《網絡安全法》系列解讀:拎出骨架,剔除肉
2017年6月1日,《網絡安全法》將正式施行。作為網絡安全行業的一員,我們常說要扛起安全的大旗,而把握《網絡安全法》這一風向,才可以更好地讓旗幟迎風飛舞。從今天開始,我們將陸續推出系列文章來解讀這部重要法律,更好地領會其中要義,履行安全企業的社會責任。今天,我們先站在框架的視角來一起學習它。
一、認識它
我國互聯網領域、網絡安全的基礎性法律、黨的十八大以來的又一部重要法律。
1、從關鍵詞看立法必要性:國家安全、網絡空間國家主權、打擊網絡違法犯罪、互聯網國際競爭和國際治理、廣大人民群眾利益……
2、溯源
2013年下半年提上日程;2014年形成草案;15年初形成征求意見稿,15年6月一審;16年6月二審、10月31日三審、11月7日人大通過;2017年6月1日起施行。
3、《網絡安全法》說了啥?
- 7章79條,說盡《網絡安全法》
第一章 總 則
第二章 網絡安全支持與促進
第三章 網絡運行安全
第五章 監測預警與應急處置
第六章 法律責任
第七章 附 則
- 七大維度,骨骼清晰解讀《網絡安全法》
二:勾勒條款粗線條
三、《網絡安全法》出臺的意義
- 服務于國家網絡安全戰略和網絡強國建設;
- 助力網絡空間治理,護航“互聯網+”;
- 構建我國首部網絡空間管轄基本法;
- 提供維護國家網絡主權的法律依據;
- 在網絡空間領域貫徹落實依法治國精神;
- 成為網絡參與者普遍遵守的法律準則和依據;
總之,《網絡安全法》的出臺具有里程碑式的意義,是我國網絡安全法治建設的一個重大戰略契機。網絡安全從此有法可依,信息安全行業將由合規性驅動過渡到合規性和強制性驅動并重,同時標志著我國網絡空間領域的發展和現代化治理邁出了堅實的一步。
預告:接下來的文章安華金和會針對具體條款做解讀,同時有針對性地提出數據安全和網絡安全方面的建議,以期幫助網絡運營者更好地了解有哪些安全措施、安全產品可供選擇,完善自身網絡 和數據安全體系建設。
《網絡安全法》解讀系列:網絡運營者們看過來
上個月,我們梳理了《網絡安全法》的骨架,今天,我們站在本法適用的角度來對部分條款展開解讀。首先,我們將適用對象設定為——網絡運營商,現將《網絡安全法》對網絡運營者的責任、義務和法律責任的條款認定以及解讀做如下呈現。
網絡運營者責任、義務和法律責任解讀
廣大網絡運營者的BOSS們請注意啦:隨著網絡安全法的實施,相應的法律條款和法律責任必然會落地實施,無論企業還是個人,切忌心存僥幸,以身試法。輕則罰款,重則企業停業、個人拘留。
下面在解讀條款的同時,以建議的方式說明如何進行網絡安全和數據安全保護的建議,希望能夠幫助網絡運營者更好的完善自身的網絡安全,規避風險。
【第9條】 網絡運營者開展經營和服務活動,必須遵守法律、行政法規,尊重社會公德,遵守商業道德,誠實信用,履行網絡安全保護義務,接受政府和社會的監督,承擔社會責任。
解讀:本條款明確了網絡運營者必須承擔的基本義務,特別是網絡安全保護義務,接受政府和社會監督的義務。
【第10條】 建設、運營網絡或者通過網絡提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,采取技術措施和其他必要措施,保障網絡安全、穩定運行,有效應對網絡安全事件,防范網絡違法犯罪活動,維護網絡數據的完整性、保密性和可用性。
解讀:本條款明確了網絡運營者除了要依法外,還要依照國家標準,在國家標準中分為強制性要求和推薦性要求,這里特別強調的是要依照強制性要求執行。同時強調了網絡數據的完整性、保密性和可用性。
【第21條】 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
(二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;
(四)采取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
解讀:本條規定了網絡運營者必須履行的義務之一。和“等級安全保護制度”相關。重點在于:
1)確定網絡安全責任人,以落實保護責任。這里需要注意的是作為責任人,相應的承擔著法律責任。
