分享WP资源
是件美好的事情

《网络安全法》施行三周年回顾

腾讯云限时秒杀活动

内容摘要:数字经济时代,移动互联网、云计算、大数据、物联网、区块链、人工智能等新技术正得到更深层次的运用,成为推动全球经济发展和社会变革的重要力量。然而,信息化带来的网络安全威胁范围和内容也不断扩大和演化,全球网络安全形势与挑战日益严峻。2020年以来,全球新冠疫情和经济危机催生信息…

数字经济时代,移动互联网、云计算、大数据、物联网、区块链、人工智能等新技术正得到更深层次的运用,成为推动全球经济发展和社会变革的重要力量。然而,信息化带来的网络安全威胁范围和内容也不断扩大和演化,全球网络安全形势与挑战日益严峻。2020年以来,全球新冠疫情和经济危机催生信息技术新机遇,百年未有之大变局加剧,网络空间安全面临更复杂的新挑战。

2020年6月1日,中国网络空间安全基础性立法《网络安全法》(以下简称网安法)迎来正式施行三周年。2017年6月1日正式施行的网安法明确了网络安全保护和监管的工作原则和管理体制,为维护我国网络空间主权、国家安全和社会公共利益提供了有力的法律保障。施行三年以来,网络安全管理工作体制机制逐步顺畅,围绕网络安全等级保护、个人信息保护、网络生态治理等方面的网络安全行政监管和执法力度持续加强,网络安全司法实践有序深入展开,网络空间法治化建设成果卓著,进一步推动了我国网络空间治理体系和治理能力现代化进程。

一、网安法的立法背景、立法定位与体系架构

如何应对网络安全威胁已是全球性问题,国际网络安全空间格局发生重大变化,国际网络安全的法治环境正经历变革,美欧等网络强国纷纷建立全方位、更立体、更具弹性与前瞻性的网络安全立法体系,网络安全立法演变为全球范围内的利益协调与国家主权斗争,有法可依成为谈判与对抗的必要条件。

在“没有网络安全就没有国家安全,没有信息化就没有现代化”成为国家和民族共识之际,我国正式开启网络强国建设的一系列顶层设计和部署。2014年2月27日,中央网络安全和信息化领导小组正式成立,标志着我国正式将网络安全提升至国家安全的高度,构筑全方位的网络与信息安全治理体系成为我国网络安全保障工作的重中之重。2016年7月27日,中共中央办公厅、国务院办公厅发布《国家信息化发展战略纲要》。作为规范和指导我国未来10年国家信息化发展的纲领性文件,纲要进一步调整和发展了中期国家信息化发展战略,其中要求以信息化驱动现代化,加快建设网络强国。2016年12月27日,我国《国家网络空间安全战略》正式发布,这是我国第一次向全世界系统、明确地宣示和阐述我国对于网络空间安全和发展的立场与主张,在我国网络空间安全领域具有里程碑意义。2017年3月1日,外交部和国家互联网信息办公室共同发布《网络空间国际合作战略》。这三个战略开启了我国网络空间治理的全新范式,为我国网络安全相关政策和法律的出台指明了方向。

从国内外严峻的网络安全形势和国内法制基础来看,“棱镜门”事件暴露出维护国家数据主权、振兴民族产业的法律保障不足;能源、交通、金融、电力等国家关键信息基础设施建设、管理法制不健全,信息安全技术研究和产品开发政策法律保障乏力,在发生重大、突发事件和紧急状态情况下,应急响应缺乏法律保障,应急预案、违法犯罪信息和安全测试等可以用于社会安全防范的信息难以共享,严重影响了快速反应能力、安全保障能力和统一调配能力。面对严峻的网络安全形势,各界普遍认为,仅对原有法律的解释、修订或增补,难以把握好安全与发展之间的关系,不利于国家总体安全战略目标的实现,我国亟需制定综合性“网络领域基本法”,应当明确规定网络与信息安全的基线,为部门、地方的立法和政策的制定、调整和完善提供法律依据。

