崔亮亮
信息化时代,网络已经深刻地融入到人们的经济社会生活各个方面,网络安全问题已经成为关系国家安全和发展、关系广大人民群众切身利益的重大问题。在这个大背景下,11月7日,第十二届全国人大常委会第二十四次会议通过了《中华人民共和国网络安全法》(以下简称《网络安全法》)。这是我国第一部有关网络安全的法律,是网络领域的基础性法律,明确加强对个人信息保护,打击网络诈骗。该法自2017年6月1日起施行。
全国人大常委会法工委经济法室副主任杨合庆在当日举行的新闻发布会上介绍,《网络安全法》共有7章79条,内容上有6方面突出亮点:第一,明确了网络空间主权的原则;第二,明确了网络产品和服务提供者的安全义务;第三,明确了网络运营者的安全义务;第四,进一步完善了个人信息保护规则;第五,建立了关键信息基础设施安全保护制度;第六,确立了关键信息基础设施重要数据跨境传输的规则。
建立基础设施安全保护制度
《网络安全法》规定了关键基础设施运营者的义务和要求。着重强调了对公共通信和信息服务、能源、交通、公共服务、电子政务等重要行业和领域实行重点保护。并鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系中来。
以立法手段保护关键信息基础设施是国际上通行做法。《网络安全法》除规定了建设关键信息基础设施应当确保其具有业务稳定、持续运行的性能外,还规定了新的制度,如设置专门安全管理机构和安全管理负责人,并对关键岗位人员进行安全背景审查;对重要系统和数据库进行容灾备份。
此外规定关键信息基础设施的运营者采购网络产品和服务,应当与提供者签订安全保密协议;境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。关键信息基础设施的运营者应对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责安全保护工作的部门。这些制度初步构建起了关键信息基础设施保护制度体系,具有突破性的作用。
特别是针对个别犯罪分子在境外从事侵害攻击我国“关键信息基础设施”安全的,第七十五条规定对境外个人或组织侵害的特殊处罚措施,可以采取“冻结财产或其他必要的制裁措施”。国家关键信息基础设施是国计民生的根本,强化保护和加大处罚力度就是为了更好地保护用户合法权益。
强化用户权利
此次《网络安全法》尤其是在用户知情权与用户对自身数据控制权与决定权做了具体规定。中国政法大学传播法研究中心副主任朱巍认为,互联网发展的未来是以用户意愿为基础的“意愿经济”模式,用户对数据的控制权和其他合法权益都是建立在用户知情权的基础之上。《网络安全法》规定,网络服务提供者发现存在安全缺陷、漏洞等风险时,有“及时告知用户”的法定义务。这条修改是针对近年来国内外多发的“漏洞门”和“黑客门”事件做出的总结,是对消费者知情权在网络权益上的发展和进化。尽管网络漏洞可能存在一定的不可控性,但用户有权在第一时间知晓漏洞的存在,网站有义务第一时间向用户进行告知。并且,该法第四十二条在网络运营者应当采取必要措施确保所收集的个人信息安全基础上,新增了对“可能”发生个人信息泄露、毁损、丢失等情况下,网络运营者也应当“按照规定及时”告知用户的义务。对于维护个人信息安全更进一步。
同时,《网络安全法》增强了用户对自己数据的控制权和自我决定权。用户发现网络运营者违法或违约收集、使用其个人信息的,有权要求其删除个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求其予以更正。这一条款赋予个人用户自我保护的权利,避免危害进一步扩大,是我国关于网络立法乃至人格权的一大进步。朱巍认为这样的规定就是将数据权作为具体人格权的明确表现,非常符合互联网时代用户权益的发展方向,也是发展中的人格权在互联网上的体现。该法明确将用户自己的数据控制权和自我决定权重新交回到了用户手中,这一点是非常值得点赞的。
强化主体责任
《网络安全法》另一大特点就是强调政府部门在保障网络安全,包括个人信息保护上的责任。该法第一章的14条条款,几乎都是关乎国家在保护网络安全中的权利和职责,在全文中,强调政府部门职责的条款比比皆是。
《网络安全法》从政府权力部门的信息保障义务入手,在源头上强化了政府部门的信息安全保障义务,国家机关政务网络运营者和有关部门将网络安全保护职责中获取的信息用于其他用途的,或者是玩忽职守、滥用职权、徇私舞弊的行为,构成犯罪的要追究刑事责任;没有构成犯罪的,也要依法予以处分。
此外,《网络安全法》还强调了网络运营者的主体责任,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通信等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
中国社会科学院法学研究所研究员、中国法学会互联网与信息法学研究会副会长周汉华认为,《网络安全法》和正制定尚未出台的《电信法》是信息网络立法分层中“地基”性的两部法律,《电信法》解决的是传输问题,《网络安全法》的核心是解决关键信息基础设施安全,维护网络数据的完整性、保密性和可用性。