官术网_书友最值得收藏!

第一節 《網絡安全法》相關規定及釋義

總體來說,《網絡安全法》讓我國作為基本國策的信息安全等級保護制度在基本法層面確立為網絡安全等級保護制度,以“保障網絡免受干擾、破壞或未經授權的訪問,防止網絡數據泄露或被竊取、篡改”為根本目的,規定了等級保護制度安全措施的基線要求并賦予強制力。

在《網絡安全法》中,網絡安全等級保護制度體現為第二十一條和第五十九條。第二十一條規定國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:①制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;②采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;③采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于6個月;④采取數據分類、重要數據備份和加密等措施;⑤法律、行政法規規定的其他義務。

第五十九條規定的主要是法律責任,即網絡運營者不履行本法第二十一條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。

從《網絡安全法》第二十一條的規定來看,網絡安全等級保護制度保護的對象既包括信息系統,也包括信息系統中存在的網絡數據。網絡安全等級保護制度將網絡運營者作為第一責任人,要求網絡運營者根據網絡安全等級保護制度的要求,采取相應的管理措施和技術防范等措施,履行相應的網絡安全保護義務。義務內容方面,《網絡安全法》針對一般網絡運營者與關鍵信息基礎設施的網絡運營者在安全等級保護制度下設置了不同程度的安全保障義務。一般網絡運營者僅需遵從第二十一條規定的安全保障義務。關鍵信息基礎設施網絡運營者除了第二十一條規定的義務外還需遵守第三十四條的規定。法律責任方面,承擔責任的主體不僅包括網絡運營者,還包括直接負責的主管人員,處罰方式包括責令改正后警告和罰款。其中責令改正后警告屬于未造成危害后果的前置條件,拒不改正后進一步做出罰款處罰;在網絡運營者不履行安全保護義務導致危害網絡安全后果的情形下,可直接做出罰款處罰。以下是具體釋義。

一、義務主體

根據《網絡安全法》第二十一條的規定,網絡安全等級保護制度的義務主體是“網絡運營者”。第七十六條對網絡運營者的概念進行了界定,認為“網絡運營者”是指網絡的所有者、管理者和網絡服務提供者。

在《網絡安全法》頒布之前,網絡運營者的概念僅在已經失效的《電信服務標準(試行)》中出現過,但在該規定中“網絡運營者”主要是指提供通道、電路段的網絡服務提供商,與《網絡安全法》中的網絡運營者并非同一概念。根據《網絡安全法》對于網絡的定義,這里規定的網絡既包括電信網、廣播電視傳輸網、互聯網等基礎信息網絡,也包括局域網、工業控制系統等不向社會提供商業或公共服務的網絡。網絡所有者、網絡管理者則是指前述信息系統的所有者和管理者。網絡服務提供者指的則是依托于網絡這個信息系統的各類服務提供者,網絡服務包括了網絡信息服務、網絡接入服務及其他網絡服務。因此,網絡安全等級保護制度下安全保障義務的網絡運營者的范疇相當廣泛,既包括如移動、聯通、電信等基礎電信網絡的所有者和管理者,也包括像京東、騰訊、新浪等這樣的網絡信息服務提供者;既包括經營性的網絡服務運營者,也包括非經營性的網絡運營者;既包括向公眾提供服務的互聯網的網絡運營者,也包括不向公眾提供服務的局域網或工業控制系統的網絡運營者。

二、義務內容

網絡安全等級保護制度下,《網絡安全法》從管理措施和技術措施兩個層面規定了網絡運營者的義務。具體來說,網絡運營者的主要義務包括以下內容。

(一)制定內部安全管理制度及操作規程

根據等級制度的要求,網絡運營者應制定內部安全管理制度和操作規程,對安全管理活動中的主要管理內容建立安全管理制度,對要求管理人員或操作人員執行的日常管理操作建立操作規程。安全管理制度應通過正式、有效的方式發布,并進行版本控制,應定期對安全管理制度的合理性和適用性進行論證和審定,對存在不足或需要改進的安全管理制度進行修訂。

網絡安全等級保護的核心是保證不同安全保護等級的對象具有相適應的安全保護能力?!缎畔⑾到y安全等級保護基本要求》(GB/T 22239—2008)對不同安全保護等級對象的安全管理制度提出了不同強度的基本要求,網絡運營者可以參考。

