|
基小律说: 陈艳 刘昀东 | 作者 目录 如前文(《互联网行业企业尽调系列之投资互联网行业应当关注的资质问题》)所述,互联网公司的法律尽职调查需要关注的问题很多,其中网络安全问题亦是其中至关重要的一项。 自2017年6月1日《网络安全法》生效以来,国家开始不断重视网络产品及服务相关的用户隐私侵犯、系统高危漏洞、违规信息传播等风险。举例而言,2019年,国家互联网信息办公室公告万豪酒店约2.4亿条客户资料泄露、圆通10亿条快递信息泄露、优衣库网站逾46万客户资料泄露事件;2021年7月,国家互联网信息办公室联合其他部门启动对“滴滴出行”“运满满”“货车帮”“BOSS直聘”的网络安全审查,并强制下架数十款APP;2021年内,国家互联网信息办公室指导北京市互联网信息办公室因信息安全管理及传播问题,对新浪微博实施44次处罚,累计罚款总额达1430万元。进一步的,互联网公司对网络安全的漠视还可能招致刑事责任,如新三板挂牌公司“数据堂”因非法出售公民个人信息致使其高管被判处有期徒刑(最高五年)、罚款(最高310万元)及没收违法所得,新三板挂牌公司“瑞智华胜”因非法获取计算机信息系统数据致使其高管被判处有期徒刑、罚款。 根据《网络安全法》第七十六条的定义,“网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”;“网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”;“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据”。即,网络安全是要保障网络运行的稳定可靠以及网络数据的完整性、保密性、可用性。 根据《数据安全法》第三条的定义,“数据,是指任何以电子或者其他方式对信息的记录”;“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”。可见,数据作为对于信息的记录,除了可以记录个人信息,还可以记录国家秘密、商业秘密、作品等等,因此数据的范围会大于个人信息。《网络安全法》中提到的网络数据是数据的一种,还有非依托电子信息和网络存在的数据。 根据《个人信息保护法》第四条的定义,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。数据安全包括确保数据处于合法利用的状态,因此在涉及个人信息的场景,数据安全的要求也必然包括对于个人信息保护的要求。 综上,网络安全、数据安全、个人信息保护之间的关系可以归纳为下图。 图1:网络安全、数据安全、个人信息保护关系示意图 2. 责任主体的区别 判断拟投资企业(“标的公司”)适用哪类法规政策、可能承担哪些违规责任前,我们需先区分其属于哪类责任主体。网络安全项下的责任主体为网络运营者,数据安全项下的责任主体为数据处理者、个人信息保护项下的责任主体为个人信息处理者。其具体定义区别为: 对于互联网企业来说,通常同时属于网络运营者、数据处理者及个人信息处理者,对于传统企业来说则未必。同时,就某一业务行为进行具体判断时可能也要区分适用场景,比如使用供应商管理系统时,传统企业在该系统所处的内部网络是网络运营者,处理员工信息时是个人信息处理者,但是在平时开展业务的过程中可能因不使用网络而不构成网络运营者,因业务数据均是企业间数据而不构成个人信息处理者。 1. 网络安全等级保护 《网络安全法》第二十一条明确规定国家实行“网络安全等级保护制度”,目前与《网络安全法》配套的《网络安全等级保护条例》处于征求意见稿的阶段,但相关国家标准《信息安全技术 网络安全等级保护定级指南》《信息安全技术 网络安全等级保护实施指南》《信息安全技术 网络安全等级保护安全设计技术要求》《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护测评要求》《信息安全技术 网络安全等级保护测评过程指南》《信息安全技术 网络安全等级保护测试评估技术指南》已经发布并实施,替代了原“信息系统安全等级保护制度”下的国家标准,标志着已经进入等保2.0的时代,在国家标准层面,已经具备判断标的企业是否满足网络安全等级保护要求的明确依据。