适用场景
面向所有涉及网络运营、数据处理,特别是业务涉及关键信息基础设施领域或向中国境内用户提供服务的中国出海企业,在业务启动、产品设计及日常运营阶段均需关注。
核心要点
1. 法律管辖与域外效力
中国《网络安全法》具有有限的域外管辖原则,若境外主体攻击中国境内关键信息基础设施并造成严重后果,将面临中国法律追责。该法与众多其他法规共同构成网络安全法律体系,企业需关注其不断完善的配套法规。
2. 网络安全等级保护制度
所有网络运营者都必须履行网络安全等级保护义务,包括制定内部安全制度、采取防攻击技术措施、留存网络日志不少于六个月、进行数据分类与备份等。该制度与原有的信息系统安全等级保护制度相衔接。
3. 关键信息基础设施(CII)特别义务
一旦被认定为CII运营者(范围可能涵盖重要行业的网络服务平台、大型数据中心等),将承担更严格的义务,包括设置专门安全管理机构、采购国家安全审查、重要数据本地化存储、进行年度安全检测评估等。
4. 数据保护与本地化要求
法律保护个人信息、用户信息及商业秘密。CII运营者在境内收集产生的个人信息和重要数据原则上应境内存储,出境需通过安全评估。此外,国家秘密、征信、地图数据等多类数据已有明确的本地化要求。
5. 企业制度建设与法律责任
网络运营者需建立一系列内部制度以履行法定义务,如用户信息保护、网络安全事件应急预案、实名制落实等。违法将面临行政处罚、信用记录,严重者可能涉及拒不履行信息网络安全管理义务罪等刑事责任。
实务建议
- 立即开展业务自查,判断自身是否可能被纳入‘网络运营者’或‘关键信息基础设施运营者’范畴。
- 建立健全内部网络安全管理制度体系,明确网络安全负责人,落实等级保护要求。
- 若业务涉及数据出境(尤其是CII相关数据),提前研究并规划安全评估流程。
- 在产品和服务设计中嵌入隐私保护与合规要求,遵循‘告知-同意’等个人信息处理规则。
- 定期对员工进行网络安全教育与培训,并制定并演练网络安全事件应急预案。
风险提示
- 切勿认为公司注册或服务器在境外就可完全规避中国《网络安全法》的管辖,其具有域外效力。
- 对‘重要数据’的范围界定尚存不确定性,企业应谨慎评估自身数据资产,避免误判合规风险。
- 合规不仅是技术问题,更是管理制度问题。仅靠技术措施而缺乏配套制度文件,无法满足法律要求。
- 法律责任严厉,包括高额罚款、停业整顿,甚至刑事责任,不可抱有侥幸心理。