文/續(xù)俊旗

網(wǎng)絡(luò)安全法中的關(guān)鍵制度解讀

文/續(xù)俊旗

網(wǎng)絡(luò)安全法是中國網(wǎng)絡(luò)安全領(lǐng)域的第一部專門法律，是保障網(wǎng)絡(luò)安全的基本法。網(wǎng)絡(luò)安全法共七章七十九條，其主要內(nèi)容可解讀為“一項(xiàng)制度、四大領(lǐng)域”，以網(wǎng)絡(luò)安全等級保護(hù)制度為中心，囊括物理安全、運(yùn)行安全、數(shù)據(jù)安全、內(nèi)容安全四大領(lǐng)域，即基礎(chǔ)設(shè)施的安全、信息系統(tǒng)的安全、信息自身的安全、信息利用的安全。為具體落實(shí)這些要求，網(wǎng)絡(luò)安全法規(guī)定了網(wǎng)絡(luò)產(chǎn)品與服務(wù)安全審查、跨境數(shù)據(jù)流動(dòng)安全評估、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、個(gè)人信息保護(hù)等關(guān)鍵制度。

獨(dú)具中國特色的網(wǎng)絡(luò)安全審查制度

網(wǎng)絡(luò)安全審查制度是保障網(wǎng)絡(luò)運(yùn)行安全的關(guān)鍵制度設(shè)計(jì)。網(wǎng)絡(luò)安全法規(guī)定對可能影響國家安全的關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)產(chǎn)品和服務(wù)進(jìn)行國家安全審查。已經(jīng)發(fā)布并生效的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》（下稱《審查辦法》）規(guī)定了網(wǎng)絡(luò)安全審查的細(xì)化性要求。網(wǎng)絡(luò)安全審查制度的具體實(shí)施，需要對以下問題進(jìn)行進(jìn)一步明晰。

（一）關(guān)于審查的范圍和內(nèi)容?！秾彶檗k法》中規(guī)定的安全審查范圍超出了網(wǎng)絡(luò)安全法中規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施的安全審查范圍，更接近于國家安全法第59條“特定物項(xiàng)和關(guān)鍵技術(shù)、網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)”的國家安全審查?！秾彶檗k法》規(guī)定的審查范圍大致可歸納為“關(guān)鍵信息基礎(chǔ)設(shè)施及其他關(guān)系國家安全的網(wǎng)絡(luò)和信息系統(tǒng)”，范圍仍有很大不明確性。

（二）“安全可控”的內(nèi)涵?！鞍踩煽亍币呀?jīng)成為中國網(wǎng)絡(luò)安全體系中一項(xiàng)獨(dú)立的制度。何為“安全可控”，官方解釋如下：安全可控至少包括以下三個(gè)方面含義：一是保障用戶對數(shù)據(jù)可控，產(chǎn)品或服務(wù)提供者不應(yīng)該利用提供產(chǎn)品或服務(wù)的便利條件非法獲取用戶重要數(shù)據(jù)，損害用戶對自己數(shù)據(jù)的控制權(quán)；二是保障用戶對系統(tǒng)可控，產(chǎn)品或服務(wù)提供者不應(yīng)通過網(wǎng)絡(luò)非法控制和操縱用戶設(shè)備，損害用戶對自己所擁有、使用設(shè)備和系統(tǒng)的控制權(quán)；三是保障用戶的選擇權(quán)，產(chǎn)品和服務(wù)提供者不應(yīng)利用用戶對其產(chǎn)品和服務(wù)的依賴性，限制用戶選擇使用其他產(chǎn)品和服務(wù)，或停止提供合理的安全技術(shù)支持，迫使用戶更新?lián)Q代，損害用戶的網(wǎng)絡(luò)安全和利益?？偠灾?，對自主可控的把握應(yīng)按照習(xí)近平總書記所說的，不能夠排斥先進(jìn)，不要把自己封閉于世界之外，要在立足開放的環(huán)境當(dāng)中搞網(wǎng)絡(luò)安全。此外，也要有效協(xié)調(diào)好安全可控與外國企業(yè)維護(hù)自主知識產(chǎn)權(quán)和商業(yè)秘密的關(guān)系。

（三）關(guān)于審查的標(biāo)準(zhǔn)。對于審查機(jī)制是否有透明、可遵循的標(biāo)準(zhǔn)，還是保持一定的靈活性、威懾性以應(yīng)對不可預(yù)知的法律風(fēng)險(xiǎn)，尚存在諸多爭議，有待在監(jiān)管實(shí)踐中進(jìn)一步跟進(jìn)。

