1.《网络安全法》确立了网络安全法的基本原则:
1)网络安全主权原则。
2)网络安全与信息化发展并重原则。
3)共同治理原则。
2.《网络安全法》提出制定网络安全战略,明确网络空间治理目标,提高了我国网络安全政策的透明度。这是我国第一次通过国家法律的形式向全世界宣示网络空间治理目标,明确表达了我国的网络空间治理诉求。
监管部门的职责分工。
4.《网络安全法》强化了网络运行安全,重点保护关键信息基础设施,第三章用了近三分之一的篇幅规范网络运行安全,特别强调要保障关键信息基础设施的运行安全。
5.《网络安全法》完善了网络安全义务和责任,加大了违法惩处力度,在“法律责任”中则提高了违法行为的处罚标准,有利于保障《网络安全法》的实施。
6.《网络安全法》将监测预警与应急处置措施制度化、法制化,这为建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制提供了法律依据,为深化网络安全防护体系、实现全天候全方位感知网络安全态势提供了法律保障。
7.《网络安全法》六大看点
1)不得出售个人信息。《网络安全法》作出专门规定:网络产品、服务具有收集用户信息功能的,其提供者应向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息,并规定了相应法律责任。
2)严厉打击网络诈骗。《网络安全法》针对层出不穷的新型网络诈骗犯罪规定:任何个人和组织不得设立用于实
施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布与实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
4)重点保护关键信息基础设施。《网络安全法》对关键信息基础设施的运行安全规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业与领域的关键信息基础设施实行重点保护。
5)惩戒攻击破坏我国关键信息基础设施的境外组织和个人。《网络安全法》对关键信息基础设施的规定:境外的个人或者组织从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门可以决定对该个人或者组织采取冻结财产或者其他必要的制裁措施。
6)重大突发事件可采取“网络通讯管制”。《网络安全
法》中,对建立网络安全监测预警与应急处置制度专门列出一章作出规定,明确了发生网络安全事件时,有关部门需要采取的措施。特别规定:因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。
(二)个人信息保护法解读
《个人信息保护法》由全国人民代表大会常务委员会于2021年8月20日发布,自2021年11月1日起施行。本法构建了完整的个人信息保护框架,对个人信息处理规则、个人信息跨境传输、个人信息处理活动的权利、信息处理者的义务、监管部门职责以及罚则等作出了全面的规定。
1.采取一般个人信息与敏感个人信息分级保护
个人信息是与已识别或者可识别的自然人有关的各种信息(匿名化处理后的信息不属于个人信息)。个人敏感信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,以及不满十四周岁未成年人的个人信息。
1)一般个人信息保护规则。处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整的告知个人信
息处理者的名称或者姓名和联系方式,个人信息的处理目的、方式、种类、保存期限,个人行权的方式和程序。
处理个人信息应取得个人的明确同意,若处理的目的、方式、种类发生变更,应当重新取得同意。
2)敏感个人信息保护规则。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
除处理一般个人信息应当告知的内容外,还应当告知处理敏感个人信息的必要性以及对个人权益的影响。
处理个人敏感信息应当取得个人的单独同意。而处理不满十四周岁未成年人个人信息的,应当取得其父母或者其他监护人的同意。
2.扩大个人信息处理的合法性基础
除取得个人同意外,明确了处理个人信息处理的多元合法性基础:
1)为订立、履行合同所必需,或者依法依约实施人力资源管理所必需;
2)为履行法定职责或者法定义务所必需;
3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
4)为公共利益在合理的范围内处理个人信息;
