《網絡安全法》實施在即 細數網際網路企業應當遵守的規定

2016年11月7日，十二屆全國人大常委會第二十四次會議表決通過了《中華人民共和國網絡安全法》（以下簡稱“《網絡安全法》”）。該法自2017年6月1日起施行，作為我國網絡空間的第一部基礎性法律，《網絡安全法》對網際網路企業的安全保障義務提出了更高要求，對網際網路企業行為進行明确規範。

關鍵資訊基礎設施建設要求提高

《網絡安全法》第三十一條指出關鍵資訊基礎設施的具體範圍和安全保護辦法由國務院制定。首次引入了“關鍵資訊基礎設施”的概念，并規定在網絡安全等級保護制度的基礎上實行重點保護。關鍵資訊基礎設施作為關乎國家安全、社會公共利益和公民福祉的戰略性資源，其重要性顯而易見。重要的網際網路企業（如擁有數億使用者的百度、阿裡、騰訊)現在已可被視為基礎資訊平台，被列入關鍵資訊基礎設施範圍的可能性極大，一旦這些網際網路企業及其系統出現中斷、癱瘓或其他問題，都将會造成重大損失。

那麼，如果被列入關鍵資訊基礎設施的目錄，網際網路企業則應遵守以下規定。

年度風險檢測評估。根據《網絡安全法》第三十八條，被列入關鍵資訊基礎設施範圍的網際網路企業，應自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估，并将檢測評估情況和改進措施報送相關負責關鍵資訊基礎設施安全保護工作的部門。

限制資料的境外傳輸。根據《網絡安全法》第三十七條，被列入關鍵資訊基礎設施範圍的網際網路企業，在營運過程中收集的個人資訊和重要資料應當在境記憶體儲。因業務需要，确需向境外提供的，應當進行跨境安全評估。法律、行政法規另有規定的，依照其規定。作為我國首部限制資料向境外傳輸的法律，網絡安全法限制傳輸的資訊範圍無疑是較大的，且對“重要資料”的界定也是有待細化的。除此之外，限制資料境外傳輸的執行也是網際網路企業必須正視的一個問題。

國家安全審查。根據《網絡安全法》第三十五條，被列入關鍵資訊基礎設施範圍的網際網路企業，采購網絡産品和服務，可能影響國家安全的，應當接受國家安全審查。以法的形式确立關鍵資訊基礎設施的國家安全審查制度展現了關鍵資訊基礎設施對國家安全的重大戰略意義。此外，法律責任部分對應罰則的規定也彰顯了國家安全審查制度的重要性。

簽訂保密協定。根據《網絡安全法》第三十六條，被列入關鍵資訊基礎設施範圍的網際網路企業采購網絡産品和服務，應當按照規定與提供者簽訂安全保密協定，明确安全和保密義務與責任。

對重要系統和資料庫進行容災備份。根據《網絡安全法》第三十四條第三款之規定，被列入關鍵資訊基礎設施範圍的網際網路企業應履行的安全保護義務包括對重要系統和資料庫進行容災備份，以防止遇到網絡安全事件時出現資訊丢失的情況，保證網際網路企業資訊系統的正常運作。

明确了網際網路企業實施實名制的義務

《網絡安全法》在《反恐怖主義法》第二十一條的電信使用者實名制的規定基礎上，有了進一步突破。《網絡安全法》第二十四條規定了網際網路企業為使用者提供資訊釋出、即時通信等服務，在與使用者簽訂協定或者确認提供服務（如微信，微網誌）時，應當要求使用者提供真實身份資訊。使用者不提供真實身份資訊的，網際網路企業不得為其提供相關服務。

實名制實施面臨的問題主要是資訊洩露和使用者的不配合問題。就資訊洩露而言，實名制的規定是為了維護整個社會的公共利益，在此制度之下會有一系列相關的資訊保護制度，且實名制采取的是“背景實名、前台自願”的原則，與資訊保護問題并不沖突。就使用者的配合問題而言，實名制對于網際網路企業的未來潛在使用者來說問題不大，但大規模存量使用者的實名制将是網際網路企業需要解決的一大問題。

