【摘要】:大数据时代,数据意味着行业资源和商业财富,商业利益驱动着各类互联网主体收集数据并进行商业开发。2019年,与《网络安全法》配套的大量政策法规、国家标准的出台,意味着《网络安全法》的全面落地执行。与此同时,网信办、工信部、公安部、市场监管总局四部门联合发起的App整治行动,也给互联网市场主体带来了巨大的合规压力。为理清当前中国的网络安全法律监管环境及执法、司法标准,本报告拟从立法、执法、刑事司法三个维度出发,解读2019年立法热点,全面梳理网络安全法律领域的执法与司法案例,以总结执法、司法特点,对当前监管环境作出评价。
【关键词】:网络安全、立法动态、行政执法、刑事司法
目次
引言
一、立法动态
(一)网络安全统一立法
(二)行业立法概况
二、行政执法概况
(一) 2019年App整治行动
(二) 2019年行政执法概述
(三) 行政执法典型案例
三、刑事司法概况
(一)非法侵入计算机信息系统罪
(二)非法获取计算机信息系统数据罪
(三)非法控制计算机信息系统罪
(四)提供侵入、非法控制计算机信息系统程序、工具罪
(五)破坏计算机信息系统罪
(六)拒不履行网络安全信息管理义务罪
(七)非法利用信息网络罪
(八)帮助信息网络犯罪活动罪
引言
2020年开启了互联网的第二个50年历程。经过50年的发展,互联网已经成为人们生活中不可或缺的一部分。如果在搜索引擎中以“互联网”为关键词,将会出现125亿个网页。未来,互联网发展将会进入到新的阶段,而社会公众关注的也不再仅仅是互联网本身,而是互联网及其新兴技术带来的个人信息保护、网络安全、数据安全等挑战。尽管2018年被称为“数据合规元年”,但2019年网络安全配套法规的落地、执法标准的细化、标志性司法案例的增加,都标志着这一年是政府层面和社会公众对网络安全高度重视的一年。从立法维度看,2019年制定大量政策法规及其征求意见稿,以配合《网络安全法》的具体执行;从执法维度看,2019年执法领域最显著的特征即执法案例的大量增加,这也意味着《网络安全法》及配套法规的逐步落实;从司法维度看,《刑法》关于网络安全相关罪名的规定相对完善,各个罪名构成要件相对清晰。因此,笔者将对2019年网络安全立法、执法、司法特点进行分析总结,以期为数据合规作出有借鉴意义的提示。
一、立法动态
(一)网络安全统一立法
2017年出台的《网络安全法》是我国第一部全面规范网络空间安全管理问题的基础性法律,是网络空间法治建设的重要里程碑,并为后续的制度创新作出了原则性规定。2019年其配套法规进一步完善,对个人信息保护、网络安全管理、等级保护等制度均作出了具体规定。法律规则的不断细化,无疑可以有效遏制当下的数据盗用、滥用现象,促成数据活动机构加强数据采集、使用规范研究,并为最终形成社会统一的数据采集标准夯实基础。本章节将对2019年出台的网络安全相关法律法规进行梳理解读,明确规制要点;而后以金融、医疗、电子商务、电信、网约车五个与数据联系紧密且为社会各界广泛关注的行业领域为维度,对其法律环境作出概述。
1.2019年1月10日,网信办发布《区块链信息服务管理规定》,于2月15日生效。该文件旨在确立区块链信息服务备案制度:明确了区块链信息服务的内容,[1]规定了区块链信息服务提供者的边界,[2]并且详细确立了区块链信息服务提供者的各类主体责任及相应罚则。虽然《区块链信息服务管理规定》的很多内容(如用户实名制等)在其上位法《网络安全法》《互联网信息服务管理办法》等法律法规中已经存在,但该文件为我国第一次对区块链进行合规监管,建议企业根据该内容提前做好备案和合规的准备。
2.2019年3月3日,App违法违规收集使用个人信息专项治理工作组发布《App违法违规收集使用个人信息自评估指南》(以下简称“《自评估指南》”),使企业先通过自评估并进行相应整改。《自评估指南》各项基本要求主要来源于《网络安全法》《消费者权益保护法》《信息安全技术 个人信息安全规范》以及《信息安全技术 个人信息安全规范(草案)》,并在此基础上提出了进一步的细化要求。
