背景
《网络安全法》于2016年11月7日发布,自2017年6月1日起施行。
国际上的同类法规有
- 日本,2014年11月,《网络安全基本法》
- 美国,2015年底,《网络安全法案》
- 欧盟,2019年3月,《网络安全法案》
重点
参考 https://blog.csdn.net/Amdy_amdy/article/details/82884933
《网络安全法》包含7章79条,重点有:
1.明确了网络空间主权原则
第一条:为了保障网络安全,维护网络空间主权和国家安全
解读:
网络空间主权是国家主权在网络空间中的自然延伸和表现,没有网络安全,就没有国家安全。
2.推动网络安全等级保护制度(目前等保2.0)
第三十一条:在网络安全等级保护制度的基础上
解读:
企业在选择云服务商时候,应优先考虑可支撑自身业务安全等级保护要求的云平台。
云平台提供的安全等级保护资质,不应低于企业业务需要的安全保护等级。
3.完善了个人信息保护规则
第四十条:网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度
第四十二条:网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
解读:
企业应该根据具体应用场景对隐私风险进行充分评估,制定相应保护策略。
企业应该限定使用目的与用途,限制数据再披露。
若加密数据遭遇泄露,启动应急预案,防止危害扩散;同时,对加密的算法予以保密。
关于“个人信息”的定义,可以参见网安法中
第七十六条第五款:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等
4.建立了数据跨境传输规则
第三十七条:因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估
解读:
关键信息基础设施的运营者在运营中收集的个人信息与重要数据应当在境内存储。
若因业务需要,向境外传输时,应按照国家网信部门及国务院有关部门制定的办法进行安全评估。
经安全评估,不违反国家利益和社会安全,方可出境。
关于“关键信息基础设施”的定义,可以参见网安法中
第三十一条:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
在这里提出要建立关键信息基础设施安全保护制度,《国家关键信息基础设施安全保护条例》即将出台
5.贯彻实施网络空间实名认证
第二十四条:网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
解读:
企业实施过程中,前台页面展示在互联网世界里可使用网名,但后台存储必须是可识别的实名制个人身份证明。
6.明确禁止的网络行为
第十二条:任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
解读:
发现有以上行为,可以向网信、电信、公安等部门举报。
其他条款解读
1.明确责任分工
第八条:国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
中央网信办网络安全协调局负责统筹协调
工信部网络安全管理局负责网络安全相关管理工作
公安部网络安全保障局负责安全保障工作
2.日志保存
第二十一条第三款:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
日志至少保存6个月
3.网络关键设备和网络安全专用产品目录
第二十三条:国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
4.漏洞信息的发布
第二十六条:开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。
违反此条,处罚参见第六十二条
5.网络运营者技术支持和协助责任
第二十八条:网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
违反此条,处罚参见第六十九条
6.网信部门的责任
第三十条:网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。
违反此条,处罚参见第七十三条
7.个人信息收集原则
第四十一条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
8.关于大数据收集
第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
9.个人处理自己个人信息的权力
第四十三条:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
违反此条,处罚参见第六十四条
10.其他法律责任
第六十条:违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:
(一)设置恶意程序的;
(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;
(三)擅自终止为其产品、服务提供安全维护的。
11.境外管辖
第七十五条:境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。
与网安法相关的法律法规
- 国家安全法
- 反恐怖主义法
- 刑法
- 保密法
- 治安管理处罚法
- 计算机信息系统安全保护条例
- 互联网信息服务管理办法
- 关于加强网络信息保护的决议
- 关于维护互联网安全的决定
网络运营者法规要求
- 实施网络安全等级保护制度的相关义务和制度建设(第二十一条)
- 健全用户信息保护制度(第二十二条和第四十条)
- 落实网络实名制(第二十四条)
- 网络安全事件应急预案(第二十五条)
- 个人信息的收集和利用规则制度(第四十一条和第四十二条)
- 个人信息泄露事件的报告制度(第四十二条)
- 违法使用个人信息,删除和更正个人错误信息的制度(第四十三条)
- 网络运营商对个人非法信息传播的监管(第四十七条)
- 网络信息安全投诉、举报制度(第四十九条)