自1994年我国全功能接入国际互联网以来,互联网在促进我国产业结构优化升级、推动我国数字经济蓬勃发展、满足人民日益增长的美好生活需要等方面发挥了重要作用。近几年,我国网络安全形势发生了非常大的变化,我国是名副其实的网络大国,网民人数全球第一,网络创新活跃,越来越多的业务都在互联网化,网络已融入经济社会生活的各个方面。但同时,我国也是网络安全事件的重灾区,网络攻击活动日渐频繁,个人信息泄露事件频发。因此《网络安全法》的出台,对于我们每个网络服务的提供者、网民都有非常积极的帮助。接下来我们对《网络安全法》的部分章节和相关条款进行剖析。
一.《网络安全法》背景
2017年6月1日起《中华人民共和国网络安全法》(下文简称《网络安全法》)正式实施,从宏观的层面来讲,这意味着网络安全同国土安全、经济安全等一样成为国家安全的一个重要组成部分;从微观层面来讲,意味着网络运营者(指网络的所有者、管理者和网络服务提供者)必须担负起履行网络安全的责任。
《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,并对“网络(Cyber)”进行了重新定义,是指“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”,其涵义外延更大。既然作为基本法,与之前看到的各部门规章有着本质区别,它明确提出不履行相应的责任与义务,都将会受到法律的处罚。处罚也从不同角度进行了细化和明确,特别是会对主管人员或直接负责人员进行处罚,构成犯罪的会依法追究刑事责任。
二.《网络安全法》解读
《网络安全法》第二十四条规定
网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
条款解读
本条款规定了网络运营者必须履行的核心义务之一就是实名制。实名制将不再仅限于通讯领域,任何具备信息发布和即时通讯等服务的网络产品和应用都须进行用户身份实名制。对于没有落实好实名制的网络运营者将面临高额处罚甚至被勒令停业。学校依《网络安全法》及相关法律法规在全校范围内实行上网实名认证,确保网络与信息安全。
《网络安全法》第二十一条规定
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
1. 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
2. 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
3. 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
4. 采取数据分类、重要数据备份和加密等措施;
5. 法律、行政法规规定的其他义务。
条款解读
网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法,是公安部运营多年的信息系统安全等级保护制度,网络安全法的出台也加强了对等保执行力度的要求网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。如何根据自身实际情况建立有效的安全管理体系、如何在技术层面选择合理的技术解决方案、如何加强自身的数据保护能力,都将成为网络运营者所重点关注的问题。
《网络安全法》第三十八条规定
关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门
条款解读
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,采用安全技术测评和安全管理测评方式,对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。单位每年需要对网络的安全性和可能存在的风险至少进行一次检测评估,等级保护测评就是对单位重要信息系统做的一个安全检测评估。
《网络安全法》第四十一、四十二、四十三条规定
第四十一条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十三条:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
条款解读
从这三条条款中可以看出,《网络安全法》聚焦个人信息泄露,明确网络产品服务提供者、运营者的责任。严厉打击出售贩卖个人信息的行为,对保护公众个人信息安全将起到积极作用。
除严防个人信息泄露,《网络安全法》针对层出不穷的新型网络诈骗犯罪还规定:任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布与实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
