度的整合或修改,抑或是完全独立于这两项制度之外单独构建和实施。

就此我们注意到,上述两项制度均基于分级的不同,对计算机信息系统/通信网络的运营者设定了不同的要求。例如,只有第二级以上(直至第五级)的计算机信息系统才需要向公安部门备案[6],而只有第三级以上的计算机信息系统或第二级以上的通信网络才需要进行定期安全自查或评估或接受定期安全检查[7]。如果“网络安全等级保护制度”也是依循这样的监管思路,那么这对于通过网络提供不同种类和不同风险程度服务的企业判断其未来在《网安法》下担负网络运行安全保护义务的程度有着重要借鉴意义。我们注意到,《网安法》使用了网络服务“提供者”、而非“经营者”的概念。以“互联网信息服务”为例,按照现有法律规定,“经营性”即有偿互联网信息服务的提供者需要申领ICP证,而“非经营性”即无偿服务的提供者只需进行ICP备案[8]。前者例如一家电商平台,后者例如某一企业仅用于公开发布企业信息、而不涉及任何信息有偿提供的网站。在实践中,这样的电商平台和企业网站在所传递的数据、是否收集用户个人信息、发生网络安全事件的可能性大小、面临的遭受攻击或数据泄露的风险程度、所需要的安全防护措施等各个方面存在根本性不同,如果要求他们在《网安法》之下承担完全同等的网络运行安全保护义务,显然是不合理的。例如,《网安法》第二十一条要求网络运营者“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”,并“采取数据分类、重要数据备份和加密等措施”。这些措施对于一家电商平台而言,显然是合理而必要的,但对于一个企业网站来说,不但可能不必要,而且很可能不可行。从这个意义上来讲,我们认为这也是《网安法》在要求网络运营者履行网络运行安全保护义务之前加上“按照网络安全等级保护制度的要求”这一条件的原因。因此,对于任何落入“网络服务提供者”范畴的企业来说,进一步关注“网络安全等级保护制度”的后续发展就显得尤为重要。

当然,相较于尚不明朗的“网络安全等级保护制度”,《网安法》为网络运营者设定的其他一些网络运行安全保护义务已经非常明确。例如第二十四条要求为用户“办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务”的网络运营者在与用户签订协议或确认提供服务时,必须要求用户提供其真实身份信息,否则不得为其提供相关服务。再如第二十八条以一种十分宽泛的表述,再度确认了此前相关法律[9]已为电信业务经营者、网络服务提供者等规定的配合执法义务,并将之适用于所有网络运营者,即要求他们“为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助”。

三、 “关键信息基础设施”:《网安法》首次提出但仍留下悬念的概念

在此次《网安法》的出台过程中,最受关注的事项之一便是其首次提出的“关键信息基础设施”这一概念。受关注的原因主要有三:一是按照其目前的定义表述,其潜在的覆盖范围十分广泛,可能影响数量众多的企业;二是其为相关运营者设置了更高的、负担更重的网络安全保护义务;三是下文所述的其对相关个人信息和业务数据传输至境外的独特限制。

值得注意的是,对“关键信息基础设施”界定和范围的表述在《网安法》制订过程中也是三易其稿:一审稿从行业、用途、用户数量等角度划定其范围[10];二审稿去除了其行业和用途属性,转而强调其在安全方面的特殊重要性[11];三审稿及正式案文则将其行业特性和安全意义结合起来,同时从这两个角度对其进行界定[12]。但无一例外,各稿均规定,关键信息基础设施的“具体范围”和“安全保护办法”将在《网安法》之外,由国务院另行制定。由此可见,对于如何界定这样一个首次提出并可能在监管实践中产生广泛影响的法律概念,立法者是十分慎重的,也表明立法者和监管者已经注意到了这一概念所引发的关注和讨论,并需要更多时间、通过更深入的研究来厘清其准确的内涵和外延。

因此,在相关配套措施进一步出台之前,对于关注其自身是否会落入“关键信息基础设施运营者”监管范畴的企业来说,《网安法》的确留下了一个很大的悬念。特别是按照《网安法》第三十一条的表述,关键信息基础设施涵盖“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域”,这是否表示所有已列明的“重要行业和领域”内信息基础设施都自动属于“关键”,此外是否还有其他未列明的“重要行业和领域”等都要留待国务院的规定来明确。

