1998次约谈,网安法的500天
这是我们“依法治网”系列的第二篇文章
作者 | 捞面
昨天,北京市网信办约谈了360doc个人图书馆主要负责人,认为网站疏于管理,“导致违法违规信息大量存在”,其依据则是《中华人民共和国网络安全法》(下称“网安法”)第四十七条:
网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
随后,360doc个人图书馆发布公告,将“对网站内容进行彻底清查整改”,暂停大部分服务一个月。
今年以来,网信办约谈后的整改力度可谓大大加强,从以前整改数天到一周,发展到现在“一个月”的“标配”,这一现象8月时我们已经在《网信办约谈实录》中写了(回复“约谈”可接收此文)。
在本文里,我们则着重讲讲约谈和处罚的一大重要法律来源——网安法。
图片来源自网络
网安法是什么?
《中华人民共和国网络安全法》,简称网安法,于2016年11月7日人大审议通过,2017年6月1日正式实施。
《人民日报》在网安法正式施行后一周曾刊文写道,“作为中国第一部网络安全领域的法律,这标志中国的网络安全步入有法可依的新阶段,在中国网络空间治理史上具有里程碑意义。”
事实却并非完全如此,网络安全早已有“法”可依,只是网安法位阶更高。纵观网安法内容,它并没有几分新意,多个重要内容的设计也其实早有范本并且施行多时。如网络安全等级保护制度,早在2007年公安部颁布的《信息安全等级保护管理办法》有规定,各地公安机关一直都在做监督执法工作。又比如实名制,自从2013年工信部颁布《电话用户真实身份信息登记规定》后,网络实名制就已经是既成事实。
实际例子并不止以上两个,网安法更像是一个大口袋,把以往分散在各部门的现行法例都集合在一起,再加些佐料。一些佐料则成了网安法的重点,但它们往往只有一两句话,具体怎么去实施则要看相关部门制定的配套规定。自网安法被通过以来,网信办、公安部、工信部等部门就纷纷根据网安法出台或者更新了一堆文件。
此外,网安法看似距离我们用户很远,因为条文主要针对互联网企业,但实际上最终受到影响的却是用户。
在网安法及其配套法规的要求之下,企业都会做出相应的决策,这些决策将直接对用户造成影响。包括在网络服务使用、个人信息保护等方面。
可见的例子就是,今年2月苹果iCloud数据正式迁移到国内后,有用户因为担心iCloud内容被泄露和审查,选择停用;高德地图等App则在隐私协议更新以后,以遵守相关法律法规为理由,要求用户必须同意其隐私协议方可使用软件。
网安法实施至今,刚过500天,给我们带来了下面这20条配套法规:
网安法配套立法表,制图:阿岛
我们先挑几部重要的法规来谈谈它们带来的“新气象”:
《关键信息基础设施安全保护条例(征求意见稿)》
佐料:网安法三十七条“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。”
关键信息基础设施这个词并非第一次出现,早在2016年6月,网信办就曾向各地政府下发《关于开展关键信息基础设施网络安全检查的通知》要求各地政府部门、事业单位进行自查,并出了一份《国家网络安全检查操作指南》,其中写道:“关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。”
但此次的自查仅局限于政府部门及事业单位(包括外包公司)。
网安法对关键信息基础设施没有明确定义,只是宽泛写道:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”。
《关键信息基础设施安全保护条例(征求意见稿)》(下称条例)则对此进行了定义,但同样相当宽泛:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。
条例写明,之后会由国家网信部门会同国务院电信主管部门、公安部门一起制定关键信息基础设施识别指南。
至于“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”这一条,则一字未改地放在了条例里。
这一点,在网安法征求意见阶段便已引起争议,它对在境外服务器存储数据的企业影响颇大,尤其是跨国企业,更不要说因此而带来的数据泄露、审查风险。网信办在网安法施行前夕答记者问时则回应“不是要限制国外企业、技术、产品进入中国市场,不是要限制数据依法有序自由流动”。
