国外亚洲成av人片在线观看,国产在线www,日韩在线一区二区三区四区,欧美日韩二三区,久久久久久久久久久是多少,亚洲天堂av一区二区三区,在线日韩中文字幕

申請(qǐng)實(shí)習(xí)證 兩公律師轉(zhuǎn)社會(huì)律師申請(qǐng) 注銷人員證明申請(qǐng)入口 結(jié)業(yè)人員實(shí)習(xí)鑒定表申請(qǐng)入口 網(wǎng)上投稿 《上海律師》 ENGLISH
當(dāng)前位置: 首頁 >> 業(yè)務(wù)研究 >> 專業(yè)論文

《網(wǎng)絡(luò)安全法》的出臺(tái)改變了什么?——條文解析企業(yè)的網(wǎng)絡(luò)安全義務(wù)和法律合規(guī)新需求

    日期:2017-04-20     作者:馮堅(jiān)堅(jiān)(上海市律師協(xié)會(huì)互聯(lián)網(wǎng)業(yè)務(wù)研究委員會(huì)委員、北京市競(jìng)天公誠律師事務(wù)所合伙人)、李岑(北京市競(jìng)天公誠律師事務(wù)所律師)

      2016年11月7日,《網(wǎng)絡(luò)安全法》(以下亦稱“新法”)通過,并將于2017年6月1日起正式施行。本次新法作為一部保障網(wǎng)絡(luò)安全的基礎(chǔ)性法律,引起社會(huì)各界的廣泛關(guān)注和討論,三次審議稿中包括關(guān)鍵信息基礎(chǔ)設(shè)施、個(gè)人信息跨境傳輸?shù)戎匾拍罱缍?、?duì)安全保護(hù)義務(wù)的規(guī)定等內(nèi)容也經(jīng)歷了數(shù)次修改調(diào)整。

      本文一方面從保護(hù)客體、適用范圍、適用主體承擔(dān)的義務(wù)等方面對(duì)新法進(jìn)行解讀,試圖為互聯(lián)網(wǎng)相關(guān)企業(yè),也是對(duì)此次新法最為關(guān)注的一類企業(yè)提出建議。另一方面,文末也提出了企業(yè)將需要怎樣的專業(yè)法律合規(guī)服務(wù)來幫助自己做預(yù)先風(fēng)險(xiǎn)自測(cè),以應(yīng)對(duì)新法實(shí)施后帶來的重大變化。

      一、兩種重要信息一、兩種重要信息      作為一部網(wǎng)絡(luò)安全相關(guān)的基礎(chǔ)性法律,《網(wǎng)絡(luò)安全法》從兩個(gè)維度來解決“保護(hù)什么”的問題:一是從社會(huì)公共利益的角度,保護(hù)對(duì)國家安全和社會(huì)公共利益產(chǎn)生影響的內(nèi)容,本法中較為重要,也是引起關(guān)注最多的就是關(guān)鍵信息基礎(chǔ)設(shè)施;一是從公民和社會(huì)組織的角度,保護(hù)個(gè)人信息。新法也用較長(zhǎng)的條文篇幅圍繞著上述內(nèi)容的保護(hù)進(jìn)行了規(guī)定。

      (一)關(guān)鍵信息基礎(chǔ)設(shè)施(Critical Information Infrastructures,即“CII”)
        “關(guān)鍵信息基礎(chǔ)設(shè)施”是此次新法出臺(tái)后最受關(guān)注的事項(xiàng)之一。在《網(wǎng)絡(luò)安全法(草案)》三版審議稿中,對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施”的界定也屢次修改。  

《中華人民共和國網(wǎng)絡(luò)安全法(草案)》第一次審議稿

《中華人民共和國網(wǎng)絡(luò)安全法(草案)》第二次審議稿

《中華人民共和國網(wǎng)絡(luò)安全法》正式頒布版本

提供公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò),能源、交通、水利、金融等重要行業(yè)和供電、供水、供氣、醫(yī)療衛(wèi)生、社會(huì)保障等公共服務(wù)領(lǐng)域的重要信息系統(tǒng),軍事網(wǎng)絡(luò),設(shè)區(qū)的市級(jí)以上國家機(jī)關(guān)等政務(wù)網(wǎng)絡(luò),用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或者管理的網(wǎng)絡(luò)和系統(tǒng)。

一旦遭到遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全,國計(jì)民生,公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。