2014年4月,全国人大常委会年度立法计划正式将《网络安全法》列为立法预备项目,由此开启我国国家网络安全立法的新进程。2015年6月,第十二届全国人大常委会第十五次会议初次审议《网络安全法(草案)》。2015年7月6日,《网络安全法(草案)》向社会公开征求意见。之后,根据全国人大常委会组成人员和各方面的意见,对草案作了修改,形成《网络安全法(草案二次审议稿)》。2016年6月,第十二届全国人大常委会第二十一次会议对草案二次审议稿进行了审议。2016年7月5日,《网络安全法(草案二次审议稿)》发布,向社会公开征求意见。2016年10月31日,《网络安全法(草案三次审议稿)》提请全国人大常委会审议。2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议正式表决通过《网络安全法》,并于2017年6月1日正式施行。网安法的颁布实施标志着我国网络空间法制化进程实质性展开,为我国有效应对网络安全威胁和风险、全方位保障网络安全提供基本法律支撑。

从立法定位来看,首先,网安法作为我国网络空间的基础性立法,与《国家安全法》《反恐怖主义法》《刑法》《密码法》《保守国家秘密法》《治安管理处罚法》《关于加强网络信息保护的决定》《关于维护互联网安全的决定》《计算机信息系统安全保护条例》《互联网信息服务管理办法》《电信条例》等法律法规共同组成我国网络安全管理的法律体系。

其次,网安法体现出安全保障法的特性。各国2010年之后陆续出台的第二代网络安全政策立法明显体现出安全保障法的特征,即以发现、消除网络安全威胁和风险,提升恢复能力为轴心。其中,“发现”包括网络安全漏洞的掌控、网络安全威胁和风险的实时全面共享、侦查、监测预警和供应链安全等;“消除”包括及时动态地研判处置网络攻击,实施精准打击的同时允许有条件的攻击反制;“恢复”侧重网络安全态势感知和网络攻击之后的应对恢复,保护有关各方的合法权益,提升各方对国家安全和社会稳定的信心。网安法的制度设计基本体现了发现、消除和恢复一体化的安全保障思路。

最后,网安法是基础性法律。基础性法律的功能更多注重的不是解决问题,而是为问题的解决提供具体指导思路。问题的解决要依靠相配套的法律法规,这样的定位决定了不可避免会出现法律表述上的原则性,相关主体只能判断出网络安全管理对相关问题的解决思路,具体的解决办法有待进一步观察。这也解释了网安法施行3年来,涉及关键信息基础设施、网络安全等级保护、个人信息和重要数据出境、网络安全事件、网络产品和服务的安全审查、互联网信息内容治理、网络安全学院建设、网络关键设备和专用产品等方面配套行政法规、部门规章、规范性文件等纷纷出台的原因(见下表)。

层级 牵头制定机构 名称 年份
部门规章(已发布) 国家互联网信息办公室 互联网新闻信息服务管理规定(国家互联网信息办公室令第1号) 2017
互联网信息内容管理行政执法程序规定(国家互联网信息办公室令第2号)
区块链信息服务管理规定(国家互联网信息办公室令第3号) 2019
儿童个人信息网络保护规定(国家互联网信息办公室令第4号)
网络信息内容生态治理规定(国家互联网信息办公室令第5号)
公安部 公安机关互联网安全监督检查规定 2018
国家互联网信息办公室、国家发展和改革委员会等十二部门 网络安全审查办法 2020
部门规范性文件(已发布) 国家互联网信息办公室 互联网跟帖评论服务管理规定 2017
互联网论坛社区服务管理规定
互联网用户公众账号信息服务管理规定
互联网群组信息服务管理规定
互联网新闻信息服务新技术新应用安全评估管理规定
互联网新闻信息服务单位内容管理从业人员管理办法
微博客信息服务管理规定 2018
金融信息服务管理规定
中央网络安全和信息化领导小组办公室 国家网络安全事件应急预案 2017
中央网络安全和信息化领导小组办公室秘书局、教育部办公厅 一流网络安全学院建设示范项目管理办法 2017
工业和信息化部 工业控制系统信息安全防护能力评估工作管理办法 2017
公共互联网网络安全突发事件应急预案
公共互联网网络安全威胁监测与处置办法
国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会 网络关键设备和网络安全专用产品目录(第一批) 2017
承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批) 2018
国家卫生健康委员会 国家健康医疗大数据标准、安全和服务管理办法(试行) 2018
公安部 网络安全等级保护测评机构管理办法 2018
国家互联网信息办公室、公安部 具有舆论属性或社会动员能力的互联网信息服务安全评估规定 2018

