《网络安全法》用了大篇幅来规范网络运行安全,特别强调要保障关键信息基础设施的运行安全。将原来散见于各种法规、规章中的规定上升到法律层面,对网络运营者等主体的法律义务和责任作了全面规定,同时提高了违法行为的处罚标准,加大了惩处力度。
【第21条】 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。
解读:本条规定了网络运营者必须履行“等级安全保护制度”所要求的安全保护义务。重点在于:
1)确定网络安全责任人,以落实保护责任。这里需要注意的是作为责任人,相应地承担着法律责任。
2)技术层面需要采取防病毒、入侵检测等手段保护网络安全。日常安全维护必不可少,不能因为日常运营没有出现问题就掉以轻心放松管理。一旦中毒或被恶意入侵,所带来的危险性就非常大,轻则系统瘫痪、数据丢失,重则负法律责任。
3)采用数据库审计、网络审计等技术手段,采集并记录、分析日志,日志留存不少于六个月。
4)在数据安全方面,再次强调了数据分类和数据加密。数据分类的重点是能够帮助责任人自动地识别发现系统中的个人敏感信息和行业敏感信息,和这些信息存储的位置、数据库表和字段,以确定需要保护的内容;数据加密则一直以来就是个难点,其中的关键是在满足保密性的同时还要满足可用性,目前比较理想的技术手段是“透明数据加密(TDE)”。
【第25条】 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
解读:本条的核心是网络安全事件应急预案和应急响应,这是网络运营者要承担的义务。建议网络运营者通过部署漏洞监测、扫描类的产品或服务,及时发现漏洞并在第一时间通过升级补丁或完善应用系统来补救。
【第28条】 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
解读:本条规定了协助执法机关执法是网络运营者必须履行的义务。例如当公安机关办案需要时,网络运营者有义务提供其所采集的用户信息和相关数据以及相应的技术支持。
【第34条】 除第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;(二)定期对从业人员进行网络安全教育、技术培训和技能考核;(三)对重要系统和数据库进行容灾备份;(四)制定网络安全事件应急预案,并定期进行演练;(五)法律、行政法规规定的其他义务。
解读:关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的系统和设施。网络运行安全是网络安全的重心,关键信息基础设施安全则是重中之重,与国家安全和社会公共利益息息相关。本条款说明了关键信息基础设施的保护要求高于网络安全等级保护制度的一般要求,从制度、培训、灾备、应急等方面提出了进一步要求。强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务。
同时,结合后款第三十九条的相应规定,明确了关键信息基础设施的安全保护将受到网信部门的“重点关照”。
【第37条】 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
解读:本条明确了关键信息基础设施的数据存储和流动规则。明确关键信息基础设施的重要信息数据要在境内存储,需要向境外流动的,需要在相关部门的评估确认下进行。
【适用法律责任】
第六章 第五十九条:网络运营者不履行网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
第六章 第六十六条 关键信息基础设施的运营者违反规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第六章 第六十九条 网络运营者违反规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款:(一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的; (二)拒绝、阻碍有关部门依法实施的监督检查的;(三)拒不向公安机关、国家安全机关提供技术支持和协助的。
(责任编辑:安博涛)
