截至2022年6月,我国网民规模为10.51亿,互联网普及率达74.4%(9月CNNIC发布第五十次报告数据),庞大的网民构成了我国蓬勃发展的消费市场,为数字经济发展打下坚实的用户基础,同时也对网络安全提出更高要求。
没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。新形势下守护网络安全,反诈协作,坚持“为网民服务”理念,确保互联网在法治轨道上健康运行,使网络安全防线不断筑牢。
本报告《网络安全运营服务机制及网络反诈应对报告》,通过大安全监督管理的视角,运用比较学研究《中华人民共和国安全生产法》、《中华人民共和国消防安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》、《中华人民共和国反电信网络诈骗法》等“涉安”法律在安全监督管理方面的共性,法律相关条款完善公司网络安全制度、平台治理、反诈应对等,通过典型案例分析,对通信运营商、互联网运营商的安全运营、反诈机制建设提出借鉴,从顶层设计与制度安排,到网络安全保护与发展,促进依法经营,依法管理,依法监督,依法治网,安全运营全领域发展,报告同时提出相关的立法建议。
1994年,我国正式全功能接入国际互联网,开启国家互联网络时代,网络安全问题亦随即产生。网络、信息、数据安全作为一种非传统安全,它虽然具有先天的网络与信息技术自然属性,但其物质和非物质形态广泛应用的社会化属性,则更需要法律强制性规范保障安全。随着2002年11月1日《中华人民共和国安全生产法》(以下简称《安全生产法》)的颁布实施,使得我国在安全生产监督管理、防止和减少生产安全事故、保障人民群众生命和财产安全方面有了明确的法律依据和操作规范。2014年2月,中央网络安全和信息化领导小组第一次会议,强调网络安全和信息化事关国家安全和国家发展,事关广大人民群众生活安全,要总体布局,统筹各方,努力把我国建设成为网络强国。2016年11月7日《中华人民共和国网络安全法》(以下简称《网安法》)通过,2021年6月10日通过了《中华人民共和国数据安全法》(以下简称《数安法》),8月20日通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),2022年9月2日通过《中华人民共和国反电信网络诈骗法》(以下简称《反诈法》)。自此,我国在网络安全、数据安全、个人信息保护领域实现了有法可依,完成了顶层设计与制度安排,为依法治网、建设网络强国提供了法律保障。
2014年4月15日,中央国家安全委员会第一次会议召开,首次提出了总体国家安全观,要求准确把握国家安全形势变化新特点新趋势,走出一条中国特色国家安全道路。
2015年7月1日颁布实施的《中华人民共和国国家安全法》第三条明确了总体国家安全观内涵,“国家安全工作应当坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,维护各领域国家安全,构建国家安全体系,走中国特色国家安全道路。”
2017年10月18日,“十九大”报告指出,坚持总体国家安全观。统筹发展和安全,增强忧患意识,做到居安思危,是我们党治国理政的一个重大原则。必须坚持国家利益至上,以人民安全为宗旨,以政治安全为根本,统筹外部安全和内部安全、国土安全和国民安全、传统安全和非传统安全、自身安全和共同安全,完善国家安全制度体系,加强国家安全能力建设,坚决维护国家主权、安全、发展利益。
总体国家安全观是放眼国家全局乃至全球,既涉及传统安全又涉及非传统安全。非传统安全典型代表为网络空间安全,网络空间是人类继陆域、海域、空域、太空之外的第五空间,网络空间安全问题已上升为国家战略。因此,理解国家发展战略同时也要注重安全保护,积极推动国家安全监管体系构建,通信运营商和互联网平台运营商在生产发展的同时注重安全监管,维护国家网络、信息、数据安全,深化个人信息保护,确保我国网络安全发展造福于人民。
