中國加強對網絡安全的監控

自從斯諾登指控美國情報部門利用美國自身的科技窺探外國政府的秘密後,網絡安全在過去一年成為了全球的熱議話題,而中國對此尤為重視,並迅即採取了相應行動。今年7月,全國人民代表大會常務委員會在6天之內公佈了兩項相關法規:第一項是《國家安全法》﹔第二項是稍後於2015年7月6日公佈的《中華人民共和國網絡安全法(草案)》(以下簡稱《法律草案》),向社會公開徵求意見。

雖然中國曾經頒佈了與電信網絡及互聯網安全等有關的規則,但只有在《國家安全法》(於2015年7月1日通過)公佈後,網絡安全才成為國家安全的核心關注點。其後公佈的《法律草案》,旨在就中國可能面臨的網絡攻擊作出應對,以免遭到網絡上的威脅或攻擊,並積極捍衛其網絡主權。本文論述《法律草案》的梗概,其各項主要規定,以及它對中國網絡監管所產生的重要影響。

梗概

《法律草案》廣泛地適用於在中國境內建造、運營、維護及使用網絡的個人或組織,以及負責監督與監測網絡安全的任何人士。《法律草案》對網絡運營者在安全運營方面作出了各種規定,特別是在關鍵信息基礎設施的安全運營與網絡數據的安全性等方面。

網絡運營者及其所需履行的義務

網絡運營者的定義非常廣泛,它包括:網絡的所有者、管理者,以及利用他人所擁有或者所管理的網絡來提供相關服務的網絡服務提供者,並包括基礎電信運營商、網絡信息服務提供者,以及重要信息系統運營者等。所有此等個人或組織,現在都必須遵守下述與網絡安全有關的嚴格義務:

  • 建立內部網絡安全系統及採取技術措施,以防範計算機病毒及網絡入侵、網絡攻擊等危害網絡安全的行為。
  • 只購買符合相關國家標準及行業標準的網絡產品或服務。網絡運營者如果發現網絡產品或服務存在任何安全漏洞或其他風險,便必須立即採取相應行動,並及時通知受影響的用戶。
  • 用戶如申請辦理網絡接入、功能變數名稱註冊服務、固定電話線安裝、行動電話服務、網絡信息發佈服務等,網絡運營者應當要求用戶提供真實身份信息。用戶如拒絕提供其真實身份信息,網絡運營者不得為其提供相關服務。
  • 制訂應急制度及應急預案。根據《法律草案》,在發生涉及公共安全的緊急事件時,經國務院之批准,國務院及省級政府可對互聯網通信作出限制。

此外,《法律草案》規定,「網絡關鍵設備」及「網絡安全專用產品」必須符合適用的安全標準,而在推出市場銷售前,必須由具備資格的安全認證機構進行認證或安全檢測,並符合有關規定。根據《法律草案》,「國家網信部門」(指「國家互聯網信息辦公室」(CAC))將會與中國其他監管機構共同制定和公佈「網絡關鍵設備」及「網絡安全專用產品」目錄,以供作認證之用。

運營商的關鍵信息基礎設施及其所需履行的義務

《法律草案》引入了「關鍵信息基礎設施」這一新概念,它的定義是指:

  • 提供公共通信、廣播電視傳輸等服務的基礎信息網絡﹔及
  • 作為以下各方面的重要信息系統:
    • 能源、交通、水利、金融等重要行業﹔
    • 供電、供水、供氣、醫療衛生、社會保障等公共服務領域﹔
    • 軍事網絡和政務網絡﹔及
    • 「用戶數量眾多」的網絡和系統。

然而,《法律草案》並沒有言明「用戶數量眾多」一詞的意思,故該詞的含義是否包括例如由在中國擁有龐大員工的大型企業所組成的網絡,這還有待當局作出進一步的澄清。此外,擁有龐大用戶數量的社交網絡服務、即時訊息服務及雲計算服務等也有可能包括在內。

根據《法律草案》,關鍵信息基礎設施的運營者也必須遵守以下的嚴格義務:

