《网络空间安全导论》 课件全套 01-36 网络空间安全概述 -新业务场景下的安全_第1页
《网络空间安全导论》 课件全套 01-36 网络空间安全概述 -新业务场景下的安全_第2页
《网络空间安全导论》 课件全套 01-36 网络空间安全概述 -新业务场景下的安全_第3页
《网络空间安全导论》 课件全套 01-36 网络空间安全概述 -新业务场景下的安全_第4页
《网络空间安全导论》 课件全套 01-36 网络空间安全概述 -新业务场景下的安全_第5页
已阅读5页,还剩1047页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

网络空间安全概述01

信息时代与信息安全了解信息时代背景下信息安全的形势及特点教学目标信息时代与产业空前繁荣信息安全形势严峻我国重视信息安全目录信息技术与产业空前繁荣我国信息技术与产业的发展我国已经成为信息技术与产业大国,正逐步成为世界信息技术与产业强国。目前,大多数的中低档电子信息产品的产量和拥有量,我国都是世界第一。部分高端电子信息产品的产量和拥有量,我国也处于世界领先水平。信息技术与产业空前繁荣我国信息技术与产业的发展早在2001年,我国的手机拥有量就超过了美国,达到1.2亿部,位居世界第一。2018年,美国打压中国华为。2019年,华为的业务不降反升,仅2019年上半年,华为公司的产值就超过了4000亿元,生产销售手机1.1亿部,比2018年同期增长24%。2021年国内市场手机出货量3.51亿部,5G手机占比75.9%。信息技术与产业空前繁荣我国信息技术与产业的发展我国的计算机产量和拥有量也是世界第一,且生产了世界70%以上的计算机。但由于CPU等核心芯片和操作系统等基础软件采用国外产品,使得我国只占有其中17%的利润,83%的利润是国外的。2018年8月,中国科学院宣布中国已经研制出超导集成电路,并完成测试以及超导计算机体系结构设计。在通信领域,我国华为公司在5G技术方面独占世界鳌头,而且在算法、芯片、操作系统等核心技术方面拥有自主知识产权。信息技术与产业空前繁荣我国信息技术与产业的发展我国的超级计算机技术居世界领先水平。信息技术与产业空前繁荣我国信息技术与产业的发展我国的量子信息技术在一些领域居世界领先水平。早在2009年,量子密钥分发技术就已经在安徽芜湖电子政务系统中得到实际应用。2016年8月,我国发射了世界第一颗量子科学实验卫星“墨子号”。2017年,中国科学技术大学研制出10个光量子的量子计算机,计算能力超过以前的同类量子计算机。信息时代与产业空前繁荣信息安全形势严峻我国重视信息安全目录信息安全形势严峻当前,一方面是信息技术与产业的空前繁荣,另一方面是危害信息安全的事件不断发生。敌对势力的破坏、黑客入侵、病毒入侵、利用计算机犯罪、网络上的有害内容泛滥、隐私泄露等事件,对信息安全构成了极大的威胁,信息安全的形势是非常严峻的!信息安全形势严峻敌对势力的破坏2013年6月被曝光的“棱镜门”事件信息安全形势严峻敌对势力的破坏2017年3月,维基解密称,他们获得了几千份美国中央情报局(CIA)在2013-2016年的网络攻击活动秘密文件。这些文件不仅显示了CIA具有网络攻击的巨大能力,拥有庞大的黑客攻击武器库,能够攻击基于Windows、Android、iOS、OSX、Linux的各种信息系统,包括计算机、路由器、手机、车载系统和家用电器等。2020年3月,360公司披露,从2008年9月到2019年6月,美国中央情报局使用网络攻击武器“Vault7”持续对中国政府机构、航空航天、科研机构、石油行业、大型互联网公司等实施网络攻击。信息安全形势严峻敌对势力的破坏2021年1月,《华盛顿邮报》披露,美国国家安全局曾成功入侵华为公司的设备,并制定了秘密网络攻击计划“Shotgiant”,对华为在中国的电信设施实施网络窃密。2022年4月,中国国家计算机病毒应急处理中心就美国政府对各国开展网络攻击发出预警并发布相关报告,曝光了美国政府专用的“轻量化”网络武器,以及在全球范围部署网络攻击平台,并在法国、德国、加拿大、土耳其、马来西亚等设置多层跳板服务器和VPN通道。对此,外交部发言人汪文斌4月20日在例行记者会上应询表示,中方对美国政府不负责任的恶意网络活动表示严重关切,敦促美方作出解释,并立即停止相关恶意活动。信息安全形势严峻黑客攻击2007年,黑客入侵加拿大一个水利SCADA控制系统,破坏了取水调度的控制计算机。2008年,黑客入侵波兰某城市地铁系统,通过电视遥控器改变轨道扳道器,致使4节车厢脱轨。2010年,黑客入侵伊朗布什尔核工厂的工业控制计算机,利用Stuxnet病毒,摧毁了其大部分的铀浓缩离心机,重挫了伊朗的核计划。2011年,黑客入侵美国伊利诺伊州城市供水系统的数据采集与监控系统,使其供水泵遭到破坏。2012年,黑客入侵两座美国电厂,利用USB病毒感染了每个工厂的工控系统,影响了正常发电,并窃取了经济数据。信息安全形势严峻黑客攻击2015年,乌克兰西部电力系统遭受黑客攻击,造成大面积停电,影响了140万人,停电时间长达6小时。2019年3月,委内瑞拉遭到美国网络黑客攻击,全国出现大规模停电,直接导致交通、医疗、通信及基础设施的瘫痪。2020年2月,在中国境内疫情期间,境外多个国家和地区对中国发动网络攻击,越南“海莲花”黑客组织利用疫情话题攻击我国政府机构,印度“白象”黑客组织借新冠肺炎对我国发起攻击,台湾“绿斑”黑客团伙的利用虚假“疫情统计表格”和“药方”窃取情报。