【E安全特約稿】本文作者謝永江,北京郵電大學互聯網治理與法律研究中心常務副主任、中國科技法學會常務理事、中國網絡空間安全協會理事。原標題為《《網絡安全法》明確了網絡運營者的網絡信息安全義務》,對網絡運營者的網絡信息安全義務進行了深入分析。
編者按:《網絡安全法》是我國網絡空間第一部基本大法,它強化了我國網絡空間主權的戰略意義與監管的範疇,其中第9條總括性地規定了網絡運營者的網絡安全義務。同時,《網絡安全法》第21條、第24條、第40—44條、第47條、48條、第49條,以及《刑法》第286條均對網絡運營者的網絡信息安全義務進行了規定。未來,網絡網絡運營者責任重大。
圖:謝永江
網絡運營者,特別是大型互聯網企業,擁有海量的用戶,是網絡社會最重要的節點,也是實施網絡治理的關鍵主體。我國在網絡政策上主張“誰接入,誰負責”、“誰運營,誰負責”,一直強調網絡運營者的“主體責任”,要求網絡運營者對其運營的網站和提供的網絡產品和服務承擔安全義務。《網絡安全法》則在法律層面將網絡運營者的網絡信息安全義務和責任法定化。
在網絡領域,網絡運營者比普通企業通常需要承擔更多的安全義務,這主要是因為在網絡領域,政府監管存在一定失靈現象。
(第一)具有眾多用戶的網絡平臺往往是一個網絡社會,網民通過平臺進行各項社會活動,客觀上需要進行有效的管理,防止非法信息和社會風險的傳播和擴散。
(第二)網絡空間信息技術和應用日新月異,法律和政府管理手段難以及時跟進。
(第三)政府和企業之間存在信息不對稱。在網絡信息時代,政府對信息控制的能力在削弱。與傳統領域由政府掌握更多的管理信息不同,政府對網絡空間的管理需要更多的技術支持和數據支持,但相關先進技術和海量數據往往由互聯網企業掌握,政府缺乏有效管理所必須的技術和數據,反而要求助作為被管理對象的網絡運營者提供幫助和支持,形成管理困境。
(第四)如果由政府出資來開發行政管理所必須的技術,收集、分析行政管理所必須的數據,即使能做到,成本也將是非常巨大的,將增加納稅人的負擔。如果由網絡運營者來分擔一部分管理責任,則具有效率。
(第五)在網絡空間,信息發佈非常便捷,信息傳播非常迅速,違法損害後果常常被網絡放大,待到政府事後處理,損害已經造成,難以挽回。因此政府的事後處理是缺乏效率的,而事前預防和事中監督都需要技術和數據支持,這對網絡運營者來講,則較為容易做到。
因此,在網絡空間需要重新配置政府、社會、企業的責任,政府根據“誰接入,誰負責”、“誰經營,誰負責”和“責權利相一致”的原則,將一部分管理職責“下放”給網絡運營者和行業協會,是一種更有效率的做法,從宏觀上來講,不會過分增加企業和社會負擔。
《網絡安全法》基於共同治理的原則,明確了網絡運營者所應承擔的網絡信息安全義務。我國《網絡安全法》第9條總括性地規定了網絡運營者的網絡安全義務,即:網絡運營者開展經營和服務活動,必須遵守法律、行政法規,尊重社會公德,遵守商業道德,誠實信用,履行網絡安全保護義務,接受政府和社會的監督,承擔社會責任。在分則章節中進一步細化了的網絡運營者的網絡信息安全義務,具體包括:
一、建立信息安全管理制度義務
網絡運營者通常是通過公司章程、用戶協議、網絡管理制度等對網絡平臺、用戶進行管理。網絡運營者要落實安全管理責任,首先就需要建立健全內部安全管理制度。《網絡安全法》第21條規定,網絡運營者應當制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任。
二、用戶身份信息審核義務
建立用戶身份信息制度有助於構建誠信的網絡空間。《網絡安全法》第24條規定,網絡運營者為用戶辦理網絡接入、域名註冊服務,辦理固定電話、移動電話等入網手續,或者為用戶提供信息發佈、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得為其提供相關服務。
三、用戶發佈信息管理義務
網絡運營者對其平臺上的信息負有管理義務。《網絡安全法》第47條規定,網絡運營者應當加強對其用戶發佈的信息的管理。信息管理手段包括對網上公共信息進行巡查。工信部《通信短信息服務管理規定》、公安部《互聯網危險物品信息發佈管理規定》、國信辦《互聯網信息搜索服務管理規定》等規定均要求網絡服務提供者對公共信息進行實時巡查。
四、保障個人信息安全義務
網絡運營者在運營中會收集大量的個人信息,保障個人信息安全是網絡運營者的基本義務。《網絡安全法》第40—44條對網絡運營者的個人信息保護義務做了較為具體的規定。
五、違法信息處置義務
網絡運營者發現其用戶發佈的違法信息,應當立即進行處置。《網絡安全法》第47條規定,網絡運營者發現法律、行政法規禁止發佈或者傳輸的信息的,應當立即停止傳輸該信息,採取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告。
六、信息記錄義務
網絡空間的管理和安全維護依賴於對各類信息的分析、挖掘。《網絡安全法》第21條規定網絡運營者應當留存網絡日誌不少於六個月。網絡日誌包括用戶日誌和系統日誌。用戶日誌和系統日誌中的信息應滿足維護網絡安全和監督檢查的需要。
七、投訴處理義務
網絡運營者建立網絡信息安全投訴、舉報制度後,應及時受理並處理有關網信息安全的投訴和舉報。《網絡安全法》第49條規定,網絡運營者應當建立網絡信息安全投訴、舉報制度,公佈投訴、舉報方式等信息,及時受理並處理有關網絡信息安全的投訴和舉報。
八、報告義務
網絡運營者應當將違法信息和信息安全事件向有關主管部門報告。《網絡安全法》第47、48條規定,網絡運營者、電子信息發送服務提供者和應用軟件下載服務提供者發現法律、行政法規禁止發佈或者傳輸的信息的,應當保存有關記錄,並向有關主管部門報告。當發生網絡安全事件時,網絡運營者也應當向有關主管部門報告。《網絡安全法》第42條第2款規定,在發生或者可能發生個人信息洩露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。
九、配合監督檢查的義務
網絡運營者對有關部門依法實施的監督檢查,應當予以配合。《網絡安全法》第49條規定,網絡運營者對網信部門和有關部門依法實施的監督檢查,應當予以配合。
《網絡安全法》規定的以上義務,還需要通過法規、規章進一步具體化。當《網絡安全法》和有關法規對網絡運營者的網絡信息安全義務有了明確規定之後,《刑法》第286條之一規定的“拒不履行信息網絡安全管理義務罪”才具有操作性。
E安全注:本文系E安全獨家稿件,轉載請聯繫授權,並保留出處與鏈接,不得刪減內容。
@E安全,最專業的前沿網絡安全媒體和產業服務平臺,每日提供優質全球網絡安全資訊與深度思考。
相關推薦