3.2019年3月15日,市场监管总局、网信办发布《移动互联网应用程序(App)安全认证实施规则》,开展App安全认证工作。该文件明确了App安全认证的认证依据与认证流程,[3]以规范App收集、使用用户信息特别是个人信息的行为,加强个人信息安全保护。《移动互联网应用程序(App)安全认证实施规则》并未要求所有App都必须接受安全认证,仅为符合要求的App颁发认证证书和授权使用认证标志。这反映出国家对于App违法违规收集使用个人信息的治理方式趋于多样化,不仅仅是限于单一的处罚整改,而是辅以引导的方式,促进App市场良性发展,优胜劣汰。
4.2019年4月10日,公安部网络安全保卫局、北京网络行业协会、公安部第三研究所在“全国互联网安全管理服务平台”官网联合发布《互联网个人信息安全保护指南》,旨在规制“对个人信息进行控制和处理的组织或个人”。[4]《互联网个人信息安全保护指南》依照《网络安全法》对个人信息保护的规定,其细化要求参考了推荐性国家标准《信息安全技术 个人信息安全规范》。另外,《互联网个人信息安全保护指南》的管理要求、技术要求和应急处置均与《信息安全技术 网络安全等级保护基本要求》相一致,以履行保护义务、“保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”为目标,这也是《网络安全法》的明确要求。
5.2019年4月30日,国家市场监督管理总局发布《网络交易监督管理办法(征求意见稿)》,以贯彻落实《电子商务法》,完善网络交易规范制度。该意见稿可视为对电商法相关规定的重述与细化,主要对网络交易经营者管理、交易信息数据保送、交易行为规范、消费者权益保护、市场监管部门等有关事项进行规定。
6.2019年5月10日,《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护测评要求》《信息安全技术 网络安全等级保护安全设计技术要求》(以下简称“等保2.0”)正式发布,于2019年12月1日正式实施。等保2.0的正式发布和实施,无疑将极大增强国内网络安全提供商对未来市场前景的信心,对中国网络安全行业的全面发展起到积极地推动作用。等保2.0明确提出了网络安全的整体防御、内外兼修、主动防御、技管并重的防护理念,是对原等保1.0标准的全面升级,企业现有安全防护体系将需要进行整体补充和完善。等保2.0实现了对云计算、大数据、物联网、移动互联和工业控制系统等保护对象全覆盖,以及除个人及家庭自建网络之外的领域全覆盖。此外,等保2.0还增加了等级保护安全框架要求,要求企业针对等级保护对象特点建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系;增加了可信计算在内的等级保护关键技术使用要求,要求落实较高级别等级保护对象的安全建设和安全整改;对不同等级的安全保护能力要求未发生实质性变化,主要修改点在于从发现安全漏洞调整为及时发现和检测攻击行为。
7.2019年5月24日,网信办会同发改委、工信部、公安部等12个部门联合起草的《网络安全审查办法(征求意见稿)》(以下称“《网络安全审查办法》”)面向社会公开征求意见。《网络安全审查办法》配合《网络安全法》第35条规定,[5]以“网络安全审查”为核心,对审查对象、审查范围、以及审查流程均进行了清晰和细化的规定,为执法机构落实网络安全审查提供了切实指引。在我国外部网络安全形势不断严峻的背景下,《网络安全审查办法》无疑是一针有力的强心剂。
8.2019年5月28日,网信办发布《数据安全管理办法(征求意见稿)》(以下简称“《数据安全管理办法》”),在《网络安全法》项下对网络运营者应当履行的网络安全保护义务进一步规定,明确了个人信息和重要数据的收集、处理、使用和安全监督管理的相关标准,提出网络运营者以经营为目的收集重要数据或个人敏感信息,应向所在地网信部门备案,网络运营者通过网站、应用程序等产品收集个人信息,应当分别制定公开收集使用规则。《数据安全管理办法》的发布,给从事运用网络进行数据收集、存储、处理、应用的从业者提供了数据安全管理的关键要素和指南。
9.2019年6月1日,全国信息安全标准化委员会发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》。该文件以《网络安全法》第41条[6]为依据,规定了互联网应用收集个人信息的原则,以及地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易16类基本业务功能正常运行所需的个人信息。
