对于6月1日即将施行的《网络安全法》，互联网以及大数据行业企业关心更多的是新法将会给其业务带来的影响。而随着前几天肆虐全球的WannaCry病毒事件的发酵，网络安全问题似乎已经上升为全民议题，《网络安全法》更是成为热议话题。

作为专注于数据信息行业法律研究和服务的团队，在《网络安全法》即将实施的这一周时间，我们团队将每天一篇重磅推出针对互联网以及大数据行业企业的系列文章：大数据企业应当了解的《网络安全法》。

今天是第一篇：大数据企业，你是不是“网络运营者”？

为什么要谈“网络运营者”

从2016年11月7日《网络安全法》公布之日起，身边就有不少的大数据以及互联网行业的朋友开始问到一个问题：大数据企业是不是“网络运营者”？

在他们看来，一旦企业被划入“网络运营者”的范畴，那就意味着《网络安全法》中关于“网络运营者”的众多安全保护义务将会成为企业运营和发展中实实在在的需要去考虑的问题，甚至很可能成为企业发展的负担，随着《网络安全法》施行日期的临近，这样的担心很可能成为现实。甚至还有一些传统跨国企业的朋友也在担心他们的企业是不是“网络运营者”？在他们看来公司仅仅是运营了一个企业宣传的网站，这种情况他们算不算“网络运营者”呢？为了解决以上的疑问，我们今天就来试着解读一下。

《网络安全法》，一共出现了31次“网络运营者”，有14个条文规定了“网络运营者”的安全保护义务，用5个条文规定了“网络运营者”的法律责任。因此，如果你运营的企业“不幸”成为了“网络运营者”，也就意味着你得好好地学习一下网络运营者的安全保护义务（团队会在后面的文章再详细为大家解读）。

什么是“网络运营者”？

即将于2017年6月1日起正式施行的《中华人民共和国网络安全法》（以下称“《网络安全法》首次提出了提出了“网络运营者”的概念，此前《电信条例》、《互联网信息服务管理办法》都从未出现过这一表述。

2015年11月1日生效的《刑法修正案（九）》规定了“拒不履行信息网络安全管理义务罪”，该罪的犯罪主体也是“网络服务提供者”，而非网络运营者。只在已经失效的《电信服务标准（试行）》中出现过“网络运营者”，但主要指提供通道、电路段的网络服务提供商，与《网络安全法》中的网络运营者并非同一概念。

《网络安全法》（草案）第六十五条：

网络运营者，是指网络的所有者、管理者以及利用他人所有或者管理的网络提供相关服务的网络服务提供者，包括基础电信运营者、网络信息服务提供者、重要信息系统运营者等。

《网络安全法》第七十六条：

网络运营者，是指网络的所有者、管理者和网络服务提供者。

从草案以及正式生效的《网络安全法》的表述来看，“网络运营者”包含三类主体：即网络的所有者、网络的管理者以及网络服务提供者。

虽然《网络安全法》的条文表述是明确的，但对于何为网络的所有者、网络的管理者以及网络服务提供者？也即“网络运营者”的范围，似乎从法律条文的表述来看并不是那么清楚。仅从草案与《网络安全法》的不同表述我们也可以看出，立法者对于这一概念的定义采取了一种较为开放的态度，《网络安全法》删除了草案中关于“包括基础电信运营者、网络信息服务提供者、重要信息系统运营者等”的规定，这可能是考虑到在互联网飞速发展的现今，对于“网络运营者”这一概念只规定内涵而对其外延采用开放的描述方式，似乎是一种更聪明也是更合乎时宜的做法。

但也正因为这一合乎时宜的做法导致了大家对于这一概念特别是对于“网络运营者”的范围解读产生了分歧。

要厘清什么是“网络运营者”以及“网络运营者”的范围，我们需要了解一下几个概念：“网络”、“网络信息服务”或者说“互联网信息服务”。

《网络安全法》第七十六条：

“网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。”

《互联网信息服务管理办法》第二条

“互联网信息服务，是指通过互联网向上网用户提供信息的服务活动。”

根据《网络安全法》对于网络的定义，我们可以理解网络即是指基于终端、设备等硬件而建立起来的信息系统。那网络所有者、网络管理者则是指前述信息系统的所有者和管理者，如移动、联通、电信等基础电信网络的所有者和管理者。

而网络服务提供者指的则是依托于网络这个信息系统的各类服务提供者，网络服务包括了网络信息服务、网络接入服务以及其他网络服务。《互联网信息服务管理办法》指出互联网信息服务分为经营性和非经营性两类。国家对经营性互联网信息服务实行许可制度（一般称ICP许可）；对非经营性互联网信息服务实行备案制度（一般称ICP备案）。未取得许可或者未履行备案手续的，不得从事互联网信息服务。

根据《电信业务分类目录（2015年版）》的规定，像电商这一类提供经营性互联网信息服务的是需要获得通信管理部门的《中华人民共和国电信与信息服务业务经营许可证》才能开展经营，非经营性互联网信息服务实行备案制度。

因此，所有国内合法的网站上你都能在网页的最底端找到一个ICP备案号码，在国内开设任何网站实际上都是在提供非经营性的互联网信息服务，当然也就是在提供互联网信息服务。而“网络信息服务”作为网络服务的子概念，网络信息服务的提供者当然也就是网络服务的提供者。

结语

从《网络安全法》、《互联网信息服务管理办法》的规定来看，无论是像淘宝、京东等提供经营性互联网信息服务的电商，还是仅仅建立网站用于宣传而提供经营性互联网信息服务的传统企业，亦或是如移动、电信等网络所有者、管理者都应当是“网络运营者”。而对于互联网、大数据以及传统的企业来说，是否被认定为“网络运营者”主要取决于企业是否成为了网络信息系统的所有者以及管理者，以及企业的业务是否提供了本文中提到的各类网络服务，特别是互联网信息服务。

当然，对于《网络安全法》这样一部即将实施又受到广泛关注的法律来说，仍有很多的问题需在实施过程中去厘清，也需要立法部门通过后续的配套立法来完善和明晰。对于“网络运营者”的内涵和外延肯定会存在不少的争议，相关企业大可不必如此担心。

根据我们的判断，包括“网络运营者”安全保护义务在内的各项义务的规定，短期内不会对大数据企业以及互联网企业造成太大的影响，对于仅仅是建立网站用于宣传的传统企业来说影响更是有限的。但随着《网络安全法》相关配套法规的不断完善，对于大数据、互联网行业的企业亦或是对合规要求十分严格的跨国企业来说，尽早关注并规范业务模式和内部流程来应对《网络安全法》将是十分必要的。

作者：

观韬中茂（上海）律师事务所

王渝伟 首席数据官联盟专家组成员 首席数据官联盟首席律师

吴丹君 首席数据官联盟专家组成员 首席数据官联盟首席律师

来源：数据猿