李旻：《网络安全法》本意是推广安全可控的产品和服务

摘要：日前，中国电子商务研究中心特约研究员、上海汉盛律师事务所高级合伙人李旻律师在接受《法人》记者就《网络安全法》采访时表示，《网络安全法》的颁布，其立法本意是要在我国领域内推广‘安全可控’的产品和服务。安全可控包含着三方面的意思：首先，在于产品的安全可控，即禁止网络服务提供者通过网络非法控制和操纵用户设备，损害用户对设备和系统的控制权；其次，在于数据的自主可控，即禁止网络服务提供者利用提供产品或服务的便利条件非法获取用户重要数据，损害用户对自己数据的控制权；最后，在于用户的选择可控，即禁止服务提供者利用用户对其产品和服务的依赖性，限制用户选择使用其他产品和服务，损害用户的网络安全和利益。在李昱看来，本次立法亮点颇多。例如，《网络安全法》前所未有地提出了网络空间主权概念，丰富了我国享有的主权范围，其将网络空间主权视为我国国家主权在网络空间中的自然延伸和表现。将网络空间的概念上升为国家主权，更有利于保障我国合法网络权益不受他国或国外组织的侵害。一切在我国网络空间领域内非法入侵、窃取、破坏计算机及其他服务设备或提供相关技术的行为，都将被视作是侵害我国国家主权的行为。以下为该报道原文全文：《网络安全后立法时代》《网络安全法》的出台，无疑顺应了网络空间安全化、法治化的发展趋势，对国内网络空间治理有极为重要的作用。但作为网络空间安全法律体系的重要起点，《网络安全法》也只是开了个好头，接下来，关于民事侵权责任、个人信息保护、软硬件市场准入、行业自律规范等多方面的完善，还需要很长一段时间自2017年6月1日起，中国网络安全迎来新的时代。当天，备受关注的《中华人民共和国网络安全法》(以下简称《网络安全法》)正式开始实施。以往中国互联网行业在安全方面的诸多积弊，或将严格规范。中国互联网行业发展迅猛，监管的步伐始终难以跟上行业发展速度。而网络安全是个多元化的命题，涉及个人信息保护、企业商业安全、监管体系的建立、立法和司法的逐步完善等。《网络安全法》的实施，仅是开了个好头，接下来，法律如何完善实施、监管如何进一步有效协调、对于违法行为如何有效地惩戒，亦是网络安全现状能否真正得到改善的重要举措。从这一角度来看，《网络安全法》实施之后，仍有很多问题需要逐步厘清。安全可控是立法本意《网络安全法》的颁布，其立法本意是要在我国领域内推广‘安全可控’的产品和服务。上海汉盛律师事务所高级合伙人李旻律师在接受《法人》记者采访时表示。安全可控包含着三方面的意思：首先，在于产品的安全可控，即禁止网络服务提供者通过网络非法控制和操纵用户设备，损害用户对设备和系统的控制权；其次，在于数据的自主可控，即禁止网络服务提供者利用提供产品或服务的便利条件非法获取用户重要数据，损害用户对自己数据的控制权；最后，在于用户的选择可控，即禁止服务提供者利用用户对其产品和服务的依赖性，限制用户选择使用其他产品和服务，损害用户的网络安全和利益。在李昱看来，本次立法亮点颇多。例如，《网络安全法》前所未有地提出了网络空间主权概念，丰富了我国享有的主权范围，其将网络空间主权视为我国国家主权在网络空间中的自然延伸和表现。将网络空间的概念上升为国家主权，更有利于保障我国合法网络权益不受他国或国外组织的侵害。一切在我国网络空间领域内非法入侵、窃取、破坏计算机及其他服务设备或提供相关技术的行为，都将被视作是侵害我国国家主权的行为。《网络安全法》还确立了网络安全等级保护制度，将网络安全分为五个等级，随着级别的增高，国家信息安全监管部门介入的强度越大，以此对信息系统安全保护起到监督和检查。实名认证制度则是本次立法的另一大亮点。《网络安全法》规定了网络服务经营者、提供者及其他主体在与用户签订协议或者确认提供服务时应当采取实名认证制度，包括但不限于网络接入、域名注册、入网手续办理、为用户提供信息发布、即时通信等服务。实务中，这一制度灵活性及可操作性较强，可采取前台匿名，后台实名的方式进行。但是，实名认证的工作必须落实到位，若不实行网络实名制的，则最高可对平台处以50万元的罚款。此外，本次立法还确立了关键信息基础设施运营者采购网络产品、服务的安全审查制度。