A. 中華人民共和國網路安全法
第一章總 則第一條為了保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法。第二條在中華人民共和國境內建設、運營、維護和使用網路,以及網路安全的監督管理,適用本法。第三條國家堅持網路安全與信息化發展並重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網路基礎設施建設和互聯互通,鼓勵網路技術創新和應用,支持培養網路安全人才,建立健全網路安全保障體系,提高網路安全保護能力。第四條國家制定並不斷完善網路安全戰略,明確保障網路安全的基本要求和主要目標,提出重點領域的網路安全政策、工作任務和措施。第五條國家採取措施,監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治網路違法犯罪活動,維護網路空間安全和秩序。第六條國家倡導誠實守信、健康文明的網路行為,推動傳播社會主義核心價值觀,採取措施提高全社會的網路安全意識和水平,形成全社會共同參與促進網路安全的良好環境。第七條國家積極開展網路空間治理、網路技術研發和標准制定、打擊網路違法犯罪等方面的國際交流與合作,推動構建和平、安全、開放、合作的網路空間,建立多邊、民主、透明的網路治理體系。第八條國家網信部門負責統籌協調網路安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責范圍內負責網路安全保護和監督管理工作。
縣級以上地方人民政府有關部門的網路安全保護和監督管理職責,按照國家有關規定確定。第九條網路運營者開展經營和服務活動,必須遵守法律、行政法規,尊重社會公德,遵守商業道德,誠實信用,履行網路安全保護義務,接受政府和社會的監督,承擔社會責任。第十條建設、運營網路或者通過網路提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,採取技術措施和其他必要措施,保障網路安全、穩定運行,有效應對網路安全事件,防範網路違法犯罪活動,維護網路數據的完整性、保密性和可用性。第十一條網路相關行業組織按照章程,加強行業自律,制定網路安全行為規范,指導會員加強網路安全保護,提高網路安全保護水平,促進行業健康發展。第十二條國家保護公民、法人和其他組織依法使用網路的權利,促進網路接入普及,提升網路服務水平,為社會提供安全、便利的網路服務,保障網路信息依法有序自由流動。
任何個人和組織使用網路應當遵守憲法法律,遵守公共秩序,尊重社會公德,不得危害網路安全,不得利用網路從事危害國家安全、榮譽和利益,煽動顛覆國家政權、推翻社會主義制度,煽動分裂國家、破壞國家統一,宣揚恐怖主義、極端主義,宣揚民族仇恨、民族歧視,傳播暴力、淫穢色情信息,編造、傳播虛假信息擾亂經濟秩序和社會秩序,以及侵害他人名譽、隱私、知識產權和其他合法權益等活動。第十三條國家支持研究開發有利於未成年人健康成長的網路產品和服務,依法懲治利用網路從事危害未成年人身心健康的活動,為未成年人提供安全、健康的網路環境。第十四條任何個人和組織有權對危害網路安全的行為向網信、電信、公安等部門舉報。收到舉報的部門應當及時依法作出處理;不屬於本部門職責的,應當及時移送有權處理的部門。
有關部門應當對舉報人的相關信息予以保密,保護舉報人的合法權益。第二章網路安全支持與促進第十五條國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責,組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。
國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。第十六條國務院和省、自治區、直轄市人民政府應當統籌規劃,加大投入,扶持重點網路安全技術產業和項目,支持網路安全技術的研究開發和應用,推廣安全可信的網路產品和服務,保護網路技術知識產權,支持企業、研究機構和高等學校等參與國家網路安全技術創新項目。
《網路安全法》對企業提高了准入門檻和運行安全能力要求。網安法在第21條、第31條明確規定了網路運營者和關鍵信息基礎設施運營者都應該按等級保護要求對系統進行安全保護,以法律的形式確定等級保護工作為國家網路安全的基本國策,並在法律層面確立了其在網路安全領域的基礎、核心地位。因此,企業/網路運營者應該採取合適的廠商提供全方面的安全服務,確保信息安全和網路安全。可以看看銳捷的案例
C. 新出台的《網路安全法》對企業有哪些影響
隨著互聯網與實體經濟、傳統生產等的逐步融合,網路安全尤為關鍵。《中華人民共和國網路安全法》(以下簡稱:網路安全法)最近由全國人大常委會表決通過,於2017年6月1日起正式施行。這部備受關注的網路安全基礎性法律的出台,將會對個人、企業等相關主體產生哪些影響?