传统安全和非传统安全是安全史与相关学科理论科学发展的一个相对概念。传统安全是指与战争、军事、强力政治密切相关的安全领域。非传统安全指冷战后期,特别是冷战结束后出现的新型安全领域。
国家安全主要包含16个领域,其中政治安全、国土安全、军事安全属于传统安全领域,非传统安全包括经济安全、文化安全、社会安全、科技安全、网络安全、生态安全、资源安全、核安全、海外利益安全以及太空安全、深海安全、极地安全和生物安全等新型安全领域。
社会安全是衡量一个国家或地区构成社会安全四个基本方面的综合性指数,包括社会治安(以每万人刑事犯罪率衡量)、交通安全(以每百万人交通事故死亡率衡量)、生活安全(以每百万人火灾事故死亡率衡量)和生产安全(以每百万人工伤事故死亡率衡量)。
中国安全生产科学研究院编写的《安全生产管理》(2022版)对安全生产进行了定义:“安全生产”是指,在社会生产活动中,通过人、机、物料、环境、方法的和谐运作,使生产过程中潜在的各种事故风险和伤害因素始终处于有效控制状态,切实保护劳动者的生命安全和身体健康。
按《中国消防》(CN11-1566/TU)给消防安全的定义:是指控制能引起火灾、爆炸的因素,消除能导致人员伤亡或引起设备、财产破坏和损失的条件,为人们生产、经营、工作、生活创造一个不发生或少发生火灾的安全环境。
《企业事业单位内部治安保卫条例》(2004)第一条、第二条对治安保卫的定义为:企业、事业单位内部治安保卫工作,是为了保护公民人身、财产安全和公共财产安全,维护单位的工作、生产、经营、教学和科研秩序。单位内部治安保卫工作贯彻预防为主、单位负责、突出重点、保障安全的方针。单位内部治安保卫工作应当突出保护单位内人员的人身安全,单位不得以经济效益、财产安全或者其他任何借口忽视人身安全。
综治是社会治安综合治理工作的简称。社会治安综合治理是在党委、政府统一领导下,在充分发挥政法部门特别是公安机关骨干作用的同时,组织和依靠各部门、各单位和人民群众的力量,综合运用政治的、经济的、行政的、法律的、文化的、教育的等多种手段,通过加强打击、防范、教育、管理、建设、改造等方面的工作,实现从根本上预防和治理违法犯罪,化解不安定因素,维护社会治安持续稳定的一项系统工程。
落实到企业中,企业综合治理工作主要为:组织开展“社会治安联合防控、矛盾纠纷防合调解、突出问题联合治理、重点工作联勤联动、基层平安联合创建、重点人员联合服务管理”形成常态长效机制;接待群众来信来访,对群众诉求事项依照国家法律和相关政策,按照程序做好化解或组织相关部门办理,督办结案等工作;配合开展国家安全人民防线建设,禁毒和反等工作;组织开展法制、综治、平安建设等宣传活动,做好基层综治干部和群防群治队伍的教育、培训和管理等工作。
《网络安全法》对网络安全的定义为:网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
国际标准化组织(International Organization for Standardization,ISO)对信息安全的定义为“为数据处理系统建立和采取技术、管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露”。
欧盟对信息安全定义为“在既定的密级条件下,网络与信息系统抵御意外事件或恶意行为的能力,这些事件和行为将威胁所存储或传输的数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和机密性”。
