汇业评论

文 | 黄春林  汇业律师事务所 合伙人

2016年发布的《网络安全法》即将于今年6月1日开始正式实施。《网络安全法》是我国互联网立法历史上第一部体系完整的、由全国人大常委颁布的法律，全文七章79条，内容涵盖国家政策导向、网络安全法律原则、企业网络安全合规规范及法律责任等内容，对企业网络安全法律合规建设具有重要的影响。

本文中，我们将结合近期热点事件及监管趋势，简要介绍《网络安全法》实施后，企业网络安全合规建设的十条红线。毕竟，在网络公共安全事件面前，监管机构审查的焦点，或许不是企业的网络网络是否绝对安全，而是企业网络安全建设是否满足《网络安全法》规定的强制要求。

一、企业应当制定合规的、完善的内部网络安全制度

是否有合规的、完善的网络安全保护制度，是网络安全合规审查的首要关注点。这不仅是企业开展网络业务的前提条件，也是网络公共安全事件发生后，企业是否应当承担责任以及承担多大责任的首要考量因素。

因为，根据《网络安全法》的规定，网络安全的首要主体责任是企业，而企业落实网络安全主体责任的首要义务就是建立合规的、完善的网络安全制度体系，具体包括但不限于：网络安全及数据分级制度、网络安全定岗定责制度、网络系统及数据操作规程、个人信息保护制度、网络安全预案及应急制度、网络完全教育培训制度等。

二、企业应当落实网络安全岗位及责任人员

《网络安全法》明确规定，企业应当建立网络安全专门岗位及人员，这不仅是企业满足网络安全合规要求的体现，更是网络安全责任事件发生后如何确定相应的责任人员的重要依据，毕竟《网络安全法》规定了大量针对“网络安全直接责任人员”的处罚措施，甚至包括行业禁入。

除此了满足网络安全合规审查要求外，企业申请相应的电信业务牌照或者办理网络备案等政府性事务，也需要提供网络安全岗位、岗位职责以及人员安排等申请材料。

三、企业应当建立网络平台信息内容审查机制

企业在网络安全领域的合规风险，大部分来至于对网络平台信息内容的审查不力或监管疏漏，轻则被通报批评或罚款，重则被吊销经营资质。近段时间以内，网信办、新闻出版广电总局等先后对一批网络服务提供者作出了处罚决定，也主要是处罚网络服务提供者对平台信息内容审查不力，主体责任落实不到位。

根据《网络安全法》、《互联网信息服务管理办法》、《互联网安全保护技术措施规定》等规定，企业有义务主动发现、停止传输、报告公共网络数据中的违法信息，应当建立网络信息内容审核与过滤制度，加强对其用户发布的信息的管理与审核工作。企业违反内容过滤与审核有关规定的，根据情节给予警告、罚款、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚。

四、企业应当完善个人信息及隐私保护政策

个人信息及隐私保护，是近几年网络完全立法与执法的重中之重，也是企业网络安全合规风险的高发地。

行政监管层面，《网络安全法》、《关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》、《信息安全技术公共及商用服务信息系统个人信息保护指南》等明确规定了企业在个人信息收集、存储、使用等方面的合规要求；民事法律层面，新通过的《民法总则》首次从法律层面确定了个人信息权；此外，在刑事立法与司法实践中，个人信息与隐私保护也得到了极大的关注和重视。

因我国个人信息与隐私保护方面的法律规定较为零散，我们建议企业应当结合自身业态，全面梳理经营过程中的业务数据、个人信息与隐私保护制度及业务流程，以满足《网络安全法》实施后的合规要求。

五、企业应当健全未成年人网络安全保护制度

随着近年来未成年人网络安全事件频发，《网络安全法》制定过程中，关于未成年人网络安全保护的条款受到立法者及社会各界的广泛关注。最终正式版本中也明确加入了未成年人网络安全保护有关的条款。

此外，国家网信办近期还专门制定了《未成年人网络保护条例(送审稿)》，我国的早先制定的其他一些单行法律、法规及规范性文件（例如网络游戏、电子商务等有关的政策文件）中，较为系统的规定了网络服务提供者在向未成年人提供网络服务过程中的一些特殊合规要求。

六、企业应当建立网络用户实名验证机制

用户的注册与使用行为是企业获取网络数据的主要来源之一，但依法获取该等信息的前提条件是企业必须建立实名验证机制。

根据《网络安全法》、《关于加强网络信息保护的决定》、《互联网安全保护技术措施规定》、《网络交易管理办法》等之规定，企业为用户提供入网、信息发布等服务时，应当要求用户提供真实身份信息并核验。

根据《反恐怖主义法》之规定，电信、互联网、金融业务经营者、服务提供者未按规定对客户身份进行查验，或者对身份不明、拒绝身份查验的客户提供服务的，根据情节不同，给予责令改正，对直接负责的主管人员和其他直接责任人员处以五十万元以下罚款。

