【拒不履行信息网络安全管理义务罪】:第二百八十六条之一网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
概念与构成要求
拒不履行信息网络安全管理义务罪,是指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播、或用户信息泄露并造成严重后果、或刑事案件证据灭失情节严重、或有其他严重情节的行为。本罪是刑法修正案(九)第二十八条新增加的罪名。
(一)主体
本罪主体为特殊主体。即年满l6周岁具有刑事责任能力的网络服务提供者,单位也可构成本罪。
(二)主观方面
本罪在主观方面只能由故意构成,过失不构成本罪。
(三)客体
本罪侵犯的客体是有关国家网络安全的管理制度。
(四)客观方面
本罪客观方面表现三个方面:一是行为违法。即网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务;二是拒不改正。即经监管部门责令采取改正措施而拒不改正;三是产生后果。即导致了违法信息大量传播、或用户信息泄露并造成严重后果、或刑事案件证据灭失情节严重、或有其他严重情节的后果的产生。
所谓“网络服务提供者”,是指通过信息网络向公众提供信息或者为获取网络信息等目的提供服务的机构,包括网络上的一切提供设施、信息和中介、接入等技术服务的个人用户、网络服务商以及非营利组织。根据其提供的“服务”不同,网络服务提供者具体可以分为网络接入服务提供者、网络平台服务提供者、网络内容及产品服务提供者。所谓“法律、行政法规规定的信息网络安全管理义务”,是指国家对于“网络服务提供者”在履行网络安全管理义务的相关规定。比如国务院关于《计算机信息网络国际联网安全保护管理办法》第十条明确规定:互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责:
(一)负责本网络的安全保护管理工作,建立健全安全保护管理制度;
(二)落实安全保护技术措施,保障本网络的运行安全和信息安全;
(三)负责对本网络用户的安全教育和培训;
(四)对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核;
(五)建立计算机信息网络电子公告系统的用户登记和信息管理制度;
(六)发现有本办法第四条、第五条、第六条、第七条所列情形之一的,应当保留有关原始记录,并在24小时内向当地公安机关报告;
(七)按照国家有关规定,删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。
所谓“网络监管”,是指网络营运监管、网络内容监管、网络版权监管、网络经营监管、网络安全监管、网络经营许可监管等;所谓“监管部门”,是指代表政府参与网络监管的主要职能部门。如通信管理部门、互联网新闻宣传管理部门、公安部门、文化部门,广播电影电视管理部门和新闻出版部门等;本罪是结果犯,但何为结果中的“致使违法信息大量传播”“严重后果”“情节严重”和“其他严重情节”目前没有明确的规定,有待于法律或司法解释作出界定;犯本罪同时又构成其他犯罪的,依照处罚较重的规定定罪处罚,不实行数罪并罚。
㈡ 拒不履行信息网络安全管理义务罪处罚
根据《中华人民共和国刑法修正案(九)》
二十八、在刑法第二百八十六条后增加一条,作为第二百八十六条之一:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
“单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。”
“有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”
根据《中华人民共和国网络安全法》
第六十九条网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款:
(一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的;
(二)拒绝、阻碍有关部门依法实施的监督检查的;
(三)拒不向公安机关、国家安全机关提供技术支持和协助的。
根据《中华人民共和国反恐怖主义法》
第九十一条拒不配合有关部门开展反恐怖主义安全防范、情报信息、调查、应对处置工作的,由主管部门处二千元以下罚款;造成严重后果的,处五日以上十五日以下拘留,可以并处一万元以下罚款。
单位有前款规定行为的,由主管部门处五万元以下罚款;造成严重后果的,处十万元以下罚款;并对其直接负责的主管人员和其他直接责任人员依照前款规定处罚。
根据《公安机关互联网安全监督检查规定》
第二十一条公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位有下列违法行为的,依法予以行政处罚:
(一)未制定并落实网络安全管理制度和操作规程,未确定网络安全负责人的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;
(二)未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;
(三)未采取记录并留存用户注册信息和上网日志信息措施的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;
(四)在提供互联网信息发布、即时通讯等服务中,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,依照《中华人民共和国网络安全法》第六十一条的规定予以处罚;
(五)在公共信息服务中对法律、行政法规禁止发布或者传输的信息未依法或者不按照公安机关的要求采取停止传输、消除等处置措施、保存有关记录的,依照《中华人民共和国网络安全法》第六十八条或者第六十九条第一项的规定予以处罚;
(六)拒不为公安机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助的,依照《中华人民共和国网络安全法》第六十九条第三项的规定予以处罚。
有前款第四至六项行为违反《中华人民共和国反恐怖主义法》规定的,依照《中华人民共和国反恐怖主义法》第八十四条或者第八十六条第一款的规定予以处罚。
㈢ 《网络安全法》中明确了四大主体的责任义务,四大主体具体是()
四大主体具体是国家、主管部门、网络运营者、网络使用者。
1、出台《草案》,并且在未来在这部高规格法律下完善相应的配套体系和制度,并体现其可操作化和可执行性。除此之外,还需要若干的细则出台,比如建立网络安全标准体系,由国务院哪些部门组织制定,牵涉哪些行业;网络产品、服务应当符合哪些国家标准和行业标准需要予以明确等等。