2021年3月,中国台湾PC制造厂商宏碁遭到黑客入侵被勒索赎金5000万美元,赎金约合人民币3.25亿元创下最高纪录。信息安全形势严峻病毒入侵计算机病毒入侵是人们普遍遭受过的信息安全事件,病毒等恶意代码也是黑客的主要武器之一。目前,恶意软件的开发、生产、销售,已经形成了一条地下产业链。计算机病毒既可以成为软件形式,也可以成为硬件形式。信息安全形势严峻利用计算机进行经济犯罪利用计算机进行经济犯罪的数量已经超过了传统经济犯罪的数量。目前,网上银行和电信诈骗是恶性案件的高发区。钓鱼网站、伪造银行卡、网络诈骗、电信诈骗等犯罪行为,给人民群众造成了严重的经济损失。信息安全形势严峻网络上的有害内容泛滥信息安全形势严峻隐私保护问题严重2018年3月,爆出美国Facebook公司泄露了8000万用户个人数据的丑闻,给用户造成不可估量的损失。2020年春节前后,新型肺炎疫情引发全民关注,有一个群体成了舆论的中心——武汉返乡人员。1月25日,微博上出现的#武汉返乡人员信息被泄漏#的话题阅读量已经超过2800万,留言反馈者不少是武汉各大高校的学生,超七千武汉返乡者信息泄露。2021年7月,国家网信办对“滴滴出行”实施网络安全审查,并发布通报称,根据举报,经检测核实,“滴滴出行”APP存在严重违法违规收集使用个人信息问题,通知应用商店下架“滴滴出行”APP。信息安全形势严峻信息战、网络战已经开始信息技术的发展推动了军事革命,出现了信息战、网络战等新型战法和网军等新型军兵种。1991年海湾战争时期,美国军方就提出了信息战的概念,并于1995年成立信息作战指导委员会。2009年10月,美国正式成立网络作战司令部。2011年5月16日,美国公布“网络空间国际战略”,7月14日公布“网络空间作战战略”,提出“陆海空天网”五维一体的美国国家安全概念。2017年8月18日,美国总统特朗普批准,将网络作战司令部升级为美国第十个联合作战司令部之一,地位与中央作战司令部等主要作战司令部持平。2018年,特朗普又赋予军方可以不受阻挠地部署网络武器的自由。信息安全形势严峻科学技术的进步对信息安全的挑战量子通信、云计算、物联网、大数据、人工智能等新技术、新热点,对信息安全带来了新挑战。我国在信息领域核心技术的差距,加剧了我国信息安全的严峻性CPU芯片、操作系统、数据库等基础软件和EDA等关键应用软件方面大量使用国外产品。信息时代与产业空前繁荣信息安全形势严峻我国重视信息安全目录我国重视信息安全我国政府开展信息安全工作的时间线2002年,党的十六大文件已经把信息安全作为我国国家安全的重要组成部分。2012年,党的十八大文件进一步明确指出,要“高度关注海洋、太空、网络空间安全”。2013年底,中央网络安全与信息化领导小组成立,负责统一领导我国网络安全与信息化工作。2014年,习近平总书记在中央网络安全与信息化领导小组第一次会议上指出:“没有网络安全,就没有国家安全。没有信息化,就没有现代化”。我国重视信息安全我国政府开展信息安全工作的时间线2016年11月7日,《中华人民共和国网络安全法》颁布,这是确保我国网络安全的基本法律,于2017年6月1日正式施行。2016年12月27日,国家互联网信息办公室和中央网络安全与信息化领导小组办公室联合发布了我国的《国家网络空间安全战略》,文件明确了确保我国网络空间安全和建设网络强国的战略目标。2017年3月1日,外交部和国家互联网信息办公室共同发布了《国家网络空间国际合作战略》,文件明确规定了我国在网络空间领域开展国际交流合作的战略目标和中国主张。我国重视信息安全我国政府开展信息安全工作的时间线2018年3月21日,中央决定:中央网络安全与信息化领导小组改组为中央网络安全与信息化委员会,负责相关领域重大工作的顶层设计、总体布局、统筹协调、整体推进、监督落实。这一变动意味着,其指导网络安全和信息化的职能将进一步加强。2018年4月20日,习近平总书记在网络安全与信息化委员会工作会议上指出:“要主动适应信息化要求,强化互联网思维,不断提高对互联网规律的把握能力、对网络舆论的引导能力、对信息化发展的驾驭能力、对网络安全的保障能力。核心技术是国之重器。没有核心技术,只能受制于人。要下决心、保持恒心、找准重心,加速推动信息领域核心技术突破。”我国重视信息安全我国政府开展信息安全工作的时间线2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,于2019年12月1日开始实施。2019年10月26日,《中华人民共和国密码法》正式通过,于2020年1月1日起正式施行。2020年4月27日,国家网信办等十二部门联合印发《网络安全审查办法》。我国重视信息安全我国政府开展信息安全工作的时间线2021年6月10日,《中华人民共和国数据安全法》由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议中通过并发布,于2021年9月1日起施行。2021年7月30日,国务院发布《关键信息基础设施安全保护条例》,于2021年9月1日开始施行。2021年8月20日,《中华人民共和国个人信息保护法》由第十三届全国人民代表大会常务委员会第三十次会议中通过并发布,于2021年11月1日开始实施。信息时代背景下信息安全的形势及特点总结网络空间安全概述02