 

国家互联网信息办公室、文化和旅游部、国家广播电视总局 网络音视频信息服务管理规定 2019
国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部 云计算服务安全评估办法 2019
中央网络安全和信息化委员会办公室 关于做好个人信息保护利用大数据支撑联防联控工作的通知 2020
正在制定中 国家互联网信息办公室 关键信息基础设施安全保护条例(征求意见稿) 2017
数据安全管理办法(征求意见稿) 2019
个人信息出境安全评估办法(征求意见稿)
网络安全威胁信息发布管理办法(征求意见稿)
公安部 网络安全等级保护条例(征求意见稿) 2018
工业和信息化部 网络安全漏洞管理规定(征求意见稿) 2019

网安法配套行政法规、部门规章和规范性文件表(截至2020.5.21)

二、网安法的核心制度设计

网安法共7章79条,作为我国第一部网络安全基础性法律,网安法贯穿了网络空间主权维护、网络安全与信息化发展并重、网络安全综合治理、网络安全重点保护四项原则,体现了我国对网络安全规律认识的逐步深化;规定了国家网信部门统筹协调,电信、公安依法履行安全保护和监督管理的管理体制,有助于进一步强化各部门的资源整合和行动协同;确立或重申了网络安全等级保护、关键信息基础设施保护(含网络安全审查、个人信息和重要数据境内存储及出境安全评估)、网络产品和服务管理、网络身份管理、个人信息保护、网络生态治理、监测预警和应急处置等制度,规定了执法协助、危害网络安全行为规制、责任追究等行政立法的通用要求。

总体来看,网安法形成了网络自身保护与网络服务保护相结合,网络技术安全与内容安全相结合,网络生命周期管控与网络供应链管控相结合,教育、查处和信用惩戒相结合的制度体系。

1、网络安全等级保护制度

信息安全等级保护制度是由《计算机信息系统安全保护条例》确立,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)进一步明确的国家信息安全保障基本制度,是国家对基础信息网络和重要信息系统实施重点保护的关键措施,以“提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”为最终目的。

等级保护制度创造性地提出了适合我国国情的信息安全保护流程和方法,以所承载的业务应用的“社会重要性”来确定安全保护等级,对不同等级的系统采用不同的“基线”予以保护并对其实施不同的监管。1994年以来,一系列行政法规、政策、规范性文件和技术标准等构成了我国信息安全等级保护法律政策和标准体系,明确了实行等级保护是我国信息安全保障工作中一项重要制度和措施,为我国等级保护工作的具体实践提供了基本保障和技术支撑。我国等级保护工作推行20多年,初步实现了等级保护工作的标准化、规范化,在全面提升信息系统安全保护能力方面实现了制度设计的立法初衷。

为了深化等级保护制度,网安法第21条和第59条以网络安全领域基本法的形式确立了国家网络安全等级保护制度,规定了等级保护制度安全措施的基线要求并赋予强制力,同时第31条进一步要求关键信息基础设施必须落实国家网络安全等级保护制度,突出保护重点。网络安全等级保护是网安法对于网络安全的基础性制度设计,旨在强化网络运营者的内在安全能力,与关键信息基础设施保护强调的网络安全能力协同实现国家网络安全。

目前,网络安全等级保护已围绕网安法形成了法律、行政法规、部门规章和技术标准等相对完善的等保2.0体系。网安法颁布后,公安机关一方面牵头深入推进网络安全等级保护工作,提升安全防范能力,加大网络安全执法力度;另一方面,持续推进《网络安全等级保护条例》等立法起草制定、等级保护标准修订、测评和技术体系提升等方面的后续配套工作。

