|
数字经济时代,网络安全已经成为国家安全的重要组成部分,被称为数字经济发展的“生命线”。 近年来,我国网络安全立法取得积极进展。《数据安全法》、《个人信息保护法》、《网络安全审查办法》、《国家网络空间安全战略》、《关键信息基础设施安全保护条例》等相关法律法规、战略规划不断出台和修订,标志着我国网络空间法治进程迈入新时代。 在此背景之下,知产前沿”线上直播特别邀请达晓律师事务所邓勇律师,在3月3日下午15:00-16:00以“从典型案例看网络安全和个人信息保护领域的典型问题”为主题进行直播分享。 邓勇律师在直播中以案例形式分析了:如何理解网络安全的规制对象;近年来网络安全审查的新变化;以及个人信息保护刑事案件发展态势等大众关注的热点问题。知产前沿现将本次直播内容整理成文,供各位读者朋友参考学习。本次直播的视频回放请在关注“知产前沿”公众号后,在后台输入“网络安全和个人信息保护”自动获取。一、从Apache安全漏洞事件谈谈对网络安全规制对象的理解 2021年12月17日,工信部发布关于阿帕奇(Apache)Log4j2组件重大安全漏洞风险提示,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本,以降低网络安全风险。12月22日,工信部再次通报,由于阿里云发现阿帕奇严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理,决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。12月23日,阿里云发布关于开源社区阿帕奇 log4j2漏洞情况的说明称,因在早期未意识到该漏洞的严重性,未及时共享漏洞信息,将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险防范工作。阿帕奇漏洞被认为是近年来最大的高危型计算机漏洞,该漏洞影响范围极其广泛,波及到全球数亿台网络设备。因此,阿帕奇安全漏洞事件自发酵起,引发了社会各界的广泛关注,从专业技术层面、数据合规方面都有不同的观点出现。《网络产品安全漏洞管理规定》(下称《规定》)由工业和信息化部、国家互联网信息办公室、公安部联合印发,2021年9月1日起正式实施。《网络产品安全漏洞管理规定》第二条规定:中华人民共和国境内的网络产品(含硬件、软件)提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人,应当遵守本规定。- 漏洞收集平台(乌云安全漏洞报告平台、中国国家信息安全漏洞共享平台等)
上述三类主体既可能完全独立,也可能存在混同。同一主体很可能兼具网络运营者和网络产品提供者的双重身份、也可能同时具备网络运营者、网络产品提供者和安全漏洞收集平台的多重身份。- 网络产品提供者在发现产品安全漏洞后有验证、评估、通知、报送、修补、告知义务(《规定》第七条)其中,阿里云公司正是因为没有履行“报送义务”,直接导致了此次阿帕奇漏洞事件的发酵。这也是《规定》实施以来,社会影响力最大的案件;
- 网络运营者在发现安全漏洞后有验证、修补义务(《规定》第八条);
- 安全漏洞收集平台只有如实合规发布的义务,并在发布漏洞时应当同步发布修补或防范措施的义务(《规定》第九条)
《规定》中没有明文规定如何处罚,只能以《网络安全法》第六十条的规定作为处罚依据:在该条规定中,“责令改正,给予警告”是首要处罚措施,“罚款”是在拒不改正或导致危害后果时才能适用的处罚措施。因此,暂停合作单位6个月严格来说并不属于法定处罚措施,更多是象征意义上的“警告”。同时,行政机关在履行其法定职责时,也要遵循行政法律法规的合规要求,对于没有法律明文规定处罚措施的违规行为,行政机关也不能滥用权力予以处罚。《网络产品安全漏洞管理规定》于2021年7月12日发布,2021年9月1日正式实施,中间留有一个半月的“缓冲期”。属于规制范围内的主体阿里云在11月发现安全漏洞信息后只是根据业界惯例向境外基金会报告,没有按照《管理规定》的流程履行报送义务,说明该主体内部缺乏合规流程。同时,阿里云公司按照既往惯例首先向美国阿帕奇基金会、而非国家工信部报告的行为,从现行的法律规制来看,也隐含一定的合规风险。