10.2019年6月13日,网信办发布《个人信息出境安全评估办法(征求意见稿)》(以下简称“《个人信息出境安全评估办法》”),[7]《个人信息出境安全评估办法》对保障个人信息安全、规范个人信息出境依法有序的流动,具有重大的指导意义。相较于网信办在2017年4月11日发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》,《个人信息出境安全评估办法》最显著的变化在于,其衔接、响应了《数据安全管理办法》所提出的分别监管个人信息与重要数据出境的政策目标,为个人信息出境指明了安全评估需遵守的要求。《个人信息出境安全评估办法》是对我国已经出台的关于个人信息保护法律法规的进一步细化和延伸,是对个人信息出境进行安全评估的重要依据。
11.2019年6月18日,工信部会同有关部门起草《网络安全漏洞管理规定(征求意见稿)》(以下称“《网络安全漏洞管理规定》”),面向社会公开征求意见。《网络安全漏洞管理规定》第3条[8]和第6条[9]分别就网络产品、服务提供者和网络运营者和第三方组织或个人发现漏洞后该如何处理明确相关办法规定,强化网络威胁综合治理体系,为数字经济发展营造良好的网络环境。
12.2019年6月28日,工信部发布《电信和互联网行业提升网络数据安全保护能力专项行动方案》,意在督促基础电信企业和重点互联网企业强化网络数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患。方案要求2019年10月底前完成全部基础电信企业、50家重点互联网企业以及200款主流App数据安全检查,同时基本建立行业网络数据安全保障体系,深化App违法违规专项治理。
13.2019年7月22日,网信办发布《互联网信息服务严重失信主体信用信息管理办法(征求意见稿)》,以促进互联网信息服务领域信用建设,加强互联网信息服务严重失信主体信用信息管理。该意见稿中明确列举了严重失信行为的四种具体情形,并规定存在上述行为的主体将会被列入互联网信息服务严重失信主体黑名单,有效期一般为3年,将被实施限制从事互联网信息服务、网上行为限制、行业禁入等惩戒措施。对于多次发生轻微失信行为但尚未达到黑名单认定标准的相关失信主体,将被列入重点关注名单。
14.2019年8月14日,全国信息安全标准化技术委员会发布《网络关键设备和网络安全专用产品相关国家标准要求(第二版征求意见稿)》,该草案为《网络安全法》第23条[10]的细化执行规则。本文件的制定旨在为《关于发布< 网络关键设备和网络安全专用产品目录(第一批)> 的公告》确定的15类网络关键设备和网络安全专用产品的安全认证检测提供标准支持。
15.2019年8月22日,网信办出台《儿童个人信息网络保护规定》以规范收集、使用儿童个人信息等行为,保护儿童合法权益,为儿童健康成长创造良好的网上环境。[11]《儿童个人信息网络保护规定》是我国首部规定儿童个人信息网络保护的专门立法,不仅填补了法律法规体系上的空白,更通过具体化的制度设计让儿童信息保护工作更具系统性、针对性和实操性。《儿童个人信息网络保护规定》的出台,赋予儿童及其监护人更为全面、有力的权能,有望为更多儿童保护的配套制度奠定基础。
16.2019年11月1日,《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(以下简称“《关于帮助网络犯罪活动的解释》”)正式施行。两高《关于帮助网络犯罪活动的解释》明确了拒不履行网络安全管理义务罪、非法利用信息网络罪和帮助信息网络犯罪活动罪的定罪量刑标准和有关法律适用问题。值得注意的是,该司法解释明确了拒不履行信息网络安全管理义务罪的主体为“网络服务提供者”;明确了“经监管部门责令采取改正措施而拒不改正”的认定标准;明确了拒不履行网络安全管理义务罪的入罪标准等。[13]
