2019年08月26日  星期一

當前位置: 首頁 > 學校概況 > 校園新聞
《網絡安全法》系列解讀——您身邊的《網絡安全法》
作者: 佚名                          浏覽:次             發布時間:2018-10-18 11:16:18
字體大小:

 開欄語:十二屆全國人大常委會第二十四次會議表決通過了《中華人民共和國網絡安全法》,並已于201761日起正式施行。 《網絡安全法》是我國第一部全面規範網絡空間安全管理方面問題的基礎性法律,是我國網絡空間法治建設的重要裏程碑,是依法治網、化解網絡風險的法律重器,是讓互聯網在法治軌道上健康運行的重要保障。《網絡安全法》將近年來一些成熟的好做法制度化,並爲將來可能的制度創新做了原則性規定,爲網絡安全工作提供切實法律保障。那麽這部網絡安全領域的根本大法與我們有什麽關聯、對我們的生活又會産生什麽影響呢?

第一篇:監管體制

——網信部門統籌協調網絡安全工作並履行監管職責

網絡空間安全僅僅依靠政府是無法實現的,需要政府、企業、社會組織、技術社群和公民等網絡利益相關者的共同參與。《網絡安全法》堅持共同治理原則,鼓勵全社會共同參與,政府部門、網絡建設者、網絡運營者、網絡服務提供者、網絡行業相關組織、高等院校、職業學校、社會公衆等都應根據各自的角色參與網絡安全治理工作。同時,《網絡安全法》將現行有效的網絡安全監管體制法制化,明確了網信部門與其他相關網絡監管部門的職責分工。

【第8條】國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責範圍內負責網絡安全保護和監督管理工作。縣級以上地方人民政府有關部門的網絡安全保護和監督管理職責,按照國家有關規定確定。

解讀:這一條明確了網絡安全的監管責任,解決了誰來負責的問題。將現行有效的網絡安全監管體制法制化,明確了網信部門與其他相關網絡監管部門的職責分工。網信部門負責統籌協調網絡安全工作和相關監督管理工作,電信主管部門、公安部門和其他有關機關在各自職責範圍內負責網絡安全保護和監督管理工作,這種“1+X”的監管體制,符合當前互聯網與現實社會全面融合的特點和我國監管需要。

【第11條】網絡相關行業組織按照章程,加強行業自律,制定網絡安全行爲規範,指導會員加強網絡安全保護,提高網絡安全保護水平,促進行業健康發展。

解讀:行業組織一直在網絡安全問題上起到重要作用,在中國和其他國家都是如此。本條對網絡相關行業組織在加強行業自律和相應的責任從法律的高度上予以明確,凸顯了對網絡相關行業組織作用的重視。在此基礎上,中國互聯網協會等有關行業組織也都陸續推出了一系列落實細化的舉措。

【第14條】任何個人和組織有權對危害網絡安全的行爲向網信、電信、公安等部門舉報。收到舉報的部門應當及時依法作出處理;不屬于本部門職責的,應當及時移送有權處理的部門。有關部門應當對舉報人的相關信息予以保密,保護舉報人的合法權益。

解讀:本條明確了大衆在遭遇危害網絡安全行爲時舉報維權的權利。目前相關部門均已開設了便捷的網絡舉報通道,對于互聯網違法和不良信息可向中國互聯網舉報中心進行舉報(舉報電話:12377,舉報網址:http://www.12377.cn);對于利用互聯網或針對網絡信息系統從事違法犯罪行爲的可向公安機關進行舉報(舉報電話:110,舉報網址:http://www.cyberpolice.cn);對于網絡漏洞、網絡安全事件可向國家互聯網應急中心進行舉報(舉報電話:010-82990999,舉報網址:http://www.cert.org.cn)。

第二篇:實名制

——用戶信息未實名制,網絡運營者將受重罰

通過實名制最大程度的實現信息真實化、可靠化,是國家網絡安全的一個重要基礎。《網絡安全法》明確規定了在網絡真實身份信息管理實名制方面,網絡運營者必須承擔的責任和義務,以及相應的法律責任。

