2018年是中国网络安全和数据保护制度发展较为活跃的一年。在文中,我们重点介绍了四个关键领域的主要监管和执法动态: 安全保护义务,2018年监管方面重大举措频出,比如为推进网络安全法实施而出台新的规定以推动网络安全等级保护制度的建立。同时,新的检查规定授权公安机关检查互联网服务提供者的网络安全情况; 网络信息管理义务,以社交网络为治理重点的《微博客信息服务管理规定》开始实行,并引入了针对具有舆论属性的信息服务的安全评估条例。除此之外,还发布了要求对区块链信息服务提供者进行登记的《区块链信息服务管理规定》征求意见稿; 个人信息保护义务,第一部针对个人信息安全的国家标准开始生效。此外公安部门发布了《��联网个人信息安全保护指引》征求意见稿。立法机关将关于数据保护的国家法律列为其立法计划中的优先事项;

供应链安全保护义务,进展主要体现在指定了有资格进行网络关键设备和安全产品认证或检测的机构以及实施新的安全审查规则。 更多详细信息将在以下展开。在每个部分,我们对《网络安全法》所规定的义务进行了提示,并简要概述今年的主要发展态势。 欲了解更深入的最新动态,请参阅我们的每月电子公告。(点击此处获取最新公告)

I. 安全保护义务

II. 网络信息管理义务

III. 个人信息保护义务

IV. 供应链安全保护义务 

I. 安全保护义务

法律义务提示

在《网络安全法》第21条中,网络运营者被要求实施网络安全等级保护制度。在这一制度下,每个网络运营者必须根据适用于该网络运营者的安全保护义务水平进行评估和定级。这将决定该网络运营者应当遵守何种安全保护义务。

网络运营者的安全义务包括:

  1. 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

  2. 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

  3. 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;以及

  4. 采取数据分类、重要数据备份和加密等措施。

特别是对于国家安全、国民经济或者公共利益具有关键作用的信息基础设施的运营者,第31条和39条规定了包括数据境内存储要求在内的更为严格的义务。这部分运营者被称为关键信息基础设施。在2017年7月,国家互联网信息办公室发布了《关键信息基础设施安全保护条例》征求意见稿,该条例尚未正式颁布。(点击参阅我们对条例草案的解读)

根据第56条和第59条,未履行网络安全保护义务时,有关主管部门可以(i) 要求对该网络运营者的法定代表人进行约谈;(ii) 要求整改;(iii) 给予警告;以及(iv) 对网络运营者以及对不履行义务负有直接责任的主管人员处以罚款。情节严重者可能受到刑事处罚。公安部及其网警部门负责这些规定的执行。

监管动态

  1. 公安部为保障安全保护义务的依法履行采取了重要的监管措施。该部门正致力于逐步建立等级保护机制,于2018年6月公布了《网络安全等级保护条例(征求意见稿)》,并在2018年3月公布了测评机构的管理办法。这些规定是构建等级保护制度的关键组成部分,并将适用于全部网络运营者。这些规定的出台,将架设起等级保护方案实施的法律框架,并为该部门执法工作的开展铺平道路。预计这将是自2017年6月该法生效之后实行的第一部主要法规。

  2. 2018年9月,公安部发布了《公安机关互联网安全监督检查规定》。该规定授权警方检查下列服务提供者的网络安全情况:(i) 提供互联网接入、互联网数据中心、内容分发、域名服务的;(ii) 提供互联网信息服务的;(iii) 提供公共上网服务的;(iv) 提供其他互联网服务的(未作具体界定但可涵盖中国互联网产业中几乎所有的服务)。

    这些规定概括和统一了规定在《网络安全法》中的和适用于不同类型网络服务提供者的一系列规定和通知中的网络服务提供者的安全保护义务。该规定授予公安部门对互联网服务提供者的营业场所进行现场检查、以及对网络漏洞进行远程测试的权力。对公安部门的权限和对互联网服务提供者进行检查和处罚的程序也做出了说明。

  3. 2018年11月,国家互联网信息办公室和全国信息安全标准化技术委员会(负责颁布众多网络安全标准的机构,也称为TC260)启动了一项试点计划,以评估《关键信息基础设施安全检查评估指南》的报批稿。根据试点计划,6家机构将根据指南草案评估12家选定的运营者的关键信息基础设施保护情况,目的是发现在《指南》和保护义务的履行过程中可能出现的问题。这使得中国向关键信息基础设施保护制度的实施又迈进了一步。

执法动态

《网络安全法》生效以来,在2017年末出现第一波执法案件之后,2018年1月至今少有关于违反安全保护规定的案件报告。这可能是因为有关等级保护制度的主要法规和标准仍在议定过程中而尚未颁布。

