作者：万方，智善法律新媒体特约作者，湖北得伟君尚（湖北自贸区武汉片区）律所律师

《中华人民共和国网络安全法》于2017年6月1日起正式开始实施，作为我国的网络安全基本法，《网络安全法》在“没有网络安全就没有国家安全，没有信息化就没有现代化”的强音下颁布实施，是网络安全领域“依法治国”的重要体现，对保障我国网络安全有着重大意义。

《网络安全法》全文共7章79条，包括：总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任以及附则。其中第二章网络安全支持与促进和第五章监测预警与应急处置主要涉及国家机关的法定权责，而对于企业的责任和义务则集中规定在第三章和第四章从第21条到第50条的30个法条中，经过梳理后，可以将其分为网络运行安全保护、个人信息保护、协助和报告等三类责任，下文将对此逐一进行解读分析。

一、网络运行安全保护责任

网络运行安全保护是企业在网络安全法下的核心责任，在《网络安全法》第三章做了集中规定，并且根据主体的差异，对一般性主体做出了一般规定，而对关键信息基础设施的运营者做出了特别规定。

（一）一般规定

对于一般性主体的网络运行安全保护责任，可以分为以下六个方面：

1.安全等级保护制度

网络安全法第21条对于网络运营者应落实网络安全等级保护制度，履行具体安全保护义务做出了较详尽的规定，同时在第59条中明确了相应的法律责任，包括责令整改、警告及罚款等。具体来说，除兜底条款外，还有4项主要义务，包括：1）制定内部安全管理制度和操作规程，确定网络安全负责人；2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；3）采取监测、记录网络运行状态、网络安全事件的技术措施，并留存相关的网络日志不少于六个月；4）采取数据分类、重要数据备份和加密。

2.实名制

网络安全法第24条第1款规定了“网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。”这也就是我们日常所说的实名制要求，企业违反本条规定的，主管部门可视情节不同，依照网络安全法第61条予以处罚，处罚方式包括责令整改、罚款、吊销营业执照等。今年8月和9月，Boss直聘和阿里云就均因未落实用户实名制分别受到北京市网信办和广东省通信管理局的处罚。

3.网络安全事件应急预案及安全风险处置

对网络运营者而言，当发生网络安全事件时，如果有可供执行应急预案，并能够积极处置安全风险，那么可能就会很大程度地降低网络安全事件造成的损害，因而网络安全法第25条明确了网络运营者应当制定网络安全事件应急预案，并且需要及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。企业违反前述规定的，主管部门将依据网络安全法第59条1款进行处罚，处罚方式包括责令整改、警告及罚款等。

4.持续安全维护

网络产品和服务提供者就其提供的产品和服务进行持续安全维护，原本属于提供者和购买者之间的合同义务，但网络安全法第22条第2款基于保障网络运行安全的角度考虑，将这一义务法定化，要求网络产品、服务的提供者应当为其产品、服务持续提供安全维护，并在法律规定或者当事人约定的期限内，不得终止提供安全维护。同时还在第60条中设定了具体的法律责任，包括警告和罚款等。

5.禁止设置恶意程序

鉴于网络产品和服务提供者存在一些不规范设置恶意程序的情况，为了规范市场主体的行为，网络安全法第22条第1款特别明确了网络产品、服务的提供者不得设置恶意程序的要求。企业违反此规定的，主管部门可以依据网络安全法第60条视违法情节予以相应处罚，具体包括警告和罚款等方式。

6.禁止从事或协助实施危害网络安全活动

网络安全法第27条规定，任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。

（二）关键信息基础设施的运营者的特别责任

除一般规定外，鉴于关键信息基础设施（CII）对国家网络安全的特殊意义，网络安全法对其运营者通过专门一节做了特别的规定，具体包括：

1.更严格的安全等级保护制度

相比于一般规定，网络安全法第34条对于CII运营者提出了更高的要求，具体是：1）设置专门安全管理机构和安全管理负责人，并对负责人和关键岗位的人员进行安全背景审查；2）定期对从业人员进行网络安全教育、技术培训和技能考核；3）对重要系统和数据库进行容灾备份；4）制定网络安全事件应急预案，并定期进行演练。

2.数据跨境转移限制

在强调网络空间主权和数据安全的背景下，网络安全法第37条明确要求CII运营者在境内收集和产生的个人信息和数据应当在境内存储，如果确实需要向境外提供的需要进行安全评估。

3.采购行为的安全审查

网络安全法第35条对CII运营者采购网络产品和服务提出了一项具体的要求，即对于可能涉及国家安全的，相关的采购活动还需要通过网信部门的国家安全审查。对于向外资企业采购相关产品和服务的CII运营者而言，可能需要加强对该规定的关注。

4.采购需签订安全保密协议

除网络安全法35条规定的安全审查制度外，根据网络安全法第36条的规定，CII运营者在采购活动中，还应当与产品或服务的提供者签订安全保密协议，明确安全和保密义务与责任。

二、个人信息保护责任

保护公民的合法权益，是网络安全法的主要立法目的之一，落实到具体内容中，其核心便是个人信息保护制度。网络安全法第四章详尽地规定了企业在个人信息保护方面需承担的责任，为了便于清晰理解，本文结合2004年APEC隐私框架确定的九大原则来梳理网络安全法的具体条文内容。

APEC隐私框架

网络安全法的规定

预防损害原则

49条：网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉与举报。

告知原则

41条：网络运营者收集、使用个人信息，应公开搜集、使用规则，明示搜集、使用信息的目的、方式和范围。

搜集限制原则

41条：网络运营者收集、使用个人信息，应当遵循合法、正当、必要原则；不得搜集与其服务提供无关的个人信息；

个人信息使用

原则

41条：不得违反法律、行政法规的规范和双方约定收集、使用个人信息，并按法律、行政法规规定和用户约定，处理其保存的个人信息；

42条：未经被搜集者同意，不得向他人提供个人信息，但是经过处理无法识别特定个人且不能复原的除外；

44条：不得非法出售或非法向他人提供个人信息；

自主选择原则

41条：网络运营者收集、使用个人信息，应经被搜集者同意

完整性原则

46条：网络运营者不得泄露、篡改、毁损其搜集的个人信息；

安全保障原则

40条：网络运营者对其搜集的用户信息严格保密，建立健全用户信息保护制度。

42条：应当采取技术措施和其他必要措施，确保信息安全。防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。

查阅及更正原则

43条：个人发现网络运营者违反法律、行政法规的规定或双方约定收集、使用个人信息的，有权要求删除其个人信息，发现有错误的有权要求网络运营中更正。

问责原则

《网络安全法》第6章“法律责任”

三、协助和报告责任

除前述网络安全运行责任和个人信息保护责任外，对于企业而言，网安法还涉及到一个较为重要的责任，就是协助和报告责任，我们将散见于各条的协助和报告责任汇总归纳如下：

协助和报告责任

网络安全法的规定

安全缺陷、漏洞报告

22条：发现网络产品、服务存在安全缺陷、漏洞等风险时，应当及时向有关主管部门报告。

网安事件报告

25条：发生危害网络安全的事件时，按照规定向有关主管部门报告。

用户违法信息报告

47条：加强对其用户发布的信息的管理，发现禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

协助侦查犯罪

28条：应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

配合监督检查

49条：对网信部门和有关部门依法实施的监督检查，应当予以配合。