公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)辦法由國務(wù)院制定。

關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定。

關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定。


      最終正式出臺(tái)的《網(wǎng)絡(luò)安全法》結(jié)合第一次和第二次審議稿,以列舉行業(yè)領(lǐng)域加可能導(dǎo)致后果兩個(gè)方面對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施做出了界定。
      在《網(wǎng)絡(luò)安全法》正式出臺(tái)前,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室發(fā)布了一份《國家網(wǎng)絡(luò)安全檢查操作指南》(“《操作指南》”),對(duì)如何確定CII的步驟做出了說明:
      首先,確定本地區(qū)、本部門、本行業(yè)的關(guān)鍵業(yè)務(wù)是什么,是涉及能源、金融還是交通、市政等領(lǐng)域;
      其次,確定了關(guān)鍵業(yè)務(wù)后,再確定支持關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng)是什么,形成CII候選清單。例如,支持電力行業(yè)火電企業(yè)的發(fā)電機(jī)組控制系統(tǒng)、管理信息系統(tǒng);支持市政供水水廠的生產(chǎn)控制系統(tǒng)、供水管網(wǎng)監(jiān)控系統(tǒng)等;
      最后,根據(jù)關(guān)鍵業(yè)務(wù)對(duì)信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度,以及信息系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事件后可能造成的損失認(rèn)定是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施。而這個(gè)認(rèn)定過程的具體標(biāo)準(zhǔn)也可以參考該操作指南。
      相比于《網(wǎng)絡(luò)安全法》的原則性規(guī)定,《操作指南》更具有指向性和操作性,對(duì)CII范圍的確定更有參考價(jià)值。但最終CII的具體范圍和保護(hù)辦法仍將以國務(wù)院等部門另行確定的規(guī)則為準(zhǔn)。具體標(biāo)準(zhǔn)的制定是否會(huì)參考該指南雖然仍不能確定,但指南中所確立的CII三步確認(rèn)法很可能在今后的新規(guī)中體現(xiàn)。
      (二)個(gè)人信息
      個(gè)人信息定義:

《網(wǎng)絡(luò)安全法》

以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。

《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》(“《保護(hù)規(guī)定》 ”)

電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集的用戶姓名、出生日期、身份證件號(hào)碼、住址、電話號(hào)碼、賬號(hào)和密碼等能夠單獨(dú)或者與其他信息結(jié)合識(shí)別用戶的信息以及用戶使用服務(wù)的時(shí)間、地點(diǎn)等信息。

