网络安全法解读（提炼总结）

制定网络安全法的迫切性和必要性 是落实党中央决策部署的重要举措，是维护网络安全、国家安全的迫切需要 是维护网络空间国家主权的迫切需要 是深化网络安全等级保护制度、保护国家关键基础设施和大数据安全的迫切需要 是打击网络违法犯罪、维护广大人民群众利益的迫切需要 是参与互联网国际竞争和国际治理的迫切需要 强化网络安全，建设网络强国 习近平重要讲话： 没有网络安全就没有国家安全没有信息化，就没有现代化 2015.6.26 第十二届全国人大常委会第十五次会议初审 《中华人民共和国网络安全发（草案）》 草案在全国人大网公布，向社会公开征求意 2015.7.6-2015.8.5见。草案共七章68条 出台背景 出台历程 2016.6.28 2016.11.7 第十二届全国人大常委会第二十一次会议审议了网络安全法草案二审稿，共七章75条 第十二届全国人大常委会第二十四次会议审议通过了《中华人民共和国网络安全法》，共7章79条，将于2017年6月1日起实施 强调网络运行安全，特别是对关键信息基础设施及数据的保护 注重网络信息安全，明确网络运营者的责任和义务 监测预警和应急处置制度化、法律化明确了网络空间主权的原则 明确了网络产品和服务提供者的安全义务明确了网络运营者的安全义务 网络安全法的亮点 进一步完善了个人信息保护规则 是等级保护制度由政策推动上升为法律要求是提出了关键信息基础设施安全保护制度 是确定了关键信息基础设施重要数据跨境传输的规则 构成我国网络安全空间管理的基本法律 国家安全法 2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过 第一条为了规范密码应用和管理，促进密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织 中华人民共和国密码法 立法目的 密码定义原则 的合法权益，制定本法。 第二条本法所称密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。 坚持总体国家安全观 遵循统一领导、分级负责，创新发展、服务大局，依法管理、保障安全 核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管 第六条国家对密码实行分类管理 核心密码 普通密码 商用密码 第七条核心密码、普通密码用于保护国家秘密信息，理。 核心密码保护信息的最高密级为绝密级，普通密码保 护信息的最高密级为机密级。 第八条商用密码用于保护不属于国家秘密的信息。 法律基础 反恐怖主义法 国家加强密码人才培养和队伍建设，对在密码工作中作出突出贡献的组织和个人，按照国家有关规定给予表彰和奖励。(《网络安全法》第20条) 【非法侵入计算机信息系统罪】 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。 违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者 第二百八十五条 【非法获取计算机信息系统数据、非法控制计算机信息系统罪】 【提供侵入、非法控制计算机信息系统程序、工具罪】 单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。 单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。 提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。 与……等现行法律法规 刑法 第二百八十六条 【破坏计算机信息系统罪】 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役;后果特别严重的，处五年以上有期徒刑。 违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。 单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚 网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者 (一)致使违法信息大量传播的; (二)致使用户信息泄露，造成严重后果的;(三)致使刑事案件证据灭失，情节严重的;(四)有其他严重情节的。 【拒不履行信息网络安全管理义务罪】 【利用计算机实施犯罪的提示性规定】 单处罚金： 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。 单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。 有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。 保密法 第二百八十七条 【非法利用信息网络罪】 【帮助信息网络犯罪活动罪】 利用信息网络实施下列行为之一，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金 明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。 单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。 有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。 (一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的; (二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的; (三)为实施诈骗等违法犯罪活动发布信息的。 单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。 