【第24條】 網絡運營者爲用戶辦理網絡接入、域名注冊服務,辦理固定電話、移動電話等入網手續,或者爲用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得爲其提供相關服務。國家實施網絡可信身份戰略,支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認。

解讀:本條規定了網絡運營者必須履行的核心義務之一就是實名制。本條在電信用戶實名制基礎上,規定了信息發布、即時通訊等服務的實名制要求,實名制將不再僅限于通訊領域,微信、QQ、論壇、貼吧以及網站新聞跟貼等具備信息發布和即時通訊等服務的網絡産品和應用都須進行用戶身份實名制。對于沒有落實好實名制的網絡運營者將面臨高額處罰甚至被勒令停業。

對于習慣了在網絡上使用各種個性ID的小夥伴兒們也不用擔心,在國家網信辦針對公衆賬號、群組、直播、即時通信、論壇社區、跟帖評論等互聯網信息服務出台的一系列規範性文件中都明確規定了網絡真實身份信息管理實名制的原則是“後台實名、前台自願”,在強化實名管理的同時充分保護了用戶個人隱私。也就是說只要不違法,你還是可以在網絡中將自己“藏”起來。

【適用法律責任】《網絡安全法》第六章第六十一條規定:

網絡運營者未要求用戶提供真實身份信息,或者對不提供真實身份信息的用戶提供相關服務的,由有關主管部門責令改正;拒不改正或者情節嚴重的,處五萬元以上五十萬元以下罰款,並可以由有關主管部門責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

第三篇:用戶個人信息保護

——泄露用戶信息,網絡運營者將受重罰

通過實名制最大程度的實現信息真實化、可靠化,是國家網絡安全的一個重要基礎。另一方面,實名制也是一把雙刃劍,對于網絡運營者來說,一旦收集的個人信息發生大批量的泄漏,將産生無法預期的數據安全風險。因此,在《網絡安全法》中的“網絡信息安全”章節相應規定了“網絡運營者對個人信息保護的責任”條款,強化了個人信息保護。這部分條款,提出了個人信息保護的基本原則和要求,可以說是一部小型的“個人信息保護法”。主要規定了在網絡信息安全特別是個人信息保護方面,網絡運營者、任何個人和組織、網絡安全監管人員必須承擔的責任和義務,相應的也要承擔法律責任。

【第40條】 網絡運營者應當對其收集的用戶信息嚴格保密,並建立健全用戶信息保護制度。

【第41條】 網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。

解讀:這兩條的核心是用戶信息保護。明確要求網絡運營者必須建章立制,擔負起用戶信息“保管員”的職責,確保對所收集的用戶信息在不泄露的前提下進行使用,同時強化了個人信息保護的知情同意和特定目的原則。確定了網絡運營者收集個人信息必須遵循合法、正當、必要的原則,強調了個人信息收集過程中的透明度,和用戶自主選擇權,同時強調了信息采集者必須合法使用和保存個人信息。那些利用其“壟斷地位”或“霸王條款”強制用戶同意采集信息的網絡運營者需要注意,再如此任性可就違法了。

【第42條】 網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能複原的除外。網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶並向有關主管部門報告。

解讀:本條款也被稱作“大數據條款”。在強調保護個人信息的同時,有建設性的提出了“經過處理無法識別特定個人且不能複原的”除外,爲個人信息數據在使用、交換和交易過程的合法性提供了法律依據。要求網絡運營者對用戶個人信息數據進行匿名化處理,技術上就是通過采用數據脫敏産品或技術手段,將涉及個人隱私的敏感數據進行脫敏處理,保證脫敏後的數據不能再識別出特定個人,並且信息不可逆(不可通過技術手段複原)。

同時,本條款作爲個人信息保護的核心內容,明確了網絡運營者對個人信息保護的責任:有必要采取技術措施保護個人信息,確保其收集的個人信息安全,通過采用監控、審計等技術手段及時發現和記錄異常行爲,爲主管部門進行追責和定責提供數據依據。