      《網(wǎng)絡(luò)安全法》和《保護(hù)規(guī)定》將能夠識(shí)別自然人身份的信息定義為個(gè)人信息,也就是說,只要一個(gè)信息能夠單獨(dú)或者結(jié)合“定位”到該自然人,都屬于個(gè)人信息。
       用戶使用服務(wù)的時(shí)間、地點(diǎn)等內(nèi)容是否屬于《網(wǎng)絡(luò)安全法》個(gè)人信息范疇而受到規(guī)制值得商榷。
      雖然《網(wǎng)絡(luò)安全法》和《保護(hù)規(guī)定》中對(duì)個(gè)人信息均有明確定義,但從表述范圍來看,《保護(hù)規(guī)定》界定的個(gè)人信息似乎更為寬泛。除了能夠識(shí)別自然人身份的信息屬于個(gè)人信息外,《保護(hù)規(guī)定》還將用戶使用服務(wù)的時(shí)間、地點(diǎn)等信息也納入個(gè)人信息范疇,未經(jīng)用戶書面許可,不得收集和使用。用戶使用服務(wù)的時(shí)間、地點(diǎn)等數(shù)據(jù)成為越來越多的網(wǎng)絡(luò)服務(wù)提供者關(guān)注的領(lǐng)域,對(duì)這類信息收集和使用的合法性也一直受到廣泛爭(zhēng)議和質(zhì)疑。
      而本次《網(wǎng)絡(luò)安全法》并未將上述信息數(shù)據(jù)納入個(gè)人信息范疇,雖然在條款中規(guī)定“網(wǎng)絡(luò)運(yùn)營者不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息,并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定,處理其保存的個(gè)人信息”。但《保護(hù)規(guī)定》從效力層級(jí)上僅屬于部門規(guī)章。從上述規(guī)定可以看出,新法對(duì)個(gè)人信息界定的側(cè)重點(diǎn)在于一種或者幾種信息是否能定位到這個(gè)人,而無論這種信息是以什么方式呈現(xiàn)。如果通過信息無法判斷是某個(gè)具體的人使用了產(chǎn)品、服務(wù),很可能就不屬于新法意義下要保護(hù)的個(gè)人信息,有時(shí)這種信息甚至是可以通過合法的公開渠道查詢,那么對(duì)這種信息的收集使用也就不受限制。不過,在無法識(shí)別自然人身份的情況下,用戶使用服務(wù)的時(shí)間、地點(diǎn)等信息是否受到《網(wǎng)絡(luò)安全法》規(guī)制仍值得商榷,并有待監(jiān)管機(jī)關(guān)進(jìn)一步明確。
      此外,可以明確的一點(diǎn)是,無論是《保護(hù)規(guī)定》還是《網(wǎng)絡(luò)安全法》,其目的并不在于完全禁止對(duì)個(gè)人數(shù)據(jù)的收集、使用。企業(yè)基于大數(shù)據(jù)的利用發(fā)掘產(chǎn)品服務(wù),創(chuàng)新商業(yè)模式正是政府監(jiān)管部門支持鼓勵(lì)的行為。法律的目的在于保護(hù)用戶個(gè)人隱私和合法權(quán)益,規(guī)制和禁止非法銷售、收集或?yàn)E用個(gè)人信息數(shù)據(jù)的違法行為。因此,無論是可以識(shí)別自然人身份的信息,還是用戶使用服務(wù)時(shí)間、地點(diǎn)的信息,應(yīng)當(dāng)經(jīng)過用戶合法授權(quán)并依法收集、使用和提供。
       二、 四種重要主體(網(wǎng)絡(luò)運(yùn)營者、CII運(yùn)營者、網(wǎng)絡(luò)產(chǎn)品服務(wù)提供者、任何個(gè)人和組織)
       本次《網(wǎng)絡(luò)安全法》中的網(wǎng)絡(luò)運(yùn)營者是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者,這一界定范圍十分廣泛,幾乎將涉及網(wǎng)絡(luò)產(chǎn)品服務(wù)的主體都納入其中,只要“在中華人民共和國境內(nèi)建設(shè)、運(yùn)營、維護(hù)和使用網(wǎng)絡(luò),以及網(wǎng)絡(luò)安全的監(jiān)督管理”,都適用《網(wǎng)絡(luò)安全法》。而不區(qū)分外資企業(yè)或內(nèi)資企業(yè),也不區(qū)分提供的產(chǎn)品服務(wù)是否收費(fèi)。
      關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者(CII運(yùn)營者)、網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者以及其他個(gè)人和組織是《網(wǎng)絡(luò)安全法》規(guī)范的另外三個(gè)重要主體,雖然條款中并沒有對(duì)該等主體做出明確定義。但從網(wǎng)絡(luò)運(yùn)營者的界定范圍來看,這三類主體的范圍與網(wǎng)絡(luò)運(yùn)營者之間均有交叉和重疊(各類主體之間的關(guān)系如下圖)。特別是CII運(yùn)營者應(yīng)屬于廣義網(wǎng)絡(luò)運(yùn)營者的一部分,因此,除了承擔(dān)網(wǎng)絡(luò)運(yùn)營者需要負(fù)擔(dān)的義務(wù)外,因涉及國計(jì)民生、國家安全和公共利益,法律為其規(guī)定了更嚴(yán)格的安全保護(hù)義務(wù)和標(biāo)準(zhǔn)。除此之外,即使沒有提供網(wǎng)絡(luò)產(chǎn)品、服務(wù)的個(gè)人和組織,新法也對(duì)其使用網(wǎng)絡(luò)服務(wù)、獲取個(gè)人信息等行為設(shè)置了規(guī)范。
       三、 五類重要義務(wù)
      新法用大量條文篇幅為網(wǎng)絡(luò)運(yùn)營者等主體規(guī)定了各類網(wǎng)絡(luò)安全義務(wù),也是第一次以法律的形式提出了很多具有前瞻性的概念,為各主體設(shè)置了強(qiáng)制性規(guī)范。各類運(yùn)營主體、其他個(gè)人和組織的規(guī)范總結(jié)為以下五種重要義務(wù),不同主體可以自行“對(duì)號(hào)入座”。  
      但需要說明的是,因各主體之間存在上圖所示的交叉和包含關(guān)系,在承擔(dān)義務(wù)方面也會(huì)存在重疊,但為突出各主體承擔(dān)的主要義務(wù),本部分仍按照四種主體類型進(jìn)行了區(qū)分。
      (一)   報(bào)告義務(wù)

