2016年11月7日,十二屆全國人大常委會第二十四次會議表決,通過了《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》),法律進一步界定關鍵信息基礎設施范圍,對攻擊、破壞我國關鍵信息基礎設施的境外組織和個人規定相應的懲治措施,增加懲治網絡詐騙等新型網絡違法犯罪活動的規定等。條文明確規定,該法律自2017年6月1日起施行。
在5月25日至26日,工信部網安局在京組織行業各有關單位召開《網絡安全法》與《信息通信網絡與信息安全規劃(2016-2020)》宣貫培訓會,對《網絡安全法》和國家相關網絡與信息安全戰略規劃進行系統全面解讀的基礎上,重點就如何貫徹落實好《網絡安全法》和相關戰略規劃明確的關鍵信息基礎設施保護、數據安全和用戶個人信息保護、網絡關鍵設備和安全專用產品認證檢測、網絡安全監測預警和應急處置等與行業密切相關制度規定,進行了深入交流討論,明確了下一步工作方向和要求。
會議認為,國家網絡與信息安全相關戰略規劃陸續出臺,《網絡安全法》將于6月1日正式實施,進一步明確了網絡安全工作的目標原則、戰略任務和法律基礎,網絡安全工作戰略更加清晰,任務更加具體,責任更加明確。當前和今后一個時期,網絡與信息安全工作的重要任務就是學習貫徹落實好《網絡安全法》和相關戰略規劃。
《網絡安全法》加強了對個人信息、數據安全的保護
根據法律條文內容,筆者整理了《網絡安全法》中與我們工作和生活密切相關的條文,包含以下十一點:
1、網絡安全企業和機構獲得更多支持,這將促進行業和企業做大:第十六條 國務院和省、自治區、直轄市人民政府應當統籌規劃,加大投入,扶持重點網絡安全技術產業和項目,支持網絡安全技術的研究開發、應用和推廣,保護網絡技術知識產權,支持科研機構、高等院校和企業參與國家網絡安全技術創新項目。
2、加強網絡安全教育和知識普及,讓更多了解網絡安全的作用,這樣才能做好安全的防范:第十九條 各級人民政府及其有關部門應當組織開展經常性的網絡安全宣傳教育,并指導、督促有關單位做好網絡安全宣傳教育工作。大眾傳播媒介應當有針對性地面向社會進行網絡安全宣傳教育。
3、推動網絡安全類教育機構發展,培養更多網絡安全人才:第二十條 國家支持企業和高等院校、職業學校等教育培訓機構開展網絡安全相關教育與培訓,采取多種方式培養網絡安全技術人才,促進網絡安全技術人才交流。
4、對網絡安全運維崗位提出了具體規范和要求,網管崗位很重要,責任也很重大:第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。
5、網絡安全提供者有保護企業、個人網絡安全的義務,不得推卸責任:第二十二條 網絡產品、服務應當符合相關國家標準、行業標準。網絡產品、服務的提供者不得設置惡意程序;其產品、服務具有收集用戶信息功能的,應當向用戶明示并取得同意;發現其網絡產品、服務存在安全缺陷、漏洞等風險時,應當及時向用戶告知并采取補救措施。網絡產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期間內,不得終止提供安全維護。
6、網絡服務的提供者必須建立網絡危機應對預案,不能出現問題就推卸給第三方:第二十五條 網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡入侵、網絡攻擊等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。
7、明確對網絡犯罪范疇,網絡劫持、偽基站、誘導輸入以及以為違法行為提供廣告和支付等后臺支持也將受處罰:第二十七條 任何個人和組織不得從事入侵他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動;不得提供從事入侵網絡、干擾網絡正常功能、竊取網絡數據等危害網絡安全活動的工具和制作方法;不得為他人實施危害網絡安全的活動提供技術支持、廣告推廣、支付結算等幫助。
8、安全信息共享,各企業和部門形成連通,大數據將有更多覆蓋:第二十九條 國家支持網絡運營者之間開展網絡安全信息收集、分析、通報和應急處置等方面的合作,提高網絡運營者的安全保障能力。
9、強調電信運營商的安全責任:第三十六條 關鍵信息基礎設施的運營者采購網絡產品和服務,應當與提供者簽訂安全保密協議,明確安全和保密義務與責任。
10、要求網絡服務提供商必須保障個人信息安全,不得違規收集存儲、隨意轉賣和商用,更不得造成信息泄露丟失等,而個人也有權利要求網絡服務提供商刪除自己的信息。如果發現個人信息被非法收集利用,可以向主管部門舉報,甚至訴諸法律:第四十一條 網絡運營者收集、使用公民個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。網絡運營者不得收集與其提供的服務無關的公民個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用公民個人信息,并應當依照法律、行政法規的規定或者與用戶的約定,處理其保存的公民個人信息。網絡運營者收集、使用公民個人信息,應當公開其收集、使用規則。
第四十二條 網絡運營者對其收集的公民個人信息必須嚴格保密,不得泄露、篡改、毀損,不得出售或者非法向他人提供。網絡運營者應當采取技術措施和其他必要措施,確保公民個人信息安全,防止其收集的公民個人信息泄露、毀損、丟失。在發生或者可能發生信息泄露、毀損、丟失的情況時,應當立即采取補救措施,告知可能受到影響的用戶,并按照規定向有關主管部門報告。
第四十三條 個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。
第四十四條 任何個人和組織不得竊取或者以其他非法方式獲取公民個人信息,不得出售或者非法向他人提供公民個人信息。
11、強調防止內部泄密的重要性,畢竟很多信息泄露是內部人員所為:第三十九條 依法負有網絡安全監督管理職責的部門,必須對在履行職責中知悉的公民個人信息、隱私和商業秘密嚴格保密,不得泄露、出售或者非法向他人提供。
就《網絡安全法》實施,網安局負責人答記者問
日前,國家互聯網信息辦公室網絡安全協調局負責人就《網絡安全法》,回答了記者有關提問。該負責人表示,《網絡安全法》的公布和施行,不僅從法律上保障了廣大人民群眾在網絡空間的利益,有效維護了國家網絡空間主權和安全,而且還有利于信息技術的應用,有利于發揮互聯網的巨大潛力。
關鍵信息基礎設施的范圍如何確定?中國將采取什么措施加強關鍵信息基礎設施保護?