（四）審查是否為常態(tài)化機(jī)制？在具體實(shí)施上，要注意其與檢測、認(rèn)證、設(shè)備入網(wǎng)等具體制度的區(qū)別，堅(jiān)持其威懾性、懸而少用的原則，避免失去該制度的權(quán)威性、震懾性。然而《審查辦法》第2條規(guī)定，關(guān)系國家安全的網(wǎng)絡(luò)和信息系統(tǒng)采購的重要產(chǎn)品和服務(wù)，應(yīng)當(dāng)經(jīng)過網(wǎng)絡(luò)安全審查。就其表述而言，審查機(jī)制更近似于一項(xiàng)常態(tài)機(jī)制。監(jiān)管部門在具體實(shí)踐中如何把握與落實(shí)，還有待持續(xù)關(guān)注。

（五）是否針對國外產(chǎn)品和服務(wù)？

主管部門在對外聲明中多次強(qiáng)調(diào)，網(wǎng)絡(luò)安全審查并不針對特定國家和地區(qū)，沒有國別差異，審查不會(huì)歧視國外技術(shù)和產(chǎn)品，不會(huì)限制國外產(chǎn)品進(jìn)入中國市場。在供應(yīng)鏈全球化的背景下，對信息系統(tǒng)產(chǎn)品和服務(wù)進(jìn)行來源調(diào)查變得非常困難，在存在廣泛外包業(yè)務(wù)的情況下甚至是不可行的。片面排除國外信息技術(shù)的利用也排除了本國信息技術(shù)產(chǎn)業(yè)作為次級供應(yīng)商進(jìn)入他國市場的可能，也會(huì)喪失中國利用國際先進(jìn)產(chǎn)品和服務(wù)的必然需求。而國家的網(wǎng)絡(luò)安全能力和水平，最終由本國信息技術(shù)產(chǎn)品和服務(wù)的能力和水平?jīng)Q定。

既接軌國際又具中國特色的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)是保障網(wǎng)絡(luò)物理安全的關(guān)鍵制度設(shè)計(jì)，也是保護(hù)網(wǎng)絡(luò)運(yùn)行安全的重中之重。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的重點(diǎn)有三。一是業(yè)務(wù)連續(xù)能力。業(yè)務(wù)連續(xù)能力是關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)中需要解決的首要問題。關(guān)鍵信息基礎(chǔ)設(shè)施的“關(guān)鍵”就在于國計(jì)民生對其的高度依賴關(guān)系，因此需要關(guān)鍵信息基礎(chǔ)設(shè)施具備“不間斷可靠供給”的能力。網(wǎng)絡(luò)安全法從規(guī)劃建設(shè)、使用管理、人員配置、容災(zāi)備份、應(yīng)急處置等多個(gè)方面作出規(guī)定，來規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)連續(xù)能力。二是安全可控。自主可控設(shè)備目前還不能完全覆蓋中國關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)和運(yùn)行管理的要求，基于中國國情，現(xiàn)階段在關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)和運(yùn)行管理中必須有輔助措施來增強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的可控性。為此,網(wǎng)絡(luò)安全法對網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的認(rèn)證檢測和關(guān)鍵信息基礎(chǔ)設(shè)施采購網(wǎng)絡(luò)產(chǎn)品作出了保密和安全審查方面的要求。三是數(shù)據(jù)安全。由于傳統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施普遍性的信息化、網(wǎng)絡(luò)化趨勢，關(guān)鍵信息基礎(chǔ)設(shè)施集中承載著越來越多的敏感數(shù)據(jù)，這些數(shù)據(jù)事關(guān)社會(huì)穩(wěn)定和國家安全。為此，網(wǎng)絡(luò)安全法除對網(wǎng)絡(luò)數(shù)據(jù)安全問題和公民個(gè)人信息保護(hù)作了一般性規(guī)定之外，還對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者收集的公民個(gè)人信息等重要數(shù)據(jù)的出境存儲加以限制。

