众所周知,我国的《网络安全法》,于2016年11月7日第十二届全国人大第二十四次会议通过,在17年6月1日正式实施,网安法做为我国第一部综合性的网络信息安全基本大法,标志着我国网络空间法制建设的重要里程碑,是我国依法治网、化解网络安全风险的一项法律重器,对我国网络安全的发展和保障具有里程碑的作用和意义,今天就和大家以图文的方式详细了解这部法律。
说到这部法律颁布的背景,就应放眼全球网络环境,网络空间已经成为领土、领海、领空和太空之外的第五空间,是国家主权建设的新疆域,美国2011年就发布了《网络空间国际战略》和《网络安全国际法案》,意图将信息技术、信息资源和产业优势与其政治、外交、军事的强势地位进行深度战略整合,确保对网络空间主导权的掌控,进而继续抢占经济科技发展和综合国力竞争的制高点,在欧盟地区,德国首相默克尔率先提出建设欧盟互联网,强硬的表示欧洲人之间的通讯不能无缘无故绕美国一圈,并向美国外交宣战,目前,德国已经提出建立并着手“零监控”网络——也就是德国国内通讯网。
而我们国家,应该直到2014年,由于棱镜门的爆发,促使我们也“觉醒”了,看到了网络空间的重要性,至此,整个国际大环境都形成了互联网国家意识,也就是说国家的网络空间意识。
我国的《网络安全法》在这样的国际背景和战略意义下应运而生。
中国作为网络大国,网民数量全球第一,网络创新活跃,网络商务如火如荼,虽然是一副欣欣向荣的景象,但我们也应看到一些安全隐患核问题。国家快速发展,网络安全问题却日益突出,网络谣言网络色情等负面内容屡禁不止,网络诈骗侵权等违法行为依然猖獗。同时境外针对我国关键信息基础设施的网络攻击威胁日益严重,敌对势力和境外情报机构利用网络技术优势大肆窃取我国秘密信息以达到无孔不入无处不在的程度。
因此网络空间从来都不是风平浪静,哪怕一只不起眼的“蠕虫”称之为 “永恒之蓝”,都可以引起了轩然大波,波及到的行业包括政府、银行、电力系统、通信系统、能源企业、机场等重要基础设施,某种意义上来说对关键基础设施的网络攻击,其破坏效果甚至能超越传统意义上的战争。因为我们可以想象一下,在当今社会,有核国家几乎不可能动用核武器,但是网络攻击在目前却接近于不受任何约束,这种自由没有管制落在国家和个人身上想来都是十分可怕的。
我们国家领导人自始至终都高度重视网络安全,2014年就成立了中共中央网络安全和信息化领导小组,由中央总书记、国家主席亲自担任组长,以见国家层面对网络安全的重视,习总书记提出了没有网络安全就没有国家安全的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。习总书记在第二届世界互联网大会上提出安全是发展的前提,发展是安全的保障,安全和发展要同步推进,网络安全和信息化是一体之两翼、驱动之双轮。也就是说我们既要加强网络国防建设,同时促进本国互联网产业的发展。这两者相辅相成,不可或缺。
《网络安全法》总共分为共7章,包含79条法律条款。在第三章网络运行安全由划分成两个层面:一般规定和关键信息基础设施运行安全,分别针对不同层级不同类型的运营者,使其能更好的适应其所承担的信息保护责任。接下来我们具体来看每个章节的详细内容。
第一章总则开宗明义宣誓了我国的网络主权,阐明网络安全法是为了维护网络空间主权、社会公共利益,保护公民、法人和其他组织的合法权益,而法律适用范围他包括了国内建设、运营、维护和使用的所有网络,以及网络安全的监督管理。
同时也阐明对内,我国拥有独立自主发展、监督、管理本国互联网事务的权利,对外,要防止本国互联网遭到外部入侵和攻击。
这也就是我们前面提到的发展和安全齐头并进,即一体之两翼,通俗讲就是两条腿走路。
第二章网络安全支持与促进,也就是阐明我国应当从从发展角度出发,鼓励和促进产学研一体化,这其中分别从四个大的层面进行阐明,分别是
- 我们应该建立和完善我国自身的网络安全标准体系,支持各行各业参与到国家标准和行业标准的制定工作中来
- 我们应该重点扶持我国的安全产业和项目,对安全可信的产品和服务进行推广
- 我们需要继续推进安全服务体系建设和开发数据保护和数据利用技术