配套立法方面,2018年3月,公安部发布规范性文件《网络安全等级保护测评机构管理办法》;2018年6月,公安部《网络安全等级保护条例(征求意见稿)》正式向社会公开征求意见;2018年9月,公安部发布部门规章《公安机关互联网安全监督检查规定》。

国家标准方面,2019年5月,历时3年制订修改的3项等保2.0系列标准(《网络安全等级保护基本要求》《网络安全等级保护测评要求》《网络安全等级保护安全设计技术要求》)完成国家标准制订程序,经信安标委审批正式出台,2019年12月1日正式施行。此外,2.0系列标准之《网络安全等级保护实施指南》已于2020年3月1日起施行。《网络安全等级保护定级指南》将于2020年11月1日起施行。

2、关键信息基础设施保护制度

4·19讲话中,习总书记提出加快构建关键信息基础设施安全保障体系。强调金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。

自147号令确定等级保护制度以来,区分保护、确保重点的立法理念始终蕴含在我国网络安全法治体系建设过程中。随着网络恐怖主义、恶意网络活动、(跨境)网络攻击和网络战日益频繁,重要行业和领域的网络安全不仅涉及行业领域内部平稳运行,更事关国家安全。近年来,世界主要国家和地区都陆续出台了国家层面的关键(信息)基础设施保护战略、立法和具体的保护方案。2015年中美达成和平时期不相互攻击对方关键基础设施的共识,也进一步表明了关键信息基础设施保护的必要性。目前我国关键信息基础设施安全保障整体水平不高,难以有效抵御有组织大强度的网络攻击。关键信息基础设施建设中安全系统建设相对滞后,尤其在监测预警、应急响应、处置恢复能力方面存在许多薄弱环节。另一方面,自主可控目前还不能完全覆盖我国关键信息基础设施建设和运行管理的要求,关键信息基础设施的部分设备和部件短期内难以摆脱依赖进口的局面。尤其在涉及政务、能源、通信、海关、金融、交通、医疗等国家关键信息基础设施的建设和运营过程中,核心设备、技术和高端服务主要依赖国外进口,短期内难以实现自主可控,导致我国关键信息基础设施面临更深层次的安全隐患。建立关键信息基础设施保护制度成为应有之义。

在此背景下,关键信息基础设施保护制度在分等级保护的立法思路中逐渐显现,网安法第31条明确我国建立关键信息基础设施保护制度。第31条规定国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

第31条采用“列举+兜底”的立法模式,初步确定了我国关键信息基础设施范围,指出其本质为“ 一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”,明确关键信息基础设施保护的基本要求为“在网络安全等级保护制度基础上实施重点保护”,同时授权国务院制定关键信息基础设施的具体范围和安全保护办法。

2016年12月,国家互联网信息办公室发布的《国家网络空间安全战略》将国家关键信息基础设施定义为“关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等”,将重要互联网应用系统纳入关键信息基础设施安全保护的范畴。这样的规定符合信息化发展的现实需求,在促进以云计算、大数据等新兴战略行业为代表的信息化发展同时,进一步将其纳入网络安全保障的制度体系框架之内。

作为对网安法第31条“关键信息基础设施的具体范围和安全保护办法由国务院制定”规定的落实,2017年7月,《关键信息基础设施安全保护条例(征求意见稿)》正式发布。

3、网络安全审查制度

网络安全审查制度是提升我国网络安全保障水平的重要制度设计,在实现关键信息基础设施网络产品和服务的安全性和可控性中发挥着不可替代的基础性作用。网安法第35条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

尽管各国鲜有直接规定网络安全审查制度,但普遍对网络产品和服务在关键领域中的使用施以严格的安全要求。网安法依据世界贸易组织国家安全例外原则,对关键信息基础设施运营者采购网络产品和服务的国家安全审查作出规定,与《国家安全法》第59条相衔接。值得注意的是,并不是所有的产品和服务都需要审查,只针对可能影响国家安全的产品和服务,从网络产品和服务的安全性和功能性两个方面判定是否影响国家政权和主权安全,是否会危害广大人民群众利益,是否会影响国家经济可持续发展及国家其他重大利益。