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度與網(wǎng)絡(luò)安全等級保護(hù)制度二者之間的關(guān)系一直以來是實(shí)踐中的疑難點(diǎn)。厘清二者的關(guān)系，有助于提升關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實(shí)效，也有助于企業(yè)更好地落實(shí)合規(guī)要求。網(wǎng)絡(luò)安全法規(guī)定“對于國家關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)”。由此可見，網(wǎng)絡(luò)安全等級保護(hù)制度是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ)，關(guān)鍵信息基礎(chǔ)設(shè)施是等級保護(hù)制度的保護(hù)重點(diǎn)。等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)是網(wǎng)絡(luò)安全的兩個(gè)重要方面，不可分割。等級保護(hù)制度與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度雖然在發(fā)展起源、適用范圍以及具體的操作方法上有所區(qū)別，但其保護(hù)重要信息系統(tǒng)的目標(biāo)是一致的，網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度都是國家網(wǎng)絡(luò)安全的重要制度。兩種制度存在各種差異，但其最終目的都在于維護(hù)國家安全，提高對重要信息系統(tǒng)的保護(hù)力度。因此，在制度構(gòu)建和實(shí)際操作中要做好兩種制度的有效銜接，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要吸收等級保護(hù)制度中的有益經(jīng)驗(yàn)。

值得一提的是，在今后的配套立法過程中，還需要進(jìn)一步考慮到關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)與其他相關(guān)制度的銜接。

備受矚目的數(shù)據(jù)跨境流動(dòng)安全評估制度

數(shù)據(jù)跨境流動(dòng)安全評估制度是保障網(wǎng)絡(luò)數(shù)據(jù)安全的關(guān)鍵制度設(shè)計(jì)。根據(jù)網(wǎng)絡(luò)安全法的規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在中華人民共和國境內(nèi)收集產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲，對個(gè)人信息及重要數(shù)據(jù)實(shí)行數(shù)據(jù)出境的安全評估制度，并授權(quán)國家網(wǎng)信部門會(huì)同其他監(jiān)管部門制定詳細(xì)的安全評估實(shí)施辦法。

全球數(shù)據(jù)流動(dòng)對于貿(mào)易、創(chuàng)新、競爭和消費(fèi)者數(shù)據(jù)遷移越來越重要。然而，對于個(gè)人數(shù)據(jù)的跨境流動(dòng)也有一個(gè)普遍的共識，即要想解決合法性問題，數(shù)據(jù)的流動(dòng)不能完全不受限制。為保護(hù)公民權(quán)利，全球個(gè)人信息流動(dòng)管理方面已經(jīng)有許多方法機(jī)制，最常見的包括：允許滿足一般性排除條款或被這些條款“檢驗(yàn)”的一次性數(shù)據(jù)傳輸，確保在同等保護(hù)水平情況下的數(shù)據(jù)跨境傳輸，源公司同意對任何違規(guī)行為負(fù)責(zé)的情況下的數(shù)據(jù)傳輸，公司在一組適用于所有活動(dòng)的企業(yè)約束規(guī)則下進(jìn)行數(shù)據(jù)傳輸?shù)?。雖然這些跨境數(shù)據(jù)傳輸?shù)牟煌x項(xiàng)普遍可用，但它們還沒有被廣泛采用。

對于重要數(shù)據(jù)的跨境監(jiān)管，中國的網(wǎng)絡(luò)安全法在關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)跨境安全評估方面與西方國家的最大不同之處，在于其將個(gè)人信息和重要業(yè)務(wù)數(shù)據(jù)的跨境轉(zhuǎn)移安全評估，從非顯性的、偏碎片化要求明確提升到制度化的高度，相關(guān)數(shù)據(jù)的評估不再是具體事項(xiàng)中的國家安全考慮。因此，從某種程度上說，若嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全法中的數(shù)據(jù)跨境安全轉(zhuǎn)移，或許會(huì)在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的力度和范圍上強(qiáng)于西方國家。而關(guān)于重要數(shù)據(jù)的范圍，各國的規(guī)定有所不同。目前來看，從國家安全角度出發(fā)，各國對公共部門數(shù)據(jù)和管制技術(shù)數(shù)據(jù)的跨境流動(dòng)都采取了強(qiáng)管控模式，主要監(jiān)管措施包括本地存儲、限制出境、安全審查、前置審批等措施；對敏感商業(yè)數(shù)據(jù)則主要通過安全協(xié)議的方式，以WTO規(guī)則中的“國家安全例外”事項(xiàng)為突破口實(shí)施各類安全審查，對敏感數(shù)據(jù)跨境的限制，作為安全評估的重要因素、合同約定的必要條件體現(xiàn)。

日趨嚴(yán)格的個(gè)人信息保護(hù)制度

個(gè)人信息保護(hù)制度是保障網(wǎng)絡(luò)信息安全的關(guān)鍵制度設(shè)計(jì)。網(wǎng)絡(luò)安全法將個(gè)人信息保護(hù)納入規(guī)范范圍。除了相關(guān)章節(jié)有零散規(guī)定外，還專設(shè)一章對個(gè)人信息保護(hù)提出了系統(tǒng)的框架性要求，對個(gè)人信息的處理行為也作出了明確規(guī)范，具體如下。

