3.5 網絡運營者角度

網絡運營者是指網絡的所有者、管理者和網絡服務提供者。“網絡運營者”包含三類主體，即網絡的所有者、網絡的管理者以及網絡服務提供者。《網絡安全法》對于“網絡運營者”這一概念只規定內涵而對其外延采用開放的描述方式，似乎是一種更聰明也是更合乎時宜的做法。但正因為這一合乎時宜的做法導致了大家對于這一概念的解讀特別是對于“網絡運營者”的范圍產生了分歧。

根據《網絡安全法》對網絡的定義，可以理解網絡即指基于終端、設備等硬件而建立起來的信息系統。網絡所有者、網絡管理者是指前述信息系統的所有者和管理者，如移動、聯通、電信等基礎電信網絡的所有者和管理者。網絡服務提供者指的則是依托網絡這個信息系統的各類服務提供者，網絡服務包括了網絡信息服務、網絡接入服務以及其他網絡服務。《互聯網信息服務管理辦法》指出互聯網信息服務分為經營性和非經營性兩類。國家對經營性互聯網信息服務實行許可制度（一般稱為ICP許可），對非經營性互聯網信息服務實行備案制度（一般稱為ICP備案）。未取得許可或者未履行備案手續的，不得從事互聯網信息服務。

根據《電信業務分類目錄（2015年版）》的規定，像電商這類提供經營性互聯網信息服務的，需要獲得通信管理部門的《中華人民共和國電信與信息服務業務經營許可證》才能開展經營，非經營性互聯網信息服務實行備案制度，在所有國內合法的網站上都能在網頁的最底端找到ICP備案號碼，也就是說，在國內開設網站實際上就是在提供非經營性的互聯網信息服務，就是在提供互聯網信息服務。“網絡信息服務”是網絡服務的子概念，網絡信息服務的提供者也是網絡服務的提供者。

3.5.1 承擔社會責任

在《網絡安全法》中，網絡運營者的責任與義務受到了前所未有的重視和強化。從篇幅上看，全文法條共計七十九條，其中有三十四條內容涉及網絡運營者或者與其相關；從法律責任確認上看，總計十七條法條中有九條屬于明確網絡運營者法律責任的法律條款。《網絡安全法》對網絡運營者給予嚴格的法律約束，將更大程度保證網絡運營者擺正運營思路、履行自身義務，達到促進網絡空間安全穩定的目的。

網絡運營者開展經營和服務活動，必須遵守法律、行政法規，尊重社會公德，遵守商業道德，誠實信用，履行網絡安全保護義務，接受政府和社會的監督，承擔社會責任。

同時，在《網絡安全法》中可以看到網絡運營者具有雙重身份：一是市場主體，與網絡用戶是平等主體間的民事合同關系；二是擔任重要的監管職能（對用戶發布的信息進行管理，發現非法傳輸信息的，不但要采取相應措施，而且要向有關主管部門報告）。原因在于技術壁壘給監管部門帶來挑戰，用戶保護自身權利的能力有限。盡管雙重身份覺得地位更高，但責任和權利義務更復雜。

3.5.2 網絡安全的責任主體

新頒布的《網絡安全法》在第七十六條中明確給出定義，“網絡運營者包括網絡的所有者、管理者和網絡服務的提供者。”法律明確了網絡運營者不僅包括提供網絡服務的運營商，也包括網絡設施的所有方和管理方。網絡的所有者，確定的是網絡及其設施的所有權歸屬一方；管理者，指網絡及其設施的行政管理者；網絡服務提供者，指網絡電信服務商和網絡運行維護的一方。例如，在政府和企事業單位的網絡運營中，不僅由代管網絡設施運行的相關公司和個人承擔網絡安全責任，政府和相關企事業單位同樣承擔網絡安全責任。

國家、網絡運營者、網絡用戶是《網絡安全法》主要涉及的三方權利主體，其中網絡運營者是網絡空間形成和運行的核心主體，是連接國家和網絡用戶的關鍵節點。網絡運營者在信息網絡傳播活動中具有極其重要的作用和地位，對網絡安全維護有著不同于國家和普通網絡用戶的主體責任。只有網絡運營者積極做好網絡安全的維護工作，才能保證我國信息網絡空間的健康發展。

3.5.3 做好網絡安全運行工作

1．嚴格執行網絡安全等級保護制度

網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：

（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；

（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；

（三）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；

（四）采取數據分類、重要數據備份和加密等措施；

（五）法律、行政法規規定的其他義務。

2．實名制用戶服務機制

網絡運營者為用戶辦理網絡接入、域名注冊服務，辦理固定電話、移動電話等入網手續，或者為用戶提供信息發布、即時通信等服務，在與用戶簽訂協議或者確認提供服務時，應要求用戶提供真實身份信息。用戶不提供真實身份信息的，網絡運營者不得為其提供相關服務。

