• 敬海律师事务所 > 敬海刊物 > 敬海文案
  • 外资制造业企业的网络合规:《网络安全法》及其配套规定实施后的影响

  • 日期:2017-8-29
  • 作者:胡键(合伙人)、唐昱(律师)

    2017年6月1日,备受关注的《中华人民共和国网络安全法》(以下简称《网络安全法》)正式实施。虽然外资制造业企业较少使用互联网平台直接对外提供网络服务,与互联网行业、大数据行业、金融行业的企业相比,外资制造业企业受到《网络安全法》的合规挑战不算太大,但《网络安全法》中的一些规定仍将对外资制造业企业的网络安全管理制度的设置、个人信息的保护及重要数据的跨境流动产生一定的影响,我们认为《网络安全法》的以下内容值得外资制造业企业重点关注:
    1. 作为网络运营者的安全保护义务;
    2. 个人信息保护规则;
    3. 关键信息基础设施重要数据跨境传输的规则。

    一、宽泛的“网络运营者”的定义
    《网络安全法》的大量条款规定了“网络运营者”的责任与义务。根据《网络安全法》第76条的定义,网络的所有者、管理者和网络服务提供者都纳入网络运营者的范围。结合《网络安全法》对“网络”及“网络数据”的定义,我们的理解是,外资制造业企业若在国内设立了对信息进行收集、存储、传输、交换、处理的系统(即包含一般互联网网站、工业控制网络、局域网、内部办公网络等),并自行管理这一系统的,都将被纳入网络运营者这一宽泛的范围,需遵守《网络安全法》对“网络运营者”设定的责任与义务。

    二、外资制造业企业作为网络运营者应按照网络安全等级保护制度,设立网络安全管理制度,承担网络安全保护义务

    (一)外资制造业企业应按照企业所属的网络安全等级的要求,承担安全保护义务

    根据《网络安全法》第21条的规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

    对于《网络安全法》第21条提出的国家层面的“网络安全等级保护制度”,预计主管部门会参照现有的信息安全等级保护管理办法等规定,结合修订中的相关国家标准,出台配套的网络安全等级划分与保护的规定或指引。

    在网络安全等级保护制度的要求下,外资制造业企业应制定安全管理制度和操作规程,确认网络安全负责人,采取技术措施防范计算机病毒,监测、记录网络状态,留存相关网络日志不少于6个月,对重要信息采取备份及加密措施。

    上述规定要求外资制造业企业在网络安全上加大投入,对企业的网络安全等级进行评估,并配置相应人员对企业的网络采取一系列安全措施。

    (二)设立网络安全管理制度

    根据《网络安全法》第25条的规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

    (三)可能给外资制造业企业带来的风险

    根据《网络安全法》第59条的规定,网络运营者不履行上述规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

    三、外资制造业企业应遵守个人信息保护规则

    《网络安全法》对“个人信息”的收集和使用提出了明确的要求。根据该法第76条的定义,个人信息指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。但经过处理无法识别特定个人且不能复原的信息,不属于个人信息之列。

    《网络安全法》第四章要求网络运营商对其收集的用户信息严格保密,并建立健全用户信息保护制度。如果外资制造业企业提供的网络服务收集用户信息的,应当向用户明示并取得同意。

    此外,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。

    如果外资制造业企业使用网络服务(如公司网站、内部办公网络)采集供应商个人、员工的个人信息的,应遵守上述个人信息保护规则。

    根据《网络安全法》第64条的规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

    四、 关键信息基础设施个人信息及重要数据跨境传输的规则

    《网络安全法》提出对关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。一旦被认定为关键信息基础设施,个人信息及重要数据的跨境传输将受到限制。

    根据《网络安全法》第37条的规定,关键信息(公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域)基础设施的运营者在中国境内运营中收集和产生的个人信息和重要业务数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

    外资制造业企业在中国境内的信息系统一旦被认定为关键信息基础设施,个人信息和重要数据将被要求本地化储存,企业将个人信息和重要数据储存在境外总公司的载体上将违反该法的规定,此外,个人信息和重要数据将不能随意将数据进行跨境传输,应先履行安全评估程序。

    但是“关键信息基础设施”在《网络安全法》中仍是一个模糊的概念。2017年7月11日,国家互联网信息办公室发布了《关键信息基础设施安全保护条例(征求意见稿)》,进一步明确了“关键信息基础设施”的判定范围,根据该保护条例的征求意见稿第18条的规定,“国防科工、大型装备、化工、食品药品等行业领域科研生产单位”运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围。因此,外资制造业企业若涉及大型装备、化工、食品药品的研发与生产,很有可能将被纳入“关键信息基础设施”的范围,其产生的重要数据将被要求在境内存储。因业务需要,确需向境外提供的,应当按照个人信息和重要数据出境安全评估办法进行评估。对违反该要求的,根据该保护条例的征求意见稿第46条的规定,在境外存储网络数据,或者向境外提供网络数据的,由国家有关主管部门依据职责责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

    五、 配套规定的出台

    (一)个人信息和重要数据的跨境传输的配套规定

    2017年4月11日,国家互联网信息办公室颁布了《个人信息和重要数据出境安全评估办法(征求意见稿)》,该征求意见稿中,在中国境内运营中收集和产生的个人信息和重要数据的存储本土化和出境安全评估的适用对象,不仅限于关键信息基础设施运营者,而是涵盖到所有网络运营者。由于个人信息和重要数据跨境传输的适用范围仍存在不确定性,不被认定为关键信息基础设施的外资制造业企业向境外总部跨境传输重要数据的行为是否会包括在安全评估的范围中,值得外资制造业企业关注。

    此外,全国信息安全标准化技术委员会于2017年5月27日发布《信息安全技术 数据出境安全评估指南(草案)》(推荐性国家标准)公开征求意见,该草案也未将数据出境评估主体限定在关键信息基础设施运营者中,根据该草案对“重要数据”的定义,我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能造成严重后果的数据将被视为“重要数据”。该草案还举例说明了电子信息产业企业、装备制造等与制造业有关的行业的重要数据的认定指引。

    上述办法、指南通过后,外资制造业企业可对照自身情况具体分析是否会被列入数据出境的安全评估的范围中,尽早应对可能出现的评估要求。

    (二)其他配套规定将陆续出台

    根据《网络安全法》第21条、第37条的规定,国务院有关部门将制定对网络安全等级保护的分级方法、关键信息基础设施的具体范围和安全保护办法、个人信息安全规范的相关规定等《网络安全法》的配套规定。根据《中华人民共和国立法法》要求,法律规定明确要求有关国家机关对专门事项作出配套的具体规定的,有关国家机关应当自法律施行之日起一年内作出规定。因此,如无特殊情况,相关配套规定有望近期出台。

    六、结语

    《网络安全法》构建了监管部门对网络运营者监管的框架,但在实际操作中仍有许多无标准答案的问题有待相关配套规定、指南的进一步解释说明。

     

  • 分享到:新浪微博分享 分享到开心网 Twiiter FaceBook
  • 出版物连接
@2002-2018 WANG JING & CO. All Rights Reserved. 粤ICP备05007041号