本文为作者授权无讼阅读发布
原载于互联网法律匠(微信号: mclawman)
前几天刚刚发布《网络安全法》草案第三稿,没多久竟然就正式通过全国人大审查并颁布了,速度之快令人咋舌。不管怎么说,《网络安全法》的通过可以称得上是最近几年最为重要的一部法律,地位估计仅在要修订的《民法总则》之下,且和《电子商务法》并驾齐驱了。
网络安全法共有七章79条,全国人大常委会法工委经济法室副主任杨合庆在发布会上指出六大亮点,那么,在这些高高在上的亮点之下,作为互联网领域内的参与者,又该如何具体落地实施作好后续合规工作呢?毕竟留下来的只有8个月的准备时间了。
1.网络安全义务责任明显加重
《网络安全法》(点击可查看全文)第十条规定:……采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。第二十一条另规定要……采取防范计算机病毒和网络攻击、网络侵入……留存网络日志不少于六个月。
除了该第十条和二十一条,本法在其它很多地方都反复强调了网络运营者的安全责任。让我们不妨落地放到具体的场景中来描述一下这类可见预期:找人开发个网络商城或APP商城,再也不能只买足够大的云空间架设网站了,互联网公司还必须至少加钱买个云服务配套的DDoS攻击服务(有些成本还是比较高的)以防御网络攻击吧,至少得为其向注册用户所收集而来的信息买个安全维护套餐吧,至少得配个电子签名和电子合同的第三方安全存储吧。新规还要求“网络日志不少于六个月”,看起来简单,我们普遍人每天产生的手机垃圾估计都在1-2个G左右(一般市面上32G优盘为80元左右),而对于一些视频音频或直播网站而言,每天上百万人同时浏览的六个月后,其带宽和空间压力不是普通企业能够承受的。所以新法下,互联网公司的安全责任更重,运营成本也将居高不下,无形也提高了准入门槛
2.照照镜子:是不是“关键信息基础设施”?
新规第三十一条规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域……实行重点保护。该定义删除了原始版本“以及用户数量众多的网络服务提供者所有或者管理的网络和系统”这一非严谨的表达方式,并将最终决定权下放至由国务院。
所以,作为互联网公司,接下来必须瞪着眼睛看着国务院出台认定规则,特别是互联网企业中的第一名和第二名,这些企业往往有着非常庞大的用户数据和资金沉淀,例如阿里巴巴公司,其安全等级估计能达到省级安全标准,应当也是网监部门的重点保护对象,一旦这些优质公司的数据受到威胁,不是社会之福。如果公司一旦符合“关键信息基础设施”规则,则必须建立网络安全法的特定安全或运营规则(例如每年一次的安全评估),否则危矣。
3.跨境数据传输将受监管
网络安全法第三十七条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要业务数据应当在境内存储。”这实际上就是提出服务器标准,即服务器必须架设在中国境内,同时如果数据需要向境外迁移也需要安全评估。
这是非常应景的数据立法,估计这也是国家在看到美国斯诺登棱镜门后的应然之举,欧盟的数据保护法规定,欧盟公民的个人数据不能传输至非欧盟国家,除非该非欧盟国家能为这些数据提供有效保护。而欧盟与美国之间的《安全港协议》就允许美国与欧盟国家之间合法传输网络数据,所以一直以来,包括Google、Facebook等上千多家美国科技公司将欧洲用户数据输往美国。棱镜门窃听事件爆发后,欧盟最高司法机构欧洲法院在2015年10月6日作出判决,认定欧美2000年签署的关于自动交换数据的《安全港协议》无效。
中国日益融入世界互联网之中,尽管市场准入等障碍仍然不轻,但越来越多的跨国公司准备在中国境内开展互联网业务,也越来越多的中国互联网公司跑到海外布局业务。例如UBER,虽然实际上已被滴滴收购,但UBER去年已在上海自贸区单设运营主体,并在中国设服务器,如果日后UBER想将中国境内的数据传输至美国,就可能要先进行国家安全评估了;另外还有云服务器概念下,云服务运营商也必须界定数据存储问题。这也是为什么,网络安全法开篇即表达了“网络主权”的原则。