(二)確定網絡安全負責人

網絡運營者應根據不同保護等級設立信息安全管理工作的職能部門,設立安全主管、安全管理各方面的負責人崗位,并明確各負責人的職責;應設立系統管理員、網絡管理員、安全管理員等崗位,并明確各工作崗位的職責;應對各類人員進行安全意識教育和崗位技能培訓,并告知相關的安全責任和懲戒措施。《信息系統安全等級保護基本要求》(GB/T 22239—2008)對不同安全保護等級對象的安全管理機構和人員安全管理等提出了不同強度的基本要求,網絡運營者可以參考。

(三)采取防范危害網絡安全行為的技術措施

為落實網絡安全等級保護制度,網絡運營者應當采取技術防范措施,防范計算機病毒和網絡攻擊、網絡侵入等網絡安全風險?!毒W絡安全法》之外,《計算機信息網絡國際聯網安全保護管理辦法》《計算機信息網絡國際聯網安全保護管理辦法》第十條規定,互聯單位、接入單位及使用計算機信息網絡國際聯網的法人和其他組織應當履行落實安全保護技術措施,保障本網絡的運行安全和信息安全的安全職責。、公安部發布的《互聯網安全保護技術措施規定》《互聯網安全保護技術措施規定》第七條規定,互聯網服務提供者和聯網使用單位應當落實以下互聯網安全保護技術措施:①防范計算機病毒、網絡入侵和攻擊破壞等危害網絡安全事項或行為的技術措施;②重要數據庫和系統主要設備的冗災備份措施;③記錄并留存用戶登錄和退出時間、主叫號碼、賬號、互聯網地址或域名、系統維護日志的技術措施;④法律、法規和規章規定應當落實的其他安全保護技術措施。第八條規定,提供互聯網接入服務的單位除落實本規定第七條規定的互聯網安全保護技術措施外,還應當落實具有以下功能的安全保護技術措施:①記錄并留存用戶注冊信息;②使用內部網絡地址與互聯網網絡地址轉換方式為用戶提供接入服務的,能夠記錄并留存用戶使用的互聯網網絡地址和內部網絡地址對應關系;③記錄、跟蹤網絡運行狀態,監測、記錄網絡安全事件等安全審計功能。第九條規定,提供互聯網信息服務的單位除落實本規定第七條規定的互聯網安全保護技術措施外,還應當落實具有以下功能的安全保護技術措施:①在公共信息服務中發現、停止傳輸違法信息,并保留相關記錄;②提供新聞、出版及電子公告等服務的,能夠記錄并留存發布的信息內容及發布時間;③開辦門戶網站、新聞網站、電子商務網站的,能夠防范網站、網頁被篡改,被篡改后能夠自動恢復;④開辦電子公告服務的,具有用戶注冊信息和發布信息審計功能;⑤開辦電子郵件和網上短信息服務的,能夠防范、清除以群發方式發送偽造、隱匿信息發送者真實標記的電子郵件或短信息。第十條規定,提供互聯網數據中心服務的單位和聯網使用單位除落實本規定第七條規定的互聯網安全保護技術措施外,還應當落實具有以下功能的安全保護技術措施:①記錄并留存用戶注冊信息;②在公共信息服務中發現、停止傳輸違法信息,并保留相關記錄;③聯網使用單位使用內部網絡地址與互聯網網絡地址轉換方式向用戶提供接入服務的,能夠記錄并留存用戶使用的互聯網網絡地址和內部網絡地址對應關系。第十一條規定,提供互聯網上網服務的單位,除落實本規定第七條規定的互聯網安全保護技術措施外,還應當安裝并運行互聯網公共上網服務場所安全管理系統。等規定中對于網絡運營者應該承擔的技術措施做出了規定。網絡運營者應當采取的技術措施包括安裝防病毒軟件,防范計算機病毒;安裝網絡身份認證系統、網絡入侵檢測系統、網絡風險審計系統等,防范網絡攻擊、侵入等?!缎畔⑾到y安全等級保護基本要求》(GB/T 22239—2008)規定了不同安全保護等級對象的入侵防范基本要求,網絡運營者可以參考。例如,二級要求“應在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等”;三級要求“a)應在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等;b)當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時應提供報警”。

(四)網絡監測與日志留存

根據網絡安全等級制度的要求,網絡運營者應當監測、記錄網絡運行狀態、網絡安全事件,并留存相關的網絡日志不少于6個月?!毒W絡安全法》頒布之前我國的許多規范中已經存在與網絡日志留存相關的規定,基本源自2000年國務院發布的《互聯網信息服務管理辦法》規定。《互聯網信息服務管理辦法》(國務院令第292號)第十四條規定,互聯網信息服務提供者應當記錄提供的信息內容及其發布時間、互聯網地址或域名;互聯網接入服務提供者應當記錄上網用戶的上網時間、用戶賬號、互聯網地址或域名、主叫電話號碼等信息?;ヂ摼W信息服務提供者和互聯網接入服務提供者的記錄備份應當保存60日。