网络空间安全学科浅谈引言

网络空间安全事关国家安全、社会稳定、经济发展和公众利益。我们必须加快国家网络空间安全保障体系建设,确保我国的网络空间安全。

确保我国网络空间安全,人才是第一要素。因此,网络空间安全人才培养是我国国家网络空间安全保障体系建设的必备基础和先决条件。网络空间安全学科与专业则是网络空间安全人才培养的基础平台。理解网络空间安全的概念理解网络空间安全学科的内涵熟悉网络空间安全学科的主要研究方向及研究内容教学目标网络空间与网络空间安全的概念网络空间安全学科内涵网络空间安全学科的主要研究方向及研究内容目录网络空间与网络空间安全的概念网络空间(Cyberspace)美国第54号总统令对Cyberspace的定义:Cyberspace是信息环境中的一个整体域,它由独立且互相依存的信息基础设施和网络组成,包括互联网、电信网、计算机系统、嵌入式处理器和控制器系统。中国对Cyberspace的定义:网络空间(Cyberspace)是信息时代人们赖以生存的信息环境,是所有信息系统的集合。网络空间与网络空间安全的概念Cyberspace翻译一翻译二信息空间网络空间突出信息环境和信息系统两大核心内容突出网络互联的重要特性网络空间与网络空间安全的概念网络空间安全网络空间既是人的生存环境,也是信息的生存环境。因此,网络空间安全是人和信息对网络空间的基本要求。网络空间安全的核心内涵是信息安全,没有信息安全就没有网络空间安全。网络空间与网络空间安全的概念网络空间安全学科内涵网络空间安全学科的主要研究方向及研究内容目录网络空间安全学科内涵早期传统的信息安全早期传统的信息安全强调信息(数据)本身的安全属性,认为信息安全主要研究确保信息的以下属性(即CIA):秘密性(机密性或保密性)(Confidenciality):信息不被非授权者知晓。完整性(Intergrity):信息是正确的、真实的、未被篡改的、完整无缺的。可用性(Availability):信息可以随时正常使用。网络空间安全学科内涵信息论的基本观点告诉我们:信息不能脱离它的载体而孤立存在。因此,我们不能脱离信息系统而孤立地谈论信息安全。如果信息系统的安全受到危害,则必然会危害到存在于信息系统之中的信息的安全。因此,应当从信息系统的角度来全面考虑信息安全的内涵。从纵向看,信息系统安全主要包含四个层面:信息系统安全设备安全数据安全行为安全内容安全网络空间安全学科内涵设备安全信息系统设备(硬设备和软设备)的安全是信息系统安全的首要问题,包含三个方面:设备的稳定性:设备在一定时间内不出故障的概率设备的可靠性:设备能在一定时间内正确执行任务的概率设备的可用性:设备随时可以正确使用的概率网络空间安全学科内涵数据安全数据安全是指采取措施确保数据免受未授权的泄露、篡改和毁坏,包含三个方面:数据的秘密性:数据不被非授权者知晓数据的完整性:数据是正确的、真实的、未被篡改的、完整无缺的数据的可用性:数据可以随时正常使用网络空间安全学科内涵行为安全行为安全从主体行为的过程和结果来考察是否会危害信息安全,或者是否能够确保信息安全。从行为安全的角度来分析和确保信息安全,符合哲学上实践是检验真理唯一标准的基本原理。行为安全也包含三个方面:行为的秘密性:行为的过程和结果不能危害数据的秘密性,必要时行为的过程和结果也应是保密的行为的完整性:行为的过程和结果不能危害数据的完整性,行为的过程和结果是预期的行为的可控性:当行为的过程偏离预期时,能够发现、控制或纠正网络空间安全学科内涵内容安全内容安全是信息安全在政治、法律、道德层次上的要求,是语义层次的安全:信息内容在政治上是健康的信息内容符合国家法律法规信息内容符合中华民族优良的道德规范网络空间安全学科内涵关于信息安全的“三大定律”信息安全的普遍性定律:哪里有信息,哪里就有信息安全问题信息安全的中性定律:“安全”与“方便”是一对矛盾信息安全的就低性定律(木桶原理):信息系统的安全性取决于最薄弱部分的安全性从信息论的角度看,确保信息安全,就必须确保信息在存储、传输和处理三种状态下的安全网络空间安全学科内涵网络空间安全学科的定义网络空间全学科是研究信息存储、信息传输和信息处理中的信息安全保障问题的一门新兴学科。网络空间安全学科是融合计算机、通信、电子、数学、物理、生物、管理、法律和教育等学科,并发展演绎而形成的交叉学科。网络空间安全学科与这些学科既有紧密的联系和渊源,又有本质的不同,从而构成一个独立的学科。网络空间与网络空间安全的概念网络空间安全学科内涵网络空间安全学科的主要研究方向及研究内容目录网络空间安全学科的主要研究方向及研究内容网络空间安全学科的主要研究方向密码学网络安全系统安全内容安全信息对抗网络空间安全学科的主要研究方向及研究内容方向一——密码学密码学由密码编码学和密码分析学组成,其中,密码编码学主要研究对明文信息进行编码以实现信息隐藏,而密码分析学主要研究通过密文获取对应的明文信息。密码学研究密码理论、密码算法、密码协议、密码技术以及密码应用等科学技术问题。其主要研究内容有:对称密码公钥密码哈希函数密码协议新型密码:生物密码、量子密码、混沌密码等密码管理密码应用网络空间安全学科的主要研究方向及研究内容方向二——网络安全网络安全的基本思想是,针对不同的应用在网络的各个层次和范围内采取防护措施,以便能够对各种网络安全威胁进行检测发现,并采取相应的响应措施,确保网络设备安全、网络通信链路安全和网络的信息安全。其中,防护、检测和响应都需要给予一定的安全策略和安全机制。网络安全的研究包括网络安全威胁、网络安全理论、网络安全技术和网络安全应用等。其主要研究内容有:网络安全威胁通信安全协议安全网络防护入侵检测与态势感知应急响应与灾难恢复可信网络网络安全管理网络空间安全学科的主要研究方向及研究内容