5)在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
6)法律、行政法规规定的其他情形。
3.明确个人信息跨境提供的规则
1)跨境提供个人信息需同时满足如下条件:
告知向境外提供个人信息的情况,包括境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。
取得个人的单独同意,或具备其他合法性基础。
境外接收方未被网信部门列入限制或禁止个人信息提供清单。
2)跨境提供个人信息需遵循如下法律路径:
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者应当通过网信部门组织的安全评估,另有规定的除外。
其他个人信息处理者可选择以下任一路径:通过网信部门组织的安全评估,通过专业机构进行个人信息保护认证,与境外接收方订立网信部门制定的标准合同,或者遵循其他法定路径。
4.新设个人信息可携权
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
5.完善近亲属行使死者个人信息权利的要求
自然人死亡,其近亲属可以对死者的个人信息行使一定权利,但需符合如下条件:
1)为了自身的合法、正当利益;
2)权利类型仅包括查阅、复制、更正、删除;
3)死者生前无其他安排。
6.明确个人信息处理者的义务,区分大小型个人信息处理者
1)采取必要措施保障个人信息处理合法合规,防范个人信息管理风险;
2)定期开展合规审计;
4)发生个人信息安全事件应立即采取补救措施,并通知专职部门以及个人;
5)对于大型个人信息处理者(包括提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者),应当承担额外的个人信息保护义务;
6)对于小型个人信息处理者,由网信部门制定专门的个人信息保护规则、标准。
7.衔接民法、行政法、刑法,明确法律责任
1)提高行政处罚上限,引入高管禁业,违法行为计入征信。
违法处理个人信息,情节严重的,将会被没收违法所得,至高处五千万或上一年度营业额百分之五的罚款,责令暂停业务或停业整顿。吊销业务许可或营业执照;直接责任人员至高将被处罚款一百万元,及被禁止担任董监高或个人信息保护负责人。
2)侵权责任认定采取过错推定原则。
处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。两个以上个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当承担连带责任。
8.处理个人信息应取得同意
取得个人合法有效同意作为处理个人信息的合法性基础,是个人对其个人信息的处理享有决定权的表现。若该同意是未经充分告知前提下作出,同意的形式不符合法律要求,超范围处理个人信息,处理情况发生变更未重新取得同意,或者未提供撤回同意的方式等,均可被认定为
未经个人同意处理个人信息,属于侵犯个人决定权的行为。
因此,基于个人同意处理个人信息的,应满足以下要求:
1)处理个人信息前,应以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息处理者的基本情况,信息处理的目的、方式、范围、保存期限,个人的法定权利等事项,保障个人的知情权;
2)一般应取得个人的明确同意,特殊情况下还需取得单独同意或书面同意。如向第三方提供个人信息、公开处理的个人信息、处理敏感信息、向境外提供个人信息的,应取得单独同意;
3)个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得同意;
4)提供便捷的撤回同意的方式。
9.不得通过自动化决策实行不合理的差别待遇
自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。通过自动化决策实行不合理的差别待遇,包括歧视性定价、定向推送不支持关闭等行为,均为《个人信息保护法》所明确禁止。
禁止基于自动化决策实行不合理的差别待遇并不等于禁止自动化决策方式,个人信息处理者通过自动化决策的,应满足以下要求:
1)保证决策的透明度和结果公平、公正,不得对个人在交易条件上实行不合理的差别待遇;
2)进行定向推送时,应提供非定向推送的选项或便捷的拒绝方式;
3)对个人权益有重大影响的,应按照个人要求予以说明,并提供拒绝方式。
10.个人信息跨境传输应满足法定条件和路径
原则上,个人信息处理者应将个人信息存储在境内,确需向境外提供个人信息的,应当符合法定条件。对于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者向境外提供个人信息的,还需通过网信部门组织的安全评估。
