网络安全法规解读
AI智能总结
网络安全法规解读 刘耀华 专门立法 一般或相关立法 我国网络安全法律体系的构成 《国家安全法》、《反恐怖主义法》、《刑法》、 《治安管理处罚法》、《人民警察法》、《保守国家秘密法》、《合同法》、《预防未成年人犯罪法》、《国家安全法》、《商标法》、《专利 法》等 《网络安全法》 全国人大常委会关于维护互联网安全的决定,关于加强网络信息保护的决定 法律文件 法律 行政 法规 《计算机信息系统安全保护条例》、 《计算机信息网络国际联网管理暂行规定》等 《电信条例》、《互联网信息服务管理办法》、《互联网上网服务营业场所管理条例》、《信息网络传播权保护条例》、《征信业管理条例》等 部门 规章 工信部《电信和互联网用户个人信息保护规定》、 《电话用户真实身份信息登记规定》、《通信网络安全防护管理办法》,公安部《计算机信息网络国际联网安全保护管理办法》、央行《关于银行业金融机构做好个人金融信息保护工作的通知》等 《互联网新闻信息服务管理规定》、《中国互联网络域名管理办法》、《互联网视听节目服务管理规定》、《人口健康信息管理办法(试行)》等大量涉及互联网及相关领域管理的规章 地方性法规等 司法解释 2009年《杭州市计算机信息网络安全保护管理条例》等 地方电信互联网管理、电信设施建设与保护条例等 2004、2010《关于办理利用互联网、移动通信终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释》 (一)和(二), 2011《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》、 2013《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》、 2014《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等 我国网络安全法律体系的特点 在法律层级上,涉及法律、行政法规、部门规章、地方性法规和政府规章、规范性文件等多个层次法律规范 涵盖行政法、民法、刑法、经济法等多个法律部门 涉及网络、资源、应用、产业等网络各个物理架构层面 最高人民法院、最高人民检察院有关网络安全问题适用法律的司法解释,是网络安全法律体系的重要补充 以《网络安全法》为基本法统领,覆盖各个领域 数量上,以部门规章及规范性文件为主,保证了上位法的具体落实 部门职责上,涉及网信办、工信部、公安部、广电总局等与内容、行业、治安管理相关的各个部门 部门规章及以下文件占多数,涉及多个管理部门 内容上,专门性立法和一般性立法并济 囊括计算机信息系统安全保护、内容管理、互联网资源管理、关键信息基础设施保护、个人信息保护、数据安全、违法犯罪打击等各方面,规定全面、针对性较强 确立了民事、行政和刑事责任三位一体的网络安全责任体系框架 内容涵盖网络安全管理、保障、责任各个方面 我国网络安全法律的主要规范内容(1/4) 我国网络安全法律的主要规范内容(2/4) 我国网络安全法律的主要规范内容(3/4) 我国网络安全法律的主要规范内容(4/4) 《网络安全法》是我国网络安全领域的第一部综合性法律,也是《信息网络专项立法规划》明确的“5+2”立法框架中的首部立法。学习宣传和贯彻实施 《网络安全法》,对于推进网络空间法治化、加强网络空间治理,具有重要意义。 《中华人民共和国网络安全法》 中华人民共和国主席令第五十三号 ,2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过 《网络安全法》制定出台过程 《网络安全法》从草案发布到正式出台,共经历了三次审议,两次公开征求意 见和修改。 《网络安全法》出台背景三大考虑 落实国家总体安全观的重要举措 十八大以来,国家对加强国家网络安全工作作出了重要部署,对加强网络安全法制建设提出了明确要求 维护网络安全的客观需要 我国迫切需要建立和完善网络安全的法律制度,提高全社会的网络安全意识和网络安全的保护水平 维护人民群众切身利益的迫切需要 网络侵权行为严重损害了公民、法人和其他组织的合法权益,广大人民群众迫切地呼吁加强网络空间法制建设、净化网络环境 一审 十二届全国人大常委 会第十五次会议 公开征求意见 二审 十二届全国人大常委会第二十一次会议 公开征求意见 三审 十二届全国人大常委会第二十四次会议 2015.6.262015.7.62015.8.5 2016.6.28 2016.7.52016.8.4 2016.10.31 2016.11.7 《网络安全法》三审主要修改内容 第一次审议(2015年6月26日) 明确重要数据境内存储,建立数据跨境安全评估制度 鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系 明确网络空间主权原则;对关键基础设施安全实行重点保护;加强网络安全监测预警和应急制度建设 第二次审议(2016年6月28日) 进一步界定关键信息基础设施范围 增加惩治攻击破坏我国关键信息基础设施的境外组织和个人的规定 增加惩治网络诈骗等新型网络违法犯罪活动的规定 加强网络安全人才培养、保护未成年人上网安全 第三次审议(2016年10月31日) 《网络安全法》特色和亮点 主要特点 •确定了各相关主体在网络安全保护中的义务和责任 •确定了网络信息安全各方面的基本制度 全面性 •从我国的国情出发,坚持问题导向,总结实践经验,借鉴了其他国家的一些做法,重在管用和解决实际问题。 