基本思想:一个系统的安全应该在一个统一的安全策略(Policy)的控制和指导下,综合运用各种安全技术对系统进行防护(Protection),同时利用检测(Detection)工具(如漏洞评估、入侵检测等系统)来监视和评估系统的安全状态,并通过适当的响应(Response)机制来将系统调整到相对“最安全”和“风险最低”的状态。P2DR模型网络空间安全学科的主要研究方向及研究内容方向三——系统安全系统是信息的载体,因此系统应当确保存在于其中的信息的安全。系统安全的特点是从系统的底层和整体上考虑信息安全威胁并采取综合防护措施。它研究系统的安全威胁、系统安全的理论、系统安全的技术和应用。其主要研究内容有:系统的安全威胁系统的设备安全系统的硬件子系统安全系统的软件子系统安全访问控制可信计算系统安全等级保护系统安全测评认证应用信息系统安全网络空间安全学科的主要研究方向及研究内容方向四——内容安全广义的内容安全包括信息内容在政治、法律和道德方面的要求,也包括信息内容的保密、知识产权保护、隐私保护等多方面。其主要研究内容有:内容安全的威胁内容的获取内容的分析与识别内容安全管理信息隐藏隐私保护内容安全的法律保障网络空间安全学科的主要研究方向及研究内容方向五——信息对抗信息对抗是为从对方信息系统中获取有用信息,削弱、破坏对方信息设备和信息的使用效能,保障己方信息设备和信息正常发挥效能而采取的综合战术、技术措施,其本质是斗争双方利用电磁波和信息的作用来争夺电磁频谱和信息的有效使用和控制权。信息对抗研究信息对抗的理论、技术和应用,其主要研究内容有:通信对抗雷达对抗光电对抗计算机网络对抗网络空间与网络空间安全的概念网络空间安全学科内涵网络空间安全学科的主要研究方向及研究内容总结网络空间安全概述03

网络空间安全法律法规(1)引言法律法规是指国家按照统治阶级的利益和意志制定或者认可,并由国家强制力保证其实施的行为规范的总和,是人们在社会活动中必须遵守的纪律,是人们从事社会活动所不能逾越的行为底线,违反了就要受到惩罚。

信息安全法律法规是信息安全保障体系建设中的必要环节,它明确了信息安全的基本原则和基本制度、信息安全相关行为规范、信息安全中各方权利和义务以及违反信息安全的行为,并明确对这些行为进行相应的处罚。了解我国信息安全法律的有关规定及主要内容教学目标我国信息安全立法现状《宪法》《刑法》《治安管理处罚法》中的相关规定《国家安全法》《保守国家秘密法》中的相关规定《全国人大常委会关于维护互联网安全的决定》目录我国信息安全立法现状我国信息安全法律法规体系第一层次:国家法律法规第二层次:行政法规第三层次:部门规范我国信息安全立法现状国家法律法规由全国人大发布:《中华人民共和国宪法》《中华人民共和国刑法》由全国人大常务委员会发布:《中华人民共和国国家安全法》《中华人民共和国预防未成年人犯罪法》《全国人大常委会关于维护互联网安全的决定》《中华人民共和国电子签名法》《中华人民共和国治安管理处罚法》《中华人民共和国侵权责任法》《中华人民共和国保守国家秘密法》《全国人大常委会关于加强网络信息保护的决定》《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》……我国信息安全立法现状行政法规由国务院发布:《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网暂行管理规定》《商用密码管理条例》《中华人民共和国电信条例》《互联网信息服务管理办法》……我国信息安全立法现状部门规范由国务院有关部门发布:《计算机信息网络国际联网安全保护管理办法》《计算机信息系统保密管理暂行规定》《信息安全产品测评认证管理办法》《计算机病毒防治管理办法》《公用电信网间互联网管理规定》《电子认证服务管理办法》《商用密码产品生产管理规定》《互联网电子邮件服务管理办法》《互联网安全保护技术措施规定》《信息安全等级保护管理办法》《通用网络安全防护管理办法》……我国信息安全立法现状《宪法》《刑法》《治安管理处罚法》中的相关规定《国家安全法》《保守国家秘密法》中的相关规定《全国人大常委会关于维护互联网安全的决定》目录《宪法》

《宪法》第二章公民的基本权利和义务第40条:公民的通信自由和通信秘密受法律的保护。

除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。《宪法》《刑法》《治安管理处罚法》中的相关规定《刑法》《刑法》第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第285、286、287条。

285条:非法侵入计算机信息系统罪

非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪。违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。《宪法》《刑法》《治安管理处罚法》中的相关规定《刑法》

286条:破坏计算机信息系统罪

违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。《宪法》《刑法》《治安管理处罚法》中的相关规定《宪法》《刑法》《治安管理处罚法》中的相关规定《刑法》《刑法》第286条之一【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:

(一)致使违法信息大量传播的;

(二)致使用户信息泄露,造成严重后果的;

(三)致使刑事案件证据灭失,情节严重的;

(四)有其他严重情节的。

单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。

有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。《宪法》《刑法》《治安管理处罚法》中的相关规定《刑法》287条:利用计算机实施犯罪的提示性规定利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。《宪法》《刑法》《治安管理处罚法》中的相关规定《刑法》

第287条之一【非法利用信息网络罪】利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:

(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;

(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;

(三)为实施诈骗等违法犯罪活动发布信息的。

单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。

有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。《宪法》《刑法》《治安管理处罚法》中的相关规定《刑法》第287条之二【帮助信息网络犯罪活动罪】明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。

单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。《宪法》《刑法》《治安管理处罚法》中的相关规定《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》《宪法》《刑法》《治安管理处罚法》中的相关规定《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》《宪法》《刑法》《治安管理处罚法》中的相关规定《治安管理处罚法》第三章违反治安管理的行为和处罚第一节扰乱公共秩序的行为和处罚第29条:有下列行为之一的,处五日以下拘留;情节较重的,处五日以上十日以下拘留:(一)违反国家规定,侵入计算机信息系统,造成危害的;(二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的;(三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;(四)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。《宪法》《刑法》《治安管理处罚法》中的相关规定我国信息安全立法现状《宪法》《刑法》《治安管理处罚法》中的相关规定《国家安全法》《保守国家秘密法》中的相关规定《全国人大常委会关于维护互联网安全的决定》目录《国家安全法》

第二十五条规定:“加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”《国家安全法》《保守国家秘密法》中的相关规定