網(wǎng)絡(luò)運(yùn)營者

CII運(yùn)營者

網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者

備注

報(bào)

務(wù)

在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí),立即啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)的補(bǔ)救措施,并向主管部門報(bào)告。

 

在發(fā)現(xiàn)其用戶發(fā)布、傳輸違法違規(guī)信息情況下立即處置并向主管部門報(bào)告。

 

收集的個(gè)人信息泄露、毀損、丟失等情況下向主管部門報(bào)告。

將每年對(duì)其網(wǎng)絡(luò)安全性和潛在風(fēng)險(xiǎn)的檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)部門。

網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)采取補(bǔ)救措施并向主管部門報(bào)告。

 

電子信息發(fā)送服務(wù)提供者和應(yīng)用軟件下載服務(wù)提供者在知道其用戶設(shè)置惡意程序,發(fā)布、傳輸違法違規(guī)信息的情況下采取處置措施,保存記錄并向主管部門報(bào)告。

審議稿第三稿將電子信息發(fā)送服務(wù)提供者和應(yīng)用軟件下載服務(wù)提供者在“發(fā)現(xiàn)”后的處置報(bào)告義務(wù),修改為“知道”,對(duì)服務(wù)提供者規(guī)定的義務(wù)更加嚴(yán)格。

 

      (二)   安全保護(hù)、管理義務(wù)

網(wǎng)絡(luò)運(yùn)營者

CII運(yùn)營者

網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者

個(gè)人和組織

安全管理、

保護(hù)義務(wù)

網(wǎng)絡(luò)運(yùn)營者為用戶辦理網(wǎng)絡(luò)接入、域名注冊(cè)服務(wù),辦理固定電話、移動(dòng)電話等入網(wǎng)手續(xù),或者為用戶提供信息發(fā)布、即時(shí)通訊等服務(wù),在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時(shí),應(yīng)當(dāng)要求用戶提供真實(shí)身份信息。用戶不提供真實(shí)身份信息的,網(wǎng)絡(luò)運(yùn)營者不得為其提供相關(guān)服務(wù)。

 

制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn);

 按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行21條規(guī)定的安全保護(hù)義務(wù),包括但不限于制定安全制度和操作規(guī)則,確定網(wǎng)絡(luò)安全負(fù)責(zé)人;采取技術(shù)措施等。

 

建立網(wǎng)絡(luò)信息安全投訴、舉報(bào)制度,公布投訴、舉報(bào)方式等信息,及時(shí)受理并處理有關(guān)網(wǎng)絡(luò)信息安全的投訴和舉報(bào)。

除履行網(wǎng)絡(luò)運(yùn)營者承擔(dān)的安全保護(hù)義務(wù)外,仍須承擔(dān)34條規(guī)定的安全保護(hù)義務(wù)。

網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序。

 

網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當(dāng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護(hù);在規(guī)定或者當(dāng)事人約定的期限內(nèi),不得終止提供安全維護(hù)。

任何個(gè)人和組織使用網(wǎng)絡(luò)應(yīng)當(dāng)遵守法律和道德規(guī)范,不得危害網(wǎng)絡(luò)安全,損害公共利益和他人合法權(quán)益。

 

任何個(gè)人和組織不得從事非法侵入他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動(dòng);不得提供專門用于上述危害網(wǎng)絡(luò)安全活動(dòng)的程序、工具;明知他人從事危害網(wǎng)絡(luò)安全的活動(dòng)的,不得為其提供技術(shù)支持、廣告推廣、支付結(jié)算等幫助。

 

任何個(gè)人和組織發(fā)送的電子信息、提供的應(yīng)用軟件,不得設(shè)置惡意程序,不得含有法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔ⅰ?/span>


        (三)    安全評(píng)估審查義務(wù)

網(wǎng)絡(luò)運(yùn)營者

CII運(yùn)營者

網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者

安全評(píng)估、

審查義務(wù)

















    /

采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)當(dāng)通過國家安全審查。

 

在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)依法進(jìn)行安全評(píng)估。

 

自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估。

               















          /

      (四)   保密義務(wù)

網(wǎng)絡(luò)運(yùn)營者

CII運(yùn)營者

網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者

保密義務(wù)