3、“网络运营者应当建立健全用户信息保护制度,加强对用户个人信息、隐私和商业秘密的保护”“并应当依照法律、行政法规的规定或者与用户的约定,处理其保存的公民个人信息”。企业更要树立一定的责任感,积极按照法律条款建立用户信息保护制度。
4、网络使用者即任何个人和组织使用网络应当遵守宪法和法律,遵守公共秩序,尊重社会公德,不得危害网络安全。具体条款细化为不得从事入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动、不得出售或者非法向他人提供公民个人信息等,还要增强法律意识。
㈣ 如何解决企业远程办公网络安全问题
企业远程办公的网络安全常见问题及建议
发表时间:2020-03-06 11:46:28
作者:宁宣凤、吴涵等
来源:金杜研究院
分享到:微信新浪微博QQ空间
当前是新型冠状病毒防控的关键期,举国上下万众一心抗击疫情。为增强防控,自二月初以来,北京、上海、广州、杭州等各大城市政府公开表态或发布通告,企业通过信息技术开展远程协作办公、居家办公[1]。2月19日,工信部发布《关于运用新一代信息技术支撑服务疫情防控和复工复产工作的通知》,面对疫情对中小企业复工复产的严重影响,支持运用云计算大力推动企业上云,重点推行远程办公、居家办公、视频会议、网上培训、协同研发和电子商务等在线工作方式[2]。
面对国家和各地政府的呼吁,全国企业积极响应号召。南方都市报在2月中旬发起的网络调查显示,有47.55%的受访者在家办公或在线上课[3]。面对特殊时期庞大的远程办公需求,远程协作平台也积极承担社会担当,早在1月底,即有17家企业的21款产品宣布对全社会用户或特定机构免费开放其远程写作平台软件[4]。
通过信息技术实现远程办公,无论是网络层、系统层,还是业务数据,都将面临更加复杂的网络安全环境,为平稳有效地实现安全复工复产,降低疫情对企业经营和发展的影响,企业应当结合实际情况,建立或者适当调整相适应的网络与信息安全策略。
一、远程办公系统的类型
随着互联网、云计算和物联网等技术的深入发展,各类企业,尤其是互联网公司、律所等专业服务公司,一直在推动实现企业内部的远程协作办公,尤其是远程会议、文档管理等基础功能应用。从功能类型来看,远程办公系统可分为以下几类:[5]
综合协作工具,即提供一套综合性办公解决方案,功能包括即时通信和多方通信会议、文档协作、任务管理、设计管理等,代表软件企包括企业微信、钉钉、飞书等。
即时通信(即InstantMessaging或IM)和多方通信会议,允许两人或以上通过网络实时传递文字、文件并进行语音、视频通信的工具,代表软件包括Webex、Zoom、Slack、Skype等。
文档协作,可为多人提供文档的云存储和在线共享、修改或审阅功能,代表软件包括腾讯文档、金山文档、印象笔记等。
任务管理,可实现任务流程、考勤管理、人事管理、项目管理、合同管理等企业办公自动化(即OfficeAutomation或OA)功能,代表软件包括Trello、Tower、泛微等。
设计管理,可根据使用者要求,系统地进行设计方面的研究与开发管理活动,如素材、工具、图库的管理,代表软件包括创客贴、Canvas等。
二、远程办公不同模式下的网络安全责任主体
《网络安全法》(“《网安法》”)的主要规制对象是网络运营者,即网络的所有者、管理者和网络服务提供者。网络运营者应当承担《网安法》及其配套法规下的网络运行安全和网络信息安全的责任。
对于远程办公系统而言,不同的系统运营方式下,网络安全责任主体(即网络运营者)存在较大的差异。按照远程办公系统的运营方式划分,企业远程办公系统大致可以分为自有系统、云办公系统和综合型系统三大类。企业应明确区分其与平台运营方的责任界限,以明确判断自身应采取的网络安全措施。
(1)自有系统
此类模式下,企业的远程办公系统部署在自有服务器上,系统由企业自主研发、外包研发或使用第三方企业级软件架构。此类系统开发成本相对较高,但因不存在数据流向第三方服务器,安全风险则较低,常见的企业类型包括国企、银行业等重要行业企业与机构,以及经济能力较强且对安全与隐私有较高要求的大型企业。
无论是否为企业自研系统,由于系统架构完毕后由企业单独所有并自主管理,因此企业构成相关办公系统的网络运营者,承担相应的网络安全责任。
(2)云办公系统
此类办公系统通常为SaaS系统或APP,由平台运营方直接在其控制的服务器上向企业提供注册即用的系统远程协作软件平台或APP服务,供企业用户与个人(员工)用户使用。此类系统构建成本相对经济,但往往只能解决企业的特定类型需求,企业通常没有权限对系统进行开发或修改,而且企业数据存储在第三方服务器。该模式的常见企业类型为相对灵活的中小企业。
由于云办公系统(SaaS或APP)的网络、数据库、应用服务器都由平台运营方运营和管理,因此,云办公系统的运营方构成网络运营者,通常对SaaS和APP的网络运行安全和信息安全负有责任。
实践中,平台运营方会通过用户协议等法律文本,将部分网络安全监管义务以合同约定方式转移给企业用户,如要求企业用户严格遵守账号使用规则,要求企业用户对其及其员工上传到平台的信息内容负责。
(3)综合型系统
此类系统部署在企业自有服务器和第三方服务器上,综合了自有系统和云办公,系统的运营不完全由企业控制,多用于有多地架设本地服务器需求的跨国企业。
云办公系统的供应商和企业本身都可能构成网络运营者,应当以各自运营、管理的网络系统为边界,对各自运营的网络承担相应的网络安全责任。
对于企业而言,为明确其与平台运营方的责任边界,企业应当首先确认哪些“网络”是企业单独所有或管理的。在远程办公场景下,企业应当考虑多类因素综合认定,分析包括但不限于以下:
办公系统的服务器、终端、网络设备是否都由企业及企业员工所有或管理;
企业对企业使用的办公系统是否具有最高管理员权限;
办公系统运行过程中产生的数据是否存储于企业所有或管理的服务器;
企业与平台运营方是否就办公系统或相关数据的权益、管理权有明确的协议约定等。
当然,考虑到系统构建的复杂性与多样性,平台运营方和企业在远程协作办公的综合系统中,可能不免共同管理同一网络系统,双方均就该网络承担作为网络运营者的安全责任。但企业仍应通过合同约定,尽可能固定网络系统中双方各自的管理职责以及网络系统的归属。因此,对于共同管理、运营远程协作办公服务平台的情况下,企业和平台运营方应在用户协议中明确双方就该系统各自管理运营的系统模块、各自对其管理的系统模块的网络安全责任以及该平台的所有权归属。
三、远程办公涉及的网络安全问题及应对建议
下文中,我们将回顾近期远程办公相关的一些网络安全热点事件,就涉及的网络安全问题进行简要的风险评估,并为企业提出初步的应对建议。
1.用户流量激增导致远程办公平台“短时间奔溃”,平台运营方是否需要承担网络运行安全责任?
