網絡安全法企業責任是什麼?

網絡運行安全保護是企業在網絡安全法下的核心責任，在《網絡安全法》第三章做了集中規定，並且根據主體的差異，對一般性主體做出了一般規定，而對關鍵信息基礎設施的運營者做出了特別規定。我國網絡安全法第四章詳盡地規定了企業在個人信息保護方面需承擔的責任。

一.對企業網絡行為的規定

(一)一般規定

對於一般性主體的網絡運行安全保護責任，可以分為以下六個方面：

1.安全等級保護制度

網絡安全法第21條對於網絡運營者應落實網絡安全等級保護制度，履行具體安全保護義務做出了較詳盡的規定，同時在第59條中明確了相應的法律責任，包括責令整改、警告及罰款等。具體來説，除兜底條款外，還有4項主要義務。

2.實名制

網絡安全法第24條第1款規定了“網絡運營者為用户辦理網絡接入、域名註冊服務，辦理固定電話、移動電話等入網手續，或者為用户提供信息發佈、即時通訊等服務，在與用户簽訂協議或者確認提供服務時，應當要求用户提供真實身份信息。用户不提供真實身份信息的，網絡運營者不得為其提供相關服務。”

3.網絡安全事件應急預案及安全風險處置

對網絡運營者而言，當發生網絡安全事件時，如果有可供執行應急預案，並能夠積極處置安全風險，那麼可能就會很大程度地降低網絡安全事件造成的損害。企業違反前述規定的，主管部門將依據網絡安全法第59條1款進行處罰，處罰方式包括責令整改、警告及罰款等。

4.持續安全維護

網絡產品和服務提供者就其提供的產品和服務進行持續安全維護，原本屬於提供者和購買者之間的合同義務，但網絡安全法第22條第2款基於保障網絡運行安全的角度考慮，將這一義務法定化，要求網絡產品、服務的提供者應當為其產品、服務持續提供安全維護，並在法律規定或者當事人約定的期限內，不得終止提供安全維護。同時還在第60條中設定了具體的法律責任，包括警告和罰款等。

5.禁止設置惡意程序

鑑於網絡產品和服務提供者存在一些不規範設置惡意程序的情況，為了規範市場主體的行為，網絡安全法第22條第1款特別明確了網絡產品、服務的提供者不得設置惡意程序的要求。企業違反此規定的，主管部門可以依據網絡安全法第60條視違法情節予以相應處罰，具體包括警告和罰款等方式。

6.禁止從事或協助實施危害網絡安全活動

網絡安全法第27條規定，任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動;不得提供專門用於從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具;明知他人從事危害網絡安全的活動的，不得為其提供技術支持、廣告推廣、支付結算等幫助。

(二)關鍵信息基礎設施的運營者的特別責任

除一般規定外，鑑於關鍵信息基礎設施(CII)對國家網絡安全的特殊意義，網絡安全法對其運營者通過專門一節做了特別的規定，具體包括：

1.更嚴格的安全等級保護制度

相比於一般規定，網絡安全法第34條對於CII運營者提出了更高的要求，具體是：1)設置專門安全管理機構和安全管理負責人，並對負責人和關鍵崗位的人員進行安全背景審查;2)定期對從業人員進行網絡安全教育、技術培訓和技能考核;3)對重要系統和數據庫進行容災備份;4)制定網絡安全事件應急預案，並定期進行演練。

2.數據跨境轉移限制

在強調網絡空間主權和數據安全的背景下，網絡安全法第37條明確要求CII運營者在境內收集和產生的個人信息和數據應當在境內存儲，如果確實需要向境外提供的需要進行安全評估。

3.採購行為的安全審查

網絡安全法第35條對CII運營者採購網絡產品和服務提出了一項具體的要求，即對於可能涉及國家安全的，相關的採購活動還需要通過網信部門的國家安全審查。對於向外資企業採購相關產品和服務的CII運營者而言，可能需要加強對該規定的關注。

4.採購需簽訂安全保密協議

除網絡安全法35條規定的安全審查制度外，根據網絡安全法第36條的規定，CII運營者在採購活動中，還應當與產品或服務的提供者簽訂安全保密協議，明確安全和保密義務與責任。

二、個人信息保護責任

保護公民的合法權益，是網絡安全法的主要立法目的之一，落實到具體內容中，其核心便是個人信息保護制度。

我國網絡安全法第四章詳盡地規定了企業在個人信息保護方面需承擔的責任，中國的網絡安全問題具有普遍性，也具有獨特的中國特色，作為中國互聯網治理經驗的總結，對於奠定中國互聯網治理的基本框架並進而逐步形成中國治理模式，具有里程碑式的意義。