网络安全法解读(三零卫士)

中国电子科技网络信息安全有限公司2017年《网络安全法》解读主题内容立法背景一基本概念二法案亮点三落地要求四相关背景---迫切且必要网络安全形势日趋严峻----“棱镜门”事件敲响警钟制定基本法律刻不容缓坚持从国情出发坚持问题导向坚持安全与发展并重是落实国家总体安全观的重要举措，是维护网络安全的客观需要相关背景---政策/法律/主管部门《关于加强信息安全保障工作的意见》(中办发[2003]

27号,简称“27号文”)《关于大力推进信息化发展和切实保障信息安全的若干意见》》(国办发[2012]第23号)------------------------------------------------------------------《中华人民共和国计算机信息系统安全保护条例》《信息安全等级保护管理办法》（公安部）------------------------------------------------------------------中央网信办成立（135规划、4.19讲话、CIIP检查）相关背景---制定过程2013年：提上日程2014年：形成草案2015年：形成征求意见稿2015年6月：一审2016年6月：二审2016年10月：三审16年11月7日：全国人大通过17年6月1日：正式施行相关背景---定位和规范范围网络空间主权（含特定域外效力）国家网络安全等级保护制度关键信息基础设施保护（CIIP）网络运营者、网络产品和服务提供者义务保障网络信息安全，个人信息保护关键信息基础设施重要数据跨境传输监测预警与应急处置是互联网领域、网络安全的基础性法律主题内容立法背景一内容解读二法案亮点三落地要求四框架目录《网络安全法》总体框架。共7章79条。目录如下：第一章总则第二章网络安全支持与促进第三章网络运行安全第一节一般规定第二节关键信息基础设施的运行安全第四章网络信息安全第五章监测预警与应急处置第六章法律责任第七章附则内容解读建立运营规范保护数据CIA行业自建标准明确网络权益保护未成年人赋予举报权利第二章：网络安全支持与促进明确国家在信息安全标准体系建设、人才培养等多方面支持和促进；明确各级人民政府需要支持整个网络安全的发展；国家支持企业、研究机构、高等学校、相关组织及个人参与国家层面的相关网络安全工作；国家将推动国家公共数据资源的开发。明确法案目标规定信安方针制定应对措施净化网络环境开展多边合作确定主管部门第一章：总则内容解读6、规定网络运营者对安全事件应急处置要求；7、对于个人、组织、公安机关、有关部门等的数据使用权限定义；8、单独对关键信息基础设施进行定义；9、对关键信息基础设施运营者制定了严苛的安全要求；10、明确要求关键信息基础设施数据只能存放于国内。1、将网络运行安全分为一般规定和关键信息基础设施的运行安全；2、第一次在法律中明确了我国要实行等级保护制度；3、规定了网络运营者的基本安全防护责任和防范措施；4、对于网络产品和安全产品明确要求建立国家检测标准体系；5、网络实名制有了法律依据；第三章：网络运行安全内容解读第四章：网络信息安全规定网络运营者对于个人信息的收集、使用、保密原则及义务；个人对于个人信息相关主张权利的法律保护；对于相关组织和个人在网络中行为规范；国家网信部门和相关部门的责任和义务第五章：检测预警与应急处置国家建立国家级别检测预警体系，网信部门统筹；关键信息基础设施实施运维部门要建立和健全自身检查预警与应急处置体系；对各级政府、相关部门在网络安全事件中进行相应赋权；允许国务院在特殊时期进行网络管制内容解读第六章：法律责任本法作出的处罚均为行政处罚；如行为严重的则由刑法进行相关处罚；对有权利进行处罚的单位进行说明；对于执法机关的违法行为进行了处罚规定。第七章：附则明确本法执行时间（2017年6月1日）；对前文重要名词定义进行说明；对涉及军事网络的内容进行了说明。主要用语1、网络安全---是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

网络安全=运行安全（系统安全+产品安全+服务安全+CIIP增强）

+

信息安全（以个人信息保护为主）

+

监测预警、信息通报、应急处置、约谈限制主要用语2、网络运营者---是指网络的所有者、管理者和网络服务提供者。

上述都是网络安全责任主体（第一责任人），注意这里的“网络”是指所有类型的network主要用语3、关键信息基础设施（CII）---【国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益】的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。（第三十一条）主要用语网站类CIIP：1、县级（含）以上党政机关网站2、重点新闻网站3、日均访问量超过100万人次的网站4、一旦发生网络安全事故，可能造成以下影响之一的：