17.2019年10月,《信息安全技术 个人信息安全规范(征求意见稿)》(以下简称“《个人信息安全规范》”)向社会公开征求意见。尽管从效力上看,《个人信息安全规范》属于国家推荐性标准,并不具有法律强制力;但从实务角度而言,已有互联网公司因“不符合《个人信息安全规范》精神”被国家网信办约谈的先例。[14]从立法趋势来看,2019年10月1日正式生效的《儿童个人信息网络保护规定》大量借鉴了《个人信息安全规范》的规定,故将《个人信息安全规范》中的规定上升至立法层面之势已初露端倪。值得注意的是,2019年10月公布的最新版征求意见稿在原规范的基础上进行了补充更新,例如:在个人信息使用方面,增加了对用户画像的使用限制、个性化展示的使用、基于不同业务目的所收集的个人信息的汇聚融合、个人信息查询等内容;在个人信息的委托处理、共享、转让、公开披露方面,明确了个人信息控制者对第三方接入管理的要求;在组织管理层面,增加了个人信息保护负责人和个人信息保护工作机构的职责内容,并且在个人信息安全工程、个人信息处理活动记录等方面对个人信息控制者提出了要求。如前面提到的,该规范虽没有法律强制力,但实践中具有重要参考价值,建议企业对其制定和实施给予密切关注。
18.2019年10月24日,国家市场监督管理总局、中国国家标准化管理委员会更新了《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》(以下简称“《App收集个人信息基本规范》”)。该文件明确了移动互联网应用收集个人信息应满足的基本要求,意味着App开发和运营者今后收集用户个人信息应严格遵守要求规定,反映出在移动互联网个人信息收集领域的监管出现细分,为今后监管的实际落地作出铺垫。与8月5日公布的版本相比,《App收集个人信息基本规范》将原有第4章的管理要求和技术要求进行合并补充;对附录A中部分服务类型所需最小必要信息进行完善,如网络支付[15]、金融借贷[16]等。《App收集个人信息基本规范》的出台意味着监管部门以对App运营者加强管理作为主要控制手段,要求网络运营者建立符合要求的合规体系。尽管该草案的细化要求是否会进一步调整仍有待观望,但对于企业合规已经足以提供指导性的改进要求。
19.2019年11月18日,网信办、文化和旅游部、国家广电总局三部门来联合印发了《网络音视频信息服务管理规定》,自2020年1月1日起正式施行。《网络音视频服务管理规定》是针对网络音视频信息服务英语的专门规定,对之前已经发布的《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《互联网文化管理暂行规定》和《互联网视听节目服务管理规定》等法律法规做出了很好的衔接和补充。该文件首次明确了管理对象,界定了“网络音视频信息服务”的含义,即包括了网络音频、网络直播、短视频、网络影视剧等所有形式的网络音视频制作、发布、传播等服务。
20.2019年11月20日,网信办发布《网络安全威胁信息发布管理办法(征求意见稿)》(以下简称“《网络安全威胁信息发布管理办法》”),该草案体现了国家层面加强对威胁信息发布的规范,以尽可能减小其负面影响的精神。需要注意的是,《网络安全威胁信息发布管理办法》并未禁止发布威胁信息,只是列明不得发布的明显容易被非法利用危害网络安全的细节内容,从业者仍然可以发布网络安全信息,但安全研究人员和厂商需要更审慎的对待威胁信息的发布,与相关主管机构加强更深入的沟通和互动,以承担起更大的责任。
21.2019年11月28日,《App违法违规收集使用个人信息认定方法》(以下简称“《App违法违规认定方法》”)正式生效。需要注意的是,《App违法违规认定方法》不具有法律强制力,对行政相对人而言不具有法定约束力,但仍然可以为众多App运营商,特别是缺乏合规支持的App运营商在进行产品服务设计时提供较为清晰的合法性审查方向。例如《网络安全法》第41条第1款规定“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”,然而对“公开”如何理解并无进一步的指引,而《App违法违规认定方法》“未公开收集使用规则”中“隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到”的约定,则为App运营商提供了可落地执行的参考依据。《App违法违规认定方法》的出台,说明网络安全空间治理不仅需要有关部门加速整改,也要求App运营商加强自律,以有助于唤起用户自我保护意识、监督App的行为,从而打造App监管共治局面。
