合规观察丨《网络安全法》执法检查报告传递的重要信息

2017年12月24日上午，全国人大常委会听取人大常委会执法检查组关于《网络安全法》、《关于加强网络信息保护的决定》实施情况的报告（“ 《报告》 ”）。《网络安全法》从2017年6月1日开始实施，当年的8月即在全国范围开展了对“一法一决定”实施情况的大检查。一部新制定的法律实施不满3个月即启动执法检查，这在全国人大常委会监督工作中尚属首次。

《报告》透露出本次执法检查的几个关键词：制定配套法规规章、强化关键信息基础设施保护、落实网络安全等级保护制度、打击网络违法违规、落实公民个人信息保护制度，可谓热点全收，为2018年网络安全工作的开展埋下伏笔。

方达合规团队曾于2017年初就立法和执法对企业的影响、企业所关注的合规问题及采取的合规举措进行调研，当时即有85%的企业表示关注《网络安全法》对公司合规体系的影响，《网络安全法》正式施行后业界对该法的关注更是不断升温。然而，《网络安全法》毕竟是网络安全管理方面的基础性法律，实际运营中的诸多问题尚无答案。例如，关键信息基础设施该如何认定？如何进行年度检测评估？除关键信息基础设施运营者以外的其他网络运营者掌握的个人信息和重要数据出境是否需进行安全评估？数据运用中实现脱敏的标准是什么？企业间数据共享的规则又是什么？

2018年或将真正是“靴子落地”的一年。2017年12月29日，全国信息安全标准化技术委员会归口的《信息技术 安全技术 实体鉴别 第1部分：总则》等23项国家标准已经正式发布。 [1] 数据出境方面，《个人信息与重要数据出境安全评估办法（征求意见稿）》和《数据出境安全评估指南（草案）》早在2017年上半年公布后即结合各方意见进行修改完善，料想2018年将有所进展，就数据跨境传输这一世界性问题给出中国答案。《关键信息基础设施安全保护条例》已于2017年7月10日发布征求意见稿。《网络安全等级保护条例》则由公安部牵头，多个部门联合制定。

《刑法》有关网络安全的规定亦可能逐渐与《网络安全法》实现衔接，例如，《刑法》第286条之一第一款：拒不履行信息网络安全管理义务罪。构成此罪应以网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务为前提，此前因该等义务不甚清晰而致使本条款难以适用，《网络安全法》第21条则明确规定了网络运营者的网络安全保护义务。据了解，两高正在针对此条制定司法解释，明确刑事执法依据的同时也将为《网络安全法》的有效施行提供保障。

《报告》有相当篇幅着墨于当前网络安全执法中的问题，归纳如下：（1）执法主体不明晰，存在多头管理、多重检查的问题。（2）缺乏统一有效的监督平台。（3）对违法行为的处罚力度偏轻。（4）一线执法人员的专业素养和技能难以胜任网络运行安全常态化监管执法职责。《报告》特别指出，“通信行业监管和行政执法力量严重不足，执法力量与当前网络安全事件频发多发的严峻形势不相适应。”充分揭示执法问题，说明执法检查组开展了细致的工作，更意味着有关部门对强化监督、严格落实《网络安全法》的决心。

完善的立法是执法与司法的基础，《网络安全法》配套规定逐一落地预示网络安全行政执法也将得以加强。回顾保护公民个人信息的刑事立法执法进程，法律规定颁布后通常有数月的缓冲期，而后执法行动逐渐活跃，并在相关规定逐渐完善的过程中将执法推向高潮。2015年底，《刑法修正案（九）》将出售、非法提供/获取公民个人信息罪的犯罪主体扩大，并将罪名整合为“侵犯公民个人信息罪”。2016年4月，公安部部署全国公安机关开展打击整治网络侵犯公民个人信息犯罪专项行动，2016年4月到9月半年时间，公安机关网络安全保卫部门累计抓获犯罪嫌疑人3300余人。 [2] 2017年6月1日，两高联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，明确个人信息的范围、非法提供/获取个人信息的标准、以及入罪门槛。2017年，公安机关侦办侵犯公民个人信息案件涉及的犯罪嫌疑人多达1.5万人， [3] 单位时间涉案人数为2016年的两倍以上。

构成刑事犯罪往往以违法行为造成严重后果为条件，而行政执法则同时兼顾风险预防。以重庆网警查处的违反《网络安全法》第一案为例，执法原因是某公司在提供互联网数据中心服务时未依法留存用户登录相关网络日志。虽然此违法行为尚未造成损害后果，但因网络日志留存是公安机关依法追查网络违法犯罪的重要基础和保证，《网络安全法》对网络运营者施以相关法定义务，如有违反则构成违法行为。 [4]