与此形成强烈对比的是,根据2016年3月1日开始实施的《电信业务分类目录(2015年版)》规定,境内的服务器作为数据中心基础设施,其运营主体必须是中资企业。工信部官员张建华在2017可信云大会上就曾表示,“IDC(数据中心)业务原则上是未对外资开放”,“我们欢迎各外资的云服务巨头以技术合作的方式参与我国的云服务市场”。
如果你觉得上面的内容太抽象,那么苹果公司则做了很好的示范。在网安法实施一个月后的2017年7月12日,苹果宣布将在贵州建立一个数据中心以存储内地用户的iCloud数据,并交由当地的一家国有企业——云上贵州进行运营,苹果提供技术支持。
在此之前,苹果的iCloud数据一直存储在美国服务器上。2018年2月28日,大陆用户的iCloud数据正式移交云上贵州。
苹果iCloud数据中心的奠基仪式,图片来源:新华网
当外界开始质疑其用户数据安全的时候,苹果则也在发布的声明中强调,“Apple拥有强大的数据隐私和安全保护机制,并且不会在我们的任何系统中创建后门。”
此外,亚马逊旗下的服务器也已交由两家中国公司进行运营。
《互联网新闻信息管理服务规定》
佐料:“对用户开设公众账号的,互联网新闻信息服务提供者应当审核其账号信息、服务资质、服务范围等信息”。
《互联网新闻信息管理服务规定》上一版本于2005年发布,关于新版改动的背景,网信办就新规答记者问时回应,是基于“微博、微信、客户端等出现和普及,改变了原《规定》主要立足于‘门户网站’时代的制定背景”。
对比两个版本, 我们可以发现,部分媒体关心的互联网新闻信息的定义其实一直没有变,还是“本规定所称新闻信息,包括有关政治、经济、军事、外交等社会公共事务的报道、评论,以及有关社会突发事件的报道、评论”。
只不过它对于互联网新闻信息形式的描述更符合今天的情况,丰富成“通过互联网站、应用程序、论坛、博客、微博客、公众账号、即时通信工具、网络直播等形式向社会公众提供互联网新闻信息服务”。
好奇心日报整改公告
当然,规定中最重要的还是采编权只归于新闻单位(含其控股的单位)或新闻宣传部门主管的单位这一点,这在新旧两个版本中都是一脉相承的,只是表达形式不一样。
新规把提供互联网新闻信息服务的资质分为三类:采编发布服务、转载服务、传播平台服务。新闻单位(含其控股的单位)或新闻宣传部门主管的单位三类均可申请。非新闻单位则只能申请转载服务和传播平台服务。
这也是好奇心日报会被约谈整改的原因之一:存在组建“新闻采编团队”、违规自采和转载新闻信息等违规行为。
对于传播平台如微信公众号上开设公众账号的,规定也写明“对用户开设公众账号的,互联网新闻信息服务提供者应当审核其账号信息、服务资质、服务范围等信息”。
这一条则意味着,如果你的公众账号并非由拥有采编发布服务资质的“新闻单位(含其控股的单位)或新闻宣传部门主管的单位”建立,却又提供互联网新闻信息的采编发布服务,则违反上述规定。简单来说,就是公众账号不允许发布对社会公共事务以及社会突发事件的报道及评论,这也是那么多“追热点”的文章被404的原因之一。
《互联网新闻信息管理服务规定》的重要性不低,在网信办公布的工作总结中,《互联网新闻信息管理服务规定》频繁出现,且总是紧随网安法之后。在违规情况说明里,除了独立成章的“传播危害国家安全信息”外,“违规从事互联网新闻信息服务”也被放在了色情、赌博、侵权之前,可见在网络执法者眼中,违规从事网络新闻信息的危险要高于黄赌和侵权。
《信息安全技术个人信息安全规范》
佐料:网安法四十一条“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。
网安法中关于个人信息保护的部分被许多人视为个人隐私保护立法的一大进步。
在网安法生效一个多月后,网信办就联合多部门开展了隐私条款专项工作,对第一批包括微信、新浪微博、淘宝、京东商城在内的10家App隐私条款进行评审。随后,这十款App均对自己的隐私协议进行了不同程度的更新。到了9月,评审结果出台,工作组表示这十款App在改进之后“均做到明示其收集、使用个人信息的规则,并征求用户的明确授权”。然后这十个App就“开开心心”发起并签署了《个人信息保护倡议书》。
十家参与评审的app所在的互联网企业共同发起并签署了《个人信息保护倡议书》,图片来源:中国网信网
《信息安全技术个人信息安全规范》由全国信息安全标准化技术委员会于2017年12月29日发布,并于2018年5月1日正式实施,被作为国家推荐标准。
2018年1月6日,支付宝因为“年度账单事件”被网信办约谈,并被指:不符合上述规范的国家标准的精神,违背了其前不久签署的《个人信息保护倡议》的承诺。