《网络安全法》对提高我国关键信息基础设施安全可控水平提出了相关法律要求，并配套相继出台了《网络产品和服务安全审查办法(试行)》(该《办法》与《网络安全法》均于2017年6月1日起生效)，明确了关系国家安全的网络和信息系统采购的重要网络产品和服务，对网络产品和服务的安全性、可控性应当经过网络安全审查。涉及国家安全、军事领域等产品及服务的采购，若可能影响国家安全的，应当经过国家安全审查。与此同时，新法还要求建立安全认证检测制度。针对网络关键设备和网络安全专用产品，规定应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。本次立法还确立了网络通信管制制度。网络通信管制制度的确立目的是在发生重大事件的情况下，通过赋予政府行政介入的权力，牺牲部分通信自由权，来维护国家安全和社会公共秩序的制度。该做法是国际通行做法，例如在发生暴恐事件中，可切断不法分子的通联渠道，避免事态进一步恶化，保障用户的合法权益，维护社会稳定。但是这种管制影响是比较大的，因此《网络安全法》严谨地规定实施临时网络管制，要经过国务院决定或者批准。一般来说，网络通信管制制度的实施是短时性的，一旦事件处置结束，政府会立即恢复正常通信，以尽可能小的对地人通信带来不便。除以上几点之外，《网络安全法》还在重要数据强制本地存储制度、境外数据传输审查评估制度、个人信息保护制度、个人信息流通制度等方面，进行了相应规范。个人信息保护难题待解作为我国网络安全治理领域的基础性立法，《网络安全法》首次在法律层面规定了个人信息保护的基本原则，明确指出，收集适用信息应经用户明示同意，不得收集无关信息，不得向他人提供个人信息，经过处理无法识别特定个人且不能复原的除外，不得非法出售个人信息。所谓个人信息包括两类，一类是姓名、住址等基本信息；另一类是账户、密码等交易类信息。随着互联网应用的普及和人们对互联网的依赖，互联网的安全问题也日益凸显。恶意程序、各类钓鱼和欺诈继续保持高速增长，同时黑客攻击和大规模的个人信息泄露事件频发，与各种网络攻击大幅增长相伴的，是大量网民个人信息的泄露与财产损失的不断增加。北京邮电大学互联网治理与法律研究中心副主任崔聪聪在接受《法人》记者采访时表示，《网络安全法》在明确收集和利用个人信息应遵循合法、正当和必要原则的基础上，进一步细化了个人信息收集、处理、利用和传输的条件，细化了收集人的安全保障义务，通过赋予权利人知情同意、更正权和删除权等强化了个人的权利，特别是匿名化处理的规定，有效地平衡了个人信息安全和产业发展之间的冲突。而在电商领域，由于用户在各大电商网站注册、购物导致的个人信息泄露事件时有发生。据中国电子商务研究中心对1000位用户在线调查显示，21.7%的用户曾因网购、论坛、微信等遭遇过信息泄露，并且11.2%的用户接到过疑似的诈骗电话；56.8%的用户表示对互联网信息安全担忧，并会对要填写个人信息的互联网游戏，注册等保留一定的戒心，而仍有43.2%的用户认为互联网信息泄露与个人无关，不太关注。另据中国互联网协会《中国网民权益保护调查报告2016》显示，近一年的时间，国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。54%的网民认为个人信息泄露情况严重，84%的网民曾亲身感受到因个人信息泄露带来的不良影响。据中国电子商务研究中心监测，绝大多数新型的网络骗术都与个人信息的泄露有关，他们或者是充分利用已经窃取到的受害者个人信息实施网络诈骗，或者就是以受害者的个人信息为网络诈骗的攻击目标，个人信息的非法交易也恰恰是造成网络诈骗犯罪泛滥的根本原因。用户信息泄露有多种可能性途径，互联网信息泄露隐形风险重重。现在很多网民拥有多个账号，注册时网站一般都要填写一些个人信息，如常见的账号、密码、邮箱等，有的网站甚至要实名认证。中国电子商务研究中心主任曹磊在接受《法人》记者采访时表示。信息泄露带来的危害毋庸置疑，那么如何保护用户的个人信息安全？曹磊给出了四点建议：首先，网站用户信息泄露必须提防多种可能性途径。现在许多APP、网站、公众号、小程序都需要用户注册账号后才能正常使用。因此，每个网民拥有多个账号是很平常的事情。在注册时，网站一般都要填写一些个人信息，如常见的账号、密码、邮箱等，像一些电子商务、婚恋、交友网站等还需要实名认证，要求填写的信息更加详细。