事件回顾:
2020年2月3日,作为春节假期之后的首个工作日,大部分的企业都要求员工在家办公。尽管各远程办公系统的平台运营方均已经提前做好了应对预案,但是巨量的并发响应需求还是超出了各平台运营商的预期,多类在线办公软件均出现了短时间的“信息发送延迟”、“视频卡顿”、“系统奔溃退出”等故障[6]。在出现故障后,平台运营方迅速采取了网络限流、服务器扩容等措施,提高了平台的运载支撑能力和稳定性,同时故障的出现也产生一定程度的分流。最终,尽管各远程办公平台都在较短的时间内恢复了平台的正常运营,但还是遭到了不少用户的吐槽。
风险评估:
依据《网络安全法》(以下简称《网安法》)第22条的规定,网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
远程办公平台的运营方,作为平台及相关网络的运营者,应当对网络的运行安全负责。对于短时间的系统故障,平台运营方是否需要承担相应的法律责任或违约责任,需要结合故障产生的原因、故障产生的危害结果、用户协议中的责任约定等因素来综合判断。
对于上述事件而言,基于我们从公开渠道了解的信息,尽管多个云办公平台出现了响应故障问题,给用户远程办公带来了不便,但平台本身并未暴露出明显的安全缺陷、漏洞等风险,也没有出现网络数据泄露等实质的危害结果,因此,各平台很可能并不会因此而承担网络安全的法律责任。
应对建议:
在疫情的特殊期间,主流的远程办公平台产品均免费开放,因此,各平台都会有大量的新增客户。对于平台运营方而言,良好的应急预案和更好的用户体验,肯定更有利于平台在疫情结束之后留住这些新增的用户群体。
为进一步降低平台运营方的风险,提高用户体验,我们建议平台运营方可以:
将用户流量激增作为平台应急事件处理,制定相应的应急预案,例如,在应急预案中明确流量激增事件的触发条件、服务器扩容的条件、部署临时备用服务器等;
对用户流量实现实时的监测,及时调配平台资源;
建立用户通知机制和话术模板,及时告知用户系统响应延迟的原因及预计恢复的时间等;
在用户协议或与客户签署的其他法律文本中,尝试明确该等系统延迟或奔溃事件的责任安排。
2.在远程办公环境下,以疫情为主题的钓鱼攻击频发,企业如何降低外部网络攻击风险?
事件回顾:
疫情期间,某网络安全公司发现部分境外的黑客组织使用冠状病毒为主题的电子邮件进行恶意软件发送,网络钓鱼和欺诈活动。比如,黑客组织伪装身份(如国家卫健委),以“疫情防控”相关信息为诱饵,发起钓鱼攻击。这些钓鱼邮件攻击冒充可信来源,邮件内容与广大人民群众关注的热点事件密切相关,极具欺骗性。一旦用户点击,可能导致主机被控,重要信息、系统被窃取和破坏[7]。
风险评估:
依据《网安法》第21、25条的规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。同时,网络运营者还应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
远程办公的实现,意味着企业内网需要响应员工移动终端的外网接入请求。员工所处的网络安全环境不一,无论是接入网络还是移动终端本身,都更容易成为网络攻击的对象。一方面,公用WiFi、网络热点等不可信的网络都可能作为员工的网络接入点,这些网络可能毫无安全防护,存在很多常见的容易被攻击的网络漏洞,容易成为网络犯罪组织侵入企业内网的中转站;另一方面,部分员工的移动终端设备可能会安装设置恶意程序的APP或网络插件,员工在疏忽的情况下也可能点击伪装的钓鱼攻击邮件或勒索邮件,严重威胁企业内部网络的安全。
在计算机病毒或外部网络攻击等网络安全事件下,被攻击的企业尽管也是受害者,但如果企业没有按照《网安法》及相关法律规定的要求提前采取必要的技术防范措施和应急响应预案,导致网络数据泄露或者被窃取、篡改,给企业的用户造成损失的,很可能依旧需要承担相应的法律责任。
应对建议:
对于企业而言,为遵守《网安法》及相关法律规定的网络安全义务,我们建议,企业可以从网络安全事件管理机制、移动终端设备安全、数据传输安全等层面审查和提升办公网络的安全:
(1)企业应当根据其运营网络或平台的实际情况、员工整体的网络安全意识,制定相适应的网络安全事件管理机制,包括但不限于:
制定包括数据泄露在内的网络安全事件的应急预案;
建立应对网络安全事件的组织机构和技术措施;
实时监测最新的钓鱼网站、勒索邮件事件;
建立有效的与全体员工的通知机制,包括但不限于邮件、企业微信等通告方式;
制定与员工情况相适应的信息安全培训计划;
设置适当的奖惩措施,要求员工严格遵守公司的信息安全策略。
(2)企业应当根据现有的信息资产情况,采取以下措施,进一步保障移动终端设备安全:
根据员工的权限等级,制定不同的移动终端设备安全管理方案,例如,高级管理人员或具有较高数据库权限的人员仅能使用公司配置的办公专用移动终端设备;
制定针对移动终端设备办公的管理制度,对员工使用自带设备进行办公提出明确的管理要求;
定期对办公专用的移动终端设备的系统进行更新、漏洞扫描;
在终端设备上,对终端进行身份准入认证和安全防护;
重点监测远程接入入口,采用更积极的安全分析策略,发现疑似的网络安全攻击或病毒时,应当及时采取防范措施,并及时联系企业的信息安全团队;
就移动办公的信息安全风险,对员工进行专项培训。
(3)保障数据传输安全,企业可以采取的安全措施包括但不限于:
使用HTTPS等加密传输方式,保障数据传输安全。无论是移动终端与内网之间的数据交互,还是移动终端之间的数据交互,都宜对数据通信链路采取HTTPS等加密方式,防止数据在传输中出现泄漏。
部署虚拟专用网络(VPN),员工通过VPN实现内网连接。值得注意的是,在中国,VPN服务(尤其是跨境的VPN)是受到电信监管的,仅有具有VPN服务资质的企业才可以提供VPN服务。外贸企业、跨国企业因办公自用等原因,需要通过专线等方式跨境联网时,应当向持有相应电信业务许可证的基础运营商租用。
3.内部员工通过VPN进入公司内网,破坏数据库。企业应当如何预防“内鬼”,保障数据安全?
