您身边的《网络安全法》
开栏语:十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》,并已于2017年6月1日起正式施行。 《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。《网络安全法》将近年来一些成熟的好做法制度化,并为将来可能的制度创新做了原则性规定,为网络安全工作提供切实法律保障。那么这部网络安全领域的根本大法与我们有什么关联、对我们的生活又会产生什么影响呢?
第一篇:监管体制
——网信部门统筹协调网络安全工作并履行监管职责
网络空间安全仅仅依靠政府是无法实现的,需要政府、企业、社会组织、技术社群和公民等网络利益相关者的共同参与。《网络安全法》坚持共同治理原则,鼓励全社会共同参与,政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作。同时,《网络安全法》将现行有效的网络安全监管体制法制化,明确了网信部门与其他相关网络监管部门的职责分工。
【第8条】国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
解读:这一条明确了网络安全的监管责任,解决了谁来负责的问题。将现行有效的网络安全监管体制法制化,明确了网信部门与其他相关网络监管部门的职责分工。网信部门负责统筹协调网络安全工作和相关监督管理工作,电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作,这种“1+X”的监管体制,符合当前互联网与现实社会全面融合的特点和我国监管需要。
【第11条】网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。
解读:行业组织一直在网络安全问题上起到重要作用,在中国和其他国家都是如此。本条对网络相关行业组织在加强行业自律和相应的责任从法律的高度上予以明确,凸显了对网络相关行业组织作用的重视。在此基础上,中国互联网协会等有关行业组织也都陆续推出了一系列落实细化的举措。
【第14条】任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。
解读:本条明确了大众在遭遇危害网络安全行为时举报维权的权利。目前相关部门均已开设了便捷的网络举报通道,对于互联网违法和不良信息可向中国互联网举报中心进行举报(举报电话:12377,举报网址:http://www.12377.cn);对于利用互联网或针对网络信息系统从事违法犯罪行为的可向公安机关进行举报(举报电话:110,举报网址:http://www.cyberpolice.cn);对于网络漏洞、网络安全事件可向国家互联网应急中心进行举报(举报电话:010-82990999,举报网址:http://www.cert.org.cn)。
第二篇:实名制
——用户信息未实名制,网络运营者将受重罚
通过实名制最大程度的实现信息真实化、可靠化,是国家网络安全的一个重要基础。《网络安全法》明确规定了在网络真实身份信息管理实名制方面,网络运营者必须承担的责任和义务,以及相应的法律责任。
【第24条】 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
解读:本条规定了网络运营者必须履行的核心义务之一就是实名制。本条在电信用户实名制基础上,规定了信息发布、即时通讯等服务的实名制要求,实名制将不再仅限于通讯领域,微信、QQ、论坛、贴吧以及网站新闻跟贴等具备信息发布和即时通讯等服务的网络产品和应用都须进行用户身份实名制。对于没有落实好实名制的网络运营者将面临高额处罚甚至被勒令停业。
对于习惯了在网络上使用各种个性ID的小伙伴儿们也不用担心,在国家网信办针对公众账号、群组、直播、即时通信、论坛社区、跟帖评论等互联网信息服务出台的一系列规范性文件中都明确规定了网络真实身份信息管理实名制的原则是“后台实名、前台自愿”,在强化实名管理的同时充分保护了用户个人隐私。也就是说只要不违法,你还是可以在网络中将自己“藏”起来。
【适用法律责任】《网络安全法》第六章第六十一条规定:
网络运营者未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第三篇:用户个人信息保护
——泄露用户信息,网络运营者将受重罚
通过实名制最大程度的实现信息真实化、可靠化,是国家网络安全的一个重要基础。另一方面,实名制也是一把双刃剑,对于网络运营者来说,一旦收集的个人信息发生大批量的泄漏,将产生无法预期的数据安全风险。因此,在《网络安全法》中的“网络信息安全”章节相应规定了“网络运营者对个人信息保护的责任”条款,强化了个人信息保护。这部分条款,提出了个人信息保护的基本原则和要求,可以说是一部小型的“个人信息保护法”。主要规定了在网络信息安全特别是个人信息保护方面,网络运营者、任何个人和组织、网络安全监管人员必须承担的责任和义务,相应的也要承担法律责任。
【第40条】 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
【第41条】 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
解读:这两条的核心是用户信息保护。明确要求网络运营者必须建章立制,担负起用户信息“保管员”的职责,确保对所收集的用户信息在不泄露的前提下进行使用,同时强化了个人信息保护的知情同意和特定目的原则。确定了网络运营者收集个人信息必须遵循合法、正当、必要的原则,强调了个人信息收集过程中的透明度,和用户自主选择权,同时强调了信息采集者必须合法使用和保存个人信息。那些利用其“垄断地位”或“霸王条款”强制用户同意采集信息的网络运营者需要注意,再如此任性可就违法了。
【第42条】 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