狭义的安全是建立在以密码论为基础的计算机安全领域,早期中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容。
广义的信息安全是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不再是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。
国际标准化组织(International Organization for Standardization,ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此计算机网络的安全可以理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。
监督,即监察督促之意,即对现场或某一特定环节﹑过程进行监视﹑督促和管理﹐使其结果能达到预定的目标。
安全监督是为了维护社会和人民的生命财产安全,运用行政力量,对安全进行监督与管制的一种特殊活动。相对于国家层面而言,安全监督是指安全生产监督管理部门和其他负有安全生产监督管理职责的部门依法对生产经营单位执行有关安全生产的法律、法规和国家标准或者行业标准的情况进行监察﹑督促和检查;相对于生产经营单位而言,安全监督是指生产经营单位的安全管理部门依法依规对本单位各级组织、人员执行有关安全生产的法律、法规和国家标准或者行业标准、本单位安全生产规章制度的情况进行督促和检查。
按《安全管理学》(教育部高等学校安全工程学科教学指导委员会组织编写,景国勋、杨玉中主编)对管理和安全管理的定义,管理就是计划、组织、指挥、协调和控制等职能活动。安全管理是指以安全为目的,进行有关决策、计划、组织和控制方面的活动。以实现生产过程中人与机器设备、物料、环境的和谐,达到安全生产的目标。
技术—是解决问题的方法及原理,是指人们利用现有事物形成新事物,或是改变现有事物功能、性能的方法。安全技术在不同的领域有不同的意义。
在安全生产领域,安全技术服务指为防止人身事故和职业病的危害,控制或消除生产过程中的危险因素而采取的专门的技术措施。
在网络与信息安全领域,安全技术服务指的是加强网络信息系统安全性,对抗安全攻击而采取的一系列技术保障措施。
从上可见,“监”是企事业单位中负有安全监督职责人员对运营管理的各级组织、人员是否遵循国家“涉安”法律法规、技术标准、技术规范的建章立制,运行机制及其流程管理是否合规进行监督;“管”是对运营管理的各级组织、人员是否按照国家“涉安”法律法规、技术标准、技术规范、业务技术规程、规章制度、管理流程进行运营管理;“操”是运营管理的各级组织、人员是否按照国家“涉安”法律法规、技术标准、技术规范、业务技术规程、规章制度、管理流程进行生产运作、操作。
信息通信与互联网领域涉及安全法律法规虽然分属于不同的专业学科,在安全监督管理方面存在交叉或者重叠可以整合加强,互补借力和相互促进。
安全生产、消防安全、通信保卫、企业内保与综治业务对涉及企业的人和物的安全业务技术管理和接受安全生产监管、消防安全监管、配合公安、检察机关协查处置刑事案件,有一定的重叠度。
网络安全、信息安全、数据安全和治安保卫、企业内保与综治对涉及国家、企业、公民的人和物与非物质的安全业务技术管理,以及涉及公安、国安、检察、监管机关的国家安全、社会安全、公民个人与信息安全、涉及刑事案件的协查处置,也有一定的重叠度。
另外,涉及到企业安全生产管理,涉及到国家安全、个人信息安全和刑事案件协查处置的一般性法律法规适用、一般性业务技术管理和各专业之间业务的综合性业务管理和监督检查,同样存在有一定的重叠度。
企业内设的“涉安”监督管理机构/部门的法定职责,在企业内部对如何落实国家“涉安”法律法规、政策规定的“盈利法人组织应承担的企业和社会责任”,履行落实法律法规的状况进行监督管理的责任。