22.2019年12月15日,网信办发布《网络信息内容生态治理规定》,并于2020年3月1 日起施行。其出台主要基于健全网络综合管理体系的要求,以网络信息内容为主要治理对象,旨在促进和打造良好的网络生态和网络空间。。该规定依据的上位法主要包括《中华人民共和国国家安全法》《中华人民共和国网络安全法》和《互联网信息服务管理办法》,对网络信息内容生产者、网络信息内容服务平台、网络信息内容服务使用者关于相关生态治理的义务和责任进行了具体规定,鼓励行业组织进行行业自律和信用体系建设,规定各级网信部门进行协调和监督管理。
23.2019年12月24日,工信部批准《5G移动通信网 核心网总体技术要求》等447项行业标准。该文件主要规定了基于SA架构的5G核心网总体技术要求,包括系统架构、高层功能特性、与4G网络互操作、网络功能服务架构等。《5G移动通信网 核心网总体技术要求》适用于基于SA架构的5GC核心网络功能,包括AMF、SMF、UPF、AUSF、NRF、NSSF等。
(二)行业立法概况
1.金融领域立法概况
近年来,互联网与金融产业深度融合,使得新兴金融产品不断涌现,金融经营模式正在发生着深刻变革,金融科技成为引领金融机构实现创新发展和转型升级的核心力量。数据已经成为金融机构最基础的生产资料,金融科技应用离不开大量数据的收集、聚合和分析,高质量数据的整合和利用已经成为金融科技创新的原动力和助推剂。与此同时,金融机构与金融科技公司通过不同渠道和方式收集的大量机构数据和个人信息,具有极大的分析和利用价值。若管理水平和防护措施不到位,导致数据丢失、损坏或者泄露,会给机构和个人带来难以估量的损失。因此,做好数据安全治理,对于维护金融稳定、保障人民权益具有极其重要的意义。
在互联网金融的第三方支付、P2P网贷、众筹、大数据金融、信息化金融机构以及互联网金融门户六大模式中,第三方支付模式因其发展时间较长,产业模式发展相对成熟,配套法律相对齐全。中国人民银行相继颁布了《非金融机构支付服务管理办法》《非金融机构支付服务管理办法的实施细则》以及《支付机构客户备付金存管办法》三项法律文件,文件中将第三方机构定性为非金融机构,并对第三方金融机构进行牌照化管理。实践中对大数据金融、信息化金融机构以及互联网金融机构的规定更多的是援引《刑法》《合同法》《公司法》《证券法》《商业银行法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《互联网信息服务管理办法》《中华人民共和国电信条例》此类或具有普遍适用性或专门针对互联网、电信、传统金融领域的法律法规。目前,针对互联网金融领域新兴业态的法律定位、监管主体、准入机制、业务运转流程监控、个人及企业的隐私保护措施以及沉淀资金及其孳息的监管处理方式等问题的法律法规仍然存在大量空白。部分实行债权转让模式的P2P网贷平台以及实行股权制的众筹平台游走在法律的灰色地带,有些甚至已经触碰了非法吸收存款、非法集资的法律底线。
2019年9月底,中国人民银行发布《关于发布金融行业标准加强移动金融客户端应用软件安全管理通知》(237号文),主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面进行了管理规范。与此同时,中国人民银行还发布《移动金融客户端应用软件安全管理规范》,对2012年出台的《中国金融移动支付客户端技术规范》相关技术标准进行了完善,其中包括将“人机交互安全”改成“身份认证安全”,增加了“不收集与所提供服务无关的个人金融信息,收集个人金融信息前需经用户明示同意,不得变相强迫用户授权,不得违反收集使用个人金融信息”等要求。2019年12月27日,中国人民银行发布关于《中国人民银行金融消费者权益保护实施办法(征求意见稿)》,在第三章消费者金融信息保护中,从消费者金融信息的全生命周期保护角度,对信息收集、披露和告知、使用、管理、存储与保密、删除与更正、跨境传输、外包服务管理等进行全链条优化,进一步强化了信息知情权和信息自主选择权。
2.医疗领域立法概况
