研究《网络安全法》下企业的合规义务和制度建设

1、研究 网络安全法下企业的合规义务和制度建设前言：自 2017 年 6 月 1 日网络安全法（以下简称“网 安法”）正式实施以来，包括关键信息基础设施安全保护 条例（征求意见稿） （以下简称“保护条例”）、个人信 息和重要数据出境评估办法 （征求意见稿） （以下简称“评 估办法 ”）等在内的一系列配套措施也相继落地。 这些法规 的出台对企业经营者在网络安全合规方面提出了更高的要 求，各企业应当根据自身情况，及时制定或更新内部网络安 全制度，落实网络安全合规工作。 本文拟梳理网安法的相关制度体系，并且结合已经或即 将出台的配套实施细则，帮助企业更好的理解自身的合规义 务，提出实用建议。一、 网安法

2、适用于哪些企业？ 网安法的适用范围非常广泛， 任何在中国境内“建设、运 营、维护和使用网络”的企业都受到网安法的制约 。具 体来说，网安法提出了“网络运营者”的核心概念，即“网 络的所有者、管理者和网络服务提供者” 。其中，一部分网 络运营者被称为“关键信息基础设施运营者”（以下简称 “CIIO ”,）因为其所在的行业和其运营的基础设施的重要性， 被网安法赋予了比普通网络运营者更为重大的安全保障 义务。另外，针对网络产品、服务的提供者， 网安法还 提出了特殊的安全保障义务。总体来说，任何企业在特定条件下都有可能落入网安法 的管辖范围之内。以网络运营者的定义为例，由于其包括网 络服务的提供者，即

3、任何“通过网络提供服务”的主体 ，其指 向的范围实际上是十分广泛的，不仅涵盖了以网上业务为主 业的互联网企业，例如电商平台、网约车平台等，还有可能 包括任何在其主营业务之外，提供其他网络服务的传统线下 企业，如面向不特定大众提供 WiFi 上网服务、网上意见反 馈、投诉举报服务的传统企业。因此， 网安法实际上覆 盖到了各种不同的商业形态。另外，还需注意的是， 网安法的适用对象并无内外资之 别，只要是中国境内的网络运营者，不论是内资还是外资企 业，都同样属于网安法的规范对象。 二、网络运营者有哪些合规义务？ 对作为网络运营者的企业来说， 网安法提出的合规要求 主要可以归纳为两方面：一方面，从社会

4、公共利益的角度出 发，要求网络运营者建立完善的网络运营保障体系，制定网 络安全事件应急预案，保护网络能够安全、平稳运行而不受 外部的干扰和破坏。 另一方面， 从用户隐私保护的角度出发， 要求网络运营者在搜集用户信息时建立相应的保密制度，并 且加强对用户发布的信息的管理，及时对发现的违法信息采 取处置措施。1. 网络安全保障制度首先，网安法要求企业按照网络安全等级保护制度的要 求，保障网络免受干扰、破坏或者未经授权的访问，防止网 络数据泄露或被窃取、篡改，具体包括：制定内部安全管理 制度和操作规程，确定网络安全负责人，落实网络安全保护 责任；采取防范计算机病毒和网络攻击、网络侵入等危害网 络安全

5、行为的技术措施；采取监测、记录网络运行状态、网 络安全事件的技术措施，并按照规定留存相关的网络日志不 少于六个月；采取数据分类、重要数据备份和加密等措施。 当然，由于不同企业对网络的依赖程度和受到网络安全攻击 后造成的影响程度都不尽相同，企业的安全保护义务是根据 网络安全等级保护制度的等级划分来确定的，等级划分越高 的企业所肩负的安全保护责任也会越重。由于目前尚未出台 具体的网络安全等级划分制度，企业在制定内部制度时应当 结合自身的具体情况， 尽量做到与 网安法 的规定相契合。 此外，为了应对突发的网络安全事件， 网安法还要求企 业制定相应的网络安全事件应急预案，在发生危害网络安全 的事件时，