應(yīng)對(duì)其收集的用戶信息嚴(yán)格保密,并建立健全用戶信息保護(hù)制度。

關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議,明確安全和保密義務(wù)與責(zé)任。

/

      (五)   信息規(guī)范收集、使用的義務(wù)

網(wǎng)絡(luò)運(yùn)營者

CII運(yùn)營者

網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者

個(gè)人和組織

信息規(guī)范收集、

使用義務(wù)

不得泄露、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意,不得向他人提供個(gè)人信息。但是,經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外。

 

應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集的個(gè)人信息安全,防止信息泄露、毀損、丟失。

 

不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息,并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定,處理其保存的個(gè)人信息。

 

個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除其個(gè)人信息;發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集、存儲(chǔ)的其個(gè)人信息有錯(cuò)誤的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取措施予以刪除或者更正。

在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)依法進(jìn)行安全評(píng)估。

網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的,其提供者應(yīng)當(dāng)向用戶明示并取得同意;涉及用戶個(gè)人信息的,還應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定。

 

任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息,不得非法出售或者非法向他人提供個(gè)人信息。

 

任何個(gè)人和組織不得設(shè)立用于實(shí)施詐騙,傳授犯罪方法,制作或者銷售違禁物品、管制物品等違法犯罪活動(dòng)的網(wǎng)站、通訊群組,不得利用網(wǎng)絡(luò)發(fā)布涉及實(shí)施詐騙,制作或者銷售違禁物品、管制物品以及其他違法犯罪活動(dòng)的信息。

