35网络运营者角度

网络运营者是指网络的所有者、管理者和网络服务提供者。“网络运营者”包含三类主体，即网络的所有者、网络的管理者以及网络服务提供者。《网络安全法》对于“网络运营者”这一概念只规定内涵而对其外延采用开放的描述方式，似乎是一种更聪明也是更合乎时宜的做法。但正因为这一合乎时宜的做法导致了大家对于这一概念的解读特别是对于“网络运营者”的范围产生了分歧。

根据《网络安全法》对网络的定义，可以理解网络即指基于终端、设备等硬件而建立起来的信息系统。网络所有者、网络管理者是指前述信息系统的所有者和管理者，如移动、联通、电信等基础电信网络的所有者和管理者。网络服务提供者指的则是依托网络这个信息系统的各类服务提供者，网络服务包括了网络信息服务、网络接入服务以及其他网络服务。《互联网信息服务管理办法》指出互联网信息服务分为经营性和非经营性两类。国家对经营性互联网信息服务实行许可制度（一般称为icp许可），对非经营性互联网信息服务实行备案制度（一般称为icp备案）。未取得许可或者未履行备案手续的，不得从事互联网信息服务。

根据《电信业务分类目录（2015年版）》的规定，像电商这类提供经营性互联网信息服务的，需要获得通信管理部门的《中华人民共和国电信与信息服务业务经营许可证》才能开展经营，非经营性互联网信息服务实行备案制度，在所有国内合法的网站上都能在网页的最底端找到icp备案号码，也就是说，在国内开设网站实际上就是在提供非经营性的互联网信息服务，就是在提供互联网信息服务。“网络信息服务”是网络服务的子概念，网络信息服务的提供者也是网络服务的提供者。

351承担社会责任

在《网络安全法》中，网络运营者的责任与义务受到了前所未有的重视和强化。从篇幅上看，全文法条共计七十九条，其中有三十四条内容涉及网络运营者或者与其相关；从法律责任确认上看，总计十七条法条中有九条属于明确网络运营者法律责任的法律条款。《网络安全法》对网络运营者给予严格的法律约束，将更大程度保证网络运营者摆正运营思路、履行自身义务，达到促进网络空间安全稳定的目的。

网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。

同时，在《网络安全法》中可以看到网络运营者具有双重身份：一是市场主体，与网络用户是平等主体间的民事合同关系；二是担任重要的监管职能（对用户发布的信息进行管理，发现非法传输信息的，不但要采取相应措施，而且要向有关主管部门报告）。原因在于技术壁垒给监管部门带来挑战，用户保护自身权利的能力有限。尽管双重身份觉得地位更高，但责任和权利义务更复杂。

352网络安全的责任主体

新颁布的《网络安全法》在第七十六条中明确给出定义，“网络运营者包括网络的所有者、管理者和网络服务的提供者。”法律明确了网络运营者不仅包括提供网络服务的运营商，也包括网络设施的所有方和管理方。网络的所有者，确定的是网络及其设施的所有权归属一方；管理者，指网络及其设施的行政管理者；网络服务提供者，指网络电信服务商和网络运行维护的一方。例如，在政府和企事业单位的网络运营中，不仅由代管网络设施运行的相关公司和个人承担网络安全责任，政府和相关企事业单位同样承担网络安全责任。

国家、网络运营者、网络用户是《网络安全法》主要涉及的三方权利主体，其中网络运营者是网络空间形成和运行的核心主体，是连接国家和网络用户的关键节点。网络运营者在信息网络传播活动中具有极其重要的作用和地位，对网络安全维护有着不同于国家和普通网络用户的主体责任。只有网络运营者积极做好网络安全的维护工作，才能保证我国信息网络空间的健康发展。

353做好网络安全运行工作

1严格执行网络安全等级保护制度

网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

2实名制用户服务机制

网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通信等服务，在与用户签订协议或者确认提供服务时，应要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

为了从全局角度配合实名制的推广，国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。

3做好网络安全事件应急处置

网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

建议网络运营者，通过部署网站和系统漏洞监测、扫描类的产品或服务，及时发现漏洞，并在第一时间通过升级补丁或完善应用系统来补救。

4做好合法的侦查协助工作

网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

如果公安机关需要，网络运营者有义务提供采集的用户数据和网络数据。由侦查人员自己进行侦查取证是获取犯罪证据的最佳方式。但是在涉及计算机犯罪时，由侦查人员单独进行网络犯罪的侦查取证通常是不可能的。网络犯罪的高科技性以及网络技术的日新月异要求网络犯罪侦查必须有高超的网络技术作基础，侦查人员不可能对网络技术样样精通。因此，侦查人员在进行网络犯罪侦查时，需要由存储计算机数据的个人或者网络服务商提供技术协助，才能完成网络犯罪的侦查取证工作。

354做好个人信息保护

《网络安全法》规定，网络运营商应当建立健全用户信息保护制度，收集、使用个人信息必须符合合法、正当、必要的原则，目的明确的原则，知情同意的原则等，同时规定了网络运营商应遵守对收集信息的安全保密原则、公民信息境内存放原则、泄露报告制度等。对于关键信息基础设施运营者，要求其遵守公民信息境内存放原则，确需向境外提供的信息，应进行相应的安全评估。对于网络产品、服务的提供者，要求其收集个人信息时应向用户明示并取得同意，还要遵守相关公民个人信息保护的规定。以上规定进一步规范了网络运营商、关键信息基础设施运营者、网络产品、服务的提供者等相关信息采集主体必须履行的法律责任，明确了个人信息的使用权边界，有助于从源头上遏制非法使用个人信息的行为。

《网络安全法》规定，公民发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。通过引入了删除权和更正制度，进一步提高了个人对隐私信息的管控程度。

《网络安全法》明确了对侵害公民个人信息行为的惩处措施。网络运营者、网络产品或服务提供者以及关键信息基础设施运营者如未能依法保护公民个人信息，最高可被处以五十万元罚款，甚至面临停业整顿、关闭网站、撤销相关业务许可或吊销营业执照的处罚，直接负责的主管人员和其他直接责任人员也会被处以最高十万元的罚款。

《网络安全法》客观上增加了相关运营单位发生信息安全事件的成本。相关运营单位在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施，告知可能受到影响的用户，并按照规定向有关主管部门报告。由于通知会产生很高的成本，发生泄露问题也会对企业声誉产生极大影响，这就倒逼企业必须提高信息保护能力，确保不会出现用户个人信息的泄露。

需要阐明的一个问题是：公民信息需要保护，不能随意泄露、出卖，但是是否需要完全禁止个人信息的买卖？

对此，《网络安全法》的说法是，不得非法出售或者非法向第三人提供个人信息。我国之前在《关于加强网络信息保护的决定》中在出售个人信息问题上的表述是，“不得出售”个人信息；《网络安全法》“不得出售”中加了“非法”二字。两字之差也意味着，网络运营者出售、提供个人信息的行为不是完全被禁止的，非法出售、提供个人信息的行为才是被禁止的，网络运营者合法出售、提供个人信息的行为则是合法的。《网络安全法》一方面对网络运营者保护个人信息给出强制性要求，另一方面对个人信息的合理化使用让出空间，促进信息社会的数据共享，推动网络信息产业的快速发展。