解读:本条款也被称作“大数据条款”。在强调保护个人信息的同时,有建设性的提出了“经过处理无法识别特定个人且不能复原的”除外,为个人信息数据在使用、交换和交易过程的合法性提供了法律依据。要求网络运营者对用户个人信息数据进行匿名化处理,技术上就是通过采用数据脱敏产品或技术手段,将涉及个人隐私的敏感数据进行脱敏处理,保证脱敏后的数据不能再识别出特定个人,并且信息不可逆(不可通过技术手段复原)。
同时,本条款作为个人信息保护的核心内容,明确了网络运营者对个人信息保护的责任:有必要采取技术措施保护个人信息,确保其收集的个人信息安全,通过采用监控、审计等技术手段及时发现和记录异常行为,为主管部门进行追责和定责提供数据依据。
【第43条】 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
解读:本条款核心是法律明确赋予公民个人具有“删除权”和“更正权”。如果个人发现网络运营者不当使用个人信息,有权要求删除,有错误的有权要求其改正。特别要提醒网络运营者,有义务采取措施予以删除或更正,否则将面临后款第六十四条所明确的高额处罚。
【第44条】 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
【第45条】 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
解读:这两条的核心是不得非法获取、非法出售和提供个人信息。结合后款第六十四条所明确处罚标准,大大提高了违法成本,从处罚力度上对网络运营者起到震慑。同时规定了执法部门和执法人员必须履行的保密责任。
【适用法律责任】《网络安全法》第六章第六十四条规定:
网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
对于窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
第四篇:网络运行安全
——完善网络安全义务和责任,加大违法惩处力度
《网络安全法》用了大篇幅来规范网络运行安全,特别强调要保障关键信息基础设施的运行安全。将原来散见于各种法规、规章中的规定上升到法律层面,对网络运营者等主体的法律义务和责任做了全面规定,同时提高了违法行为的处罚标准,加大了惩处力度。
【第21条】 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。
解读:本条规定了网络运营者必须履行“等级安全保护制度”所要求的安全保护义务。重点在于:
1)确定网络安全责任人,以落实保护责任。这里需要注意的是作为责任人,相应的承担着法律责任。
2)技术层面需要采取防病毒、入侵检测等手段保护网络安全。日常安全维护必不可少,不能因为日常运营没有出现问题就掉以轻心放松管理。一旦中毒或被恶意入侵,所带来的危险性就非常大,轻则系统瘫痪、数据丢失,重则负法律责任。
3)采用数据库审计、网络审计等技术手段,采集并记录、分析日志,日志留存不少于六个月。
4)在数据安全方面,再次强调了数据分类和数据加密。数据分类的重点是能够帮助责任人自动的识别发现系统中的个人敏感信息和行业敏感信息,和这些信息存储的位置、数据库表和字段,以确定需要保护的内容;数据加密则一直以来就是个难点,其中的关键是在满足保密性的同时还要满足可用性,目前比较理想的技术手段是“透明数据加密(TDE)”。
【第25条】 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
解读:本条的核心是网络安全事件应急预案和应急响应,这是网络运营者要承担的义务。建议网络运营者,通过部署漏洞监测、扫描类的产品或服务,及时发现漏洞并在第一时间通过升级补丁或完善应用系统来补救。
【第28条】 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
解读:本条规定了协助执法机关执法是网络运营者必须履行的义务。例如当公安机关办案需要时,网络运营者有义务提供其所采集的用户信息和相关数据,以及相应的技术支持。
【第34条】除第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;(二)定期对从业人员进行网络安全教育、技术培训和技能考核;(三)对重要系统和数据库进行容灾备份;(四)制定网络安全事件应急预案,并定期进行演练;(五)法律、行政法规规定的其他义务。
解读:关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的系统和设施。网络运行安全是网络安全的重心,关键信息基础设施安全则是重中之重,与国家安全和社会公共利益息息相关。本条款说明了关键信息基础设施的保护要求高于网络安全等级保护制度的一般要求,从制度、培训、灾备、应急等方面提出了进一步要求。强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务。
同时,结合后款第三十九条的相应规定,明确了关键信息基础设施的安全保护将受到网信部门的“重点关照”。
【第37条】关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
解读:本条明确了关键信息基础设施的数据存储和流动规则。明确关键信息基础设施的重要信息数据要在境内存储,需要向境外流动的需要在相关部门的评估确认下进行。
【适用法律责任】
第六章第五十九条:网络运营者不履行网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
第六章第六十六条关键信息基础设施的运营者违反规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第六章第六十九条网络运营者违反规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款:(一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的;(二)拒绝、阻碍有关部门依法实施的监督检查的;(三)拒不向公安机关、国家安全机关提供技术支持和协助的。