加大網際網路企業對有害資訊處置力度

《網絡安全法》第四十七條規定了網際網路企業對有害資訊（法律、行政法規禁止釋出或傳輸的資訊）的發現義務，該義務相對于《電信條例》第六十一條和《網際網路資訊服務管理辦法》第十六條的“明顯”發現而言，提高了網際網路企業對有害資訊的審查義務。

網際網路企業必須加大對人員、技術、資金及裝置等基礎保障的投入，以提升其對有害資訊的發現能力，加大對其使用者所釋出的資訊的管理力度。在處置方面，除了要求及時采取停止傳輸、消除等傳統處置措施外，《網絡安全法》第六十八條對網際網路企業的不作為規定了罰則，加大了對網際網路企業的處罰力度。從法律層面規定了對網際網路上有害資訊或非法資訊的處置，給國家網際網路資訊系統的健康運作提供了法律依據。

加強了網際網路企業對資訊安全的保護

《網絡安全法》第四十條到第四十三條規定了網際網路企業對使用者的資訊安全義務。其中，第四十條規定網際網路企業對其收集的使用者資訊的嚴格保密制度；第四十一條規定了網際網路企業對使用者資訊的公開收集和使用的規則，按約定收集和使用資訊；第四十二條規定網際網路企業應采取适當措施，以確定其收集的使用者資訊的安全并防止使用者資訊的洩露、毀損和滅失；在發生或可能發生的情況下，及時采取補救措施。

值得注意的是，此次還規定了“被遺忘權”。《網絡安全法》第四十三條指出了網際網路企業對于其收集的錯誤的公民個人資訊，有義務采取措施予以删除和更正。網際網路的發展，使得各種網站上的資訊也是魚龍混雜，網際網路企業如何解決錯誤資訊的及時更正和完全删除問題，将是未來一段時間社會關注的重點。以往網際網路企業所積壓的未更正資訊和未删除幹淨的資訊及文章也将再次面臨挑戰，這對網際網路企業的裝置、技術、人力等基礎保障都提出了新的要求和挑戰。

提高了對網際網路企業日志留存的要求

根據《網絡安全法》第二十一條第三款，網際網路企業應采取監測、記錄網絡運作狀态、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于6個月，以保護網絡資料安全。

相對于其他法律檔案規定的日志留存時間，該法對網際網路企業提出了更高的要求。一方面，該規定為執法機關的驗證提供了便利；另一方面，留存時間的延長，也對網際網路企業提出了新的挑戰，裝置擴容、技術保障等都是亟需解決的問題；另外，應制定相應的日志存儲和管理制度，對于留存日志的保密、未到期日志的存儲、到期日志的處理及留存日志的行政檢查等問題都應詳細規定，保護網絡資料安全。

規定了網際網路企業的執法協助義務

《網絡安全法》第二十八條規定網際網路企業應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支援和協助。網際網路企業的執法協助是目前國際上的通用做法，是國際慣例。以往我國多是依靠“紅頭檔案”，該規定改變了這一局面。明确規定網際網路企業的這一義務，提高了執法效率。此外，第四十九條規定網際網路企業對網信部門和有關部門依法實施的監督檢查，應當予以配合。但是配合的程度和執法機關應遵循的正當執法程式并沒有予以規定，是以在協助執法過程中網際網路企業也應重視這一問題。

除了以上所述，《網絡安全法》還規定了網際網路企業的其他安全保障義務。如：制定内部安全管理制度和操作規程，确定網絡負責人；網絡安全事件的應急、補救及報告義務；實行資料分類、重要資料備份、加密等。

總體而言，《網絡安全法》對網際網路企業提出了更高的要求。網絡安全法的落地，還需要其他一些列法規的配合，在這個過程中，網際網路企業應嚴格遵守《網絡安全法》，依法履行各項安全保障義務，加強自身的各項能力建設，避免在法律适用等環節中出現問題。

本文轉自d1net（轉載）