互联网创业法律风险防控漫谈

《互联网创业法律风险防控漫谈》由会员分享，可在线阅读，更多相关《互联网创业法律风险防控漫谈（24页珍藏版）》请在金锄头文库上搜索。

1、互联网创业法律风险防控漫谈之网络安全与数据合规篇引言自新冠疫情爆发以来，为了疫情防控需要，全国各省、自治区、直辖市均启动了重大突 发公共卫生事件一级响应，并纷纷采取了不同程度的封闭式管理，导致大臺线下商业活 动停滞，线上业务井喷，促使越来越多的企业开始思索数字化转型升级。与此同时，中央更是多次强调要加快5G网络、大匚殺蕊|中心、工业互联网、人工智能等新型基础设施的建设逬度。不少创业者和投资者可能已从中看到了新的机会。实际上，随着我国网络相关基础设施的不断建设和完善，互联网相关产业近年来一直保持高速发展，线上经济在国民经济中的地位越来帀【要。与互联网产业高速发展几乎同步的是，各种利用互联网逬行的

2、违法乃至犯罪现象也频频出现，严重影响了人们对网络的正常使用和社会经济秩序。 为此，国家相关部门出台了一系列法律法规和监管措施，对互联网相关 行业的监管呈现出越来越专业、越来越 细致、越来越严厉的趋势，互联网企业面临的各类法律风险也随之日趋增多，不容忽视。在此背景下，我们特结合自身的专业知识和实务经验，撰写互联网创业法律风险防控漫谈系列实务文章，以期能在一走程度上为广大互联网创业者和投资者提供法律风险防控 指引。本系列文章将聚焦互联网企业最常涉及的十大热点法律领域r分上下两部分陆续推出，其中上半部分包括 网络安全与数据合规篇、资质合规篇、股权融资篇、知识产权篇和广告合规篇，下半部分包括平台责任篇

3、、电 子合同篇、劳动人事篇、税务合规篇以及刑事合规篇。今天先推出上半部分的第一篇一一网络安全与数据合规篇，以飨读者。20 1 9年9月前后，随着摩羯科技、存信科技、新颜科技、天翼征信等多家数据源公司被公安部门调查，多家知名琴旄风控公司主动或被动停止了与爬虫相关的数据业务，引发所谓大据我们观察，自2017年6月1日网络安全法正式实施以来，国家立法和监管部 门在网络安全和 个人信息保护领域方面不断出台有关细则、标准，有关部门执法动作不断，且针对重大违法行为的执法活动体 现出刑事先行的趋势。可以合理预见的是，随着立法和相关国家标准的不断出台和完善，我国对网络安全与 个人信息的保护工作将迈上一个新的台

4、阶，与此同时，涉网涉数据企业所面临的合规压力也将更大。为此，本文现结合网络安全法和相关配套文件的规走以及最新的执法/司法案例，为互联网创业者 简要勾勒一下网络安全与数据合规的工作要点。、网络安全与数据合规义务、网络运营者很多人一直有一个误区，认为所i冒网络安全与数据合规仅与互联网公司、尤其是涉数据的互联网公司有 关。实际上，网络安全法课以网络安全义务和数据合规义务的主体远不止于此，一方面，网络并不仅指互联 网，另一方面，网络安全义务的主体也不仅仅只是网络 公司。按照网络安全法的定义，所谓网络，是指由计算机或者其他信息终端及相关设备组成的按照一走的规 则和程序对信息逬行收集、存储、传输、交换、处

5、理的系统。从此走义可 见，网络安全法项下的网络其实 是一个比较竞泛的概念，符合该要求的不仅仅只有普通 人最为熟悉的互联网，还包括各种局域网、自动化办公 系统、广播电视网、工业控制系统、物联网、大数据应用/平台等。网络安全法将网络安全的责任主体称为网络运营者，具体指网络的所有者、管理者 和网络服务提供 者。通常而言，网络服务提供者主要指各类互联网企业或者虽主业不是互联网但拥有互联网业务的企业，而具 他所有的企业、政府、事业单位、政府或组织机构（比如学校、医院、图书馆等）则可能是网络的所有者或者管 理者，都应当遵守网络安全法规 走的相关网络安全和个人信息保护义务。2、网络安全等级保护制度(1) 网