2017年2月,《十三五全国人口健康信息化发展规划》提出大力促进健康医疗大数据应用发展,探索创新“互联网+健康医疗”服务新模式、新业态。同年,国务院办公厅发布《关于推进医疗联合体建设和发展的指导意见》,提出加强医疗联合体建设,统筹推进医联体相关医院管理、医疗服务等信息平台建设,实现电子健康档案和电子病历的连续记录和信息共享,实现医联体内诊疗信息互联互通,到2020年,形成较为完善的医联体政策体系。2018年4月,国务院办公厅印发《关于促进“互联网+医疗健康”发展的意见》,意见指出,发展“互联网+”医疗服务、公共卫生服务、家庭医生签约服务、药品供应保障服务、医疗保障结算服务、医学教育和科普服务、人工智能应用服务等,需要完善“互联网+医疗健康”支撑体系,加快实现医疗健康信息互通共享。同时国家卫健委发布的《全国医院信息化建设标准与规范(试行)》,针对目前医院信息化建设现状,对未来5年-10年全国医院信息化应用发展提出建设要求,从软硬件建设、安全保障、新兴技术应用等方面,具体规范了医院信息化建设的主要内容和要求。2018年7月12日,国家卫健委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》,以推动健康医疗大数据惠民应用、促进健康医疗大数据产业发展为目标,制定了对健康医疗大数据的系列管理制度。2018年底,国家标准化管理委员会发布《信息安全技术健康医疗数据安全指南(征求意见稿)》,其在很大程度上借鉴了美国的《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act)与ISO27799(健康信息安全国际标准)。2019年4月又发布了一版征求意见稿,在前版基础上增加了分类分级指南、安全技术指南、安全管理指南等章节,还对一些子章节的内容进行了细化,例如在典型场景数据安全一章下新增患者数据查询安全的内容。附录部分也进行了大量扩充,明确了个人健康医疗数据范围,提供了卫生信息数据集分类与标准、医院数据使用管理办法参考、数据申请审批参考等内容。《健康医疗数据安全指南》作为推荐性国家标准,不具有法律强制力。但是同样地,其作为强制性法律法规的重要补充,可作为企业现阶段的最佳实践标准,对于企业合规具有重要的参考价值。2019年12月28日,全国人民代表大会常务委员会通过《中华人民共和国基本医疗卫生与健康促进法》(以下简称“《基本医疗卫生与健康促进法》”),该法将于2020年6月1日生效。《基本医疗卫生与健康促进法》第49条第1款规定:“国家推进全民健康信息化,推动健康医疗大数据、人工智能等的应用发展,加快医疗卫生信息基础设施建设,制定健康医疗数据采集、存储、分析和应用的技术标准,运用信息技术促进优质医疗卫生资源的普及与共享。”该条虽然为原则性规定,尚无具体细则以供落实,但参考《网络安全法》生效后其配套法规的迅速完善,可以预见医疗领域的数据治理将快速跟上。
3.电子商务领域立法概况
《电子商务法》于2019年1月1日正式生效,毋庸置疑,这部对电子商务活动全面作出规定的综合性立法,在跟网络经济相关的所有立法中间起到提纲挈领的作用。电商法的范围涵盖了除去互联网金融、互联网新闻、音视频节目、出版以及文化等少数几个业态以外的所有依托网络营利的活动。电商法对电商经营和监管作出了明文规定,电子商务行为将被依法监管。电商经营者应当办理市场主体登记和税务登记,淘宝个人店也要像实体店的个体户一样办理营业执照。
在电商领域,跨境电商成为政府主导、企业竞争的热点。2019年12月24日,国务院发布《国务院关于同意在石家庄等24个城市设立跨境电子商务综合实验区的批复》,同意在石家庄、太原等24个城市设立跨境电子商务综合试验区。至此我国的跨境电商综合实验区增至59个,形成区域全面覆盖格局。同时随着试点向全国推进,各综合试验区之间的竞争也将加剧。
为规范网络交易环境,维护各方主体合法权益,促进网络交易持续健康发展,2019年4月30日,市场监管总局公布《网络交易监督管理办法(征求意见稿)》(以下简称“《网络交易监督管理办法》”)。这是《电子商务法》实施后首部针对电商监管的具体细则,针对当下电商领域存在的问题,如网络交易经营者应当全面、真实、准确、及时地披露商品或者服务信息,销售商品或者提供服务应当明码标价,不得虚构交易、编造用户评价、删除用户不利评价,不得违法搭售商品或者服务,不得滥用市场支配地位,不得限制交易、收取不合理费用等均作出了回应。可以预见政府对于电子商务模式中出现的问题将会积极寻求解决办法,使将来的电商环境更加规范。
4.电信领域法律现状