然而,自上文第2段所讨论的《检查规定》对公安的权力予以明确以来,公安部似乎已加强了执法行动的力度。据报道,深圳和重庆网警在规定生效不久后的11月即下达了处罚决定。网络警察可能会对网络服务提供者进行更多的常规检查,以履行规定中明确的义务。我们预计,在上述第1段所讨论的网络安全相关规定颁布之后,该部门将进一步加强执法行动。

II. 网络信息管理义务 

法律义务提示

网络安全法第24条和47条要求网络运营者对用户执行实名制要求,管理其用户发布的信 息,并采取措施防止违禁信息的传播和扩散,保存记录并向有关部门报告相关事态。 

对这些义务的违反将带来更为严重后果。处罚措施不仅包括责令改正、给予警告、没收收 入和处以罚款,还包括暂停网络运营者的业务运营,关闭其网站,吊销业务许可证或者甚 至营业执照。

国家互联网信息办公室负责管理互联网中发布的内容和言论以及互联网新闻信息服务, 并检查监督法律项下规定的义务的履行。  

监管动态 

1. 2018年2月,国家互联网信息办公室出台《微博客信息服务管理规定》(微博客可以认 为是中国版推特)。该规定明确了微博客服务提供者的义务,包括:(i) 保护服务和信息 的安全,(ii) 实施实名注册要求,(iii) 监测和管理用户发布的信息,对法律法规禁止的 信息采取行动,(iv) 设置投诉系统,以及(v) 保存用户日志信息的记录至少6个月。 

值得注意的是,在2018年11月15日,国家互联网信息办公室发布了进一步的规定,要 求所有服务提供者对具有舆论属性或社会动员能力的服务进行安全评估。这些服务 几乎涵盖所有与网络言论相关的主流互联网服务,例如互联网论坛、博客、微博客、 聊天室、消息组、官方账户、短视频和直播。服务提供者可以自行进行安全评估,或者 授权第三方进行安全评估。由此产生的报告必须提交给市级或以上网信部门和公安 部门。这些部门有权对报告进行审查,并在必要时可要求实地检查或重新评估。 

微博客管理措施的内容与2017年8月和9月发布的有关互联网论坛社区、用户跟帖评 论、用户公众账号和群组的四项管理规定相一致(请点击此处参阅我们关于这四项规 定的文章)。微博客管理规定和安全评估规定是监管方面的重要进展,完善了去年关 于互联网言论相关服务的规定所建立的法律框架。这些规定目前涵盖了大多数网络 言论和相关服务提供商。

2. 2018年10月,国家互联网信息办公室发布了《区块链信息服务管理规定》(征求意见 稿),要求中国所有区块链信息服务提供者在提供服务之日起十个工作日内(通过网 上登记系统)向其备案。《规定》草案将区块链信息服务提供者纳入行政部门的审查范 围,并重点审查其内容管理。《规定》草案旨在确保区块链信息服务提供者将在其平台 上妥善保存用户及用户活动记录(包括遵守实名注册要求),并管理使用其服务发送 和发布的信息,以及维护信息的安全性。值得注意的是,规定草案还要求区块链服务 提供者向管理部门报告新产品、应用和功能,以便进行安全评估。 

执法动态

执法案件的数量显著增加属意料之中。国家互联网信息办公室及其地方分支机构频繁约 谈主流互联网公司,并下令暂停或关闭一些人气颇高的移动应用程序。值得注意的是,执 法行动针对的是在网络新闻、社交网络、短视频、在线音乐和电子商务应用程序等平台上 传播的不适当或非法的内容。受影响者包括一些最受欢迎的应用程序和服务,例如今日头 条(字节跳动)、快手、抖音和微博。随着网络言论监管体系的迅速发展,这一领域的执法 将在相当长的一段时间内保持活跃。 

III. 个人信息保护义务 

法律义务提示

网络安全法要求网络运营者在处理个人信息时遵循合法、正当、必要的原则。该法律还对 网络运营者规定了一系列数据保护义务,其中包括对数据主体进行告知并获得其同意、对 数据泄露采取补救措施、以及使数据主体能够对其个人信息行使某些权利的义务。违反法 律可能会受到行政和刑事处罚。 

监管动态 

1. 2018年5月1日起生效的《个人信息安全规范》,明确了为履行法律规定的数据保护义 务而设计的具体要求,并可以为我国数据保护的合规实践提供有益的指导。 

这是中国第一部个人信息保护国家标准。尽管这些标准缺乏强制效力,但它们可以作 为有关部门和法院评估数据控制者是否已履行法律规定的数据保护义务的重要参 考。此外,标准中全面的范围和详细的措施使它们成为实用的合规实践指南。建议公 司采取行动执行这些标准以确保对法律的遵守。我们已经准备了关于该标准的详细 分析(请点击此处)。 