而平台上的用户数据泄露主要有以下几种方式：黑客利用平台存在的安全漏洞入侵网站，盗取用户数据库；网站内部工作人员倒卖用户信息；通过撞库攻击，窃取用户数据；利用钓鱼攻击窃取用户信息；通过木马、病毒窃取用户隐私信息。其次，法律条文应细化，相关部门应适时介入。我国关于网络信息安全方面的法律条文不够明确，适用范围尚且不够精准，相关条文必须得到进一步细化、规范，以此更加公平、公正地惩治网络信息安全事故的造成者，保护公民切身利益。此类信息泄露事件不适用不告不处理的的原则，相反，执法部门应主动积极介入案件调查，并对实施者进行追责处理。再次，信息安全无小事，用户必须增强信息保护意识。警惕要求重新输入账号信息，否则将停掉信用卡账号之类的邮件，不要回复或者点击邮件的链接，以免落入圈套。同时，避免开启来路不明的电子邮件及文件，安装杀毒软件并及时升级病毒知识库和操作系统补丁，将敏感信息输入隐私保护，打开个人防火墙。在使用网络银行时，选择使用网络凭证及约定账户方式进行转账交易，不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。不要在多个网站使用相同的注册账户名以及登录密码，防止网络黑客有意盗取，造成多个网站个人信息的连环失窃。最后，要求网站平台收集和使用用户信息应当遵循合法、正当、必要三原则。对收集到的用户信息应当采取安全保护措施，一旦发生泄密，必须及时采取补救措施，否则可能面临行政处罚或者用户的诉讼。违法惩处力度加大伴随着《网络安全法》的实施，有关违法行为惩处的力度也在相应加大。与《网络安全法》同于6月1日实施的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确规定，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息等个人信息50条以上的，即构成犯罪，对掌握公民个人信息的内部工作人员泄露公民个人信息将从重处理。本次立法还明确了网络运营者的相应责任，如第四十二条规定，网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。针对当前通信信息诈骗特别是新型网络违法犯罪呈多发态势，《网络安全法》增加了惩治网络诈骗等新型网络违法犯罪活动的规定，即任何个人和组织不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通信群组，不得利用网络发布与实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动有关的信息。《网络安全法》明确了利用网络实施诈骗以及为网络诈骗提供帮助或者便利条件的法律责任。北京邮电大学互联网治理与法律研究中心副主任崔聪聪告诉《法人》记者，《网络安全法》从立法伊始就将个人信息保护列为了应重点解决的问题之一，切中了当个人信息泄露乱象的要害，同时结合刑法修正案九的相关规定，进一步加大了对违法收集、滥用个人信息行为的打击力度。中国电子商务研究中心法律权益部分析师姚建芳对《法人》记者总结了信息泄露的三种原因：拥有个人信息资料的商业机构被外部窃取或内部泄露；技术漏洞所致，造成用户大量隐私内容曝光；用户个人由于信息保管不当，被不法分子获得等。姚建芳认为，保护个人信息，仅靠企业的技术手段远远不够，根据业界掌握的情况，很多互联网用户个人信息泄露事件都是一些企业内部员工泄露导致的。因此，企业加大对内部员工的管理、承接至关重要，还可以出台黑名单机制，各电商、互联网公司联网，一次犯罪，各家平台乃至全行业永不录用。部分外企或受影响《网络安全法》在数据存储和境外数据传输等方面亦做出规范，这也引发了不少企业尤其是外资企业的担忧。其一是重要数据强制本地存储制度。该制度主要调整的是关键信息基础设施运营者在收集个人信息重要数据的合法性问题，规定了要强制在本地进行数据存储。其二是境外数据传输审查评估制度。本地存储的数据若确属需要数据转移出境的，应同时满足以下条件：1 .经过安全评估认为不会危害国家安全和社会公共利益的；2 .经个人信息主体同意的。另外，该制度还规定了一些法律拟制的情况，比如，拨打国际电话、发送国际电子邮件、通过互联网跨境购物以及其他个人主动行为，均可视为已经取得了个人信息主体同意。此两项新规被认为主要针对的行业包括金融、交通、医疗保健、公用事业和通信。