信息处中华人民共和国网络安全法学习与解读中华人民共和国网络安全法•十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》,并将于明年6月1日起施行。•全国人大常委会法工委经济法室副主任杨合庆表示,网络安全法共有七章79条,内容十分丰富,归纳总结大概有六方面突出亮点:•1.明确了网络空间主权的原则。•2.明确了网络产品和服务提供者的安全义务。•3.明确了网络运营者的安全义务。•4.进一步完善了个人信息保护规则。•5.建立了关键信息基础设施安全保护制度。•6.确立了关键信息基础设施重要数据跨境传输的规则。颁布“网络安全法”的重大意义与作用•全国人大通过《网络安全法》的重大意义在于,从此我国网络安全工作有了基础性的法律框架,有了网络安全的“基本法”。作为“基本法”,其解决了以下几个问题:•一.明确了部门、企业、社会组织和个人的权利、义务和责任;•二.规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念;•三.将成熟的政策规定和措施上升为法律,为政府部门的工作提供了法律依据,体现了依法行政、依法治国要求;•四.建立了国家网络安全的一系列基本制度,这些基本制度具有全局性、基础性特点,是推动工作、夯实能力、防范重大风险所必需。网络安全法两个重要概念•“关键信息基础设施”是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施•“信息安全等级保护”是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。•信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。•信息系统的安全保护等级分为以下五级:•第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。•第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。•第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。•第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。•第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。法案如何更有效保护公民个人信息安全《网络安全法》第四章(网络信息安全)在全国人大常委会《关于加强网络信息保护的决定》的基础上用较大的篇幅专章规定了公民个人信息保护的基本法律制度。这之中有四大亮点,引人注目:1.网络运营者收集、使用个人信息必须符合合法、正当、必要原则。2.网络运营商收集、使用公民个人信息的目的明确原则和知情同意原则。3.公民个人信息的删除权和更正权制度,即个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。4.网络安全监督管理机构及其工作人员对公民个人信息、隐私和商业秘密的保密制度等。法案如何更有效保护公民个人信息安全《网络安全法》第四章(网络信息安全)在全国人大常委会《关于加强网络信息保护的决定》的基础上用较大的篇幅专章规定了公民个人信息保护的基本法律制度。这之中有四大亮点,引人注目:1.网络运营者收集、使用个人信息必须符合合法、正当、必要原则。2.网络运营商收集、使用公民个人信息的目的明确原则和知情同意原则。3.公民个人信息的删除权和更正权制度,即个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。4.网络安全监督管理机构及其工作人员对公民个人信息、隐私和商业秘密的保密制度等。对网络安全法的认识1.《网络安全法》的制定旨在保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。2.《网络安全法》主要适用于在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理等事宜。3.《网络安全法》基本制度内容涉及网络安全支持与促进、网络运行安全、关键信息基础设施、网络信息安全、监测预警与应急处置以及法律责任等方面。《网络安全法》立法背景和使用范围1、《网络安全法》的顺利颁布源于四个方面的“顺利”(1)领导重视:习近平总书记一开始就对《网络安全法》的起草做出重要指示;(2)人大主导:张德江委员长对整个立法给予了大力支持;(3)多部门支持协调:《网络安全法》的编制工作得到了人大、网信办、公安部、工信部等多个部门的大力支持配合;(4)坚持开明立法:《网络安全法》在草案第一稿就向全社会公开,征集了包括网络安全厂商和广大网民在内的多方面意见。《网络安全法》立法背景和使用范围2、重点强调本法的使用范围对互联网、网络、网络空间进行区分,确定《网络安全法》的适用范围是网络。互联网太局限,网络空间外延太大,一部法律无法概括描述,最终确立为“网络”,指一种传输、处理信息的系统。3、网络安全≠信息安全特别强调网络安全不等于信息安全,两者有大幅的交集,但网络安全有特殊的内涵,包括网络的使用、运营。国家对网络的主权,符合国际惯例和一般做法。郭启全总工对《网络安全法》重点内容进行详细解读1、强调国家对网络的主权强调国家对网络的主权,对外境攻击破坏行为有防御、惩治、制裁的权利。(观点:网络安全不止是要能防,调查取证也非常重要,审计、溯源、蜜罐诱捕及攻防演练等都有用武之地)2、非常非常强调“等级保护”制度要上升到法律《网络安全法》执行要贴近“等级保护”,通过对重要信息系统的定级才能知道什么是“关键”,在会议中数次高声强调“等保”!郭启全总工对《网络安全法》重点内容进行详细解读3、《网络安全法》对各个主体进行权力、义务的描述本法针对的主体是国家、网络运营者(不仅是网络运营商,还包括关键基础设施的企业、甚至关键的私营企业)、公民及其他。郭启全总工明确表示:“原来大家在进行网络安全建设感到没有支撑,无法可依,现在终于有‘尚方宝剑’了,对于政府和企业也提出要求,必须支持网络安全建设。”4、各级政府要支持网络安全《网络安全法》针对各级政府考核有明确指标,各级政府必须拿出适当比例的资金用于网络安全,在对政府业绩考核中有2分给了对网络安全的支持,已经相当不少。郭启全总工对《网络安全法》重点内容进行详细解读5、关键基础设施的保护突出强调对CII(关键信息基础设施)必须落实国家等级保护制度,突出重点保护。(观点:工控安全大部分保护CII系统运转,非常重要)。6、信息通报制度上升为法律国家建立网络安全监测预警和信息通报制度,按照规定统一发布网络安全监测预警信息。国家网信部门要协调建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。(观点:网络安全监测预警平台、安全风险测评和网络安全事件应急演练将愈加重要)专家看《网络安全法》的亮点(中国信息安全研究院副院长左晓栋)一是提出了个人信息保护的基本原则和要求,相当于一部小型的“个人信息保护法”,使后续的相关细则、标准有了上位法;二是对网络产品和服务提供者提出了要求,针对的是当前一些企业任性停止服务或依靠垄断优势要挟用户、随意收集用户信息等问题;三是在反恐法确立的电信用户实名制基础上,规定了信息发布、即时通讯等服务的实名制要求,但这个实名是指“前台匿名、后台实名”,不影响用户隐私;专家看《网络安全法》的亮点四是规范了重要网络安全信息的发布服务,现在很多企业或机构都在发布漏洞、安全事件等信息,有一些不实信息造成了很大范围的不良影响,国家将制定这方面的规定;五是明确了网络运营者的执法协助义务,这是国际惯例,但我们以前多依靠“红头文件”,这一局面将改变;六是从法的层面规定了对网上非法信息的清理,使国家的互联网管理系统有了明确的法律依据;七是确立了国家关键信息基础设施保护制度,特别是规定了运营者的强制性义务,并为主管部门开展监管作了授权;专家看《网络安全法》的亮点八是建立了网络安全监测预警、信息通报和应急处置工作体系,有利于解决目前存在的多个部门各自发布预警通报、应急预案体系不完整不协调等问题;九是建立了通信管制制度,以支持重大突发事件的处置,但同时也将通信管制的权限严格限制在了国务院;十是进一步理顺了网络安全工作体制,规定国家网信部门负责统筹协调网络安全工作和相关监督管理工作。谢谢!