對于6月1日即將施行的《網(wǎng)絡安全法》，互聯(lián)網(wǎng)以及大數(shù)據(jù)行業(yè)企業(yè)關心更多的是新法將會給其業(yè)務帶來的影響。而隨著前幾天肆虐全球的WannaCry病毒事件的發(fā)酵，網(wǎng)絡安全問題似乎已經(jīng)上升為全民議題，《網(wǎng)絡安全法》更是成為熱議話題。

作為專注于數(shù)據(jù)信息行業(yè)法律研究和服務的團隊，在《網(wǎng)絡安全法》即將實施的這一周時間，我們團隊將每天一篇重磅推出針對互聯(lián)網(wǎng)以及大數(shù)據(jù)行業(yè)企業(yè)的系列文章：大數(shù)據(jù)企業(yè)應當了解的《網(wǎng)絡安全法》。

今天是第三篇：網(wǎng)絡運營者的安全保護義務。

關于網(wǎng)絡運營者，在本系列文章《團隊原創(chuàng) | 《網(wǎng)絡安全法》系列解讀之（一）大數(shù)據(jù)企業(yè)，你是不是“網(wǎng)絡運營者”》已經(jīng)進行了詳細的解讀，但正如之前提到的，《網(wǎng)絡安全法》用整整14個條文規(guī)定了“網(wǎng)絡運營者”的安全保護義務，解讀“網(wǎng)絡運營者”的目的實際上是更好地解讀“網(wǎng)絡運營者”的安全保護義務。我們在本篇中試著探討下這個問題。

“網(wǎng)絡運營者”安全保護義務的現(xiàn)狀

《侵權責任法》 第三十六條

網(wǎng)絡用戶利用網(wǎng)絡服務實施侵權行為的，被侵權人有權通知網(wǎng)絡服務提供者采取刪除、屏蔽、斷開鏈接等必要措施。網(wǎng)絡服務提供者接到通知后未及時采取必要措施的，對損害的擴大部分與該網(wǎng)絡用戶承擔連帶責任。

網(wǎng)絡服務提供者知道網(wǎng)絡用戶利用其網(wǎng)絡服務侵害他人民事權益，未采取必要措施的，與該網(wǎng)絡用戶承擔連帶責任。

在《網(wǎng)絡安全法》正式施行以前，對于網(wǎng)絡運營者的安全保護義務最主要的規(guī)定見于《侵權責任法》和《信息網(wǎng)絡傳播權保護條例》，以往相關規(guī)定中安全保護義務的主體限定為“網(wǎng)絡服務提供者”（而根據(jù)《網(wǎng)絡安全法》的規(guī)定，網(wǎng)絡服務提供者只是網(wǎng)絡運營者的子概念），保護義務也僅僅為“從通知到刪除、屏蔽、斷開”的事后止損義務，以往相關規(guī)定從對私權益的保護出發(fā)并不能很好地保護公共利益。

《網(wǎng)絡安全法》的立法目的是“為了保障網(wǎng)絡安全，維護網(wǎng)絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經(jīng)濟社會信息化健康發(fā)展。”，因此新法對于“網(wǎng)絡運營者”（而不是“網(wǎng)絡服務提供者”，主體有所擴大）安全保護義務的規(guī)定較之前的立法更加全面和完善。

關于“網(wǎng)絡運營者”安全保護義務的分類

即將施行的《網(wǎng)絡安全法》將“網(wǎng)絡運營者”所承擔安全保護義務在原來“事后止損義務”的基礎上增加了更多“事前保障義務”的規(guī)定，體現(xiàn)了《網(wǎng)絡安全法》關于“網(wǎng)絡運營者”應當全方位承擔網(wǎng)絡平臺安全保障義務的立法目標，有利于更好地明晰權責。

從《網(wǎng)絡安全法》的條文結構來看，將“網(wǎng)絡運營者”的安全保護義務大體分為兩類：網(wǎng)絡運行安全保護義務和網(wǎng)絡信息安全保護義務，之所以這樣劃分，是體現(xiàn)了立法者堅持問題導向的原則，主要針對實踐中存在的突出問題，將近年來一些成熟的好做法作為制度確定下來，為網(wǎng)絡安全工作提供切實法律保障。網(wǎng)絡運行（包括關鍵基礎設施的運行）以及網(wǎng)絡信息的安全問題是現(xiàn)在網(wǎng)絡安全問題中十分突出的兩個方面。