6、络安全等级保护定级根据网络安全法的规走,国家实行网络安全等级保护制度。根据在国家安全、经济 建设、社会生活中 的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法 人和其他组织的合法权益的危害程度 等，所有网络由低到高划分为五个安全保护等级，不同 的安全保护等级在物理环境、通信网络、计算坏境、管 理制度、管理机构、管理人员等方面 均对应不同的要求，安全保护等级越高的，等级保护工作要求也更高。网络安全定级要素与安全保护等级的关系受侵害的客体对訓娠害題F损害严重损害特别严重损害公民、法人、其他组织的合法权益第一级第二第二级级会秩序、公共利益第二级策三级 笔四级国家安全第三级第四级 第五

7、级(2) 般网络安全保护义务与特殊安全保护义务实际上，在网络安全法实施之前,我国就已经在实施网络安全等级般制度。随看网络安全法及配套的网络安全等级保护条例(征求意见稿)网络安全等级保护测 评机构管理办法 和相应的新的等级保护相关标准的颁布，我国逐渐建立起升级版的网络安 全等级保护体系,业内称之为等级保 护 2.0 。根据等级保护2 . 0相关文件的规走,网络运营者应当履行的一般安全保护义勢包括： 确走网络安全等级保护工作责任人，建立网络安全等级保护工作责任制，落实责任追 究制度； 建立安全管理和技术保护制度，建立人员管理、教育培训、系统安全建设、系统安全 运维等制度； 落实机房安全管理、设备和

8、介质安全管理、网络安全管理等制度,制走操作规海 Q 工 作溺呈； 落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施； 落实监测、记录网络运行状态、网络安全事件、违法 3 阖活动的管理和技术措施,并 按照规走留存六个月以上可追溯网络违法犯罪的相关网络日志； 落实数据分类、重要数据备份和加密等措施； 依法收集、使用、处理个人信息，并落实个人信息保护措施,防止个人信息泄露、损 毁、篡改、窃 取、丢失和滥用； 落实违法信息发现、阻断、消除等措施，落实防范违法信息大星传播、违法才。罪证据 灭失等措 施； 落实联网备案和用户真实身份查验等责任； 对网络中发生的案事件应当在二十四小时内向

9、属地公安机关报告，泄露国家秘密的， 应当同时向属 地保密行政管理部门报告等。除了上述一般网络安全保护义勢之外，走为第三级 （含）以上网络的运营者还需要履行 下列特殊安全保护 义务： 确走网络安全管理机构朋确网络安全等级保护的工作职责，对网络变更、网络接入、 运维和技术保障 单位变更等事项建立逐级审批制度; 制走并落实网络安全总体规划和整体安全防护策略，制走安全建设方案，并经专业技 术人员评审通 过； 对网络安全管理负责人和关键岗位的人员进行安全背景审查，落实持证上岗制度; 对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理; 落实网络安全态势感知监测预警措施,建设网络安全防护管理

10、平台对网络运行状态、 网络流星、用户 行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接; 落实重要网络设备、通信链路、系统的冗余、备份和恢复措施; 建立网络安全等级测评制度,走期开展等级测评，并将测评情况及安全整改措施、整 改结果向公安机 关和有关部门报告等。除此之外，对于涉及国家秘密的网络 ,还需要根据密级的划分,根据国家保密规走和标 准要求，制走分级 保护方案，采取身份鉴别、访问控制、安全审计、边界安全防护、信息流 转管控、电磁泄漏发射防护、病毒防 护、密码保护和保密监管等技术与管理措施，并遵守其 他监管要求。(3) 等级保护定级备案根据等级保护2 . 0 相关文件的要求，网络

