cn en
研究报告

网络安全法概述

发布时间:2017-10-20 来源:谷安天下 浏览次数:7869

1 立法背景

2014年2月中央网络安全和信息化领导小组成立,标志着我国把网络安全提升到了国家安全的高度并开始酝酿网络安全法编写工作;2015年6月十二届全国人大常委会审议了《网络安全法(草案)》,2017年7月二次审议稿正式在中国人大网公布,并向社会公开征求意见;2016年11月7日,历经全国人大常委会两次审议的关于我国网络安全管理的法律《中华人民共和国网络安全法》(以下简称《网络安全法》)最终审议通过,并于2017年6月1日正式实施。

 安全法1.png

与国外立法相比,《网络安全法》历经三年就发布实施无疑是快速的。这是因为当前中国当前网络安全迫切要求。在当前中国,网络已经深刻地融入了经济社会生活的各个方面,网络安全威胁也随之向经济社会的各个层面渗透,网络安全的重要性随之不断提高。

一方面,党的十八大以来,国家主管部门加强了国家网络安全工作做出了重要的部署,对加强网络安全法制建设提出了明确的要求,制定《网络安全法》是适应我们国家网络安全工作新形势、新任务,落实中央决策部署,保障网络安全和发展利益的重大举措,是落实国家总体安全观的重要举措。另一方面,中国是网络大国,也是面临网络安全威胁最严重的国家之一,迫切需要建立和完善网络安全的法律制度,提高全社会的网络安全意识和网络安全保障水平,使我们的网络更加安全、更加开放、更加便利,也更加充满活力。

在这样的形势下,制定网络安全法是维护国家广大人民群众切身利益的需要,是维护网络安全的客观需要,是落实国家总体安全观的重要举措。

2 立法意义

《网络安全法》旨在保障我国网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。其立法的意义主要体现在以下几点:

(1)该法从法律层面上把我国网络安全工作提高到了国家安全战略的高度,强调对关键信息基础设施及个人信息据的保护,明确了国家、主管部门、网络所有者、运营者及普通用户各自的责任以及违规后的相关处罚。

(2)该法律的出台对我国互联网安全管理具有重大意义,是我国网络安全法律法规体系建设的一个重要里程碑,为我国网络安全工作提供了法律依据。

(3)从企业角度来看,该法律将强化互联网监管力度,规范网络空间秩序,为企业“互联网+”业务的发展营造良好的环境。

(4)从个人角度来看,在当前个人信息因信息管理出现漏洞而被泄露并违法使用,进而导致个人权利和利益频遭侵害的背景下,该法律对个人信息保护提出了明确要求,从而有效地保障了公民权利。

3 内容概述

3.1 法律内容

《网络安全法》全文共7章79条。其中,第三章“网络运行安全”和第四章“网络信息安全”分别对网络运营者、关键信息基础设施的网络运行和个人信息管理做了详细说明。

表 1 《网络安全法》章节概览


法律章节

条款数量

内容简介



第一章 总则

14条

简述法律目的、范围、总则、部门职责、总体要求等



第二章 网络安全支持与促进

6

定义国家直属部门和政府在推动网络安全工作上的职责



第三章 网络运行安全

19

定义网络运营者与关键信息基础设施的运行安全规定



第一节 一般规定

10

针对网络运营者的网络运行安全要求与职责规定



第二节 关键信息基础的运行安全

9

针对关键信息基础设施的安全规定与保护措施要求



第四章网络信息安全

11

定义个人信息保护的保护规定



第五章监测预警与应急处置

8

定义国家网络安全监测预警与汇报机制



第六章法律责任

17

定义处罚规定



第七章附则

4

相关名词释义与其他附则



3.2 保护对象

纵观法律全文,《网络安全法》的重点保护对象主要针对第二章第二节 “关键信息基础设施的运行安全”中的关键信息基础设施和第四章“个人信息保护”中的个人信息。

(1) 关键信息基础设施

由于关键信息基础设施在国家网络安全中有着举足轻重的作用,因此,国家对重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。

