实验室认可专版| 信息安全专版| 管理培训学院| 服务诚信体系| 礼仪培训学院| 论坛
400-960-6082
认证咨询
C 认证咨询
ertification consult
C 联系方式
ontact us
400 - 960 - 6082
server@yujie.org.cn
深圳市南山区深南大道10188号新豪方大厦12楼
关注我们了解更多
扫一扫
获得更多信息
ISO 27001信息安全行业动态 当前位置:首页 > 认证咨询 > ISO认证咨询 > 信息安全 > ISO 27001信息安全 > ISO 27001信息安全行业动态
《中华人民共和国网络安全法》解读
日期:2020-03-02 浏览次数:

 《中华人民共和国网络安全法解读

2016 年6 月27 日,十二届全国人大常委会第二十一次会议在京举行,会议听取了人大法律委员会副主任委员张海阳作的关于网络安全法草案修改情况的汇报。草案二审稿进一步强化国家的责任和公民、组织的义务,加强关键信息基础设施保护,协同推进网络安全与发展,切实维护国家网络主权、安全和发展利益。2016年6 月25 日,习近平主席与俄罗斯总统普京就两国合作推进信息网络空间发展,让网络技术更好地造福两国乃至世界人民,建立安全稳定繁荣的网络空间等相关事宜发表了“联合声明”。“联合声明”达成了七点共识,这对于指引两国乃至世界的互联网发展都具有十分重要的意义。

网络安全法草案即将审议,政策和需求双重驱动下行业有望迎来业绩增速拐点网络安全法将对党政军和重要行业部门信息系统安全可控提出明确要求,将大大促进网络安全系统的建设。另外互联网+、移动互联、云计算、大数据的蓬勃发展也将较大带动网络安全行业需求增长。全国人大常委会即将审议网络安全法,势必对网络安全行业提速有较大促进。

国内网络安全投入占比和行业集中度低,上市公司有较大成长空间我国信息安全技术和建设水平相对落后,面临的安全形势非常严峻。国内网络安全投入占IT 总投入比重仅2-3%,远低于欧美发达国家10%以上的水平美国龙头型网络安全公司市值接近1000 亿人民币,国内龙头公司仅200 亿人民币左右另外国内网络安全企业数量众多整体技术水平不高,未来行业集中度有望大幅提高。

草案二审稿进一步强化国家的责任和公民、组织的义务,加强关键信息基础设施保护,协同推进网络安全与发展,切实维护国家网络主权、安全和发展利益。

相比于一审稿,草案在安全保护的主体、范围、措施等方面均进行了“扩容”。值得注意的是,草案二审稿在强调关键信息基础设施保护的同时,大量增加了数据安全保护的内容,并同时提出了对个人信息泄露的防护。

网络安全法草案力图从立法层面制定应对规范。草案一审之后,中国人民大学网络犯罪与安全研究中心推出了一份建议稿,其中明确提出建立11项网络安全基本制度。

这些制度包括数据境内存储制度、关键数据加密备份制度、网络安全事件追溯制度、网络安全持续改进制度、网络信息公开制度、网络安全公私合作制度、网络安全国际合作制度等。

这些制度中的部分内容出现在草案二审稿中。比如,二审稿增加规定,国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

网络安全法二审稿还增加规定,网络运营者留存网络日志不得少于6个月;网络运营者对有关部门依法实施的监督检查应当予以配合。

上述精神已体现在一些管理规范中。国家网信办6月28日发布移动互联网应用程序(APP)管理规定,就要求APP提供者记录用户日志信息,并保存60日。

现将重要法规条款摘要如下:

第二十条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务...(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并留存网络日志不少于六个月。

第二十三条 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。

第四十五条 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。

第四十八条 国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。

第五十六条 因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。

第五十九条 网络运营者违反本法第二十三条第一款规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第六十四条 关键信息基础设施的运营者违反本法第三十五条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

 

 

从以上摘要的重点条款可以看出,“网络安全法”非常重视数据安全和信息保护对于关键信息基础设施中数据安全保护的重视,鲜明地体现在网络安全法草案二审稿中。

电信和互联网企业收集处理大量用户个人数据、生产运行数据、政务数据等重要数据,面临着很大的安全挑战。信息窃取、数据泄露等事件时有发生,网络数据安全和用户信息保护形势日趋严峻。草案一审稿规定,关键信息基础设施中的“公民个人信息等重要数据”要境内留存,二审稿则改为“公民个人信息和重要业务数据”,这比一审稿的规定更加明确。

    “网络安全法”二审稿草案拟增加的促进网络安全和发展的支持措施还包括,国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。

对于草案鼓励的政府数据开放,“统一集中开放数据需要有关部门统筹组织建设网站,为了保障网站安全,要严禁未经授权的访问、上传和更改数据,并定期销毁原始数据。此外,还要综合运用技术手段对网站进行监控。”

二审稿还增加规定,国家网信部门和有关部门在关键信息基础设施保护中取得的信息,只能用于维护网络安全的需要,不得用于其他用途。在不损害相关主体的合法权益和公共利益的前提下,政府持有的数据应当公开共享,不得有偿转让。

网络实名制确立之后,对个人信息的保护成为题中之义。草案一审稿在坚持全国人大常委会《关于加强网络信息保护的决定》的基础上进一步完善了相关制度,主要包括个人信息收集规则,处理规则、信息泄露通知,删除更正权及不受窃取、非法获取、出售或非法提供权。

二审稿拟增加大数据应用必须对公民个人信息进行匿名化处理的规定,进一步明确公民个人信息使用规则。今后可以根据《网络安全法》制定相关的专门法律,以解决目前存在的重大和紧迫问题,其中他就建议制定网络社会个人信息隐私保护法。