个人信息处理者,尤其是特定的个人信息处理者应当对信息出境事项进行梳理,并采取以下措施:
1)修改隐私文件或其他方式,将出境情况充分告知个人,并征得其单独同意,除非可以依赖其他合法性基础;
2)与境外接收方签署标准合同(由国家网信部门制定),或者通过个人信息保护认证,并采取包括但不限于合
同约束、技术限制、定期复核、合规审计等必要措施,确保接收方妥善保护个人信息。
11.个人信息处理者应尽安全保障义务
具体来说,个人信息处理者应根据处理目的、方式、种类及对个人权益的影响、安全风险等,采取如下安保措施:
1)制定内部管理制度和操作规程;
2)对个人信息实行分类管理;
3)采取加密、去标识化等安全技术措施;
4)合理确定个人信息处理的操作权限,并定期进行安全教育和培训;
5)制定并组织实施个人信息安全事件应急预案;
6)个人信息处理活动对个人权益有重大影响的,应事前进行个人信息保护影响评估。
12.大型个人信息处理者负有额外义务
由于大型个人信息处理者(提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者)与小型个人信息处理者在技术水平、风险等级上存在较大差异,《个人信息保护法》强化了对大型个人信息处理者的监
管,提出了额外要求。
对于大型个人信息处理者,除了需要履行一般个人信息处理者的义务,还应履行下列义务:
1)建立健全个人信息保护合规制度体系,成立独立机构对个人信息保护情况进行监督;
2)制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
3)对严重违法违规处理个人信息的平台内产品或服务提供者停止提供服务;
4)定期发布个人信息保护社会责任报告。
13.共同个人信息处理者间承担连带责任
实务中,数据处理过程中可能涉及到多方主体,共同处理者(共同决定个人信息的处理目的和处理方式的个人信息处理者)侵害个人信息权益造成损害的,互相之间承担连带责任,且该连带责任不因双方约定而排除。
为保护一方个人信息处理者的权益,在共同处理个人信息前应注意以下几点:
1)充分评估合作方的个人信息保护水平,以及共同处理信息的合法性、正当性、必要性,采取必要措施保障信息安全;
2)通过协议明确约定共同处理个人信息的目的、方
式、范围,各自的权利和义务,并制定个人信息应急预案;
3)引入专业个人信息保护认证机构,监督合作方合法合规处理个人信息。
(三)数据安全法解读
《中华人民共和国数据安全法》2021年6月10日正式颁布,2021年9月1日起正式实施。《数据安全法》(2021)将与《国家安全法》(2015)、《网络安全法》(2017)、《网络安全审查办法》(2020)共同构成我国数据安全范畴下的法律框架。《数据安全法》作为我国第一部专门规定“数据”安全的法律,明确对“数据”的规制原则。
1.明确将数据安全上升到国家安全范畴
新出台的《数据安全法》第四条明确“维护数据安全,应当坚持总体国家安全观”,并将“维护国家主权、安全和发展利益”写入本法的立法目的条款中。随着世界数据化进程的加快,各企业商业模式也在随之改变,例如采用基于数据智能驱动的商业模式的公司“滴滴”,这些公司在运营过程中无可避免地涉及数据使用的一系列问题。随着数据跨境流动等趋势的愈发常见,数据已然转换为关乎国家安全价值的利益形态,特别是当其掌握的数据足够丰富时,经过数据分析处理得出的结果极可能包含国家隐私核心数据,这些核心数据的不当使用可能引发国家安全问
资格监管提供了上位法依据。
2)境外数据对国家安全的侵犯。《数据安全法》不仅对国内范围内的数据活动进行规范,同时其第二条规定,在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任,此条明确规定了境外数据侵犯国家安全属于我国数据规范范围。
罪的,依法追究刑事责任。
2.建立重要数据和数据分级分类管理制度
3.完善数据出境风险管理
1)《数据安全法》补充和完善了数据出境管理要求,强化境内数据出境风险控制。《数据安全法》出台之前,也有法律涉及数据境外传输的规定,如《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境
内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。但由于《网络安全法》的立法目的主要是保护互联网环境安全,对涉及国家安全的数据保护一般只限于网络范围,因此有必要利用《数据安全法》对涉及国家安全的数据内容进行专门规制,《数据安全法》第三十一条继续沿用了以上条款,同时规定此外其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
