1998次約談，網安法的500天

作者 | 撈麵

昨天，北京市網信辦約談了360doc個人圖書館主要負責人，認為網站疏於管理，「導致違法違規信息大量存在」，其依據則是《中華人民共和國網路安全法》（下稱「網安法」）第四十七條：

網路運營者應當加強對其用戶發布的信息的管理，發現法律、行政法規禁止發布或者傳輸的信息的，應當立即停止傳輸該信息，採取消除等處置措施，防止信息擴散，保存有關記錄，並向有關主管部門報告。

隨後，360doc個人圖書館發布公告，將「對網站內容進行徹底清查整改」，暫停大部分服務一個月。

今年以來，網信辦約談後的整改力度可謂大大加強，從以前整改數天到一周，發展到現在「一個月」的「標配」，這一現象8月時我們已經在《網信辦約談實錄》中寫了（回復「約談」可接收此文）。

在本文里，我們則著重講講約談和處罰的一大重要法律來源——網安法。

網安法是什麼？

《中華人民共和國網路安全法》，簡稱網安法，於2016年11月7日人大審議通過，2017年6月1日正式實施。

《人民日報》在網安法正式施行後一周曾刊文寫道，「作為中國第一部網路安全領域的法律，這標誌中國的網路安全步入有法可依的新階段，在中國網路空間治理史上具有里程碑意義。」

事實卻並非完全如此，網路安全早已有「法」可依，只是網安法位階更高。縱觀網安法內容，它並沒有幾分新意，多個重要內容的設計也其實早有範本並且施行多時。如網路安全等級保護制度，早在2007年公安部頒布的《信息安全等級保護管理辦法》有規定，各地公安機關一直都在做監督執法工作。又比如實名制，自從2013年工信部頒布《電話用戶真實身份信息登記規定》後，網路實名制就已經是既成事實。

實際例子並不止以上兩個，網安法更像是一個大口袋，把以往分散在各部門的現行法例都集合在一起，再加些佐料。一些佐料則成了網安法的重點，但它們往往只有一兩句話，具體怎麼去實施則要看相關部門制定的配套規定。自網安法被通過以來，網信辦、公安部、工信部等部門就紛紛根據網安法出台或者更新了一堆文件。

此外，網安法看似距離我們用戶很遠，因為條文主要針對互聯網企業，但實際上最終受到影響的卻是用戶。

在網安法及其配套法規的要求之下，企業都會做出相應的決策，這些決策將直接對用戶造成影響。包括在網路服務使用、個人信息保護等方面。

可見的例子就是，今年2月蘋果iCloud數據正式遷移到國內後，有用戶因為擔心iCloud內容被泄露和審查，選擇停用；高德地圖等App則在隱私協議更新以後，以遵守相關法律法規為理由，要求用戶必須同意其隱私協議方可使用軟體。

網安法實施至今，剛過500天，給我們帶來了下面這20條配套法規：

我們先挑幾部重要的法規來談談它們帶來的「新氣象」：

《關鍵信息基礎設施安全保護條例（徵求意見稿）》

佐料：網安法三十七條「關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。」

關鍵信息基礎設施這個詞並非第一次出現，早在2016年6月，網信辦就曾向各地政府下發《關於開展關鍵信息基礎設施網路安全檢查的通知》要求各地政府部門、事業單位進行自查，並出了一份《國家網路安全檢查操作指南》，其中寫道：「關鍵信息基礎設施包括網站類，如黨政機關網站、企事業單位網站、新聞網站等；平台類，如即時通信、網上購物、網上支付、搜索引擎、電子郵件、論壇、地圖、音視頻等網路服務平台；生產業務類，如辦公和業務系統、工業控制系統、大型數據中心、雲計算平台、電視轉播系統等。」

但此次的自查僅局限於政府部門及事業單位（包括外包公司）。

網安法對關鍵信息基礎設施沒有明確定義，只是寬泛寫道：「公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施」。

《關鍵信息基礎設施安全保護條例（徵求意見稿）》（下稱條例）則對此進行了定義，但同樣相當寬泛：

（一）政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位；

（二）電信網、廣播電視網、互聯網等信息網路，以及提供雲計算、大數據和其他大型公共信息網路服務的單位；

（三）國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位；

（四）廣播電台、電視台、通訊社等新聞單位；

（五）其他重點單位。

條例寫明，之後會由國家網信部門會同國務院電信主管部門、公安部門一起制定關鍵信息基礎設施識別指南。

至於「關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲」這一條，則一字未改地放在了條例里。

這一點，在網安法徵求意見階段便已引起爭議，它對在境外伺服器存儲數據的企業影響頗大，尤其是跨國企業，更不要說因此而帶來的數據泄露、審查風險。網信辦在網安法施行前夕答記者問時則回應「不是要限制國外企業、技術、產品進入中國市場，不是要限制數據依法有序自由流動」。