上述规则下,网络运营者应当履行的安全保护义务具体包括: 1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; 2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; 3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; 4)采取数据分类、重要数据备份和加密等措施; 5)法律、行政法规规定的其他义务(包括《网络安全法》第二十五规定的制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告的义务)。 需要特别提示的是,在确定网络安全等级保护制度前,国家实行的是《计算机信息系统安全保护条例》和《信息安全等级保护管理办法》确立的“信息系统安全等级保护制度”,截至目前,实务中定级、测评、备案等流程还是遵循信息系统安全等级保护制度的要求,具体要求包括:(1)根据信息系统受到破坏后,会对公民、法人和其他组织的合法权益、社会秩序和公共利益、国家安全造成的损害程度将信息系统分为第一级至第五级五个等级;(2)《信息安全等级保护管理办法》规定信息系统运营、使用单位应当确定信息系统的安全保护等级(定级);(3)运营、使用单位或者其主管部门应当定期对信息系统安全等级状况开展等级测评(测评);(4)运营、使用单位应当就第二级以上信息系统到所在地设区的市级以上公安机关办理备案手续(备案)。 但从实操的角度概述,因为相关要求大部分都涉及到信息技术,在缺乏技术验证的方法下,最直接的判断依据就是标的企业是否进行了定级,是否进行了测评,是否取得了备案证明,以及覆盖范围是否包括标的企业所有、管理的全部网络。由于目前备案依据是《信息安全等级保护管理办法》,因此目前可以取得的备案证明名称仍然是《信息系统安全等级保护备案证明》,可能等《网络安全等级保护条例》或者配套细则生效后会更名为《网络安全等级保护备案证明》。 图2:《信息系统安全等级保护备案证明》图例 在尽调过程中,如果标的公司未取得备案证明,则我们需要通过查看《测评报告》、制度等材料,并结合访谈结果来判断标的公司是否履行了搭建组织架构、制定制度、采取安全措施等义务。 2. 关键信息基础设施安全保护 除网络安全等级保护制度外,《网络安全法》还确立了另一重要制度——关键信息基础设施安全保护制度,“滴滴出行”“运满满”“货车帮”“BOSS直聘”等企业被启动网络安全审查便与此相关。根据《网络安全审查办法》第二条及《关键信息基础设施安全保护条例》(《关保条例》)第十九条规定,关键信息基础设施运营者采购网络产品和服务,如影响或可能影响国家安全的,应当进行网络安全审查,由相关部门进行风险评估。 与网络安全等级保护制度普遍适用于各类网络相区别的是,该制度系针对关键信息基础设施。根据《关保条例》第二条的规定,关键信息基础设施(CII),是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。值得注意的是,《关保条例》明确重要行业和领域的主管部门、监督管理部门负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,但目前尚未有公开信息表明存在已经完成的认定。 《网络安全法》规定了关键信息基础设施的运营者(CIIO)在一般网络安全等级保护义务的基础上还存在额外义务,《关保条例》也在《网络安全法》的基础上对CIIO的义务作出了进一步明确,主要包括: 1)确保关键信息基础设施具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用; 2)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查; 3)定期对从业人员进行网络安全教育、技术培训和技能考核; 4)对重要系统和数据库进行容灾备份; 5)制定网络安全事件应急预案,并定期进行演练; 6)采购网络产品和服务的相关义务; 7)数据出境的相关义务; 8)自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况; 9)采购网络产品和服务时,应与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。 关于数据出境,《网络安全法》第三十七条确立了CIIO向境外提供个人信息、重要数据的安全评估制度,这一制度要求将与其他主体涉及数据出境的义务一起在《数安个保问题》中进行分析。 3. 