網(wǎng)絡(luò)安全法解讀(三零衛(wèi)士)

中國電子科技網(wǎng)絡(luò)信息安全有限公司2017年《網(wǎng)絡(luò)安全法》解讀主題內(nèi)容立法背景一基本概念二法案亮點三落地要求四相關(guān)背景---迫切且必要網(wǎng)絡(luò)安全形勢日趨嚴峻----“棱鏡門”事件敲響警鐘制定基本法律刻不容緩堅持從國情出發(fā)堅持問題導(dǎo)向堅持安全與發(fā)展并重是落實國家總體安全觀的重要舉措，是維護網(wǎng)絡(luò)安全的客觀需要相關(guān)背景---政策/法律/主管部門《關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]

27號,簡稱“27號文”)《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》》(國辦發(fā)[2012]第23號)------------------------------------------------------------------《中華人民共和國計算機信息系統(tǒng)安全保護條例》《信息安全等級保護管理辦法》（公安部）------------------------------------------------------------------中央網(wǎng)信辦成立（135規(guī)劃、4.19講話、CIIP檢查）相關(guān)背景---制定過程2013年：提上日程2014年：形成草案2015年：形成征求意見稿2015年6月：一審2016年6月：二審2016年10月：三審16年11月7日：全國人大通過17年6月1日：正式施行相關(guān)背景---定位和規(guī)范范圍網(wǎng)絡(luò)空間主權(quán)（含特定域外效力）國家網(wǎng)絡(luò)安全等級保護制度關(guān)鍵信息基礎(chǔ)設(shè)施保護（CIIP）網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者義務(wù)保障網(wǎng)絡(luò)信息安全，個人信息保護關(guān)鍵信息基礎(chǔ)設(shè)施重要數(shù)據(jù)跨境傳輸監(jiān)測預(yù)警與應(yīng)急處置是互聯(lián)網(wǎng)領(lǐng)域、網(wǎng)絡(luò)安全的基礎(chǔ)性法律主題內(nèi)容立法背景一內(nèi)容解讀二法案亮點三落地要求四框架目錄《網(wǎng)絡(luò)安全法》總體框架。共7章79條。目錄如下：第一章總則第二章網(wǎng)絡(luò)安全支持與促進第三章網(wǎng)絡(luò)運行安全第一節(jié)一般規(guī)定第二節(jié)關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全第四章網(wǎng)絡(luò)信息安全第五章監(jiān)測預(yù)警與應(yīng)急處置第六章法律責(zé)任第七章附則內(nèi)容解讀建立運營規(guī)范保護數(shù)據(jù)CIA行業(yè)自建標準明確網(wǎng)絡(luò)權(quán)益保護未成年人賦予舉報權(quán)利第二章：網(wǎng)絡(luò)安全支持與促進明確國家在信息安全標準體系建設(shè)、人才培養(yǎng)等多方面支持和促進；明確各級人民政府需要支持整個網(wǎng)絡(luò)安全的發(fā)展；國家支持企業(yè)、研究機構(gòu)、高等學(xué)校、相關(guān)組織及個人參與國家層面的相關(guān)網(wǎng)絡(luò)安全工作；國家將推動國家公共數(shù)據(jù)資源的開發(fā)。明確法案目標規(guī)定信安方針制定應(yīng)對措施凈化網(wǎng)絡(luò)環(huán)境開展多邊合作確定主管部門第一章：總則內(nèi)容解讀6、規(guī)定網(wǎng)絡(luò)運營者對安全事件應(yīng)急處置要求；7、對于個人、組織、公安機關(guān)、有關(guān)部門等的數(shù)據(jù)使用權(quán)限定義；8、單獨對關(guān)鍵信息基礎(chǔ)設(shè)施進行定義；9、對關(guān)鍵信息基礎(chǔ)設(shè)施運營者制定了嚴苛的安全要求；10、明確要求關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)只能存放于國內(nèi)。1、將網(wǎng)絡(luò)運行安全分為一般規(guī)定和關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全；2、第一次在法律中明確了我國要實行等級保護制度；3、規(guī)定了網(wǎng)絡(luò)運營者的基本安全防護責(zé)任和防范措施；4、對于網(wǎng)絡(luò)產(chǎn)品和安全產(chǎn)品明確要求建立國家檢測標準體系；5、網(wǎng)絡(luò)實名制有了法律依據(jù)；第三章：網(wǎng)絡(luò)運行安全內(nèi)容解讀第四章：網(wǎng)絡(luò)信息安全規(guī)定網(wǎng)絡(luò)運營者對于個人信息的收集、使用、保密原則及義務(wù)；個人對于個人信息相關(guān)主張權(quán)利的法律保護；對于相關(guān)組織和個人在網(wǎng)絡(luò)中行為規(guī)范；國家網(wǎng)信部門和相關(guān)部門的責(zé)任和義務(wù)第五章：檢測預(yù)警與應(yīng)急處置國家建立國家級別檢測預(yù)警體系，網(wǎng)信部門統(tǒng)籌；關(guān)鍵信息基礎(chǔ)設(shè)施實施運維部門要建立和健全自身檢查預(yù)警與應(yīng)急處置體系；對各級政府、相關(guān)部門在網(wǎng)絡(luò)安全事件中進行相應(yīng)賦權(quán)；允許國務(wù)院在特殊時期進行網(wǎng)絡(luò)管制內(nèi)容解讀第六章：法律責(zé)任本法作出的處罰均為行政處罰；如行為嚴重的則由刑法進行相關(guān)處罰；對有權(quán)利進行處罰的單位進行說明；對于執(zhí)法機關(guān)的違法行為進行了處罰規(guī)定。第七章：附則明確本法執(zhí)行時間（2017年6月1日）；對前文重要名詞定義進行說明；對涉及軍事網(wǎng)絡(luò)的內(nèi)容進行了說明。主要用語1、網(wǎng)絡(luò)安全---是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

