近日,西山金融科技产业创新论坛在北京召开。与会金融机构、研究机构、高校和金融科技企业在讨论拥抱创新科技的同时,也表达了对网络安全保护义务的关注。北京市浩天信和律师事务所肖群律师表示,网络安全包括网络运行安全、网络信息安全两大内容,网络运营者应当履行相关义务,保障网络运行安全和信息安全。
肖群表示,2017年6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式颁布施行,这是我国网络安全保护的基础性法律。
网络运营者的范围不仅包括提供网络商业或非商业服务提供者,也包括其所有者、管理者。网络运营者依法应当对其网络开展安全测评,并选择符合具有相应能力的安全等级测评机构进行。
另外,网络运营者应当对网络关键设备和网络安全专用产品进行安全认证或安全检测,并应聘任具备资格的机构进行。可承担安全认证/安全检测任务机构,须以有关部门公布的名录为准。
肖群指出,《网络安全法》第二十一条、《计算机信息系统安全保护条例》第九条规定,国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。网络运营者应当按照等级保护制度的要求,履行安全保护义务,并按照公安部正式颁布的有关条例开展网络定级备案、安全建设整改、等级测评和自查等工作。
此外,能源、交通、水利、金融等关键信息基础设施的运营者,较一般网络运营者而言,除承担较重的安全保护义务外,在采购网络产品和服务时,还应当履行通过国家网信部门组织的国家安全审查(适用于可能影响国家安全的情形)、与提供者签订安全保密协议、数据境内存储、向境外提供数据须进行安全评估、年度网络安全性监测评估等义务。
“《网络安全法》要求网络运营者对用户信息严格保密,建立健全用户信息(重点针对个人信息)保护制度,并规定了网络运营者的信息管理义务。肖群指出,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。此外,网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,不得泄露、篡改、毁损其收集的个人信息,未经被收集者同意不得向他人提供个人信息。
不仅如此,网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
再有,网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报;并且,对网信部门和有关部门依法实施的监督检查,应当予以配合。(牛广文)