事件回顾:
2月23日晚间,微信头部服务提供商微盟集团旗下SaaS业务服务突发故障,系统崩溃,生产环境和数据遭受严重破坏,导致上百万的商户的业务无法顺利开展,遭受重大损失。根据微盟25日中午发出的声明,此次事故系人为造成,微盟研发中心运维部核心运维人员贺某,于2月23日晚18点56分通过个人VPN登入公司内网跳板机,因个人精神、生活等原因对微盟线上生产环境进行恶意破坏。目前,贺某被上海市宝山区公安局刑事拘留,并承认了犯罪事实[8]。由于数据库遭到严重破坏,微盟长时间无法向合作商家提供电商支持服务,此处事故必然给合作商户带来直接的经济损失。作为港股上市的企业,微盟的股价也在事故发生之后大幅下跌。
从微盟的公告可以看出,微盟员工删库事件的一个促成条件是“该员工作为运维部核心运维人员,通过个人VPN登录到了公司内网跳板机,并具有删库的权限”。该事件无论是对SaaS服务商而言,还是对普通的企业用户而言,都值得反思和自省。
风险评估:
依据《网安法》第21、25条的规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。同时,网络运营者还应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
内部员工泄密一直是企业数据泄露事故的主要原因之一,也是当前“侵犯公民个人信息犯罪”的典型行为模式。远程办公环境下,企业需要为大部分的员工提供连接内网及相关数据库的访问权限,进一步增大数据泄露甚至被破坏的风险。
与用户流量激增导致的系统“短时间崩溃”不同,“微盟删库”事件的发生可能与企业内部信息安全管理有直接的关系。如果平台内合作商户产生直接经济损失,不排除平台运营者可能需要承担网络安全相关的法律责任。
应对建议:
为有效预防员工恶意破坏、泄露公司数据,保障企业的数据安全,我们建议企业可以采取以下预防措施:
制定远程办公或移动办公的管理制度,区分办公专用移动设备和员工自有移动设备,进行分类管理,包括但不限于严格管理办公专用移动设备的读写权限、员工自有移动设备的系统权限,尤其是企业数据库的管理权限;
建立数据分级管理制度,例如,应当根据数据敏感程度,制定相适应的访问、改写权限,对于核心数据库的数据,应当禁止员工通过远程登录方式进行操作或处理;
根据员工工作需求,依据必要性原则,评估、审核与限制员工的数据访问和处理权限,例如,禁止员工下载数据到任何用户自有的移动终端设备;
建立数据泄露的应急管理方案,包括安全事件的监测和上报机制,安全事件的响应预案;
制定远程办公的操作规范,使用文件和材料的管理规范、应用软件安装的审批流程等;
组建具备远程安全服务能力的团队,负责实时监控员工对核心数据库或敏感数据的操作行为、数据库的安全情况;
加强对员工远程办公安全意识教育。
4.疫情期间,为了公共利益,企业通过系统在线收集员工疫情相关的信息,是否需要取得员工授权?疫情结束之后,应当如何处理收集的员工健康信息?
场景示例:
在远程办公期间,为加强用工管理,确保企业办公场所的健康安全和制定相关疫情防控措施,企业会持续地向员工收集各类疫情相关的信息,包括个人及家庭成员的健康状况、近期所在地区、当前住址、所乘航班或火车班次等信息。收集方式包括邮件、OA系统上报、问卷调查等方式。企业会对收集的信息进行统计和监测,在必要时,向监管部门报告企业员工的整体情况。如发现疑似病例,企业也会及时向相关的疾病预防控制机构或者医疗机构报告。
风险评估:
2020年1月20日,新型冠状病毒感染肺炎被国家卫健委纳入《中华人民共和国传染病防治法》规定的乙类传染病,并采取甲类传染病的预防、控制措施。《中华人民共和国传染病防治法》第三十一条规定,任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。
2月9日,中央网信办发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称《通知》),各地方各部门要高度重视个人信息保护工作,除国务院卫生健康部门依据《中华人民共和国网络安全法》、《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。
各地也陆续出台了针对防疫的规范性文件,以北京为例,根据《北京市人民代表大会常务委员会关于依法防控新型冠状病毒感染肺炎疫情坚决打赢疫情防控阻击战的决定》,本市行政区域内的机关、企业事业单位、社会团体和其他组织应当依法做好本单位的疫情防控工作,建立健全防控工作责任制和管理制度,配备必要的防护物品、设施,加强对本单位人员的健康监测,督促从疫情严重地区回京人员按照政府有关规定进行医学观察或者居家观察,发现异常情况按照要求及时报告并采取相应的防控措施。按照属地人民政府的要求,积极组织人员参加疫情防控工作。
依据《通知》及上述法律法规和规范性文件的规定,我们理解,在疫情期间,如果企业依据《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》获得了国务院卫生健康部门的授权,企业在授权范围内,应当可以收集本单位人员疫情相关的健康信息,而无需取得员工的授权同意。如果不能满足上述例外情形,企业还是应当依照《网安法》的规定,在收集前获得用户的授权同意。
《通知》明确规定,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,但因联防联控工作需要,且经过脱敏处理的除外。收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露。具体可参考我们近期的文章《解读网信办<关于做好个人信息保护利用大数据支撑防疫联控工作的通知>》
应对建议:
在远程期间,如果企业希望通过远程办公系统收集员工疫情相关的个人信息,我们建议各企业应当:
制定隐私声明或用户授权告知文本,在员工初次提交相关信息前,获得员工的授权同意;
遵循最小必要原则,制定信息收集的策略,包括收集的信息类型、频率和颗粒度;
遵循目的限制原则,对收集的疫情防控相关的个人信息进行区分管理,避免与企业此前收集的员工信息进行融合;
在对外展示企业整体的健康情况时或者披露疑似病例时,对员工的相关信息进行脱敏处理;
制定信息删除管理机制,在满足防控目的之后,及时删除相关的员工信息;
制定针对性的信息管理和保护机制,将收集的员工疫情相关的个人信息,作为个人敏感信息进行保护,严格控制员工的访问权限,防止数据泄露。
5.远程办公期间,为有效监督和管理员工,企业希望对员工进行适当的监测,如何才能做到合法合规?