（1）影响超过100万人工作、生活；

（2）影响单个地市级行政区30%以上人口的工作、生活；

（3）造成超过100万人个人信息泄露；

（4）造成大量机构、企业敏感信息泄露；

（5）造成大量地理、人口、资源等国家基础数据泄露；

（6）严重损害政府形象、社会秩序，或危害国家安全。主题内容立法背景一基本概念二法案亮点三落地要求四法案亮点一、明确基本原则网络空间主权原则；网络安全与信息化发展并重原则；共同治理原则。二、明确政府各级部门的职责规定了政府各部门的责任，从监管、支持、应急等多个方面对政府提出了明确要求；明确了政府对于网络安全拥有的权力，如信息获取、网络管制等；规定了政府各部门应尽的义务法案亮点三、未成年人网络安全正式将向未成年人提供网络安全环境列入法律管辖范围；成为未成年人网络保护相关条例的顶层设计。四、强化网络运维安全管理对于关键信息基础设施进行了专门的规定；明确了我国要施行网络安全等级保护制度；为网络运营者，制定了较为明确的信息安全运维基线。法案亮点五、网络安全违反行为处罚网络安全义务和责任明显加重，处罚条款明确；填补了我国网络安全行政处罚的法律空白。六、数据监管更严格跨境数据将受到更为严格的管理；第一次立法确认数据被遗忘权；为大数据商业模式提供了法律支撑。法案亮点七、网络实名制入法正式将网络实名制写入现行法律，为运营商开展网络实名制提供依据。八、明确提出产品安全要求为各行业主管单位提供了标准制定法律依据；对网络及安全设备的检测、上市、采购提出了更严格的要求。主题内容立法背景一基本概念二法案亮点三落地要求四落地要求要求业务与安全同步进行，实行同步规划、同步建设、同步使用。基于等保要求，开展等保测评相关工作；引入安全服务，开展风险评估、渗透测试、安全评估、应急响应、安全演练增强个人信息数据管控，从技术手段、管理手段，确保个人数据使用得当、防止数据滥用、泄露，违规使用等行为。针对关键信息基础设施行为，除开展以上等保要求的一般规定外，还需遵守本行业安全标准和规范。关键信息基础设施行业采购网络安全产品和服务，应使用自主可控的安全产品，并签定保密协议；关键信息基础设施行业每年至少开展1次安全检测评估，并由上级监管部门进行抽查，还需开展相关应急演练、安全培训等工作。落地要求网络安全法涉及的要求、技术、产品、服务信息如下：上网行为管控数据防泄漏网络防病毒网络防入侵数据安全（数据分类、备份、容灾）网络日志存储管理网络安全审计IT运维/网管……网络安全等级保护测评（三级）网络安全检测、加固网络风险评估网络安全体系建设网络应急响应网络安全监测预警网络安全信息通报安全演练安全培训……网络安全等级保护制度第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。网络产品和服务（强制性要求）第二十二条网络产品、服务应当符合相关国家标准的强制性要求。不得设置恶意程序；发现安全缺陷、漏洞等风险时，立即采取补救措施，及时告知用户并向有关主管部门报告；网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在约定期限内，不得终止提供安全维护；网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意。第二十三条网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。（由国家网信部门制定、公布产品目录）网络安全事件应急预案第二十五条网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。网络安全服务应遵守规定第二十六条开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。关键信息基础设施---重点保护第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。CII安全规划同步规划同步建设同步使用每年至少1次风险评估（网信部门可委托检测评估）等保之上的安全保护产品采购/服务外包安全国家安全审查数据境内留存和跨境流动关键信息基础设施---重点保护第三十二条…负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划…第三十三条…保证安全技术措施同步规划、同步建设、同步使用。第三十四条…运营者还应当履行下列安全保护义务：（设置专门安全管理机构和安全管理负责人、安全背景审查、教育培训和技能考核、容灾备份、应急预案及演练）第三十五条…运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。关键信息基础设施---重点保护第三十六条…运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议…第三十七条…个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估…第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估…第三十九条国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：（抽查检测、委托检测、组织演练、促进共享、提供技术支持和协助）网络安全监测预警和信息通报制度第五十一条国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。（目前有GA、CNCERT等）第五十二条负责关键信息基础