2003年鐵道部發布《鐵路計算機信息系統安全保護辦法》(鐵道部令第10號),第二十七條規定重要計算機信息系統應當建立完善的計算機信息系統日志,根據信息的重要程度設定保存時間,最短不少于60日。2006年公安部發布《互聯網安全保護技術措施規定》(公安部令第82號),第十三條規定互聯網服務提供者和聯網使用單位依照本規定落實的記錄留存技術措施,應當具有至少保存60日的記錄備份的功能。

2012年工業和信息化部發布《移動互聯網惡意程序監測與處置機制》(2018年1月1日起廢止)2017年8月9日,工業和信息化部關于印發《公共互聯網網絡安全威脅監測與處置辦法》的通知規定,“本辦法自2018年1月1日起實施。2009年4月13日印發的《木馬和僵尸網絡監測與處置機制》和2011年12月9日印發的《移動互聯網惡意程序監測與處置機制》同時廢止”。,第十二條規定,國家互聯網應急中心(National Internet Emergency Center, CNCERT)、移動通信運營企業、互聯網域名注冊管理機構和注冊服務機構應留存所監測和處置的移動互聯網惡意程序相關數據或資料以備查驗。數據或資料保存時間為60日。少數行業規范超出了60日的規定,如中國證券監督管理委員會發布的《中國證券監督管理委員會公告(2011)39號——證券期貨業信息系統安全等級保護測評要求(試行)》規定檢查審計記錄應當至少保存6個月;2009年《商業銀行信息科技風險管理指引》第二十七條規定,“系統日志由操作系統、數據庫管理系統、防火墻、入侵檢測系統和路由器等生成,內容包括管理登錄嘗試、系統事件、網絡事件、錯誤信息等。系統日志保存期限按系統的風險等級確定,但不能少于一年”。

(五)數據分類、重要數據備份和加密

隨著云計算、大數據等技術的發展和應用,網絡數據安全對維護國家安全、經濟安全,保護公民合法權益,促進數據利用至關重要。網絡安全等級制度要求網絡運營者對數據進行分類,重要數據采取備份和加密等措施,防止網絡數據被竊取或篡改。

數據分類是按照重要程度等標準對數據進行區分、歸類。我國現行的規范中還未有對數據分類標準的具體規定。《信息安全等級保護管理辦法》第三十四條規定,國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。對于重要數據備份和加密中重要數據的認定問題,《網絡安全法》沒有做具體的界定。第三十七條第三十七條規定關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。關于關鍵信息基礎設施的重要數據出境中有“重要數據”的有關規定?;凇毒W絡安全法》第三十七條,2017年國家互聯網信息辦公室發布了《個人信息和重要數據出境安全評估辦法(征求意見稿)》,定義“重要數據”為與國家安全、經濟發展,以及社會公共利益密切相關的數據。從此定義可以看出第三十七條中的“重要數據”的識別需要考量的因素包括國家安全、經濟發展和社會公共利益。之后國家標準《信息安全技術 數據出境安全評估指南(征求意見稿)》對重要數據進行了進一步的認定《信息安全技術 數據出境安全評估指南(征求意見稿)》指出“重要數據”是指我國政府、企業、個人在境內收集、產生的不涉及國家秘密,但與國家安全、經濟發展及公共利益密切相關的數據(包括原始數據和衍生數據),一旦未經授權披露、丟失、濫用、篡改或銷毀,或者匯聚、整合、分析后,可能造成以下后果:①危害國家安全、國防利益,破壞國際關系;②損害國家財產、社會公共利益和個人合法利益;③影響國家預防和打擊經濟與軍事間諜、政治滲透、有組織犯罪等;④影響行政機關依法調查處理違法、瀆職或涉嫌違法、瀆職行為;⑤干擾政府部門依法開展監督、管理、檢查、審計等行政活動,妨礙政府部門履行職責;⑥危害國家關鍵基礎設施、關鍵信息基礎設施、政府系統信息系統安全;⑦影響或危害國家經濟秩序和金融安全;⑧可分析出國家秘密或敏感信息;⑨影響或危害國家政治、國土、軍事、經濟、文化、社會、科技、信息、生態、資源、核設施等其他國家安全事項的數據。。從上述規定中可以看出,數據出境規范中的“重要數據”具有以下特點。第一,重要數據與個人數據并非種屬關系,個人數據不屬于規范中的重要數據。雖然《信息安全技術 數據出境安全評估指南(征求意見稿)》附錄A“重要數據識別指南”中還增加了對于個人合法利益的考量,疑似可以將個人數據納入其中,但這與整個指南將個人數據與重要數據分別加以規范的做法并不相符,有待商榷。第二,國家秘密被排除在外,國家秘密的相關規范由其他法律法規進行規定。第三,數據來源為識別要素之一,“重要數據”的來源僅限于境內收集和產生,而不包括來源于境外的數據。