對個人:個人信息受保護更加明確
目前,我國網路用戶群體龐大。據中國互聯網路信息中心《第38次中國互聯網路發展狀況統計報告》,截至2016年6月底,中國網民規模達7.1億,互聯網普及率達51.7%,其中手機網民規模達6.56億,網路安全問題不可掉以輕心。那麼,網路安全法的出台,將會給個人帶來哪些影響?
網路安全法對保護個人信息有了明確規定,如「網路運營者不得泄露、篡改、毀損其收集的個人信息」「任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息」等。
中國信息安全研究院副院長左曉棟指出,保護個人信息是當前網路工作中的重要方面,隨著雲計算、大數據時代的到來,越來越多的企業和機構擁有搜索個人信息的能力,個人信息的使用、交互、跨境傳輸越發頻繁。雖然相關部門此前有一些政策法規,但總體比較分散、不成體系,正需要這樣一部上位法。
360網路安全專家裴智勇指出,個人信息泄漏有多種原因,如網站存在安全漏洞,黑客或釣魚網站的竊取,無良商家的盜賣等。第三方機構已披露的數據顯示,2015年,中國網站因為安全漏洞可能泄漏的個人信息多達55.3億條,其中包括大量的用戶實名信息。
中國互聯網協會「互聯網+」研究咨詢中心副主任李易表示,未來網上聊天記錄、郵件往來等,都可以作為證據進行留存取證,網路糾紛和安全問題更便於追溯。這對網民網上消費生活信心的極大提升。他打了個比方,如果個人用戶在手機上下載並使用某個APP而導致個人信息泄露,過去沒法投訴提供服務的應用商,但網路安全法提供了明確的法律依據,「這意味著以後涉及互聯網領域的官司可能會越來越好打了。」
另一方面,網路安全法提出的「網路運營者為用戶辦理網路接入、域名注冊服務,辦理固定電話、行動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,應當要求用戶提供真實身份信息」等規定,也以法律形式明確了「網路實名制」。這給遏制如今網路謠言肆意傳播、網路暴力泛濫等亂象,提供了法治基礎。
左曉棟認為,從打擊犯罪、維護國家安全等角度看,這次提出的網路實名制比以往的電話實名制范圍更廣,且其「前台匿名、後台實名」的原則也充分保護個人隱私,如個人上網發帖子以後照樣可以匿名或用網名,只是在涉及執法時後台能追蹤調查到個人。
對企業:提高了准入門檻和運行安全能力要求
一旦互聯網企業或系統出現問題乃至發生癱瘓,會造成重大損失。在業內專家看來,互聯網發展到現階段,需要設置門檻,不能再「野蠻生長」;這個門檻就是安全,而網路安全法正是「安全保障之門」。
中國政法大學傳播法研究中心副主任朱巍指出,網路安全法對企業的安全資質、內部技術、制度等有了具體規定,要求網路服務提供者開展業務、提供服務的同時保障安全,若達不到要求無法進行服務。這將作為互聯網企業發展的一個衡量標准。
同時,網路安全法也對互聯網公司提出了更高要求。特別是,大型互聯網公司現在已可被視為基礎信息平台,如阿里、網路、騰訊等擁有數億用戶,這些企業應承擔起相應的義務。李易認為,互聯網企業必須有與其基礎信息平台相匹配的技術能力,如應對黑客攻擊、避免用戶損失等。同時,也要有相關的法律條款,對大企業的「霸王條款」進行規制。
業內專家也提出,網路安全法中「關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲」等規定,也對在我國經營的國外互聯網企業有了規范要求。
總的來說,網路安全法將提高互聯網企業的市場准入門檻,對發展運行也提出了更高的要求。尤其,在法律規范下,不具備安全技術能力的中小企業,未來可能更容易被淘汰。
專家建議:具體規定仍待細化