- 最后是我们应当加强网络安全宣传和培训教育工作在第三章网络安全运行章节,其中第一个层面是一般规定 ,在本法的第21条 从安全保障层面出发,旗帜鲜明的确立了我国实行网络安全等级保护制度。要求我们网络运营者应当按照网络安全等级保护制度的要求,履行保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。同时在第59条法律阐明了对应的惩戒措施。也就是说至此开始网络安全等级保护制度已经成为法律层面上的强制性义务,由此我们建议相关企业参照等级保护制度的规定对企业进行合规审查在做一个整改,当然近年来也发生了相应案例,即没有做等级保护继而产生安全事故触及相关规定的法律追责案例。
我们看到如上一些未落实等级保护而产生不良后果的案例。汕头某公司未及时履行网络安全义务被警告并责令改正成为网络安全法颁布后的首个执法案例,上述各单位就是因为未落实等级保护而受到法律追责。执法依据就是我们前面提到的第21条、第59条,相应的案例我们在网上检索,结果非常之多,并呈一个上升趋势,所以说想要保障我们自主负责运行的网络系统安全,就应履行基本的等级保护制度。
第三章第二节是关键基础设施运行安全的内容 ,在本章《网络安全法》首次提出“关键信息基础设施”的概念,并对其范围进行了明确。它包括了公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。
网络运行安全是网络安全的重心,关键信息基础设施的安全则是重中之重,他一旦遭到破坏,直接为危害得是国家安全、国计民生以及公共利益。为此网络安全法在强调等级保护制度的基础上,对关键基础设施实行重点保护。他明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。
在本章第三十三条 引入了建设关键信息基础设施的三同步原则,也就是我们所说的同步规划、同步建设和同步使用的原则。
同步规划:在业务规划的阶段同步纳入安全要求,引入安全措施。
同步建设:在项目建设阶段,通过合同条款落实系统集成商、厂商的责任,保证相关安全技术措施的顺利准时建设;保证项目上线时,安全措施的验收和工程验收同步,确保只有符合安全要求的系统才能上线。
同步使用:安全验收后的日常运营维护中,应当保持系统处于持续安全防护水平。
关键基础设施的运行安全章节占幅近三分之一,这块概括起来总共提出了七点要求需要我们着重注意:
1.一是提出对安全审查的要求,网络产品和服务提供者所提供的产品和服务都应通过国家审查,比如落实安全认证和安全检测工作
2.二是中国境内收集的个人信息和重要数据必须境内存储
3.三则是单位需要设置专门的安全管理机构和负责人
4.四是应定期的安全教育、技能培训和考核
5.重要系统的数据容灾备份的要求
6.制定网络安全事件应急预案,并定期组织演练
7.最后风险管理提出了要求:建立起风险评估的机制,每年至少应该做一次风险评估
第四章网络信息安全,本章的重点是对个人信息的保护,也是网络安全法的一个亮点,首先我们需要明确什么是“公民个人信息”,具体的范围是什么,个人信息不仅包括身份识别信息,还包括活动情况信息,我们通常所说的姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等都应包含在内。 我国已有84%网民亲自感受到个人信息泄露带来的不良影响,因垃圾短信、诈骗信息、个人信息泄露所遭受的经济损失达到了人均133元。今年来大量案件显示,公民个人信息的泄露、收集、专卖,已形成黑色产业链,导致一系列的精准诈骗案件。
因此《网络安全法》在本章对网络运营者收集和使用用户个人信息作出专门规定:1.网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;本条也是个人信息保护的核心原则,就是必须经过被收集者的同意。另外则是规定了网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。任何个人和组织不得窃取或非法获取个人信息,不得非法出售或向他人提供个人信息。以及明确要建立起投诉与举报制度或者相关机制来实现对个人信息保护的监督检查功效。
