2016年11月7日,十二屆全國人大常委會第二十四次會議表決,通過了《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》),法律進(jìn)一步界定關(guān)鍵信息基礎(chǔ)設(shè)施范圍,對攻擊、破壞我國關(guān)鍵信息基礎(chǔ)設(shè)施的境外組織和個人規(guī)定相應(yīng)的懲治措施,增加懲治網(wǎng)絡(luò)詐騙等新型網(wǎng)絡(luò)違法犯罪活動的規(guī)定等。條文明確規(guī)定,該法律自2017年6月1日起施行。
在5月25日至26日,工信部網(wǎng)安局在京組織行業(yè)各有關(guān)單位召開《網(wǎng)絡(luò)安全法》與《信息通信網(wǎng)絡(luò)與信息安全規(guī)劃(2016-2020)》宣貫培訓(xùn)會,對《網(wǎng)絡(luò)安全法》和國家相關(guān)網(wǎng)絡(luò)與信息安全戰(zhàn)略規(guī)劃進(jìn)行系統(tǒng)全面解讀的基礎(chǔ)上,重點就如何貫徹落實好《網(wǎng)絡(luò)安全法》和相關(guān)戰(zhàn)略規(guī)劃明確的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、數(shù)據(jù)安全和用戶個人信息保護(hù)、網(wǎng)絡(luò)關(guān)鍵設(shè)備和安全專用產(chǎn)品認(rèn)證檢測、網(wǎng)絡(luò)安全監(jiān)測預(yù)警和應(yīng)急處置等與行業(yè)密切相關(guān)制度規(guī)定,進(jìn)行了深入交流討論,明確了下一步工作方向和要求。
會議認(rèn)為,國家網(wǎng)絡(luò)與信息安全相關(guān)戰(zhàn)略規(guī)劃陸續(xù)出臺,《網(wǎng)絡(luò)安全法》將于6月1日正式實施,進(jìn)一步明確了網(wǎng)絡(luò)安全工作的目標(biāo)原則、戰(zhàn)略任務(wù)和法律基礎(chǔ),網(wǎng)絡(luò)安全工作戰(zhàn)略更加清晰,任務(wù)更加具體,責(zé)任更加明確。當(dāng)前和今后一個時期,網(wǎng)絡(luò)與信息安全工作的重要任務(wù)就是學(xué)習(xí)貫徹落實好《網(wǎng)絡(luò)安全法》和相關(guān)戰(zhàn)略規(guī)劃。
《網(wǎng)絡(luò)安全法》加強了對個人信息、數(shù)據(jù)安全的保護(hù)
根據(jù)法律條文內(nèi)容,筆者整理了《網(wǎng)絡(luò)安全法》中與我們工作和生活密切相關(guān)的條文,包含以下十一點:
1、網(wǎng)絡(luò)安全企業(yè)和機構(gòu)獲得更多支持,這將促進(jìn)行業(yè)和企業(yè)做大:第十六條 國務(wù)院和省、自治區(qū)、直轄市人民政府應(yīng)當(dāng)統(tǒng)籌規(guī)劃,加大投入,扶持重點網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項目,支持網(wǎng)絡(luò)安全技術(shù)的研究開發(fā)、應(yīng)用和推廣,保護(hù)網(wǎng)絡(luò)技術(shù)知識產(chǎn)權(quán),支持科研機構(gòu)、高等院校和企業(yè)參與國家網(wǎng)絡(luò)安全技術(shù)創(chuàng)新項目。
2、加強網(wǎng)絡(luò)安全教育和知識普及,讓更多了解網(wǎng)絡(luò)安全的作用,這樣才能做好安全的防范:第十九條 各級人民政府及其有關(guān)部門應(yīng)當(dāng)組織開展經(jīng)常性的網(wǎng)絡(luò)安全宣傳教育,并指導(dǎo)、督促有關(guān)單位做好網(wǎng)絡(luò)安全宣傳教育工作。大眾傳播媒介應(yīng)當(dāng)有針對性地面向社會進(jìn)行網(wǎng)絡(luò)安全宣傳教育。
3、推動網(wǎng)絡(luò)安全類教育機構(gòu)發(fā)展,培養(yǎng)更多網(wǎng)絡(luò)安全人才:第二十條 國家支持企業(yè)和高等院校、職業(yè)學(xué)校等教育培訓(xùn)機構(gòu)開展網(wǎng)絡(luò)安全相關(guān)教育與培訓(xùn),采取多種方式培養(yǎng)網(wǎng)絡(luò)安全技術(shù)人才,促進(jìn)網(wǎng)絡(luò)安全技術(shù)人才交流。
4、對網(wǎng)絡(luò)安全運維崗位提出了具體規(guī)范和要求,網(wǎng)管崗位很重要,責(zé)任也很重大:第二十一條 國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
5、網(wǎng)絡(luò)安全提供者有保護(hù)企業(yè)、個人網(wǎng)絡(luò)安全的義務(wù),不得推卸責(zé)任:第二十二條 網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序;其產(chǎn)品、服務(wù)具有收集用戶信息功能的,應(yīng)當(dāng)向用戶明示并取得同意;發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險時,應(yīng)當(dāng)及時向用戶告知并采取補救措施。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當(dāng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護(hù);在規(guī)定或者當(dāng)事人約定的期間內(nèi),不得終止提供安全維護(hù)。
