《网络安全法》下的合规风险管理

自2017年6月1日《网络安全法》实施以来，相关主管部门陆续发布了一系列补充实施细则。为了帮助企业更好地理解这些规则下的合规义务，我们分析了《网络安全法》的法律框架，并提出一些实用建议。

适用主体。在中国境内的任何“建设、运营、维护和使用网络”的企业均应遵守《网络安全法》。具体而言，《网络安全法》适用于“网络运营者”，涵盖“网络的所有者、管理者和网络服务提供者”。在所有这些网络运营者中，有一些被称为“关键信息基础设施的运营者”（CIIO）。CIIO是指与公共服务和民生有关的网络运营者。网络产品和服务的提供商以及使用交互式信息系统进行通信的任何个人、企业和社会组织也应遵守《网络安全法》。

具体的合规义务。《网络安全法》旨在实现两个层面的保护。为了保护社会公共利益，网络运营者应当建立健全的网络运行体系，并制定网络安全事件应急预案；为了保护用户隐私，网络运营者应建立相应的系统，对收集到的用户信息保密。

（1）网络安全保护方案。通常，《网络安全法》要求网络运营者按照多级保护方案（MLPS）的标准采取行动，以保护网络安全。

该方案的“多级”意味着根据网络攻击的潜在后果，网络运营者的安全保护义务有不同的等级。在这方面，应引起注意的是《信息安全技术网络安全等级保护基本要求》。企业应根据其适用的义务等级来制定内部保护系统。

除了不同程度的义务外，为了处理紧急的网络安全事件，《网络安全法》还要求网络运营者针对此类事件制定网络安全事件应急预案。根据中国国家互联网信息办公室于2017年1月10日发布的《国家网络安全事件应急预案》，在制定应急预案时，适用企业应指定紧急情况发生时的主要责任人、通知机制、补救措施及其他细节。紧急情况。此类事件也应尽快报告给当地互联网信息管理部门，以便有关部门可以迅速启动应急响应。

（2）用户信息保密规则和规定。《网络安全法》的另一个任务是建立保护用户信息的机密系统，以规范使用企业收集此类信息。适用企业应当主动侦测用户发布的违法信息，并及时采取措施删除和举报此类信息。企业应明确说明信息收集和使用的目的、方法和范围。企业收集个人信息时，应征得本人的同意。此外，企业收集的个人信息必须与要提供的服务有关。

《网络安全法》列出了“个人信息”的不完全列表。确定信息是否为个人信息的关键是评估这些信息是否能够单独或者与其他信息结合识别出自然人“个人身份”。实际上，一些企业在用户使用服务时收集诸如时间和用户位置之类的信息，该信息可以与其他信息结合在一起以识别用户的“个人身份”。这种组合可能属于“个人信息”的范围。

（3）跨境数据安全评估。《网络安全法》第三十七条要求，关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要、确需向境外传输这类信息时，应当提前进行安全评估。

这对中国的适用企业施加了严格的数据合规性要求。此外，《个人信息出境安全评估办法（征求意见稿）》（下称《评估方法》）于2019年6月13日发布，尤其侧重于个人信息出境。

建议。（1）《网络安全法》和《评估办法》对国内外企业是否一视同仁？是的，不对外国实体施加任何其他义务。但是，由于外国实体更有可能参与信息的跨境流动，因此有必要建立数据转移合规系统。

（2）被归类为网络运营者的企业是否必须履行“数据境内存储”义务？这视情况而定。首先，可以肯定的是，网络安全第三十七条规定的关键信息基础设施的运营者承担“数据境内存储”义务。其次，《评估办法》要求对所有以任何形式向海外提供在华运营期间收集的个人信息的网络运营者进行安全评估。从理论上讲，这些网络运营者需要事先获得省地网信部门的批准。尽管该措施尚未生效，但相关企业应将这些措施视为处理个人数据的指导细则，进行相关的可行性研究，并为合规做好准备。

（3）外商投资企业（FIE）是否需要报告偶尔的跨境数据传输？对于在华非网络运营者的外商投资企业，如果要传输的个人信息的范围和主题有限，且外商投资企业已经评估了与数据传输有关的所有情况，并提供了适当的措施保护个人数据，那么目前看来，没有必要根据《评估办法》进行申报。

对于在中国境内被认定为关键信息基础设施的运营者的外商投资企业（如外资银行），如果将在中国境内收集的个人信息转移到海外，则应按《评估办法》进行评估。外商投资企业应密切注意这方面的法规更新。

作者：锦天城律师事务所高级合伙人史军、律师冯欣