左晓栋中国信息安全研究院副院长2017年8月《网络安全法》理解与实施一、概况l 《网络安全法》的出台,充分说明了以习近平同志为核心的党中央对网络安全工作的高度重视。l 习近平总书记:l 互联网不是法外之地。利用网络鼓吹推翻国家政权,煽动宗教极端主义,宣扬民族分裂思想,教唆暴力恐怖活动,等等,这样的行为要坚决制止和打击,决不能任其大行其道。利用网络进行欺诈活动,散布色情材料,进行人身攻击,兜售非法物品,等等,这样的言行也要坚决管控,决不能任其大行其道。没有哪个国家会允许这样的行为泛滥开来。我们要本着对社会负责、对人民负责的态度,依法加强网络空间治理,加强网络内容建设,做强网上正面宣传,培育积极健康、向上向善的网络文化,用社会主义核心价值观和人类优秀文明成果滋养人心、滋养社会,做到正能量充沛、主旋律高昂,为广大网民特别是青少年营造一个风清气正的网络空间。l 要加快网络立法进程,完善依法监管措施,化解网络风险。l 网络安全领域的“基本法”,确立了我国网络安全的基本法律框架l 1、明确了部门、企业、社会组织和个人的权利、义务和责任l 2、规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念l 3、将成熟的政策规定和措施上升为法律,为政府部门的工作提供了法律依据,体现了依法行政、依法治国要求l 4、建立了国家网络安全的一系列基本制度,这些基本制度具有全局性、基础性特点,是推动工作、夯实能力、防范重大风险所必需l 全国人大法工委经济法室:l “学习好、宣传好、贯彻好这部法律,是我们当前的重要任务。全国人大常委会已经把网络安全法的实施情况列入2017的执法监督计划。通常的执法检查,一般是在法律施行一年或者若干年后进行,网络安全法施行半年就进行执法检查,体现了全国人大常委会对网络安全法实施情况的重视和关切。”l 第一章 总 则l 第二章 网络安全支持与促进l 第三章 网络运行安全l 第一节 一般规定l 第二节 关键信息基础设施的运行安全l 第四章 网络信息安全l 第五章 监测预警与应急处置l 第六章 法律责任l 第七章 附 则l 一、明确了“网络空间主权”原则l 二、明确了国家支持和促进网络安全的主要举措——国家建立和完善网络安全标准体系;国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目……;国家推进网络安全社会化服务体系建设;国家鼓励开发网络数据安全保护和利用技术;各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育;……l 三、明确了网络产品和服务提供者的义务——网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;……l 四、明确了网络运营者的责任l 一是第21条关于网络安全等级保护的要求;l 二是第24条关于实名制的要求;l 三是第25条关于网络安全事件处置的要求;l 四是第28条关于为公安机关、国家安全机关提供技术支持和协助的要求;l 五是第40条、41条、42条、43条关于用户和个人信息保护的要求;l 六是第47条关于加强对其用户发布的信息的管理的要求;l 七是第49条关于投诉举报和配合网信等部门实施安全检查的要求。l 五、建立了关键信息基础设施保护制度l 关键信息基础设施运营者除了履行网络运营者的责任义务外,还应履行以下责任、义务:l 一是第33条关于“三同步”的要求;l 二是第34条提出的人员审查、培训等5方面要求;l 三是第35条关于国家网络安全审查要求;l 四是第36条关于签订安全保密协议要求;l 五是第37条关于数据出境的要求;l 六是第38条关于每年开展安全检测评估的要求。l 六、进一步明确了个人信息保护规则l 《网络安全法》体现了个人信息安全保护的下述重要原则l 责任原则:网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度l 目的明确原则:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则;l 最少够用原则:网络运营者不得收集与其提供的服务无关的个人信息l 同意和选择原则:(明示收集、使用信息的目的、方式和范围,)并经被收集者同意l 确保安全原则:网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全l 质量保证原则:发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正l 主体参与原则:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息l 开放透明原则:明示收集、使用信息的目的、方式和范围l 七、进一步完善了互联网信息内容管理制度l 一是第24条规定了实名制。l 二是提出了互联网信息内容禁则(八不准):一是危害国家安全、荣誉和利益;二是煽动颠覆国家政权、推翻社会主义制度;三是煽动分裂国家、破坏国家统一;四是宣扬恐怖主义、极端主义;五是宣扬民族仇恨、民族歧视;六是传播暴力、淫秽色情信息;七是编造、传播虚假信息扰乱经济秩序和社会秩序;八是侵害他人名誉、隐私、知识产权和其他合法权益等活动。l 三是明确了网络运营者、电子信息发送服务提供者和应用软件下载服务提供者处置违法信息的义务。l 四是赋予相关主管部门处置违法信息的权力。二、对网络运营者的主要要求《网络安全法》规定的网络运营者责任、义务主要包括:l 一是第二十一条关于网络安全等级保护5方面的要求。即:制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施;法律、行政法规规定的其他义务。l 二是第二十二条关于网络运营者提供产品、服务时的要求。即,如果网络运营者对外提供产品和服务,则应当符合相关国家标准的强制性要求。具体是:不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。《网络安全法》规定的网络运营者责任、义务主要包括:l 三是第二十四条关于实名制的要求。即,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。l 四是第二十五条关于网络安全事件处置的要求。即,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。《网络安全法》规定的网络运营者责任、义务主要包括:l 五是第二十八条关于提供技术支持和协助的要求。即,网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。l 六是第四十条、四十一条、四十二条、四十三条关于用户和个人信息保护的要求。l 七是第四十七条关于信息发布的要求。即,网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。l 八是第四十九条关于投诉举报和配合网信等部门实施安全检查的要求。即,网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。关键信息基础设施运营者除了履行网络运营者的责任义务外,还应履行以下责任、义务:l 一是第三十三条关于“三同步”的要求。即,建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。l 二是第三十四条提出的设置专门安全管理机构、培训等5方面要求。即,设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练;法律、行政法规规定的其他义务。关键信息基础设施运营者除了履行网络运营者的责任义务外,还应履行以下责任、义务:l 三是第三十五条关于国家网络安全审查要求。即,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。l 四是第三十六条关于签订安全保密协议要求。即关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。关键信息基础设施运营者除了履行网络运营者的责任义务外,还应履行以下责任、义务:l 五是第三十七条关于数据出境的要求。即,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。l 六是第三十八条关于每年开展安全检测评估的要求。即,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。习近平总书记:l 加快构建关键信息基础设施安全保障体系。金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。“物理隔离”防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取,这些都是重大风险隐患。不出问题则已,一出就可能导致交通中断、金融紊乱、电力瘫痪等问题,具有很大的破坏性和杀伤力。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。l 全天候全方位感知网络安全态势。知己知彼,才能百战不殆。没有意识到风险是最大的风险。网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了。维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓“聪者听于无声,明者见于未形”。感知网络安全态势是最基本最基础的工作。要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。要建立政府和企业网络安全信息共享机制,把企业掌握的大量网络安全信息用起来,龙头企业要带头参加这个机制。《关键信息基础设施安全保护条例》第十八条下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:l (一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;l (二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;l (三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;l (四)广播电台、电视台、通讯社等新闻单位;l (五)其他重点单位。为什么提出“关键信息基础设施安全保护工作部门”?第三十二条 按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设