  • 關鍵信息基礎設施的運營者如採購網絡產品和服務,應當與提供者簽訂安全保密協定。
  • 關鍵信息基礎設施的運營者所採購的網絡產品和服務,如果有可能影響國家安全的,便必須通過國家網信部門會同國務院有關部門所進行的安全審查。
  • 關鍵信息基礎設施的運營者應當在中華人民共和國境內存儲其在運營中收集和產生的重要數據(例如公民個人信息)。如果企業因業務緣故,確有需要在境外存儲或者向境外的個人或組織提供該等數據的,便必須按照國家網信部門會同其他政府部門所制定的辦法,對該等數據進行安全評估。

此外,什麼類型的「網絡產品及服務」會對國家安全構成影響,《法律草案》 對此是語焉不詳。此外,中國有關當局亦需要澄清「重要數據」一詞是否僅包括個人信息,抑或還包括運營商所收集的其他信息類別。

網絡數據安全

「網絡數據」一詞是指通過網絡而收集、存儲、傳輸、處理和產生的各種電子數據。網絡數據包括個人身份信息,是指以電子或者其他方式記錄的公民的姓名、出生日期、身份證件號碼、職業、住址、電話號碼、個人生物識別信息,以及其他能夠單獨或者與其他信息結合,從而識別公民個人身份的各種信息。中國法律是首次將生物識別信息包括在內,作為一種獨立個人身份信息,但《法律草案》並沒有說明什麼構成個人生物識別信息,故這一點仍有待進一步的澄清。

網絡運營者在個人身份信息方面需要遵守的主要規定如下:

  • 網絡運營者必須明確披露收集個人身份信息的目的、方式和範圍。此外,使用個人身份信息,必須經被收集者同意。
  • 網絡運營者不得收集與其提供的服務無關的個人信息,也不得使用或收集在其與任何人士約定的範圍以外的該名人士的個人信息。
  • 任何人士如發現網絡運營者收集、使用其個人信息,違反法律之規定或是其與網絡運營者之約定的,他有權要求網絡運營者刪除其個人信息,及要求網絡運營者予以更正。
  • 任何個人和組織不得竊取或者以其他非法方式獲取公民個人信息,也不得出售或者非法向他人提供任何公民個人信息。

儘管已制定上述保護個人信息之規定,但除其他現行有效的法規外,《法律草案》亦訂明,為維護國家安全和偵查犯罪的需要,政府有權要求網絡運營者提供必要的支持與協助。這意味著,網絡運營者必須向政府提供用戶的個人身份信息,故公民在這方面將無法享有個人資料私隱權利。

結語

假如《法律草案》能夠按現行方式獲得通過,這將會對中國的電信及資訊科技企業,以及對在華經商或擁有業務權益的跨國企業產生重大影響。然而,與大多數立法草案的情況一樣,《法律草案》若要按正常標準獲得通過,便需要在若干項目上作出澄清,並顯示更大的透明度。

《法律草案》其中一些值得特別關注的情況包括:

  • 《法律草案》中的許多規定並非新訂立的,而是取材自中國其中一些已實施的法規,主要為部門規章及司法解釋。中國現時就網絡安全問題,頒佈了這一項獨立及涵蓋範圍廣闊的全國性法律,顯示中國政府高度關注網絡安全問題,並對其實施全國性的維護。
  • 《法律草案》 顯示,「國家互聯網信息辦公室」的地位得到提升,成為一個管理及監督全國互聯網運作的政府機構。「國家互聯網信息辦公室」於2011年成立,負責執行由習近平主席領導的「中共中央網絡安全和信息化領導小組辦公室」所制定的互聯網政策,而政府中的其他互聯網監管機構(例如﹕工業和信息化部、國家新聞出版廣播電影電視總局、公安部等部門)所發揮的作用,可能會在「國家互聯網信息辦公室」之下,但該等部門未來如何行使其關於互聯網的管轄權,目前還不大清楚。因此,在《法律草案》的頒佈與實施初期(假定它已按現行形式獲得通過),很可能會令業內人士在一時之間感到無所適從。
  • 關於關鍵網絡設備及網絡安全產品方面的認證規定,也很可能會令外國供應商感到難以遵循。
  • 《法律草案》的其中一項主要規定,是關鍵信息基礎設施的運營者必須在中華人民共和國境內存儲其在運營中所收集的重要數據。這對於在運行其服務的過程中,經常需要跨境傳輸數據的國際企業來說,也許會面對運營上的挑戰。此外,為進行此等跨境數據傳輸而需要進行的安全程度評估,也會為業務的經營帶來額外成本及時間上的遲延。

寶維斯律師事務所合夥人