网信企业在出海过程中频遭他国国家安全审查等不平等对待的问题,《数据安全法》第二十六条明确任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对我国采取歧视性的禁止、限制或者其他类似措施的,我国可以根据实际情况对该国家或者地区对等采取措施。
4.明确规定数据安全保护义务
外执法机构要调取存储在中国的数据,未经批准,不得提供。
(四)党委(党组)网络安全工作责任制解读
1.责任主体
1)什么是党委、党组
《实施办法》第一条明确指出,本办法是为了明确和落实党委(党组)领导班子、领导干部的网络安全责任。为了理解《实施办法》,首先要弄清什么是党委和党组。
党组:《党章》第四十八条规定,在中央和地方国家机关、人民团体、经济组织、文化组织和其他非党组织的领导机关中,可以成立党组。《中国共产党党组工作条例》规定,党组是党在中央和地方国家机关、人民团体、经济组织、文化组织和其他非党组织的领导机关中设立的领导机构,在本单位发挥领导作用,是党对非党组织实施领导的重要组织形式。常见的党组有:国务院党组,国务院某部门党组,某省政府机关党组、人大常委会机关党组、政协机关党组、法院党组、检察院党组,中管企业党组,工会、妇联等人民团体党组等。
党委:《党章》第十条规定,党的最高领导机关,是党的全国代表大会和它所产生的中央委员会。党的地方各级领导机关,是党的地方各级代表大会和它们所产生的委员
会。党的各级委员会向同级的代表大会负责并报告工作。
党委与党组的主要区别:一是产生方式不同,党委由同级党的代表大会选举产生,党组由批准其设立的党组织批准成立。二是负责对象不同,党委向选举其产生的党的代表大会负责,党组则必须服从批准其设立的党组织领导。三是设立权限不同,党中央或本级地方党委可以审批设立党组,而党组不得审批设立党组。
尽管有以上的不同之处,党委与党组还具有一个最重要的共同特点,即在本单位本组织的范围内,发挥领导核心作用。《党章》第四十八条规定:“党组发挥领导核心作用。党组的任务,主要是负责贯彻执行党的路线、方针、政策;加强对本单位党的建设的领导,履行全面从严治党责任;讨论和决定本单位的重大问题;做好干部管理工作;讨论和决定基层党组织设置调整和发展党员、处分党员等重要事项;团结党外干部和群众,完成党和国家交给的任务;领导机关和直属单位党组织的工作。”
2)各级党委(党组)、各级(各地区各部门)网络安全和信息化领导机构、行业主管监管部门
《实施办法》规定,具有网络安全工作责任的主要有三类主体:各级党委(党组)、各地区各部门网络安全和信息化领导机构、行业主管监管部门。
各级(各地区各部门)网络安全和信息化领导机构:《实施办法》第五条、第六条分别规定,各级(各地区各部门)网络安全和信息化领导机构具有分析研判网络安全信息、统筹协调网络安全检查、组织通报网络安全信息等职责。
行业主管监管部门:《实施办法》第四条规定,“行业主管监管部门对本行业本领域的网络安全负指导监管责任。没有主管监管部门的,由所在地区负指导监管责任。”
2.责任范围
《实施办法》所划定的责任主体,具有各自不尽相同的责任范围,形成一张相互交织、没有死角的网络安全责任
网络,严密覆盖每一个行业和领域、地区、关键信息基础设施运营单位、党政机关。
2)地区。按照《实施办法》第五条,本地区的网络安全事件汇集、分析研判、组织指导信息通报、统筹协调网络安全检查等工作,由本地区的网信领导机构负责。
4)党政机关。按照《实施办法》第三条,党政机关本单位的网络安全工作,由本单位党委(党组)负主体责任。
门进行。”
4.责任事项
《实施办法》划定的不同的责任主体,具有不同的责任事项。
1)各级党委(党组)
按照《实施办法》第三条,各级党委(党组)主要承担的网络安全责任是:
①认真贯彻落实党中央和习近平总书记关于网络安全工作的重要指示精神和决策部署,贯彻落实网络安全法律法规,明确本地区本部门网络安全的主要目标、基本要求、工作任务、保护措施;
②建立和落实网络安全责任制,把网络安全工作纳入重要议事日程,明确工作机构,加大人力、财力、物力的支持和保障力度;
③统一组织领导本地区本部门网络安全保护和重大事件处置工作,研究解决重要问题;
④采取有效措施,为公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动提供支持和保障;
