右一:樊熙珍,甲骨文中国,中国区首席律师
右二:孙强,思科大中华区,法务总监
(本文是根据孙总、樊总在2016全球法商领袖论坛发言整理)
【以下是发言实录】
孙强:各位下午好,非常高兴能有这个机会和律师界的朋友,还有我的一些同行聚在这里,谈一个很有意思的话题。接下来,我将和樊总一起跟大家分享我们在《网络安全法》的发展过程中看到的一些问题或者趋势。
总体来讲,我国政府出台《网络安全法》的必要性是可以理解的,因为这是一个政府需要法律规范的重要领域。从趋势上讲,《网络安全法》协同其他一些相关法律,如宪法、以及最近出台的《国家安全法》等都是紧密相关的,形成一个法律环境,也是非常需要的。但《网络安全法》的发展步伐却步履艰难,它涉及到国家利益,且有很多独有的特点。
《网络安全法》涉及最前沿的网络技术或IT技术。网络技术的发展非常快,可能出现一些新的业态或是技术,对法律的适用要求产生一些新的课题。《网络安全法》以后怎么来适用,给企业提出怎样的合规要求,在今后的十几年或者几十年都会不断地发展,不会出现一个相对固定的状态。
我跟樊总将主要从合规的角度来讲一下这个问题。上图是网络/数据安全主要相关的法规,有一些是我们在日常工作当中经常应用到的,如《317号文》。下面我们将聚焦讨论《网络安全法(草案)》简称《网安法》),有请樊总。
樊熙珍:谢谢孙总。网络安全、数据安全都是非常专业的问题,甚至涉及到很多技术层面的问题。《网安法》对互联网公司、电信运营商、IT公司,甚至是其他关系到国计民生的关键行业,如金融、电力,乃至个人用户而言,都是具有里程碑意义的一部法律。
《网安法》二审稿跟一审稿比起来,有相当大的进步,不同程度地采纳了公众及业内专业人士的意见。但今天,我和孙总想提出几点《网安法》的不足之处或是我们看到的问题。
1.评测标准
《网安法》多处提到了“网络安全的认证、安全检测、评估” 等要求,我们认为需清晰评测标准,降低企业合规成本。”实际上,我们国家目前已经在实行一些认证和评估制度,比如计算机系统的一些认证制度,比如一些安全产品的评估制度等。
我最近看到一篇文章提出《网安法》出台后中国将会有六大网络安全的认证体系形成:
❶网络安全的等级保护制度。这体现在《网安法》的第20条,网络安全等级保护制度在将来可能会有更系统化的规定,应该不等同于信息系统安全等级保护制度。
❷网络关键设备和网络安全专用产品的安全认证制度。参见《网安法》第22条。
❸关键信息基础设施安全保护制度。参见《网安法》第29条。
❹国家安全审查制度。国家安全审查制度是说你在关键基础设施上所运行的、管理的这些信息,如果涉及到国家安全的,还要通过额外的安全审查。参见《网安法》第33条。
❺数据境外传输的审查制度。《网安法》规定数据的境外传输要从两方面进行审查,一方面是个人信息传输,另一方面是重要的业务数据传输。但目前对于“重要业务数据”的定义并不明确。参见《网安法》第35条。
❻关键基础设施安全年度评估制度。即每年要经过像年检一样的年度评估。参见《网安法》第36条。
我看了以后感触很深。作为企业法务人员,我们日常最主要的职能就是支持业务部门做好所有合规的工作。但在网络/数据安全方面, 单靠法务部门是不够的,还有相关技术部门、信息及数据安全管理部门、政府关系部门等,这些部门在保证公司合规方面要特别紧密地合作,才能保证公司运营符合法律法规的各项要求。
孙强:樊总刚才讲的那篇文章表明《网安法》如果今年或者明年能够出台,还有很多内容要通过这六大体系的认证或监管,这会是一个很长的过程。可以说,《网安法》对所有的商业企业要求很高,同时对法律界来讲也是非常值得关注的领域,估计过几年我们就会出现专门从事网络安全领域的律师及法界专家。
2.“网络关键设备”的定义
樊熙珍:另外,我们注意到《网安法》中的一些定义不够清晰。首先,“网络关键设备”的定义不清。它是以清单列举的形式来定义的,肯定是需要经过一些安全评测的产品才能被列入清单,而且安全评测的标准目前也是有不确定性的。
3.“网络运营者”的定义
樊熙珍:《网安法》中对“网络运营者”的定义也不够明确清楚。我没有参加立法,不知道这次的立法意图是不是想更大程度地规范互联网类公司,《网安法》提到网络运营者在运营过程中应承当的义务,其中一项义务是“用户不提供真实身份信息,网络运营者不得为其提供相关服务”。这看起来像是针对互联网公司或电信企业等。
另外还有一项规定,“网络运营者是指网络的所有者、管理者和网络服务提供者”,如按照这项规定,恐怕很多的IT公司都会被纳入网络运营者的范围,那这些IT公司是否就需要遵守上述规定呢?林律师刚才已说过,如果没有达到《网安法》的要求,有可能要承担刑事责任。
《网安法》对于“网络运营者”的定义很模糊,实施起来可能会涉及的面过宽,给企业增加过重的负担。
孙强:如果更宽泛地讲,在网络上进行销售的每家企业经营者是不是属于网络经营者?对网络经济提供服务的是不是也是网络经营者?这些都是疑问。
4.“安全可信”VS“安全可控”