我们注意到《网安法》为关键信息基础设施运营者设定的一些义务,在其他法律法规中能够找到与之相似的规定。例如,《网安法》第三十一条明确将对关键信息基础设施的安全保护建立在网络安全等级保护制度的基础之上;第三十八条则要求关键信息基础设施运营者每年至少自行或委托专业机构进行一次安全风险检测评估。类似地,规定了计算机信息系统信息安全等级保护制度的《信息安全等级保护管理办法》要求安全等级为第三级的计算机信息系统的运营者每年至少进行一次安全自查以及委托专业机构进行一次安全等级测评。如以上第二点中所讨论的,我们目前尚无法判断这两项制度间是否存在或存在着怎样的联系,但就每年至少进行一次安全评估这项要求而言,《网安法》下的关键信息基础设施和《信息安全等级保护管理办法》下的第三级信息系统至少存在着明显的相似之处。当然,这完全不足以在关键信息基础设施和第三级以上计算机信息系统之间划上等号。但我们认为进行这种对比的意义在于,在关键信息基础设施的范围得以明确之前,相关企业至少可以从目前较为确定的类似制度中窥见监管者今后对关键信息基础设施可能的监管路径和思路。

四、 个人信息保护:对特定个人信息境外传输的限制

在“网络运行安全”之外,《网安法》的另一侧重点在于保护“网络信息安全”,特别是网络运营者收集和使用的“个人信息”的安全[13]。《网安法》将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”[14],与此前已经出台的涉及个人信息保护的法律法规[15]一样,强调其对个人身份的“可识别性”。与此同时,在网络运营者的个人信息保护义务方面,《网安法》也在很大程度上保持了与既有法律法规的一致,例如要求网络运营者收集、使用个人信息应当“遵循合法、正当、必要的原则”,“明示收集、使用信息的目的、方式和范围”,“经被收集者同意”,“公开收集、使用规则”,“不得泄露、篡改、毁损其收集的个人信息”,“未经被收集者同意,不得向他人提供个人信息”,“采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失”等等[16]

《网安法》在个人信息保护方面引起最大关注的,是其首次在法律层级上对特定个人信息必须存储在我国境内做出明确规定。这里的“特定”并非指个人信息的内容或类型,而是指向其收集主体和渠道,即“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息”。[17]换言之,并非所有网络运营者收集的个人信息都要存储在我国境内,而仅限于“关键信息基础设施运营者”在其“在中国境内”的“运营活动”中收集和产生的个人信息。这一要求同时还适用于满足前述条件的“重要业务数据”,尽管《网安法》并未指明何为“重要”业务数据。

这就意味着,一旦落入“关键信息基础设施的运营者”范畴,《网安法》将直接影响到其将在中国境内运营过程中收集和产生的个人信息和业务数据向境外传输的行为。而就我们所知,在当前国内外市场已深度融合,内资企业想要“走出去”、外资企业想要“走进来”的大背景下,以企业为主体的个人信息和业务数据的跨境流动在现实中已经十分普遍,特别是对涉及通过互联网提供“信息服务”的企业而言更是如此。因此,关键信息基础设施的范围及其带来的数据传输限制,对部分企业业务的有效乃至正常开展可能会产生根本性影响,甚或造成实质性阻碍。

当然,我们注意到《网安法》为这项限制留了一个缺口,即如果关键信息基础设施运营者出于业务需要,确实需要向境外传输个人信息或重要业务数据,则《网安法》允许其在“按照国家网信部门会同国务院有关部门制定的办法进行安全评估”[18]之后进行该等传输。但在这一办法出台之前,我们无从知晓此类安全评估的门槛,也难以预判这一例外情形的援用难度。此外,在我们看来,“因业务需要,确需向境外提供”这样的表述也为相关部门的自由裁量留下了很大空间。

五、 对“网络关键设备和网络安全专用产品”的专门要求

同样出于保障网络安全的考虑,《网安法》在主要规制网络运营者行为的同时,对于“网络关键设备和网络安全专用产品”的相关经营者也设定了专门要求,即此类设备和产品只有“按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供”[19]。这就意味着,一家企业即使不属于网络运营者,只要其从事“销售”或“提供”此类设备和产品的业务,同样需要遵守《网安法》的相关规定。在这方面,《网安法》也留下了一个引子,即规定此类设备和产品的目录将由国家网信部门会同国务院有关部门另行制定。因此,相关企业需密切关注该目录及其他后续措施的出台。

总的来看,《网安法》作为我国网络安全领域的第一部专门大法,其对于维护我国网络安全及规范相关市场主体行为的重要意义不言自明。但也正是由于这种初创性,以及网络安全监管的敏感性和复杂性,《网安法》在定纲立范的同时,仍留下了一系列亟待进一步填补的空白,这些空白很可能将在很大程度上决定《网安法》今后的实际执行效果。而对于广大在华运营的企业来说,只要存在着被纳入《网安法》规制范围的可能性,就有必要认真领会《网安法》的各项既有规定,同时密切关注《网安法》实施的后续动态及相关配套措施的出台,以免因不了解或误读相关监管规定而带来合规风险。

编者按:本文同步发表于金杜中国法律博客(Chinalawinsight.com)