《網路安全法》中值得關注的幾點關鍵內容
監管合規系列:《網路安全法》中值得關注的幾點關鍵內容
文 | 李鵬飛
2016年11月7日,中國首部網路安全根本大法《中華人民共和國網路安全法》,獲得人民代表大會常務委員會表決通過,並將於2017年6月1日起施行,這標誌我國網路安全和個人信息保護進入全新階段。
《網路安全法》審議通過的消息發布後,國內各大媒體都在第一時間進行了相關報道,信息安全各界人士的微信朋友圈一時間也被這些報道刷屏了,可見這部網路安全根本大法的重要作用與意義。
關於這部法律的作用與意義本文里不再累述,在這裡主要和大家分享一下《網路安全法》中的一些關鍵性內容。
?基礎性的網路安全具體措施寫進了法律
保障網路安全必然要實施具體的控制措施,在網路安全法多處條文中都對具體的網路安全控制措施提出了明確要求。比如以下條款:
第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並留存網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務
在此條文中,不但對安全管理制度規範、防範計算機病毒與網路攻擊入侵、數據備份與加密等方面提出了要求,對於網路日誌的存儲更是制定了需要至少保存六個月的詳細規範。
類似的條款還很多,比如第三十四條就對安全機構、關鍵崗位人員、系統容災、應急管理等方面提出了明確要求。
這些具體安全控制措施條款的定義,不僅僅只為安全建設提供規範要求與指導,更要命的是如果再不落實這些措施就已經構成違法了。從2017年6月份開始,網路日誌存儲達不到六個月就是違法行為了,也就是說從2017年元旦開始的網路日誌就需要進行保存,不合規的趕緊整改吧。
?「網路實名制」以法律的形式進行了明確
網路實名制的概念提出來後,有些人拍手稱快,也有些人表示擔憂。贊成也好,反對也罷,到現在已經沒有爭論的必要了。網路安全法已經以法律的形式對「網路實名制」作出了規定。
第二十四條 網路運營者為用戶辦理網路接入、域名註冊服務,辦理固定電話、行動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網路運營者不得為其提供相關服務。國家實施網路可信身份戰略,支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認。
網路是虛擬的,以前有句說法是「你不知道網路的另一端是不是一條狗」,現在不存在這個問題了,網路安全法明確了網路可以是虛擬的,但是使用網路的人應是真實的。讓每個人使用互聯網時,既有隱私,也增強責任意識和自我約束。
這一規定能否落到實處的關鍵在於,網路服務提供商要落實主體責任,責任包括實名制審核責任,同時還有個人隱私數據保護責任。
?嚴厲打擊個人信息泄露與網路詐騙活動
廣大民眾深受垃圾信息、詐騙信息、個人信息泄露的困擾,公民個人信息的泄露、收集、轉賣,已經形成了完整的黑色產業鏈。網路安全法對個人信息泄露進行了明確的規定。
第四十二條 網路運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。網路運營者應當採取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。
第四十四條 任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。
網路安全法不僅明確了網路產品服務提供者、運營者的責任,而且嚴厲打擊出售販賣個人信息的行為,對於保護公眾個人信息安全,將起到積極作用。
除了防止個人信息泄露,網路安全法針對層出不窮的新型網路詐騙犯罪也進行了相應規定:
第四十六條 任何個人和組織不得設立用於實施詐騙,傳授犯罪方法,製作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通訊群組,不得利用網路發布與實施詐騙,製作或者銷售違禁物品、管制物品以及其他違法犯罪活動有關的信息。
現在流行的詐騙活動,大部分都是依託於網路進行實施的,並且需要使用網路來作為主要的傳播途徑,這些規定不僅對詐騙組織和個人起到威懾作用,而且對網路服務提供者的責任也進行了明確。
?重點保護關鍵基礎設施與公共服務
關鍵基礎設施與公共服務一直是網路安全的重中之重,這些基礎設施和公共服務一旦出現問題,對國家、行業、社會、個人都會造成不可估量的損失。網路安全法明確了需要重點保護的行業和領域。
第三十一條 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體範圍和安全保護辦法由國務院制定。國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。
保障關鍵基礎設施的安全,不僅僅是保護經濟安全,更是保護社會安全、公共安全乃至國家安全。對關鍵基礎設施,網路安全法不但提出了保護要求,還特別提出要對攻擊破壞我國關鍵信息基礎設施的行為進行嚴懲。
第七十五條 境外的個人或者組織從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關鍵信息基礎設施的活動,造成嚴重後果的,依法追究法律責任;國務院公安部門和有關部門並可以決定對該個人或者組織採取凍結財產或者其他必要的制裁措施。
這已經上升到了網路安全主權的高度,在保護關鍵基礎設施的同時抵禦來外侵犯,採用重要手段維護國家網路安全。
?重大突發安全事件可以啟動網路通信限制
網路安全不僅和國家安全密切相關,網路安全還會影響社會穩定,網路安全法對重大網路安全事件管制措施進行了規定。
第五十八條 因維護國家安全和社會公共秩序,處置重大突發社會安全事件的需要,經國務院決定或者批准,可以在特定區域對網路通信採取限制等臨時措施。
採取網路通信管制社會影響大,所以加入了決策審批機制,此條應該是在特殊情況下的特殊應變措施,將網路安全與社會安全產生聯繫。
如果覺得內容還不錯,歡迎關注公共號獲得後續更新;如需閱讀以前文章,請在公共號後台查看歷史消息。
推薦閱讀:
※密碼學應用(Day027)
※XSS 和 CSRF 攻擊的一些非常規防禦方法
※現在研究網路安全的比較厲害的人,在大學期間都學過些什麼,有哪些東西對以後很有幫助?
※網友發布違法文檔被拘留
※網路安全 | 不如做個腳本小子?
TAG:網路安全 |