《网络安全法》合规系列解读

作为规范网络空间安全的首部基本法，《网络安全法》完成了网络安全保护有关制度的顶层设计和基础安排。但由于关键信息基础设施保护、数据出境评估、网络安全等级保护等重要配套制度的制定与出台仍在严谨、审慎论证中，与现行法律法规之间的有效衔接尚需磨合，诸多制度内容的落地实施仍处于探索阶段；网络安全监管机构的规范执法，网络安全责任主体的意识提升与合规实施也有待持续观察。

鉴于此，公安部第三研究所网络安全法律研究中心特组织推出《网络安全法》合规系列短文，针对相关制度、具体条款或某一事件进行网安法框架下的解读，为相关责任主体合规实施提供参考。

《网络安全法》合规（一）   

网络安全法施行的有效性度量

——以Wannacry勒索软件攻击事件为例

在我国网络空间基本法《网络安全法》即将施行之际，缘于国际漏洞和入侵软件武器化，直接利用Windows系统漏洞的WannaCry勒索软件大肆攻击包括中国在内的全球150多个国家，包括我国在内的多个行业和政府部门“受到了感染，造成了一定影响”，涉及的网络系统暴露出了不容忽视的安全风险和隐患。总体来看，《网络安全法》从支持促进、运行安全、信息安全和事件应对四个维度立体化、全方位促进网络安全保护工作。WannaCry勒索软件事件中涉及到的安全漏洞管控、产品提供者安全保障、网络运营者安全保护、监测预警与应急处置、危害网络安全的行为惩治等问题的应对与解决效果，将成为《网络安全法》及其配套制度施行的有效性度量。

首先，安全漏洞作为网络空间系统构建的必然结果和客观存在，在特定时间和技术条件下不能完全排除，是引发全球网络安全威胁和风险的核心要素。基于国际社会漏洞治理规则碎片化的现状，产生源头缺乏法律规制和虚拟市场货币监管失控是导致执法打击勒索软件困难的两大根本原因。各国在打击勒索软件具有相似的认同和诉求，开展国际合作成为凝聚多方力量共同应对的重要举措。《网络安全法》第7条已提出了境内外国际合作机制的初步构想，践行构想更需通过中美打击网络犯罪及相关事项高级别联合对话等双边或多边途径解决。

其次，勒索软件攻击与其他危害网络安全的行为具有相似性，但勒索软件突出强调对数据、系统、网络的非法控制和对可用性的危害，使其有别于其他以破坏或获取数据为特征的计算机病毒，也有别于传统意义上的“敲诈勒索”罪。从惩治攻击行为角度，《网络安全法》第27条衔接《刑法修正案（九）》已设置了行政处罚、相关罪名和认定标准，第75条规定了对攻击关键信息基础设施的境外机构、组织和个人的制裁。

再次，《网络安全法》第22条规定了产品提供者对自身产品漏洞风险的告知、补救和报告的责任，产品提供者必须严格遵从，否则承担法律责任；《网络安全法》第21条、25条规定了网络运营者防范攻击与侵入、安全监测、重要数据备份和应急处置等保护义务，尤其对实践中按照现行有效的信息安全等级保护管理办法已进行了定级保护的信息系统，更应强化落实，否则承担相应的法律责任。

最后，本次攻击事件暴露出具有网络安全服务机构特性的安全厂商、教育和科研计算机网等机构在网络安全事件的监测、预警、通报、处置等方面的混乱与失调，《网络安全法》建立的信息共享机制、统一监测预警平台急需整合并制度化。

《网络安全法》合规（二）

《网络安全法》对责任主体的合规影响与法律服务应对

《网络安全法》（以下简称“网安法”）是我国规范网络安全实践的基本法，2016年11月7日至今国家网信部门也配套出台了一系列规章、规范性文件、标准等，系统性识别和规定了网络运营者与关键信息基础设施（CII）运营者、网络产品/服务提供者、电子信息发送/应用软件下载服务提供者、网络安全服务机构等主体的职责与义务，基于区分主体与责任匹配的体系架构已悄然成型。

落实网安法对责任主体（以企业为例）来说机遇与挑战并存。一方面网络安全威胁具有以小搏大的不对称性（如5月12日开始蔓延的勒索软件攻击事件），责任主体以提升网络安全风险管理为机遇实现企业网络安全/合规风险的消减，对保障业务运营具有积极意义；另一方面，网安法宽泛的网络运营者定义、义务和责任边界，乃至对企业社会责任的要求，则需企业战略性的初次投入和持续性的投入。不同责任主体具有网络安全/合规风险的不同需求，技术、管理与法律措施都应纳入考量。法律服务人员可协助责任主体，通过从法条、标准、制度与技术分项控制的路径进行部署与整合，以实现网安法的落地和“可用性”。