6、网络运营者需立即启动应急预案，采取相应的补 救措施，并按照规定向有关主管部门报告。结合中央网络安 全和信息化领导小组办公室（以下简称“中央网信办”）于 2017 年 1 月 10 日发布的国家网络安全事件应急预案 （以 下简称“预案”）的通知，我们建议企业在制定应急预案 的过程中，明确突发事件发生时的主要负责人、通知机制、补救措施等内容。在安全事件发生后，要尽快报告企业所在 地网信部门，以及时启动相关部门的应急处置工作。2. 用户信息保密制度 网安法的另一重点，在于确立企业在用户信息采集时对 用户信息的保密制度，并且对于用户发布的违法信息能够主 动发现，及时采取删除、举报等措施。例如，在企业收

7、集、 使用个人信息时，应当遵循合法、正当、必要的原则，公开 收集、使用规则，明示收集、使用信息的目的、方式和范围， 并经被收集者同意。另外，企业收集的个人信息还必须与其 提供的服务相关。值得注意的是网安法对于“个人信息”的定义，是指“以电 子或者其他方式记录的能够单独或者与其他信息结合识别 自然人个人身份的各种信息，包括但不限于自然人的姓名、 出身日期、身份证件号码、个人生物识别信息、住址、电话 号码等。” 因此，除了定义中列明的几项信息外， 判断某项 信息是否属于个人信息的标准关键在于该信息能不能单独 或者与其他信息结合用于识别“个人身份”。在实践中，一些 企业搜集的如用户使用某项服务的时间

8、、地点等信息，由于 可能与其他信息结合而用于识别某个用户的“个人身份”，也 有可能落入个人信息的定义范畴。除此之外，网安法还规定了企业对用户发布的信息的管 理义务，发现法律、行政法规禁止发布或者传输的信息的， 应当立即停止传输该信息，采取消除等处置措施，防止信息 扩散，保存有关记录，并向有关主管部门报告。另外，企业 还应当建立网络信息安全投诉、举报制度，公布投诉、举报 方式等信息，及时受理并处理有关网络信息安全的投诉和举 报。3. 跨境数据安全评估 根据网安法第三十七条的规定， CIIO 在中国境内运营中 收集和产生的个人信息和重要数据应当在境内存储。因业务 需要，确需向境外提供的，应当事先进

9、行安全评估。在此基 础上，评估办法进一步扩大了数据本地化要求的适用范 围，囊括了所有的网络运营者，且对于非网络运营者（其他 个人和组织）数据出境的安全评估工作，也应参照评估办 法执行。据此， 评估办法实际上将所有主体都“一网打 尽”。关于“重要数据”的范围界定，按照评估办法的规定，重 要数据是指与国家安全、经济发展，以及社会公共利益密切 相关的数据，具体范围参照国家有关标准和重要数据识别指 南。 因此，企业在实践中判断某项信息是否属于重要数据， 应当从社会公共利益的角度出发。有待出台的识别指南也将 进一步消除信息归类的不确定性。对于安全评估的具体办法， 评估办法将安全评估工作按 照信息本身的重

10、要程度分为两部分：一是需要报请行业主管或监管部门评估评估的信息， 包括：（ 1）含有或累计含有 50 万人以上的个人信息； （ 2）数据量超过 1000GB ；（3）包含 核设施、化学生物、国防军工、人口健康等领域数据，大型 工程活动、海洋环境以及敏感地理信息数据等； （ 4）包含关 键信息基础设施的系统漏洞、 安全防护等网络安全信息； （ 5） 关键信息基础设施运营者向境外提供个人信息和重要数据； 和（ 6）其他可能影响国家安全和社会公共利益，行业主管 或监管部门认为应该评估。 针对其余的需要出境的信息，企业应当在数据出境前，自行 对数据出境进行安全评估，并对评估结果负责。评估的内容 包括：

11、（1）数据出境的必要性； （ 2）涉及个人信息情况，包 括个人信息的数量、范围、类型、敏感程度，以及个人信息 主体是否同意其个人信息出境等； （ 3）涉及重要数据情况， 包括重要数据的数量、范围、类型及其敏感程度等； （ 4）数 据接收方的安全保护措施、能力和水平，以及所在国家和地 区的网络安全环境等； 和（ 5）数据出境及再转移后被泄露、 毁损、篡改、滥用等风险等。 值得注意的是，以下三类情况下信息是不得出境的： （ 1）个 人信息出境未经个人信息主体同意，或可能侵害个人利益； （2）数据出境给国家政治、经济、科技、国防等安全带来 风险，可能影响国家安全、损害社会公共利益； （ 3）其他经