      四、 六個(gè)待明確的 新規(guī)
      本次《網(wǎng)絡(luò)安全法》是一部基礎(chǔ)性的安全保障法律,很多條文僅做出原則性規(guī)定,而并沒有對(duì)問題的解決提供具體指導(dǎo)思路,可操作性不強(qiáng)。因此,在實(shí)際操作中如何落實(shí)操作各項(xiàng)原則性保護(hù)辦法和制度就需要各主管部門另行制定實(shí)施細(xì)則、指引或相關(guān)產(chǎn)品目錄等規(guī)范性文件。從《網(wǎng)絡(luò)安全法》的表述來看,接下來將出臺(tái)的“新規(guī)”主要有以下幾個(gè):
      1、 網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法
      國家互聯(lián)網(wǎng)信息辦公室于2017年2月4日發(fā)布《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》征求意見稿,該征求意見稿明確了關(guān)系國家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)當(dāng)經(jīng)過網(wǎng)絡(luò)安全審查。國家網(wǎng)信辦聘請(qǐng)專家成立網(wǎng)絡(luò)安全審查委員會(huì),并認(rèn)證第三方安全審查機(jī)構(gòu),進(jìn)行第三方安全評(píng)價(jià)工作。但需要注意的是,該征求意見稿不僅僅是針對(duì)CII運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品服務(wù)而言,而是所有可能對(duì)公共利益產(chǎn)生影響的網(wǎng)絡(luò)產(chǎn)品、服務(wù)都需要進(jìn)行審查。
      審查重點(diǎn)為網(wǎng)絡(luò)產(chǎn)品、服務(wù)安全性、可控性。具體包括:
      ● 產(chǎn)品和服務(wù)被非法控制、干擾和中斷運(yùn)行的風(fēng)險(xiǎn);
      ● 產(chǎn)品及關(guān)鍵部件研發(fā)、交付、技術(shù)支持過程中的風(fēng)險(xiǎn);
      ● 產(chǎn)品和服務(wù)提供者利用提供產(chǎn)品和服務(wù)的便利條件非法收集、存儲(chǔ)、處理、利用用戶相關(guān)信息的風(fēng)險(xiǎn);
      ● 產(chǎn)品和服務(wù)提供者利用用戶對(duì)產(chǎn)品和服務(wù)的依賴,實(shí)施不正當(dāng)競(jìng)爭(zhēng)或損害用戶利益的風(fēng)險(xiǎn);
      【條文鏈接】:
      第三十五條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)當(dāng)通過國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門組織的國家安全審查。
      2、 網(wǎng)絡(luò)安全等級(jí)保護(hù)制度
      新法中屢次提及的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的具體內(nèi)容目前仍沒有明確。有觀點(diǎn)認(rèn)為,新法中的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度可能與我國已經(jīng)通過相關(guān)法規(guī)確立的兩項(xiàng)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度(即“計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度”和“通信網(wǎng)絡(luò)安全分級(jí)保護(hù)制度”)在涉及網(wǎng)絡(luò)及其安全的限度內(nèi)有所交叉或重疊。但現(xiàn)在仍無法判斷新法中的等級(jí)保護(hù)制度是在已有制度基礎(chǔ)上進(jìn)行吸收、整合,還是重新構(gòu)建。
      無論如何,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度對(duì)于網(wǎng)絡(luò)運(yùn)營者而言具有重要的指示規(guī)范作用,因?yàn)閺男路ㄒ?guī)定來看,網(wǎng)絡(luò)運(yùn)營者的安全保護(hù)義務(wù)將基于網(wǎng)絡(luò)安全等級(jí)保護(hù)制度來確定,這意味著不同等級(jí)的網(wǎng)絡(luò)運(yùn)營者所肩負(fù)的安全保護(hù)義務(wù)是不同的。
      【條文鏈接】:
      第二十一條國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行...安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
      第三十一條國家對(duì)...關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。
      3、 網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄
      今后對(duì)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品將實(shí)行“清單管理”,由相關(guān)主管部門制定產(chǎn)品目錄,凡是出現(xiàn)在目錄中的設(shè)備、產(chǎn)品都需要進(jìn)行安全認(rèn)證和檢測(cè)才能夠銷售或提供。需要注意的是,審議稿第二稿中,僅對(duì)“銷售”網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品進(jìn)行規(guī)制,但最終稿中將范圍擴(kuò)大到“銷售或提供”。因此,即使免費(fèi)提供目錄中的設(shè)備、產(chǎn)品,也需要完成認(rèn)證和檢測(cè)。
      【條文鏈接】:
      第二十三條網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求,由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后,方可銷售或者提供。國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,并推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn),避免重復(fù)認(rèn)證、檢測(cè)。