电信是如今世界经济的中枢神经系统,它是企业之间互相交流,企业与社会劳动力、供应商和顾客之间进行贸易活动的渠道。当前我国并没有一部完整的《电信法》,2000年国务院发布的《电信条例》为我国电信业最高专门行政法规。《电信条例》明确了我国电信业规制要破除垄断、鼓励竞争,确立了电信业务许可制度、资源分配制度、互联互通制度、电信资费制度,列出了电信业中垄断行为的方式及相对应承担的法律责任,明确了行业规制部门在电信业执法中的管辖权。《电信条例》在促进电信市场竞争、保护电信用户利益、引导产业发展等方面发挥了重要的推动作用,为中国电信业的改革提供基本法律保障。
2017年工信部发布《互联网域名管理办法》,落实国务院关于规范域名和网站备案管理、强化网络基础资源管理等要求。该办法的实施将直接推动国际域名通行管理规则在我国实现平稳落地和良好接轨。结合我国互联网发展现状,该办法充分适应我国域名行业快速发展的需求,明确工信部和各省通信管理局的职责分工,极大的提升了委办部门的工作效率。此外,《互联网域名管理办法》还明确规定了域名根服务器机构、注册管理机构、注册服务机构、注册代理机构等各类机构的责任,要求加强核实用户注册信息、保护用户隐私信息、保障用户合法权益等,同时强调了各类域名机构的社会责任,明确指出相关机构不得擅自篡改域名解析、不得恶意进行域名跳转等等。
5.网约车领域法律现状
2016年11月1日起正式施行的《网络预约出租车经营服务管理暂行办法》标志着网络约车合法化。该政策的出台是为更好满足社会公众多样化出行需求,促进出租汽车行业和互联网融合发展,规范网络预约出租车的经营服务行为,保障运营安全和乘客合法权益。
为更好地加强网络预约出租汽车监管信息交互平台的运行管理工作,规范数据传输,提高网约车行业监管效能,营造良好的营商环境,根据《网络预约出租汽车经营服务管理暂行办法》等相关规定,2018年2月26日,交通部印发《网络预约出租车监管信息交互平台运行管理办法》。同时,《网络预约出租车监管信息交互平台运行管理办法》的出台,明确了各省、自治区交通运输主管部门负责省级平台运行管理,并指导和监督本行政区域内的网约车监管信息交互平台运行管理工作。直辖市、设区的市级交通运输主管部门(简称城市交通运输主管部门)负责本城市的网约车监管信息交互平台使用、运行和维护管理工作。于此同时还针对网约车监管信息交互平台所接收的运营信息数据以及传输数据质量提出新的要求。
2019年5月22日,中国消费者协会在京召开促网约车安全消费座谈会。中消协要求网约车平台经营者要切实落实法定义务,依法承担保护消费者权益第一责任人的责任:要求强化入网审核,加强对车辆、司机的审核把关;强化安全管理,加强对司机的法律培训和安全教育,规范服务行为;强化合同警示,依法确定平台、司机、消费者之间的权利和义务;强化信息保护,依法收集、使用消费者个人信息;强化投诉处理,高度重视消费者投诉,严格筛查司机被诉情况,及时消除安全隐患。2019年12月28日六部门正式公布《关于修改< 网络预约出租汽车经营服务管理暂行办法> 的决定》,删去第6条第1款第3项中的“外商投资企业还应当提供外商投资企业批准证书”,并对个别文字作出相应调整。
注释:
[1]《区块链信息服务管理规定》第2条:本规定所称区块链信息服务,是指基于区块链技术或者系统,通过互联网站、应用程序等形式,向社会公众提供信息服务。
[2]《区块链信息服务管理规定》第2条:本规定所称区块链信息服务提供者,是指向社会公众提供区块链信息服务的主体或者节点,以及为区块链信息服务的主体提供技术支持的机构或者组织;本规定所称区块链信息服务使用者,是指使用区块链信息服务的组织或者个人。
[3]《移动互联网应用程序(App)安全认证实施规则》第2条:App安全认证的认证依据为GB/T 35273《信息安全技术 个人信息安全规范》及相关标准、规范。
《移动互联网应用程序(App)安全认证实施规则》第3条:App安全认证的认证模式为:技术验证+现场核查+获证后监督。
[4]《互联网信息安全保护指南》第四章管理机制对个人信息持有者在管理机制建设方面提出了明确的指导建议、第五章技术措施采取了安全管理和技术双轮驱动的技术措施、第六章业务流程细化了个人信息全生命周期动态调节的机制、第七章强调建立个人信息安全事件应急处置机制。