关键信息基础设施保护范围:

政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;

电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;

国防科工、大型装备、化工、食品药品等行业领域科研生产单位;

广播电台、电视台、通讯社等新闻单位;

其他重点单位。

* 以上关键信息关键基础设施的范围参考了网信办2017年7月发布的《关键信息基础设施安全保护条例(征求意见稿)》

(2) 个人信息

个人信息是指以电子或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息,包括与确定自然人相关的生物特征、位置、行为等信息,如姓名、出生日期、身份证号、个人账号信息、住址、电话号码、指纹、虹膜等。

*以上个人信息的定义参考了网信办2016年12月发布的《个人信息安全规范(征求意见稿)》

3.3 保护方法

《网络安全法》中涉及的保护方法主要有以下几种:

(1) 实施等级保护

《网络安全法》第二十一条规定“网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。

(2) 网络运行安全和关键信息基础设施保护

在确保网络运行安全方面,要制定安全制度,落实安全职责,部署安全技术措施,防范网络攻击(第21条);确保网络产品和服务的安全性和合规性(第22条);网络关键设备和网络安全专用产品的安全认证和安全检测(第23条);建立网络安全事件处置流程,及时启动应急预案(第25条);关键信息基础设施的网络安全与信息化应做到“三同步”(第33条);设立信息安全专门机构和负责人,定期培训考核,系统与数据容灾备份,应急预案并定期演练(第39条);采购安全产品与服务要接受主管部门的安全审查(第35条);要与安全产品与服务方签订保密协议(第36条);重要数据和个人信息跨境传输(第37条);至少每年进行一次安全评估,并向主管部门上报评估结果;主管部门对关键信息基础设施进行抽查检测与评估(第38、39条)。

(3) 个人信息保护

在个人信息保护方面,组织应制定敏感信息保护制度(第21(4)、37、40、45、47、48、50条);网络运营者收集、使用个人信息时,要向用户明示并取得同意,不得超范围滥用个人信息(第22、41、44、45条);网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全(第42条);个人有权要求网络运营者删除和更改其个人信息(第43条);网络运营者要对其内部及外部用户使用网络行为进行监督(第46、47、48条);网络运营者应当建立网络信息安全投诉、举报制度,配合主管部门的调查与处置(第49、50条)

(4) 网络安全检测与预警

为保障网络安全,《网络安全法》第二十一条还规定,“网络运营者应当采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”, 第五十二条规定,“负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。”;第五十一条规定,国家层面上“国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。”

(5) 网络安全应急管理

《网络安全法》第二十五条规定,“普通网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。“;第三十四条规定,“关键信息基础设施的运营者除制定网络安全事件应急预案外还应定期进行演练”。对于行业监管者而言,第五十三条规定,“负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练”。国家层面,第三十九条规定,“网信部门定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力”。

(6) 网络安全技术人才培养和安全意识宣传

《网络安全法》第三十四条规定,关键信息基础设施的运营者还应当定期对从业人员进行网络安全教育、技术培训和技能考核; 第十九条则要求各级人民政府、有关部门应组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作,大众媒体应有针对性地面向社会进行网络安全宣传教育。

(7) 职责落实与违规处罚

为确保《网络安全法》顺利实施,执行有力,该法第六章“法律责任”对所涉及责任主体的违法惩处进行了详细规定。

二维码

谷安咨询

数据安全IT治理信息安全IT风险数字风险

谷安审计

IT审计服务 IT审计体系

谷安培训

谷安培训培训动态安全易视学术体系合作交流校友社区

谷安研究

关于研究院研究框架研究报告顾问服务

安全易视

安全易视

媒体社区

安全牛 牛聘

关于我们

谷安简介新闻动态荣誉资质加入谷安联系我们

京公网安备 11010802031707号        京ICP备13013886号

北京: 010 - 88402636 17812365097(公司官方手机) 深圳: 0755-82986930 上海: 021-22310533