场景示例:
远程办公期间,为了有效监督和管理员工,企业根据自身情况制定了定时汇报、签到打卡、视频监控工作状态等措施,要求员工主动配合达到远程办公的监测目的。员工通过系统完成汇报、签到打卡时,很可能会反复提交自己的姓名、电话号码、邮箱、所在城市等个人基本信息用于验证员工的身份。
同时,在使用远程OA系统或App时,办公系统也会自动记录员工的登录日志,记录如IP地址、登录地理位置、用户基本信息、日常沟通信息等数据。此外,如果员工使用企业分配的办公终端设备或远程终端虚拟机软件开展工作,终端设备和虚拟机软件中可能预装了监测插件或软件,在满足特定条件的情况下,会记录员工在终端设备的操作行为记录、上网记录等。
风险评估:
上述场景示例中,企业会通过1)员工主动提供和2)办公软件自动或触发式收集两种方式收集员工的个人信息,构成《网安法》下的个人信息收集行为。企业应当根据《网安法》及相关法律法规的要求,遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并获取员工的同意。
对于视频监控以及系统监测软件或插件的使用,如果操作不当,并且没有事先取得员工的授权同意,很可能还会侵犯到员工的隐私,企业应当尤其注意。
应对建议:
远程办公期间,尤其在当前员工还在适应该等工作模式的情形下,企业根据自身情况采取适当的监督和管理措施,具有正当性。我们建议企业可以采取以下措施,以确保管理和监测行为的合法合规:
评估公司原有的员工合同或员工个人信息收集授权书,是否能够满足远程办公的监测要求,如果授权存在瑕疵,应当根据企业的实际情况,设计获取补充授权的方式,包括授权告知文本的弹窗、邮件通告等;
根据收集场景,逐项评估收集员工个人信息的必要性。例如,是否存在重复收集信息的情况,是否有必要通过视频监控工作状态,监控的频率是否恰当;
针对系统监测软件和插件,设计单独的信息收集策略,做好员工隐私保护与公司数据安全的平衡;
遵守目的限制原则,未经员工授权,不得将收集的员工数据用于工作监测以外的其他目的。
四、总结
此次疫情,以大数据、人工智能、云计算、移动互联网为代表的数字科技在疫情防控中发挥了重要作用,也进一步推动了远程办公、线上运营等业务模式的发展。这既是疫情倒逼加快数字化智能化转型的结果,也代表了未来新的生产力和新的发展方向[9]。此次“突发性的全民远程办公热潮”之后,远程办公、线上运营将愈发普及,线下办公和线上办公也将形成更好的统一,真正达到提升工作效率的目的。
加快数字化智能化升级也是推进国家治理体系和治理能力现代化的迫切需要。党的十九届四中全会对推进国家治理体系和治理能力现代化作出重大部署,强调要推进数字政府建设,加强数据共享,建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则[10]。
为平稳加速推进数字化智能化发展,契合政府现代化治理的理念,企业务必需要全面梳理并完善现有的网络安全与数据合规策略,为迎接新的智能化管理时代做好准备。
㈤ 新出台的《网络安全法》对企业有哪些影响
随着互联网与实体经济、传统生产等的逐步融合,网络安全尤为关键。《中华人民共和国网络安全法》(以下简称:网络安全法)最近由全国人大常委会表决通过,于2017年6月1日起正式施行。这部备受关注的网络安全基础性法律的出台,将会对个人、企业等相关主体产生哪些影响?
对个人:个人信息受保护更加明确
目前,我国网络用户群体庞大。据中国互联网络信息中心《第38次中国互联网络发展状况统计报告》,截至2016年6月底,中国网民规模达7.1亿,互联网普及率达51.7%,其中手机网民规模达6.56亿,网络安全问题不可掉以轻心。那么,网络安全法的出台,将会给个人带来哪些影响?