[5]《网络安全法》第35条:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
[6]《网络安全法》第41条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
[7]《个人信息出境安全评估办法》全文共22条,规定了个人信息出境申报评估要求、申报材料、重点评估内容、个人信息出境记录、出境合同内容及权利义务要求、安全风险及安全保障措施分析报告内容要求等内容。
[8]《网络安全漏洞管理规定》第3条:网络产品、服务提供者和网络运营者发现或获知其网络产品、服务、系统存在漏洞后,应当遵守以下规定:
(一)立即对漏洞进行验证,对相关网络产品应当在90日内采取漏洞修补或防范措施,对相关网络服务或系统应当在10日内采取漏洞修补或防范措施;
(二)需要用户或相关技术合作方采取漏洞修补或防范措施的,应当在对相关网络产品、服务、系统采取漏洞修补或防范措施后5日内,将漏洞风险及用户或相关技术合作方需采取的修补或防范措施向社会发布或通过客服等方式告知所有可能受影响的用户和相关技术合作方,提供必要的技术支持,并向工业和信息化部网络安全威胁信息共享平台报送相关漏洞情况。
[9]《网络安全漏洞管理规定》第6条:第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞消息,应当遵循必要、真实、客观、有利于防范和应对网络安全风险的原则,并遵守以下规定:
(一)不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息;
(二)不得刻意夸大漏洞的危害和风险;
(三)不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具;
(四)应当同步发布漏洞修补或防范措施。
[10]《网络安全法》第23条:网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,又具备资格的机构安全认证合格或者安全监测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全监测结果互认,避免重复认证、检测。
[11]《儿童个人信息网络保护规定》明确了儿童个人信息网络保护的正当必要、知情同意、目的明确、安全保障、依法利用五大原则;收集、使用及对外提供儿童的个人信息应征得其监护人的授权同意;设置专门的儿童信息保护规则,用户协议和专人负责儿童个人信息网络保护;向第三方转移儿童个人信息的,应当进行安全评估。
[12]“监管部门责令采取改正措施”,是指网信、电信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门,以责令整改通知书或者其他文书形式责令网络服务提供者采取改正措施。
认定“经监管部门责令采取改正措施而拒不改正”,应当综合考虑监管部门责令改正是否具有法律、行政法规依据,改正措施及期限要求是否明确、合理,网络服务提供者是否具有按照要求采取改正措施的能力等因素进行判断。
[13]致使违法信息大量传播;使用户信息泄露,造成严重后果;使影响定罪量刑的刑事案件证据灭失,情节严重;以及其他严重违反信息网络安全管理义务的情形。
[14]2018年,针对“支付宝年度账单事件”,国家网信办约谈支付宝(中国)网络技术有限公司、芝麻信用管理有限公司的有关负责人。指出支付宝、芝麻信用收集使用个人信息的方式,不符合《个人信息安全规范》国家标准的精神,违背了其签署的《个人信息保护倡议》的承诺;应严格按照网络安全法的要求,加强对支付宝平台的全面排查,进行专项整顿,切实采取有效措施,防止类似事件再次发生。
[15]网络支付App在“法律法规要求的个人信息”中,按照《支付机构反洗钱和反恐怖融资管理办法》新增“身份基本信息”为最小必要信息,具体包括国籍、性别、职业、住址、联系方式。
[16]金融借贷App在“法律法规要求的个人信息”中,按照《小额贷款公司网络小额贷款业务风险专项整治实施方案》、《个人贷款管理暂行办法》新增“偿付能力”、“贷款用途”为金融借贷类的最小必要信息。此外,将“个人征信信息”修改为“个人信用信息”。
责任编辑:郑通