為了從全局角度配合實名制的推廣，國家實施網絡可信身份戰略，支持研究開發安全、方便的電子身份認證技術，推動不同電子身份認證之間的互認。

3．做好網絡安全事件應急處置

網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。

建議網絡運營者，通過部署網站和系統漏洞監測、掃描類的產品或服務，及時發現漏洞，并在第一時間通過升級補丁或完善應用系統來補救。

4．做好合法的偵查協助工作

網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。

如果公安機關需要，網絡運營者有義務提供采集的用戶數據和網絡數據。由偵查人員自己進行偵查取證是獲取犯罪證據的最佳方式。但是在涉及計算機犯罪時，由偵查人員單獨進行網絡犯罪的偵查取證通常是不可能的。網絡犯罪的高科技性以及網絡技術的日新月異要求網絡犯罪偵查必須有高超的網絡技術作基礎，偵查人員不可能對網絡技術樣樣精通。因此，偵查人員在進行網絡犯罪偵查時，需要由存儲計算機數據的個人或者網絡服務商提供技術協助，才能完成網絡犯罪的偵查取證工作。

3.5.4 做好個人信息保護

《網絡安全法》規定，網絡運營商應當建立健全用戶信息保護制度，收集、使用個人信息必須符合合法、正當、必要的原則，目的明確的原則，知情同意的原則等，同時規定了網絡運營商應遵守對收集信息的安全保密原則、公民信息境內存放原則、泄露報告制度等。對于關鍵信息基礎設施運營者，要求其遵守公民信息境內存放原則，確需向境外提供的信息，應進行相應的安全評估。對于網絡產品、服務的提供者，要求其收集個人信息時應向用戶明示并取得同意，還要遵守相關公民個人信息保護的規定。以上規定進一步規范了網絡運營商、關鍵信息基礎設施運營者、網絡產品、服務的提供者等相關信息采集主體必須履行的法律責任，明確了個人信息的使用權邊界，有助于從源頭上遏制非法使用個人信息的行為。

《網絡安全法》規定，公民發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息；發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。通過引入了刪除權和更正制度，進一步提高了個人對隱私信息的管控程度。

《網絡安全法》明確了對侵害公民個人信息行為的懲處措施。網絡運營者、網絡產品或服務提供者以及關鍵信息基礎設施運營者如未能依法保護公民個人信息，最高可被處以五十萬元罰款，甚至面臨停業整頓、關閉網站、撤銷相關業務許可或吊銷營業執照的處罰，直接負責的主管人員和其他直接責任人員也會被處以最高十萬元的罰款。

《網絡安全法》客觀上增加了相關運營單位發生信息安全事件的成本。相關運營單位在發生或者可能發生信息泄露、毀損、丟失的情況時，應當立即采取補救措施，告知可能受到影響的用戶，并按照規定向有關主管部門報告。由于通知會產生很高的成本，發生泄露問題也會對企業聲譽產生極大影響，這就倒逼企業必須提高信息保護能力，確保不會出現用戶個人信息的泄露。

需要闡明的一個問題是：公民信息需要保護，不能隨意泄露、出賣，但是是否需要完全禁止個人信息的買賣？

對此，《網絡安全法》的說法是，不得非法出售或者非法向第三人提供個人信息。我國之前在《關于加強網絡信息保護的決定》中在出售個人信息問題上的表述是，“不得出售”個人信息；《網絡安全法》“不得出售”中加了“非法”二字。兩字之差也意味著，網絡運營者出售、提供個人信息的行為不是完全被禁止的，非法出售、提供個人信息的行為才是被禁止的，網絡運營者合法出售、提供個人信息的行為則是合法的。《網絡安全法》一方面對網絡運營者保護個人信息給出強制性要求，另一方面對個人信息的合理化使用讓出空間，促進信息社會的數據共享，推動網絡信息產業的快速發展。

3.5.5 違法信息傳播的阻斷

《網絡安全法》第四十七條規定：網絡運營者應當加強對其用戶發布的信息的管理，發現法律、行政法規禁止發布或者傳輸的信息的，應當立即停止傳輸該信息，采取消除等處置措施，防止信息擴散，保存有關記錄，并向有關主管部門報告。

本款對網絡運營者從法律上講是義務，但是從內容上講更像是一種權力。網絡運營者的責任，會對網絡運營者和網絡用戶之間的關系產生影響，這就迫使網絡運營者成為實際上的執法主體。但是網絡運營者本身并不具備執法資質和能力，只是具有一定的技術手段。如果對違法信息判斷錯誤，會出現違法和侵權。