      4、關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法
      目前《網(wǎng)絡(luò)安全法》對(duì)CII的原則性定義較為寬泛,可操作性不強(qiáng)。因涉及國家安全和社會(huì)公共利益,各部門將根據(jù)行業(yè)特征分別制定并實(shí)施對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)和安全規(guī)劃。前文所述的《操作指南》中關(guān)于CII的認(rèn)定方法也很可能成為各部門在實(shí)際操作中的借鑒和指引。
      【條文鏈接】:
      第三十一條關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定。
      第三十二條按照國務(wù)院規(guī)定的職責(zé)分工,負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門分別編制并組織實(shí)施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃,指導(dǎo)和監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全保護(hù)工作。
      5、 個(gè)人信息跨境傳輸?shù)陌踩u(píng)估辦法
      因涉及國家安全和公共利益,未來CII運(yùn)營者中國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息、重要數(shù)據(jù)跨境傳輸將受到限制。本次新法并沒有明確重要數(shù)據(jù)的含義,在第三次審議稿中更是將“重要業(yè)務(wù)數(shù)據(jù)”(important business data)修改為“重要數(shù)據(jù)”(important data),限制傳輸?shù)臄?shù)據(jù)范圍更大。由此,對(duì)企業(yè)產(chǎn)生的影響也就更大,甚至可能阻礙企業(yè)業(yè)務(wù)的開展和與境外的合作。但本次新法并沒有完全禁止數(shù)據(jù)跨境傳輸,在因業(yè)務(wù)需要而確需向境外提供的情況下,經(jīng)過安全評(píng)估后可以進(jìn)行數(shù)據(jù)的跨境提供。雖然監(jiān)管部門將進(jìn)一步制定安全評(píng)估辦法,但最終哪些信息是因業(yè)務(wù)需要提供而須經(jīng)過評(píng)估的標(biāo)準(zhǔn)仍十分模糊,監(jiān)管部門對(duì)此有較大的裁量權(quán)。
      【條文鏈接】:
      第三十七條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估。
      6、安全監(jiān)測(cè)預(yù)警和應(yīng)急處置制度
      新法第五章明確了國家將建立安全監(jiān)測(cè)預(yù)警機(jī)制和應(yīng)急處置機(jī)制。未來企業(yè)的網(wǎng)絡(luò)安全保護(hù)工作會(huì)面臨更嚴(yán)格的監(jiān)管,受到主管部門和社會(huì)的監(jiān)督。主管部門將根據(jù)風(fēng)險(xiǎn)事件的特點(diǎn)或違反安全保護(hù)義務(wù)行為可能帶來的損害對(duì)安全事件進(jìn)行分級(jí),并向社會(huì)預(yù)警通報(bào),采取其他相應(yīng)的應(yīng)急措施。而一旦因發(fā)生安全事件被采取信息通報(bào)、分級(jí)等措施,將可能對(duì)企業(yè)聲譽(yù)、社會(huì)評(píng)價(jià)、信用記錄等方面帶來不良的影響。
      【條文鏈接】:
      第五十一條國家建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度。國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)網(wǎng)絡(luò)安全信息收集、分析和通報(bào)工作,按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息。
      第五十二條負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門,應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,并按照規(guī)定報(bào)送網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息。
      第五十三條國家網(wǎng)信部門協(xié)調(diào)有關(guān)部門建立健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制,制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期組織演練。負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門應(yīng)當(dāng)制定本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期組織演練。網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案應(yīng)當(dāng)按照事件發(fā)生后的危害程度、影響范圍等因素對(duì)網(wǎng)絡(luò)安全事件進(jìn)行分級(jí),并規(guī)定相應(yīng)的應(yīng)急處置措施。
      五、 對(duì)企業(yè)如何履行安全保護(hù)義務(wù)的建議
      本次《網(wǎng)絡(luò)安全法》的出臺(tái)給互聯(lián)網(wǎng)相關(guān)企業(yè)從各方面都帶來不小的影響,企業(yè)今后將要在網(wǎng)絡(luò)安全保護(hù)和管理等方面承擔(dān)更多的義務(wù)和責(zé)任。企業(yè)需梳理并 需要做 以下幾件的事情:
      1、完善安全管理制度。采取有效技術(shù)措施和網(wǎng)絡(luò)安全防護(hù)設(shè)備保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行,能有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件,具體而言:
      ● 無線網(wǎng)絡(luò)接入的加密和分級(jí)授權(quán);
      ● 內(nèi)部電子郵箱等通訊軟件的安全管理;
