《網絡安全法》已經於2017年6月1日起正式實施,該法實施以後,將對我們的生活有什麼影響?它將怎樣保障信息安全、網絡安全?大理專業網警以洪荒之力,專門整理出《網絡安全法》與現實生活密切相關的七大要點,不看後悔哦!
要點一:網絡安全等級保護制度
根據《網絡安全法》第二十一條規定,國家實行網絡安全等級保護制度。網絡運營者承擔的實施網絡安全等級保護制度相關的安全保護義務包括:
1)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
2)採取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
3)採取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日誌不少於六個月;
4)採取數據分類、重要數據備份和加密等措施;
5)法律、行政法規規定的其他義務。
在《網絡安全法》頒佈之前,我國已經實行信息系統安全等級保護制度。1994年國務院頒佈的《中華人民共和國計算機信息系統安全保護條例》規定我國的計算機信息系統實行安全等級保護。1999年,公安部組織制定的《計算機信息系統安全保護等級劃分準則》發佈。2007年,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定了《信息安全等級保護管理辦法》,明確了信息安全等級保護的具體要求。網絡安全法》實施之後,其確立的網絡安全等級保護制度應當會與目前的信息系統安全等級保護制度相銜接和融合,而不會成為兩個並行的制度體系。
要點二、關鍵信息基礎設施
《網絡安全法》第三十一條對關鍵信息基礎設施進行了規定,法律公佈後,社會的關注熱點是如何準確地理解關鍵信息基礎設施的範圍。
在立法過程中,關鍵信息基礎設施如何定義及確定其範圍也一直是爭議的焦點。《網絡安全法(草案)》一審稿採用了列舉的方式界定關鍵信息基礎設施的外延,即:“提供公共通信、廣播電視傳輸等服務的基礎信息網絡,能源、交通、水利、金融等重要行業和供電、供水、供氣、醫療衛生、社會保障等公共服務領域的重要信息系統,軍事網絡,設區的市級以上國家機關等政務網絡,用戶數量眾多的網絡服務提供者所有或者管理的網絡和系統”,構成關鍵信息基礎設施;二審稿刪除了列舉方式,直接採用危害後果的方式來界定,即:“一旦遭到破壞、喪失功能或者數據洩露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施”。在《網絡安全法》正式文本中,綜合了一審和二審稿,採用了列舉加危害後果雙重界定的方式,即:“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據洩露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護”。《網絡安全法》授權國務院另行制定關鍵信息基礎設施的具體範圍和安全保護辦法。
2016年6月,中央網絡安全和信息化領導小組辦公室制定了《國家網絡安全檢查操作指南》,並於7月在全國範圍內啟動了關鍵信息基礎設施網絡安全檢查工作。按照《國家網絡安全檢查操作指南》的規定,“關鍵信息基礎設施是指面向公眾提供網絡信息服務或支撐能源、通信、金融、交通、公用事業等重要行業運行的信息系統或工業控制系統,且這些系統一旦發生網絡安全事故,會影響重要行業正常運行,對國家政治、經濟、科技、社會、文化、國防、環境以及人民生命財產造成嚴重損失。關鍵信息基礎設施包括網站類,如黨政機關網站、企事業單位網站、新聞網站等;平臺類,如即時通信、網上購物、網上支付、搜索引擎、電子郵件、論壇、地圖、音視頻等網絡服務平臺;生產業務類,如辦公和業務系統、工業控制系統、大型數據中心、雲計算平臺、電視轉播系統等”。從以上定義可以看出,《國家網絡安全檢查操作指南》下關鍵信息基礎設施的範圍是比較廣泛的,比如即時通信系統和電商平臺都有可能成為關鍵信息基礎設施,其對我們理解《網絡安全法》下關鍵信息基礎設施的範圍具有一定的借鑑意義。
一旦被認定為關鍵信息基礎設施,設施運營者將會承擔相應的網絡安全保護法定義務,包括:
1)關鍵信息基礎設施的建設要求(第三十三條);
2)關鍵信息基礎設施運營者的安全保護義務(第三十四條);
3)採購關鍵信息基礎設施產品和服務的國家安全審查要求(第三十五條);
4)採購關鍵信息基礎設施產品和服務的保密要求(第三十六條);
5)個人信息和重要數據的本地化要求(第三十七條);
6)關鍵信息基礎設施的網絡安全年度檢測評估(第三十八條)。
要點三:數據保護
《網絡安全法》對於數據的保護包括個人信息保護、用戶信息保護和商業祕密保護。
《網絡安全法》之前,我國已經有若干的法律法規來規範個人信息的收集和使用,包括《全國人大常委會關於加強網絡信息保護的決定》、《消費者權益保護法》、《電信和互聯網用戶個人信息保護規定》、《關於審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》和《刑法修正案(九)》等。《網絡安全法》關於個人信息保護的條款與以往法律法規相比,保護原則沒有實質性的改變,但增加了一些保護內容,比如個人信息主體的刪除權和更正權等。
依照《網絡安全法》七十六條之定義,個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。該定義基本與《電信和互聯網用戶個人信息保護規定》的規定一致。基於以上定義,個人信息必須具備身份的識別性,如果信息和個人身份相分離,則不再構成個人信息。需注意,即使某信息不能單獨識別個人身份,但如果其與其它信息結合,具備識別個人身份的功能,仍然構成個人信息。
