《网络安全法(草案)》关键条款概览
2015年7月6日,中国公布了《网络安全法(草案)》,向社会公开征求意见。该草案适用于在中国境内的网络建设、运营、维护和使用,以及网络安全的监督和管理。虽然其中提出的太多规定可以在此进行详解,但其主要条款总体上把保护用户免遭任何潜在数据泄露的责任重担,包括:
• 要求网络产品与服务企业在收集用户信息时获得同意,对所获信息进行严格保密,并提供持续的安全维护。还有一条规定,要求关键信息基础设施的运营者将公民个人信息及其他重要数据存储在中国大陆境内。出于业务需要需将数据存储或发送到海外的运营商必须接受安全评估。对于希望扩大在华业务的公司,或者那些早已通过位于中国境外的服务器开展跨国业务的企业而言,这条规定或将带来寒蝉效应。
• 要求网络运营商建立网络安全事件应急预案,并在遭到攻击的情况下,向政府部门报告。目前,行政法规只要求特定的公共部门建立网络安全事件应急预案。根据新规,相关企业甚至要接受更严格的监管(例如,强制性的定期培训和评估),涉及领域包公共通信、广播电视、能源、交通、水利、金融、供电、供水、供气、医疗卫生、社会保障、军事网络、市级及以上国家机关的政务网络、用户数量众多的网络服务提供者所有或者管理的网络和系统。
• 授权国家网络管理相关部门收集、分析和通报网络安全信息;统一发布网络安全监测预警信息;协调网络安全应急机制;制定应急预案,并定期组织演练。
中国新规与美国标准之比较
相比之下,美国没有广泛的法律规定,要求制定事件应急预案,虽然有些联邦法律——如《金融服务现代化法》(Gramm-Leach-Bliley Act)——要求保障某些行业的客户信息或是某些类型的信息。
有些州也有数据保护的法律。一些经营在线业务的企业确实制定了应急预案,而这与法律环境有密切的关系,后者包括私人民事诉讼、监管执法(包括美国联邦贸易委员会(US Federal Trade Commission)和州检察长办公室),甚至还包括要求被保险人进行安全风险控制的网络风险保险(目前,很少中国企业有网络风险保险,这在中国仍是相对新鲜的事物)。
在美国,事件应急预案会规定根据事件(包括任何数据丢失)严重性灵活执行的任务。政府机构、行业协会与公司一起进行“桌面演练”,以测试发生数据泄露时的事件应急预案,是很常见的。在桌面演练中,协调人一般会为参与者描绘一个假设的数据泄露场景,并鼓励小组讨论以确定必要的行动、决定以及吸取的教训。
当一家公司实施演练时,可能涉及管理、法律、信息技术、合规、人力资源及公共事务等部门。演练不仅测试对信息泄露的实际技术应对,还会测试公司以适当的方式通知监管和执法机构以及准备应对潜在诉讼的能力。
在美国,公共机构和私营机构都可以收集和公告威胁信息。私人安全公司已经在向害怕数据泄露的企业提供威胁评估工具。联邦政府鼓励互联网行业与政府合作,交换威胁数据,包括通过众多的行业信息共享与分析中心,后者都是推动政府与行业间威胁数据共享的非营利组织。
结论
随着中国寻求建立以法规为基础的网络活动监管机制,未来很可能需要进一步的讨论和争辩。