⑤组织开展经常性网络安全宣传教育,采取多种方式培养网络安全人才,支持网络安全技术产业发展。
2)行业主管监管部门
《实施办法》第四条规定:
行业主管监管部门对本行业本领域的网络安全负指导监管责任。没有主管监管部门的,由所在地区负指导监管责任。
3)各级(各地区各部门)网络安全和信息化领导机构
《实施办法》第五条:
各级网络安全和信息化领导机构应当加强和规范本地区本部门网络安全信息汇集、分析和研判工作,要求有关单位和机构及时报告网络安全信息,组织指导网络安全通报机构开展网络安全信息通报,统筹协调开展网络安全检查。
《实施办法》第六条:
各地区各部门网络安全和信息化领导机构应当向中央网络安全和信息化委员会及时报告网络安全重大事项,包括出台涉及网络安全的重要政策和制度措施等。
各地区各部门网络安全和信息化领导机构每年向中央网络安全和信息化委员会报告网络安全工作情况。
5.启动问责的条件
《实施办法》第八条规定了两种启动问责的条件,一是按行为,二是按后果。
1)按行为问责
2)按后果问责
《实施办法》第八条第二款规定:“有下列情形之一的,各级党委(党组)应当逐级倒查,追究当事人、网络安全负责人直至主要负责人责任。协调监管不力的,还应当追究综合协调或监管部门负责人责任”。
①党政机关门户网站、重点新闻网站、大型网络平台被攻击篡改,导致反动言论或者谣言等违法有害信息大面积扩散,且没有及时报告和组织处置的;
②地市级以上党政门户网站或者重点新闻网站受到攻击后没有及时组织处置,且瘫痪6小时以上的;
③发生国家秘密泄露、大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露的;
④关键信息基础设施遭受网络攻击,没有及时处置导致大面积影响人民群众工作、生活,或者造成重大经济损失,或者造成严重不良社会影响的;
⑤封锁、瞒报网络安全事件情况,拒不配合有关部门依法开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的;
⑥阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的;
⑦发生其他严重危害网络安全行为的。
6.问责主体
《中国共产党问责条例》第十二条规定:“问责决定应当由有管理权限的党组织作出”。《实施办法》第九条规定了实施问责的主体:“对领导班子、领导干部进行问责,应当由有管理权限的党组织依据有关规定实施。”回答“谁来实施问责”这个问题的关键,在于准确理解“有管理权限的党组织”。
按照党的民主集中制原则,下级党组织服从上级党组织,“有管理权限的党组织”即为被问责对象的上级党组
织。然而,在党的组织结构中,普遍存在双重领导或多重领导的情形。另外,因为存在分管领域的划分,党组织之间还存在归口领导管理、归口指导、协调或监督职责等关系。如高校党组织,往往同时受地方党组织、教育部门党组织的双重领导;国有企业,往往受国资监管部门的领导,同时受所在行业主管监管部门的指导。
对此,为了准确理解“有管理权限的党组织”,可参考《中国共产党重大事项请示报告条例》的规定。《条例》第二章“党组织请示报告主体”对于党组织向上请示的对象做出规定,一是在双重领导的情况下,向负有主要领导职责的上级党组织请示报告,二是在归口领导、管理的情况下,服从批准其设立的党组织的领导。据此,将“有管理权限的党组织”理解为被问责党组织的上级党组织,或批准其设立的党组织则更为准确。
需要说明的是,虽然各级网信办有可能不是被问责对象的上级党组织,但作为网信领域发挥党的领导作用的核心机构,各级网信部门在实施问责中起到重要作用。《实施办法》第九条第二款规定:“各级网络安全和信息化领导机构办公室可以向实施问责的党委(党组)、纪委(纪检组)提出问责建议。”
7.问责措施
《实施办法》第九条规定:“对领导班子、领导干部进行问责,应当由有管理权限的党组织依据有关规定实施。”此处的“有关规定”,即为《中国共产党问责条例》。《中国共产党问责条例》第八条规定了三种针对党组织的问责方式,即检查、通报、改组;四种针对党的领导干部的问责方式,即通报、诫勉、组织调整或者组织处理、纪律处分。给予纪律处分的,依照《中国共产党纪律处分条例》追究纪律责任。
8.保障措施
1)表彰奖励
2)干部考核
《实施办法》第十条规定:“各级党委(党组)应当建立
网络安全责任制检查考核制度,完善健全考核机制,明确考核内容、方法、程序,考核结果送干部主管部门,作为对领导班子和有关领导干部综合考核评价的重要内容”。
3)审计保障
《实施办法》第十一条规定:“各级审计机关在有关部门和单位的审计中,应当将网络安全建设和绩效纳入审计范围”。