网络运营者是网络所有者、网络服务提供者、网络管理者。
《网络安全法》第9条总括性地规定了网络运营者的网络安全义务,即:网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。在分则章节中进一步细化了的网络运营者的网络信息安全义务,具体包括:
一、建立信息安全管理制度义务
网络运营者通常是通过公司章程、用户协议、网络管理制度等对网络平台、用户进行管理。网络运营者要落实安全管理责任,首先就需要建立健全内部安全管理制度。《网络安全法》第21条规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。
二、用户身份信息审核义务
建立用户身份信息制度有助于构建诚信的网络空间。《网络安全法》第24条规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
三、用户发布信息管理义务
网络运营者对其平台上的信息负有管理义务。《网络安全法》第47条规定,网络运营者应当加强对其用户发布的信息的管理。信息管理手段包括对网上公共信息进行巡查。工信部《通信短信息服务管理规定》、公安部《互联网危险物品信息发布管理规定》、国信办《互联网信息搜索服务管理规定》等规定均要求网络服务提供者对公共信息进行实时巡查。
四、保障个人信息安全义务
网络运营者在运营中会收集大量的个人信息,保障个人信息安全是网络运营者的基本义务。《网络安全法》第40—44条对网络运营者的个人信息保护义务做了较为具体的规定。
五、违法信息处置义务
网络运营者发现其用户发布的违法信息,应当立即进行处置。《网络安全法》第47条规定,网络运营者发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
六、信息记录义务
网络空间的管理和安全维护依赖于对各类信息的分析、挖掘。《网络安全法》第21条规定网络运营者应当留存网络日志不少于六个月。网络日志包括用户日志和系统日志。用户日志和系统日志中的信息应满足维护网络安全和监督检查的需要。
七、投诉处理义务
网络运营者建立网络信息安全投诉、举报制度后,应及时受理并处理有关网信息安全的投诉和举报。《网络安全法》第49条规定,网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
八、报告义务
网络运营者应当将违法信息和信息安全事件向有关主管部门报告。《网络安全法》第47、48条规定,网络运营者、电子信息发送服务提供者和应用软件下载服务提供者发现法律、行政法规禁止发布或者传输的信息的,应当保存有关记录,并向有关主管部门报告。当发生网络安全事件时,网络运营者也应当向有关主管部门报告。《网络安全法》第42条第2款规定,在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
九、配合监督检查的义务
网络运营者对有关部门依法实施的监督检查,应当予以配合。《网络安全法》第49条规定,网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。
《网络安全法》规定的以上义务,还需要通过法规、规章进一步具体化。当《网络安全法》和有关法规对网络运营者的网络信息安全义务有了明确规定之后,《刑法》第286条之一规定的“拒不履行信息网络安全管理义务罪”才具有操作性。