阿里云作为关键信息基础设施运营者(“关基”),其掌握的数据信息与国家安全息息相关,这些数据能否出境、出境是否需要审查,我国的《网络安全法》、《数据安全法》等对于重要数据的跨境流动和传输已有较为明确的规定。从企业合规运作的角度来看,涉及重要数据、敏感信息的出境问题,应当慎之又慎,做好前期预案,逐步建立起企业合规管理体系,避免再次出现此类违规事件。二、从《网络安全审查办法》修订看网络安全审查的新变化 《网络安全审查办法》第七条新增关于“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”的规定。注意:本条规定中的“主体”概念需要做扩大解释——只要符合掌握用户个人信息超过100万,且赴国外上市两条标准,即使不是网络平台,也必然需要接受网络安全审查,这些企业应当主动申报。2021年7月,网络安全审查办公室相继发布了针对“滴滴出行”的四次官方通报:其声明,为维护国家数据安全、保障公共利益,将对滴滴出行实施网络安全审查,并在此期间通知应用商店下架滴滴出行、停止新用户注册。下架app、停止新用户注册、勒令整改,这对于任何一家互联网企业来说都是十分严厉的处罚措施。中国网络安全审查技术与认证中心工程师齐越认为,“数据显示,2018年以来每年都有超过30家“中概股”企业在美挂牌上市,约占每年美国新上市公司的20%。2021年这一趋势达到高峰,仅2021上半年就有38家“中概股”企业在美上市,而其中具有网络平台属性的互联网企业超过了一半。此次《安全审查办法》修订的最大亮点,是把网络平台运营者赴国外上市纳入网络安全审查。- 其一,赴国外上市的企业主要来自于电商、出行、招聘、教育、物流等重数据资产的领域,往往掌握大量国内用户数据,伴随网络平台业务的快速发展和资本的注入,其自身面临的网络安全风险正逐步增大;
- 其二,国外证券监管等法律政策及政治环境近年发生了巨大变化,美国2020年通过的《外国公司问责法》明确提出了针对我国企业的信息披露要求,越来越详尽的数据披露进一步扩大了企业的数据安全风险,并严重威胁我国家安全。为应对日趋严峻的网络安全形势,网络安全审查制度必须与时俱进。
《网络安全法》第三十七条、《数据安全法》第三十一条和《个人信息保护法》第四十条均明文规定了“关键信息基础设施运营者(CIIO)(即'关基’)”的重要概念。
2021年9月1日起施行的《关键信息基础设施安全保护条例》第二条仍然通过“非穷尽列举行业领域+危害后果”的方式,确定了关基范围;第十条则规定“保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门”。即收到主管部门或监督管理部门的认定结果的运营者,在采购网络产品和服务时可能影响国家安全的,需要申报安全审查。- 滴滴赴国外上市事件突显了网络安全审查细则的滞后,所以在《数据安全法》实施后《网络安全审查办法》结合实际案例进行了修订更新,新版《安全审查办法》实施后几乎所有赴国外上市的企业都必须申报安全审查。
- 关键基础设施范围的确定有赖于保护工作部门的认定,而收到认定结果的运营者作为CIIO在采购网络产品和服务时,需要申报安全审查的流程。
- 必须申报≠必须审查,申报存在三种结果:无需审查、审查后放行(批准赴国外上市)、审查后禁行(不允许赴国外上市)。
三、从个人信息保护十大典型案例看刑事案件的发展态势 2021年,全国公安机关深入推进“净网2021”专项行动,针对人民群众关注的个人信息保护问题,全力组织开展侦查打击工作,共破获侵犯公民个人信息案件9800余起,抓获犯罪嫌疑人1.7万余名,有力维护了网络空间秩序和人民群众合法权益。2022年1月8日,公安部公布了2021年侵犯公民个人信息犯罪十大典型案例。
- 快递物流与电子商务关联紧密。在消费者进行网络购物时,其支付信息、通讯信息、物流信息、消费偏好等都被相关平台和物流公司所掌握,在此情形下,极易出现个人信息的泄露从而引发侵权案件。
因业务需要收集个人信息最多的行业领域容易滋生侵犯个人信息的违法行为,而高科技技术手段被用于违法犯罪也是屡见不鲜。减少甚至杜绝对个人信息的侵犯需要从源头做好防控,坚持打击和防范并重。作为以上行业的企业经营者,应当在个人信息保护层面投入更多资源,建立起企业内部合规流程,充分制定应对突发事件的紧急预案。
|