11、运营者应当在规划设计阶段确走网络的安全 保护等级，第二 级以上网络运营者应当在网络的安全保护等级确定后10个工作日内，到县 级以上公安机关备案。目前，关于如何判断一般损害严重损害和特别严重损害，尚未形成完全统 的标准,不同地区、不 同行业都可能有不同的要求。一般情况下，运营者可先自行或委托 第三方机构进行评测，根据初步评测结果逬 行备案申报，若公安机关认为运营者自主走级不 准确的，将会要求重新走级并重新递交备案林科，最终定级以 公安机关认定的等级为准。在 等保走级备案的过程中，若公安机关认为运营者提交的材料不符合等保要求，会 要求进行整 改，整改合格的,才颁发信息系统安全等级保护备案证明。从实

12、践来看，涉及用户数呈较多、 呈较大的互联网企业（比如大型电商网站、网贷 平台），可能会被走为三级。对于互联网企业而言，等保三级一般被认为是非金融机构可以 获得的最高定级。3. 般网络运营者的合规义务除了偏向于从技术层面落实网络安全保护要求的等级保护制度之外，网络安全法及 其配套法规还要 求网络运营者从制度上也落实网络安全主体责任，具体表现为建立和完善网 络安全保护的制度体系。具体而 言,般包括：（1 ）落实网络安全岗位及责任人员；（2 ）数据分级制度；（3）网络实名认证制度；（4） 个人信息及隐私保护制度（含儿童个人信 息特别保护制度）；（5）网络平台信息内容和应用软件审查制度； （6）网络安

13、 全应急预 案；（7 ）网络安全教育培训；（8 ）重点网络产品和服务采购的安全审查；（9 ）个 人信 息和重要数据出境安全评估制度；（10）数据供应商合规审查制度等。4、关键信息基础设施（C I I）（1）关键信息基础设施的识别根据网络安全法的规定，国家对公共通信和信息服务、能源、交通、水利、金融、 公共服隽、电子 政务等重要行业和领域 ,以及具他一旦遭到破坏、丧失功育鉞者数据泄露， 可能严重危害国家安全、国计民 生、公共利益的关键信息基础设施（C11 ），在网络安全 等级保护制度的斟出上，实行重点保护。关于关键信息基础设施运营者如何识别的问题，网络安全法国家网络空间战略 关键信息基础设施安全

14、保护条例（征求意见稿）等法律法规目前均只给出了一个相对较 为竞泛、主要关注行业领域的走义， 尚未出台十分统一的识别指标，预计不同地区、不同行 业最终会出现不同的识别标准。对于互联网企业而言,目前可以参考的是网络上流行但尚未正式发布的关键信息基础 设施确走指南（试 行稿），该指南给出了一些相对可以走呈的指标。比如，注册用户数超 过1 0 0 0 万，或活跃用户（ 每天 至少登陆1次）超过1 0 0 万，或者日均成交订单额或交 易额超过1000万元的平台，可以认走为关键信息 基础设施。（2）关键信息基础设施运营者（CI I。）的特别合规义务对于关键信息基础设施，网络安全法及相关配套规定要求在如下方

15、面提出了特别的合规要求：关键 信息基础设施的建设应做到安全技术措施同步规划、同步建设、同步使用; 设置专门的安全管理机构和安全 管理负责人,对该负责人和关键岗位的人员进行背景审查;走期对从业人员进行网络安全教育、技术培训和技 能考核;对重要系统和数据库逬 行容灾备份;制定网络安全事件应急预案并定期进行演练;采购网络产品 和服务,应当 按照规走与提供者签订安全保密协议,明确安全和保密义务与责任，可能影响国家安全的， 还应 通过国家有关部门组织的安全审查;数据境内储存，运行维护境内实施等。5、个人信息保护所谓的网络1总:5隊安全,在很大程度上主要指个人信息安全。网络安全法要求网络运营者合法收集用户信息、对其收集的信息严格保密并建立健全用户信息保护制度。2 0 2 0年3月6日，国家市场监管总局、国家标准化管理委员会正式公布了修订后 的信息安全技 术个人信息安全规范（GB/T 35273-2020，下称个人信息安全规范），该规范在总结执法经验和 行业良好实践的基础上,对个人信息的收集、存储、处理、共享、转让、公开、个人信息安全实践处置、安全管 理要求等提出了全方位且较为细致的要求。业界普遍认为，作为个人信息安全领域最重要、最斟出且影响最为广泛的国家标准之一，个人信息安全 规范正式生效（22年10月