1、中华人民共和国网络安全法解读1法律要点2守法要点 网络安全法是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。网络安全法将近年来一些成熟的好做法制度化,并为将来可能的制度创新做了原则性规定,为网络安全工作提供切实法律保障。法律要点法律要点1 目 标保障网络安全,维护网络空间主权和国家安全、社会共公利益,保护公民、法人和其他组织合法权益,促进经济社会化发展。在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。法律条文:共7章,79条2016年11
2、月7日发布2017年6月1日起实施2 范 围3 总 览法律要点亮点一明确了网络空间主权的原则亮点二明确了网络产品和服务提供者的安全义务亮点三明确了网络运营者的安全义务亮点四进一步完善了个人信息保护规则亮点五建立了关键信息基础设施安全保护制度亮点六确立了关键信息基础设施重要数据跨境传输的规则4 六大亮点法律要点法 律体 系网络安全法构成我国网络空间安全管理的基本法律,与国家安全法、反恐怖主义法、刑法、保密 法、治安管理处罚法、关于加强保护 的决定 、关于维护互联网安全的决定、计算机信息系统安全保护条例、互联网信息服务 管理办法等现行法律法规共同构成中国关于网络安全管理的法律体系。配 套法 规国务
3、院及相关的部门会制定和分布一系列的配套法律法规,比如网络安全等级保护制度、关键信息基础设施的认定和保护办法、数据跨境传输的安全评估办法、网络产品和服务 的国家安全审查制度等,数量 上可能会达十余部。域 外管 辖网络安全法采取了有限的域外管辖原则,依照法七十五条,境外的主体实施入侵或攻击境内关键信息设施的活动,造成严重后果的,依法追究法律责任,且中国执法机关可实施财产冻结等制裁措施,这是为应对日益严重的全球网络安全威胁的需要。适 用管 辖在中华人民共和国境内建设 、运营维护和使用网络,以及网络安全的监督管理,适用本法。法律要点 目 标u 保障网络安全,维护网络空间主权和国家安全、公共权益 ,保护
4、合法权益等 国家职责u 网络安全与信息化发展并重u 制定、完善网络安全战略u 监测、防御、初置网络安全风险及威胁u 倡导诚实守信、健康文明的网络行为u 积极推进国际交流与合作u 国家网信部门负责统筹协调,国务院电信主管部门、公安部等各司其职目 标国 家职 责法律要点 网络运营职责u 遵守法律、行政法规,履行网络安全保护义务u 接受政府和社会的监督,承担社会责任u 保障网络安全、稳定运行,维护网络数据的完整性、保密性和可用性 行业组织职责u 网络相关行业组织按照章程,加强行业自律 ,制定网络安全行为规范,指导相关人员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。网 络运 营行 业组
5、织法律要点VS解 读 网络安全等级保护制度u 第二十一条规定,国家实行网络安全等级保护制度。安全保护义务包括:1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;2)采取防范计算机病毒和操作规程,确定安全负责人,落实网络安全保护责任;3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;4)采取数据分类、重要数据备份和加密等措施;5)法律、行政法规规定的其他义务。 信息系统安全等级保护制度已实施多年,网络安全等级保护制度应当会与目前的信息系统安全等级保护制度相衔接和融合,而不会成为两个并行的制度体系。法律要点 网络产品和服务
6、u 符合相关国家标准的强制性要求;u 不得设置恶意程序;u 发现存在安全缺陷、漏洞等风险时,应立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;u 持续提供安全维护,在规定或者在当事人约定的期限内,不得终止提供安全维护;u 用户信息和个人信息合规。 网络关键设备和网络安全专用产品u 应当按相关国家标准的强制性要求,由具备资格的机构安全认证合格或安全检测符合要求后,方可销售或提供;u 国家网信部门会同国务院有关部门制定、公布网络关键网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。法律要点 网络实名制u 网络运营者为用户办理网络接入、域名注册服务,办理固定电话
7、、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。u 国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。 关键信息基础设施范围u 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业等实施重点保护。u 国务院另行制定关键信息基础设施的具体范围和安全保护办法。法律要点 法律义务u 建设要求:业务运行稳定可靠,安全技术措施同步规划、同步建设、同步使用。u 安全保护:专门的安全负责人;安全教