2)技術層面需要采取防病毒、入侵檢測等手段保護網絡安全。(建議采用專門的網絡安全產品:云盾、WAF等)
3)采用數據庫審計、網絡審計等手段,采集并記錄、分析日志,日志留存不少于六個月。(建議采用專門的安全審計產品:數據庫監控與審計系統、網絡日志審計系統)
4)在數據安全方面,再次強調了數據分類和數據加密;數據分類的重點是能夠幫助責任人自動的識別發現系統中的個人敏感信息和行業敏感信息,和這些信息存儲的位置、數據庫表和字段,以確定需要保護的內容;數據加密則一直以來就是個難點,其中的關鍵是在滿足保密性的同時還要滿足可用性,比較理想的技術手段是“透明數據加密(TDE)”。(建議采用專門的數據加密產品:數據庫透明加解密(TDE)系統)
特別提醒網絡運營者和安全責任人:不履行本條義務的,要承擔法律責任(違法啦)
適用法律責任:【第五十九條】
【第24條】 網絡運營者為用戶辦理網絡接入、域名注冊服務,辦理固定電話、移動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得為其提供相關服務。
國家實施網絡可信身份戰略,支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認。
解讀:本條規定了網絡運營者必須履行的義務之一,核心是實名制,通過實名制最大程度的實現信息真實化、可靠化,可以說是國家網絡安全的一個重要基礎。本條在電信用戶實名制基礎上,規定了信息發布、即時通訊等服務的實名制要求,而為了不影響用戶的隱私,這里的實名指的是“前臺匿名,后臺實名”(很人性化,充分顯示了對個人隱私保護的決心)。
另一方面,實名制也是一把雙刃劍,對于網絡運營者來說,一旦收集的個人信息發生大批量的泄漏,將產生無法預期的數據安全風險;因此,在本網絡安全法中的“網絡信息安全”章節相應的規定了“網絡運營者對個人信息保護的責任”條款,強化了個人信息保護,這里有義務提醒網絡運營者請務必關注本篇后面的“網絡信息安全條款和法律責任解讀”。
特別提醒網絡運營者和安全責任人:不履行本條第一款規定的,要承擔法律責任(違法啦)
適用法律責任:【第六十一條】
【第25條】 網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。
解讀:本條規定了網絡運營者必須履行的義務之一,核心是應急預案和應急處置、應急響應。
建議網絡運營者,通過部署網站和系統漏洞監測、掃描類的產品或服務,及時的發現漏洞,并在第一時間通過升級補丁或完善應用系統來補救。(建議采用專門的網絡安全產品:網站漏洞監測、漏洞掃描等)
特別提醒網絡運營者和安全責任人:不履行本條義務的,要承擔法律責任(違法啦)
適用法律責任:【第五十九條】
【第28條】 網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。
解讀:本條規定了網絡運營者必須履行的義務之一,核心是協助執法機關執法。舉個例子:如果公安機關需要,網絡運營者有義務提供采集的用戶數據和網絡數據。
適用法律責任:【第六十九條】
【第29條】 國家支持網絡運營者之間在網絡安全信息收集、分析、通報和應急處置等方面進行合作,提高網絡運營者的安全保障能力。
有關行業組織建立健全本行業的網絡安全保護規范和協作機制,加強對網絡安全風險的分析評估,定期向會員進行風險警示,支持、協助會員應對網絡安全風險。
解讀:本條主要是鼓勵網絡安全合作;鼓勵網絡安全威脅情報交換、行業組織建立風險評估。
網絡信息安全條款和法律責任解讀
這部分條款,提出了個人信息保護的基本原則和要求,可以說是一部小型的“個人信息保護法”。主要規定了在網絡信息安全特別是個人信息保護方面,網絡運營者、任何個人和組織、網絡安全監管人員必須承擔的責任和義務,相應的也要承擔法律責任。
【第40條】 網絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。
解讀:本條款的核心是用戶信息保護;這里需要注意的是“用戶信息”和“個人信息”是有區別的,具體內容請參考前面的“重要概念”中對個人信息和用戶信息的解釋。
【第41條】 網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。