《網絡安全法》引入了“用戶信息”的概念,第二十二條規定,網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示並取得同意;並在第四十條中要求網絡運營者應當對其收集的用戶信息嚴格保密,並建立健全用戶信息保護制度。“用戶信息”,就是在用戶使用產品或服務過程中收集的信息構成用戶信息,包括IP地址、用戶名和密碼、用戶身份、上網時間、Cookie信息等。如果用戶信息具備身份識別的功能或,則構成用戶的個人信息。可見,用戶信息的範圍相比個人信息更廣泛一些。
《網絡安全法》建立了關於關鍵信息基礎設施產品和服務採購的國家安全審查制度(第三十五條)、數據跨境傳輸的安全評估制度(第三十七條)等,這些制度的實施,都需要網絡運營者和其它主體向有權機關提交相應的審查內容,其中可能包括受知識產權保護的軟件代碼、加密算法、商業計劃和商業祕密等。
要點四:數據本地化
依照《網絡安全法》第三十七條規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。數據本地化要求包括個人信息和重要數據。
對數據本地化的法律規制,除了《網絡安全法》的規定,以下的數據(或設施)亦明確有本地化的法律要求:
我國網絡安全和保密相關的法律禁止涉及國家祕密和國家安全的數據跨境傳輸;
徵信數據(《徵信業管理條例》第24條);
個人金融信息(《中國人民銀行關於銀行業金融機構做好個人金融信息保護工作的通知》第6條);
地圖數據(《地圖管理條例》第34條);
網絡出版服務所需的必要的技術設備(《網絡出版服務管理規定》第8條);
網約車業務相關數據和信息(《網絡預約出租汽車經營服務管理暫行辦法》27條)。
要點五:網絡實名制
《網絡安全法》再一次確立了網絡實名制在中國的實施,第二十四條規定,網絡運營者為用戶辦理網絡接入、域名註冊服務,辦理固定電話、移動電話等入網手續,或者為用戶提供信息發佈、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得為其提供相關服務。
在此之前,我國已經有相關的法律法規對實名制進行規定。2016年1月1日實施的《中華人民共和國反恐怖主義法》規定,電信、互聯網、金融、住宿、長途客運、機動車租賃等業務經營者、服務提供者,應當對客戶身份進行查驗。對身份不明或者拒絕身份查驗的,不得提供服務。2015年的《互聯網用戶賬號名稱管理規定》規定,互聯網信息服務提供者應當按照“後臺實名、前臺自願”的原則,要求互聯網信息服務使用者通過真實身份信息認證後註冊賬號。2016年的《移動互聯網應用程序信息服務管理規定》,要求移動互聯網應用程序提供者按照“後臺實名、前臺自願”的原則,對註冊用戶進行基於移動電話號碼等真實身份信息認證。
要點六:網絡運營者的企業制度建設要求
《網絡安全法》就網絡安全保護對網絡運營者設定了一系列的法定義務,有些義務需要網絡運營者建立企業的管理制度和操作規程,以滿足法律合規性的要求,避免法律風險,主要包括如下:
1)與實施網絡安全等級保護制度相關的義務和制度建設,包括制定內部安全管理制度和操作規程,確定網絡安全負責人等(第二十一條);
2)健全用戶信息保護制度(第二十二條和第四十條);
3)落實網絡實名制(第二十四條);
4)網絡安全事件應急預案(第二十五條);
5)關鍵信息基礎設施的安全保護義務,包括:設置專門安全管理機構和安全管理負責人,並對該負責人和關鍵崗位的人員進行安全背景審查;定期對從業人員進行網絡安全教育、技術培訓和技能考核;對重要系統和數據庫進行容災備份;制定網絡安全事件應急預案,並定期進行演練;法律、行政法規規定的其他義務(第三十四條);
6)採購關鍵信息基礎設施產品和服務的保密制度(第三十六條);
7)關鍵信息基礎設施安全性的年度評估(第三十六條);
8)個人信息的收集和利用規則及制度(第四十一條和第四十二條);
9)個人信息洩露事件的報告制度(第四十二條);
10)違法使用個人信息刪除和錯誤個人信息更正制度(第四十三條);
11)網絡運營者對用戶非法信息傳播的監管(第四十七條);
12)網絡信息安全投訴、舉報制度(第四十九條)。
要點七:法律責任
《網絡安全法》第六章規定了詳盡的法律責任。對網絡運營者,根據違法行為的情形,主要的法律責任承擔形式包括責令改正、警告、罰款,責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員等進行罰款等;並且,有關機關還可以把違法行為記錄到信用檔案。對於違反法律第二十七條的人員,法律還建立了職業禁入的制度。
除了以上的行政處罰外,網絡運營者還應當關注違法行為所導致的民事責任和刑事責任。網絡運營者如果因違法《網絡安全法》的行為給他人造成損失的,該行為具有民事上的可訴性,網絡運營者應當承擔相應的民事責任。《刑法修正案(九)》規定的拒不履行信息網絡安全管理義務罪,指網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令採取改正措施而拒不改正,具有法律規定的情形之一的,構成本罪。《網絡安全法》為網絡運營者設定了諸多的網絡安全保護義務(比如網絡安全等級保護和關鍵信息基礎設施保護等),如果由於不履行法律的規定而導致嚴重後果的,可能會受到刑事的追訴,從而承擔拒不履行信息網絡安全管理義務罪的後果。
相關推薦