有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。 治安管理处罚法 关于加强网络信息保护的决定关于维护互联网安全的决定计算机信息系统安全保护条例互联网信息服务管理办法 一、总则 第1-14条 制定目的（第一条） 适用范围（第二条） 国家举措（3-7，12-13） 鼓励对象 保障网络安全 维护网络空间主权和国家安全、社会公共利益保护公民、法人和其他组织的合法权益 促进经济社会信息化健康发展 在中华人民共和国境内建设、运营、维护和使用的网络 网络安全的监督管理 国家坚持网络安全与信息化发展并重国家制定并不断完善网络安全战略国家依法网络违法犯罪活动 国家采取措施提高全社会的网络安全意识和水平 国家积极建立多边、民主、透明的网络治理体系 国家促进网络接入普及，提升网络服务水平国家为未成年人提供安全、健康的网络环境 各级政府、企业、研究对象、高等学校、网络相关行业组织 建立和完善网络安全标准体系15 二、网络安全支持与促进（15-20） 鼓励内容 扶持重点网络安全技术产业和项目16推进网络安全社会化服务体系建设17开发网络数据安全保护和利用技术18开展网络安全相关教育和培训20 第二十一条规定，国家实行网络安全等级保护制度。安全保护义务包括 制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任 采取防范计算机病毒和网络攻击，网络入侵等危害网络安全行为的技术措施 采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关网络日志不少于6个月 采取数据分类、重要数据备份和加密等措施法律、行政法规规定的其他义务 定级依据 定级对象 网络安全等级保护条例（征求意见稿）第二条中定义，修订GB/T22240作为进一步细化 网络安全等级保护工作的作用对象，主要包括基础信息网络，工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等。 具有确定的主要安全责任主体承载相对独立的业务应用 定级对象基本特征 概念 包含相互关联的多个资源 详细规定了：基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的网络和 其他特征大数据必须遵循的其他要求 网络安全等级保护制度 特定定级对象说明 对于基础信息网络、云计算平台、大数据平台等支撑类网络原则上应不低于其承载的等级保护对象的安全保护等级 大数据安全保护等级不低于第三级 关键性基础设施平台原则上不低于三级 第二级以上网络运营者应当在网络的安全等级 备案对象与时限要求确定后10个工作日内 网络安全法解读 定级流程确定定级对象初步确定等级专家评审主管部门审核公安机关备案审查安全物理环境 安全通信网络 体系架构 安全技术要求 安全管理要求 安全区域边界 安全计算环境安全管理中心安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理 章节七大章两小节 解读： 范围 等级保护制度由政策层面上升为法律要求 信息系统安全等级保护制度已实施多年，目前的信息系统安全等级保护制度更改为网络安全等级保护制度 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护的基础上，实行重点保护。u'an'z 国务院另行制定关键信息基础设施的具体范围和安全保护办法 14大行业 三、网络运行安全（21-39） 关键信息基础设施保护 履行的安全保护义务： （一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查； （二）定期对从业人员进行网络安全教育、技术培训和技能考核； （三）对重要系统和数据库进行容灾备份； （四）制定网络安全事件应急预案，并定期进行演练； （五）采取数据分类、重要数据备份和加密等措施； （六）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任； （七）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施； 网络实名制 （八）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月； （九）法律、行政法规规定的其他义务网络运营者为用户办理网络接入、域名注册服 务，办理固定电话、移动电话等入网手续，或则为用户提供信息发布、及时通讯等服务，在与用户签订协议或则确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。 国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。 网络安全法架构 两小节 一般规定 网络运营者法律合规要求 需要网络运营者建立企业的管理制度和操作规范，以满足法律合规性的要求，避免法律风险，主要包括如下： 与实施网络安全等级保护制度相关的义务和制度建设，包括制定内部安全管理制度和操作规程，确定网络安全负责人等21 健全用户信息保护制度（22,24）落实网络实名制24 网络安全事件应急预案25 关键信息基础设施的安全保护义务 采购关键信息基础设施产品和服务的保密制度关键信息基础设施安全性的年度评估 个人信息的收集和利用规则及制度个人信息泄露事件的报告制度 违法使用个人信息删除和错误个人信息更正制度 网络运营者对用户非法信息传播的监督网络信息安全投诉、举报制度 关键信息基础设施的运行安全 建立健全用户信息保护制度、信息安全投诉和举报制度 规定网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度（40） 规定网络运营者应当建立网络信息安全投诉举报制度，公布投诉举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报（49） 对网络运营者的规