與此形成強烈對比的是，根據2016年3月1日開始實施的《電信業務分類目錄（2015年版）》規定，境內的伺服器作為數據中心基礎設施，其運營主體必須是中資企業。工信部官員張建華在2017可信雲大會上就曾表示，「IDC（數據中心）業務原則上是未對外資開放」，「我們歡迎各外資的雲服務巨頭以技術合作的方式參與我國的雲服務市場」。

如果你覺得上面的內容太抽象，那麼蘋果公司則做了很好的示範。在網安法實施一個月後的2017年7月12日，蘋果宣布將在貴州建立一個數據中心以存儲內地用戶的iCloud數據，並交由當地的一家國有企業——雲上貴州進行運營，蘋果提供技術支持。

在此之前，蘋果的iCloud數據一直存儲在美國伺服器上。2018年2月28日，大陸用戶的iCloud數據正式移交雲上貴州。

當外界開始質疑其用戶數據安全的時候，蘋果則也在發布的聲明中強調，「Apple擁有強大的數據隱私和安全保護機制，並且不會在我們的任何系統中創建後門。」

此外，亞馬遜旗下的伺服器也已交由兩家中國公司進行運營。

《互聯網新聞信息管理服務規定》

佐料：「對用戶開設公眾賬號的，互聯網新聞信息服務提供者應當審核其賬號信息、服務資質、服務範圍等信息」。

《互聯網新聞信息管理服務規定》上一版本於2005年發布，關於新版改動的背景，網信辦就新規答記者問時回應，是基於「微博、微信、客戶端等出現和普及，改變了原《規定》主要立足於『門戶網站』時代的制定背景」。

對比兩個版本， 我們可以發現，部分媒體關心的互聯網新聞信息的定義其實一直沒有變，還是「本規定所稱新聞信息，包括有關政治、經濟、軍事、外交等社會公共事務的報道、評論，以及有關社會突發事件的報道、評論」。

只不過它對於互聯網新聞信息形式的描述更符合今天的情況，豐富成「通過互聯網站、應用程序、論壇、博客、微博客、公眾賬號、即時通信工具、網路直播等形式向社會公眾提供互聯網新聞信息服務」。

當然，規定中最重要的還是采編權只歸於新聞單位（含其控股的單位）或新聞宣傳部門主管的單位這一點，這在新舊兩個版本中都是一脈相承的，只是表達形式不一樣。

新規把提供互聯網新聞信息服務的資質分為三類：采編髮布服務、轉載服務、傳播平台服務。新聞單位（含其控股的單位）或新聞宣傳部門主管的單位三類均可申請。非新聞單位則只能申請轉載服務和傳播平台服務。

這也是好奇心日報會被約談整改的原因之一：存在組建「新聞采編團隊」、違規自采和轉載新聞信息等違規行為。

對於傳播平台如微信公眾號上開設公眾賬號的，規定也寫明「對用戶開設公眾賬號的，互聯網新聞信息服務提供者應當審核其賬號信息、服務資質、服務範圍等信息」。

這一條則意味著，如果你的公眾賬號並非由擁有采編髮布服務資質的「新聞單位（含其控股的單位）或新聞宣傳部門主管的單位」建立，卻又提供互聯網新聞信息的采編髮布服務，則違反上述規定。簡單來說，就是公眾賬號不允許發布對社會公共事務以及社會突發事件的報道及評論，這也是那麼多「追熱點」的文章被404的原因之一。

《互聯網新聞信息管理服務規定》的重要性不低，在網信辦公布的工作總結中，《互聯網新聞信息管理服務規定》頻繁出現，且總是緊隨網安法之後。在違規情況說明裡，除了獨立成章的「傳播危害國家安全信息」外，「違規從事互聯網新聞信息服務」也被放在了色情、賭博、侵權之前，可見在網路執法者眼中，違規從事網路新聞信息的危險要高於黃賭和侵權。

《信息安全技術個人信息安全規範》

佐料：網安法四十一條「網路運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和範圍，並經被收集者同意」。

網安法中關於個人信息保護的部分被許多人視為個人隱私保護立法的一大進步。

在網安法生效一個多月後，網信辦就聯合多部門開展了隱私條款專項工作，對第一批包括微信、新浪微博、淘寶、京東商城在內的10家App隱私條款進行評審。隨後，這十款App均對自己的隱私協議進行了不同程度的更新。到了9月，評審結果出台，工作組表示這十款App在改進之後「均做到明示其收集、使用個人信息的規則，並徵求用戶的明確授權」。然後這十個App就「開開心心」發起並簽署了《個人信息保護倡議書》。

《信息安全技術個人信息安全規範》由全國信息安全標準化技術委員會於2017年12月29日發布，並於2018年5月1日正式實施，被作為國家推薦標準。

2018年1月6日，支付寶因為「年度賬單事件」被網信辦約談，並被指：不符合上述規範的國家標準的精神，違背了其前不久簽署的《個人信息保護倡議》的承諾。

網安法的個人隱私保護規定落實的程度有多高，作為國家推薦標準出台的安全規範又能起到多大作用？南都個人信息保護研究中心在網安法實施四百天之際，抽查了公眾常用的100款App的隱私政策合規狀況，再與網安法剛實施時的抽查結果做對比。

