网络安全法规--简要

网络安全法

网络安全法发展历程

  • 2014.2

中央网络安全和信息化领导小组成立,标志着我国把网络安全提升到了国家安全的高度并开始酝酿网络安全法编写工作

  • 2015.6

十二届全国人大常委会审议了《网络安全法(草案)》

  • 2016.7

二次审议稿正式在中国人大网公布,并向社会公开征求意见

  • 2016.11.7

历经全国人大常委会两次审议的关于我国网络安全管理的法律《中华人民共和国网络安全法》最终审议通过

  • 2017.6.1

2017年6月1日起《中华人民共和国网络安全法》正式实施

我国网络安全法治建设的发展历程

  • 通信保密安全

保守国家秘密法(1989)(2010年修订)

  • 计算机信息系统安全

保护条例(草案)-86计算机安全计算机信息系统安全保护条例(1994)计算机信息系统安全专用产品检测和销售许可证管理办法-97

  • 网络信息系统安全

关于维护互联网安全的决定(2000)互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网保密管理规定-00

  • 网络空间安全

网络安全法(2016年)国家安全法(2015年)刑法修正案(七)刑法修正案(九)

网络安全法简介

  我国第一部网络安全领域的法律是保障网络安全的基本法。

  • 网络安全法不是网络安全立法的终点,相反,是网络安全立法的起点
  • 与《网络安全法》相关的法律有《国家安全法》,《保密法》,《反恐怖主义法》,《反间谍法》,《刑法修正案》(九),《治安管理处罚法》,《电子签名法》等。这些法律与网络安全法不是上位法和下位法的关系,同属同一法律位阶
  • 网络安全法是我国网络安全管理的基础法律,与其它相关法律在相关条款和规定上互相衔接,互为呼应,共同构成了我国网络安全管理的综合法律体系
  • 网络安全法也是在现行的一些制度的基础上,例如《关于加强网络信息保护的决定》、《计算机信息系统安全保护条例》、《互联网信息服务管理办法》等,上升和完善的成果,为更好的开展网络安全工作提供了法律保障。

解决的重要基础性问题

  • 基本原则:网络空间主权原则、网络安全与信息化发展并重原则、共同治理原则;
  • 明确了政府各部门的职责权限,完善了网络安全监管体制(第8条);
  • 强化网络运行安全,重点保护关键信息基础设施;
  • 完善网络安全义务和责任,加大了违法惩处力度;
  • 将监测预警与应急处置措施制度化、法制化。

法律内容解读

  第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

  1. 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
  2. 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
  3. 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
  4. 采取数据分类、重要数据备份和加密等措施;
  5. 法律、行政法规规定的其他义务。

数据保护

  • 数据保护范围:个人信息保护、用户信息保护和商业秘密保护。
  • 用户信息:引入了“用户信息”的概念,可以理解为在用户使用产品或服务过程中收集的信息构成用户信息,包括IP地址、用户名和密码、上网时间、Cookie信息等。
  • 个人信息:个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
  1. 应当遵守本法和有关法律、行政法规的规定。《电信和互联网用户个人信息保护规定》
  2. 收集、使用个人信息:应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
  3. 不得泄露、篡改、毁损其收集的个人信息:1)采取技术措施和其他必要措施保护;2)若泄露,立即采取补救措施,告知用户并向有关主管部门报告。
  4. 未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
  5. 个人信息主体拥有删除权(保护使用不当)和更正权(有误)6.不得非法获取、窃取,不得非法出售、非法向他人提供7.管理部门不得泄露履行职责中知悉的个人信息
  • 商业秘密:是指不为公众所知悉、能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。

网络运营者法律合规要求

需要网络运营者建立企业的管理制度和操作规程,以满足法律合规性的要求,避免法律风险,主要包括如下:

  1. 与实施网络安全等级保护制度相关的义务和制度建设,包括制定内部安全管理制度和操作规程,确定网络安全负责人等(第二十一条);
  2. 健全用户信息保护制度(第二十二条和第四十条);
  3. 落实网络实名制(第二十四条);
  4. 网络安全事件应急预案(第二十五条);
  5. 关键信息基础设施的安全保护义务,包括:设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练;法律、行政法规规定的其他义务(第三十四条);

网络运营者法律合规要求

  1. 采购关键信息基础设施产品和服务的保密制度(第三十六条);
  2. 关键信息基础设施安全性的年度评估(第三十六条);
  3. 个人信息的收集和利用规则及制度(第四十一条和第四十二条);
  4. 个人信息泄露事件的报告制度(第四十二条);
  5. 违法使用个人信息删除和错误个人信息更正制度(第四十三条);
  6. 网络运营者对用户非法信息传播的监管(第四十七条);
  7. 网络信息安全投诉、举报制度(第四十九条)。

责任义务

明确禁止的“七类行为”

  1. 不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;
  2. 不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;
  3. 明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助;
  4. 不得窃取或者以其他非法方式获取个人信息,非法出售或者非法向他人提供个人信息;
  5. 不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组;
  6. 不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息;
  7. 发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。

规范上网行为

  • 不得在网上随意发布公共信息和在网上散布谣言;
  • 不得欺诈他人、传授诈骗方法、制售违禁物品;
  • 不得盗用他人网上地址和账号;
  • 不得制作、传播网络病毒;
  • 不得发布不良信息;
  • 不得浏览黄色或反动网站及各种有害信息;
  • 不得破坏网络设备和程序;
  • 不得随意公布个人和家庭信息等;
  • 不得危害网络安全(入侵、窃取、攻击、篡改、删除等)、国家安全;
  • 不得侵犯他人权益;
  • 不为上述违法行为提供便利
posted @ 2021-11-14 12:08  sha0dow  阅读(76)  评论(0编辑  收藏  举报