合规季 | 从企业合规管理角度解读《互联网用户账号信息管理规定》
2022年8月1日起《互联网用户账号信息管理规定》(以下简称“《规定》”)正式施行。其主旨是加强对互联网用户账号信息的管理,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。它对互联网用户账号信息注册和使用、账号信息管理、有关主管部门监管职责、互联网信息服务提供者的法律责任以及互联网用户账号信息等概念的法律定义做出了明确的规定。
《规定》实际上是对2015年《互联网用户账号名称管理规定》的进一步深化和拓展。国家网信办于2015年和2017年相继出台了《互联网用户账号名称管理规定》、《互联网论坛社区服务管理规定》、《互联网跟帖评论服务管理规定》,针对一段时间网络诈骗、网络暴力、网络“水军”等乱像,全面落实了网络实名制,明确了注册用户需“后台实名”,否则不得跟帖评论、发布信息。《规定》的施行,明确和细化了互联网用户账号信息的范围,对互联网信息服务提供者,也就是网络服务相关企业提出了新的更系统的要求。
一
《规定》进一步明确了有关法律概念并拓展了其内涵
网络主体定义的明确和内容的延伸,既有助于广大互联网用户维护自身权益,利于主管部门依法监督检查,也有助于网络服务相关企业有针对性的提升自身内部合规管理、加强风控控制。
二
网络服务相关企业应进一步调整
更新服务规范和审查管理机制
(一)网络服务企业应按照有关规定,调整细化互联网用户账号管理规则及有关协议,明确账号信息注册、使用和管理相关权利义务。
(二)《规定》明确了网络服务企业的有关职责义务。《规定》明确,个人用户注册、使用账号信息,含有职业信息的,应当与个人真实职业信息相一致。互联网机构用户注册、使用账号信息,应当与机构名称、标识等相一致,与机构性质、经营范围和所属行业类型等相符合。企业应进一步健全审查制度、配备专兼职审查人员。特别是《规定》第八条和第十条第二款、第三款规定的禁止性条款和从严审核条款:不得违反《网络信息内容生态治理规定》第六条、第七条规定,不得假冒、仿冒、捏造政党、党政军机关、新闻广播媒体、人民团体和社会组织、标志性建筑等的名称、标识等;对账号信息中含有“中国”、“中华”、“中央”、“全国”、“国家”等内容,或者含有党和国家象征及标志的,应当依照有关规定从严核验,避免部分用户利用账号信息误导、欺骗公众。《规定》预见到存在可能“复活”的违规账号信息,也做了充分的准备,为严防违规账号改头换面再次兴风作浪,要求网络服务企业必须采取有效的审查筛选手段予以禁止,如有注册与之关联度高的账号信息,则应对相关信息从严核验。但《规定》未对所谓的“必要措施”进行明确,也未就何为“关联度高”进行解释,因此,有关企业应考虑从后台程序技术和内部风控管理制度两方面予以着手,在实践中从合法、合理、必要的基础出发予以考量。
(三)网络服务企业就特定行业、特定经营方向的互联网用户信息应进行必要的认证。如为互联网用户提供信息、通讯等服务的,应当对申请注册相关账号信息的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。如提供网络新闻信息服务、网络出版服务等依法需要取得行政许可的互联网信息服务的账号,或者申请注册从事经济、教育、医疗卫生、司法等领域信息内容生产的账号,网络服务企业应当要求其提供有关资质资格、专业背景等相关材料,予以核验并在账号信息中加注专门标识。这实际上是一种出于安全、专业和规范考虑的职业认证。
(四)网络服务企业应当在互联网用户账号信息页面展示合理的互联网用户账号的IP地址归属地信息。《规定》明确,应当在互联网用户公众账号信息页面,展示公众账号的运营主体、注册运营地址、内容生产类别、统一社会信用代码、有效联系方式、互联网协议(IP)地址归属地等信息。IP地址公示,在早先就已经在技术界、法律界等造成了很强烈的争议和讨论,甚至上升到宪法层面的“合法性”问题,而《规定》表述为有关信息的公开需要在“合理范围内”,避免可能产生对特定个人的精确识别性,也就是“去标识化”,在寻求合法性的基础上与《个人信息保护法》立法原意及规定并未冲突。但随着技术的不断进步,是否存在使用技术手段篡改有关信息甚至大面积修改其他用户账号信息的情况?如何去面对和处理可能是未来的一个挑战。另外,在一些不需要展示IP地址的服务里,强制显示有关信息是否有必要?比如单纯的游戏娱乐、搜索引擎的使用等。
三
结合《数据安全法》、《个人信息保护法》,网络服务相关企业应进一步强化用户账号信息管理
(二)建立账号信息动态核验制度,定期核验存量账号信息,发现不符合《规定》要求的,应当按照规定要求暂停提供服务并通知用户限期改正。
(三)应当依法保护和处理互联网用户账号信息中的个人信息,并采取措施防止未经授权的访问以及个人信息泄露、篡改、丢失。结合《个人信息保护法》,鉴于互联网用户账号注册使用者除了企业及其他组织外,还包括广大自然人,其信息和特定个人及相关权益相关联,因此属于《个人信息保护法》第四条所规定的个人信息。因此,这类信息除了受到《规定》的约束,有关企业在处理这些信息时还应遵守《个人信息保护法》的有关规定并建立相应的收集、存储、使用、加工、传输、提供、公开、删除等管控制度,依法予以保护。
(四)发现互联网用户注册、使用账号信息违反法律法规和《规定》条款的,网络服务企业应当及时、依法、依约采取警示提醒、限期改正、限制账号功能、暂停使用、关闭账号、禁止重新注册等处置措施,保存有关记录,并及时向有关主管部门报告。
(五)应当建立健全互联网用户账号信用管理体系,将账号信息相关信用评价作为账号信用管理的重要参考指标,并据以提供相应服务。
(六)应当在显著位置设置便捷的投诉举报路径。
四
网络服务相关企业应当接受监督
检查及企业法律责任
(一)《规定》明确,网信部门依法对互联网用户注册、使用账号信息情况实施监督检查。网络服务企业应当予以配合,并提供必要的支持协助。
(二)如发现存在较大网络信息安全风险的,省级以上网信部门可以要求网络服务企业采取暂停信息更新、用户账号注册或者其他相关服务等措施。同时有关企业应当按照要求采取措施,进行整改,消除隐患。当然,各地区情况不一,此处的“较大”,如何定义,可能要待各地省级主管部门进一步进行细化,便于企业把握政策标准。
(三)为落实网络服务企业的主体责任,违反《规定》的,依照有关法律法规进行处罚。法律、行政法规没有规定的,由省级以上网信部门依据职责给予警告、通报批评,责令限期改正,并可处以罚款。如此,全面夯实了企业对用户账号信息安全的主体责任,网络服务企业应予以重视。
作者简介
康静冬 律师
业务领域:金融证券、互联网大数据、公司商务
相关文章推荐
ARTICAL
2023-05-22
2023-05-22
2023-05-18
2023-05-08