网络安全法对保护个人信息有了明确规定,如“网络运营者不得泄露、篡改、毁损其收集的个人信息”“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”等。
中国信息安全研究院副院长左晓栋指出,保护个人信息是当前网络工作中的重要方面,随着云计算、大数据时代的到来,越来越多的企业和机构拥有搜索个人信息的能力,个人信息的使用、交互、跨境传输越发频繁。虽然相关部门此前有一些政策法规,但总体比较分散、不成体系,正需要这样一部上位法。
360网络安全专家裴智勇指出,个人信息泄漏有多种原因,如网站存在安全漏洞,黑客或钓鱼网站的窃取,无良商家的盗卖等。第三方机构已披露的数据显示,2015年,中国网站因为安全漏洞可能泄漏的个人信息多达55.3亿条,其中包括大量的用户实名信息。
中国互联网协会“互联网+”研究咨询中心副主任李易表示,未来网上聊天记录、邮件往来等,都可以作为证据进行留存取证,网络纠纷和安全问题更便于追溯。这对网民网上消费生活信心的极大提升。他打了个比方,如果个人用户在手机上下载并使用某个APP而导致个人信息泄露,过去没法投诉提供服务的应用商,但网络安全法提供了明确的法律依据,“这意味着以后涉及互联网领域的官司可能会越来越好打了。”
另一方面,网络安全法提出的“网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,应当要求用户提供真实身份信息”等规定,也以法律形式明确了“网络实名制”。这给遏制如今网络谣言肆意传播、网络暴力泛滥等乱象,提供了法治基础。
左晓栋认为,从打击犯罪、维护国家安全等角度看,这次提出的网络实名制比以往的电话实名制范围更广,且其“前台匿名、后台实名”的原则也充分保护个人隐私,如个人上网发帖子以后照样可以匿名或用网名,只是在涉及执法时后台能追踪调查到个人。
对企业:提高了准入门槛和运行安全能力要求
一旦互联网企业或系统出现问题乃至发生瘫痪,会造成重大损失。在业内专家看来,互联网发展到现阶段,需要设置门槛,不能再“野蛮生长”;这个门槛就是安全,而网络安全法正是“安全保障之门”。
中国政法大学传播法研究中心副主任朱巍指出,网络安全法对企业的安全资质、内部技术、制度等有了具体规定,要求网络服务提供者开展业务、提供服务的同时保障安全,若达不到要求无法进行服务。这将作为互联网企业发展的一个衡量标准。
同时,网络安全法也对互联网公司提出了更高要求。特别是,大型互联网公司现在已可被视为基础信息平台,如阿里、网络、腾讯等拥有数亿用户,这些企业应承担起相应的义务。李易认为,互联网企业必须有与其基础信息平台相匹配的技术能力,如应对黑客攻击、避免用户损失等。同时,也要有相关的法律条款,对大企业的“霸王条款”进行规制。
业内专家也提出,网络安全法中“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”等规定,也对在我国经营的国外互联网企业有了规范要求。
总的来说,网络安全法将提高互联网企业的市场准入门槛,对发展运行也提出了更高的要求。尤其,在法律规范下,不具备安全技术能力的中小企业,未来可能更容易被淘汰。
专家建议:具体规定仍待细化
网络安全法出台到具体落实,还有一段过渡时间。在不少专家看来,不少具体规定要“落地”,还有一些配套措施需要完善。
朱巍说,网络实名制问题,到现在还没有彻底落实,主要原因在技术上,是采用手机还是EID(网络电子身份证)等,方式仍未确定。另外,网站的主体责任问题目前仍未落实;仍未明确不同行业应遵循的具体标准;对于网站创建网民协议、搜集用户信息、用户知情权等的具体规定,也较缺乏。而且,现在很多互联网企业并不保存点对点的信息记录,一旦出现问题还是很难溯源。
朱巍认为,网络安全法“落地”,需要实施细则、个人数据保护法等其他法规的“配合”,网民协议制度、行业自律规范、技术能力等也都要跟上。
李易说,可以考虑推行评级系统,互联网企业要正常运营,网络安全评级或可信度需要达到一定的等级,“这也相当于一个准入标准。”
北京师范大学法学院教授、亚太网络法律研究中心主任刘德良表示,未来要处理好网络安全法与一些相关法律法规的关系,如民事侵权责任、个人信息保护、软硬件市场准入等相关法律法规,在保障网络安全的同时,避免在法律适用等环节出现问题。
互联网领域新生事物的快速发展,对监管部门提出了更高的要求。业内专家指出,强制要求备案,所有互联网企业域名解析、服务器托管需要相关认证等规定,都是对互联网企业创业的基本要求,尤其对于中小企业。左晓栋等表示,网路安全法到明年正式施行,还有几个月时间,相关部门当抓紧制定和完善相关细则规定,推动相关企业做好准备工作。
㈥ 网络安全法责任是怎么规定的
1、建立信息安全管理制度义务
网络运营者通常是通过公司章程、用户协议、网络管理制度等对网络平台、用户进行管理。网络运营者要落实安全管理责任,首先就需要建立健全内部安全管理制度。《网络安全法》第21条规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。
2、用户身份信息审核义务
建立用户身份信息制度有助于构建诚信的网络空间。《网络安全法》第24条规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
3、用户发布信息管理义务
网络运营者对其平台上的信息负有管理义务。《网络安全法》第47条规定,网络运营者应当加强对其用户发布的信息的管理。信息管理手段包括对网上公共信息进行巡查。工信部《通信短信息服务管理规定》、公安部《互联网危险物品信息发布管理规定》、国信办《互联网信息搜索服务管理规定》等规定均要求网络服务提供者对公共信息进行实时巡查。
4、保障个人信息安全义务
网络运营者在运营中会收集大量的个人信息,保障个人信息安全是网络运营者的基本义务。《网络安全法》第40—44条对网络运营者的个人信息保护义务做了较为具体的规定。
5、违法信息处置义务
网络运营者发现其用户发布的违法信息,应当立即进行处置。《网络安全法》第47条规定,网络运营者发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