作为第35条的配套规定,2017年5月,国家互联网信息办公室发布《网络产品和服务安全审查办法(试行)》。办法细化了网络安全审查的审查范围、审查内容和审查程序等核心内容,使网络安全审查制度进入实质性的可操作层面。

2020年4月,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、国家密码管理局等十二部门联合发布《网络安全审查办法》,旨在确保关键信息基础设施供应链安全。办法明确,运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。办法自2020年6月1日起实施,《网络产品和服务安全审查办法(试行)》将同时废止。

网络安全审查制度的义务主体限定于关键信息基础设施运营者,识别和认定关键信息基础设施运营者成为网络安全审查制度的前置和首要条件。当前《关键信息基础设施安全保护条例》仍在制定过程中,关键信息基础设施识别认定的具体指引和标准尚未完全确定。对此,国家互联网信息办公室表示,根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照要求考虑申报网络安全审查。

4、数据出境评估制度

随着信息化水平的提高,关键信息基础设施中存储着大量关涉国家安全、国计民生、公共利益的个人信息和重要数据。为降低个人信息和重要数据的安全风险,同时也为满足执法、司法需要,网安法第37条规定关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

本条规定了关键信息基础设施的运营者在中国境内运营和产生的个人信息和重要数据原则上均应当在中国境内存储。但数据境内存储并不意味着绝对禁止数据出境,本条同时确立了数据出境安全评估制度。因业务需要,确需向境外提供的,符合相关安全评估要求后可以出境。本条为数据出境规范留下了较大空间,明确其他法律和行政法规可对此做出特殊规定,为本条与现行其他规范的衔接及未来相关规范的出台预留接口。从现行规范来看,数据本地化和数据出境相关规定在部分部门规章和部门规范性文件中有所涉及,例如《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》《网络预约出租汽车经营服务管理暂行办法》《征信业管理条例》等等。

2017年4月,国家互联网信息办公室发布《个人信息和重要数据出境安全评估办法(征求意见稿)》。征求意见稿将出境评估的义务主体扩展至所有网络运营者。

2019年6月,国家互联网信息办公室发布《个人信息出境安全评估办法(征求意见稿)》,对2017年征求意见稿版本的思路进行一定调整。鉴于个人信息和重要数据背后承载的不同价值,此次发布的征求意见稿将个人信息和重要数据区别对待,仅着眼于个人信息出境。征求意见稿要求个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后,组织专家或技术力量进行安全评估。省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。

5、个人信息保护制度

个人信息保护始终是我国网络安全法治建设的重点,自2003年国务院信息化办公室部署个人信息保护法立法研究工作,到2018年十三届全国人大常委会将《个人信息保护法》正式列入立法规划,我国个人信息保护立法研究历经15年。在此期间,《全国人大常委会关于加强网络信息保护的决定》《刑法》《电信和互联网用户个人信息保护规定》等法律法规中均对个人信息保护做出规定。整体来看,我国个人信息保护立法层级逐步提升,体系逐渐完善,规则逐渐细化,保护力度逐渐向国际看齐。

网安法第22条第三款、第40条至第43条规定了个人信息保护制度,明确网络运营者在个人信息全生命周期作出安全保障要求,涉及个人信息的收集、使用、流转、保护、删除、更正等环节。同时,网安法在个人信息保护的法律责任方面与《刑法修正案(九)》等规定相衔接,形成民事、行政、刑事多重保护的格局。

2020年3月,为更好地应对新一代信息技术及新型业务场景给个人信息保护带来的挑战,国家市场监督管理总局、国家标准化管理委员会发布新版《信息安全技术 个人信息安全规范》(GB/T 35273-2020)。作为国家标准,规范对个人信息的收集、存储、使用、委托处理、共享等各环节,以及个人信息主体的权利及安全事件处置等作出细化规定。

