随着近年来互联网产业的不断发展,数据已经成为全球贸易和技术创新的关键。数据也被誉为“21世纪的石油和钻石矿”,成为和土地、劳动力、资本、技术并列的五种生产要素之一,正逐步对国家治理能力、经济运行机制、社会生活方式产生深刻影响。而数据安全则是数字经济发展的重要前提。尤其是在经济全球化背景下,数据作为重要的战略资源,不论是欧盟还是美国都在努力争取成为数据规则全球化标准的制定者,数据安全规则的国际博弈加剧。所以我国相继出台网络安全法、个人信息保护法、数据安全法等一系列数据(信息)安全治理法,在今年推出了《网络数据安全管理条例》,针对当前数据安全治理存在的问题,完善数据安全治理制度。确保网络安全和数据保护是至关重要的,这不仅涉及个人和组织权益的维护,也关系到国家安全和公共利益的保障。我们的目标是通过合法合规的方式,促进网络数据的有效利用,同时确保这些数据的安全,以及保护个人和组织的合法权益。这样的措施有助于维护国家的安全和公共利益,同时促进网络数据的合理利用。
一、网络运营者的总体义务
网络运营者作为网络服务的提供者,在提供服务的过程中不可避免地需要收集、整理用户的相关信息,且在用户享用网络服务的过程中也会产生海量的数据。相较于监管部门及用户,网络运营者作为数据的直接接触者,其对数据进行的收集、整理、管理、使用等行为具有技术性、隐蔽性等特点。所以早在2016年颁布的网络安全法便规定了网络运营者的总体义务,即“网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任”。而后随着网络行业的不断发展与深入,个人信息保护法、数据安全法及《网络数据安全管理条例》等一系列数据安全治理法律法规的出台,更是细化了网络运营者对数据安全的保护责任。
二、用户个人信息保护义务
针对用户的个人信息,网络运营应当承担保护用户相应个人信息的义务。其中个人信息是指“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”,其最重要的特征是可识别性,通过个人信息能够具体识别到自然人个人。而随着社会文明程度的不断提高,个人对自身的隐私也愈发重视,个人信息作为隐私权的一部分,理应受到法律保护。所以个人信息保护法明确规定了“合法、正当、必要原则”以及“目的限制原则”两大原则,要求网络运营者在收集、整理、分析、使用用户个人信息时必须遵循法律、符合公正和必要性的要求。处理个人信息的目的、方式、范围等都必须合法。同时,在个人信息保护领域,必须坚持仅收集必要信息的原则,并且确保信息处理的目的明确,同时保证处理行为与这些既定目的紧密相关。《网络数据安全管理条例》对敏感信息的处理提出了特别的要求,这些信息包括生物识别数据、宗教信仰、特定身份信息、健康医疗记录、金融账户详情、个人位置信息,以及14岁以下儿童的个人信息。该条例明确规定,处理这些类型的敏感信息时,必须获得信息主体的明确同意。对于涉及14岁以下儿童的个人信息处理,条例要求必须获得其父母或法定监护人的同意。这些规定旨在加大个人信息的保护力度,防止个人信息的过度收集和不当使用。
三、自身网络信息安全管理义务
同时针对层出不穷的信息泄露事件,网络安全法同样规定了网络运营者的网络信息安全管理义务。当今世界,信息泄露、数据安全已经成为老生常谈的话题。数据作为一把双刃剑,数据安全的指向不仅仅是企业的运营,更关乎个人权益、社会稳定以及国家安全。网络安全法明确规定了网络运营者有“履行网络安全保护义务,接受政府和社会的监督,承担社会责任”的总义务。在服务标准上要求其建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求。而针对网络服务的运行,遵循国家网络安全等级保护制度的要求,网络运营者应致力于确保网络不受干扰、破坏或未经授权访问的影响,防止网络数据泄露、被盗或被篡改。为此,应建立内部的安全管理制度和操作流程,指定网络安全责任人。同时应利用技术手段监控网络运行状态和记录网络安全事件,按照规定至少保留6个月。这些综合措施构成了一个全面的网络安全保护框架,目的是保障网络环境的安全和数据的完整性。
四、向监管部门报告义务
随着网络监管部门体系的完善,为加强职能部门对网络安全的监管,规定了网络运营者的报告义务。首先,规定了网络运营者的风险事项的报告义务,网络安全法规定网络运营者在遭遇系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险时,应立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。其次,根据网络信息的等级,规定了重大事项的报告义务,《网络数据安全管理条例》明确规定,本地区、本部门以及相关行业、领域的重要数据,应当按照国家有关规定识别、申报。且监管部门每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关。最后,在涉及关键信息基础设施的行业,如公共通信、信息服务等一旦遭受破坏、功能失效或数据泄露可能严重威胁国家安全、经济稳定和社会公共利益的领域,运营者面临着严格的报告义务。鉴于网络信息犯罪的高发态势,网络安全法还规定了网络运营者应向公安机关和国家安全机关提供技术支持和协助,以协助其依法维护国家安全和进行犯罪侦查工作。这些规定旨在加强网络安全,保护关键信息基础设施免受网络攻击和犯罪行为的威胁。
综上所述,网络运营者肩负着保护数据安全的重要职责。随着法律法规的不断完善,网络运营者必须遵守法律规定,尊重用户隐私,加强数据安全管理,及时报告安全风险,并积极配合政府监管。这不仅关乎企业自身的可持续发展,也是维护国家安全、公共利益和个人权益的重要保障。因此,网络运营者应不断提升数据安全保护能力,以应对日益复杂的网络环境和挑战。