㈦ 谈谈我国关于网络服务提供者责任的认定有哪些
网络时代的到来促进了社会、文化和经济的全面发展,网络服务商在网络世界扮演着重要的角色,决定着网络产业的健康、可持续发展。网络环境下的侵权行为和权益保护是一个非常复杂的世界性难题。针对目前互联网上侵权现象严重的现状,一面是强烈要求受到法律保护的利益群体,一面是面对不断出现的新的网络侵权行为,虽在逐步调整但相对迟滞的法律制度。由于网络侵权行为自身的特点,如何界定网络侵权,确定不同网络侵权主体的责任,适用何种侵权归责原则,侵权责任如何承担,对网络服务提供者的侵权责任进行分析研究,以期引起相关部门对网络侵权进行重视,落实网络服务提供者的侵权责任,以维护网络用户的合法权益。
一、网络服务提供者侵权责任的概念
网络服务提供者的侵权责任可以分别从广义和狭义上来理解。广义上,网络服务提供者的侵权责任指的是利用网络侵害他人民事权益时的作为责任,以及因未尽到法律规定的义务对网络用户在其网络上发生的侵权行为承担的不作为责任。狭义上,网络服务提供者的侵权责任仅指因未能避免网络用户利用其网络实施的侵权行为而承担的不作为侵权责任。本文所论述的网络服务提供者侵权责任是广义上概念,即网络服务提供者对自己实施的或者他人利用其提供的服务而实施的侵权行为所应承担的民事责任。
二、我国现行法律规定
对网络服务提供者的侵权责任在立法中进行规定,可以说是当今世界的潮流,依前所述,发达国家对此都有比较完备的法律加以规制。我国也认识到了这个问题的重要性,并在立法和司法解释中逐步进行了规定。在《最高人民法院关于审理涉及计算机网络着作权纠纷案件适用法律若干问题的解释》中对网络服务提供者的侵权责任作出了一些规定,涉及到了网络服务提供者的共同侵权责任、网络服务提供者破坏权利人技术保护措施的责任、网络服务提供者的协助调查义务和网络服务提供者侵权责任限制等问题,初步建立了我国的网络服务提供者的侵权责任制度。对网络服务提供者侵权责任问题更好地加以规制,我国在国内外的司法实践和法律法规的基础上于2006年5月颁布,7月1日开始正式实施了《信息网络传播权保护条例》。在该条例中,对网络服务提供者侵权责任进行了较为详尽的规定,更加明确和完善了这一制度。
我国《侵权责任法》第三十六条规定:“网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。 网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。”这是我国法院审理网络服务提供者侵权案件的主要依据。也是网络服务提供者承担侵权责任的准绳。该条规定了在网络服务提供者在一定的条件下应该承担连带责任,这是完全有利于保护网络用户的合法权益的有力保障,同时它还规定了网络服务提供者应负有一定的注意义务,在收到被侵权人的通知后负有删除,屏蔽,断开链接等义务,否则就要承担损害扩大部分的连带责任,这是立法者站在网络用户的角度,主要是为了维护在网络环境中处于弱势群体的网络用户的利益,符合社会的公平正义与保护弱者的宗旨的。
三、规定不足之处
1、侵权责任主体中网络服务提供者的范围不明确
《侵权责任法》第36条规定了网络侵权的相关内容,对于打击我国层出不穷的网络侵权案件有很大的作用,但是该条的规定仍然过于笼统,尤其是对于侵权主体的规定过于概括和抽象。其规定网络用户和网络服务提供者均是网络侵权的主体,但对于网络服务提供者没有一个统一的概念和定义,如果对这一概念仅仅只是笼统的表述,在实践生活中将很难追究其相应的法律责任,故笔者认为应该对于网络侵权的主体进行完善和确定。我国网络侵权责任规则主要的依据是《侵权责任法》,其中36条对于责任的限制做出了相应的规定,但是没有明确怎样进行限制,只是笼统的对网络服务提供者做出了一般的规定。在该规则的实施中,如果责任的限制不进行具体的规定,将难以实现该法律规则的目的和意图,也难以保护网络服务提供者的合法权利。在适用《侵权责任法》第36条的过程中,由于责任限制规定不具体,很多关键性的词语和概念不明确,比如对于“知道”的理解、对于“及时措施”的规定、对于“必要”的理解都存在不一致的地方。在适用该条款时,没有统一的规定,从而导致各地各人标准不一致,不利于该规则的实施[17]。
2、“通知条款” 不利网络服务提供者责任承担
《侵权责任法》第36条第2款原文为:网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。学者们将该款一般称之为“通知条款”或是“提示规则”,该款确定了一个重要的规则即“通知——删除”规则。该规则也有人称为“通知与取下程序”, 通知——删除制度在实体法上存在侵害言论自由的可能,在程序法上具有超越司法正当程序的嫌疑。主要是指被侵权人在发现自己的合法权利被侵害后,有权通知网络服务提供者,网络服务提供者在接到合格的通知后,必须对该侵权信息采取必要的措施,立即进行删除或是断开连接的行为。该款不考虑网络服务提供者直接侵权的情形,对于网络服务提供者直接侵权的,直接承担侵权责任,不具有该款的免责情形。如此,该款有两层意思,一是网络服务提供者只对接到通知以后的损害承担责任;二是网络服务提供者只对接到通知以后因为没有及时采取措施而产生的损害扩大部分,与侵权行为人承担连带责任。在分析该款的法律意义时,应该着重分析两个问题,一是“通知-删除规则”,二是“采取必要措施”。该款可以理解为,网络服务提供者只有在接到被侵权人的合理通知后,因为没有采取措施而产生的损害扩大部分承担连带责任,而只要网络服务提供者没有接到被侵权人的合理通知,则不需要承担相应的责任,这就是网络服务提供者承担法律责任的一个前提条件,也是一个免责事由,网络服务提供者可以根据此款进行抗辩。
3.、“知道条款” 限制网络服务提供者承担责任