该标准还规定关于个人信息的安全影响评估制度。根据该制度,数据控制者应测试其 数据处理活动的合法性,评估数据主体的风险,并评估其数据保护措施的有效性。《个 人信息安全影响评估指南》草案于2018年6月发布并征求意见,预计将在未来几个月 最后定稿。 

自2017年发布征求意见稿以来,尚没有关于个人信息和重要数据出境的规定或指南 的立法进展的报告。据我们了解,草案仍在讨论和修订当中。 

2. 行业监管机构同样采取行动加强数据保护。新合并的银行和保险监管机构——中国 银行保险监督管理委员会于2018年5月发布了《银行业金融机构数据治理指引》。该指 引要求银行金融机构建立数据治理框架体系,以确保安全、快速和有效地进行数据处 理。 

2018年7月,国家卫生健康委员会颁布了《国家健康医疗大数据标准、安全和服务管 理办法》,要求所有卫生管理部门、卫生机构和其他有关方面采取行动,遵守法律规 定,并指出将起草健康方面的大数据标准。值得注意的是,此办法规定了数据境内存 储要求,即所有卫生和医疗大数据都应该存储在中国境内安全可靠的服务器中,并且 只有在通过安全评估之后,才可根据需要批准这些数据的输出。 

3. 在2018年9月全国人民代表大会常务委员会发布的立法工作计划中,个人信息保护法 和数据安 法被列为第一类立法项目,这意味着常务委员会认为可以在其任期内就 这些法律提请审议。如获批准,这两部法律将成为中国第一批关于数据保护的国家法 律。值得注意的是,这两部法律并没有出现在上届常务委员会公布的立法工作计划 中,这表明数据保护在过去几年中被迅速提上政府的立法进程。 

4. 2018年11月,公安部网警部门发布了《互联网个人信息安全保护指引》征求意见稿, 用以指导互联网公司建立个人信息保护体系和措施。虽然该指南不是强制性的,但其 明确指出可在监督、审查和个人信息保护执法中用作参考。 

该《指引》是在上文第1段所讨论的《个人信息安全规范》以及2008年等级保护制度相 关标准(这些标准将被目前正在修订的新标准所取代)的基础上起草的,并且采纳了 其中相当一部分内容。值得注意的是,纳入关于等级保护制度的标准意味着遵守等级 保护制度将构成数据保护要求的一部分。 

《指引》适用于包括数据控制者和数据处理者在内的所有“个人信息持有者”,而《个人 信息安全规范》主要适用于数据控制者。因此,该《指引》可适用于不受《规范》约束的 非数据控制者类型的公司。《指引》中没有讨论《指引》与其他数据保护规定,特别是与 《个人信息安全规范》之间可能存在的任何冲突。 

执法动态 

我们已经看到,与侵犯个人信息有关的刑事案件数量急剧增加。这些案件大多涉及非法收 集和销售个人信息,包括了私营公司、个人以及公务员和政府员工。公安在对数据保护案 件的追查上比以往更加积极。 

随着《个人信息安全规范》的生效和安全影响评估制度的建立,我们预计更多的执法行动 将会接踵而来。此外,公安部发布的《指引》草案显示,公安正在加强监管以及数据保护方 面的执法工作。该指引将为网络警察在评估互联网公司(以及其他可能涉及的公司)对数 据保护义务的遵守时提供详细和实用的参考。 

IV. 供应链安全保护义务 

法律义务提示 

《网络安全法》要求网络产品和服务必须符合国家强制性标准。此外,网络关键设备和网络 安全产品必须经过具备资格的机构检测或认证,以符合这些强制性国家标准。国家互联网 信息办公室等有关部门负责公布网络关键设备和信息安全专用产品清单。 

在2017年,政府有关部门发布了规定,要求关乎国家安全的网络产品和服务通过安全审 查制度(点击此处查看我们对该制度的分析)。有关部门还发布了第一批网络关键设备和 网络安全专用产品目录。制造商可以选择将其经由认证机构检测或认证的产品列入目录 当中,认证机构将向有关部门提交检测或认证结果。 

监管动态 

2018年3月,有关部门公布了承担网络关键设备和网络安全产品认证或检测任务的机构 名单,共包含16家机构。在2018年5月和6月,国家认证认可监督管理委员会公布了《网络 关键设备和网络安全专用产品安全认证实施规则》及其他规定。其中提到,如果产品在实 施规则发布之前已经由认证机构认证合格,并且仍然在有效期内,则制造商可以申请将现  有认证转换为该制度下的新认证。 

如果您希望收到我们关于中国网络安全和数据保护的更新和见解,请点击此处或通过 James.gong@hsf.com与我们联系。