8、育、培训、考核;容灾备份;应急预案、定期演练。u 安全审查:采购网络产品和服务,应当通过国家安全审查。u 保密要求:签订安全保密协议,明确安全和保密义务与责任。u 境内存储:个人信息和重要数据应当在境内存储。u 检测评估:每年至少进行一次检测评估,报送检测评估情况和改进措施;u 统筹协调:国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取措施。 关键信息基础设施安全保护措施u 进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;u 定期组织安全应急演练,提高应对网络安全事件的水平和协同配合能力;u 促进有关部门、关键信息基础设施的运营者以及
9、有关研究机构、网络安全服务机构等之间的网络安全信息共享;u 对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。法律要点 数据保护范围:个人信息保护、用户信息保护和商业秘密保护。 用户信息:包括IP地址、用户名、密码、上网时间、Cookie信息等。 个人信息:包括但不限于姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 商业秘密:是指不为公众所知悉、能为权利人带来经济利益,具有实用性并权利人采取保密措施的技术信息和经营信息。 用户信息保护要点u 收集:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;u 保护:网络运营者应当对其收集的用户信息
10、严格保密,并建立健全用户信息保护制度; 商业秘密保护要点u 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或非法向他人提供。法律要点 个人信息保护:与以往法律法规相比,增加了删除权和更正权:u 应当遵守本法和有关法律、行政法规的规定(电信和互联网用户个人信息保护规定)。u 收集、使用个人信息:应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。u 不得泄露、篡改、毁损其收集的个人信息:1)采取技术措施和其他必要措施保护;2)若泄漏,立即采取补救措施,告知用户并向有关
11、主管部门报告。u 未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。u 个人信息主体拥有删除权(保护使用不当)和信息有误的更正权。u 不得非法获取、窃取,不得非法出售、非法向他人提供。u 管理部门不得泄露履行职责中知悉的个人信息。法律要点 数据本地化:u 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。u 因业务需要,确需向境外提供的,应当进行安全评估;法律 行政法规定另有规定的,依照其规定。 其他规定:u 下列数据在其他法律里有本地化要求:国家秘密和国家安全数据、征信数据、个人金融信息、地图数据、网络出版
12、服务所需的必要的技术设备、网约车相关数据和信息。 网络行为要求u 任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或销售违禁物品、管制物品以及其他 违法犯罪活动的信息。法律要点 行政处罚:u 责令改正、警告、罚款;u 责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照,对直接负责的主管人员等进行罚款等;u 有关机关还可以把违法行为记录到信用档案;u 对于“非法入侵”等,法律还建立了职业禁入的制度。 民事责任:u 违法网络安全法的行为给他人造成损失的,网
13、络运营者应当承担相应的民事责任。 治安管理处罚/刑事责任u违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。法律要点守法要点1)与实施网络安全等级保护 制度相关的义务和制度建设,包括制定内部安全管理制度和操作规程,确定网络安全负责人等;2)健全用户信息保护制度;3)落实网络实名制;4)网络安全事件应急预案;5)关键信息基础设施的安全保护义务,包括:设置专门安全管理机构和安全管理负责人,定期对从业人员进行网络安全教育、技术培训和技能考核,对重要系统和数据库进行容灾备份,制定网络安全事件应急预案、并定期进行演练,法律、行政法规规定的其他义务;6)采购关键信息
14、基础设施产品和服务的保密制度;7)关键信息基础设施安全性的年度评估;8)个人信息的收集和利用规则及制度;9)个人信息泄露事件的报告制度;10)违法使用俱信息删除和错误个人信息更正制度;11)网络运营者对用户非法信息传播的监管;12)网络信息安全投诉、举报制度。网络运营者法律合规要求需要网络运营者建立 企业的管理制度和操作规程,以满足法律合规性的要求 ,避免法律风险,主要包括如下内容:守法要点 产品研发:u 符合相关国家标准的强制性要求。不得设置恶意程序;发现存在安全缺陷、漏洞等风险时,应当立即采取补救措施,及时告知用户并向有关主管部门报告;u 持续提供安全维护,在规定或约定的期限内,不得终止提供安全维护;u 网络关键设备和网络安全专用产品安全认证或安全检测符合要求 后,方可销售。 个人:u 规范上网行为:p诈骗、传授诈骗方法、制售违禁物品;p不得危害网络安全(入侵、窃取等)、国家安全;p不得发布不良信息;p不得侵犯他人权益。u 不为上述违法行为提供便利。守法要点21Thank you!
