中国移动发布突发事件网信安全法律风险系列合规指引

深化“业法融合” 力促合规发展

　　中国移动发布突发事件网信安全法律风险系列合规指引

　　近日，中国移动在业内发布了《中国移动重大自然灾害网信安全法律风险合规指引（2020版）》，围绕基础电信企业应对重大自然灾害工作涉及的网信安全典型应用场景，梳理相关法律要求，提出合规建议。据悉，该《指引》是中国移动信安中心研究编制的第二部针对突发公共事件的网信安全法律指引，第一部是今年疫情期间研究发布的《重大突发公共卫生事件网信安全法律风险合规指引》。

 

　　根据《中华人民共和国突发事件应对法》，突发事件主要包括自然灾害、事故灾难、公共卫生事件和社会安全事件四类。随着网络信息技术的快速发展和广泛应用，基础电信企业在突发事件的应对处置中发挥着越来越重要的作用。

 

　　今年以来，新型冠状病毒肺炎疫情肆虐，重大突发公共卫生事件的应对处置成为社会关注焦点。中国移动在全力开展抗疫的同时，及时研究发布了《重大突发公共卫生事件网信安全法律风险合规指引》，针对运营商在重大突发公共卫生事件中，如何合规发布公益信息、如何避免虚假信息治理过程中的法律风险、如何在利用数据支撑联防联控的同时保护个人隐私等多个重点难点问题，系统梳理了现有法律法规要求，并提出潜在法律风险和合规建议。

 

　　前期，全国多地接连遭受洪水、泥石流、塌方等自然灾害，中国移动信安中心法律合规团队全面梳理了防灾减灾救灾过程中涉及的网信安全相关典型场景，创新发布了《中国移动重大自然灾害网信安全法律风险合规指引》。据中国移动集团公司法律与监管事务部负责人于莽介绍，两次发布《指引》，既是对公司自身业务依法依规开展的保障与支撑，也彰显了中国移动作为央企，落实政治责任和社会责任的担当。

 

　　扎实研究全面梳理主要风险

 

　　根据《国家自然灾害救助应急预案（2016修订版）》相关规定，我国的自然灾害主要包括干旱、洪涝灾害，台风、风雹、低温冷冻、雪、沙尘暴等气象灾害，火山、地震灾害，山体崩塌、滑坡、泥石流等地质灾害，风暴潮、海啸等海洋灾害以及森林草原火灾等，正在实施的防灾减灾救灾法律法规超20部。

 

　　中国移动相关团队对上述20余部法律法规进行了细致梳理与研究，在这个过程中，充分发挥自身对网信安全相关法律法规较为熟悉的优势，同时密切结合通信行业工作特点和实践经验，综合分析电信运营商在防灾减灾救灾工作中可能面临的主要网信安全风险。在此基础上，研究团队与工作关联度较高的业务部门进行细化讨论，进一步筛捡出真正典型的法律风险场景，完善分析思路。

 

　　防灾减灾救灾工作的规定在《宪法》《民法典》《刑法》等基础性法律中有所涉及，同时，又有《防震减灾法》《防洪法》《消防法》《地质灾害防治条例》等各类法律法规作出专门规定。在网信安全方面，既有基础性法律要求，也有《网络安全法》《网络信息内容生态治理规定》等专门的法律法规。研究团队成员张薇表示，编制《指引》，团队成员不仅要认真研读这些法律规范，熟悉规定内容，还要具备一定的跨领域研究和综合分析能力，每一个风险场景的描述都建立在扎实的梳理和分析之上，才能经得起推敲。

 

　　结合实践务实提出应对举措

 

　　国家关于自然灾害应对有非常成熟的工作机制和体系，相关法律法规覆盖广、规定细、层次多。中国移动信安中心负责人袁捷提出，在此基础上，中国移动作为基础电信企业研究编制《指引》，要重点突出专业领域特性，充分结合工作实践，择要汇总关键条款，务实提出应对建议。

 

　　《指引》围绕基础电信企业应对重大自然灾害的工作，梳理了四个网信安全典型应用场景，即发布预警公益信息、治理灾情相关谣言与诈骗信息、通信网络设施安全保障、大数据应用，四个场景的工作是否合法合规开展，直接关系到人民群众的生命财产安全和防灾减灾救灾的实际效果。

 

　　场景一：发布重大自然灾害预警公益信息

 

　　及时、准确对重大自然灾害进行预报预警意义重大，不但能够为提前疏散和转移灾害风险区群众赢得宝贵的时间，还能为防灾减灾救灾工作做好充分的准备。根据《指引》内容，《中华人民共和国突发事件应对法》《中华人民共和国气象法》《中华人民共和国防震减灾法》等相关法律法规规定，基础电信企业负有重大自然灾害预报预警工作的协助义务。

 

　　其中，《中华人民共和国气象法》（全国人民代表大会常务委员会，2016年11月7日修订）第二十六条规定：“信息产业部门应当与气象主管机构密切配合，确保气象通信畅通，准确、及时地传递气象情报、气象预报和灾害性天气警报。”《中华人民共和国防汛条例》（中华人民共和国国务院，2005年7月15日修订）第二十九条规定：“邮电部门必须保证汛情和防汛指令的及时、准确传递。”

 

　　《指引》认为，在这一场景下，电信运营企业主要面临两方面法律风险，一是因未经相关部门授权发布重大自然灾害预警公益信息而受到行政处罚的风险，二是因未按有关部门要求配合协助开展防灾减灾救灾工作而受到行政处罚的风险。

 