虽然网络安全法只是要求“关键信息基础设施的运营者”必须在中国境内设服务器,对于其它一般互联网企业没有实质要求,但是,网络安全法也明确了“法律、行政法规另有规定的,依照其规定”,说明不同领域内的互联网模式,都必须就数据跨境传输作好合规审查,不能仅以自己不是“关键信息基础设施的运营者”而忽视了跨境数据传输的合法性论证,例如互联网地图领域和专车领域,国家法规就明文规定了服务器必须设置在中国境内,相信以后这样的规则会越来越多。
4.未成年网络安全成为顶层设计
网络安全法第十三条所规定的“国家鼓励研究开发有利于未成年人健康成长的网络产品和服务,……为未成年人提供安全、健康的网络环境”是非常有意思的条款,说其有意思,不是指内容表述的有趣,而在于该条款在第二稿中其实是没有的,在第三稿中就突然出现了,而且出现的时间很“诡异”。
2016年10月8日,国家互联网信息办公室发布《未成年人网络保护条例》并公开征求意见,但没想到这个意见稿在网络上引起轩然大波。引发争议的主要是两个条款:即第一“智能终端产品制造商在产品出厂时、智能终端产品进口商在产品销售前应当在产品上安装未成年人上网保护软件……”。而在2009年,工业和信息化部下发了《关于计算机预装绿色上网过滤软件的通知》,要求2009年7月1日之后个人计算机出厂时应预装最新版本的“绿坝-花季护航”,工信部为此花了4170万元人民币对价购买了软件一年的使用期,虽然免费发放给学校,但结局是没人用,最终不了了之。这次,网信力又决定在移动终端上搞强制性“上网保护软件”,大众心情复杂之程度难以言表,下次例如锤子科技T3手机出炉时,就可能必须有这类软件了。第二个争议条款,也即第二十条规定:“对未成年人网络成瘾实施干预和矫治”。在杨永信电击疗法治疗未成年人所谓网瘾的“残酷”现实下,关于网瘾能不能算得上是一种疾病已难下定论,而众人似乎非常难以忍受杨永信对未成年人电击治疗后的痛苦之状了。
现代社会下,互联网已经深刻影响我们的生活和学习各方面,互联网已然是一种像吃饭睡觉一样不可或缺的内容,以后的物联网以及VR虚拟现实更会把人机、物机完全联合,一定要称为“网络成瘾”是否也是逆历史潮流而动呢?所以,这一次,在诸多争议之下,网信办有能力把《未成年人网络保护条例(草案征求意见稿)》中某些条款先行加入法律的顶层设计之中,这对该条例日后通过奠定了不错的基础。
5.被遗忘权正式确立?
网络安全法第四十三条令人眼前一亮:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正”。
网络安全法颁布之前,用户网络信息的“被遗忘权利”基本处于空白,而网络时代,个人信息一旦上传至网络,就可能将是“终身不可磨灭”。我们现实中,就有这么一些人,非常较真并诉诸法院,这也将成为最前沿的司法实践。
2014年5月,西班牙公民马里奥·格斯蒂亚·冈萨雷斯起诉谷歌,要求谷歌删除对1998年《先锋报》一则报道的链接。冈萨雷斯认为,这篇报道涉及他在梵蒂冈的房产信息,以及他本人的不良记录,侵犯了他的隐私与尊严。最终欧洲最高法院裁决支持他的诉求,要求谷歌删除链接。而2016年5月,国内第一起被遗忘权诉讼以原告败诉告终:因为前任东家“名声不好”,任某将某网络服务公司告上法庭,要求删除与前任东家相关的搜索关键词和链接。但法院判决驳回了任某的全部诉讼请求。
网络安全法下,如果网络运营者没有合同(含电子合同)或法律依据收集使用信息的,或个人认为信息有误的,可以要求“删除”和“更正”。虽然在实际执行时肯定仍存在如何认定“有误”等问题,但这部法规已留给司法太大的想象空间,令人期待。
6.大数据商业模式有法可依了
网络安全法第四十二条也是重要亮点:“网络运营者不得泄露、篡改、毁损其收集的个人信息……但是,经过处理无法识别特定个人且不能复原的除外”。
所谓大数据,是指规模远超传统数据库处理能力的海量数据集合。个人认为,这款条款将成为大数据战略的顶层设计条款,将为日后大数据研究提供非常高层级的法律合法性依据。大数据本身是可以“卖钱”且有商业价值的,但目前很多的大数据公司,卖的却还真是实实在在的“个人隐私”,网络安全法把“个人隐私”和“数据信息”加以了区别式定义,即“经过处理无法识别特定个人且不能复原的”的可称为大数据。
另外,我们也看到,民法总则草案第一百零八条规定,民事主体依法享有知识产权,知识产权是指权利人依法就下列客体所享有的权利,其中包括数据信息。待那时,大数据信息将成为一种法定权利,成为民事客体,所以大数据领域内的创业将大有可为,并可能在民法总则通过后取得爆发式发展。
编排/卢明亮
责编/连哲 微信号:hcjae9