【第43條】 個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。

解讀:本條款核心是法律明確賦予公民個人具有“刪除權”和“更正權”。如果個人發現網絡運營者不當使用個人信息,有權要求刪除,有錯誤的有權要求其改正。特別要提醒網絡運營者,有義務采取措施予以刪除或更正,否則將面臨後款第六十四條所明確的高額處罰。

【第44條】 任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。

【第45條】 依法負有網絡安全監督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密,不得泄露、出售或者非法向他人提供。

解讀:這兩條的核心是不得非法獲取、非法出售和提供個人信息。結合後款第六十四條所明確處罰標准,大大提高了違法成本,從處罰力度上對網絡運營者起到震懾。同時規定了執法部門和執法人員必須履行的保密責任。

【適用法律責任】《網絡安全法》第六章第六十四條規定:

網絡運營者、網絡産品或者服務的提供者侵害個人信息依法得到保護的權利的,由有關主管部門責令改正,可以根據情節單處或者並處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。

對于竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息,尚不構成犯罪的,由公安機關沒收違法所得,並處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款。

第四篇:網絡運行安全

——完善網絡安全義務和責任,加大違法懲處力度

《網絡安全法》用了大篇幅來規範網絡運行安全,特別強調要保障關鍵信息基礎設施的運行安全。將原來散見于各種法規、規章中的規定上升到法律層面,對網絡運營者等主體的法律義務和責任做了全面規定,同時提高了違法行爲的處罰標准,加大了懲處力度。

【第21條】 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:()制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;()采取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行爲的技術措施;()采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日志不少于六個月;()采取數據分類、重要數據備份和加密等措施;()法律、行政法規規定的其他義務。

解讀:本條規定了網絡運營者必須履行“等級安全保護制度”所要求的安全保護義務。重點在于:

1)確定網絡安全責任人,以落實保護責任。這裏需要注意的是作爲責任人,相應的承擔著法律責任。

2)技術層面需要采取防病毒、入侵檢測等手段保護網絡安全。日常安全維護必不可少,不能因爲日常運營沒有出現問題就掉以輕心放松管理。一旦中毒或被惡意入侵,所帶來的危險性就非常大,輕則系統癱瘓、數據丟失,重則負法律責任。

3)采用數據庫審計、網絡審計等技術手段,采集並記錄、分析日志,日志留存不少于六個月。

4)在數據安全方面,再次強調了數據分類和數據加密。數據分類的重點是能夠幫助責任人自動的識別發現系統中的個人敏感信息和行業敏感信息,和這些信息存儲的位置、數據庫表和字段,以確定需要保護的內容;數據加密則一直以來就是個難點,其中的關鍵是在滿足保密性的同時還要滿足可用性,目前比較理想的技術手段是“透明數據加密(TDE)”。

【第25條】 網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啓動應急預案,采取相應的補救措施,並按照規定向有關主管部門報告。

解讀:本條的核心是網絡安全事件應急預案和應急響應,這是網絡運營者要承擔的義務。建議網絡運營者,通過部署漏洞監測、掃描類的産品或服務,及時發現漏洞並在第一時間通過升級補丁或完善應用系統來補救。

【第28條】 網絡運營者應當爲公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。

解讀:本條規定了協助執法機關執法是網絡運營者必須履行的義務。例如當公安機關辦案需要時,網絡運營者有義務提供其所采集的用戶信息和相關數據,以及相應的技術支持。

【第34條】除第二十一條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:()設置專門安全管理機構和安全管理負責人,並對該負責人和關鍵崗位的人員進行安全背景審查;()定期對從業人員進行網絡安全教育、技術培訓和技能考核;()對重要系統和數據庫進行容災備份;()制定網絡安全事件應急預案,並定期進行演練;()法律、行政法規規定的其他義務。

解讀:關鍵信息基礎設施是指那些一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的系統和設施。網絡運行安全是網絡安全的重心,關鍵信息基礎設施安全則是重中之重,與國家安全和社會公共利益息息相關。本條款說明了關鍵信息基礎設施的保護要求高于網絡安全等級保護制度的一般要求,從制度、培訓、災備、應急等方面提出了進一步要求。強調在網絡安全等級保護制度的基礎上,對關鍵信息基礎設施實行重點保護,明確關鍵信息基礎設施的運營者負有更多的安全保護義務。

