“互联网+”、云计算、大数据等新兴业态的快速发展，互联网已经快速渗透到人们生活的各领域各环节，越来越多的企业和机构拥有搜索、收集个人信息的能力，个人信息的使用、交互、跨境传输越发频繁，如此，我国的网络安全形势更加严峻。360互联网安全中心发布的2016年中国网站安全漏洞形势力分析报告称，截止2016年11月15日，补天平台收录的网站漏洞中，共有1700个漏洞可能造成网站上的个人信息泄露，可能泄露的个人信息量高达50亿条。平均到以7.2亿计算的中国网民，每人可能至少有7条以上的个人信息被泄露。另中国互联网协会发布的《中国网民权益保护调查报告2016》显示，2016年网民遭遇个人信息泄露导致的经济损失高达915亿元。2016年，亦有多起引入关注的信息泄露案，例如“2.7亿Gmail、雅虎和Hotmail账号泄露”、“中国人寿广东10万份保单或遭泄露”、“约10万条高考生信息泄露”、“徐玉玉自杀事件”等，涉及人数众多，造成了恶劣的影响。大量的信息诈骗案件表明，网站个人信息泄露已经成为网络诈骗的助推器，网站个人信息泄露成为公民个人信息泄露的重灾区。
　　继2012年12月28日《全国人民代表大会常务委员会关于加强网络信息保护的决定》实施后，在国家法律层面对公民个人身份和个人隐私电子信息的保护进行了明确的规定。《中华人民共和国网络安全法》（以下简称“《网络安全法》”）即将自2017年6月1日起施行，《网络安全法》对网络运营者提出了更详细、标准更高的合规要求。
　　一、网络运营者
　　除了规定了有关国家机关、组织、个人在维护网络安全义务的同时，《网络安全法》主要规定了“网络运营者”、“网络产品、服务提供者”两种责任主体（见第21条，第22条），但是，依据第67条（三）的定义，网络运营者，是指网络所有者、管理者以及网络服务提供者，因此《网络完全法》下的网络运营者，应当包括网络产品、服务提供者。
　　关于网络运营者具体包括哪些机构、组织、企业或个人，《网络安全法》并没有给出明确的定义，按照第67条的规定，网络运营者的范围将会非常广泛，主要包括：
　　1、基础电信业务提供商，按照《中华人民共和国电信条例》规定，指公共网络基础设施、公共数据传输和基本通讯服务提供商，包括中国电信、联通、移动等基础电信业务服务提供商。
　　2、增值电信业务提供商，按照《中华人民共和国电信条例》的规定，包括利用共同网络提供电信与信息服务的服务商，包括提供网络接入、网络维护、服务器提供、域名解析、存储服务等IDC服务商，以及手机App信息服务提供商（需取得增值电信业务经营许可证，SP许可证）。
　　3、经营性网站。各大经营性网站，包括门户网站、互联网电商网站等，均属于网络信息服务提供商，按照《网络安全法》76条定义字面上来理解，因网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，网络运营者包括网络服务提供者，因此网络信息服务提供商，也应当属于网络运营者。而按照相关法律规定分析，如按照《互联网信息服务管理办法》的规定，经营性互联网信息服务与非经营性互联网信息服务提供商，也属于《中华人民共和国电信条例》中所述的增值电信业务提供商，从事经营性互联网信息服务，应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门申请办理互联网信息服务增值电信业务经营许可证（以下简称经营许可证，即ICP许可证）。因此，各大经营性网站的所有者与运营方，也属于《网络安全法》下的网络运营商。经营性网站也应当属于网络运营者。
　　二、《网络安全法》下的企业数据合规义务
　　《网络安全》法明确规定的网络运营者的法律责任有：
　　遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。（第9条）
　　依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。（第10条）
　　网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
　　（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
　　（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
　　（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
　　（四）采取数据分类、重要数据备份和加密等措施；
　　（五）法律、行政法规规定的其他义务。（第21条）
　　网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。
　　网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。
　　网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。 (第22条)
　　网络接入时要求用户提供真实信息义务。（第24条）
　　应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。（第25条）
　　为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。（第28条）
　　应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。（第40条）
　　收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。（第41条）
　　网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。（第42条）
　　更正、删除违法、违约收集的个人信息。（第43条）
　　不得泄露、出售或者非法向他人提供。（第45条）
　　加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。（第47条）
　　安全管理义务。（第48条）
　　投诉、举报处理制度。（第49条）
　　三、《网络安全法》下的企业合规实务操作
　　随着共享经济的发展和互联网科技的进步，各种新型互联网企业，包括物联网、云计算、下一代互联网、新一代移动通信等网络信息技术在设计、生产、运营等核心环节的深入应用，以及网络化研发、智能化生产、协同化制造和个性化服务，与消费者、参与者、协同方的数据采集、整理、使用、分享也越来越频繁，基于我们法律团队服务互联网公司的经验，企业应当与法律部门一起，做好如下数据合规工作：
　　1、构建合规的商业模式和业务平台，重点在防范系统性风险，维护消费者权益。
　　2、规范完善平台对外合同等法律文件，防范潜在法律风险及争议。
　　3、了解合作伙伴的数据管理制度，防范协同风险。
　　4、制定完善平台的数据管理制度。
　　5、建立应急处理机制和投诉处理机制。
　　实行动态管理，合规教育培训，及时反馈完善升级。