第 226 期 (2018年6月份)
數位時代投資中國大陸不可不知的《網絡安全法》作者:楊雅惠
數位時代投資中國大陸不可不知的《網絡安全法》 楊雅惠
2016年11月7日通過,自2017年6月1日正式實施的《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》),是中國大陸第一部針對網路安全進行全面性規範的法律,目的在保護個資、防止網路恐怖襲擊、網路詐騙等行為,同時也賦予中國大陸政府在緊急情況下實施強制措施的權力。
網路的管制愈來愈嚴格
中國大陸在2013年打擊「網路散布謠言」的行動之後,對網路的管制愈來愈嚴格。《網絡安全法》總共有7章79條,涵蓋的範圍很廣,對於近年來受各界關注的網路安全問題都進行了明確的規範,包括個人資訊保護、網路詐騙行為、網路業者應負擔的責任、對於網路實名制的確認等。最關鍵的四大點是,嚴懲網路詐騙及網路攻擊、保護關鍵資訊基礎設施、網路實名制法製化、危及國家安全的重大突發事件可限制通訊等。
《網絡安全法》之公布實施,除了網路詐騙和網路攻擊的罰則,展現中國大陸試圖降低網路威脅的決心,利用法律明確定義網路營運商的種種責任,才是最大的重點。批評者則認為該法賦予中國大陸官方過度的行政裁量權力,或將侵蝕人民的網路自由、間接墊高外國公司的經營成本,甚至讓他們進不了中國大陸市場。
臺商應重視掌握《網絡安全法》的重點
面對中國大陸網路安全管制法制化,臺商須特別重視掌握以下四點內容:
1. 實名制的確認:《網絡安全法》首次以法律形式確認網路實名制,規定網路運營者在為客戶辦理各項網路服務時,應要求對方提供真實身分資訊。若用戶不願提供,網路運營者不得為其提供相關服務。這裡所稱的「服務」範圍非常廣泛,不僅包括以網絡為媒介營運獲利的電商購物平台、APP應用、在線服務平台等,還包括透過網絡進行宣傳推廣活動的實體企業。
2. 企業責任的規範:該法要求企業在關鍵資訊基礎設施遭到破壞,可能嚴重危害國家安全、國計民生、公共利益時,企業需要盡到網絡安全保護義務、處置違法資訊、配合偵察機關工作等,這代表企業未來可能面對越來越多的資安責任及資源投入。
3. 跨境資訊的規範:《網絡安全法》規定關鍵信息基礎設施的營運者,在中國大陸境內營運所收集和產生的個人信息及重要數據,應在境內存儲,如果因為業務需要需向境外提供,除非有法律、行政法規特別規範,應按國家網信部門會同國務院有關部門制定的辦法進行安全評估。對此,中國大陸網信辦網絡安全協調局另外做了四點說明:(1)有關數據需境內儲存的規範,是針對關鍵信息基礎設施營運者的要求,並非針對所有網絡營運者;(2)規範資料範圍只限個人信息和國家重要數據,並非針對企業和個人;(3)經過安全評估認為不會危害國家安全和社會公共利益的數據還是可以出境;(4)經個人同意後的個人信息可以出境,例如撥打國際電話、發送國際電子郵件、通過互聯網跨境購物等將被視為已經過個人信息主體同意。雖然官方已經做了跨境資訊規範的說明,但各界仍擔心是否會因為這項規定限制國際貿易或跨境客戶服務的機動性及自由度,這點仍有待實施一段時間後分析確認。
4. 違法的罰則:企業一旦違反《網絡安全法》,將依法接受處罰,包括責令改正、警告、罰款、責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照、對直接負責的主管人員和其他直接責任人員罰款、職業禁入、記入信用檔案等。另外,違法者還應當承擔因違法行為而產生的民事責任和刑事責任。
(本文作者楊雅惠現為浚鴻數據開發股份有限公司總經理、臺商張老師)