同時,結合後款第三十九條的相應規定,明確了關鍵信息基礎設施的安全保護將受到網信部門的“重點關照”。

【第37條】關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和産生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。

解讀:本條明確了關鍵信息基礎設施的數據存儲和流動規則。明確關鍵信息基礎設施的重要信息數據要在境內存儲,需要向境外流動的需要在相關部門的評估確認下進行。

【適用法律責任】

第六章第五十九條:網絡運營者不履行網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。

關鍵信息基礎設施的運營者不履行網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等後果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。

第六章第六十六條關鍵信息基礎設施的運營者違反規定,在境外存儲網絡數據,或者向境外提供網絡數據的,由有關主管部門責令改正,給予警告,沒收違法所得,處五萬元以上五十萬元以下罰款,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

第六章第六十九條網絡運營者違反規定,有下列行爲之一的,由有關主管部門責令改正;拒不改正或者情節嚴重的,處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員,處一萬元以上十萬元以下罰款:(一)不按照有關部門的要求對法律、行政法規禁止發布或者傳輸的信息,采取停止傳輸、消除等處置措施的;(二)拒絕、阻礙有關部門依法實施的監督檢查的;(三)拒不向公安機關、國家安全機關提供技術支持和協助的。

網絡安全法正式施行 解讀其五大亮點

61日,《中華人民共和國網絡安全法》、《互聯網新聞信息服務管理規定》、 《網絡産品和服務安全審查辦法(試行)》等一批互聯網領域的法律法規正式施行。

其中,《網絡安全法》是我國第一部全面規範網絡空間安全管理方向問題的基礎性法律,是我國網絡空間法制建設的重要裏程碑,以制度建設掌握網絡空間治理和規則制定方面的主動權,是維護國家網絡空間安全發展的利器。該法明確加強了對個人信息的保護,打擊網絡詐騙,相當于一部小型的“個人信息保護法”。

網絡安全法的五大亮點

《網絡安全法》共七章七十九條,體現了三個基本原則,即網絡空間主權原則、網絡安全與信息化發展並重原則、共同治理原則。在內容的制定上,該法有幾大值得關注的亮點。

亮點一:明確對公民個人信息安全進行保護

[法律規定]網絡安全法第四十四條規定:任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。

[解讀]目前,非法獲取的公民個人信息已經從簡單的身份信息、電話號碼、家庭住址等,擴展到手機通訊錄和手機短信、網絡賬號和密碼、住宿記錄等,受侵害的人員涉及各行各業,立法保護個人信息已刻不容緩。

 

亮點二:個人信息被冒用有權要求網絡運營者刪除

[法律規定]網絡安全法第四十三條規定:個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息。網絡運營者應當采取措施予以刪除或者更正。

[解讀]各類網絡詐騙,尤其是精准詐騙,源頭都是個人信息泄露。網絡安全法特別規定了公民個人信息保護的基本法律制度。通過舉報要求網絡運營者及時刪除被冒用的個人信息,是公民加強個人信息保護的有力武器。

 

亮點三:個人和組織有權對危害網絡安全的行爲進行舉報

[法律規定]網絡安全法第十四條規定:任何個人和組織有權對危害網絡安全的行爲向網信、電信、公安等部門舉報。收到舉報的部門應當及時依法作出處理;不屬于本部門職責的,應當及時移送有權處理的部門。

[解讀]互聯網的海量信息,僅僅依靠政府部門監管,無法維護良好的網絡空間秩序。發揮公衆參與在網絡治理中的作用,可收到事半功倍、一舉多得的效果。網絡安全法明確了公民對危害網絡安全行爲的舉報權利,政府部門受理、處置公民舉報的責任,保障了公民通過網絡舉報參與網絡空間治理的有效性。

 

亮點四:網絡運營者應當加強對其用戶發布的信息的管理

[法律規定]網絡安全法第四十七條規定:網絡運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,采取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告。

[解讀]網民發帖需謹慎,違反法律法規的,像惡意中傷他人,惡意損害他人信譽等等是不允許的。

 

亮點五:未成年人上網有哪些特殊保護?

