Pillsbury Law | China | 新网络安全法-在华企业合规新焦点
This links to the home page
观察报告

新网络安全法-在华企业合规新焦点

12/15/2016
David A. Livdahl, 盛佳(Jenny Sheng), 刘悦乔(Amy Y. Liu), 蔡文骏(Wenjun Cai)

​经中国全国人民代表大会自2015年6月起的三次审议后,全国人民代表大会常务委员会最终于2016年11月7日通过了《中华人民共和国网络安全法》(“《网络安全法》”)。作为中国第一部针对网络安全问题的法律,《网络安全法》的颁布标志着中国对网络空间日益严格的管理和监督,也是中国网络安全立法上的一座里程碑。《网络安全法》将于2017年6月1日生效。鉴于该法的潜在影响,我们建议客户仔细审阅该法。

随着信息技术在公、私领域的广泛运用,中国政府目前视网络安全为中国国家安全的重要组成部分。中国拥有世界上数量最多的互联网用户,其互联网经济蓬勃发展,同时,中国也面临着日益严重的网络安全挑战和风险。此外,数据隐私保护已成为突出问题,尤其是个人隐私保护。中国加强网络安全维护的需求日益凸显,《网络安全法》应运而生,其一方面结合了中国政府在规范网络空间活动方面的先前经验,亦引入了一些新的监管要求。

重点关注

我们提请中国境内外的所有经营者注意以下关于这部基于国家安全和公共利益考量制定的《网络安全法》及政府机构实施该法的要点:
 
  • 辨明可能受《网络安全法》监管的敏感信息(例如,保守国家秘密法及相关法规中所确定的各密级国家机密,与军事相关交易和/或中国国家利益有关的信息,与国有或国家控制行业的基础设施相关的信息,以及个人信息等)。
  • 注意信息来源,并且在传输敏感信息时要格外小心(尤其是向中国境外传输此类信息时)。
  • 《网络安全法》和执法当局将打击某些滥用网络的行为,包括一些“不健康”的直播节目和可能导致市场秩序混乱、损害公共利益和道德价值观的一些网络分歧。《网络安全法》还将网络运营者定义为网络的所有者、管理者和网络服务提供者。这两个定义非常的宽泛,因此会将诸多对象纳入监管目标。
  • 《网络安全法》将监管所有拥有、运营、构建和/或维护网络和计算机系统的运营者。此外,使用计算机系统和网络进行业务管理和操作的所有其他运营者还应当遵守《网络安全法》项下关于中国境内数据隐私保护的要求(例如《网络安全法》适用于范围广泛的网络运营者,包括网络所有者和网络产品、服务的提供者)。《网络安全法》也赋予“网络”一词宽泛的定义,可以广泛地覆盖很多的业务。
 
《网络安全法》的适用

《网络安全法》适用于所有网络运营者在中国境内对网络的建设、运营、维护和使用行为。《网络安全法》项下的义务创设基于对“网络”(由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统)和“网络运营者“(网络的所有者、管理者和网络服务提供者)赋予的宽泛定义之上。

监管机构
《网络安全法》主要指定了国家互联网信息办公室(一个公众并不熟悉的机构)、工业与信息化部和公安部负责网络安全监督管理的相关工作。

网络运营者的义务

网络运营者应当(1)制定内部安全管理制度和操作规程;(2)确定网络安全负责人;(3)采取技术措施防范计算机病毒、网络攻击和网络侵入等,监测网络安全事件并留存相关记录不少于六个月;(4)采取数据分类,备份和加密重要数据;(5)制定网络安全事件应急预案;并(6)在有需要时协助政府部门的国家安全和犯罪相关侦查活动。

除了网络运营者,《网络安全法》还要求网络产品、服务的提供者不得向用户提供恶意程序;就用户信息的收集和转移向用户取得同意;并在安全风险发生时通知用户并采取补救措施。然而,《网络安全法》没有为“网络产品、服务”提供清晰的定义。根据我们与上海市通信管理局官员的咨询沟通,当地官员认为“网络产品、服务”一词是指与网络维护和运行相关的产品和服务,如计算机耗材、服务器维护服务等。

在网络运营者提供有关网络接入、域名注册、固定电话和移动电话接入服务时,用户需提供其真实身份信息后,网络运营者方可向用户提供服务。

关键信息基础设施

《网络安全法》第一次引入了关键信息基础设施的概念。关键信息基础设施涵盖了公共通信和信息服务、能源、交通、水资源利用、金融、公共服务和电子政务等等领域。如果这些基础设施发生故障,可能严重危害国家安全和公共利益,或导致设施毁损或数据泄漏。《网络安全法》要求关键信息基础设施运营者采取更严格的数据保护措施,亦即:
 
  • 中国境内储存数据
关键信息基础设施的运营者在其中国境内运营中收集和产生的个人信息和重要数据应当在中国境内存储。
 
  • 向中国境外传输数据时的安全评估
如果关键信息基础设施运营者需要向中国境外传输任何个人信息或重要数据的,应当根据政府公布的具体办法进行安全评估。
 
  • 特定采购中的国家安全审查
关键信息基础设施的运营者采购可能影响国家安全的网络产品、服务时,应当通过政府组织的国家安全审查。
 
  • 年度网络安全评估
关键信息基础设施运营者应当自行或委托网络安全服务机构至少每年进行一次网络安全评估。

网络安全主管机构(如网信办、工信部等)正在起草实施细则,以便在《网络安全法》于2017年6月1日生效后有效实施。该细则有望对关键信息基础设施运营者做出更详细的定义。

个人信息保护

《网络安全法》特别述及了个人信息保护问题。在收集任何个人信息前,网络运营者和网络产品、服务提供者必须通知相关个人数据收集的目的、方式和范围,并取得其同意。网络运营者和网络产品、服务提供者若想向任何他人传输个人信息前,也必须得到相关个人的事先同意,除非该个人信息经过不可逆处理而无法基于该等信息识别出特定个人。此外,网络运营者有义务确保其收集的个人信息安全,并必须在该等个人信息被泄露、毁损、丢失时采取补救措施。

任何个人发现网络运营者非法收集或使用个人信息时都有权要求网络运营者删除其个人信息,并有权要求网络运营者更正错误的个人信息。

普盈评论

《网络安全法》描绘了网络安全方面的抽象原则及法律框架,但是仍待相关实施细则和法规的发布以促进其实施。希望这些实施细则可以澄清一些关键点,如网信办、工信部和其他政府部门在网络安全监管工作中的角色和职责分配,以及认定关键信息基础设施运营者的因素和方法等。

《网络安全法》下的网络运营者和网络产品、服务的提供者涵盖了广泛的实体。我们建议客户仔细浏览《网络安全法》并落实网络安全相关措施以符合《网络安全法》的要求,特别是在个人信息收集或传输方面。例如,如果外商投资企业收集其员工的个人信息并将此类信息转移到其境外总部,应依据《网络安全法》获得员工的事先同意。此外,如果外商投资企业属于关键信息基础设施运营者,在其将任何个人信息或重要数据传输到中国境外之前,须进行安全评估(评估办法有待政府部门进一步制定和明确)。