（一）關(guān)于個(gè)人信息的收集利用，網(wǎng)絡(luò)安全法重申了2013年頒布的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》提出的“合法、正當(dāng)、必要”的基本原則，明確規(guī)定網(wǎng)絡(luò)運(yùn)營者在收集個(gè)人信息時(shí)，應(yīng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個(gè)人信息。

（二）針對個(gè)人信息的對外提供環(huán)節(jié)，網(wǎng)絡(luò)安全法規(guī)定任何個(gè)人和組織不得非法出售或者非法向他人提供個(gè)人信息。何為“非法提供”，包括了針對個(gè)人信息的非法出售或非法提供，即竊取企業(yè)內(nèi)部信息或其他來源的個(gè)人信息進(jìn)行非法出售等黑色產(chǎn)業(yè)鏈的核心環(huán)節(jié)；也包括針對其他未經(jīng)授權(quán)提供個(gè)人信息的行為，如遭到黑客攻擊造成個(gè)人信息泄露或竊取、或未經(jīng)授權(quán)將個(gè)人信息提供給業(yè)務(wù)合作伙伴等行為；以及針對政府機(jī)構(gòu)對個(gè)人信息的非法提供行為。合法的對外提供有兩種途徑：個(gè)人信息主體的同意和匿名化處理。

（三）網(wǎng)絡(luò)安全法對個(gè)人信息保護(hù)的亮點(diǎn)之一在于引入了個(gè)人信息主體的刪除權(quán)和更正權(quán)，即個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除其個(gè)人信息；發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集、存儲的其個(gè)人信息有錯(cuò)誤的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取措施予以刪除或者更正。提高個(gè)人信息處理環(huán)節(jié)的透明度，賦予個(gè)人的信息刪除權(quán)、修改權(quán)，保證個(gè)人信息主體對信息的合法權(quán)益。

（四）建立個(gè)人信息保護(hù)機(jī)制。網(wǎng)絡(luò)安全法明確提出了“建立健全用戶信息保護(hù)制度”的要求。在個(gè)人信息管理機(jī)制方面，中國尚未建立完善的規(guī)范體系，目前,網(wǎng)絡(luò)安全法為主的法律規(guī)范提出的要求主要有：第一，技術(shù)手段方面的要求。網(wǎng)絡(luò)安全法規(guī)定網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。作為對網(wǎng)絡(luò)運(yùn)營者的一般要求，網(wǎng)絡(luò)安全法還提出了相關(guān)安全管理義務(wù):（1）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；（2）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；（3）采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；（4）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；（5）法律、行政法規(guī)規(guī)定的其他義務(wù)。第二，組織管理、流程制度方面的要求。網(wǎng)絡(luò)運(yùn)營者要“建立健全用戶信息保護(hù)制度”。此外，網(wǎng)絡(luò)安全法還新增了數(shù)據(jù)泄露通知機(jī)制。

需要指出，網(wǎng)絡(luò)安全法并非單純針對個(gè)人信息保護(hù)的全面性立法，其規(guī)范僅是對個(gè)人信息保護(hù)方面提出了底線性、框架性的要求。還需要與現(xiàn)有的其他法律、法規(guī)、部門規(guī)章以及司法解釋相協(xié)調(diào)并整體考慮。未來仍有必要制定一部綜合性的個(gè)人信息保護(hù)法來對個(gè)人信息保護(hù)加以系統(tǒng)規(guī)范。

本文所闡述的相關(guān)制度彼此之間既相對獨(dú)立，又存在密不可分的關(guān)聯(lián)。因此，應(yīng)該系統(tǒng)地做好制度的具體設(shè)計(jì)與配套制定建設(shè)，確保網(wǎng)絡(luò)安全法能夠科學(xué)、合理地落地實(shí)施。關(guān)鍵制度的設(shè)計(jì)既要立足于中國的實(shí)際狀況，也要充分借鑒國外的做法與實(shí)踐。由于網(wǎng)絡(luò)安全問題的復(fù)雜性、長期性、艱巨性，其牽涉到中國的產(chǎn)業(yè)基礎(chǔ)、技術(shù)能力、法治現(xiàn)狀乃至復(fù)雜多變的國際經(jīng)貿(mào)關(guān)系等方方面面，還需要在今后的立法、執(zhí)法和司法實(shí)踐中不斷加以完善。

[作者系英特爾（中國）有限公司法律政策總監(jiān)]