国家秘密受法律保护。一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。国家秘密的范围国家事务、国防武装、外交外事、政党秘密;国民经济和社会发展、科学技术;维护国家安全的活动、经保密主管部门确定的事项等。保密制度对国家秘密载体的行为要求;对属于国家秘密的设备、产品的行为要求;对存储、处理国家秘密的计算机信息系统的要求分级保护;对组织和个人的行为要求(涉密信息系统管理、国家秘密载体管理、公开发布信息、各类涉密采购、涉密人员分类管理、保密教育培训、保密协议等);对公共信息网络及其他传媒的行为要求;对互联网及其他公共信息网络运营商、服务商的行为要求。《国家安全法》《保守国家秘密法》中的相关规定法律责任(第48条人员处分及追究刑责)非法获取、持有国家秘密载体的买卖、转送或者私自销毁国家秘密载体的通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境的非法复制、记录、存储国家秘密的在私人交往和通信中涉及国家秘密的在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的擅自卸载、修改涉密信息系统的安全技术程序、管理程序的将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的《国家安全法》《保守国家秘密法》中的相关规定我国信息安全立法现状《宪法》《刑法》《治安管理处罚法》中的相关规定《国家安全法》《保守国家秘密法》中的相关规定《全国人大常委会关于维护互联网安全的决定》目录互联网安全的范畴(法律约束力)互联网的运行安全(侵入、破坏性程序、攻击、中断服务等)国家安全和社会稳定(有害信息、窃取/泄露国家秘密、煽动、非法组织等)市场经济秩序和社会管理秩序(销售伪劣产品/虚假宣传、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等)个人、法人和其他组织的人身、财产等合法权利(侮辱或诽谤他人、非法处理他人信息数据/侵犯通信自由和通信秘密、盗窃/诈骗/敲诈勒索等)法律责任构成犯罪的,依照刑法有关规定追究刑事责任构成民事侵权的,依法承担民事责任尚不构成犯罪的:治安管理处罚、行政处罚、行政处分或纪律处分《全国人大常委会关于维护互联网安全的决定》我国信息安全立法现状《宪法》《刑法》《治安管理处罚法》中的相关规定《国家安全法》《保守国家秘密法》中的相关规定《全国人大常委会关于维护互联网安全的决定》总结网络空间安全概述04

网络空间安全法律法规(2)了解《中华人民共和国网络安全法》诞生背景教学目标国际国内网安法背景各国网络安全法重点制度网络安全法发展历程网络安全法特点和内容目录国际背景2015年9月,习主席访美提出“打造中美合作亮点,让网络空间更好地造福两国人民和世界人民”2015年12月,中美达成了《打击网络犯罪及相关事项指导原则》2015年以来,中英、中俄、中德先后签署了合作协议。中英、中德之间开展高级别对话深化网络犯罪国际合作。2016年11月,习主席在第二届世界互联网大会系统论述了“网络空间命运共同体”的理念,重点提出“四点原则”和“五个主张”的中国方案。国际国内网安法背景国际背景国际国内网安法背景国内背景国际国内网安法背景国际国内网安法背景各国网络安全法重点制度网络安全法发展历程网络安全法特点和内容目录各国网络安全法概况各国网络安全法重点制度各国网络安全法重点制度各国网络安全法重点制度1、机构职责和管理机制各国网络安全法重点制度2、监测预警和应急各国网络安全法重点制度3、关键信息基础设施保护各国网络安全法重点制度4、数据安全保护各国网络安全法重点制度5、新技术新业务安全各国网络安全法重点制度国际国内网安法背景各国网络安全法重点制度网络安全法发展历程网络安全法特点和内容目录十二届全国人大常委会审议了《网络安全法(草案)》历经全国人大常委会两次审议的关于我国网络安全管理的法律《中华人民共和国网络安全法》最终审议通过2017年6月1日起《中华人民共和国网络安全法》正式实施二次审议稿正式在中国人大网公布,并向社会公开征求意见中央网络安全和信息化领导小组成立,标志着我国把网络安全提升到了国家安全的高度并开始酝酿网络安全法编写工作2014.22015.62016.72016.11.72017.6.1网络安全法发展历程网络安全法发展历程我国网络安全法治建设的发展历程通信保密安全保守国家秘密法(1989)(2010年修订)计算机信息系统安全保护条例(草案)-86计算机安全计算机信息系统安全保护条例(1994)计算机信息系统安全专用产品检测和销售许可证管理办法-97网络信息系统安全关于维护互联网安全的决定(2000)互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网保密管理规定-00网络空间安全网络安全法(2016年)国家安全法(2015年)刑法修正案(七)刑法修正案(九)网络安全法发展历程国际国内网安法背景各国网络安全法重点制度网络安全法发展历程网络安全法特点和内容目录我国网络安全法律体系的特点网络安全法特点和内容我国网络安全法律的主要规范内容网络安全法特点和内容我国网络安全法律的主要规范内容

网络安全法特点和内容我国网络安全法律的主要规范内容

网络安全法特点和内容我国网络安全法律的主要规范内容网络安全法特点和内容网络安全法是我国第一部网络安全领域的法律,是保障网络安全的基本法网络安全法不是网络安全立法的终点,相反,是网络安全立法的起点。与《网络安全法》相关的法律有《国家安全法》,《保密法》,《反恐怖主义法》,《反间谍法》,《刑法修正案》(九),《治安管理处罚法》,《电子签名法》等。这些法律与网络安全法不是上位法和下位法的关系,同属同一法律位阶。网络安全法是我国网络安全管理的基础法律,与其它相关法律在相关条款和规定上互相衔接,互为呼应,共同构成了我国网络安全管理的综合法律体系。网络安全法也是在现行的一些制度的基础上,例如《关于加强网络信息保护的决定》、《计算机信息系统安全保护条例》、《互联网信息服务管理办法》等,上升和完善的成果,为更好的开展网络安全工作提供了法律保障。网络安全法特点和内容国际国内网安法背景各国网络安全法重点制度网络安全法发展历程网络安全法特点和内容总结网络空间安全概述05