针对防诈反诈专项行动其所涉相关法律、业务、管理、技术各专业学科。从通信运营商责任而言,涉及国家政治安全,从企业行为而言,涉及法定责任和义务。管理、业务、技术跨越了公司相关专业业务和技术。因此,在专项行动中,对企业外部协同而言,需要各专业人员讲“政治、讲规矩、讲大局”,需要学习和应用治理理论;对企业内部的管理而言,“政治、法律、监管、管理、技术”并举,需要坚持法制,坚守法治,守法经营,依法治企,依法治安,学习、掌握和应用法律、法规和政策;对专业监督管理而言,需要“讲政治、尊法律,善经营,懂业务,会管理、通技术,勤监督”,做好协同机制顶层设计和流程应用的底层设计,确保管理功效倍增效应。
以总体国家安全观为指导,运用比较学研究《中华人民共和国安全生产法》、《中华人民共和国消防安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国反电信网络诈骗法》等法律相关条款进行梳理,具体针对《安全生产法》与《网络安全法》、《数据安全法》、《反电信网络诈骗法》在九个方面进行比较,内容涉及1、起源;2、法律处置对象;3、在组织机构和人员配备;4、投入;5、考核强制性年度继续培训;6、应急处置;7、责任追究;8、管理与治理、协同;9、信息化等方面进行比较,以利对法律共性和特点加强认识,对安全监督管理方面有全面认识,从而提高“涉安”监督管理的综合效用、效力,构建“大”安全监督管理专业化组织体系框架。
1、《安全生产法》和《网络安全法》、《数据安全法》、《反电信网络诈骗法》在起源上比较表(表一):
起源时间上,《安全生产法》远远早于《网安法》和《数安法》、《反诈法》,其经过多年实施和实践,日臻完善。另外,我们还应从安全的生命周期上认识到,无论哪种物质形态或非物质形态的生产形式、运营形式存在,安全监督生命周期就与其生命周期伴生伴存。
1、《安全生产法》和《网络安全法》、《数据安全法》、《反电信网络诈骗法》在法律处置对象比较表(表二):
安全生产的处置对象相对是物质的、有形可视的;网络、信息、数据安全处置的对象具有非物质性特征。
在业界非安全专业的单纯技术思维认知,还把相对重物质形态安全生产、消防安全等管理与技术归类为传统安全领域,是不具新兴生产力发展方向的一种旧技术;把相对轻物质和非物质形态的网络、信息、数据管理与技术归类为非传统安全领域,是代表新兴生产力发展方向的一种新技术,这是一种错误的认识。
由于安全理论专业各学科存在单纯技术思维认知的偏向,导致原本在具有监督管理共性的相关安全法律法规在认知和借鉴运用上,以单纯技术思维主导法律监督的误区,甚至各安全学科的专业监督领域之间出现了对立或者排斥的状况。可见,这是造成业界在各专业安全监督领域出现法理、方法不互通借鉴借力、各专业安全监管篱笆分隔、监管力量弱小分散孤立、多头管理形不成合力(甚至造成人为相互排斥)的思想认识偏差的根源。
1、《安全生产法》和《网络安全法》、《数据安全法》、《反电信网络诈骗法》在组织机构和人员配备比较表(表三):
(1)安全生产监督管理模块(包括消防、保卫、综治、人民防线)“横向到边,纵向到底”全覆盖;法律规定在省、市和达到一定从业人员的县(区域)公司设置专职安全生产管理机构,配置专兼职安全生产管理人员。安全生产管理人员配备数量是以企业从业人员规模,而不是以经营收入大小为依据。
(2)网信、数据安全监督管理由于市场政策和渠道管理系统、业务管理系统、网络系统与平台、数据库集中在集团总部和省公司,故只规定省市需设专门管理机构,地市县配置专职监管人员,网信、数据安全业务技术所涉及的相关部门设置网信、数据安全对接人。由于网信、数据安全系统技术特性决定其以省或全国为中心集中运行管理,故在市县无要求设置机构;市公司要求配置人员,县无要求。因此,省、市两级机构网信、数据安全与安全生产(含治安保卫)监督管理部门合设,县级防诈防诈安全监管工作由安全监管模块人员整合兼顾共用,有利于网信、数据、反诈安全业务技术在地市县“有脚”接应。