其他要求 其他要求主要可以概括为两类,一类是“应当”做的强制性要求,一类是“禁止”做的限制性要求,大部分都需要在了解标的企业业务模式、产品服务类型的基础上进行判断,具体参见下表。 与数据、个人信息(用户发送的信息除外)有关的法律风险将在《数安个保问题》中具体展开,除此以外,互联网企业面临的主要法律风险按民事责任、行政责任、刑事责任区分如下。 1. 民事责任 互联网企业涉及的民事责任主要是基于网络服务合同产生的违约责任和网络侵权责任。网络侵权责任主要是由于网络产品、服务中的信息中可能存在侵犯他人人格权、知识产权、网络虚拟财产、不正当竞争侵权,各种侵权类型不在此展开,仅强调一下网络侵权中的“避风港原则”和“红旗原则”。 关于避风港原则,《民法典》第一千一百九十五条第二款规定,“网络服务提供者接到通知后,应当及时将该通知转送相关网络用户,并根据构成侵权的初步证据和服务类型采取必要措施;未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。”即在知道侵权行为前,网络服务提供者/网络运营者具有免责事由,知道侵权行为后采取必要措施的可以免责。 关于红旗原则,《民法典》第一千一百九十七条规定,“网络服务提供者知道或者应当知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任……”如果侵权行为影响足够大,网络服务提供者/网络运营者如果应当知道,则不能作为免责事由。 2. 行政责任 违反不同的网络安全义务,存在不同的行政责任,以下将区分标的企业与直接责任人员(直接负责的主管人员)列明主要责任类型: 对于标的企业:被责令改正、给予警告、没收违法所得、处一万元以上一百万元以下罚款,责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 对于直接责任人员:被处五千元以上十万元以下罚款。 需要注意的是,除了存在主观故意的情形或者没有采取措施处置发布、传输法律、行政法规禁止的信息外,一般要存在拒不改正、导致危害网络安全等后果或存在其他情节严重的情形才会承担除了被责令改正,给予警告之外的行政责任。 此外,以下情形的责任类型相对其他情形会更为特殊: 针对CIIO,使用未经安全审查或者安全审查未通过的网络产品或者服务的,可能承担被责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 针对从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息的情形,可以对直接责任人员处十五日以下拘留,并处五万元以上一百万元以下罚款。其中,因为从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。 另外,相关违法行为依照有关法律、行政法规的规定记入信用档案,并予以公示。因此尽调过程中可以通过信用档案进行查询。 3. 刑事责任 除了将在《数安个保问题》分析的非法获取计算机信息系统数据罪、侵犯公民个人信息罪外,互联网企业可能因为业务模式、产品服务本身存在问题涉及提供侵入、非法控制计算机信息系统程序、工具罪、破坏计算机信息系统罪、非法利用信息网络罪或非法经营罪,或者因为对用户缺乏管控涉及帮助信息网络犯罪活动罪。承载在网络上的业务模式多种多样,还是应当根据标的企业的具体业务模式来分析可能涉及的刑事责任,比如曾经的P2P网络贷款企业就可能涉及非法吸收公众存款罪、集资诈骗罪等。 其次,互联网企业在履行网络安全管理义务过程中最直接涉及的罪名是拒不履行信息网络安全管理义务罪。根据《刑法》第二百八十六条之一的规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,并且致使违法信息大量传播的;致使用户信息泄露,造成严重后果的;致使刑事案件证据灭失,情节严重的;或有其他严重情节的,构成本罪。 结语 在梳理网络安全方面的企业义务、风险及责任时,其尽调难点不仅限于对法律规则的理解和适用,更在于对标的公司业务模式和技术的理解,建议投资人及相关律师充分理解企业业务环节,从而判断网络安全规则在其中的适用路径及尺度,同时建议投资人同步参考其他第三方机构的认证意见进行风险判断。 投资基金系列文章 股权投资系列文章 IPO系列文章 基小律系列课程 基小律是国浩上海合伙人邹菁、张泽传、周蒙俊等律师组建的律师团队。如有合作意向,请直接联系18001966907,zoujing@grandall.com.cn。 |
|
|