結果發現，隱私政策透明度高與較高的數量確實比去年增長超過10%。但同時，總體佔比仍然不到20%。與此形成強烈對比的是，佔比達72%的App測評透明度為較低和低。

今年5月，被媒體形容為「最嚴個人隱私保護法」的歐盟《通用數據保護條例》（GDPR》正式生效。GDPR除了隱私條款要求嚴格外，更讓企業恐慌的是它的處罰力度，根據國際隱私專業人士協會的分析，其最高罰款可達2000萬歐元或企業年營業額的4%（以最高為準）。據網站「The Verge」報道，在GDPR生效當天，網路隱私維權人士馬克斯·施雷姆斯就已經向谷歌與臉書發起訴訟，指其強制用戶分享個人數據，這兩起訴訟涉及的罰款可能高達37億歐元和39億歐元。

反觀我們的網安法，看起來相關處罰也不低。違法企業可能被沒收違法所得以及處違法所得一倍以上十倍以下的罰款，沒有違法所得的，則處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

不過截止發稿，我們尚未在公開資料中找到有罰款的例子。僅有的"支付寶年度賬單事件"，網信辦也只是約談，責令改正。

2018年8月31日，全國信息安全標準化技術委員會發布新聞稿表示，正式啟動2018年隱私條款專項工作，將「選取與民眾日常生活緊密相關、具有較大用戶數量的出行旅遊類、生活服務類、影視娛樂類、工具資訊類和網路支付類5類30款網路產品」進行隱私條款評審。

結果如何，我們拭目以待。

勤勞的網信辦

在談《網路安全法》的時候，網信辦不得不提，作為網安法第八條規定的負責「統籌協調」與「監督管理」的機構，它在這一年多的工作，在一定程度上反映了網安法的成效。

網信辦基本每個季度都會出一個全國網信行政執法總結，其中的內容分為幾部分：總的工作成果；關閉的違規網站；處理的有影響力的案件；約談與處罰；規範化建設。

下面是網信版的工作「成果」：

2017年第三季度：約談網站798家，取消許可或備案、關閉3131家，關閉賬號及群組50萬餘個。

2017年第四季度：約談網站440家，取消許可或備案、關閉14306家，關閉賬號及群組47萬餘個。（註：由於2017第四季度的工作報告無資料，第四季度的數據由網信辦2017年年度工作報告減去一、二、三季度的統計得出）

2018年第一季度：約談網站314家，取消許可或備案、關閉1194家，關閉賬號及群組58萬餘個。

2018年第二季度：約談網站446家，取消許可或備案、關閉1888家，關閉賬號及群組72萬餘個。

也就是說，從網安法實施之後的2017三季度到2018二季度這一年間，網信辦一共約談了網站1998次，關閉網站20519家，關閉賬號及群組227萬餘個。

這只是網信辦的數據，除此之外，寫在網安法上的執行機構就還有工信部及公安部門。

網安法也有「一帶一路」

講完國內，還有國外。

網信辦在網安法實施前夕答記者問時曾表示「借鑒國際通行做法，根據本國國情，制定相關法律、行政法規，並依法對網路進行管理，完全是各國主權範圍內的事情」。

越南似乎表示很同意。

今年6月12日，越南國會以90%左右的票數通過了一項網路安全法案，該法案要求企業把「重要」數據存儲在越南境內，並在當地設立辦事處。同時，法案禁止公眾在網路發布反政府言論：包括鼓動反政府活動、歪曲歷史、扭曲越南革命成就、破壞民族團結、虛假信息等。在有關網路安全部門要求刪除違規信息的情況下，企業必須在24小時內刪除。

越南媒體越通社撰文稱「《網路安全法》成為保護人民的工具」，並指出「用戶數據已被用於政治陰謀或違法行為」，採訪專家則表示，要求企業數據存儲境內「符合于越南法律和國際慣例，並不違反越南所加入的任何條約，也不妨礙企業的運作」。

根據越南媒體VietnamNet報道，因為越南政府的要求，2017年里Facebook刪除了159個賬戶，Youtube則刪除了4500個賬戶，這個數字在2019年1月1日越南網路安全法案生效後有可能激增。

不過，截止目前為止，谷歌及Facebook均沒有宣布在越南設立存儲數據伺服器的計劃。路透社本月10號報道稱，越南政府正在準備嚴格執行該國網路安全法中要求跨國企業關於數據存儲的規定。

To be continued

不過，這五百天以來，網安法中最受關注的第五十八條，並未有公開的執行事例。

它的內容是這樣的：「因維護國家安全和社會公共秩序，處置重大突發社會安全事件的需要，經國務院決定或者批准，可以在特定區域對網路通信採取限制等臨時措施。」

推薦閱讀：