1、《安全生产法》和《网络安全法》、《数据安全法》、《反电信网络诈骗法》在投入上的比较表(表四):
(1)安全生产责任主体投入对象相对明确,投入额由法律明确,相对具有可预性和可操作性。
(2)网络和信息安全对投入的具体要求,是根据行业主管/监管部门、上级企业的相关文件规定,投入是随着网信安业务技术的发展需要。投入呈动态和相对不确定性,与网信安技术“三同步”和业务需求防范相关性密切。
(3)防诈溯源如果是企业运营安全监督和管理责任缺失、不到位的,整改投入由自身负责承担;涉诈案件溯源责任不属于企业的,防诈防诈主责单位又需要相关方协同针对其案件进行系统、平台、软件模块个性化开发的,建议防诈防诈主责单位(主要是省联席办)建立年度预算制度,按定向项目或购买服务模式,有利于相关方遵循经济规律和遵守建设、财务制度与程序、管理流程进行配合,积极、高效、可持续协同。这是影响、制约地方联席会议机制与相关方可持续协同效率、效用的瓶颈所在。
1、《安全生产法》和《网络安全法》、《数据安全法》、《反电信网络诈骗法》及行业主管/监管部门考核对强制性年度继续培训上的比较表(表五):
(1)培训机构的要求:《安全生产法》对培训机构要求具有安全监管机构认证的安全培训资质,法定年度强制性培训要求建立台账信息,记录培训考试情况;网络安全、信息安全、数据安全业务技术培训虽有培训认证机构,但年度、日常性培训通常无强制性要求,一般为行业主管/监管部门、企业组织对内部基层网络安全、信息安全、数据安全管理、业务技术人员侧重于业务技术培训。
《安全生产法》法定强制性培训对象为企业主要负责人和各副职领导、部门负责人、特殊工种从业人员,均要求通过培训考试持证上岗履职,首次参加培训32学时,每年再教育培训12学时;从业人员接受安全培训。由于各级人员对法制观念、法律法规的认识,因人而异,差异较大,这是事故隐患发生的思想原因。
《网络安全法》、《数据安全法》、《反电信网络诈骗法》对相关业务技术人员有培训要求,但是,对企业主要负责人和管理层,以及部门负责人等“关键少数”管理人员的培训没有明确法定强制性要求,也没有法定年度培训学时要求,,执行差异较大的现象,这是安全事件、案件隐患屡禁不止的思想原因。
1、《安全生产法》和《网络安全法》、《数据安全法》、《反电信网络诈骗法》在应急处置方面的比较表(表六):
(1)安全生产应急处置由上级、行业监管或综合监管部门直接下达处置要求和考核处罚,事故发生应急处置具有随机性、紧迫性、被动性、不可抗性,但是,责任调查、问责追究遵循法定时效。由综合监管应急管理部门对事件、事故做出处置意见和结论。触犯刑律的(包括瞒报)依法追究。
(2)网信安事件、案件由行业主管/监管部门、网信办、公安机关处置。如触犯刑律,依法追究。
1、《安全生产法》和《网络安全法》、《数据安全法》、《反电信网络诈骗法》在责任追究上的比较(表七):
(1)《安全生产法》对主要负责人履职管理责任问责条款明确,对违法行为有处罚和禁业禁止情形。事故调查组由政府、应急管理部门、负有安全监督管理职责的有关部门、纪检监察、公安关及工会派员组成,并邀请检察院派人参加,可以聘请有关专家参与调查。安全生产事故的责任追究依据政府批复同意后的事故调查报告,根据相关法律法规条款不仅追究企业主要负责人和相关责任人,而且同时追究企业法律责任。
(2)《网络安全法》、《数据安全法》、《反电信网络诈骗法》对主要负责人履职责任问责条款相对模糊,一般只追究具体操作人员责任,对主要负责人、企业无竞业禁止情形规定。无益管理层吸取教训、整改与监管、防范。建议借鉴《安全生产法》对单位主要负责人进行追责问责,依法规定对主要负责人、企业竞业禁止情形规定。
