《网络安全法》来了,你应该知道的几件事儿-k8凯发天生赢家

《网络安全法》来了,你应该知道的几件事儿
作者:杨海峰 发布时间:2017-12-31

功归一载,利在千秋——《网络安全法》的前生今世

2003年,中办23号文《国家信息化领导小组关于加强信息安全保障工作的意见》提出“抓紧研究起草《信息安全法》”的要求。

2008年,国务院信息办职能整体划转至工业和信息化部,有关方面意识到制定条例未必就比人大立法容易,且国务院行政法规无力调整现行上位法的法律规定,遂决定返回制定信息安全法。

2014年,中央网络安全和信息化领导小组成立后,网络安全就被提到了前所未有的高度。以依法治网为例,国家先后出台“微信十条”“约谈十条”,推动网站依法办网。“净网”“剑网”“护苗”等专项整治活动相继展开,“七条底线”“账号十条”引导网民依法上网,桩桩件件推动依法治网成为“新常态”。

2015年6月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》。

2015年7月6日起,网络安全法草案在中国人大网上全文公布,并向社会公开征求意见。征求意见截止日期为2015年8月5日。

2016年11月7日,全国人民代表大会常务委员会于表决通过了网络安全法,标志着我国网络领域步入了一个全新的法治时代。

2017年6月1日,《网络安全法》正式施行。

企业和个人,不得不知的相关条款

公众对于网络安全的诉求是:个人信息不被泄露。

企业对于信息安全的诉求是:公司信息不被窃取,不能泄露,关键性技术信息不可以被广泛传播。

《网络安全法》亮点

《网络安全法》正式施行,呈现六大亮点:

1、明确了网络空间主权的原则;

2、明确了网络产品和服务提供者的安全义务;

3、明确了网络运营者的安全义务;

4、进一步完善了个人信息保护规则;

5、建立了关键信息基础设施安全保护制度;

6、确立了关键信息基础设施重要数据跨境传输的规则。

企业和个人不得不知道的条款

2016年我们的网民总数量已经超过的7亿。但是,根据中国互联网协会发布的《中国网民权益保护调查报告(2015)》,63.4%的网民通话记录、网上购物记录等信息遭泄露;78.2%的网民个人身份信息曾遭泄露,因个人信息泄露、垃圾信息、诈骗信息等导致的总体损失约805亿元。当信息被信息黑市交易,个人会遭受损失,企业的经营活动会被胁迫和勒索,国家的安全将会受到威胁。

《网络安全法》共计七十九条,对网络安全各方面事项行了规定。接下来我们从安全企业和个人信息保护的视角重点关注网安法以下条款:

《网络安全法》第二十一条——将等级保护制度上升到了法律高度。其中提到几个重点的信息包括:采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并留存网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施。

《信息安全等级保护管理办法》将网络安全进行了等级划分,共分为五个保护等级。以三级等保为例,其中要求安全产品必须有国内公司研制,产品核心技术有我国自主知识产权。基本上国有企业和大型企业,都在三级等保或是三级以上等保的范围内,这将是国产安全公司的机会,以安华金和为例,从成立至今始终以技术研发为导向,从产品到技术都是建立在自主知识产权之上。

《网络安全法》第二十三条规定了安全产品要经检测:网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或提供。该条款的含义,就是要正规化,对不具备检测要求的厂商基本宣布了死刑。

《网络安全法》第二十三条规定了实名制,要求网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务时,应当要求用户提供真实身份信息。该条款可以有效遏止网络诈骗、电信诈骗等行为。

《网络安全法》第二十七条明确规定:不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供k8凯发天生赢家的技术支持、广告推广、支付结算等帮助。过去,一些涉及网络安全的案件难以被定责,如今该条款的存在,明确界定了网络犯罪的范围和罪责。

《网络安全法》第三十一条,规定对关键信息基础设施的运行安全,进行重点保护。【 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。】

本条款强调了必须落实网络安全等级保护制度,并进行重点保护。等级保护与关键信息基础设施之间的关系是相辅相成的,每一个不同的级别对基本的网络安全技术细节也做了说明。并非每一个安全公司,都有能力服务于有等保要求的企业,安华金和作为国内数据库安全领域的领导企业,拥有两大信息安全政策领域独特领先优势,拥有等保专用数据库风险等级评估检测工具,产品与k8凯发天生赢家的解决方案符合网络安全法和等保要求。

《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

本条款强化了个人信息保护的知情同意和特定目的原则;确定了网络运营者收集个人信息必须遵循合法、正当、必要原则,强调了个人信息收集过程中的透明度,和用户自主选择权,同时强调了信息采集者必须合法使用和保存个人信息。那些利用其“垄断地位”或“霸王条款”强制用户同意采集信息的网络运营者需要注意啦,再如此任性可就违法啦。

《网络安全法》第四十二条规定:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

本条款也被称作“大数据条款”,在强调保护个人信息的同时,有建设性的提出了“经过处理无法识别特定个人且不能复原的”除外,为个人信息数据在使用、交换和交易过程的合法性提供了法律依据,并要求:个人信息数据匿名化处理,技术上就是通过采用数据脱敏产品或技术手段,将涉及个人隐私的敏感数据进行脱敏处理,保证脱敏后的数据不能再识别出特定个人,并且信息不可逆(不可通过技术手段复原)。

另外,脱敏技术也可以被应用在日常的数据维护过程中,对于金融、医疗健康、零售、游戏等需要收集大量用户个人信息的网络系统,在系统数据库日常维护过程中同样需要防止个人隐私数据的泄漏,通过采用具有动态脱敏能力的产品或技术手段,可以有效地避免数据泄露,降低运维安全风险,更为运维者提供了免责的技术保障。

同时,本条款作为个人信息保护的核心内容,明确了网络运营者对个人信息保护的责任:有必要采取技术措施保护个人信息,确保其收集的个人信息安全,通过采用监控、审计等技术手段及时发现和记录异常行为,为主管部门进行追责和定责提供数据依据。建议网络运营者采用专门的安全产品保护个人信息:数据脱敏系统(最好具有动态脱敏能力)、数据安全运维系统(最好具有监控和审计能力)

公民个人信息的主要泄露途径是网络,个人信息泄露问题严重,会直接造成网络诈骗多发态势,严重危及到人民群众的财产安全乃至生命安全。不堪网络诈骗而自杀的事件频见报端,引发社会舆论的强烈反响。打击网络犯罪,成为沸腾的民意。

针对个人信息泄露和网络诈骗问题,《网络安全法》第四十四条明确规定:任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。违者将可能被追究民事责任或刑事责任。相信《网络安全法》的正式实施将大力打击个人信息泄露和买卖现象。

推动安全行业发展

《网络安全法 》的出台,必将促进安全行业的发展。国家以法律的形式开始定义和宣传网络安全观念,培养公众的安全意识。这样就为安全行业的发展提供了更加有序的空间。也必将带来一系列的行业规范生成,促进各个行业的安全意识增强。作为信息安全事业的一份子,安华金和将遵照《网络安全法》精神,为打造安全而自由的数据使用生态而不懈努力。


网站地图