　　为此，《指引》建议，一方面，基础电信企业应在国家有关部门的授权和指导下进行重大自然灾害预报预警信息的发布工作，发布的信息要经相关部门审核，并第一时间安排免费发布。另一方面，基础电信企业应建立重大自然灾害信息发布紧急通道和流程，明确重大自然灾害预警信息发布责任部门、责任人，落实信息源、传递通道、发布程序、发布方式等事项，保证预警信息发布的及时性和准确性。

 

　　场景二：治理灾情相关谣言、诈骗信息

 

　　《指引》指出，重大自然灾害发生后，有部分个人或组织以电信网络作为媒体，为牟取不法利益编造灾情事态发展及应急处置的虚假信息，或以赈灾、募捐等公益名义实施诈骗，严重侵害人民群众财产安全和其他合法权益。在治理灾情相关谣言、诈骗信息方面，基础电信企业发挥着重大的作用。

 

　　《中华人民共和国网络安全法》（全国人民代表大会常务委员会，2016年11月7日发布）第四十七条规定：“网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。”

 

　　《指引》分析认为，在这一场景中，电信运营企业主要面临两方面法律风险：一是因未履行治理灾情谣言义务而受到行政处罚的风险，二是因未履行信息网络安全管理义务而受到刑事处罚的风险。

 

　　为了避免违法违规行为发生，《指引》建议，一方面，基础电信企业应积极与相关主管部门核实灾情信息，并对违法信息采取相应的处置措施，防止信息扩散，同时及时向有关主管部门进行报告。另一方面，基础电信企业作为网络运营者，要及时采取技术措施和其他必要措施，履行信息网络安全管理义务，防止谣言、诈骗等非法信息传播，有效防范网络违法犯罪活动，维护网络安全。

 

　　场景三：重大自然灾害中通信网络设施（包括硬件、软件和数据等）的安全保障

 

　　发生重大自然灾害时，基础电信企业运行存储关键系统和数据的通信网络设施，如BOSS系统、IDC数据中心等，容易受到灾害影响，造成硬件、软件和数据等毁损灭失的严重后果。《指引》援引了我国《突发事件应对法》《网络安全法》等的相关规定，指出基础电信企业应做好通信网络重要设备安全保障和数据容灾备份工作。

 

　　《中华人民共和国突发事件应对法》（全国人民代表大会常务委员会，2007年8月30日发布）第二十二条规定：“所有单位应当建立健全安全管理制度，定期检查本单位各项安全防范措施的落实情况，及时消除事故隐患……对本单位可能发生的突发事件和采取安全防范措施的情况，应当按照规定及时向所在地人民政府或者人民政府有关部门报告。”

 

　　《指引》提出，这一场景中，基础电信企业面临的风险主要包括因未制定重大自然灾害通信保障应急预案而受到行政、刑事处罚的风险和因未履行通信网络设施安全保障义务而受到行政处罚的风险两方面。

 

　　《指引》建议，一方面，基础电信企业应制定通信保障应急预案，以满足重大自然灾害情况下的通信保障需求，一旦发生重大自然灾害等突发情况，应及时启动应急预案，采取相应的应急处置措施，保障通信安全畅通。另一方面，应健全网络安全防护、监测预警和应急通信安全保障体系，不断提高网络的自愈和抗毁能力。建立完备的数据容灾备份、恢复机制和校验机制，保障数据的可用性和完整性，防止因数据丢失而出现更大损失。

 

　　场景四：重大自然灾害防灾减灾救灾中的大数据应用

 

　　针对防灾减灾救灾工作中越来越常见的大数据应用需求，《指引》分析提出，当基础电信企业应用大数据、人工智能、云计算等新兴科技助力政府部门开展重大自然灾害监测、预警、防范和救助工作时，应注意履行相应的数据安全保护义务，避免未经相关政府部门授权或超出授权范围使用数据等行为。

 

　　《中华人民共和国民法典》（全国人民代表大会，2020年5月28日通过，自2021年1月1日起施行）第一千零三十八条规定：“信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。”

 

　　根据《指引》分析，电信运营企业在这一场景中可能面临因未履行数据安全管理义务而受到行政、刑事处罚的风险和因将非经营性活动气象资料用于经营性活动而受到行政处罚的风险。

 

　　《指引》建议，一方面，基础电信企业应与气象部门、防汛部门等相关单位签订数据安全合作协议，明确各方数据共享的范围、目的、使用方式等，厘清各方数据泄露、违规传输、利用数据非法牟利等数据管理责任。另一方面，在与相关主管部门共享数据时，基础电信企业应明确内部审批及操作流程，加强数据共享过程管控，防止数据被违规复制、传播、破坏等。涉及数据对外共享，应当获得用户同意，或进行脱敏处理，确保脱敏处理后的信息不会被复原且不会追溯到用户。

　　力求准确严格规范内容表述

 

　　据介绍，《指引》根据国家相关法律法规来编制，面向中国移动全集团各单位提供实际工作的参考。研究团队有丰富的政策法律支撑经验，也深度参与过国家多项法律的制定工作，但面对重大自然灾害相关法律法规，仍然需要进行大量学习。

 

　　为了尽可能做到规范准确地表达，研究团队成员贵重带领何瑛、刘畅在推敲用词上就花费了不少功夫。以“防灾减灾救灾”这一用法为例，起初，团队为了全面严谨地表达应对重大自然灾害的各个环节，尝试使用“灾害发生前防范、灾害发生中应急处置、灾害发生后救援和恢复”等相对较长的语句进行表达，力求表述完整，但在规范性、准确性、简洁性等方面还有待优化。

 

　　为了找到更好的表述方式，团队成员分头查阅资料，多次讨论，最终确定使用“防灾减灾救灾”六个字来整体表述重大自然灾害应对的各个环节的工作。这一用法采用了国务院在2016年12月发布的《中共中央国务院关于推进防灾减灾救灾体制机制改革的意见》中的提法，保证了规范准确。

  来源：