随着我国企业组织不断加强并深度参与国际经济贸易,通过国际互联网信道进行数据信息交换的需求强烈而且频繁,所以为规范和保障国际信息交流的健康发展,当前对国际联网流量进行审查过滤,也因此对部分网络资源的高效获取带来影响。
发展数字经济时代,企业组织利用互联网参与国际经济贸易活动日益频繁,通过数字信息化技术进行技术创新,实现数字化新发展、业务新成长成为当前各类企业机构积极探索的热点主题。信息技术产业技术更新迭代频繁,拥有广泛的横向跨产业影响效应,从2022年的“元宇宙”到2023年的“ChatGPT”,既表征了互联网数字化产业异于传统行业的活力,同时也表明企业组织必须积极加入国际化技术竞争,与全球的互联网产业保持积极互动,从而获得发展优势。国际互联网是当前各大企业组织机构实现跨区域、国家进行通信与业务往来,实现数据资源交互,完成项目产品交付等关键任务的重要通道。
当下,网络安全监管体系日趋严格以及流量内容过滤清洗的双重影响,部分国际互联网站点与资源容易出现访问效率受限、拒绝访问的情况。
随着我国企业组织不断加强并深度参与国际经济贸易,通过国际互联网信道进行数据信息交换的需求强烈而且频繁,所以为规范和保障国际信息交流的健康发展,当前对国际联网流量进行审查过滤,也因此对部分网络资源的高效获取带来影响。与此同时,伴随我国当前信息领域法律法规体系日趋完善,所以明确组织使用非法定信道访问国际互联网是否违法、违什么法、如何惩罚、合规如何建设管理成为一个重要议题,其能够帮助企业明确使用非法定信道的合规风险,防止因“翻墙”而受到监管机构处罚,正向推动企业组织将国际联网合规纳入本机构信息安全管理体系建设,合法访问国际互联网资源。
针对相关问题,企业组织机构通过法定信道合法、合规获取国际互联网资源异常重要,尤其从2021年开始,信息领域法律法规持续细化完善,部门规章、行业准则不断出台实施,国家、行业、团体标准每年的发布规模与更新效率也不断达到新的高度。企业组织早期“无法可依”的“裸奔”时代已经过去,当前面临的是“合规必须执行到位、责任必须落实到人”的时代已经到来。除此之外,我国刑事领域网络安全犯罪的打击日益精准,执法能力日益增强,围绕企业组织因互联网管理不合规受到行政处罚的案件不断增多,所以组织机构必须积极将此纳入日常管理体系,防止因疏于管理,因为诸如非法外联、搭建境外服务器以及各类“翻墙”行为受到监管机构的行政处罚,甚至因制作、传播或贩卖“翻墙”工具而触犯刑法。
一、互联网信道法规要求
针对非法定信道的管理,除一般法《刑法》分则妨害社会管理秩序涉及的网络安全领域相关罪名,特殊法《网络安全法》《数据安全法》乃至《个人信息保护法》联合构成上位法体系化要求。但因单纯使用非法定信道这一行为相对具象,不适合于法律层面为此细节单独阐述相关法律责任,所以在行政规章、部门规章的层面得到了细化。
针对行政规章,现行有效并且经常作为各省、直辖市网络安全监管机构执法依据的行政规章有两部。首先为1996年2月1日国务院195号令发布,并于1997年5月20日修正的《中华人民共和国计算机信息网络国际联网管理暂行规定》,该规定第六条明确了任何单位和个人不得自行建立或者使用其他信道进行国际联网,与此同时,确定了由公安机关进行执法,可以执行诸如警告、通报批评、责令停止联网、罚款相关行政处罚。其次为1997年12月11日国务院批准发布,并于2011年1月8日修订的《计算机信息网络国际联网安全保护管理办法》,该办法进一步细化了诸如打击单位或个人利用国际联网违法活动的类型,明确了各主体安全保护责任,进一步指出公安机关的安全监督范围涉及联网备案、安全保护管理制度、通知删除关闭以及网络犯罪追踪查处。该行政规章基于1997年公安部第33号令发布,所以也是公安机关对于企业组织通过非法定信道访问国际互联网,实施监管处罚最常引用的行政规章。
除公安机关针对企业组织机构利用非法定信道访问国际互联网的监管要求外,企业组织还因关注自身所属的行业监管要求,尤其是行业内部规章,将与上位行政规章组合形成监管机构执行行政处罚的基准,同时结合行业特性,会围绕利用互联网进行发布、传输的内容进一步细化监管要求。如以教育行业为例,2021年发布的行政规章《教育部办公厅、工业和信息化部办公厅关于提高高等学校网络管理和服务质量的通知》,以及2000年发布的围绕网络站点管理的一般管理性规定《教育网站和网校暂行管理办法》。
此外,工业和信息化部2017年发布的《工业和信息化部关于清理规范互联网网络接入服务市场的通知》,也再次强调了任何组织机构未经电信主管部门批准,不得自行建立或租用专线等其他信道开展跨境经营活动的要求。
二、行政与刑事责任