其中，要求在中国境内的企业运营中收集和产生的公民个人信息和重要的业务数据，应在中国境内存储，亦引发一定争议。受影响比较大的首先是国内外的网络运营商，以及网络产品和服务的供应商，如电信、TI等行业。一位外企安全专家在接受《法人》记者采访时强调，这将影响在中国经营的部分外资公司，特别是使用其自有的全球基础设施和信息技术资源在中国经营业务的公司，因为在中国收集的原始数据，包括业务数据和客户数据，一般都直接存储在物理位置位于海外的数据中心或服务器上。鉴于此，很多在中国开展业务的外资企业，必须开始调整相关布局，将存储于中国境外的电子邮件服务器等调整至境内，提前规划重新建设其基础设施以符合新法的要求。此外，一些外资企业还对新法中的相关内容提出了质疑。如一些美国企业认为，《网络安全法》中要求分享原代码或者公布产品一些设计细节的内容，可能会伤害技术革新，泄露企业的商业机密。不过在该位专家看来，目前新法刚刚实施，且在实施之前已经留出相当的缓冲时间，一些行业中的企业已经开始积极调整业务模式，以应对法律的规范。对很多外资企业来说，目前仍处于学习、了解新法的过程。立法的初衷是倡导建立一个统一的安全标准，目的是保护所有网络用户的安全。其不只是针对国外企业，所有相关的企业都会涉及。而且不仅中国有类似的法律，国外很多地方早已有类似的法律。该专家告诉《法人》记者。而在崔聪聪快看来，基于国家安全和保护用户权益的需要而对数据跨境流动进行管理，不会成为也不应该成为国际贸易的障碍，也不是所谓的数字贸易壁垒，更不会影响公司的竞争力。2013年6月，美国棱镜计划被曝光，造成各方对当前国际互联网治理安排缺乏信任，各国数据本地化立法数量逐渐增加，并强化了对数据跨境流动的管理，如俄罗斯、韩国、澳大利亚、印度、阿根廷、土耳其、印度尼西亚、马来西亚等国通过修法或制定新的法律强化对数据跨境的监管。规范与限制数据出境的目的在于保障数据信息免受未经授权的访问、使用、披露、破坏、修改和销毁等，同时防止数据被恶意使用威胁国家安全、社会公共安全和个人安全。崔聪聪说，对中国的立法，既要看到数据本地化、境内存储的要求，也要看到符合法定条件后可以出境的规定。所以中国网络安全法的规定，兼顾了产业发展与国家安全、社会公共安全以及个人权益，在发展与安全之间取得了很好的平衡。细则仍待完善《网络安全法》的出台，无疑顺应了网络空间安全化、法治化的发展趋势，对国内网络空间治理有极为重要的作用。不过，尽管是网络空间安全法律体系的重要起点，《网络安全法》也只是该法律体系的一个组成部分。下一步，《网络安全法》从开始实施到完善落实，还需要一定的过渡期。除此之外，新法内的一些具体规定要具体落地，还有一些配套措施要完善。《网络安全法》是网络安全的基本法，为今后我国构建完整全面系统的网络安全法律体系奠定了基础。辽宁亚太律师事务所董毅智律师在接受《法人》记者采访时表示，如何权衡安全与发展之间的关系，将是未来该法实施的重大挑战。董毅智认为，我国互联网产业能够在国际上实现跨越式发展，实现弯道超车，确实因为前20年相对宽松的监管环境。而今《网络安全法》的实施，必然会产生安全与发展的矛盾，如何寻找切和点，真正实现互联网安全的法治，需要一个比较长的周期去观察。还应该呼吁和强调执法问题，任何立法的最终价值体现在执法层面，如何顺应民意，在监管上实现高超的技术，利用互联网的特色，将是一个不断考量人性弱点的历程，需要每个网民关注。董毅智告诉《法人》记者。目前来看，《网络安全法》虽是网络安全领域的根本大法，但在实施中仍有很多细节问题要解决。比如网络实名制问题，到现在还没有彻底落实，在技术上、监管主体及网站责任等方面，尚未形成统一标准。因此，《网络安全法》的落地，需要相关实施细则以及包括《个人数据保护法》等在内的其他法规的配合，网民协议制度、行业自律规范、技术能力等也都要跟上。与此同时，在今后的实践中，应处理好《网络安全法》与一些相关法律法规的关系，如民事侵权责任、个人信息保护、软硬件市场准入等相关法律法规，在保障网络安全的同时，避免在法律适用等环节出现问题。作为新兴领域，中国互联网行业发展迅猛，一些新的问题与瓶颈不断产生，亦对监管部门提出了更高的要求。从这一角度来看，监管部门也应加强自身建设，适应飞速发展、变幻万千的网络安全监管特征，在立法不断完善的同时，提高执法水平。无论如何，网络空间不是法外之地。

分享到