《网络安全法》实施、检查及执法工作陆续展开

  点击上方蓝字“赛博星人”，关注我们

《网络安全法》自2017年6月1日开始正式施行，在过去的几个月间，其具体实施工作、检查及执法工作正陆续展开。其中，实施工作譬如有关配套法规、配套指引的陆续出台以及实施；检查及执法工作譬如四部门联合举行的“个人信息保护提升行动”等。我们谨对过去几个月《网络安全法》的实施及检查执行工作的要点进行一个简要的总结，分析企业应该如何有效应对，以减轻合法合规的风险。

 

---

检查及执法工作

《网络安全法》针对提出了多个领域提出许多新的要求，其中最引人注目的当属有关个人信息（隐私信息）保护的领域。

在之前的分享交流中，赛博星人基于对《网络安全法》的解读以及与监管的交流，我们已经提出并强调个人信息保护(隐私保护)是《网络安全法》的监管热点、执法重点、企业合规的难点！在我们于5月31号发布的《我国个人信息保护合规最新要求与执法趋势》交流文章中，我们首次提出并强调《网络安全法》对于个人信息保护的原则要求，特别是针对“个人信息管理者”及“个人信息获得者”的不同责任要求：

6月2日，在《网络安全法》正式生效的第二天，我们发布的交流文章《由近期监管及执法的“动真格”来领会监管重点、执法热点、合规难点》分析了与《网络安全法》个人信息保护内容相关的最新监管执法事件和处罚条例，以此希望引起大家对个人信息保护的重视。

 

过去几个月有关个人信息保护的执法新闻屡见头条(来自公安部网站及新华网)：

• 自2017年3月公安部部署开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动以来，各地公安机关迅速行动、精心组织，不断把专项行动推向深入，取得了阶段性战果。截至目前，全国共侦破侵犯公民个人信息案件和黑客攻击破坏案件1800余起，抓获犯罪嫌疑人4800余名，查获各类公民个人信息500余亿条。

• 2011年至2013年9月，郑某等6名雀巢公司员工为推销配方奶奶粉，通过支付好处费等手段，从兰州市多家医院医务人员处获取孕产妇姓名、手机号等信息共计12万余条。2016年10月31日，兰州市城关区人民法院一审宣判，以侵犯公民个人信息罪分别判处郑某等人拘役4个月至有期徒刑1年6个月不等的刑罚。之后，郑某等人以涉案行为属于单位犯罪等理由提出上诉。2017年5月31日，兰州市中级人民法院作出二审终审裁定：驳回上诉，维持原判。

• 江苏昆山警方侦破的全国首例侵犯公民个人健康生理信息案件2017年7月5日对外发布。犯罪嫌疑人大量窃取或买卖有关男科、妇科、整形美容等方面的公民个人健康生理信息，国内100余家医院涉案。目前，已依法刑事拘留25人，其中近半数为涉案医院嫌疑人。5名主犯被依法逮捕，案件正在进一步办理。

其中，最引人注目的，应该是新闻社7月27日的报道：

为确保网络安全法中个人信息保护相关要求有效实施，提升网络运营者个人信息保护水平，中央网信办、工信部、公安部、国家标准委等四部门日前联合召开“个人信息保护提升行动”启动暨专家工作组成立会议，启动隐私条款专项工作，首批将对微信、淘宝等十款网络产品和服务的隐私条款进行评审。

中央网信办网络安全协调局主要负责人表示，提升个人信息保护的隐私条款专项工作，是贯彻网络安全法的重要举措之一。

评审的重点内容包括明确告知收集的个人信息以及收集方式；明确告知使用个人信息的规则，例如形成用户画像及画像的目的，是否用于推送商业广告等；明确告知用户访问、删除、更正其个人信息的权利、实现方式、限制条件等。

据介绍，隐私条款专项工作由四部门指导，全国信息安全标准化技术委员会具体组织，具体工作包括参与评审的单位自查整改、专家工作组集中封闭评审等。９月中下旬将对相关工作情况进行总结，并向社会公布评审结果。

 

我国监管机构在“个人信息保护”监管领域再次有重大行动与举措，足以证明我国越来越重视个人隐私的保护。针对本次“个人信息保护提升行动”，赛博星人认为：

1. 公安部的参与，提示我国个人信息保护已和违法犯罪联系紧密，企业应加大重视；

2. 为配合该专项工作的完成，监管机构成立了名为“个人信息保护提升行动”专家工作组，专家们将对“企业如何保护个人信息、如何提升现有的措施以达到《网络安全法》的要求”出谋划策；显然，企业将要面临进一步合规的难题，便同时，我们也相信将会有更加具体的有关个人信息保护的落地要求将出台，以便协助企业更有效地进行合规准备；

3. 这次专项行动为分批进行，首批选取了微信、支付宝、淘宝、百度地图在内的十款网络产品和服务，预示这是一个持续性监管活动，每一个企业都存在被邀请进行隐私保护政策评估以及其它隐私保护有关检查活动的可能。