1）网络运营者应按照网络安全等级保护制度履行“网络安全保护义务”，特别是制定和优化安全管理制度（以及信息实名与保护制度等），实现对有限人财物的合理配置，并精确到“直接负责的主管人员和其他直接责任人员”，否则有可能承担从警告、罚款到关停、吊销直至刑事责任。

2）网络产品/服务提供者需应对国家标准的“强制性要求”，实现质量（缺陷、漏洞、期限）、服务（保密、水平）的协议层面符合；涉及网络关键设备和网络安全专用产品的，法律服务人员还可提供对认证检测资质与评测协议的审查、目录时效性等方面的法律支持。

3）网安法为电子信息发送/应用软件下载服务提供者的信息发布、推送和下载服务设定了“安全管理义务”，涵盖了从内容审查到质量（恶意软件）控制的各方面，需要法律视角的研判和论证，以认定和识别“任何个人和组织”的禁止性信息内容、危害网络安全行为。

4）网安法针对关键信息基础设施运营者规定了“附加保护要求”，其中背景调查、意识培训、国家安全审查、数据本地化、年度安全评估、应急预案制定和演练都属于前沿、复合的合规内容——这也是为何会在欧盟ENISA两年一度的演习中看到律师身影。

5）网络安全服务机构在“风险评估”、“信息共享”等方面具有不可替代的作用，但规范缺失导致个案频发（如白帽子事件），需要法律服务人员对第26条“国家有关规定”进行研究和指引。

《网络安全法》合规（三）

网络运营者的隐性成本

《网络安全法》（以下简称“网安法”）的一些合规义务比较典型，可以研究法条直接得出，但某些合规义务需从其与现行有效的其他基本法综合研判得出，此即构成网安法相关特定主体合规的隐性成本。本文简述如下：

1）刑法扩张及后果的评估

从行刑衔接的视角来看，网安法第三章27条、第四章44条和46条与刑法修正案（九）的关系无疑紧密，两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》则可视为对网安法第四章个人信息保护制度的及时“补位”。网安法考虑与刑事司法的优先对接，概因网络安全事件具有同时侵害国家安全、社会公众利益、不特定个人合法权益等“国家网络空间整体安全”的“不对称性”特征，传统民事途径面临立法资源、价值效率和实现的多重局限等问题，例如新近爆发的勒索软件攻击事件同时波及多个重要和一般领域系统、网络，需要以公法的“综合防范与治理”思路予以快速回应；但另一方面，泛化和背离刑法谦抑性的介入则会徒增网络运营者等责任主体的合规成本。例如对公民个人信息保护，刑法的提前和全面规范，在市场发育尚欠充分的场景下则可能会抑制数据流通和（大）数据分析技术，也导致无法通过市场化交易的方式构筑数据价值形成机制。对此，2007年的赛门铁克“误杀”案件就是一个负面参照，应考虑对网安法进行持续的立法效果监测与评估，正视与刑法的对接问题。

2）行政法上的可诉性问题

网安法的一些制度安排体现了行政执法的效率性思考，同时对传统意义上的“可诉性”也构成了挑战。特别包括第50条“境外信息阻断”、第56条“安全事件约谈”、第58条“通信临时限制”等措施，这些制度安排一方面毫无疑问提升了网络安全事件响应效率，另一方面则可能对特定主体权益构成潜在和不可逆的影响。

以约谈为例，学术界通说认为约谈限于“行政指导”的功能，不具有《行政处罚法》意义上的可诉性。在具体实施中，如2017年6月1日通过的《互联网信息内容管理行政执法程序规定》（该规定直接对应网安法第12条、第47条、第50条等内容），其第五章专门规定了听证、约谈，但这两者在行政法上对行政相对人（如网络运营者）的意义显然相反，前者属于网络运营者的权利，后者则为不确定的双重义务，即不仅约谈行为本身无法通过复议、诉讼等方式救济，且约谈并不免除后续行政处罚的责任。

综上，尽管网安法30条“网信部门信息用途限定”等进行了事先约束，并在第73条等规定了监管者渎职的法律责任，但随着网络空间民事、行政与刑事立法的进一步夯实与平衡，相关制度设计和落地应有各自归位的长远考量。

《网络安全法》合规（四）

责任主体的双面规范与自查维度

《网络安全法》（以下简称网安法）已于2017年6月1日正式施行，为我国全面解决网络安全问题提供了基本法律支撑。法律生命力在于实施，贯彻落实网安法是当前和今后一个时期网络安全工作的中心任务。

