APPLE PAY抢跑《网络安全法》? 作者:中国互联网协会研究中心秘书长律师/胡钢

2016年2月18日,Apple Pay正式上线。一时令移动支付的市场格局烽烟再起。苹果公司是否“抢跑”《网络安全法》?苹果公司应当如何遵守中国《国家安全法》、《反恐怖主义法》和《反洗钱法》?苹果公司是否应当主动获得安全评估和检测,并通过国家安全审查?

Apple Pay是啥

Apple Pay是苹果公司在2014秋季发布的一种基于NFC(近距离无线通信技术)的手机支付功能,于2014年10月20日在美国正式上线,与万事达、美国运通及维萨等信用卡组织进行了合作。2015年12月18日,苹果官方发布公告称,苹果公司和中国银联达成 Apple Pay 合作。2016年2月18日凌晨5点,Apple Pay正式上线。不少中国苹果用户纷纷加入,一时搅动了移动支付的市场格局,其相应的网络安全等问题不得不令人深思。

Apple Pay并不是“苹果支付”

Apple Pay其实并不能简单直译为“苹果支付”。在中国当下的法律语境下,“XX支付”是特指依据《中国人民银行法》和《非金融机构支付服务管理办法》等法律规章的规定,获得了《支付业务许可证》的支付机构。在中国人民银行网站的《支付业务许可证》核发信息公告中,并未发现有公司名称包含“苹果”或“APPLE"字样的公司存在。而银联、支付宝、财付通等,则是明确获得了上述《支付业务许可证》。

Apple Pay是工具/门户/通道,而不能独存

Apple Pay只是一个辅助性的支付工具/门户/通道,必须获得银联的全力支持。苹果公司利用其软硬件的某种优势,来支持既有支付体系,并不影响发卡方、卡组织、收单方、商家和用户的固有支付流程,而是改变了庞大的苹果终端用户的使用习惯,并加速了苹果终端用户的支付频率。当然,苹果也期待从相关费用中分一杯羹。从某种意义上看,Apple Pay与微信支付具有某种相似性。如同“微信支付”离不开财付通,而Apple Pay离不开银联。不同的是,微信是以软件为主,而Apple Pay是软硬结合。

业界忧思APPLE PAY网络安全

没有网络安全就没有国家安全,没有信息化就没有现代化。自2015年7月1日起施行的《国家安全法》第二十五条明文规定,国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。笔者以为,APPLE PAY入华可能涉及的网络安全、反恐、反洗钱等问题绝不容小觑。

APPLE PAY挑战《反恐法》及《反洗钱法》?

网络支付活动,可能涉及危及国家安全的网络安全问题和反洗钱问题。2016年1月1日起施行的《反恐怖主义法》有多条规定涉及电信或网络服务。

第十八条规定,电信业务经营者、互联网服务提供者应当为公安机关、国家安全机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助。

第十九条规定,电信业务经营者、互联网服务提供者应当依照法律、行政法规规定,落实网络安全、信息内容监督制度和安全技术防范措施,防止含有恐怖主义、极端主义内容的信息传播;发现含有恐怖主义、极端主义内容的信息的,应当立即停止传输,保存相关记录,删除相关信息,并向公安机关或者有关部门报告。

网信、电信、公安、国家安全等主管部门对含有恐怖主义、极端主义内容的信息,应当按照职责分工,及时责令有关单位停止传输、删除相关信息,或者关闭相关网站、关停相关服务。有关单位应当立即执行,并保存相关记录,协助进行调查。对互联网上跨境传输的含有恐怖主义、极端主义内容的信息,电信主管部门应当采取技术措施,阻断传播。

《反恐怖主义法》还有多条规定涉及“洗钱”问题。事实上,自2007年1月1日起施行的《反洗钱法》的立法目的就是预防洗钱活动,维护金融秩序,遏制洗钱犯罪及相关犯罪。就APPLE PAY而言,不论是苹果公司,还是银联公司,均应当切实履行上述法定义务,否则将承担高额罚款等严厉法律惩处。

APPLE PAY“抢跑”《网络安全法》

根据我国网络安全面临的严峻形势和网络立法的现状,我国目前正在抓紧制定《网络安全法》。2015年6月,全国人大常委会初次审议了《网络安全法(草案)》(简称草案),随后向社会公开征求意见。草案第三章网络安全运行中的第一节“一般规定”中,专门规定了网络安全等级保护、强制安全检测和认证、网络实名制等。第二十二条特别规定,不得为他人实施危害网络安全的活动提供技术支持、广告推广、支付结算等帮助。而第二节专门规定了“关键信息基础设施的运行安全”。草案第二十五条规定,用户数量众多的网络服务提供者所有或者管理的网络和系统,连同通信、广电、能源等行业或系统,均被列入关键信息基础设施,并由国家实行重点保护。鉴于APPLE PAY基于千万级别的苹果终端用户,显然属于关键信息基础设施类。草案随后还规定了关键信息基础设施运营者的特别的安全保护义务、国家安全审查义务、个人信息保护义务、及年度检测评估义务等。

虽然中国网络安全法正在紧张制定中,但苹果公司匆忙推出Apple Pay服务,使中国成为全球第五个、亚洲第一个上线Apple Pay的国家。这显然不是仅仅的市场考虑,而可能是在网络安全法出台前的“抢跑”行为。作为历来标榜守法、尊重用户的国际大公司,苹果公司不可能不知道中国网络安全法的立法进程,其做法不得不令人深思。

企业应当主动适应《网络安全法》

笔者认为,相关经营者负责任的做法应当是,依据现行法律及已经公开的法律草案相关规定及精神,及早主动寻求获得具有资质且业内声誉卓著的网络安全评估及检测机构的认可,并主动接受与网络安全、反恐、反洗钱、金融监管相关的主管部门,如网信、电信、公安、国家安全、反洗钱、金融监管等主管部门的安全审查,以合法正当的开展业务。同时,由于电信及网络服务多涉及敏感的个人信息保护问题,故经营者还应当征询广大消费者及中国消费者协会等公益性组织的意见。在“没有网络安全就没有国家安全”的今天,上述做法其实并不是仅仅针对苹果公司一家而言,其他与网络安全密切相关的电信业务经营者、互联网服务提供者等,均应当以最大的善意与谦恭主动顺应网络安全法治进程,积极审慎适应网络安全立法趋势,而不能装聋作哑,更不能违规抢跑。

《网络安全法》已刻不容缓

“APPLE PAY抢跑”事件再次昭示了《网络安全法》的极端重要性与紧迫性。笔者认为,依据习总书记“没有网络安全就没有国家安全”的重要指示和十八届三中全会依法治国的精神,可以小结为十个字,即“网为安为天,安以法为先”。同时,有关网络等高技术领域的立法应当切实遵循“速立频修”的原则。即“快速制定、频繁修订”。“速立”解决的是“有无”问题;而“频修”解决的是“更好”问题。虽然《网络安全法》立法工作中的高技术性、政策敏感性、全球协调性、内容完备性等方面困难重重,但是,严峻的中国网络安全现实挑战要求《网络安全法》应当及早出台,以实现以法治建设提高国家网络安全保障能力,掌握网络空间治理和规则制定方面的主动权,切实维护国家网络空间主权、安全和发展利益。

2016-03-11 10:36
来源:中国信息安全杂志(2016.02)
热门推荐更多
热点新闻更多