網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
解讀:本條款強化了個人信息保護的知情同意和特定目的原則;確定了網絡運營者收集個人信息必須遵循合法、正當、必要原則,強調了個人信息收集過程中的透明度,和用戶自主選擇權,同時強調了信息采集者必須合法使用和保存個人信息。那些利用其“壟斷地位”或“霸王條款”強制用戶同意采集信息的網絡運營者需要注意啦,再如此任性可就違法啦。
適用法律責任:【第六十四條】
【第42條】 網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。
網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。
解讀:本條款也被稱作“大數據條款”;在強調保護個人信息的同時,有建設性的提出了“經過處理無法識別特定個人且不能復原的”除外,為個人信息數據在使用、交換和交易過程的合法性提供了法律依據,并要求:個人信息數據匿名化處理,技術上就是通過采用數據脫敏產品或技術手段,將涉及個人隱私的敏感數據進行脫敏處理,保證脫敏后的數據不能再識別出特定個人,并且信息不可逆(不可通過技術手段復原)。
另外,脫敏技術也可以被應用在日常的數據維護過程中,對于金融、醫療健康、零售、游戲等需要收集大量用戶個人信息的網絡系統,在系統數據庫日常維護過程中同樣需要防止個人隱私數據的泄漏,通過采用具有動態脫敏能力的產品或技術手段,可以有效地避免數據泄露,降低運維安全風險,更為運維者提供了免責的技術保障。
同時,本條款作為個人信息保護的核心內容,明確了網絡運營者對個人信息保護的責任:有必要采取技術措施保護個人信息,確保其收集的個人信息安全,通過采用監控、審計等技術手段及時發現和記錄異常行為,為主管部門進行追責和定責提供數據依據。
建議網絡運營者采用專門的安全產品保護個人信息:數據脫敏系統(最好具有動態脫敏能力)、數據安全運維系統(最好具有監控和審計能力)
適用法律責任:【第六十四條】
【第43條】 個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。
解讀:本條款核心是法律明確賦予公民個人具有刪除權和更正權;如果發現網絡運營者不當使用個人信息,有權要求刪除,有錯誤的有權要求其改正。
特別要提醒網絡運營者,有義務采取措施予以刪除或更正;否則面臨違法。
適用法律責任:【第六十四條】
【第44條】 任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。
解讀:本條款的核心是不得非法獲取、非法出售和提供個人信息。這里說到非法出售,關鍵問題是如何做才算合法呢?我們認為從法律層面需要結合前面的條款中的“經過處理無法識別特定個人且不能復原的”除外,這句話來解讀,合法數據交易的前提是個人信息必須經過符合要求的脫敏處理,只有這樣的數據在進行交易時才有可能是合法的。
適用法律責任:【第六十四條】第二款
【第45條】 依法負有網絡安全監督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密,不得泄露、出售或者非法向他人提供。
解讀:本條款規定了執法部門和執法人員必須履行的保密責任。
【第46條】 任何個人和組織應當對其使用網絡的行為負責,不得設立用于實施詐騙,傳授犯罪方法,制作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通訊群組,不得利用網絡發布涉及實施詐騙,制作或者銷售違禁物品、管制物品以及其他違法犯罪活動的信息。
解讀:本條款規定了網絡犯罪的范疇。
適用法律責任:【第六十七條】
【第47條】 網絡運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,采取消除等處置措施,防止信息擴散,保存有關記錄,并向有關主管部門報告。
解讀:本條款規定了承擔對違法信息傳播的阻斷義務,是網絡運營者必須履行的義務之一。
適用法律責任:【第六十八條】
【本文是51CTO專欄作者“安華金和”的原創稿件,轉載請聯系原作者】