網(wǎng)絡(luò)安全=運行安全（系統(tǒng)安全+產(chǎn)品安全+服務(wù)安全+CIIP增強）

+

信息安全（以個人信息保護為主）

+

監(jiān)測預(yù)警、信息通報、應(yīng)急處置、約談限制主要用語2、網(wǎng)絡(luò)運營者---是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。

上述都是網(wǎng)絡(luò)安全責(zé)任主體（第一責(zé)任人），注意這里的“網(wǎng)絡(luò)”是指所有類型的network主要用語3、關(guān)鍵信息基礎(chǔ)設(shè)施（CII）---【國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益】的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。（第三十一條）主要用語網(wǎng)站類CIIP：1、縣級（含）以上黨政機關(guān)網(wǎng)站2、重點新聞網(wǎng)站3、日均訪問量超過100萬人次的網(wǎng)站4、一旦發(fā)生網(wǎng)絡(luò)安全事故，可能造成以下影響之一的：

（1）影響超過100萬人工作、生活；

（2）影響單個地市級行政區(qū)30%以上人口的工作、生活；

（3）造成超過100萬人個人信息泄露；

（4）造成大量機構(gòu)、企業(yè)敏感信息泄露；

（5）造成大量地理、人口、資源等國家基礎(chǔ)數(shù)據(jù)泄露；

（6）嚴重損害政府形象、社會秩序，或危害國家安全。主題內(nèi)容立法背景一基本概念二法案亮點三落地要求四法案亮點一、明確基本原則網(wǎng)絡(luò)空間主權(quán)原則；網(wǎng)絡(luò)安全與信息化發(fā)展并重原則；共同治理原則。二、明確政府各級部門的職責(zé)規(guī)定了政府各部門的責(zé)任，從監(jiān)管、支持、應(yīng)急等多個方面對政府提出了明確要求；明確了政府對于網(wǎng)絡(luò)安全擁有的權(quán)力，如信息獲取、網(wǎng)絡(luò)管制等；規(guī)定了政府各部門應(yīng)盡的義務(wù)法案亮點三、未成年人網(wǎng)絡(luò)安全正式將向未成年人提供網(wǎng)絡(luò)安全環(huán)境列入法律管轄范圍；成為未成年人網(wǎng)絡(luò)保護相關(guān)條例的頂層設(shè)計。四、強化網(wǎng)絡(luò)運維安全管理對于關(guān)鍵信息基礎(chǔ)設(shè)施進行了專門的規(guī)定；明確了我國要施行網(wǎng)絡(luò)安全等級保護制度；為網(wǎng)絡(luò)運營者，制定了較為明確的信息安全運維基線。法案亮點五、網(wǎng)絡(luò)安全違反行為處罰網(wǎng)絡(luò)安全義務(wù)和責(zé)任明顯加重，處罰條款明確；填補了我國網(wǎng)絡(luò)安全行政處罰的法律空白。六、數(shù)據(jù)監(jiān)管更嚴格跨境數(shù)據(jù)將受到更為嚴格的管理；第一次立法確認數(shù)據(jù)被遺忘權(quán)；為大數(shù)據(jù)商業(yè)模式提供了法律支撐。法案亮點七、網(wǎng)絡(luò)實名制入法正式將網(wǎng)絡(luò)實名制寫入現(xiàn)行法律，為運營商開展網(wǎng)絡(luò)實名制提供依據(jù)。八、明確提出產(chǎn)品安全要求為各行業(yè)主管單位提供了標準制定法律依據(jù)；對網(wǎng)絡(luò)及安全設(shè)備的檢測、上市、采購提出了更嚴格的要求。主題內(nèi)容立法背景一基本概念二法案亮點三落地要求四落地要求要求業(yè)務(wù)與安全同步進行，實行同步規(guī)劃、同步建設(shè)、同步使用?；诘缺Ｒ?，開展等保測評相關(guān)工作；引入安全服務(wù)，開展風(fēng)險評估、滲透測試、安全評估、應(yīng)急響應(yīng)、安全演練增強個人信息數(shù)據(jù)管控，從技術(shù)手段、管理手段，確保個人數(shù)據(jù)使用得當、防止數(shù)據(jù)濫用、泄露，違規(guī)使用等行為。針對關(guān)鍵信息基礎(chǔ)設(shè)施行為，除開展以上等保要求的一般規(guī)定外，還需遵守本行業(yè)安全標準和規(guī)范。關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)采購網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)，應(yīng)使用自主可控的安全產(chǎn)品，并簽定保密協(xié)議；關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)每年至少開展1次安全檢測評估，并由上級監(jiān)管部門進行抽查，還需開展相關(guān)應(yīng)急演練、安全培訓(xùn)等工作。落地要求網(wǎng)絡(luò)安全法涉及的要求、技術(shù)、產(chǎn)品、服務(wù)信息如下：上網(wǎng)行為管控數(shù)據(jù)防泄漏網(wǎng)絡(luò)防病毒網(wǎng)絡(luò)防入侵數(shù)據(jù)安全（數(shù)據(jù)分類、備份、容災(zāi)）網(wǎng)絡(luò)日志存儲管理網(wǎng)絡(luò)安全審計IT運維/網(wǎng)管……網(wǎng)絡(luò)安全等級保護測評（三級）網(wǎng)絡(luò)安全檢測、加固網(wǎng)絡(luò)風(fēng)險評估網(wǎng)絡(luò)安全體系建設(shè)網(wǎng)絡(luò)應(yīng)急響應(yīng)網(wǎng)絡(luò)安全監(jiān)測預(yù)警網(wǎng)絡(luò)安全信息通報安全演練安全培訓(xùn)……網(wǎng)絡(luò)安全等級保護制度第二十一條國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負責(zé)人，落實網(wǎng)絡(luò)安全保護責(zé)任；（二）采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。