2016年11月7日,三易其稿的《中华人民共和国网络安全法》(“《网安法》”)正式通过,并将于2017年6月1日起施行。作为我国第一部网络安全领域立法,《网安法》的出台影响之深远可能超出了我们很多人的预期,而对于《网安法》的理解也需要结合主管部门进一步的解释和实践操作进行深入而又持续的分析。

《网安法》广泛适用于在中国境内建设、运营、维护和使用网络等行为,该法对包括网络服务提供者在内的网络运营者需要遵守的网络运行和信息安全义务提出了明确要求。尤其需要注意的是,《网安法》特别引入了“关键信息基础设施”的概念,并明确对金融等重要行业的关键信息基础设施实行重点保护,要求关键信息基础设施的运营者承担进一步的保护义务。

一方面,鉴于目前绝大多数在华金融机构都会使用网络进行信息收集、存储、处理和传输,以在中国境内提供产品或服务,根据《网安法》,此类金融机构很可能被认定为网络运营者,其在境内使用网络的行为应受到《网安法》的调整,并遵守其中对网络运营者普遍适用的要求。另一方面,中国境内的金融机构作为金融这一重点行业的运营者,同时也被《网安法》纳入“关键信息基础设施的运营者”这一重点监管范畴,因而应当履行更高的网络安全保护义务。

那么,《网安法》的正式出台到底对金融机构有哪些影响?伴随着新法的施行,未来金融机构又应承担哪些法律要求的义务和责任?对于金融机构,新法的哪些条文有待进一步解读?我们会在本文中试图梳理和回答这些问题,并在接下来的系列文章中做进一步解读。

个人信息和重要业务数据需在中国境内存储且未经安全评估不得向境外提供

针对金融机构等关键信息基础设施的运营者,《网安法》明确要求在中国境内运营中收集和产生的个人信息和重要数据需在中国境内存储。如果违反此项规定在境外存储网络数据或向境外提供网络数据的,金融机构将可能被没收违法所得、处以罚款、吊销业务许可证甚至营业执照等,而直接负责的主管人员和其他直接责任人员也会被处以罚款。需要注意的是,《网安法》在提出信息和数据必须境内存储要求时开了一道口,即“因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。而在今后的实践中,究竟如何理解“因业务需要,确需向境外提供的”,还有待主管部门给出更为明确的评估标准及操作方法。

《网安法》这一规定与央行对银行业金融机构的监管思路相吻合。在2011年,央行在其发布的《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》中明确规定,在中国境内收集的个人金融信息应当在中国境内进行储存、处理和分析,除非法律另有规定,银行业金融机构不得向境外提供个人金融信息。从央行上海分行和广州分行等分行的相应发文中,央行各分行为境内银行业金融机构向境外总行、母行或分行、子行提供境内个人金融信息做出了例外,其多数规定在保证个人金融信息保密的前提下,为业务需要,并获得客户书面授权或同意,境内银行业金融机构可以向其境外关联机构提供境内个人金融信息。

《网安法》的上述规定会对境内银行业金融机构的现行操作造成的影响目前还有待观望。考虑到实践中外资金融机构确有与境外关联机构共享个人金融信息的需要,若需维持现有操作,境内银行业金融机构至少需要“按照国家网信部门会同国务院有关部门制定的办法”进行“安全评估”。建议在《网安法》正式生效前,境内金融机构应密切关注监管机构动态,同时为可能发生的数据存储和处理机制的调整做好充分准备。

金融机构需根据网络安全等级保护制度的要求履行安全保护义务

《网安法》此次新提出“网络安全等级保护制度”这一概念,强调在网络安全等级保护制度的基础上,对包括金融在内的若干重要行业和领域实行重点保护。并且,该法列举了一系列金融机构需履行的具体安全保护义务,例如留存网络日志不少于六个月、采取重要数据备份和加密、设置专门安全管理机构和安全管理负责人并进行安全背景审查等。

但是,《网安法》未对“网络安全等级保护制度”做进一步规定,既未解释该制度的内涵、也没有说明该制度将如何实施,以及“网络安全等级”具体如何划分和确定。建议金融机构进一步关注未来由国务院制定的关键信息基础设施的具体范围和安全保护办法。

提供网络关键设备和网络安全专用产品需经安全认证或检测,并且网络产品和服务的采购可能需通过国家安全审查

《网安法》要求,对于网络关键设备和网络安全专用产品,需由具备资格的机构安全认证合格或者安全检测符合要求后方可销售或提供。此外,如果金融机构采购网络产品和服务可能影响国家安全的,还需通过相应的国家安全审查。

考虑到金融机构经常会采购一些用于金融数据存储、加密或解密的设备或软件,这类设备或软件有很大可能属于网络关键设备和网络安全专用产品的范畴,建议密切关注国家网信办或有关部门制定的网络关键设备和网络安全专用产品目录,并且在未来采购审查中要求供应商提供相关安全认证和安全检测证明。此外,对于“可能影响国家安全的”网络产品和服务采购,目前尚未有明确的判断标准,金融机构应对监管机构后续对此的解读给予关注。

需对网络的安全性和可能存在的风险进行年度检测评估

《网安法》要求金融机构等关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。现有规定未就该等网络安全服务机构的资质和评估标准做具体说明,因此金融机构未来在实际履行这方面的义务时可能需与对应的监管机构进一步商榷确认。

除了以上针对金融机构的特殊要求外,《网安法》中还提及了许多针对网络运营者普遍适用的要求。例如,要求网络运营者对于网络安全危害和个人信息泄露等事件,需立即采取补救措施、向主管部门报告并告知信息被泄露的用户。又如,网络运营者需对网信部门等的监督检查予以配合,并对公安、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助等。对于这部分普遍性的要求,金融机构也需予以足够的关注。

从2015年8月《网安法》第一次审议稿草案公开征询意见至今,已有一年多的时间。但新出台的法律规定中还有许多条款有待进一步商榷和解读。例如,在当前互联网互联互通的技术环境下,如何理解“在中国境内使用网络”?又如,对于银行等金融机构提供的网络银行U盾等产品,是否属于网络安全专用产品的范畴?再如,《网安法》中提到“经过处理无法识别特定个人且不能复原”的信息作为个人信息收集和使用的例外规定,对于这部分信息的使用又有无其他限制?我们将在未来的系列文章中进一步为大家解读。

编者按:本文同步发表于金杜中国法律博客(Chinalawinsight.com)