3.5.6 網絡經營者可能涉及的具體罪名

《網絡安全法》第二十七條規定，“任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動；不得提供專門用于從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具；明知他人從事危害網絡安全的活動的，不得為其提供技術支持、廣告推廣、支付結算等幫助。”

《網絡安全法》第四十四條規定，“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。”

《網絡安全法》第四十五條規定，“依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密，不得泄露、出售或者非法向他人提供。”

《網絡安全法》第四十六條規定，“任何個人和組織應當對其使用網絡的行為負責，不得設立用于實施詐騙，傳授犯罪方法，制作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通訊群組，不得利用網絡發布涉及實施詐騙，制作或者銷售違禁物品、管制物品以及其他違法犯罪活動的信息。”

通過分析《網絡安全法》，網絡運營者可能涉及12種犯罪。

1．侵犯公民個人信息罪

本罪規定于現行刑法第二百五十三條之一，單位或個人皆可犯此罪，網絡經營者涉嫌此罪是指具有“違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的”或“竊取或者以其他方法非法獲取公民個人信息的”行為，“履行職責或者提供服務過程中”犯此罪的，“從重處罰”。

在大數據時代大背景下，涉嫌此罪的案件會層出不窮。

2．侵犯商業秘密罪

本罪規定于現行刑法第二百一十九條，單位或個人皆可犯此罪，網絡經營者涉嫌此罪最可能是“以盜竊、或者其他不正當手段獲取權利人的商業秘密”或“披露、使用或者允許他人使用以前項手段獲取的權利人的商業秘密”給“商業秘密的權利人造成重大損失的”行為。

3．非法侵入計算機信息系統罪

本罪規定于現行刑法第二百八十五條，單位或個人皆可犯此罪，網絡經營者涉嫌此罪是指具有“侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的”行為。

4．非法獲取計算機信息系統數據、非法控制計算機信息系統罪

本罪同樣規定于現行刑法第二百八十五條，單位或個人皆可犯此罪，網絡經營者涉嫌此罪是指“非法侵入計算機信息系統罪”之外，侵入其他的“計算機信息系統或者采用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據，或者對該計算機信息系統實施非法控制，情節嚴重的”行為。

5．提供侵入、非法控制計算機信息系統程序、工具罪

本罪同樣規定于現行刑法第二百八十五條，單位或個人皆可犯此罪，網絡經營者涉嫌此罪是指“提供專門用于侵入、非法控制計算機信息系統的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供程序、工具，情節嚴重的”行為。

6．破壞計算機信息系統罪

本罪規定于現行刑法第二百八十六條，單位或個人皆可犯此罪，網絡經營者涉嫌此罪是指“對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行”或“對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作”后果嚴重的行為。

7．網絡服務瀆職罪

本罪同樣規定于現行刑法第二百八十六條，單位或個人皆可犯此罪，網絡經營者涉嫌此罪是指“故意制作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行，后果嚴重的”行為。

8．拒不履行信息網絡安全管理義務罪

本罪規定于現行刑法第二百八十六條之一，單位或個人皆可犯此罪，是指網絡服務提供者“不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正”，“致使違法信息大量傳播的”或“致使用戶信息泄露，造成嚴重后果的”或“致使刑事案件證據滅失，情節嚴重的”或“有其他嚴重情節的”行為。

9．非法利用信息網絡罪

本罪規定于現行刑法第二百八十七條之一，單位或個人皆可犯此罪，網絡經營者涉嫌此罪是指具有下列“情節嚴重的”行為之一的“利用信息網絡實施，（一）設立用于實施詐騙、傳授犯罪方法、制作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通訊群組的；（二）發布有關制作或者銷售毒品、槍支、淫穢物品等違禁物品、管制物品或者其他違法犯罪信息的；（三）為實施詐騙等違法犯罪活動發布信息的。”

10．幫助信息網絡犯罪活動罪

本罪規定于現行刑法第二百八十七條之二，單位或個人皆可犯此罪，網絡經營者涉嫌此罪是指具有“明知他人利用信息網絡實施犯罪，為其犯罪提供互聯網接入、服務器托管、網絡存儲、通信傳輸等技術支持，或者提供廣告推廣、支付結算等幫助，情節嚴重的”行為。

11．詐騙罪

本罪規定于現行刑法第二百六十六條，網絡經營者涉嫌此罪是指具有“利用電信網絡技術手段實施詐騙，詐騙公私財物價值三千元以上”的行為。如前所述，按照最新《意見》，網絡經營者因不當行為可能被認定為本罪的共犯，并在罪名競合時擇重處罰。

12．濫用職權罪、玩忽職守罪、徇私舞弊罪

這三類罪規定于現行刑法第三百九十七條，是指負有網絡管理職責的“國家機關工作人員濫用職權或者玩忽職守”或者“徇私舞弊”，“致使公共財產、國家和人民利益遭受重大損失的”行為。