網路執行安全保護是企業在網路安全法下的核心責任,在《網路安全法》第三章做了集中規定,並且根據主體的差異,對一般性主體做出了一般規定,而對關鍵資訊基礎設施的運營者做出了特別規定。我國網路安全法第四章詳盡地規定了企業在個人資訊保護方面需承擔的責任。
一.對企業網路行為的規定
(一)一般規定
對於一般性主體的網路執行安全保護責任,可以分為以下六個方面:
1.安全等級保護制度
網路安全法第21條對於網路運營者應落實網路安全等級保護制度,履行具體安全保護義務做出了較詳盡的規定,同時在第59條中明確了相應的法律責任,包括責令整改、警告及罰款等。具體來說,除兜底條款外,還有4項主要義務。
2.實名制
網路安全法第24條第1款規定了“網路運營者為使用者辦理網路接入、域名註冊服務,辦理固定電話、行動電話等入網手續,或者為使用者提供資訊釋出、即時通訊等服務,在與使用者簽訂協議或者確認提供服務時,應當要求使用者提供真實身份資訊。使用者不提供真實身份資訊的,網路運營者不得為其提供相關服務。”
3.網路安全事件應急預案及安全風險處置
對網路運營者而言,當發生網路安全事件時,如果有可供執行應急預案,並能夠積極處置安全風險,那麼可能就會很大程度地降低網路安全事件造成的損害。企業違反前述規定的,主管部門將依據網路安全法第59條1款進行處罰,處罰方式包括責令整改、警告及罰款等。
4.持續安全維護
網路產品和服務提供者就其提供的產品和服務進行持續安全維護,原本屬於提供者和購買者之間的合同義務,但網路安全法第22條第2款基於保障網路執行安全的角度考慮,將這一義務法定化,要求網路產品、服務的提供者應當為其產品、服務持續提供安全維護,並在法律規定或者當事人約定的期限內,不得終止提供安全維護。同時還在第60條中設定了具體的法律責任,包括警告和罰款等。
5.禁止設定惡意程式
鑑於網路產品和服務提供者存在一些不規範設定惡意程式的情況,為了規範市場主體的行為,網路安全法第22條第1款特別明確了網路產品、服務的提供者不得設定惡意程式的要求。企業違反此規定的,主管部門可以依據網路安全法第60條視違法情節予以相應處罰,具體包括警告和罰款等方式。
6.禁止從事或協助實施危害網路安全活動
網路安全法第27條規定,任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路資料等危害網路安全的活動;不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路資料等危害網路安全活動的程式、工具;明知他人從事危害網路安全的活動的,不得為其提供技術支援、廣告推廣、支付結算等幫助。
(二)關鍵資訊基礎設施的運營者的特別責任
除一般規定外,鑑於關鍵資訊基礎設施(CII)對國家網路安全的特殊意義,網路安全法對其運營者通過專門一節做了特別的規定,具體包括:
1.更嚴格的安全等級保護制度
相比於一般規定,網路安全法第34條對於CII運營者提出了更高的要求,具體是:1)設定專門安全管理機構和安全管理負責人,並對負責人和關鍵崗位的人員進行安全背景審查;2)定期對從業人員進行網路安全教育、技術培訓和技能考核;3)對重要系統和資料庫進行容災備份;4)制定網路安全事件應急預案,並定期進行演練。
2.資料跨境轉移限制
在強調網路空間主權和資料安全的背景下,網路安全法第37條明確要求CII運營者在境內收集和產生的個人資訊和資料應當在境記憶體儲,如果確實需要向境外提供的需要進行安全評估。
3.採購行為的安全審查
網路安全法第35條對CII運營者採購網路產品和服務提出了一項具體的要求,即對於可能涉及國家安全的,相關的採購活動還需要通過網信部門的國家安全審查。對於向外資企業採購相關產品和服務的CII運營者而言,可能需要加強對該規定的關注。
4.採購需簽訂安全保密協議
除網路安全法35條規定的安全審查制度外,根據網路安全法第36條的規定,CII運營者在採購活動中,還應當與產品或服務的提供者簽訂安全保密協議,明確安全和保密義務與責任。
二、個人資訊保護責任
保護公民的合法權益,是網路安全法的主要立法目的之一,落實到具體內容中,其核心便是個人資訊保護制度。
我國網路安全法第四章詳盡地規定了企業在個人資訊保護方面需承擔的責任,中國的網路安全問題具有普遍性,也具有獨特的中國特色,作為中國網際網路治理經驗的總結,對於奠定中國網際網路治理的基本框架並進而逐步形成中國治理模式,具有里程碑式的意義。