七、企业必须依法留存用户网络数据

立法者必须在个人利益保护与维持合理企业成本之间找到一个平衡点，一个典型的例子就是在用户网络数据留存制度设计上。一方面，立法者希望企业尽可能久的留存用户信息，以方便网络安全监管及未来可能的争议解决；另一方面，又担心企业长期留存并滥用用户信息，进而损害个人利益。

一个比较常见的留存期限是不少于60天，例如，根据《网络安全法》、《互联网安全保护技术措施规定》、《互联网信息服务管理办法》、《互联网电子邮件服务管理办法》、《网络出版服务管理规定》等均规定用户网络数据应当至少留存60天。但也有例外，例如《网络游戏管理暂行办法》要求不得少于180天，《网络交易管理办法》要求不得少于两年。

而相反，立法者限定了一些特定领域的网络数据留存最长期限。例如，《快递条例（征求意见稿）》明确规定，企业应当定期销毁快件运单，确保用户信息安全；《征信业管理条例》更是明确规定，征信机构对个人不良信息的保存期限为5年，超过5年的应当予以删除。

八、企业重要网络产品和服务采购应经安全审查

即将实施的《网络安全法》明确规定，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

今年5月初，网信办发布了安全审查的配套规定《网络产品和服务安全审查办法（试行）》。《办法》明确规定，将重点审查网络产品和服务的安全性、可控性，具体包括：（一）产品和服务自身的安全风险，以及被非法控制、干扰和中断运行的风险；（二）产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险；（三）产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险；（四）产品和服务提供者利用用户对产品和服务的依赖，损害网络安全和用户利益的风险；等。

九、企业个人信息和重要数据跨境转移应经安全评估

个人信息和重要数据跨境转移有关的限制，被认为是《网络安全法》的一个重要制度突破，也是对部分跨国公司影响最为重要的一条。近期，国家网信办发布《个人信息和重要数据出境安全评估办法（征求意见稿）》，首次系统规定了网络数据跨境转移相关规则。

《办法》规定，个人信息和重要数据跨境转移的前提条件是用户知悉并同意，且数据收集、存储合法合规。根据数据的性质，办法将个人信息和重要数据划分为绝对禁止跨境转移的网络数据、强制安全评估后可跨境转移的网络数据以及企业自主安全评估后可转移的数据。

其中，结合汇业律师事务所黄春林律师团队之前参加的多个企业集团网络数据安全合规审查项目，企业网络数据跨境转移自行安全审查的框架要点包括但不限于：

1.建立、完善网络数据安全制度、应急方案等，满足网络数据安全一般性要求；

2.建立、完善网络数据安全责任岗位及人员，并建立相应的安全培训机制；

3.审查、评估网络数据存储、传输设备、系统的资质条件及合规性；

4.建立、完善数据收集、使用合规体系，完善用户协议、隐私政策等文件；

5.建立、完善网络数据安全分级、分层机制，划定可以跨境转移的数据范围；

6.梳理现有业务逻辑，评估网络数据个人信息清洗的可行性及技术实现方式，以及评估网络数据跨境转移的必要性；

7.评估网络数据跨境转移技术实现方式、设备的安全性、合规性；

8.评估网络数据跨境转移接收方的资质、技术条件，审查数据转移有关的基础合同和法律文件的有效性、合规性；

9.制定网络数据泄露的应急预案及汇报机制。

十、企业并购应当开展网络安全尽职调查

越来越多的并购交易中，投资者开始逐步关注并购项目的网络安全尽职调查。通过网络安全尽职调查，能够有效的识别目标企业的网络安全法律风险，甚至能够有效的评估目标企业的IT资产、业务流程、业务规范性及未来发展可持续性等。

实践中，并购项目中的网络安全尽职调查，通常会审查企业网络安全制度文本的合规性、完备性，审查网络安全岗位及人员的配备，审查个人信息与隐私保护有关的规定及执行情况，审查网络安全产品采购、数据跨境转移等有关的政府性事务合规性等。

具体的尽职调查方法包括书面材料调查，主要人员访谈，网络安全设备检视，网络安全场地参观等。

综上，是汇业律师事务所黄春林律师根据即将实施的《网络安全法》及系列单行规定，并结合长期互联网法律服务经验，整理的企业网络安全合规建设要点，但这些绝非全部。更多详细内容，烦请查阅黄春林律师之前发表的《解读<网络安全法>二审稿五大趋势》、《九大数字解读<网络安全法>》、《企业应当建立数据安全与个人信息保护合规审查制度》、《企业网络数据安全合规审查要点汇总》、《中国网络数据跨境转移最新政策解读》、《并购中的网络安全法律尽职调查要点》等专业文章。

最后，或许任何人都能理解没有绝对安全的网络，但恐怕没有人能接受企业在网络安全合规建设方面无所作为。这就是本文关注的重点，当监管机构来敲门，我们将交上怎样的答卷？