6、網(wǎng)絡(luò)服務(wù)的提供者必須建立網(wǎng)絡(luò)危機應(yīng)對預(yù)案,不能出現(xiàn)問題就推卸給第三方:第二十五條 網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)攻擊等安全風(fēng)險;在發(fā)生危害網(wǎng)絡(luò)安全的事件時,立即啟動應(yīng)急預(yù)案,采取相應(yīng)的補救措施,并按照規(guī)定向有關(guān)主管部門報告。
7、明確對網(wǎng)絡(luò)犯罪范疇,網(wǎng)絡(luò)劫持、偽基站、誘導(dǎo)輸入以及以為違法行為提供廣告和支付等后臺支持也將受處罰:第二十七條 任何個人和組織不得從事入侵他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動;不得提供從事入侵網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全活動的工具和制作方法;不得為他人實施危害網(wǎng)絡(luò)安全的活動提供技術(shù)支持、廣告推廣、支付結(jié)算等幫助。
8、安全信息共享,各企業(yè)和部門形成連通,大數(shù)據(jù)將有更多覆蓋:第二十九條 國家支持網(wǎng)絡(luò)運營者之間開展網(wǎng)絡(luò)安全信息收集、分析、通報和應(yīng)急處置等方面的合作,提高網(wǎng)絡(luò)運營者的安全保障能力。
9、強調(diào)電信運營商的安全責(zé)任:第三十六條 關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)當(dāng)與提供者簽訂安全保密協(xié)議,明確安全和保密義務(wù)與責(zé)任。
10、要求網(wǎng)絡(luò)服務(wù)提供商必須保障個人信息安全,不得違規(guī)收集存儲、隨意轉(zhuǎn)賣和商用,更不得造成信息泄露丟失等,而個人也有權(quán)利要求網(wǎng)絡(luò)服務(wù)提供商刪除自己的信息。如果發(fā)現(xiàn)個人信息被非法收集利用,可以向主管部門舉報,甚至訴諸法律:第四十一條 網(wǎng)絡(luò)運營者收集、使用公民個人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的公民個人信息,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用公民個人信息,并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定或者與用戶的約定,處理其保存的公民個人信息。網(wǎng)絡(luò)運營者收集、使用公民個人信息,應(yīng)當(dāng)公開其收集、使用規(guī)則。
第四十二條 網(wǎng)絡(luò)運營者對其收集的公民個人信息必須嚴(yán)格保密,不得泄露、篡改、毀損,不得出售或者非法向他人提供。網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保公民個人信息安全,防止其收集的公民個人信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生信息泄露、毀損、丟失的情況時,應(yīng)當(dāng)立即采取補救措施,告知可能受到影響的用戶,并按照規(guī)定向有關(guān)主管部門報告。
第四十三條 個人發(fā)現(xiàn)網(wǎng)絡(luò)運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的,有權(quán)要求網(wǎng)絡(luò)運營者刪除其個人信息;發(fā)現(xiàn)網(wǎng)絡(luò)運營者收集、存儲的其個人信息有錯誤的,有權(quán)要求網(wǎng)絡(luò)運營者予以更正。
第四十四條 任何個人和組織不得竊取或者以其他非法方式獲取公民個人信息,不得出售或者非法向他人提供公民個人信息。
11、強調(diào)防止內(nèi)部泄密的重要性,畢竟很多信息泄露是內(nèi)部人員所為:第三十九條 依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門,必須對在履行職責(zé)中知悉的公民個人信息、隱私和商業(yè)秘密嚴(yán)格保密,不得泄露、出售或者非法向他人提供。
就《網(wǎng)絡(luò)安全法》實施,網(wǎng)安局負(fù)責(zé)人答記者問
日前,國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局負(fù)責(zé)人就《網(wǎng)絡(luò)安全法》,回答了記者有關(guān)提問。該負(fù)責(zé)人表示,《網(wǎng)絡(luò)安全法》的公布和施行,不僅從法律上保障了廣大人民群眾在網(wǎng)絡(luò)空間的利益,有效維護(hù)了國家網(wǎng)絡(luò)空間主權(quán)和安全,而且還有利于信息技術(shù)的應(yīng)用,有利于發(fā)揮互聯(lián)網(wǎng)的巨大潛力。
關(guān)鍵信息基礎(chǔ)設(shè)施的范圍如何確定?中國將采取什么措施加強關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)?