以下我们谨列出值得关注的评审内容，也即企业必须关注并且进行自我评估，找出企业目前可能仍然存在的合法合规差距：

• 明确告知收集个人信息与方式：之前我们已反复提到，收集个人信息要告知，并对收集的方式进行明示；

• 明确告知使用个人信息的规则：例如形成用户画像的目的；

• 明确告知用户访问、删除、更正其个人信息的权利、实现方式、限制条件：此条要求，既是对《网络安全法》四十三条要求的执法落地，也是向国际监管要求看齐，比如欧盟的《一般数据保护法》也对用户遗忘权、删除权、移动权等提出相关要求。
  

就本次监管为确保《网络安全法》中有关个人信息（隐私保护）要求的有效实施而采取的行动，为减少合规风险，我们认为企业必须要采取有效的准备措施：

主要措施

梳理企业自身涉及个人隐私数据处理的流程，并评估该隐私数据处理的合规风险以便采取相应的补救措施；

建立企业自身隐私保护框架，如搭建隐私数据处理的监控、审查、评估流程；

满足企业业务的基础上，尽可能达到“隐私数据最少化”----即处理的个人数据应与处理数据的目的是相关且必要的，并且必须采取体系化的措施，确保数据在企业的全生命周期（收集、储存、处理、使用、销毁）完全符合有关企业协议或者个人隐私条款中已声明的“目的”；

特别地，根据我们为部分客户提供的《网络安全法》合规差距分析工作的经验揭示，许多企业的内部管理措施已经非常体系化及具体，能够有效确保客户及雇员的个人信息在企业内部的全生命周期均得到合法、合规的使用、处理及保护，但往往却发现许多与第三方（包括外包服务提供商、合作伙伴等）的合作渠道（线上应用系统或者线下渠道）均存在大量信息保护的管理与技术漏洞，企业在此之前可能完全没有意识到或者发现第三方渠道存在的大量数据泄露事实。因此，针对第三方的信息共享与交互，是《网络安全法》个人信息保护合法合规的难点，无论是在管理政策层面还是在具体的执行（技术）层面。这是我们迄今总结的，企业对于《网络安全法》个人信息保护的重大合法合规差距。

---

 

实施工作

《网络安全法》预留了诸多配套制度的接口，自颁布以来，国家网信办等部门已在积极推进相关配套法规的研究与制定工作，下表为《网络安全法》出台以来相关配套法规情况：

发布日期	文件名称	发布机关	备注
2017年 1月10日	国家网络安全事件应急预案	中央网信办	共8章35条。
5月2日	《网络产品和服务安全审查办法（试行）》	国家网信办	共16条。
5月2日	互联网信息内容管理行政执法程序规定	国家网信办	共8章49条。
5月2日	互联网新闻信息服务管理规定	国家网信办	共6章29条。
5月9日	关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释	最高人民法院和最高人民检察院	共13条，明确了“公民个人信息”范围、“非法提供公民个人信息”、“非法获取公民个人信息”的认定标准等。
5月31日	工业控制系统信息安全事件应急管理工作指南	工信部	共7章15条，明确了工业控制系统信息安全事件的定义，从事应急管理工作的组织机构与职责，应急管理工作机制，监测通报机制，敏感时期应急管理要求，应急处置以及保障措施。
6月1日	网络关键设备和网络安全专用产品目录（第一批）	国家网信办、工信部、公安部和国家认可监督委员会	首批共有两个领域共15个设备或产品类别。
草案阶段
4月11日	个人信息和重要数据出境安全评估办法（征求意见稿）	国家网信办	全文共18条。其中最受关注的条款之一为第2条，将个人信息和重要数据出境安全评估的义务主体范围由《网络安全法》第37条规定的“关键信息基础设施的运营者”扩大到了“网络运营者”。
5月27日	信息安全技术数据出境安全评估指南（草案）	全国信息安全标准化技术委员会	性质为推荐性国家标准（GB/T），为《网络安全法》及国家网信办正在制定中的《个人信息和重要数据出境安全评估办法》所规定的个人信息和重要数据出境安全评估制度，提供了具有实践操作性的指引。
7月11日	关键信息基础设施安全保护条例（征求意见稿）	国家网信办	主要从国家支持与保障、关键信息基础设施范围、关键信息基础设施运营者安全保护、产品和服务安全、监测预警、应急处置和检测评估以及法律责任等方面对关键信息基础设施安全保护作出了规定。共8章55条。

最近这两个月与《网络安全法》的实施有关的另外一项工作，是与等级保护有关的。

根据《网络安全法》第二十一条的规定：

第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

 

虽然说企业单位必须执行等级保护的有关工作，但并非说不做等级保护以及相应的测评就属于违法，目前也没有任何监管官方的通稿正式地对此进行确认。不过，我们的许多客户在过去两个月，陆续接到监管的问询，询问有关等级保护的企业内部执行情况（监管并没有正式询问有关等极测评的信息，请注意这两者的区别）。

我们也提请企业根据等保的各级要求进行内部管理及技术的差距分析与差距整改，主动准备等级保护的材料，以备监管的问询或检查。

联系我们：

 

本文始发于微信公众号（赛博星人）：《网络安全法》实施、检查及执法工作陆续展开