網(wǎng)絡運行安全保護義務

實踐中，企業(yè)對于網(wǎng)絡運行安全保護義務要特別注意以下兩點：

•    網(wǎng)絡安全等級保護制度

為了落實“網(wǎng)絡運營者”作為網(wǎng)絡運行第一責任人的責任，《網(wǎng)絡安全法》將現(xiàn)行的網(wǎng)絡安全等級保護制度上升為法律，要求“網(wǎng)絡運營者”按照網(wǎng)絡安全等級保護制度的要求，采取相應的管理措施和技術防范等措施，履行相應的網(wǎng)絡安全保護義務（《網(wǎng)絡安全法》第二十一條）。

這里需要特別說明的一點是，現(xiàn)行立法中并沒有關于網(wǎng)絡安全等級保護制度的規(guī)定，從草案中關于“網(wǎng)絡安全等級保護的具體辦法由國務院規(guī)定”的提法來看，后續(xù)應該會有相關配套法規(guī)的出臺，現(xiàn)行法規(guī)中比較完善的是信息安全等級保護制度，在沒有“網(wǎng)絡安全等級保護制度”的法規(guī)出臺前，建議各企業(yè)可以參照信息安全等級保護制度相關法規(guī)來實施，畢竟網(wǎng)絡安全等級保護制度已經(jīng)上升為法律規(guī)定的強制義務，在沒有更細化的規(guī)定出臺之前，參考相關制度實施是一種最穩(wěn)妥的方式。

關于網(wǎng)絡安全等級保護制度，本系列文章后續(xù)有專門的一篇來為大家解析。

•    關鍵信息基礎設施

為了維護國家安全、經(jīng)濟安全和保障民生，《網(wǎng)絡安全法》設專節(jié)對關鍵信息基礎設施作了規(guī)定，范圍包括公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域等，并對關鍵信息基礎設施運營者的安全保護義務作了規(guī)定。

網(wǎng)絡信息（數(shù)據(jù)）安全保護義務

關于數(shù)據(jù)信息安全的規(guī)定是此次《網(wǎng)絡安全法》的立法重點，從最近密集出臺的一系列配套法規(guī)以及司法解釋就可以看出數(shù)據(jù)信息安全問題特別是網(wǎng)絡空間的信息泄露問題已經(jīng)成為社會公眾話題并可能影響國家安全、經(jīng)濟安全。

因此，《網(wǎng)絡安全法》用專章（第四章）來規(guī)定網(wǎng)絡信息安全保護義務，同時在整部法律中也多處強調和規(guī)定了“網(wǎng)絡運營者”的數(shù)據(jù)信息安全保護義務，互聯(lián)網(wǎng)企業(yè)特別是大數(shù)據(jù)企業(yè)應當特別關注：

一是加強對公民個人信息的保護，防止公民個人信息數(shù)據(jù)被非法獲取、泄露或者非法使用（第四十條至第四十五條）；

二是要求網(wǎng)絡運營者采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施，防止網(wǎng)絡數(shù)據(jù)被竊取或者篡改（第二十一條）；

三是要求關鍵信息基礎設施的運營者在境內存儲個人信息和重要數(shù)據(jù)；確需在境外存儲或者向境外提供的，應當按照規(guī)定進行安全評估（第三十七條）；

四是明確網(wǎng)絡運營者處置違法信息的義務：網(wǎng)絡運營者發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?，應當立即停止傳輸，采取消除等處置措施，防止信息擴散，保存有關記錄，并向有關主管部門報告（第四十七條）。

結語

《網(wǎng)絡安全法》首次從事前保障的角度加強了對“網(wǎng)絡運營者”網(wǎng)絡安全保護義務的規(guī)定，必將對相關企業(yè)產(chǎn)生重大的影響，互聯(lián)網(wǎng)企業(yè)以及大數(shù)據(jù)企業(yè)必須特別關注相關條文的實施細則，同時觸網(wǎng)的傳統(tǒng)企業(yè)、跨國企業(yè)，也要密切關注立法動向。為此，我們團隊也正在與網(wǎng)絡安全領域的龍頭企業(yè)合作，研究、開發(fā)企業(yè)級網(wǎng)絡安全等級保護制度解決方案，從合規(guī)方案、管理規(guī)范和技術防范等多角度為互聯(lián)網(wǎng)及大數(shù)據(jù)企業(yè)提供整套服務。

作者：

觀韜中茂（上海）律師事務所

王渝偉 首席數(shù)據(jù)官聯(lián)盟專家組成員 首席數(shù)據(jù)官聯(lián)盟首席律師

吳丹君 首席數(shù)據(jù)官聯(lián)盟專家組成員 首席數(shù)據(jù)官聯(lián)盟首席律師

來源：數(shù)據(jù)猿