12、国家网信部门、公安部门、安全部门等有关部门认定不能出 境的。三、 CIIO 有哪些特殊的合规义务？ 正如我们上文提到的， CIIO 作为某些重点领域的网络运营者， 被网安法赋予了除普通网络运营者之外的、更高要求的 安全保障义务。 CIIO 运营的网络或系统被称为关键信息基础 设施（以下简称“ CII。”）1.CII 的范围 保护条例 第十八条规定了在一系列特定领域 内的企业或机关， 如果其运行、 管理的网络设施和信息系统， 一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家 安全、国计民生、公共利益的，应当纳入关键信息基础设施 保护范围。这些企业或机关包括： （一）政府机关和能源、 金融、交

13、通、水利、卫生医疗、教育、社保、环境保护、公 用事业等行业领域的单位；（二）电信网、广播电视网、互联网等信息网络，以及提供 云计算、大数据和其他大型公共信息网络服务的单位；（三）国防科工、大型装备、化工、食品药品等行业领域科 研生产单位；（四）广播电台、电视台、通讯社等新闻单位；（五）其他重点单位。从上述第 （五 ）点可以看出，该定义仍具有一定的开放性和不 确定性，任何未落入明确列举的行业和领域内的企业所运营 的网络设施和信息系统，只要关系到“国家安全、国计民生、公共利益”的均有可能被认定为 CII 。因此保护条例第十 九条授权国家网信部门会同电信和公安部门制定CII 识别指南（以下简称“识别

14、指南”），行业主管或监管部门（如电 信行业的工信部，能源行业的发改委和能源局）将按照识 别指南，组织识别本行业的 CII 。可以预期，识别指南 和各行业清单的出台将极大程度地减少现有法律下对于 CII 界定的不确定性。2.CIIO 的特殊合规要求A.运营者安全保护依据网安法第三十四条的规定， CIIO 应当设置专门安全 管理机构和安全管理负责人，并对该负责人和关键岗位的人 员进行安全背景审查。结合保护条例第二十五条，该安 全管理负责人将负责以下工作： （ 1） 组织制定网络安全规 章制度、操作规程并监督执行； （ 2） 组织对关键岗位人员 的技能考核； （ 3） 组织制定并实施本单位网络安全教

15、育和 培训计划；（ 4） 组织开展网络安全检查和应急演练，应对 处置网络安全事件；和（ 5） 按规定向国家有关部门报告网 络安全重要事项、事件。 此外，保护条例还规定了将“运营者主要负责人”作为企业 的安全保护工作“第一责任人”，负责建立健全网络安全责任 制并组织落实，且对企业 CII 安全保护工作全面负责。根据 理解，此处的“运营者主要负责人”和第二十五条中的“安全管 理负责人”可以不是同一个人， 在发生网络安全事故时， 两个 负责人都可能要承担相应的法律责任。B.产品和服务安全 根据网安法第三十五条和三十六条的规定， CIIO 采购的 网络产品和服务，可能影响国家安全的，应当通过有关部门

16、的安全审查， 还应当与提供者签订安全保密协议，明确安 全和保密义务与责任。 保护条例在此基础上进一步增加 了以下规定：（1）对外包开发的系统、软件，接受捐赠的网 络产品，在其上线应用前进行安全检测。 （2）发现使用的网 络产品、服务存在安全缺陷、漏洞等风险的，应当及时修复 或上报。（ 3）CII 的运行维护应当在境内实施。 因业务需要， 确需进行境外远程维护的，应事先报国家行业主管或监管部 门和国务院公安部门。 （ 4）面向 CII 开展安全检测评估，发 布系统漏洞、计算机病毒、网络攻击等安全威胁信息，提供 云计算、信息技术外包等服务的机构，应当符合有关要求。 四、普通网络运营者和 CIIO 的合规义务之比较 可以看到，普通网络运营者和 CIIO 的合规义务存在一定