[法律規定]網絡安全法第十三條規定:國家支持研發開發有利于未成年人健康成長的網絡産品和服務,依法懲治利用網絡從事危害未成年人身心健康的活動, 爲未成年人提供安全、 健康的網絡環境。

[解讀]《網絡安全法》明文規定了未成年人保護專款第十三條,從鼓勵有利于未成年人健康成長的網絡産品和服務到依法嚴懲危害未成年人權益的行爲,爲未成年人提供安全健康的網絡環境,這對于淨化網絡環境,建設網絡安全是非常重要的。

微博、微信被帶上“緊箍咒”

同在61日,同樣是聚焦網絡的《互聯網新聞信息服務管理規定》、 《網絡産品和服務安全審查辦法(試行)》也正式施行。這些法律法規對微博、微信、論壇、網絡直播等等戴上了“緊箍咒”。

其中,《互聯網新聞信息服務管理規定》(以下簡稱《規定》)自61日起施行。規定提出,通過互聯網站、應用程序、論壇、博客、微博客、公衆賬號、即時通信工具、網絡直播等形式向社會公衆提供互聯網新聞信息服務,應當取得互聯網新聞信息服務許可,禁止未經許可或超越許可範圍開展互聯網新聞信息服務活動。

《規定》與《網絡安全法》一同生效,同時在具體內容中特別明確和強調了國家和地方互聯網信息辦公室的執法權,充分體現了《規定》是我國網絡基本法——《網絡安全法》在互聯網內容管理領域的落地與細化,爲網信部門依法對網絡新聞信息容進行管理提供了有力支撐。

此外,《規定》明確了互聯網新聞信息服務提供者應承擔的社會責任,如要求設立總編輯,“對互聯網新聞信息內容負總責”;要求“健全信息發布審核、公共信息巡查、應急處置等信息安全管理制度,具有安全可控的技術保障措施”等等,是近年來網絡空間治理的實踐經驗的總結,上升爲法律規定對于進一步實現網絡空間“天朗氣清”將起到重要作用。

 

審查辦法還需執行細節

《網絡産品和服務安全審查辦法(試行)》(以下簡稱《辦法》)同樣自61日起施行。《辦法》旨在提高網絡産品和服務安全可控水平,防範網絡安全風險,維護國家安全。《辦法》指出,關系國家安全的網絡和信息系統采購的重要網絡産品和服務,應當經過網絡安全審查。

《辦法》作爲第一部國家層面的安全審查規則,對爲什麽審查、如何審查以及誰來審查提出了明確的意見。

中國網絡安全産業聯盟戰略與政策委員會副主任李剛認爲,《辦法》體現了國家高度定位:從組織架構和執行定位來看,無疑是國家層面主導、國家統一組織、適用于全國範圍的一個針對網絡産品和服務安全保障的重要的執行綱領性文件和指南。

《辦法》還體現了內容定位:《辦法》目標性定位很明確,首先是制定辦法的原因明確,《辦法》指出“爲提高網絡産品和服務安全可控水平,防範供應鏈安全風險,維護國家安全和公共利益”;其次是《辦法》制定的法律依據很明確,依據《中華人民共和國國家安全法》、《中華人民共和國網絡安全法》制定了本《辦法》;再次是審查對象和審查內容非常明確,對象是“關系國家安全和公共利益的信息系統使用的重要網絡産品和服務”,內容是産品和服務的“安全性、可控性”;最後是組織架構和相關執行線路明確,例如《辦法》明確執行部門爲“國家互聯網信息辦公室會同有關部門成立網絡安全審查委員會”。

 

《辦法》還需要內容的細化:該《辦法》是綱領文件,而不是執行細則,所以,對某些內容,後續還需要很多的規則內容細化,還需要一段時間去合理化制定及完善一些規則定義、執行細則,以及組織機構的組建等。(綜合中新網、東莞市公安局、人民網等報道)