(三)网安法律法规解读——《网络安全法》
上一篇介绍了网安立法过程、重要的几个法律法规,以及对《国家安全法》、《网络安全等级保护基本要求》的简单解读。
本篇开始将陆续完成 《网络安全法》、《关键信息基础设施安全保护条例》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》的个人解读。
3、《网络安全法》
3.1、概述
《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。
在历时一年多的立法过程后,《网络安全法》于2016年11月由全国人大表决通过,
并将于2017年6月正式生效。
3.2、结构
3.3、关键点解读
《网络安全法》七章79条,个人的理解,其中的主要关键点包含对 网络运营者、关键基础设施运营者、网络产品和服务提供者 三个主体的安全要求,其中除了基本安全要求(如等级保护)还要针对关键基础设施、个人信息的保护要求。
1)、网络运营者
网络运营者指网络的所有者、管理者和网络服务提供者,需遵循部分主要集中在第三章 网络运行安全 中 一般规定、第四章 网络信息安全,主要内容概况如下:
- 按照国家要求实行网络安全等级保护制度,从安全管理、安全技术、数据安全等角度履行相应的安全义务。
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规
规定的其他义务。
- 网络运营者对个人信息保护的义务
网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。遵循合法、正当、最小必要原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;采取技术措施和其他必要措施,确保其收集的个人信息安全。
2)关键基础设施运营者
在第三章网络运行安全中,第二小节特地写了关键信息基础设施的运行安全。
关键基础设施指对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。也为后来的《关基保护条例》奠定了基础。
提出了安全建设、安全保护、安全审查、数据安全、境内存储、检测评估等系列要求。
关键信息基础设施的具体范围和安全保护办法由国务院制定,企业可对自身业务的类型、数据敏感性、用户规模、安全风险等角度进行评估。
3)网络产品和服务提供者
针对乙方提供安全产品和安全服务的,应当符合国标的强制性要求、及时告知漏洞风险、不得擅自终止维护、专用产品经过安全检测和认证、专用产品需要签署保密协议(针对关基设施)。
第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
第二十三条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
第三十六条 关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
本文来自博客园,作者:人间修行,转载请注明原文链接:https://www.cnblogs.com/ffx1/p/15965720.html