1）多层次责任主体的双面规范架构

习近平总书记在主持4.19座谈时明确指出“维护网络安全是全社会共同责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。” 为了切实形成全社会共同维护网络安全的强大合力，网安法构建了政府、组织和个人的多层次责任主体架构，针对不同责任主体给予相对应的发展和保障措施。

政府层面，网络法覆盖国家网信部门、国务院电信主管部门、公安部门、关键信息基础设施安全保护工作部门、国务院标准化行政主管部门、县级以上地方人民政府有关部门等主体。网安法一方面明确网络安全监管体制，理顺各部门之间的权力范围，赋予其维护网络安全、惩治网络犯罪的权力；另一方面通过强化法律责任和社会监督，限定权力边界，推进国家治理体系和治理能力现代化。

组织层面，网安法覆盖网络运营者、网络产品和服务提供者、关键信息基础设施运营者、个人和组织、电子信息发送服务提供者、应用软件下载服务提供者、网络安全服务机构、网络相关行业组织、研究机构、企业、高校、大众传播媒介等主体，网安法一方面明确特定组织的网络安全保护义务和合规要求，强化社会责任，实施信用惩戒，加大对组织违法行为的处罚力度；另一方面鼓励支持企业创新，加强政企合作，支持企业、研究机构、高等院校、行业组织等参与标准制定，支持开展网络安全相关教育与培训，支持多种方式培养网络安全人才，促进经济社会信息化健康发展。

个人层面，网安法一方面保护其依法使用网络的权利，赋予其社会监督权利，突出未成年人保护，全生命周期强化个人信息保护；另一方面倡导社会主义核心价值观，行刑衔接划定个人实施网络安全活动的界限，规范个人网络信息内容，创设从业禁止规定，加大对个人违法行为的处罚力度。

网安法对多层次责任主体的双面规范有助于各级政府和各行业各领域加强对网络安全保护、网络安全教育、网络安全宣传、网络安全产业的统筹规划；有助于促全社会提升对网络安全保护工作重要程度的认知，系统和全面认识网络安全保护工作体系、工作内容和工作措施，提升开展网络安全保护工作的能力；有助于个人 提高网络安全意识，增强自我保护能力，降低个人实施危害网络安全行为的可能性，提升全社会网络安全保护水平。

2）企业主体责任的自查维度

多层次责任主体的双面规范架构决定了可以以合规和自查为工作方法贯彻落实网安法。以企业为例，企业不仅维护网络空间安全的中坚力量，更是政府监管和个人活动的桥梁纽带。“网络安全是动态的而不是静态的”，企业整体系统性安全防护应变能力面临更高的挑战。网安法不仅是一部体现顶层设计、自上而下的基本法，更是一部企业迎难而上，顺势而为的“自适应”规则体系。贯彻落实网安法，也需要企业进行及时全面的网络安全自查，快速发现漏洞等安全隐患，实施有效整改，增强其自我网络安全保障能力。在国家互联网信息办公室的指导下，中国网络空间安全协会与地方网信办共同举办的“网安中国行（2017）”系列活动即包括以面向网安协会会员单位为主开展的行业网安自查工作。

自查维度可以基于简单分类和风险控制清单设计，实现企业对自身网络安全风险、合规风险的快速匹配，为持续合规与完善夯实基础。举例来说，网络运营者自查的维度构成可以分为四个控制“域”：网络安全管理机构制度、网络运行安全、数据安全、监测预警与应急处置，通过这四个域的设置，基本可以实现对网安法要求的网络安全保护义务的覆盖。此外，针对不同类型的企业，还应增加控制域，如对“网络信息服务提供者”和《互联网新闻信息服务管理规定》所规定的“互联网新闻信息服务提供者”，需增加内容安全，以突显对“十不准”等禁止内容的针对性自查，而对于某些涉及特殊项如用户个人信息行业（比如电商、快递），则需要在“网络安全管理机构制度”将人员安全单独列出重点关注。

在区分安全管理的“域”之后，应考虑技术措施、管理制度、协议条款以及具体的部署和管理行为，将法律条款的法言法语进行符合企业应用的重新表述，颗粒度不断细化。以网安法第21条为例，“网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，……（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”，在企业的实际部署上，首先，企业要采购和部署IPS/IDS等软硬件设备，并对其进行定期的升级、漏洞修复等规范动作；其次，企业在进行IPS/IDS等软硬件设备的采购和部署时，应按照网安法第22条“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告”的规定对供应商进行技术、标准、（服务水平）协议、管理、人员（访问控制）层面的审查。