孙强:《网安法》第15条规定:“要推广‘安全可信’的网络产品和服务。”其实,在相关的法律中我们已看到很多相近的词,如自主可控、安全可控,对网络产品的要求都有不同。但“可信”这个词是中国的发明,在国际上几乎没有用到。什么样的产品算是“安全可信”,也缺乏一个比较准确的定义。
《网安法》第16条规定:“为了推广安全可信的网络产品和服务,鼓励企业去做认证。”我们预期以后可能会出现一些非强制性的安全可信的认证机构,或者评估机构。这些机构可能是被官方认可的,也可能是不被官方认可的。那些带有一定权威性的、有政府背景的企业在做了认证后很有可能会被当做业内标杆。但由于标准的不明确性,可能有些企业永远也达不到认证的要求,这就容易造成不公平竞争。
我个人预计,以后会有国家的强制性认证,也可能出现很多的社会认证。社会认证等于给企业提出了很多新要求,在标准不明确的情况下,鉴于其与安全可控、安全认证的关系,要特别注意它的发展。
5.“数据本地化要求”VS“重要业务数据”
孙强:《网安法》中跟数据传输有关系的就是数据本土化的要求,刚才林彦华律师也提到了,数据要求存储在境内不是我们国家的发明,很多国家都有这样的要求。在我国,出现了一些独特的概念如“重要业务数据”,“重要”是一个很模糊的定义,范围很难界定。
在实际工作中,跨国企业,包括国际性的外国企业和已经国际化的国内企业,每天都有大量的业务数据进进出出,那么如何定义哪些是重要的,哪些是不重要的。《网安法》中规定:如果有必要向境外提供的数据,就要按照以后会有的规定进行安全评估,可能还会要求申请批准,出现资质申请或者批准的新流程。
樊熙珍:我看到“安全可信”这几个字,首先想到的是“安全可控”。如果在座的有外商投资企业的法务,尤其是IT企业的法务,你可能对刚才孙总提到的《317号文》特别熟悉。《317号文》是按照银行业监管规划,在几年内要按步骤实现银行企业的自主知识产权的比例不断提升,所以“安全可控”强调自主知识产权。
《网安法》又提出“安全可信”,就一字之差,让人很容易联想,是不是也有保护国内知识产权的倾向,有没有可能会对外商投资企业带来歧视性的待遇,因为外商投资企业的技术来源是在境外,在评估认证时可能无法满足一些本地化的要求,因为它要借鉴海外的技术力量、技术经验或技术许可等。在做认证或评估时,如果没有办法达到高级别的评估认证,那么有可能达不到《网安法》“安全可信”的要求。
孙强:是的,我认为《317号文》的推出、实施到现在实际上的暂停,体现了我国相关政府机构的心态还是比较开放的,既有推出新法规的创新,也有实施后的反馈征集,更有勇气暂停一些可能还没有成熟的法规。
比如《317号文》中提到“自主知识产权”,最早的定义是认为“自主产权是中国人拥有的知识产权”,后来出现的解释就宽泛了,基本认为只要是你合法获得的知识产权都可以算。我们预估《317号文》会继续往下推行,它有很多内容跟《网安法》直接相关。
6.“技术支持和协助”及数据留存期限的要求
樊熙珍:接下来我再聊一下技术支持和协助,及数据留存的期限。《网安法》第27条规定“网络运营者应当为公安机关、国家安全机关维护国家安全和侦查犯罪的活动提供技术支持和协助。”我觉得这个条款看起来很合理,但实际上过往几年在业内,或者国际上都有一些争议,如FBI要求苹果公司解密客户手机里的数据并进行披露时,也是以调查犯罪为由,或是要解决跟国家安全相关的问题。我们都知道苹果公司是怎么捍卫用户隐私权或信息保密方面的权利的。如果将来《网安法》出台,我们估计类似的问题也可能会出现。
另外还有“企业协助”的问题。《网安法》里只是概括地说企业有协助的义务,但协助的度如何衡量,是不是不尽这项义务就是没有遵守法律?是否需要事先通知,或征得涉及到的信息所有人的同意?我们希望立法机构在这些方面的规定能再明确和具体化一些。
孙强:是的,我们希望流程上的要求能够更具体化,因为我们很担心法律条款被宽泛地解释和应用。法律圈的朋友可能知道最近加州的一个案子,讲的是警察在现场把别人的手机拿过来查看,看完以后,还作为证据被采纳。大家知道,在美国没有批准是不能随便进入别人的住宅,但规定一般的现场搜查甚至是搜身都是可以的。那警察就可以宽泛地解释说,你的手机就在身边,属于法律规定的合法范围,不需要批准。但最终法院的观点比较清楚,它认为现场搜查权力主要是保证人身安全,手机不是手枪,警察没有权力去看其内容。
樊熙珍:对,对执法人员和执法机构留有过大执法空间,他们有可能就会滥用手中的权力,使网络运营商,或者是其他的商业及个人客户遭受信息或财产方面的损失。
7.“持续提供安全维护”义务
樊熙珍:《网安法》第21条规定“网络安全服务的提供者应该持续提供安全维护,在规定的,或者当事人约定的期间内不得终止提供安全维护。”我们认为更多时候这是一个合同约定的问题。比如客户违约,没有交费,是不是要持续给他提供服务?这也是个需要明确的问题。
以上是我们在学习《网安法》中注意到的实务当中的一些问题,希望能起到抛砖引玉的作用,谢谢!