第五章的重点在于监测预警与处置 ,我们都知道勒索病毒刚好在《网络安全法》正式实施前爆发,提前考验了我们所有单位的网络安全应急处置体系。在病毒肆虐期间,国家网信办、公安部和工信部做了大量工作,全国的政企机构包括相应的厂商都动起来了,给整个网络安全界和用户做了比较好的协调,比如公安部第一时间向全国发布了警示和处置的指导视频,国家互联网应急中心发布了此次感染事件的情况公告和处置手册,省级中心也进行了相应的公告和指导。之后紧接着颁布的网络安全法中就用第五章专章共八条的篇幅来规定国家网信部门及其他政府相关部门“预警与应急”的措施,另外,在第二十五条、第二十九条、第三十四条还规定了网络运营者及关键信息基础设施的运营者针对网络安全事件应急处置的安全保护义务。其中包括了国家网信部门、关键基础信息设施安全部门,省级以上人民政府在事前、事中的应急处置义务、以及应急处置的法律责任。可以说,网络安全监测预警和信息通报制度的建立,促使我们各单位网络安全事件的应急处置从以前的亡羊补牢逐渐向未雨绸缪进行转变。
第六章规定了详尽的法律责任,网络安全法的责任范围覆盖了我们每一个参与网络运行和使用活动的个人和组织,当我们的活动违反网络安全法规定尚不构成犯罪的,由执法机关根据违法情节轻重依法处置,主要手段是处以罚款、警告、责令改正、暂停业务;当已经构成犯罪,则会上升至刑事责任,就要按《刑法修正案》进行处罚。同时对执法机关滥用法律进行了相应的处罚规定。相较以前网络安全的法律法规,明显加大了惩处力度。
这里为大家整理列出了具体的违规行为和对应的处罚内容,处罚的对象有单位和负责人两方面,比如:未实施等保,未设定安全应急预案,单位罚款1-10万,负责人罚款0.5-5万;未及时上报,未按要求采取措施,未配合国家机关,单位罚款5-50万,负责人1-10万。
在《网络安全法》正式发布至今,基本上上述违规行为都有对应案例发生,足见国家的执法力度和对网络安全信息保护的重视。
以上是结合与我们日常工作联系比较紧密的方面,对法律条款进行梳理后,提炼出一些关键点,对我们网安工作做出提示,以免我们在日常工作中触及红线。
那么《网络安全法》到底对我国的网络安全具有什么样的重要意义。
首先,《网络安全法》是我国维护网络安全、利益以及治理网络国际空间所坚持的指导原则,他的颁布是我国网络空间主权对内最高管辖权的具体体现。
其次,引入关键基础设施的重要概念,赋予关键信息基础设施的运营者应该负有更多的安全保护义务,明确等级保护制度在保障国家网络安全中所处的地位,提出关键信息基础设施中使用到的网络安全产品和服务都应通过国家的安全审查。
《网络安全法》加强了对网络数据安全的保护,规范了网络运营者对数据的收集和使用,关键信息基础设施的数据更需要进行重点保护,为后续《数据安全法》和《个人信息保护法》的颁布打好了基础。
《网络安全法》打破了部门壁垒,因为网络空间安全仅仅依靠政府是无法实现的,需要政府、企业、社会组织、技术社群和公民等网络利益相关者的共同参与。《网络安全法》坚持共同治理原则,要求采取措施鼓励全社会共同参与,政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作。
最后是《网络安全法》的一个亮点,大力扩展了个人信息保护的范围,加强了公民个人信息保护的力度,更为细致的维护、保护网络空间公民的合法权益,也使得我们自己从以前的事不关己开始转变对自己的个人信息产生了更加明确更加坚定的保护意识,这是最为重要的。
最后我们需要总结说明的是,《网络安全法》不是网络安全立法的终点,相反,他是立法的起点,这部法律顺应了网络空间安全化、法制化的发展趋势,不仅对国内网络空间治理有重要的作用,同时也是国际社会应对网络安全威胁的重要组成部分,更是中国在迈向网络强国道路上至关重要的阶段性成果,它意味着建设网络强国、维护和保障我国国家网络安全的战略任务正在转化为一种可执行、可操作的制度性安排。尽管《网络安全法》只是网络空间安全法律体系的一个组成部分,但它是重要的起点,是依法治国精神的具体体现,是网络空间法制化的里程碑,标志着我国网络空间领域的发展和现代化治理迈出了坚实的一步。