該負(fù)責(zé)人回答,關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度的目的是要確保涉及國家安全、國計民生、公共利益的信息系統(tǒng)和設(shè)施的安全,與等級保護(hù)制度相比所涉及的范圍相對較小。從各國的情況看,具體明確關(guān)鍵信息基礎(chǔ)設(shè)施相當(dāng)復(fù)雜,是一個在實踐中不斷完善、不斷調(diào)整的過程。目前國家互聯(lián)網(wǎng)信息辦公室正會同有關(guān)部門按照《網(wǎng)絡(luò)安全法》的要求,抓緊研究制定相關(guān)指導(dǎo)性文件和標(biāo)準(zhǔn),指導(dǎo)相關(guān)行業(yè)領(lǐng)域明確關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍。
加強關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù),首先是按照《網(wǎng)絡(luò)安全法》的要求,抓緊制定相關(guān)配套制度和標(biāo)準(zhǔn)。要重點做好以下幾方面工作:一是要加強關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的統(tǒng)籌,強化頂層設(shè)計和整體防護(hù),避免多頭分散、各自為政的情況發(fā)生。二是要建立完善責(zé)任制,政府主要是加強指導(dǎo)監(jiān)管,關(guān)鍵信息基礎(chǔ)設(shè)施運營者要承擔(dān)起保護(hù)的主體責(zé)任。三是要加強對從業(yè)人員的網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核,切實提高網(wǎng)絡(luò)安全意識和水平。四是要做好網(wǎng)絡(luò)安全信息共享、應(yīng)急處置等基礎(chǔ)性工作,提升關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)能力。五是要加強關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中的國際合作。
對于《網(wǎng)絡(luò)安全法》要求,采取技術(shù)措施和其他必要措施阻斷來源于境外的非法信息的傳播。這一要求是不是意味著要嚴(yán)格管控國外網(wǎng)站,限制信息跨境流動?
該負(fù)責(zé)人表示,現(xiàn)實世界中,無論是企業(yè)還是個人,進(jìn)入哪個國家就要遵從哪個國家的法律法規(guī)要求,違法行為都將受到法律的制裁。網(wǎng)絡(luò)空間也不例外,在中國境內(nèi)網(wǎng)絡(luò)上傳播的信息必須符合中國法律法規(guī)的規(guī)定。
中國堅持依法治網(wǎng),采取技術(shù)措施和其他必要措施阻斷違法信息在境內(nèi)傳播,是國家網(wǎng)絡(luò)空間主權(quán)的體現(xiàn),是維護(hù)國家安全和廣大人民群眾利益的客觀要求。我們支持信息跨境自由流動,但這要以不損害他國網(wǎng)絡(luò)空間主權(quán)為條件,阻斷違法信息進(jìn)入本國網(wǎng)絡(luò)空間與支持信息跨境自由流動不矛盾。
《網(wǎng)絡(luò)安全法》規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運營者在中華人民共和國境內(nèi)收集產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。這種規(guī)定會不會限制數(shù)據(jù)跨境流動,影響國際貿(mào)易?
該負(fù)責(zé)人表示,《網(wǎng)絡(luò)安全法》規(guī)定的目的是為了維護(hù)國家網(wǎng)絡(luò)安全,保護(hù)人民群眾利益。落實法律要求,要把握以下幾點:1.這是對關(guān)鍵信息基礎(chǔ)設(shè)施運營者提出的要求,而不是對所有網(wǎng)絡(luò)運營者的要求。2.不是所有的數(shù)據(jù),只限于個人信息和重要數(shù)據(jù),這里的重要數(shù)據(jù)是對國家而言,而不是針對企業(yè)和個人。3.對于確需出境的數(shù)據(jù),法律作了制度上的安排,經(jīng)過安全評估認(rèn)為不會危害國家安全和社會公共利益的,可以出境。4.經(jīng)個人信息主體同意的,個人信息可以出境。特別要說明的是,撥打國際電話、發(fā)送國際電子郵件、通過互聯(lián)網(wǎng)跨境購物以及其他個人主動行為,視為已經(jīng)個人信息主體同意。
《網(wǎng)絡(luò)安全法》關(guān)于數(shù)據(jù)境內(nèi)留存和出境評估的規(guī)定,不是要阻止數(shù)據(jù)跨境流動,更不是要限制國際貿(mào)易。當(dāng)今數(shù)據(jù)跨境流動已經(jīng)成為經(jīng)濟(jì)全球化的前提,是推進(jìn)“一帶一路”建設(shè)的必要條件,我們愿同各國就此問題開展交流合作,共同促進(jìn)數(shù)據(jù)依法有序自由跨境流動,充分保障個人信息安全和國家網(wǎng)絡(luò)安全。
總結(jié)
《網(wǎng)絡(luò)安全法》的實施,對于我國公民的個人信息保護(hù)、界定關(guān)鍵信息基礎(chǔ)設(shè)施范圍,懲治電信詐騙違法犯罪、治理攻擊破壞我國關(guān)鍵信息基礎(chǔ)設(shè)施的境外組織和個人等具有重大的里程碑意義。