针对行政责任,对于通过非法定信道访问国际互联网,以北京市为例,涉及两项行政处罚,分别为“对未经允许,建立非法定信道进行国际联网的行为进行处罚”,以及“对未经允许,使用非法定信通进行国际联网的行为进行处罚”,两者违法情形均为《中华人民共和国计算机信息网络国际联网管理暂行规定》(以下简称《规定》)第六条,即单位和个人自行建立或者使用其他信道进行国际联网。行政处罚依据也均基于《规定》第十四条,行政处罚种类包含罚款、警告、停止联网、没收违法所得。
基于《计算机信息网络国际联网安全保护管理办法》,统计了北京市近6个月公安机关相关行政处罚案例,时间覆盖2022年8月至2023年1月,总体案件数量33件,处罚种类全部为警告,相关处罚原因主要围绕不履行国际联网备案职责、未落实安全技术保护措施。此外以2023年1月为例,围绕信息领域的行政处罚,还有基于《网络安全法》的处罚5件,处罚种类也全部为警告。
根据北京市相关数据,基于《规定》围绕非法国际互联网信道的行政处罚主要以警告为主,通过检索外省相关案例,涉及罚款的也一般数额较低,一般不会超过1万元,罚款数额以及处罚类型均较违反《网络安全法》《数据安全法》相对更少。其一方面受行政执法单位执法权限的约束,另一方面主要源于违反行政规章与违反法律的罪过程度和负面影响差异甚大。对比近3年生效的网络信息领域相关法律责任追究形式,因违法而采取罚款的,一般依据影响程度分梯级设定,并习惯采用处罚企业加责任人的双罚制,所以往往中等程度以上处罚会对企业组织带来非常大的不利影响。一般违法企业组织不但要缴纳罚款,还会因此引发商誉贬值、客户流失甚至违法被吊销执照的风险。但企业组织不能因此放松基于《规定》对互联网信道合规履行的审慎义务,因行政处罚负面记录会直接影响甚至钳制诸如企业对外投标、融资、并购等关键市场活动,且往往会被设定为限制准入、否定排除条件,对企业组织的综合合规风险仍然巨大。
针对刑事责任,在不考虑企业组织以从事非法活动而设立或通过非法信道主动制作、发布传播违法内容的情况下,仅以企业为发展正常业务而违规使用非法国际互联网信道(如利用境外VPN“翻墙”),在负面影响可控的情况下,一般均通过警告的行政处罚的方式督促相关企业组织整改,其有利于市场经营主体的健康发展,防止过度执法,同时也体现了《刑法》的谦抑性。
但部分企业组织因合规管理意识与能力薄弱,甚至知法犯法,存在制作、传播非法信道访问工具或提供非法国际互联网信道服务的行为,此已明确定性为犯罪行为,并有众多刑事案例。根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,针对计算机信息系统安全保护措施,具有“越权获取数据、越权控制,以及其他同等功能的”,属于“专门用于侵入、非法控制计算机信息系统的程序、工具”。当前针对此类软件(“翻墙”软件)是否属于上述工具,各地法院根据实际情况,一般认定的可能涉及两类罪名。第一种情形肯定此类软件属于上述犯罪工具,会被认定提供侵入、非法控制计算机信息系统程序、工具罪,受《刑法》第二百八十五条规定约束;第二种情形否定属于上述犯罪工具,从技术上不具有上述工具的特性,不能满足上述罪名的犯罪构成要件,而是从非法销售盈利的角度出发,会被认定为非法经营罪,受《刑法》第二百二十五条规定约束。
‖表1:北京市基于《计算机信息网络国际联网安全保护管理办法》行政处罚案件统计
三、合规管理方案
针对企业组织访问国际互联网信道合规管理建设,结合监管要求与企业内控,本文提供如下三项建议。
首先,企业组织应当加强监督内部审计,于日常业务开展中,能够有效监测组织跨境流量与终端应用,识别非法定信道工具的使用与敏感或非法信息外发、发布,防止先通报后调查、先问责后整改的被动失效管理,完善事前合理审慎、预案先行,事中明确责任、追溯到人的能力建设。
其次,将访问互联网服务纳入组织管理体系,基于企业组织的管理成熟度与规模,可以分情况纳入至合规管理体系、信息安全管理体系或者质量管理体系,保障风险管理的落地,实现信道合规、境外网络资源访问相关业务流程的闭环化管理与管理成熟度的持续提升。
最后,对于国际互联网资源有高要求的企业组织,依法通过电信运营商申请接入国际专线,并申请备案,在成本方面可以考虑就近接入的方式,如选择申请我国香港、澳门地区网络。同时,需持续监控企业组织访问国际互联网资源的合理性、业务相关性,防范利用备案信道从事非法内容的制作、传播等活动。
四、结语
企业组织通过合法国际互联网信道访问并使用网络资源是合规建设必不可少的工作,对内加强违规事件的发现能力与管理体系成熟度建设水平,对外积极完善并满足合规备案、依法接入专线等监管要求,是企业保持互联网信道合规接入并进而满足网络安全大合规框架的可行路径。我国企业组织信息网络安全合规建设还需要很远的路要走,而在国际互联网合法信道的合规问题上,未来也会有安全、成本、效率平衡的解决方案,而针对流量审查过滤,我们也将会以更积极开放的姿态于全球化的浪潮中不断成长前行。(文︱张睿 绿盟科技集团首席合规咨询专家)