针对性 •注重保护网络主体的合法权益,保障网络信息依法、有序、自由地流动,促进网络技术创新 •最终实现以安全促发展,以发展来促安全 协调性 《网络安全法》突出亮点 明确网络空间主权的原则 明确网络产品和服务提供者的安全义务 明确了网络运营者的安全义务 进一步完善个人信息保护规则 建立关键信息基础设施安全保护制度 确立重要数据跨境传输的规则 《网络安全法》主要内容 •国家网络安全总体规划 •网络运行安全制度 •关键信息基础设施保护制度 •网络信息保护制度 •应急和监测预警制度 •法律责任:行政责任、刑事责任、民事责任 总则 作为我国网络安全治理的基本法,《网络安全法》在总则部分确立了网络 确立网络空间主权原则 第1条“立法目的”中明确规定要维护我国网络空间主权。 明确网络安全管理体制及职责分工 依规定确定 依法在职责范围内负责 统筹协调 县级以上地方人民 政府有关部门 国务院电信主管部门、公安部门和其他有关机关 国家网信部门 主权原则,明确了网络安全管理体制和分工,及域外的适用效力。 明确特定情况下的 域外适用效力 络安全风险和威胁 对来源于境外的违法信息 追究法律责任 采取措施阻断传播 监测、防御、处置 信息基础设施的活动 对境外危害我国关键 对来源于境外的网 总则 引入了网络安全的战略管理体制 4条 国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。 网络运行安全制度:明确网络运营者的安全义务(1/3) •内部安全管理:制定内部安全管理制度和操作规程,确定网络安全负责人 •安全技术措施:采取防范网络安全行为的技术措施;采取监测、记录网络运行状态、 网络安全事件的技术措施,留存相关的网络日志不少于六个月 •数据安全管理:采取数据分类、重要数据备份和加密等措施,防止网络数据泄露或者被窃取、篡改 •网络身份管理:办理网络接入、域名注册服务,或固定电话、移动电话等入网手续, 或为用户提供信息发布、即时通讯等服务,应要求用户提供真实身份信息。 •应急预案机制:制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并向有关主管部门报告。 •安全协助义务:为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提 供技术支持和协助 网络运行安全制度:明确网络产品、服务提供者的安全义务(2/3) •强制标准义务:网络产品、服务应当符合相关国家标准的强制性要求,不得设置恶意程序;网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供 •告知补救义务:网络产品、服务提供者发现其网络产品、服务存在安全缺陷、漏洞 等风险时,应当立即采取补救措施,及时告知用户,向有关主管部门报告。 •安全维护义务:网络产品、服务提供者应为产品、服务持续提供安全维护,在规定或者当事人约定的期限内不得终止; •个人信息保护:网络产品、服务具有收集用户信息功能的,网络产品、服务提供者应向用户明示并取得同意;涉及用户个人信息的,还应遵守相关法律、行政法规中有关个人信息保护的规定。 网络运行安全制度:其他(3/3) •安全信息发布:开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。 •禁止危害行为:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等。 •信息使用规则:网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。 关键信息基础设施保护制度(1/2) 1、关键信息基础设施内涵 •公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务重要行业和领域的关键信息基础设施 •其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施 3、关键信息基础设施管理机制 •按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门具体负责实施本行业、本领域的关键信息基础设施保护工作 •国家网信部门统筹协调有关部门对关键信息基础设施采取安全保护措施 2、关键信息基础设施外延 •关键信息基础设施的具体范围由国务院制定 •鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系 4、关键信息基础设施建设要求 •确保具有支持业务稳定、持续运行的性能•安全技术措施同步规划、同步建设、同步使用 关键信息基础设施保护制度(2/2) 5、关键信息基础设施运营者安全保护义务 •人员安全管理:设置专门安全管理机构和安全管理负责人;对负责人和关键岗位的 人员进行安全背景审查;定期对从业人员惊醒网络安全教育、培训和考核。 •数据境内留存:在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。确需向境外提供的,需经国家安全评估;对重要系统和数据库进行容灾备份。 •应急预案机制:制定网络安全事件应急预案,并定期进行演练。 •安全采购措施:采购网络产品和服务可能影响国家安全的,应当通过国家安全审查。应与网络产品和服务提供者签订安全保密协议。 •风险评估机制:自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关部门。 网络信息安全—个人信息保护(1/3) 保护规范 原则:合法、正当、必要(第41条) 规则:吸收了国际通行规则 40-45 网络运营者的信息安全保障义务:严格保密信息、健全信息保护制度;合规收集和使用信息,规则透明、目的限制;妥善保全信息,禁止泄露、篡改、毁损,禁止未经同意向他人提供。 用户的保障权利:删除权、更正权 禁止针对信息的非法活动:窃取、出售、提供 规范主体 网络运营者、任何个人和组织、负有网络安全监督管理职责的部门及其工作人员 网络运营者 安全保密、知情同意、目的限制、删除改正、 个人和组织 不得窃取、非法出售个人信息 监督部门 保密、不得泄露出售 网络信息保护