1、《安全生产法》和《网络安全法》、《数据安全法》、《反电信网络诈骗法》在管理与治理、协同上的比较表(表八):
如果把安全生产(消防、保卫)、网络、数据、防诈反诈分别作为一个项目来看,它们适用于项目管理理论。项目管理对一个组织内部的项目的各相关方而言,是自上而下的管理和服从关系,是一个组织为了完成本组织机构内部各相关方的共同目标和任务的过程。
网信安、防诈反诈联席会议制度相关方,则适用于项目治理理论,防诈反诈项目治理的各利益相关方在项目实施过程中,是相互平等、相互协作的关系,各相关方的协同共赢是为了完成各自的目标和任务,通过协同共赢的过程来同时实现各自组织的目标和完成任务。
1、《安全生产法》和《网络安全法》、《数据安全法》、《反电信网络诈骗法》在信息化的比较表(表九):
以上法律都需要在同一法人组织机构内,均需应用信息化进行安全监督管理,提高效率、效用。
不同差异点:防范与打击电信网络诈骗行动不仅限于主责单位内部各相关方协同信息化,而且需要主责单位与外部各相关方协同的信息化,同时,还需要建立完善政府综合监管机构--联席会议机构主责单位--防诈防诈各相关方之间协同、综合监管、行业监管协同的信息化,唯此形成闭环,才能切实、真正提高主责单位防范与打击网络诈骗行动和各相关方之间的协同效率、效用。
综上,通过对起源、国家监管体系、组织机构设置和人员配置、资金投入、法定强制性教育培训、应急处置、责任追究、法律适用等多个方面比较,从中可见,在起源、国家监管体系、安全监督管理机构设置和人员配置、资金投入、年度法定强制性教育培训、责任追究等方面存在共性关系。从安全监督管理的视角和实践研究,《安全生产法》、《网络安全法》、《数据安全法》、《反电信网络诈骗法》法律之间在安全监督管理的方法上却是互通的、可借鉴的,实践中也是可以相互借力的。
通过学习、比较,提出借鉴《安全生产法》,完善《网络安全法》、《数据安全法》、《反电信网络诈骗法》的建议。
建议一:在《网安法》《数安法》《反诈法》等法律法规中,明确网信数据安全监督管理机构在地市层面设置机构。目前,运营商网信安管理考核要求,仅规定省需设专门管理机构(宜与省“涉安”机构合设)、在地市无要求设置机构,等于地市没有‘脚’落地支撑,这就难以有效履职履责。为实现网信数据安安全管理,建议从法律法规层面明确对地市的网络、信息、数据、反诈业务技术安全监督管理机构设置(宜与地市“涉安”业务合设,形成“大安全”专业化监督管理机构)的合规性要求。
建议二:量化网信数据安全监督管理组织机构和人员配备的标准和要求。借鉴《安全生产法》的规定,对运营商(或互联网企业)在总部、省市层面业务收入、业务量、从业人员达到一定规模时,应设置网信安、数安、反诈业务技术合设的“大安全”专业化监督管理机构,根据类别和规模,量化配备专职网络、信息、数据、反诈业务技术安全监督管理人员。
安全监督管理涉及不同领域,在安全监督和管理上,省市县三级“大安全监督管理模块”的整合有利于企事业单位提高专业化地位,有利于提高“监督检查”与“督察整改”的效用和效力。
借鉴《安全生产法》第二十三条、第九十三条和《企业安全生产费用提取和使用管理办法》第七、十四、十九:
建议一:在《网络安全法》中,细化网络和信息安全在投入上的规定;同时结合行业、企业特性,颁布实施配套的网络和信息安全相关费用提取和使用管理办法。从法律层面做到投入对象相对明确,投入额由法律明确框架,相对具有可预性和可操作性。
建议二:在《数据安全法》中,增加涉及数据安全投入的相关规定,具体可借鉴《安全生产法》和《企业安全生产费用提取和使用管理办法》的规定。
