本所动态

网络安全法(草案)要求更严监管网络运营者和用户

2015年07月16日

处于公开征求意见阶段的《网络安全法(草案)》(以下简称“《草案》”)加强了对网络安全的监管,《草案》中的诸多措施不仅直接影响网络运营者,同时也会影响到网络用户以及社会生活的各个方面。

一、网络运管者定义宽泛

《草案》规定网络运营者为其主要义务主体,并将其定义为“网络的所有者、管理者以及利用他人所有或者管理的网络提供相关服务的网络服务提供者,包括基础电信运营者、网络信息服务提供者、重要信息系统运营者等。”

二、网络运营者保障网络安全的义务

《草案》规定了网络经营者一系列保障网络运营安全的义务,包括制定内部安全管理制度和操作规则;采取监控措施,记录、跟踪网络运行状态;不得设置恶意程序;及时告知用户网络漏洞和风险,并采取补救措施;为产品和服务提供定期安全维护。

在现实情况下,网络运营者一般能够履行制定安全管理规则并及时监控网络运行状态的义务,但是往往会忽视用户对于安全漏洞和风险的知情权,并且对其提供的产品和服务缺乏定期安全维护。《草案》对于此类违法行为规定了较大的处罚力度,拒不改正的将面临五到五十万元的罚款,而其直接负责的主管人员也可能需要缴纳一到十万元的罚款。

在网络运营者自行维护和保障网络运营安全的同时,为国家安全和侦查犯罪的需要,也应当积极配合和协助侦查机关展开各项行动。

三、关键信息基础设施实施重点保护

《草案》规定,国家实行网络安全等级保护制度,对于提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统实行重点保护。此类网络和系统被定义为关键信息基础设施。

《草案》明确了对关键信息基础设施的重点保护措施,包括:(1)设置专门安保机构和人员、强化训练、数据备份、制定应急预案;(2)重要数据储存地原则上限制在境内;(3)年度安全性检测评估;(4)强制安全审查。

明显的是,一旦网络运营者所运营的网络和系统被认定为关键信息基础设施,该网络运营者需要承担更多的责任和义务。除了公共服务领域、军事、政府机关的网络和系统,《草案》并未对“用户数量众多的网络服务者”进行明确定义,何种企业会被认定为此类关键信息基础设施的运营者,仍然是需要讨论和解决的问题。

四、用户需提供真实身份信息;网络运营者对用户信息的保护义务

《草案》在法律层面上明确了网络用户实名制的要求,其规定提供网络接入、域名注册、办理固话和移动电话入网手续以及信息发布等服务的网络运营者应当要求用户提供真实身份信息。

《草案》要求网络运营者在收集使用用户信息时,应当遵循合法、正当和必要的原则,并应当经过被收集者的明确同意,同时公开其收集、使用规则。并且网络运营者对用户信息应严格保密,不得泄露、篡改、损毁,不得出售或者非法向他人提供。这里的用户信息被定义为,以电子或其他方式记录的公民个人身份信息以及其他能够单独或者与其他信息结合能够识别公民个人身份的各种信息。

五、用户发布信息受网络运营者管理

《草案》规定网络运营者应加强对用户发布信息的管理,发现用户发布法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。

违反上述规定的网络运营者将面临轻则罚款,重则停业整顿、关闭网站、吊销执照等处罚。


©上海胡光律师事务所

本文仅为信息分享之目的提供,任何内容均不构成胡光律师事务所的任何法律意见或建议。如需了解更多信息,欢迎联系胡光律师事务所(info@mhplawyer.com)