与此前发布的版本相比,规范在对原有内容优化的基础上,增加多项业务功能的自主选择、用户画像使用限制、第三方接入管理等内容。针对个人生物识别信息在应用及安全上引发的广泛争议,规范对个人生物识别信息的收集存储作出细化规定。规范明确收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。存储方面,个人生物识别信息应与个人身份信息分开存储;原则上不应存储原始个人生物识别信息(如样本、图像等);在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

6、网络生态治理制度

习近平总书记在4.19讲话中指出,网络空间是亿万民众共同的精神家园。网络空间天朗气清、生态良好,符合人民利益。网络空间乌烟瘴气、生态恶化,不符合人民利益。自195号令开始,到292号令,我国逐渐通过各立法层级加强信息内容治理,净化网络空间。

网安法第12条,第46条至第50条规定了网络生态治理中监管部门、网络运营者,以及公民个人和组织应承担的责任和义务。其中,第47条规定网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。

当前,我国法律、行政法规禁止发布或传输的信息主要依据的是《互联网信息服务管理办法》(292号令)。292号令采取“列举+兜底”的方式,明确互联网信息服务提供者不得制作、复制、发布、传播的九类信息,俗称“九不准”。这九类信息可主要分为以下三类:(1)危害国家安全的信息,包括“反对宪法所确定的基本原则的;危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;损害国家荣誉和利益的;煽动民族仇恨、民族歧视,破坏民族团结的;破坏国家宗教政策,宣扬邪教和封建迷信的”信息等;(2)危害社会稳定和秩序的信息,包括“散布谣言,扰乱社会秩序,破坏社会稳定的;散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的”信息等;(3)对个人权利及其他私权利造成侵害的信息,包括侮辱或者诽谤他人,侵害他人名誉、隐私、知识产权和其他合法权益的信息等。对于每一类信息,法律没有规定明确的判断标准,需要网络运营者和监管机构在实践中形成合理合法的判断机制。

2014年,国务院发布《关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,明确我国由国家互联网信息办公室负责全国互联网信息内容管理工作,并负责监督管理执法。2017年5月发布的《互联网信息内容管理行政执法程序规定》(国家互联网信息办公室令第2号)再次明确互联网信息内容管理行政执法的主体为各级互联网信息办公室,对违反有关互联网信息内容管理法律法规规章的行为实施行政处罚。

网安法颁布实施后,我国信息内容治理领域制度的制定出台开始以网安法为上位法依据。2017年起,以国家互联网信息办公室第1号令的方式颁布《互联网新闻信息服务管理规定》,并陆续颁布《互联网新闻信息服务许可管理实施细则》《互联网跟帖评论服务管理规定》《互联网论坛社区服务管理规定》《互联网用户公众账号信息服务管理规定》《互联网群组信息服务管理规定》《微博客信息服务管理规定》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》《金融信息服务管理规定》等一系列规范性文件,在网络新闻领域、网络社区、公众账号及互联网群组、金融等领域和场景中加强信息内容管理。

三、网安法的落地实施效能

作为我国网络空间的基础性立法,网安法进一步梳理明确我国网络安全领域的监管体制以及网络运营者的责任义务,为网络运营者合规以及监管部门执法提供指引。网安法正式施行后,我国网络安全执法更加常态化、体系化、规范化,网络安全行政责任与刑事责任的衔接更加明朗,网络安全治理形势得到优化改善。

1、执法行动

2017年6月1日,网安法正式施行后,我国监管部门即部署开展多项专项行动,涉及个人信息保护、网络生态治理、地图信息管理等内容。2017年7月,为确保网安法中个人信息保护相关要求有效实施,中央网信办、工信部、公安部、国家标准委等四部门联合召开“个人信息保护提升行动”启动暨专家工作组成立会议,启动隐私条款专项工作,首批对微信、淘宝等十款网络产品和服务的隐私条款进行评审。8月,全国“扫黄打非”办公室会同宣传、网信、工信、公安等部门,在全国范围内开展互联网低俗色情信息专项整治行动。同月,国土资源部、国家测绘地理信息局会同中央网络安全和信息化领导小组办公室、国务院办公厅政府信息与政务公开办公室等部门部署开展全国范围内排查整治“问题地图”专项行动。互联网网站登载的动态和静态地图、微博、微信公众号中登载的地图、政府网站登载的地图等成为重点检查对象之一。

