您好,欢迎访问天津大学信息与网络中心 !

网络安全

首页 - 网络安全 - 正文

关于《网络安全法》解读

发布日期:2023-11-16

为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,2016年11月7日中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议审议通过了《中华人民共和国网络安全法》(以下简称《网络安全法》),该法自2017年6月1日起施行。《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,下面我们将带大家一起回顾网络安全法要点内容。

法律全文构成

全法共七章七十九条,除常规章节外,《网络安全法》从网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置四个方面展开。

网络安全法

第一章 总则

第二章 网络安全支持与促进

第三章 网络运行安全

第四章 网络信息安全

第五章 监测预警与应急处置

第六章 法律责任

第七章 附则

本法适用范围

在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理。

三大考虑、六大亮点、三个特点

一、制定《网络安全法》的三大考虑

l  制定网络安全法是落实国家总体安全观的重要举措

有利于适应我们国家网络安全工作新形势、新任务,落实中央决策部署,保障网络安全和发展利益。

l  制定网络安全法是维护网络安全的客观需要。

中国是面临 网络安全威胁最严重的国家之一,制定网络安全法有利于提高全社会的网络安全意识和网络安全的保护水平,使我们的网络更加安全、更加开放、更加便利,也更加充满活力。

l  制定网络安全法是维护国家广大人民群众切身利益的需要。

制定网络安全法顺应时代的要求,回应广大人民群众对加强 网络空间的法制建设、净化网络环境,使网络空间清朗起来的呼声和期待,把最广大人民群众的切身利益来维护好、发展好、实现好。

二、《网络安全法》六大要点内容

l  明确了网络空间主权的原则

l  明确了网络产品和服务提供者的安全义务

l  明确了网络运营者的安全义务

l  进一步完善了个人信息保护规则

l  建立了关键信息基础设施安全保护制度

l  确立了关键信息基施重要数据跨境传输的规则

三、《网络安全法》三个特点

l  全面性

比较全面和系统地确立了各个主体在网络安全保护方面的义务和责任

确立了保障网络的设备设施安全,网络运行安全、网络数据安全,以及网络信息安全等各方面的基本制度

l  针对性

从我国的国情出发,坚持问题导向,总结实践经验。

借鉴了其他国家的一些做法,建立保障网络安全的各项制度。

重在管用、重在解决实际问题。

l  协调性

在立法过程中始终坚持安全与发展并重的原则,协调推进网络安全和发展

注重保护网络主体的合法权益,保障网络信息依法、有序、自由地流动

促进网络技术创新,最终实现以安全促发展,以发展来促安全的目的。

 

首次确立网络空间主权原则

互联网的出现使“地球村”的预言成为现实,高全球化的特性使人类生活、工作与思维均发生了巨大的变革。人类活动空间正在逐步拓展到网络空间,因此国家主权也逐渐从陆地、海洋、天空向网络空间延伸,形成基于国家领土主权“领陆、领空、领海”三维空间延伸出的网络空间主权一一“领网权”。“领网权”作为国家主权的第四维空间,将与领土权、领空权、领海权并列成为国际法框架下国家主权的重要组成部分

“互联网发展是无国界、无边界的,利用好、发展好、治理好互联网必须深化网络空间国际合作,携手构建网络空间命运共同体”“全球互联网治理体系变革进入关键时期,构建网络空间命运共同体日益成为国际社会的广泛共识。”习近平主席多次围绕构建网络空间命运共同体发表重要论述。《网络安全法》首次确立了网络空间主权原则,没有网络安全就没有国家安全,没有网络主权就没有网络空间安全。

《网络安全法》第五条

国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治 网络违法犯罪活动,维护网络空间安全和秩序。

《网络安全法》第七条

国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。

明确主体义务,坚守各方职责

一、主体身份: 监督管理部门

l  国家网信部门

负责统筹协调网络安全工作和相关监督管理工作

l  国务院电信主管部门公安部门和其他有关机关

依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。

l  县级以上地方人民政府有关部门

按照国家有关规定确定网络安全保护和监督管理职责。

l  国务院和省、自治区、直辖市人民政府

应当统筹规划,加大投入,扶持重点网络安全技术产业和项目

支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务保护网络技术知识产权;

支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。

l  省级以上人民政府

网络安全事件发生的风险增大时,应要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全风险的监测与预测,并向社会发布网络安全风险预警;

发现网络存在较大安全风险或者发生安全事件的,可约谈该网络运营者的法定代表人或者主要负责人;

各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。

l  各级人民政府及其有关部门

组织开展经常性的网络安全宣传教育

指导、督促有关单位做好网络安全宣传教育工作

l  网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。

l  网络运营者应履行的安全保护义务

制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任

采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

采取数据分类、重要数据备份和加密等措施;

法律、行政法规规定的其他义务

二、主体身份:网络产品、服务提供者

l  建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性

1.  网络产品、服务应当符合相关国家标准的强制性要求

2.  不得设置恶意程序

3.  发现其络产品、服务存在安全缺陷、漏洞等风险时,应当立即补救,照规定及时告知用户并向有关主管部门报告

4.  为其产品、服务持续提供安全维护

5.  在规定或者当事人约定的期限内,不得终止提供安全维护

6.  具有收集用户信息功能的,其提供者应当向用户明示并取得同意

7.  涉及用户个人信息的,应当遵守本法和有关法律、行政法规关于个人信息保护的规定

网络安全为人民,网络安全靠人民

一、个人、组织的义务

l  任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨民族歧视,传播暴力、淫秽色倩信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私知识产权和其他自法权益等活动

l  任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害 网络安全的活动不得提供专门用于从事侵入网络、干扰 网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

l  任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

l  任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品,管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。

l  任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。

二、个人、组织的权利

l  任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理,不属于本部门职责的,应当及时移送有权处理的部门。

l  个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息: 发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正

保护个人信息

l  网络安全监管机构对个人信息、隐私和商业秘密应保密

l  任何个人和组织不得发布与违法犯罪有关的信息

l  公民个人有信息删除权和更权

l  网络运营者

[原则]收集、使用个人信息,应当遵循合法、正当、必要的原则;

[需经同意]公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意

未经被收集者同意,不得向他人提供个人信息。(经过处理无法识别特定个人且不能复原的除外)

不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集:

不得泄露、篡改、毁损其收集的个人信息;

当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。

l  依法负有网络安全监督管理职责的部门及其工作人员须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密

保障关键信息基础设施运行安全

一、关键信息基础设施是什么?

l  公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息基础设施。

二、除一般安全保护义务外,关键信息基础设施的运营者还应当履行哪些安全保护义务?

l  人员管理

设置专门安全管 理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查,

定期对从业人员进行网络安全教育,技术培训和技能考核。

l  预防

对重要系统和数据库进行容灾备份,

制定网络安全事件应急预案,并定期进行演练

l  评估

自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估

将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

l  采购网络产品和服务

通过国家网信部门会同国务院有关部门组织的国家安全审查

按照规定与提供者签订安全保密协议,明确安全和保密义务与责

l  数据存储

在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储;

因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

三、国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施

l  对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估

l  定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力

l  促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享

l  对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助