《网络安全法》下企业的网络安全与数据合规责任义务大体分为四大方面:网络运行安全、关键信息基础设施保护、网络信息保护与合规与数据出境合规。
一、网络运行安全
1. 落实网络安全等级保护义务,保障企业网路运行安全。尽管法律没有强制性要求,出于技术能力等因素考虑,企业宜聘请有资质的专业评测机构协助实施。
2. 网络产品、服务以及网络关键设备和网络安全专用产品应当符合国家标准的强制性要求。
3. 落实网络实名制要求。为用户办理网络接入、域名注册服务,固定电话、移动电话等入网手续,或者提供信息发布、即时通讯等服务时,应当要求用户提供真实身份并核实,否则不得为其提供服务。
4. 制定应急预案。根据预案及时处置安全风险并按照规定向有关主管部门报告。
5. 不得擅自发布网络公共安全信息。开展安全认证、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息应当遵守国家规定。
6. 禁止危害网络安全以及帮助他人危害网络安全。
二、关键信息基础设施保护[1]
对于公共通信和信息服务等7个重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,国家在网络安全等级保护制度的基础上实行重点保护。关键信息基础设施运营者(下称“关基单位”或“CIIO”)的五个方面的特殊责任与义务为:
1. 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施规划、建设、使用“三同步”。
2. 在网络安全等级保护基础上,在责任主体界定、从业人员教育培训、容灾备份、应急预案等方面履行特别保护义务。
3. 采购网络产品和服务履行国家安全审查义务,并与提供者签订安全保密协议。
4. 重要数据和个人信息境内存储,出境应当安全评估。
5. 建立健全安全评测制度,定期检测评估。
三、网络信息保护与合规
这一领域的义务包括网上信息保护与合规与个人信息保护。
(一) 网上信息保护与合规
1. 管理用户发布信息的义务。发现法律、行政法规禁止发布或者传输的信息,应当立即停止传输,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
2. 电子信息发送服务提供者和应用软件下载服务提供者,管理用户发送的电子信息、提供的应用软件的义务。发现设置恶意程序,含有法律、行政法规禁止发布或者传输的信息,应当立即停止传输,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
3. 建立网络信息安全投诉、举报制度的义务。公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
(二) 个人信息保护
1. 收集、使用个人信息应当遵循合法、正当、必要的原则。公开收集、使用规则,明示收集、使用目的、方式和范围,并经被收集者同意。
2. 处理个人信息应当遵守法律法规和双方约定。不得泄露、篡改、毁损;未经被收集者同意,不得向他人提供,脱敏信息除外。
3. 建立健全用户信息保护制度。采取技术措施和其他必要措施,确保收集的个人信息安全。
4. 将收集的个人信息向境外提供的,应当明确告知个人信息主体并获得同意,并进行安全评估。
5. 应个人信息主体要求删除或者更正个人信息。
四、数据出境合规[2]
1. 在中华人民共和国境内收集的个人信息和重要数据向境外提供的应当进行安全评估。
2. 对个人信息向境外提供的,应当告知个人信息主体并获得同意。
3. 在数据出境前应当进行自评估,且每年对数据出境情况进行一次评估。
4. 符合条件的应当提请主管部门评估。
5. 存在以下情况之一的,数据不得出境:
(1) 个人信息出境未经个人信息主体同意,或可能侵害个人利益;
(2) 数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;
(3) 其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
(4) 不符合国家法律、行政法规、部门规章等有关规定的,不具备合法性不得出境。
另外,企业在经营中还须注意与《网络安全法》相关领域的义务,如:网络构架合规、增值电信业务许可与备案、互联网群组信息服务提供者义务等。