網路安全法出台到具體落實,還有一段過渡時間。在不少專家看來,不少具體規定要「落地」,還有一些配套措施需要完善。
朱巍說,網路實名制問題,到現在還沒有徹底落實,主要原因在技術上,是採用手機還是EID(網路電子身份證)等,方式仍未確定。另外,網站的主體責任問題目前仍未落實;仍未明確不同行業應遵循的具體標准;對於網站創建網民協議、搜集用戶信息、用戶知情權等的具體規定,也較缺乏。而且,現在很多互聯網企業並不保存點對點的信息記錄,一旦出現問題還是很難溯源。
朱巍認為,網路安全法「落地」,需要實施細則、個人數據保護法等其他法規的「配合」,網民協議制度、行業自律規范、技術能力等也都要跟上。
李易說,可以考慮推行評級系統,互聯網企業要正常運營,網路安全評級或可信度需要達到一定的等級,「這也相當於一個准入標准。」
北京師范大學法學院教授、亞太網路法律研究中心主任劉德良表示,未來要處理好網路安全法與一些相關法律法規的關系,如民事侵權責任、個人信息保護、軟硬體市場准入等相關法律法規,在保障網路安全的同時,避免在法律適用等環節出現問題。
互聯網領域新生事物的快速發展,對監管部門提出了更高的要求。業內專家指出,強制要求備案,所有互聯網企業域名解析、伺服器託管需要相關認證等規定,都是對互聯網企業創業的基本要求,尤其對於中小企業。左曉棟等表示,網路安全法到明年正式施行,還有幾個月時間,相關部門當抓緊制定和完善相關細則規定,推動相關企業做好准備工作。
D. 網路安全法 民營企業如何去落實
有下面3大建議:
一是開展《網路安全法》學習和網路安全檢查。《網路安全法》出台後,該局組織網路安全小組對其進行學習研討,對局網路安全風險進行全面分析排查,修改完善了《網路使用管理辦法》,認真做好網路安全監測預警,抓緊落實各項網路安全維護舉措。按照規定對上網電腦、個人移動存儲介質使用等情況進行了突擊檢查,對發現的問題提出整改意見,要求整改到位。
二是積極參加相關培訓。該局選派計算機審計處負責人先後參加了市經信委、市網路與信息安全協調小組辦公室聯合舉辦的《網路安全法》解讀暨網信安全防範專題講座,以及2017年全國網路安全信息通報暨公安機關網路安全執法檢查部署電視電話會議,對網路安全形勢,以及《網路安全法》出台的重要意義有了更加深刻的認識。
三是藉助專業公司強化自身建設。該局邀請相關專業公司對當前使用的操作系統、資料庫系統、應用軟體,以及伺服器、路由器、防火牆等硬體設備的安全性進行分析,並針對這些設備存在漏洞及管理員操作帶來的安全隱患等制訂了網路安全加固方案,增加了部分網路安全設備,細化了網路安全管理制度,明確了網路安全管理人員及其職責。加固方案實施結束後還將按規定聘請有資質的網路安全等級保護公司進行網路安全等級測評,力求從整體上提高網路的安全防禦能力。
E. 企業網路安全主要負哪些責任
網路安全法企業責任有:
1、嚴格保密用戶信息,建立健全用戶信息保護制度;
2、不得違反法律、行政法規的規定收集、使用個人信息;
3、不得泄露、篡改、毀損其收集的個人信息。
【法律依據】
《中華人民共和國網路安全法全文》第四十條
網路運營者應當對其收集的用戶信息嚴格保密,並建立健全用戶信息保護制度。
第四十一條
網路運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,並經被收集者同意。
網路運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
F. 網路安全法的法律依據與現行的哪些法律有關
網路的安全
