謝永江：《網路安全法》之網路運營者的責任和義務

【E安全特約稿】本文作者謝永江，北京郵電大學互聯網治理與法律研究中心常務副主任、中國科技法學會常務理事、中國網路空間安全協會理事。原標題為《《網路安全法》明確了網路運營者的網路信息安全義務》，對網路運營者的網路信息安全義務進行了深入分析。

編者按：《網路安全法》是我國網路空間第一部基本大法，它強化了我國網路空間主權的戰略意義與監管的範疇，其中第9條總括性地規定了網路運營者的網路安全義務。同時，《網路安全法》第21條、第24條、第40—44條、第47條、48條、第49條，以及《刑法》第286條均對網路運營者的網路信息安全義務進行了規定。未來，網路網路運營者責任重大。

圖：謝永江

網路運營者，特別是大型互聯網企業，擁有海量的用戶，是網路社會最重要的節點，也是實施網路治理的關鍵主體。我國在網路政策上主張「誰接入，誰負責」、「誰運營，誰負責」，一直強調網路運營者的「主體責任」，要求網路運營者對其運營的網站和提供的網路產品和服務承擔安全義務。《網路安全法》則在法律層面將網路運營者的網路信息安全義務和責任法定化。

在網路領域，網路運營者比普通企業通常需要承擔更多的安全義務，這主要是因為在網路領域，政府監管存在一定失靈現象。

（第一）具有眾多用戶的網路平台往往是一個網路社會，網民通過平台進行各項社會活動，客觀上需要進行有效的管理，防止非法信息和社會風險的傳播和擴散。

（第二）網路空間信息技術和應用日新月異，法律和政府管理手段難以及時跟進。

（第三）政府和企業之間存在信息不對稱。在網路信息時代，政府對信息控制的能力在削弱。與傳統領域由政府掌握更多的管理信息不同，政府對網路空間的管理需要更多的技術支持和數據支持，但相關先進技術和海量數據往往由互聯網企業掌握，政府缺乏有效管理所必須的技術和數據，反而要求助作為被管理對象的網路運營者提供幫助和支持，形成管理困境。

（第四）如果由政府出資來開發行政管理所必須的技術，收集、分析行政管理所必須的數據，即使能做到，成本也將是非常巨大的，將增迦納稅人的負擔。如果由網路運營者來分擔一部分管理責任，則具有效率。

（第五）在網路空間，信息發布非常便捷，信息傳播非常迅速，違法損害後果常常被網路放大，待到政府事後處理，損害已經造成，難以挽回。因此政府的事後處理是缺乏效率的，而事前預防和事中監督都需要技術和數據支持，這對網路運營者來講，則較為容易做到。

因此，在網路空間需要重新配置政府、社會、企業的責任，政府根據「誰接入，誰負責」、「誰經營，誰負責」和「責權利相一致」的原則，將一部分管理職責「下放」給網路運營者和行業協會，是一種更有效率的做法，從宏觀上來講，不會過分增加企業和社會負擔。

《網路安全法》基於共同治理的原則，明確了網路運營者所應承擔的網路信息安全義務。我國《網路安全法》第9條總括性地規定了網路運營者的網路安全義務，即：網路運營者開展經營和服務活動，必須遵守法律、行政法規，尊重社會公德，遵守商業道德，誠實信用，履行網路安全保護義務，接受政府和社會的監督，承擔社會責任。在分則章節中進一步細化了的網路運營者的網路信息安全義務，具體包括：

一、建立信息安全管理制度義務

網路運營者通常是通過公司章程、用戶協議、網路管理制度等對網路平台、用戶進行管理。網路運營者要落實安全管理責任，首先就需要建立健全內部安全管理制度。《網路安全法》第21條規定，網路運營者應當制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任。

二、用戶身份信息審核義務

建立用戶身份信息制度有助於構建誠信的網路空間。《網路安全法》第24條規定，網路運營者為用戶辦理網路接入、域名註冊服務，辦理固定電話、行動電話等入網手續，或者為用戶提供信息發布、即時通訊等服務，在與用戶簽訂協議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網路運營者不得為其提供相關服務。

三、用戶發布信息管理義務

網路運營者對其平台上的信息負有管理義務。《網路安全法》第47條規定，網路運營者應當加強對其用戶發布的信息的管理。信息管理手段包括對網上公共信息進行巡查。工信部《通信簡訊息服務管理規定》、公安部《互聯網危險物品信息發布管理規定》、國信辦《互聯網信息搜索服務管理規定》等規定均要求網路服務提供者對公共信息進行實時巡查。

四、保障個人信息安全義務

網路運營者在運營中會收集大量的個人信息，保障個人信息安全是網路運營者的基本義務。《網路安全法》第40—44條對網路運營者的個人信息保護義務做了較為具體的規定。

五、違法信息處置義務

網路運營者發現其用戶發布的違法信息，應當立即進行處置。《網路安全法》第47條規定，網路運營者發現法律、行政法規禁止發布或者傳輸的信息的，應當立即停止傳輸該信息，採取消除等處置措施，防止信息擴散，保存有關記錄，並向有關主管部門報告。

六、信息記錄義務

網路空間的管理和安全維護依賴於對各類信息的分析、挖掘。《網路安全法》第21條規定網路運營者應當留存網路日誌不少於六個月。網路日誌包括用戶日誌和系統日誌。用戶日誌和系統日誌中的信息應滿足維護網路安全和監督檢查的需要。

七、投訴處理義務

網路運營者建立網路信息安全投訴、舉報制度後，應及時受理並處理有關網信息安全的投訴和舉報。《網路安全法》第49條規定，網路運營者應當建立網路信息安全投訴、舉報制度，公布投訴、舉報方式等信息，及時受理並處理有關網路信息安全的投訴和舉報。

八、報告義務

網路運營者應當將違法信息和信息安全事件向有關主管部門報告。《網路安全法》第47、48條規定，網路運營者、電子信息發送服務提供者和應用軟體下載服務提供者發現法律、行政法規禁止發布或者傳輸的信息的，應當保存有關記錄，並向有關主管部門報告。當發生網路安全事件時，網路運營者也應當向有關主管部門報告。《網路安全法》第42條第2款規定，在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即採取補救措施，按照規定及時告知用戶並向有關主管部門報告。

九、配合監督檢查的義務

網路運營者對有關部門依法實施的監督檢查，應當予以配合。《網路安全法》第49條規定，網路運營者對網信部門和有關部門依法實施的監督檢查，應當予以配合。

《網路安全法》規定的以上義務，還需要通過法規、規章進一步具體化。當《網路安全法》和有關法規對網路運營者的網路信息安全義務有了明確規定之後，《刑法》第286條之一規定的「拒不履行信息網路安全管理義務罪」才具有操作性。

E安全註：本文系E安全獨家稿件，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！