在“知道条款”下,对于知道有两层含义,一是要明确的知晓信息的存在,二是要知道该信息是侵犯他人民事权利的信息。网络服务提供者是基于过错而承担的法律责任,此时,网络服务提供者与侵权人构成了共同侵权。侵权人实施了侵害他人民事权利的行为时,网络服务提供者在知道的情况下,没有采取必要的措施,已经形成了过错,在此范围内与侵权人具有共同的过错,所以应当承担连带责任。反过来说,因为该款是以过错为归责原则的,如果网络服务提供者对于侵权人实施的侵权行为并不知道,也没有理由知道或是有证据证明其知道该侵权行为的存在,那么网络服务提供者可以不承担责任,这也是网络服务提供者承担责任的限制,网络服务提供者可以以此为抗辩条件,是其免责的一个因素。之所以可以免责,就是因为没有过错,法律不能强求一个没有过错的人承担相应的法律责任。
4、 网络服务提供者就“扩大部分”承担连带责任界定很困难
按照《侵权责任法》第36条第2款规定,网络服务提供者违反提示规则,是“对损害的扩大部分与该网络用户承担连带责任”。这个规则是正确的,网络服务提供者仅仅是对网络用户的侵权行为经过提示而没有采取必要措施,是对损害的扩大有因果关系,因而就损害的扩大部分承担连带责任。由于网络侵权案件大多数是对人精神上的损害,因此对于“扩大部分”的精神损害很难界定,亟需细化,量化。
四、完善建议
1、明确侵权责任主体中网络服务提供者的范围
对于网络侵权的主体进行完善和确定。我们可以颁布相应的司法解释,规定和明确网络服务提供者的范围和分类。我们可以借鉴和采纳德国《规定信息和通讯服务的一般条件的联邦立法》,将网络服务提供者进行一个明确的分类,并针对不同的类型确定相应的责任,这样将更有利于打击网络侵权行为,更加有利于维护权利人的合法权利。
2、“通知删除规则”实施中的缺陷完善
通知作为启动网络中介服务提供者责任的一个重要条件,需要完善通知的可操作性。被侵权人发出的通知应该是书面的通知,对于口头的通知不能作为合格的通知。因为书面的通知更加正式,只有书面的通知才有据可依,也是是否发出通知的一个标准,才能作为固定的证据进行使用,也是判断网络服务提供者是否收到通知的一个标准。通知除了应该为书面的外,还要对内容进行规范,通知必须具体,必须载明具体的措施,只有这样,网络服务提供者在收到通知后,才能据通知的要求进行处理,在通知发出者实施了反侵权行为时,网络服务提供者才能据此免责。
3、 “知道条款规则”实施中的补救措施
由于信息之多,网络服务提供者如果每条信息都要进行审查,那么无疑会加重其负担,在实际生活中也是不现实的,如果知道要包含应知,那么也就是要课以网络服务提供者信息事先审查的义务,显然是不利于网络社会的发展的[18],故本人认为,此处的知道不应包含应知,而是明确知道和有理由知道。我们应该出台司法解释,对于“知道”进行准确的定义,明确指出知道的含义是明确知道和有理由知道,不应包含应知。
4、网络服务提供者就“扩大部分”承担连带责任界定
网络服务提供者是经过了被侵权人的提示,提示而不删除才构成连带责任的。因此,对扩大部分的界定就应当从被侵权人提示的那个时间开始,因此需要相关部门出台法律解释,对该问题作出细致的的界定。对此问题的解决办法之一就是推行网络实名注册制度。网络日益渗透到人们的生活当中,成为人类生活的第二空间。虽然这个空间被称作虚拟空间,但人们在其中的行为却实在地发生着,因此我们必须推行实名注册制度,用以约束网络用户的网络行为,减少网络侵权的存在。具体而言,笔者认为应当由公安机关负责办理具有口令功能的“网络身份证”:公民持有效身份证件向公安机关提出申请,办理“网络身份证”,在需要发帖或者进行其他网络活动时输入口令即可,而办理“网络身份证”的信息由公安机关管理并保护。这样既可以推行网络实名注册,又可以防止个人信息的泄露,保护公民言论自由的权利,最重要的是能为网络侵权案件找到承担责任的最终责任人,起到约束网络行为的作用。
五、结语
在网络信息时代,人们在网上所享受的丰富的信息资源、便捷的即时通讯等都离不开网络服务商所提供的各种服务。随着网络服务日益走入人们的日常生活,网络侵权案件也层出不穷,网络服务商作为信息世界的重要一部分,不可避免地成为被诉侵权责任的对象。但是由于互联网的虚拟性使得网络侵权行为与一般侵权行为有所不同,如何确定网络服务商的侵权责任是解决网络侵权纠纷的重要部分。
网络侵权行为手段复杂多样,随着网络技术的发展,其侵权行为呈多样化发展趋势,如对传统作品的非授权上载,对数字作品的非法下载,网站之间的非法转载,发表非法言论侵犯他人名誉权和隐私权等,非法链接和搜索引擎,网络域名的恶意抢注等,且日趋向广度和深度发展。在侵权责任的归责原则上,除了替代责任和产品责任适用无过错责任外,对其他网络侵权行为一般应适用过错责任原则。在责任的承担上,网络用户和网络服务提供商要为自己的单独侵权行为承担直接侵权责任,此外,网络服务提供商还要在一定条件下为用户的侵权行为承担间接责任。
由于我国尚未制定一系列比较成熟完善的关于网络侵权的法律,对一些新出现的网络侵权类型并无明文规定,实践中的认识也并不统一,如对于深度链接的性质和责任认定。笔者认为如何通过立法确立网络服务商的侵权责任与监管义务、合理分配权利人和网络服务商的利益是我国完善网络服务商立法的关键。要在立法完善之路上走好这关键的一步就要确立网络服务商侵权责任限制的归责原则。我国在侵权责任归责原则上应该采用过错责任原则,网络服务商在主观上有过错的条件下才可以承担侵权责任,有利于网络服务商与权利人的利益平衡。
综上所述,中国网络服务商的侵权责任立法应该以中国网络服务发展水平为基点,借鉴国外有益的立法原则,融合中国的现有的侵权责任制度制定出一套有利于完善我国网络服务商侵权责任立法的法律。由于笔者能力有限,阅历尚浅,因此在对完善网络服务商的侵权责任立法方面提出了一些不成熟的建议,希望能够对完善我国网络服务商的立法有所帮助。
㈧ 《中华人民共和国网络安全法》对网络运营者有什么影响
《中华人民共和国网络安全法》对正规的网络运营者是没有什么影响的;影响的就是那些利用网络无形和善变的特点,进行非法活动甚至诈骗、敛财的不良网络运营者。
网络运营者本身就具有双重性,一面是网络运营者、另一面是网络受益者,而《中华人民共和国网络安全法》的实施,就是保护正规的网络运营者和网络受益者的(比如私人信息的保障、黑客攻击等等),打击不良网络运营者,营造均有公正、公开、公平、依法、遵纪的网络世界的。