05-网络空间安全概述05-网络空间安全法律法规3

网络空间安全概述05

网络空间安全法律法规（3）了解《中华人民共和国网络安全法》相关内容教学目标解决的重要基础性问题法律内容解读法律责任目录基本原则：网络空间主权原则、网络安全与信息化发展并重原则、共同治理原则；明确了政府各部门的职责权限，完善了网络安全监管体制（第8条）；强化网络运行安全，重点保护关键信息基础设施；完善网络安全义务和责任，加大了违法惩处力度；将监测预警与应急处置措施制度化、法制化。解决的重要基础性问题解决的重要基础性问题法律内容解读法律责任目录总则：明确网络空间主权原则法律内容解读国家网络安全责任机构组织法律内容解读网络安全等级保护制度1）信息系统安全等级保护制度已实施多年，网络安全等级保护制度应当会与目前的信息系统安全等级保护制度相衔接和融合，而不会成为两个并行的制度体系。2）网络安全≠信息安全特别强调网络安全不等于信息安全，两者有大幅的交集，但网络安全有特殊的内涵，包括网络的使用、运营。国家对网络的主权，符合国际惯例和一般做法。法律内容解读网络实名制网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。已有法律法规对实名制进行规定：2016年1月1日实施《中华人民共和国反恐怖主义法》2015年实施的《互联网用户账号名称管理规定》2016年实施的《移动互联网应用程序信息服务管理规定》法律内容解读关键基础设施关键信息基础设施定义：“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”法律内容解读关键信息基础设施安全保护条例（征求意见稿）法律内容解读关键信息基础设施保护法律内容解读关键信息基础设施保护法律内容解读数据保护数据保护范围：个人信息保护、用户信息保护和商业秘密保护。用户信息：引入了“用户信息”的概念，可以理解为在用户使用产品或服务过程中收集的信息构成用户信息，包括IP地址、用户名和密码、上网时间、Cookie信息等。个人信息：个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。商业秘密：是指不为公众所知悉、能为权利人带来经济利益，具有实用性并经权利人采取保密措施的技术信息和经营信息。法律内容解读商业秘密保护要点依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。用户信息保护要点收集：网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；保护：网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。法律内容解读个人信息保护应当遵守本法和有关法律、行政法规的规定。《电信和互联网用户个人信息保护规定》收集、使用个人信息：应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。不得泄露、篡改、毁损其收集的个人信息：1）采取技术措施和其他必要措施保护；2）若泄露，立即采取补救措施，告知用户并向有关主管部门报告。未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。个人信息主体拥有删除权（保护使用不当）和更正权（有误）不得非法获取、窃取，不得非法出售、非法向他人提供管理部门不得泄露履行职责中知悉的个人信息法律内容解读数据本地化关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当进行安全评估；法律、行政法规另有规定的，依照其规定。下列数据在其它法律里有本地化要求：国家秘密和国家安全数据、征信数据、个人金融信息、地图数据、网络出版服务所需的必要的技术设备、网约车相关数据和信息。法律内容解读以数据为中心的安全《网络安全法》对数据安全和数据保护也给予了关注。第二十一条对数据安全作出明确说明：网络运营者应当按照网络安全等级保护制度的要求，防止网络数据泄露或者被窃取、篡改。采取数据分类、重要数据备份和加密等措施。第四章40-45,大篇幅地强调个人信息（个人数据）安全，强调数据的脱敏。网络安全法近似等于等级保护加数据安全。第18条，鼓励数据安全行业发展。法律内容解读网络行为要求任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。法律内容解读网络运营者法律合规要求需要网络运营者建立企业的管理制度和操作规程，以满足法律合规性的要求，避免法律风险，主要包括如下：与实施网络安全等级保护制度相关的义务和制度建设，包括制定内部安全管理制度和操作规程，确定网络安全负责人等（第二十一条）；健全用户信息保护制度（第二十二条和第四十条）；落实网络实名制（第二十四条）；网络安全事件应急预案（第二十五条）；关键信息基础设施的安全保护义务，包括：设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；定期对从业人员进行网络安全教育、技术培训和技能考核；对重要系统和数据库进行容灾备份；制定网络安全事件应急预案，并定期进行演练；法律、行政法规规定的其他义务（第三十四条）；法律内容解读网络运营者法律合规要求采购关键信息基础设施产品和服务的保密制度（第三十六条）；关键信息基础设施安全性的年度评估（第三十六条）；个人信息的收集和利用规则及制度（第四十一条和第四十二条）；个人信息泄露事件的报告制度（第四十二条）；违法使用个人信息删除和错误个人信息更正制度（第四十三条）；网络运营者对用户非法信息传播的监管（第四十七条）；网络信息安全投诉、举报制度（第四十九条）。法律内容解读网络运营者的安全义务法律内容解读网络产品、服务提供者的安全义务法律内容解读一般性安全保护义务法律内容解读产品研发符合相关国家标准的强制性要求。不得设置恶意程序；发现存在安全缺陷、漏洞等风险时，应当立即采取补救措施，及时告知用户并向有关主管部门报告。持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。网络关键设备和网络安全专用产品安全认证合格或者安全检测符合要求后，方可销售个人规范上网行为：诈骗、传授诈骗方法、制售违禁物品；不得危害网络安全（入侵、窃取等）、国家安全；不得发布不良信息；不得侵犯他人权益；不为上述违法行为提供便利法律内容解读网络信息安全—个人信息保护法律内容解读网络安全审查制度2017年05月02日中央网信办正式发布《网络产品和服务安全审查办法（试行）》。其中就审查的目的、需要审查的网络产品和服务的范围、网络安全审查的管理部门（网络安全审查委员会）、审查的机构（国家统一认定网络安全审查第三方机构）