      ● 技術(shù)部門外部采購行為的規(guī)范審查;
      ● 對(duì)系統(tǒng)及硬件供應(yīng)商、服務(wù)商的資質(zhì)審查、存檔記錄;
      ● 系統(tǒng)定期升級(jí)、維護(hù);
      ● 加強(qiáng)信息數(shù)據(jù)管理,對(duì)重要數(shù)據(jù)做備份、存檔、加密等處理。
      2、建立審核監(jiān)控制度,具體而言:
      ● 審核監(jiān)控制度須能夠有效監(jiān)控網(wǎng)絡(luò)系統(tǒng),及時(shí)發(fā)現(xiàn)漏洞和信息泄露等風(fēng)險(xiǎn);
      ● 審核監(jiān)控制度須具備“信息過濾”功能,保證網(wǎng)絡(luò)服務(wù)提供者不會(huì)收集與其提供的服務(wù)無關(guān)的信息,尤其是涉及國家秘密、個(gè)人隱私等重要敏感信息;
      ● 審核監(jiān)控制度需要解決如何能有效發(fā)現(xiàn)、鑒別用戶上傳、傳輸內(nèi)容的問題,以便及時(shí)處置;
      ● 審核監(jiān)控制度需要解決如何有效應(yīng)對(duì)用戶的刪除/更正請(qǐng)求的問題。
      3、建立信息標(biāo)記及回溯制度,使用信息數(shù)據(jù)地圖以識(shí)別存儲(chǔ)介質(zhì)的位置以及追蹤數(shù)據(jù)信息的流轉(zhuǎn)路徑,為企業(yè)進(jìn)行網(wǎng)絡(luò)安全評(píng)估、信息數(shù)據(jù)存儲(chǔ)傳輸、敏感信息過濾等提供幫助。
      4、定期進(jìn)行安全檢查和評(píng)估,被認(rèn)定為CII運(yùn)營者的每年必須進(jìn)行一次評(píng)估。
      5、建立報(bào)告制度。及時(shí)報(bào)告系統(tǒng)漏洞、信息泄露等風(fēng)險(xiǎn)事件。
      6、建立保密制度。依法簽署保密協(xié)議,并采取設(shè)置安全系統(tǒng),物理隔離區(qū)域等手段對(duì)個(gè)人信息、重要數(shù)據(jù)進(jìn)行保密。
      7、建立安全責(zé)任制度。本次新法明確規(guī)定,在企業(yè)違反網(wǎng)絡(luò)安全保護(hù)義務(wù)情形下,可對(duì)直接負(fù)責(zé)的主管人員或責(zé)任人員企業(yè)內(nèi)部安全保護(hù)管理工作分工明確,制度健全。依法對(duì)安全負(fù)責(zé)人及關(guān)鍵崗位人員選任并實(shí)施安全審查,定期對(duì)從業(yè)人員培訓(xùn)、教育和考核。
      8、加強(qiáng)對(duì)外包服務(wù)的風(fēng)控。涉及網(wǎng)絡(luò)信息安全的服務(wù)外包時(shí),在協(xié)議中明確約定外包服務(wù)商的行為規(guī)范和風(fēng)險(xiǎn)事件發(fā)生時(shí)的責(zé)任承擔(dān)。
      9、 完善投訴舉報(bào)制度。公示暢通的投訴舉報(bào)渠道,并及時(shí)處理相關(guān)投訴舉報(bào)。
      六、 企業(yè)在網(wǎng)絡(luò)安全領(lǐng)域需要什么樣的專業(yè)法律合規(guī)服務(wù)
      1、 盡職調(diào)查
      以新法和國家安全審查相關(guān)指引為基礎(chǔ),并結(jié)合本文第五部分建議的措施對(duì)企業(yè)的網(wǎng)絡(luò)安全義務(wù)履行是否符合法律要求,各項(xiàng)制度建立是否健全進(jìn)行核查,并從合法性、安全性、保密性等方面對(duì)企業(yè)安全制度建設(shè)是否合規(guī)進(jìn)行盡職調(diào)查。
      2、人員訪談
      與安全責(zé)任人、關(guān)鍵崗位從業(yè)人員以及可能對(duì)安全審查結(jié)果產(chǎn)生影響的人員進(jìn)行訪談,了解相關(guān)崗位的設(shè)置,并對(duì)人員選任審查、職責(zé)分工、授權(quán)權(quán)限、培訓(xùn)考核情況等方面進(jìn)行審查。在很多情況下,人員訪談也屬于盡職調(diào)查的重要組成部分,貫穿盡職調(diào)查的過程中完成。
      3、提供制度建設(shè)建議,幫助企業(yè)完善安全保護(hù)管理制度
      在上述盡職調(diào)查的基礎(chǔ)上,與企業(yè)聘請(qǐng)的安全評(píng)估機(jī)構(gòu)、技術(shù)專家等第三方機(jī)構(gòu)以及企業(yè)技術(shù)部門充分溝通,幫助企業(yè)建立和完善安全審核制度、報(bào)告制度、保密制度等網(wǎng)絡(luò)安全保護(hù)管理制度和流程,作為企業(yè)的日常管理制度的一部分。
      4、起草、審核協(xié)議和相關(guān)法律文件
      幫助企業(yè)起草、審核:
      ● 與網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者之間的合作協(xié)議、保密協(xié)議;
      ● 與外包服務(wù)商之間的合作協(xié)議、保密協(xié)議;
      ● 網(wǎng)絡(luò)產(chǎn)品服務(wù)相關(guān)的用戶協(xié)議,平臺(tái)協(xié)議,特別是其中的隱私保護(hù)及通知政策、個(gè)人信息授權(quán)許可條款,保密條款等。   
      5、及時(shí)更新網(wǎng)絡(luò)安全相關(guān)法規(guī)和指引
      本文中已經(jīng)闡述了在新法出臺(tái)后可能出臺(tái)的六個(gè)新規(guī),而面對(duì)網(wǎng)絡(luò)安全監(jiān)管這一新概念,各個(gè)主管部門也在摸索中前進(jìn),今后關(guān)于網(wǎng)絡(luò)安全保護(hù)的具體實(shí)施辦法必將有更多的規(guī)范性文件和指引。企業(yè)須及時(shí)解讀新規(guī)內(nèi)容,對(duì)企業(yè)的網(wǎng)絡(luò)安全保護(hù)管理制度進(jìn)行更新,使其符合主管部門的要求。
 



[版權(quán)聲明] 滬ICP備17030485號(hào)-1 

滬公網(wǎng)安備 31010402007129號(hào)

技術(shù)服務(wù):上海同道信息技術(shù)有限公司   

     技術(shù)電話:400-052-9602(9:00-11:30,13:30-17:30)

 技術(shù)支持郵箱 :12345@homolo.com

上海市律師協(xié)會(huì)版權(quán)所有 ?2017-2024