建议三:在《安全生产法》、《网络安全法》、《数据安全法》中,明确“将安全投入纳入企业所得税税前扣除-抵扣范围”的相关条款,以鼓励企事业单位和其他法人组织依法依规加强对安全的投入。
借鉴《安全生产法》第二十七、二十八、二十九、三十条和《生产经营单位安全培训规定》第四条、第九条:
《网络安全法》、《数据安全法》建议借鉴《安全生产法》的规定,明确网信安和数据安全领域的法定强制性培训的具体要求条款,包括培训的对象、持证上岗的要求、培训台账的建立等,避免出现“网信安培训仅针对相关技术人员,但对企业负责人和部门负责人没有明确要求”的普遍现象,因此,只有明确、强化“关键少数”领导人员、各级管理人员的年度法定强制性培训,领导人员带头 “尊法、学法、知法、用法”,才能自上而下实现 “学法、知法、尊法、守法、用法”。
建议:在《网络安全法》、《数据安全法》中,细化应急处置的具体流程、时限要求和违约责任,提升网信安和数据安全事件的应急处置能力,为落实责任追究提供法律依据。
借鉴《安全生产法》第五、十九、二十一、九十、九十一、九十二、九十三、九十四、九十五条:
建议:在《网络安全法》、《数据安全法》中,按照网信数据安事件、事故设立等级分类,按照事件、事故设立等级类别,增加并明确细化对法人机构主要负责人的职责、责任追究和禁业情形,改变网信数据安全领域对主要负责人、管理人员履职管理责任问责条款模糊,仅仅追究操作人员责任的现状。
1、加强法制宣贯和培训,是提高各级管理人员法治观念和政治站位的思想保障之必要前提
2、以防诈反诈需求为导向,改革一切不适应防诈反诈管理机制,是大安全监管有效履责组织保障
3、以防诈反诈需求为导向,改革一切不适应防诈反诈运作流程,是提高协同公安防诈反诈工作效率保障
4、以防诈反诈需求为导向,不断开发系统应用功能,是主动协同公安防诈反诈工作技术保障
5、以防诈反诈需求为导向,从业人员知识互补,是协同公安防诈反诈工作人力资源保障
6、以防诈反诈需求为导向,以责任和学术自觉开展警企协同机制研究,是防诈反诈管理机制创新保障
1、依法依规,某省运营商安全生产管理体系改革组织构架(2013-2015年)
(1)2013年以前,某省运营商安全生产管理体系改革组织架构是安全生产、消防安全、通信保卫等安全监督与管理模块与行政、后勤、车管、办公资产、物业等合设为安全后勤保障部,安全监督与管理职责难以专业化履职(见图一)。
(2)2013年4月-2015年11月,根据《安全生产法》、《消防法》、《职业卫生法》、《企事业单位内保条例》等法律法规,遵循安全科学和规律,某省运营商建立健全省、市、县分公司安全生产委员会,省、地市两级分公司设立安全管理部(安委会办公室),依法依规配备专职安全生产监督管理人员,非安全生产监督管理专业业务全部剥离至办公室、行政后勤等部门。
至此阶段,某省运营商自上而下、省市县三级(省、地市两级分公司设立安全监督管理机构和配备专业安全监督管理人员,县分公司设立专职安全监督管理员;管理部门、运营部门、专业分公司设立专职或兼职安全员)建立健全了专业化规范化的安全生产监督管理体系(如下图二所示),安全生产监管工作走向正轨,实现了省市县三级企业安全监督与管理“横向到边,纵向到底”全覆盖。
(1)2015年12月以前,某省运营商原信息安全管理体制是以市场部牵头,由销售、建设、网运、企信和客服等部门组成的虚拟管理机构运行。由于市场部主要职责是抓经营发展,而信息安全和防诈反诈专项行动工作职责是履行对安全管理的统筹协调和监督管理,前者是运动员,后者是裁判员,截然不同。而且以市场管理部门委托不具管理职能的省公司下属的专业分公司实行虚拟模式管理,显然,下级监管上级,不可能有效履职履责。同理,如果安全监督管理职责设在网络运行机构内或者之下,也存在同样问题(如下图三分析所示)。