总体来说，企业主体责任的自查工作，就是按照清单设计和体现的管理思路，发现隐患和问题，为后续的整改提供支持，即问题发现为网安法合规的第一步；同时自查的过程也是一次系统的网安法宣贯培训的过程，有利于企业的不同部门形成对网络安全保护工作重要程度的统一认识，提升企业总体网络安全防护应变的能力。

《网络安全法》合规（五）

实现第38条的年度风险评估报告合规要求

《网络安全法》（以下简称“网安法”）第三十八条和《关键信息基础设施安全保护条例》（征求意见稿）第二十八条规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。该规定与美国《联邦信息安全现代化法》等域外法律的相关规定类似，对关键信息基础设施运营者的成本投入、内控水平等都提出了更高要求。

本文比较了美国家标准与技术研究院（NIST）于2014年制定的《提升关键基础设施网络安全框架》（CSF Ver 1.0 ）、我国财政部、证监会、审计署、银监会、保监会2009年开始实施的《企业内部控制基本规范》（借鉴了包括COSO内部控制整合框架等）、传统信息安全领域经典的ISO 27001体系，以及工信部《工业控制系统信息安全防护指南》《工业控制系统信息安全防护能力评估工作管理办法》（含附件《工业控制系统信息安全防护能力评估方法》）几种年度风险评估的方法，以供开展相关合规工作参考。

作为基础制度文件，网安法并未对检测评估的具体内容作出指引和示范性规定，因此可以理解为在相应的指引或示范性规定未出台之前，关键信息基础设施运营者根据并结合所在行业要求和自身特点，以上述规定的实质性符合为目标所作出和报送的评估报告，都属于网安法所称的年度关键信息基础设施网络安全评估报告。

《网络安全法》合规（六）

实名制监管机关的分工

1）实名制的监管规定

《网络安全法》（以下简称“网安法”）第八条规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。据此形成了网信、电信、公安等部门各司其职并在网信部门统筹协调下开展网络安全工作和监管的职责布局。同时，网安法第二十四条的规定视为是实名制的明确规定：网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息（实名制）。

结合相关配套文件，网信部门通过《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》确立了其对网络信息内容管理的一般职责，实名制作为网络信息内容管理的前置，其作用和目的在于实现网络信息内容与真实发布者之间的准确关联。因此，尽管实名制所产生的数据作为个人信息已经打通并贯穿于线上线下的各个领域，但监管具体规则应分别落地于物理空间和网络空间，分别归入公安部门、电信部门和网信部门的监管范围，特别是网安法规定公安部门职责则体现为网安法规定的“任何个人和组织有权对危害网络安全的行为”的举报，对“从事危害网络安全的活动”，予以没收违法所得、拘留、罚款等处罚，实际上是实名制的个人信息“定位”到具体个人的“最后一公里”。

2）实名制监管的分工

基于以上，例如网吧、旅馆等物理场所的实名制规范基于《治安管理处罚法》由公安机关进行管理；电话、域名等的电信服务的实名制规范由电信部门进行，现行规定包括《互联网域名管理办法》《通信短信息服务管理规定》《电话用户真实身份信息登记规定》；《互联网新闻信息服务管理规定》《互联网论坛社区服务管理规定》《互联网跟帖评论服务管理规定》，以及最新发布的《互联网用户公众账号信息服务管理规定》《互联网群组信息服务管理规定》等则将网站平台类的规范作为信息内容管理纳入网信部门。

3）违反实名制的行政处罚

按照网安法第六十一条，网络运营者违反实名制的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，并可以由有关主管部门（包括公安部门等发证机关）责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

特别值得注意的是，《治安管理处罚法》（修订公开征求意见稿）第七十二条规定：电信、互联网、金融、长途客运、机动车租赁等业务经营者、服务提供者未按规定对客户身份进行查验，或者对身份不明、拒绝身份查验的客户提供服务，经主管部门行政处罚后一年内又实施的，对其直接负责的主管人员和其他直接责任人员处五日以下拘留；情节较重的，处五日以上十日以下拘留。仍不改正的，由原发证部门吊销其有关证照。据此公安机关对实名制违法行为拥有第二次处罚的权力。

本文来源:公安部第三研究所网络安全法律研究中心

（免责声明：本文系转载自网络，发布本文为传递更多信息之用，本文仅代表作者个人观点，与本公众号无关。其原创性以及文中陈述文字和内容未经我们证实。如若有任何内容侵犯您的权益，请及时拨打e安在线电话400 010 5300，我们将及时处理。）

END

更多在资讯，请点击“阅读原文”