܄

《网络安全法》系列解读之(三)网络运营者的安全保护义务

【数据猿导读】 《网络安全法》首次从事前保障的角度加强了对“网络运营者”网络安全保护义务的规定,必将对相关企业产生重大的影响,互联网企业以及大数据企业必须特别关注相关条文的实施细则

《网络安全法》系列解读之(三)网络运营者的安全保护义务

对于6月1日即将施行的《网络安全法》,互联网以及大数据行业企业关心更多的是新法将会给其业务带来的影响。而随着前几天肆虐全球的WannaCry病毒事件的发酵,网络安全问题似乎已经上升为全民议题,《网络安全法》更是成为热议话题。

作为专注于数据信息行业法律研究和服务的团队,在《网络安全法》即将实施的这一周时间,我们团队将每天一篇重磅推出针对互联网以及大数据行业企业的系列文章:大数据企业应当了解的《网络安全法》。

今天是第三篇:网络运营者的安全保护义务。

关于网络运营者,在本系列文章《团队原创 | 《网络安全法》系列解读之(一)大数据企业,你是不是“网络运营者”》已经进行了详细的解读,但正如之前提到的,《网络安全法》用整整14个条文规定了“网络运营者”的安全保护义务,解读“网络运营者”的目的实际上是更好地解读“网络运营者”的安全保护义务。我们在本篇中试着探讨下这个问题。

“网络运营者”安全保护义务的现状

《侵权责任法》 第三十六条

网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。

网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。

在《网络安全法》正式施行以前,对于网络运营者的安全保护义务最主要的规定见于《侵权责任法》和《信息网络传播权保护条例》,以往相关规定中安全保护义务的主体限定为“网络服务提供者”(而根据《网络安全法》的规定,网络服务提供者只是网络运营者的子概念),保护义务也仅仅为“从通知到删除、屏蔽、断开”的事后止损义务,以往相关规定从对私权益的保护出发并不能很好地保护公共利益。

《网络安全法》的立法目的是“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。”,因此新法对于“网络运营者”(而不是“网络服务提供者”,主体有所扩大)安全保护义务的规定较之前的立法更加全面和完善。

关于“网络运营者”安全保护义务的分类

即将施行的《网络安全法》将“网络运营者”所承担安全保护义务在原来“事后止损义务”的基础上增加了更多“事前保障义务”的规定,体现了《网络安全法》关于“网络运营者”应当全方位承担网络平台安全保障义务的立法目标,有利于更好地明晰权责。

从《网络安全法》的条文结构来看,将“网络运营者”的安全保护义务大体分为两类:网络运行安全保护义务和网络信息安全保护义务,之所以这样划分,是体现了立法者坚持问题导向的原则,主要针对实践中存在的突出问题,将近年来一些成熟的好做法作为制度确定下来,为网络安全工作提供切实法律保障。网络运行(包括关键基础设施的运行)以及网络信息的安全问题是现在网络安全问题中十分突出的两个方面。

网络运行安全保护义务

实践中,企业对于网络运行安全保护义务要特别注意以下两点:

•    网络安全等级保护制度

为了落实“网络运营者”作为网络运行第一责任人的责任,《网络安全法》将现行的网络安全等级保护制度上升为法律,要求“网络运营者”按照网络安全等级保护制度的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务(《网络安全法》第二十一条)。

这里需要特别说明的一点是,现行立法中并没有关于网络安全等级保护制度的规定,从草案中关于“网络安全等级保护的具体办法由国务院规定”的提法来看,后续应该会有相关配套法规的出台,现行法规中比较完善的是信息安全等级保护制度,在没有“网络安全等级保护制度”的法规出台前,建议各企业可以参照信息安全等级保护制度相关法规来实施,毕竟网络安全等级保护制度已经上升为法律规定的强制义务,在没有更细化的规定出台之前,参考相关制度实施是一种最稳妥的方式。

关于网络安全等级保护制度,本系列文章后续有专门的一篇来为大家解析。

•    关键信息基础设施

为了维护国家安全、经济安全和保障民生,《网络安全法》设专节对关键信息基础设施作了规定,范围包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域等,并对关键信息基础设施运营者的安全保护义务作了规定。

网络信息(数据)安全保护义务

关于数据信息安全的规定是此次《网络安全法》的立法重点,从最近密集出台的一系列配套法规以及司法解释就可以看出数据信息安全问题特别是网络空间的信息泄露问题已经成为社会公众话题并可能影响国家安全、经济安全。

因此,《网络安全法》用专章(第四章)来规定网络信息安全保护义务,同时在整部法律中也多处强调和规定了“网络运营者”的数据信息安全保护义务,互联网企业特别是大数据企业应当特别关注:

一是加强对公民个人信息的保护,防止公民个人信息数据被非法获取、泄露或者非法使用(第四十条至第四十五条);

二是要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或者篡改(第二十一条);

三是要求关键信息基础设施的运营者在境内存储个人信息和重要数据;确需在境外存储或者向境外提供的,应当按照规定进行安全评估(第三十七条);

四是明确网络运营者处置违法信息的义务:网络运营者发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告(第四十七条)。

结语

《网络安全法》首次从事前保障的角度加强了对“网络运营者”网络安全保护义务的规定,必将对相关企业产生重大的影响,互联网企业以及大数据企业必须特别关注相关条文的实施细则,同时触网的传统企业、跨国企业,也要密切关注立法动向。为此,我们团队也正在与网络安全领域的龙头企业合作,研究、开发企业级网络安全等级保护制度解决方案,从合规方案、管理规范和技术防范等多角度为互联网及大数据企业提供整套服务。

作者:

观韬中茂(上海)律师事务所

王渝伟 首席数据官联盟专家组成员 首席数据官联盟首席律师

吴丹君 首席数据官联盟专家组成员 首席数据官联盟首席律师


来源:数据猿

声明:数据猿尊重媒体行业规范,相关内容都会注明来源与作者;转载我们原创内容时,也请务必注明“来源:数据猿”与作者名称,否则将会受到数据猿追责。

我要评论

精品栏目

[2017/12/19]

大数据24小时

More>

[2017/12/18-22]

大数据周周看

More>

[2017/12/18-22]

大数据投融资

More>

[2017/12/18-22]

大咖周语录

More>

[2017/12/13-20]

大数据周聘汇

More>

[2017/12/12-19]

每周一本书

More>

返回顶部