网络空间安全法律法规(3)了解《中华人民共和国网络安全法》相关内容教学目标解决的重要基础性问题法律内容解读法律责任目录基本原则:网络空间主权原则、网络安全与信息化发展并重原则、共同治理原则;明确了政府各部门的职责权限,完善了网络安全监管体制(第8条);强化网络运行安全,重点保护关键信息基础设施;完善网络安全义务和责任,加大了违法惩处力度;将监测预警与应急处置措施制度化、法制化。解决的重要基础性问题解决的重要基础性问题法律内容解读法律责任目录总则:明确网络空间主权原则法律内容解读国家网络安全责任机构组织法律内容解读网络安全等级保护制度1)信息系统安全等级保护制度已实施多年,网络安全等级保护制度应当会与目前的信息系统安全等级保护制度相衔接和融合,而不会成为两个并行的制度体系。2)网络安全≠信息安全特别强调网络安全不等于信息安全,两者有大幅的交集,但网络安全有特殊的内涵,包括网络的使用、运营。国家对网络的主权,符合国际惯例和一般做法。法律内容解读网络实名制网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。已有法律法规对实名制进行规定:2016年1月1日实施《中华人民共和国反恐怖主义法》2015年实施的《互联网用户账号名称管理规定》2016年实施的《移动互联网应用程序信息服务管理规定》法律内容解读关键基础设施关键信息基础设施定义:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”法律内容解读关键信息基础设施安全保护条例(征求意见稿)法律内容解读关键信息基础设施保护法律内容解读关键信息基础设施保护法律内容解读数据保护数据保护范围:个人信息保护、用户信息保护和商业秘密保护。用户信息:引入了“用户信息”的概念,可以理解为在用户使用产品或服务过程中收集的信息构成用户信息,包括IP地址、用户名和密码、上网时间、Cookie信息等。个人信息:个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。商业秘密:是指不为公众所知悉、能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。法律内容解读商业秘密保护要点依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。用户信息保护要点收集:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;保护:网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。法律内容解读个人信息保护应当遵守本法和有关法律、行政法规的规定。《电信和互联网用户个人信息保护规定》收集、使用个人信息:应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。不得泄露、篡改、毁损其收集的个人信息:1)采取技术措施和其他必要措施保护;2)若泄露,立即采取补救措施,告知用户并向有关主管部门报告。未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。个人信息主体拥有删除权(保护使用不当)和更正权(有误)不得非法获取、窃取,不得非法出售、非法向他人提供管理部门不得泄露履行职责中知悉的个人信息法律内容解读数据本地化关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估;法律、行政法规另有规定的,依照其规定。下列数据在其它法律里有本地化要求:国家秘密和国家安全数据、征信数据、个人金融信息、地图数据、网络出版服务所需的必要的技术设备、网约车相关数据和信息。法律内容解读以数据为中心的安全《网络安全法》对数据安全和数据保护也给予了关注。第二十一条对数据安全作出明确说明:网络运营者应当按照网络安全等级保护制度的要求,防止网络数据泄露或者被窃取、篡改。采取数据分类、重要数据备份和加密等措施。第四章40-45,大篇幅地强调个人信息(个人数据)安全,强调数据的脱敏。网络安全法近似等于等级保护加数据安全。第18条,鼓励数据安全行业发展。法律内容解读网络行为要求任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。法律内容解读网络运营者法律合规要求需要网络运营者建立企业的管理制度和操作规程,以满足法律合规性的要求,避免法律风险,主要包括如下:与实施网络安全等级保护制度相关的义务和制度建设,包括制定内部安全管理制度和操作规程,确定网络安全负责人等(第二十一条);健全用户信息保护制度(第二十二条和第四十条);落实网络实名制(第二十四条);网络安全事件应急预案(第二十五条);关键信息基础设施的安全保护义务,包括:设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练;法律、行政法规规定的其他义务(第三十四条);法律内容解读网络运营者法律合规要求采购关键信息基础设施产品和服务的保密制度(第三十六条);关键信息基础设施安全性的年度评估(第三十六条);个人信息的收集和利用规则及制度(第四十一条和第四十二条);个人信息泄露事件的报告制度(第四十二条);违法使用个人信息删除和错误个人信息更正制度(第四十三条);网络运营者对用户非法信息传播的监管(第四十七条);网络信息安全投诉、举报制度(第四十九条)。法律内容解读网络运营者的安全义务法律内容解读网络产品、服务提供者的安全义务法律内容解读一般性安全保护义务法律内容解读产品研发符合相关国家标准的强制性要求。不得设置恶意程序;发现存在安全缺陷、漏洞等风险时,应当立即采取补救措施,及时告知用户并向有关主管部门报告。持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。网络关键设备和网络安全专用产品安全认证合格或者安全检测符合要求后,方可销售个人规范上网行为:诈骗、传授诈骗方法、制售违禁物品;不得危害网络安全(入侵、窃取等)、国家安全;不得发布不良信息;不得侵犯他人权益;不为上述违法行为提供便利法律内容解读网络信息安全—个人信息保护法律内容解读网络安全审查制度2017年05月02日中央网信办正式发布《网络产品和服务安全审查办法(试行)》。其中就审查的目的、需要审查的网络产品和服务的范围、网络安全审查的管理部门(网络安全审查委员会)、审查的机构(国家统一认定网络安全审查第三方机构)和对党政机关和重点行业的审查工作提出要求。并于2017年6月1日同《网络安全法》一同实施。法律内容解读网络信息安全—违法犯罪信息管理法律内容解读网络信息安全—违法犯罪信息管理法律内容解读解决的重要基础性问题法律内容解读法律责任目录法律责任法律责任法律责任解决的重要基础性问题法律内容解读法律责任总结网络空间安全概述06