指通過採用棗畢各種技術和管理措施,使網路系統正常運行,從而確保網路數據的可用性、完整性和保密性。網路安全的具體含義會隨著「角度」的變化而變化。比如:從用戶(個人、企業等)的角度來說,他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護。而從企業的角度來說,最重要的就是內部信息上的安全加密以及保護。
網路安全法的法律依據
一、關於保障網路產品和服務安全
維護網路安全,首先要保障網路產品和服務的安全。草案主要作了以下規定:一是,明確網路產品和服務提供者的安全義務,包括:不得設置惡意程序,及時向用戶告知安全缺陷、漏洞等風險,持續提供安全維護服務等(草案第十八條)。二是,總結實踐經驗,將網路關鍵設備和網路安全專用產品的安全認證和安全檢測制度上升為法律並作了必要凳拿芹的規范(草案第十九條)。三是,建立關鍵信息基礎設施運營者采購網路產品、服務的安全審查制度,規定:關鍵信息基礎設施的運營者采購網路產品或者服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的安全審查(草案第三十條)。
二、關於保障網路運行安全
保障網路運行安全,必須落實網路運營者第一責任人的責任。據此,草案將現行的網路安全等級保護制度上升為法律,要求網路運營者按照網路安全等級保護制度的要求,採取相應的管理措施和技術防範等措施,履行相應的網路安全保護義務。(草案第十七條)
為了保障關鍵信息基礎設施安全,維護國家安全、經濟安全和保障民生,草案設專節對關鍵信息基礎設施的運行安全作了規定,實行重點保護。范圍包括基礎信息網路、重要行業和領域的重要信息系統、軍事網路、重要政務網路、用戶數量眾多的商業網路等。並對關鍵信息基礎設施安全保護辦法的制定、負責安全保護工作的部門、運營者的安全保護義務、有關部門的監督和支持等作了規定。(草案第二十五條至第二十九條、第三十二條、第三十三條)
三、關於保障網路數據安全
隨著雲計算、大數據等技術的發展和應用,網路數據安全對維護國家安全、經濟安全,保護公民合法權益,促進數據利用至為重要。為此,草案作了以下規定:一是,要求網路運營者採取數據分類、重要數據備份和加密等措施,防止網路數據被竊取或者篡改(草案第十七條)。二是,加強對公民個人信息的保護,防止公民個人信息數據被非法獲取、泄露或者非法使用(草案第三十四條至第三十九條)。三是,要求關鍵信息基礎設施的運營者在境內存儲公民個人信息等重要數據;確需在境外存儲或者向境外提供的,應當按照規定進行安全評估(草案第三十一條)。
四、關於保障網路信息安全
2012年全國人大常委會關於加強網路信息保護的決定對規范網路信息傳播活動作了原則規定。草案堅持加強網路信息保護的決定確立的原則,進一步完善了相關管理制度。一是,確立決定規定的網路身份管理制度即網路實名制,以保障網路信息的可追溯(草案第二十條)。二是,明確網路運營者處置違法信息的義務,規定:網路運營者發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸,採取消除等處置措施,防止信息擴散,保存有關記錄,並敏激向有關主管部門報告(草案第四十條)。三是規定,發送電子信息、提供應用軟體不得含有法律、行政法規禁止發布或者傳輸的信息(草案第四十一條)。四是規定,為維護國家安全和偵查犯罪的需要,偵查機關依照法律規定,可以要求網路運營者提供必要的支持與協助(草案第二十三條)。五是,賦予有關主管部門處置違法信息、阻斷違法信息傳播的權力(草案第四十三條)。
G. 網路安全法草案要求企業應該怎麼做
第二十一條 國家實行網路安全等級保護制度。
網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。