網(wǎng)絡(luò)產(chǎn)品和服務(wù)（強制性要求）第二十二條網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當符合相關(guān)國家標準的強制性要求。不得設(shè)置惡意程序；發(fā)現(xiàn)安全缺陷、漏洞等風(fēng)險時，立即采取補救措施，及時告知用戶并向有關(guān)主管部門報告；網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當為其產(chǎn)品、服務(wù)持續(xù)提供安全維護；在約定期限內(nèi)，不得終止提供安全維護；網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當向用戶明示并取得同意。第二十三條網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當按照相關(guān)國家標準的強制性要求，由具備資格的機構(gòu)安全認證合格或者安全檢測符合要求后，方可銷售或者提供。（由國家網(wǎng)信部門制定、公布產(chǎn)品目錄）網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案第二十五條網(wǎng)絡(luò)運營者應(yīng)當制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險；在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補救措施，并按照規(guī)定向有關(guān)主管部門報告。網(wǎng)絡(luò)安全服務(wù)應(yīng)遵守規(guī)定第二十六條開展網(wǎng)絡(luò)安全認證、檢測、風(fēng)險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當遵守國家有關(guān)規(guī)定。關(guān)鍵信息基礎(chǔ)設(shè)施---重點保護第三十一條國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護辦法由國務(wù)院制定。CII安全規(guī)劃同步規(guī)劃同步建設(shè)同步使用每年至少1次風(fēng)險評估（網(wǎng)信部門可委托檢測評估）等保之上的安全保護產(chǎn)品采購/服務(wù)外包安全國家安全審查數(shù)據(jù)境內(nèi)留存和跨境流動關(guān)鍵信息基礎(chǔ)設(shè)施---重點保護第三十二條…負責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門分別編制并組織實施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃…第三十三條…保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。第三十四條…運營者還應(yīng)當履行下列安全保護義務(wù)：（設(shè)置專門安全管理機構(gòu)和安全管理負責(zé)人、安全背景審查、教育培訓(xùn)和技能考核、容災(zāi)備份、應(yīng)急預(yù)案及演練）第三十五條…運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。關(guān)鍵信息基礎(chǔ)設(shè)施---重點保護第三十六條…運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當按照規(guī)定與提供者簽訂安全保密協(xié)議…第三十七條…個人信息和重要數(shù)據(jù)應(yīng)當在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估…第三十八條關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進行一次檢測評估…第三十九條國家網(wǎng)信部門應(yīng)當統(tǒng)籌協(xié)調(diào)有關(guān)部門對關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護采取下列措施：（抽查檢測、委托檢測、組織演練、促進共享、提供技術(shù)支持和協(xié)助）網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度第五十一條國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度。國家網(wǎng)信部門應(yīng)當統(tǒng)籌協(xié)調(diào)有關(guān)部門加強網(wǎng)絡(luò)安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息。（目前有GA、CNCERT等）第五十二條負責(zé)關(guān)鍵信息基礎(chǔ)