网络空间安全法律法规(4)了解《密码法》《数据安全法》《个人信息保护法》相关内容教学目标《密码法》《数据安全法》《个人信息保护法》目录《密码法》《密码法》颁布实施的意义《中华人民共和国密码法》(简称《密码法》),于2019年10月26日由第十三届全国人大常委会第十次会议审议通过,自2020年1月1日起施行。《密码法》是总体国家安全观框架下,国家安全法律体系的重要组成部分,其颁布实施极大地提升了密码工作的科学化、规范化、法治化水平,有力地促进了密码技术进步、产业发展和规范应用。《密码法》《密码法》内容概述《密码法》全文共计五章四十四条第一章——总则:规定了本法的立法目的、密码工作的基本原则、领导和管理体制,以及密码发展促进和保障措施。第二章——核心密码、普通密码:规定了核心密码、普通密码的使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一些特殊保障制度和措施。第三章——商用密码:规定了商用密码标准化制度、检测认证制度、市场准入制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。第四章——法律责任:规定了违反本法相关规定应承担的相应的法律后果。第五章——附则:规定了国家密码管理部门的规章制定权、解放军和武警部队密码立法事宜以及本法的施行日期。《密码法》《密码法》内容要点1、明确了“什么是密码”第二条规定:“本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务”。解读:密码的主要表现形式是技术、产品和服务,主要功能是加密保护和安全认证,保护的对象是信息等相关内容,本质是特定变换的方法。密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段;它就像网络空间的DNA,是构筑网络信息系统免疫体系和网络信任体系的基石,是保护党和国家根本利益的战略性资源,是国之重器。《密码法》《密码法》内容要点1、明确了“什么是密码”第六条至第八条明确了密码种类及其适用范围,规定核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息,商用密码用于保护不属于国家秘密的信息。解读:对密码进行分类管理,是党中央确定的密码管理根本原则,是保障密码安全的基本策略,也是长期以来密码工作经验的科学总结。《密码法》《密码法》内容要点2、明确了“谁来管密码”第四条规定,密码工作要坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。第五条规定,在中央密码工作领导机构的领导下,国家密码管理部门负责管理全国的密码工作,县级以上地方各级密码管理部门负责管理本行政区域的密码工作。《密码法》《密码法》内容要点3、明确了“怎么管密码”《密码法》明确了对于核心密码、普通密码和商用密码,国家实行分类管理,采取不同的管理制度。《密码法》《密码法》内容要点3、明确了“怎么管密码”第十三条至第二十条规定密码管理部门依法对核心密码、普通密码施行严格统一管理,同时明确了核心密码、普通密码的使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。解读:核心密码、普通密码用于保护国家秘密信息和涉密信息系统,有力保障了中央政令军令安全,为维护国家网络空间主权、安全和发展利益构筑牢不可破的密码屏障。核心密码、普通密码本身就是国家秘密,一旦泄密将危害国家安全和利益。因此,有必要对核心密码、普通密码的科研、生产、服务、检测、装备、使用和销毁等各个环节施行严格统一管理,确保核心密码、普通密码的安全。《密码法》《密码法》内容要点3、明确了“怎么管密码”第二十一条至第三十一条规定了商用密码的主要管理制度,包括商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。解读:商用密码广泛应用于国民经济发展和社会生产生活的方方面面,积极服务“互联网+”行动计划、智慧城市和大数据战略,在维护国家安全、促进经济社会发展一级保护公民、法人和其他组织合法权益等方面发挥着重要作用。国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。《密码法》《密码法》内容要点4、明确了“怎么用密码”对于核心密码、普通密码的使用,第十四条要求:在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依法适用核心密码、普通密码进行加密保护、安全认证。对于商用密码的使用,第八条规定,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全;第二十七条要求,关键信息基础设施必须依法使用商用密码进行保护,并开展商用密码应用安全性评估。另外,第十二条规定,任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统,不得利用密码从事危害国家安全、社会公众利益、他人合法权益等违法犯罪活动。《密码法》《数据安全法》《个人信息保护法》目录《数据安全法》《数据安全法》颁布实施的意义《中华人民共和国数据安全法》(简称《数据安全法》),于2021年6月10日经十三届全国人大常委会第二十九次会议表决通过,自2021年9月1日起正式施行。作为我国关于数据安全的首部律法,《数据安全法》受到了社会各界人士的广泛关注。随着《数据安全法》的出台,我国在网络与信息安全领域的法律法规体系得到了进一步的完善。按照总体国家安全观的要求,《数据安全法》明确数据安全主管机构的监管职责,建立健全数据安全协同治理体系,提高数据安全保障能力,促进数据出境安全和自由流动,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,让数据安全有法可依、有章可循,为数字化经济的安全健康发展提供了有力支撑。《数据安全法》《数据安全法》内容概述《数据安全法》共七章五十五条,主要内容包括:(1)确立数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度。(2)明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任。(3)坚持安全与发展并重,规定支持促进数据安全与发展的措施。(4)建立保障政务数据安全和推动政务数据开放的制度措施。《数据安全法》《数据安全法》内容要点1、强调了坚持总体国家安全发展观第一条规定,为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。解读:《数据安全法》以贯彻总体国家安全观的目的为出发点,以数据治理中最为重要的安全问题作为切入点,抓住了数据安全的主要矛盾和平衡点,是我国数据安全领域的一部重要基础性法律。该条中的“规范数据处理活动,保障数据安全,促进数据开发利用”是《数据安全法》的立法基础,其中“规范、保障、促进”这三个关键词,是一种递进关系,规范数据处理活动的目的,是为了保障数据的安全,只有在确保数据安全的基础上,方能促进数据的有序开发和利用。《数据安全法》《数据安全法》内容要点2、设定了我国数据保护的域外法律效力第二条第二款规定,在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。解读:该款中的“境外开展数据处理数据活动”的主体既包括位于中国境外的数据处理者,也包括位于中国境内的数据处理者,但其数据处理行为在境外,这两类数据处理者的行为只要损害了我国国家安全、公共利益以及公民和组织的合法数据权益,均由我国法律管辖,并追究法律责任。《数据安全法》《数据安全法》内容要点3、建立了“中央国安委”统筹协调下的行业数据监管机制第五条明确,中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。解读:《数据安全法》实行“中央国安委”统筹协调下的行业监管机制:首先,中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作;其次,各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责;再次,工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责;第四,公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责;第五,国家网信部门依照《数据安全法》和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。