网安法的个人隐私保护规定落实的程度有多高,作为国家推荐标准出台的安全规范又能起到多大作用?南都个人信息保护研究中心在网安法实施四百天之际,抽查了公众常用的100款App的隐私政策合规状况,再与网安法刚实施时的抽查结果做对比。
结果发现,隐私政策透明度高与较高的数量确实比去年增长超过10%。但同时,总体占比仍然不到20%。与此形成强烈对比的是,占比达72%的App测评透明度为较低和低。
今年5月,被媒体形容为“最严个人隐私保护法”的欧盟《通用数据保护条例》(GDPR》正式生效。GDPR除了隐私条款要求严格外,更让企业恐慌的是它的处罚力度,根据国际隐私专业人士协会的分析,其最高罚款可达2000万欧元或企业年营业额的4%(以最高为准)。据网站“The Verge”报道,在GDPR生效当天,网络隐私维权人士马克斯·施雷姆斯就已经向谷歌与脸书发起诉讼,指其强制用户分享个人数据,这两起诉讼涉及的罚款可能高达37亿欧元和39亿欧元。
反观我们的网安法,看起来相关处罚也不低。违法企业可能被没收违法所得以及处违法所得一倍以上十倍以下的罚款,没有违法所得的,则处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
不过截止发稿,我们尚未在公开资料中找到有罚款的例子。仅有的”支付宝年度账单事件”,网信办也只是约谈,责令改正。
2018年8月31日,全国信息安全标准化技术委员会发布新闻稿表示,正式启动2018年隐私条款专项工作,将“选取与民众日常生活紧密相关、具有较大用户数量的出行旅游类、生活服务类、影视娱乐类、工具资讯类和网络支付类5类30款网络产品”进行隐私条款评审。
结果如何,我们拭目以待。
勤劳的网信办
在谈《网络安全法》的时候,网信办不得不提,作为网安法第八条规定的负责“统筹协调”与“监督管理”的机构,它在这一年多的工作,在一定程度上反映了网安法的成效。
网信办基本每个季度都会出一个全国网信行政执法总结,其中的内容分为几部分:总的工作成果;关闭的违规网站;处理的有影响力的案件;约谈与处罚;规范化建设。下面是网信办的工作“成果”:
2017年第三季度:约谈网站798家,取消许可或备案、关闭3131家,关闭账号及群组50万余个。
2017年第四季度:约谈网站440家,取消许可或备案、关闭14306家,关闭账号及群组47万余个。(注:由于2017第四季度的工作报告无资料,第四季度的数据由网信办2017年年度工作报告减去一、二、三季度的统计得出)
2018年第一季度:约谈网站314家,取消许可或备案、关闭1194家,关闭账号及群组58万余个。
2018年第二季度:约谈网站446家,取消许可或备案、关闭1888家,关闭账号及群组72万余个。
也就是说,从网安法实施之后的2017三季度到2018二季度这一年间,网信办一共约谈了网站1998次,关闭网站20519家,关闭账号及群组227万余个。
这只是网信办的数据,除此之外,写在网安法上的执行机构就还有工信部及公安部门。
网安法也有“一带一路”
讲完国内,还有国外。
网信办在网安法实施前夕答记者问时曾表示“借鉴国际通行做法,根据本国国情,制定相关法律、行政法规,并依法对网络进行管理,完全是各国主权范围内的事情”。
越南似乎表示很同意。
今年6月12日,越南国会以90%左右的票数通过了一项网络安全法案,该法案要求企业把“重要”数据存储在越南境内,并在当地设立办事处。同时,法案禁止公众在网络发布反政府言论:包括鼓动反政府活动、歪曲历史、扭曲越南革命成就、破坏民族团结、虚假信息等。在有关网络安全部门要求删除违规信息的情况下,企业必须在24小时内删除。
越南媒体越通社撰文称“《网络安全法》成为保护人民的工具”,并指出“用户数据已被用于政治阴谋或违法行为”,采访专家则表示,要求企业数据存储境内“符合于越南法律和国际惯例,并不违反越南所加入的任何条约,也不妨碍企业的运作”。
越南民众反对网络安全法的活动,图片来源自彭博社
根据越南媒体VietnamNet报道,因为越南政府的要求,2017年里Facebook删除了159个账户,Youtube则删除了4500个账户,这个数字在2019年1月1日越南网络安全法案生效后有可能激增。
不过,截止目前为止,谷歌及Facebook均没有宣布在越南设立存储数据服务器的计划。路透社本月10号报道称,越南政府正在准备严格执行该国网络安全法中要求跨国企业关于数据存储的规定。
To be continued
不过,这五百天以来,网安法中最受关注的第五十八条,并未有公开的执行事例。
它的内容是这样的:“因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。”