該負責人回答,關鍵信息基礎設施保護制度的目的是要確保涉及國家安全、國計民生、公共利益的信息系統和設施的安全,與等級保護制度相比所涉及的范圍相對較小。從各國的情況看,具體明確關鍵信息基礎設施相當復雜,是一個在實踐中不斷完善、不斷調整的過程。目前國家互聯網信息辦公室正會同有關部門按照《網絡安全法》的要求,抓緊研究制定相關指導性文件和標準,指導相關行業領域明確關鍵信息基礎設施的具體范圍。
加強關鍵信息基礎設施保護,首先是按照《網絡安全法》的要求,抓緊制定相關配套制度和標準。要重點做好以下幾方面工作:一是要加強關鍵信息基礎設施保護工作的統籌,強化頂層設計和整體防護,避免多頭分散、各自為政的情況發生。二是要建立完善責任制,政府主要是加強指導監管,關鍵信息基礎設施運營者要承擔起保護的主體責任。三是要加強對從業人員的網絡安全教育、技術培訓和技能考核,切實提高網絡安全意識和水平。四是要做好網絡安全信息共享、應急處置等基礎性工作,提升關鍵信息基礎設施保護能力。五是要加強關鍵信息基礎設施保護中的國際合作。
對于《網絡安全法》要求,采取技術措施和其他必要措施阻斷來源于境外的非法信息的傳播。這一要求是不是意味著要嚴格管控國外網站,限制信息跨境流動?
該負責人表示,現實世界中,無論是企業還是個人,進入哪個國家就要遵從哪個國家的法律法規要求,違法行為都將受到法律的制裁。網絡空間也不例外,在中國境內網絡上傳播的信息必須符合中國法律法規的規定。
中國堅持依法治網,采取技術措施和其他必要措施阻斷違法信息在境內傳播,是國家網絡空間主權的體現,是維護國家安全和廣大人民群眾利益的客觀要求。我們支持信息跨境自由流動,但這要以不損害他國網絡空間主權為條件,阻斷違法信息進入本國網絡空間與支持信息跨境自由流動不矛盾。
《網絡安全法》規定關鍵信息基礎設施運營者在中華人民共和國境內收集產生的個人信息和重要數據應當在境內存儲。這種規定會不會限制數據跨境流動,影響國際貿易?
該負責人表示,《網絡安全法》規定的目的是為了維護國家網絡安全,保護人民群眾利益。落實法律要求,要把握以下幾點:1.這是對關鍵信息基礎設施運營者提出的要求,而不是對所有網絡運營者的要求。2.不是所有的數據,只限于個人信息和重要數據,這里的重要數據是對國家而言,而不是針對企業和個人。3.對于確需出境的數據,法律作了制度上的安排,經過安全評估認為不會危害國家安全和社會公共利益的,可以出境。4.經個人信息主體同意的,個人信息可以出境。特別要說明的是,撥打國際電話、發送國際電子郵件、通過互聯網跨境購物以及其他個人主動行為,視為已經個人信息主體同意。
《網絡安全法》關于數據境內留存和出境評估的規定,不是要阻止數據跨境流動,更不是要限制國際貿易。當今數據跨境流動已經成為經濟全球化的前提,是推進“一帶一路”建設的必要條件,我們愿同各國就此問題開展交流合作,共同促進數據依法有序自由跨境流動,充分保障個人信息安全和國家網絡安全。
總結
《網絡安全法》的實施,對于我國公民的個人信息保護、界定關鍵信息基礎設施范圍,懲治電信詐騙違法犯罪、治理攻擊破壞我國關鍵信息基礎設施的境外組織和個人等具有重大的里程碑意義。