《数据安全法》《数据安全法》内容要点4、明确了国家数据分类分级保护制度第二十一条规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。解读:《数据安全法》中的“数据分类”,采用了数据的“重要程度”+“危害程度”的立法手段,对数据实行分类分级保护,特别是将“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”列为国家核心数据,实行更加严格的管理制度。《数据安全法》从国家层面提出了数据分类分级,是确定数据保护和利用之间平衡点的一个重要依据,为政务数据、企业数据、工业数据和个人数据的保护奠定了法律基础。《数据安全法》《数据安全法》内容要点5、明确了国家数据安全审查制度第二十四条规定,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。解读:《数据安全法》主要针对影响或者可能影响国家安全的数据处理活动进行审查,数据处理活动包括:数据的收集、存储、使用、加工、传输、提供、公开等。《数据安全法》《数据安全法》内容要点6、建立了国家数据安全应急处置机制第二十三条明确,国家建立数据安全应急处置机制,并要求发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。解读:该条有四层意思,一是要在国家层面构建数据安全应急处置机制;二是有关单位在发生数据安全事件时,应当依法立即启动应急预案,该条中的“有关单位”应当按照“谁主管谁负责、谁运行谁负责”的原则确定;三是采取最有效的应急处置措施,防止危害扩大,要消除安全隐患,同时要组织研判,保存证据,并做好信息通报工作;四是及时向社会发布与公众有关的警示信息,强调“发布与公众有关的警示信息”的目的,是为了让公众了解数据安全事件的真相,并及时采取自我保护的措施,以免其数据遭到破坏或在遭到破坏后防止损失的扩大。《数据安全法》《数据安全法》内容要点7、明确了数据处理者的合规义务第二十七条规定,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。解读:该条规定了四项重要义务:一是开展数据处理活动应当依照法律、法规的规定;二是开展数据处理活动应当建立健全全流程数据安全管理制度,并组织开展数据安全教育培训;三是开展数据处理活动应当采取相应的技术措施和其他必要措施,保障数据安全;四是利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。《数据安全法》《数据安全法》内容要点8、明确了重要数据的出境管理制度第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。解读:本条规定了重要数据出境安全管理的规定,主要有两方面内容,一是关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;二是除关键信息基础设施的运营者处理的重要数据外,其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。《密码法》《数据安全法》《个人信息保护法》目录《个人信息保护法》《个人信息保护法》颁布实施的意义《中华人民共和国个人信息保护法》(简称《个人信息保护法》)历经三次审议及两次公开征求意见后,于2021年8月20日由第十三届全国人民代表大会常务委员会第三十次会议通过,自2021年11月1日起施行。《个人信息保护法》作为个人信息保护领域的基础性法律,其出台解决了个人信息层面法律法规散乱不成体系的问题,与《网络安全法》《数据安全法》《密码法》共同构建了我国的数据治理立法框架。《个人信息保护法》《个人信息保护法》内容概述《个人信息保护法》全文共计八章七十四条,围绕个人信息的处理,从处理规则、跨境提供、个人权利、处理者义务、保护职责部门以及法律责任等不同角度确立了相应规则,并且针对敏感个人信息和国家机关处理强调了特别规则。其出发点是保护个人对于个人信息处理享有的权利,厘清企业等个人信息处理者应当遵循的规则和履行的义务,同时明确违法和侵权行为的法律责任。《个人信息保护法》《个人信息保护法》内容要点1、明确了适用范围,设定了域外适用效力第三条规定,在境内处理自然人个人信息的活动应适用本法,在境外处理境内自然人个人信息的活动,有下列情形之一的,也适用本法:(1)以向境内自然人提供产品或服务为目的;(2)为分析、评估境内自然人的行为;(3)法律、行政法规规定的其他情形。第五十三条要求,境外的个人信息处理者在境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关信息报送履行个人信息保护职责的部门。解读:在一定程度上借鉴了《通用数据保护条例》(GDPR)及多数国家与地区相关法律的立法思路,以属地原则、属人原则为基础,首次将适用范围扩展至域外,产生了“长臂管辖”的效果。《个人信息保护法》《个人信息保护法》内容要点2、明确了核心概念,扩大了敏感信息的范围对个人信息的定义采用“识别+关联”的认定标准,并将经匿名化处理后的信息排除在外。同时,参考《个人信息安全规范》相关规定,将不满十四周岁未成年人的个人信息列入敏感个人信息。《个人信息保护法》《个人信息保护法》内容要点3、明确了个人信息处理的基本原则合法、正当、必要、诚信原则——第五条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。目的明确和最小必要原则——第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。公开透明原则——第七条规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。质量及安全保障原则——第八条、第九条规定,处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响;个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。《个人信息保护法》《个人信息保护法》内容要点4、明确了个人信息处理的规则第十四条明确规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”解读:“告知-同意”这一个人信息处理规则,在《网络安全法》《消费者权益保护法》《民法典》等法律中均有规定。《个人信息保护法》不仅确立了“告知-同意”的个人信息处理规则,而且构建了以“告知-知情-同意”为核心的个人信息处理规则体系。应当指出,个人信息处理者“告知”的目的是确保被告知者的充分“知情”,只有被告知者在充分知情的前提下才能自愿、明确地做出决定。《个人信息保护法》《个人信息保护法》内容要点4、明确了个人信息处理的规则第二十九条和第三十条规定,处理敏感个人信息应当取得个人的单独同意,并向个人告知处理敏感个人信息的必要性以及对个人权益的影响。第三十一条规定,对于不满十四周岁未成年人的个人信息处理活动,个人信息处理者应取得其父母或其他监护人的同意,并制定专门的个人信息处理规则。解读:《个人信息保护法》对处理敏感个人信息作出了严格的限制性规定,即在履行“告知-知情-同意”原则的基础上,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。特别是处理敏感个人信息应当取得个人的单独同意,如果法律、行政法规规定处理敏感个人信息应当取得书面同意的,应当从其规定。《个人信息保护法》《个人信息保护法》内容要点5、明确了个人信息跨境提供的规则第四十条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。解读:《个人信息保护法》作为个人信息保护领域的基础性法律,在沿用《网络安全法》监管思路的基础上,扩大了个人信息本地化存储的义务主体范围。《个人信息保护法》《个人信息保护法》内容要点6、明确了个人信息主体的权利解读:《个人信息保护法》从法律层面赋予了个人信息主体关于个人信息保护的相关权利(可参见第四十四条至第五十条的规定),如个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,有权查阅、复制其个人信息,有权请求将个人信息转移至其指定的个人信息处理者(可携带权),有权要求个人信息处理者更正、补充、删除其个人信息。《个人信息保护法》《个人信息保护法》内容要点7、明确了个人信息处理者的义务安全保障义务——第五十一条规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列安全保障措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论