首先,需要注意的是,網絡安全等級制度中的“重要數據”與數據出境制度中的“重要數據”略有不同。數據備份、加密與數據出境對于國家安全,社會秩序、公共利益,以及公民、法人和其他組織的合法權益影響的作用方式有所不同。例如,有些用戶信息的出境并不會對國家安全、經濟發展和社會公共利益產生不利影響,因此不屬于數據出境中的“重要數據”。但是對這類數據的備份對于企業自身運營可能具有重大的積極意義,可能就屬于網絡安全等級保護制度中的“重要數據”。

此外,有些數據的備份可能對網絡運營者業務自身運營具有重要意義,因此可能被劃分到等級保護中的“重要數據”的范疇,但是此類數據可能因出境對國家安全、經濟發展和社會公共利益沒有多大影響而被排除在數據出境規范中的“重要數據”的范疇之外。

其次,與數據出境中的“重要數據”強調數據境內產生或收集不同,等級保護制度中的“重要數據”并不區分數據的來源。

最后,在數據出境的規范中,并沒有將個人數據納入重要數據的范疇,而是將個人數據與重要數據分別加以規定和保護。在等級保護制度規定的重要數據加密和備份中并沒有另行規定個人數據的保護,鑒于個人數據對于國家、公眾或個人的重要意義,等級保護制度中的“重要數據”必然包括個人數據。

綜上,等級保護制度中的“重要數據”的認定應當以保護國家安全,社會秩序、公共利益,以及公民、法人和其他組織的合法權益為導向,重點考量數據備份和加密對于網絡運營者業務運營的重要意義,以及數據不備份、不加密是否會對國家安全、社會秩序、公共利益,以及公民、法人和其他組織的合法權益造成不利影響。

《信息系統安全等級保護基本要求》(GB/T 22239—2008)規定了不同安全保護等級對象的數據備份要求,網絡運營者可以參考。例如,二級對象要求“能夠對重要信息進行備份和恢復;提供關鍵網絡設備、通信線路和數據處理系統的硬件冗余,保證系統的可用性”,三級對象要求“應提供本地數據備份與恢復功能,完全數據備份至少每天一次,備份介質場外存放;應提供異地數據備份功能,利用通信網絡將關鍵數據定時批量傳送至備用場地;應采用冗余技術設計網絡拓撲結構,避免關鍵節點存在單點故障;應提供主要網絡設備、通信線路和數據處理系統的硬件冗余,保證系統的高可用性”。

值得注意的是,依據《網絡安全法》第二十一條的規定,除了制定內部安全管理制度及操作規程、確定網絡安全負責人、采取防范危害網絡安全行為的技術措施、網絡監測與日志留存、數據分類、重要數據備份和加密等明確規定的義務外,法律、行政法規規定的其他義務也是網絡運營者需要履行的安全保護義務,如依據《計算機信息系統安全保護條例》第九條和《信息安全等級保護管理辦法》第十四條規定的“第三級信息系統應當每年至少進行一次等級測評,第四級信息系統應當每半年至少進行一次等級測評”的義務等。

主站蜘蛛池模板: 内黄县| 波密县| 乡城县| 新沂市| 承德县| 九龙坡区| 汶上县| 弥勒县| 鸡泽县| 汉沽区| 福州市| 仁寿县| 周至县| 无极县| 农安县| 涿鹿县| 嘉黎县| 咸阳市| 凤翔县| 双流县| 富锦市| 莱芜市| 溧阳市| 九龙城区| 旺苍县| 林西县| 达尔| 新宁县| 荆门市| 海安县| 久治县| 南阳市| 景东| 张掖市| 蓬莱市| 德令哈市| 惠来县| 临漳县| 龙州县| 曲松县| 确山县|