网络安全法解读-网络安全法基础介绍

释放双眼,带上耳机,听听看~!

安全小故事分享:
老板问安全负责人:“我怎么觉得在公司的运营中你们安全部门没起多大作用?”
安全负责人:“您走过大桥吗?”
老板:“走过。”
安全负责人:“桥上有栏杆吗?”
老板:“有。”
安全负责人:“您过桥的时候扶栏杆吗?”
老板:“不扶。”
安全负责人:“那么,栏杆对您来说就没用了?”
老板:“那当然有用了,没有栏杆护着,掉下去怎么办?”
安全负责人:“可是您并没有扶栏杆啊?”
老板:“……可是……可是没有栏杆,我会害怕!”
安全负责人:“其实,我们安全部门就是桥上的栏杆!

网络安全法基础介绍

·制定过程
·法律位阶
·架构
·名词介绍
·监管机构

网络安全法制定过程

重要性定位:
·是互联网领域、网络安全的基础性法律。
·是党的十八大以来的又一部重要法律。
制定过程:
·2013年下半年提上日程,2014年形成草案,15年初形成征求意见稿,15年6月一审,16年6月二审、10月31日三审、11月7日人大通过,2017年6月1日起施行。
·154票赞成、0票反对、1票弃权。

不同层级的法律位阶

各法律之间不存在简单的上位法与下位法的关系,在法律位阶上属于同位阶法,都由全国人大常委会制定。比如:涉及国家安全利益和国家秘密的网络与信息安全保障事项由《 国家安全法》 和《 保密法》 进行规制。 《 关于加强网络信息保护的决定》核心内容和立法宗旨是建立公民个人电子信息保护制度。 《 消费者权益保护法》 主要是从消费者权益保护方面明确个人信息保护。 《 网络安全法》 进一步完善了相关管理制度和责任,尤其在“第四章 网络信息安全”中做出了具体规定,涉及网络运营者的信息保护义务、公民享有的保护其个人信息的权利、网络安全监管部门的相关职责及在第五章法律责任中明确了处罚与刑事责任等

网络安全法解读

网络安全法架构:

共7章 79条

1.第一章总责

2.第二章 网络安全支持与促进

3.第三章 网络运行安全:

(1)第一节 一般规定

(2)第二节 关键信息基础设施的运行安全

4.第四章 网络信息安全

5.第五章 监测公告与应急处置

6.第六章 法律责任

7.附则

·网络空间主权

·国家网络安全等级保护制度

·关键信息基础设施保护

·网络运营者、网络产品和服务提供者义务

·保障网络信息安全,个人信息保护

·关键信息基础设施重要数据跨境传输

·监测公告与应急处置

名词介绍

·网络安全

是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。

·网络运营者

是指网络的所有者、管理者和网络服务提供者。

谈及网络运营者,人们普遍想到的是网络接入服务的供应商、云服务的提供者等。而《 网络安全法》第七十六条对适用于本法的“网络运营者”给出了明确的定义:“网络运营者,是指网络的所有者、管理者和网络服务提供者” 。

在此定义下,“网络运营者”所适用的范围将大为扩展。通过网络提供服务、开展业务活动的企业及机构,都可能被视为“网络运营者”。网络运营者除传统的电信运营商、互联网企业外,还可能包括:

·银行、保险、证券基金等收集公民个人信息,同时又提供线上服务的金融机构;

·网络安全服务和安全产品的提供者;

·拥有网站并提供网络服务的企业等;

·网络数据

是指通过网络收集、存储、传输、处理和产生的各种电子数据。

·个人信息

是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

·关键信息基础设施

关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。

关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。

《 网络安全法》 提到“关键信息基础设施的具体范围和安全保护办法由国务院制定”,但目前尚未正式明确关键信息基础设施的范围。参考《 关键信息基础设施确定指南(试行) 》 ,以下条件可供各企业进行评估:

·网站类:一旦发生网络安全事故:可能造成超过100万人个人信息泄露;造成大量机构、企业敏感信息泄露的;

·平台类(用户数量):注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万;

·平台类(影响范围):一旦发生网络安全事故:可能造成1000万元以上的直接经济损失;直接影响超过1000万人工作、生活;造成超过100万人个人信息泄露;造成大量机构、企业敏感信息泄露的;

·生产业务类:规模超过1500个标准机架的数据中心。在关键信息基础设施的范围尚未明确前,企业可参考上述条目,从用户规模、信息泄露风险、潜在影响、数据中心规模等角度进行初步评估。

根据《 关键信息基础设施确定指南(试行) 》 我们摘录了相关行业

以下行业与国家安全、民生稳定息息相关, 企业在开展日常业务过程中不可避免地接触到公民个人信息,同时也作为网络运营者来管理自身的关键信息基础设施。可以说这些行业无疑是受《 网络安全法》 影响最大的行业:

网络安全法解读

跨境企业

跨境数据存储:

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。(第三十七条)

·潜在影响:部分外资背景企业在业务开展与日常运营过程中,将一些数据传输至位于境外(香港与中国大陆法律制度是属于不同法域的,香港在网络安全法中应该属于境外)的总部/合作方/供应商。对于此类企业 ,一旦其被认定为“ 关键信总基础设施 ”的运营者 ,则其与境外机构传输的数据内容、传输方式等均需要通过安全评估后方能开展。

· 如何应对 :对于原来即存储于境外的个人信息 / 重要数据,直接的应对方式就是在将相关数据转移至境内存储,实际案例 可参考Apple、Airbnb等跨国企业对中国用户数据的处理方式。对于原存储于境内,但需要向境外发送的,则需视实际情况对外发数据的内容与方式方法进行相应的调整,以满足法律的要求。

·落地实施:虽然目前尚未有明确的规章制度来支找第三十七条的落地执行,但网信部门及其他监管主体将陆续出台相应的政策,明确详细的境内存储数据要求。

监管机构

《 网络安全法》 的监管机构

《 网络安全法》 规定了由国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。

同时,县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。(第八条)

网络安全法解读

监管机构的职责和权力

• 检查和监督权

o 对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;(第三十九条、一)

o 国家网信部门和有关部门依法履行网络信息安全监督管理职责。(第五十条)

• 处罚权

o 监管机构有权强制性执行限制性措施,例如: 要求网络运营者停止传输,采取消除等处置措施,保存有关记录;(第五十条)

o 监管机构有权强制性执行罚款、吊销营业执照、构成犯罪的依法追究刑事责任等。(详情请参考后续章节)

• 其他(风险评估、演练、约谈、接受举报等)

人已赞赏
安全工具

雷神众测漏洞预警周报 2019.10.14-10.20-8

2019-10-25 15:29:55

安全工具

网络安全法解读-网络安全法条款解读

2019-10-25 16:58:36

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索