2017年8月,全国人大常委会决定在多个省区市开展网络安全法和加强网络信息保护决定的执法检查,旨在了解网安法、《全国人大常委会关于加强网络信息保护的决定》(“一法一决定”)实施情况。

2017年12月,中共中央宣传部、中央网信办、工业和信息化部、教育部、公安部、文化部、国家工商总局、国家新闻出版广电总局联合发布《关于严格规范网络游戏市场管理的意见》,部署针对网络游戏违法违规行为和不良内容的集中整治行动。2018年、2019年,工业和信息化部连续两年组织开展电信和互联网行业网络安全(行政)检查工作,主要检查网络运行单位网安法、《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》等法律法规的落实情况,电信和互联网安全防护体系系列标准符合情况,仍然存在的弱口令、漏洞和其他风险隐患等。2019年5月至2019年12月,中央网信办、工业和信息化部、公安部、市场监管总局联合开展全国范围的互联网网站安全专项整治工作,对未备案或备案信息不准确的网站进行清理,对攻击网站的违法犯罪行为进行严厉打击,对违法违规网站进行处罚和公开曝光。2019年7月,工业和信息化部发布《电信和互联网行业提升网络数据安全保护能力专项行动方案》,决定开展为期一年的行业提升网络数据安全保护能力专项行动,加快推动构建行业网络数据安全综合保障体系。

网络违法犯罪打击方面,网安法正式施行以来,我国公安机关逐渐进入以“净网”“护网”为核心的严厉打击各类网络违法犯罪行为,净化网络空间的执法新阶段。专项行动开展至今,在打击侵犯公民个人信息类、黑客攻击类、网络赌博、网络淫秽色情等网络违法犯罪行为方面取得显著成效;并通过一案双查机制,对网络违法犯罪案件开展侦查调查工作的同时,同步启动对涉案网络运营者法定网络安全义务履行情况的监督检查,夯实网络运营者安全保障义务,从源头遏制网络违法犯罪行为的发生。

网络生态治理方面,由国家互联网信息办公室牵头或主导。2018年10月,国家网信办会同有关部门开展针对自媒体账号的集中清理整治专项行动;12月,会同有关部门开展针对违法违规、低俗不良移动应用程序(App)的集中清理整治专项行动。2019年1月,国家网信办启动为期6个月的网络生态治理专项行动,对各类网站、移动客户端、论坛贴吧、即时通信工具、直播平台等重点环节中的12类负面有害信息进行整治;4月,启动即时通信工具专项整治工作,针对即时通信工具传播违法违规信息、匿名注册、欺诈诱骗、为线下违法违规活动提供平台服务等行业乱象;6月,会同有关部门开展针对网络音频的专项整治行动。2020年4月,针对疫情期间部分网络账号的恶意营销行为,国家网信办在全国范围内组织开展为期两个月的网络恶意营销账号专项整治行动。

个人信息保护方面,2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定在全国范围组织开展App违法违规收集使用个人信息专项治理;4月,国家市场监管总局办公厅在全国范围内部署开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动,重点打击侵害消费者个人信息的违法行为;11月,工业和信息化部开展信息通信领域App侵害用户权益专项整治行动,针对App服务提供者和App分发服务提供者两类主体对象,重点整治违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限等问题。

2、执法特点

执法机构为各级网信部门、通管局和各级公安部门,地域覆盖全国。执法依据不仅包括网安法,还包括《计算机信息系统安全保护条例》《互联网信息服务管理办法》等行政法规和《信息安全等级保护管理办法》《互联网用户账号名称管理规定》等规范性文件。行政处罚措施涉及警告、罚款(单位和直接负责人)、暂停相关业务(包括停业整顿、关闭网站、暂停有关系统运行、停止更新、暂停新用户注册)等类型。

 打赏

您可以选择一种方式赞助本站

支付宝扫一扫赞助

微信钱包扫描赞助

未经允许不得转载:莲花不妖 » 《网络安全法》施行三周年回顾
分享到: 生成海报

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录