《报告》将用户个人信息保护工作作为专题予以详述，可谓顺势之为。因个人信息泄露而导致的衍生犯罪已无需赘言，加强刑事打击已经在路上；而针对普通用户所面临的过度收集用户信息、侵犯个人隐私、强制收集使用用户信息等问题，《报告》坦言，“几乎没有受到任何监管和依法惩处”。新技术蓬勃发展的同时，侵犯个人信息的手段也在不断翻新，从内鬼作案、到黑客攻击、再到精准拼凑目标画像，分散的个体确实难以招架。

个人信息数据已成为不少企业的核心资产，权责一致原则即应适用。《报告》在建议部分开门见山提出要加快个人信息保护法立法进程，通过专门立法明确网络运营者对用户信息的保密和保护义务，不当使用、保护不力应当承担责任。《个人信息安全规范》应运而生，作为23项信安标委归口国家标准之一已经发布。此规范以个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为为重点，剑指个人信息非法收集、滥用、泄漏的乱象，具有较强的操作指导意义，意味着个人信息保护的序幕已经揭开。

具体到企业在个人信息保护中的责任义务，《报告》提出企业应加强安全防护、健全内控制度，因为“检查发现，有的互联网公司和公共服务部门存储了大量公民个人信息，但安防技术严重滞后，容易被不法分子窃取和盗用”，并且“一些单位内控制度不完善或不落实，少数“内鬼”为牟取不法利益铤而走险，致使用户信息大批量泄露”。利用网络非法采集、窃取、贩卖和利用用户信息所形成的黑色产业链的重要源头即在于个人信息控制者安防意识、安防能力、技术水平的普遍不足。

2017年9月，联想因预装可能给用户安全造成威胁的软件而与美国FTC（联邦贸易委员会）和解并同意支付350万美元。此案或许可以就涉及接触个人信息时的合规操作给中国企业带来一些启示。案涉预装软件的开发方并非联想，而是一家第三方公司Superfish。一方面，Superfish所开发的软件为更好地展示弹出广告而置用户安全于不顾；另一方面，该软件在用户不知情的情况下接入了包括用户社会安全号（SSN）在内的敏感信息，虽然真正被Superfish收集的只有浏览网页和用户IP地址等信息。联想“没有评估并处理预装在其电脑的第三方软件所造成的安全风险而未能发现该等安全隐患”，最终受到行政处罚。除支付和解金外，联想被要求在预装此类软件时必须获得用户明示同意，同时还被要求就安装在其电脑上的大部分预装软件开展为期20年的全面软件安全保护项目且该项目需接受第三方审计。

除了遭遇刑事或行政执法，不当处理个人信息还有可能引发民事诉讼、触发危机事件、损害公司声誉，其为安全稳健地商业运营所带来的负面影响可能远远超出法律责任的想象。这是由个人信息的敏感性和大众性所决定的。中国社会传统上对于个人信息（隐私）的披露包容度较高，一定程度上也为大数据的蓬勃发展提供助推，但业界应当已经注意到从政策到观念的悄然变化。例如，2018年1月2日，南京市中级人民法院正式立案了江苏省消费者权益保护委员会就百度涉嫌非法获取消费者个人信息问题提起的民事公益诉讼。不同于一般民事诉讼，此案一经立案即广受瞩目且对公司的经营构成影响，因为在消费者不知不觉中“监听电话、定位、读取短彩信、读取联系人、修改系统设置”所带来的不适感比较容易在人群中引起共鸣，且并非所有的公众都能够理性地等待法院的审理结论。

尽管《报告》揭示了目前网络安全领域的诸多问题，但其仍充分肯定了互联网在国家管理、经济发展和社会治理中的作用。技术融合、业务融合、数据融合将继续奔驰在快车道。当数据被作为生产资料使用时，数据流动带来的风险不可避免，企业及早完善风险控制体系、提升感知并应对数据风险的能力，将成为大数据时代企业的刚需。正值2018开年之际，建议企业结合自身情况尽快推动网络安全、数据合规、个人信息保护方面的部署。

1. 密切关注立法进程，结合行业特点、业务模式、发展方向制定合规框架。

2. 认真评估业务经营的高风险象限，抓紧法律实施的缓冲期落实合规措施。

3. 充分理解风险预防型的执法导向，把握业务中个人信息安全影响评估等新视角。

4. 积极储备相关人才与专业支持，打造法律合规加技术实现的综合应对方案。