(2)为解决信息安全和防诈防诈专项行动工作中的监管机制问题,2016年1月- 2020年3月,借鉴、借力安全监督与管理架构、体系、机制的专业化规范化改革成果、成效,某省运营商按照《安全生产法》、《消防法》、《职业卫生法》、《网络安全法》《企事业单位内部治安保卫条例》等法律法规,安全生产、安全保卫、消防安全、信息安全、防诈反诈监督与管理职能职责整合,覆盖省市县公司所有一级部门;列明各级安全生产委员会、信息安全领导小组、防范与打击网络诈骗行动(简称防诈防诈)领导小组组成人员党委(支部)和行政职务,体现“党政同责、一岗双责”、“管生产必须管安全”、“管业务必须管安全”、“谁主管谁负责、谁审批谁负责、谁接入谁负责、谁发展谁负责”的原则,相关安全监督与管理专业整合后,各项安全监督与管理工作成效显著。
图四,某省运营商安全生产、信息安全2016年1月整合改革后“大”安全的组织架构
说明:图四中黑色线框显示了企业安全生产监督与管理体系“横向到边,纵向到底”,全覆盖公司所有部门;其中,部分小框有黑体字的部门与信息安全、防诈防诈专业相关。从图中可见,信息安全、防诈防诈与安全生产、消防安全、通信保卫专业的安全监督管理模块整合,有利于相互借鉴、相互借力、相互促进,有利于安全监督管理专业化体系和人才队伍建设,也特别有利于县分公司有安全人员接应落地业务。
鉴于安全生产、安全保卫、消防安全、信息安全、防诈反诈监督与管理职能、职责、机构、专业业务技术人员整合后,相关专业监督与管理方法相互借鉴,人力资源相互借力,职责职能明确相互协调,业务技术知识互补,相关工作相互促进,使企业安全监督与管理在各级分公司都有机构和安监专业人员,充分发挥涉安监管履责和人财物效用最大化,全面有效实现企业运营自上而下体系化、专业化的“大安全”监督管理的目标,取得显著成效。因此,2020年3月某省运营商安全生产、网络安全、信息安全、防诈防诈监督与管理模块进一步整合,实现“大”安全监督管理专业化、规范化的组织架构体系。
图五,2020年3月某省运营商安全生产、网络安全、信息安全、防诈防诈进一步整合“大”安全监督管理专业化的组织架构体系
说明:图五与图四架构、职责相同。图五中所涉黑线框图均属安全生产(含消安防、安保等)全覆盖范围,全覆盖全公司省市县三级各专业各部门各岗位;由于网安、信安、防诈反诈监督与管理系统与平台、数据库主要集中在省公司(省中心),图五中小框内的加粗黑色字体表示网安、信安、防诈反诈监督与管理模块(相关部门和岗位)只设置至省、地市分公司;县分公司网信安、防诈防诈模块由安全员承接落地业务。
3、以遏制漫入宾阳物联网卡和普通卡及杀猪盘网诈案例,推动管理流程革新升级
公安侧和电信侧革新了公安部和集团的规章和流程,2018年7月,电信接到宾阳公安局反馈关于全国电信物联网卡漫入宾阳被网络犯罪分子利用涉诈情况后,主动预警上报集团。在集团支持下,会同省内外警企相关方建立对全国电信物联网卡漫入宾阳的管控机制,创建省反诈中心电信座席1点对接协查的处置流程;革新原来需公司内外部9个跨省跨行业环节,至少需要至少5个工作日以上,缩短到宾阳公安--广西电信2个环节,时间缩短到1个小时以内(如图六所示)。
继2018年电信物联网卡漫入宾阳地区涉诈行为得到有效管控后,网诈开始通过买卖收购实名手机卡涉诈涉案,危害极大,2019年1月31日,自治区厅际联席办召开“全区打击治理电信网络新型违法犯罪工作会议”,自治区副主席公安厅长周成方提出“要求涉嫌网诈案件和涉案金额3月底要出现的下降拐点,6月底要出现根本性扭转” 的“双降”目标。对此,广西电信主动担当与协同,201903期间先后三次主动制定实施方案呈文报送自治区厅际联席办和通管局:
3月27日自治区通管局《关于协助公安机关加强对漫入宾阳手机卡管理的通知》(桂通管网传〔2019〕7号)批复同意,广西电信主动作为,率先按照预先制定的对漫入宾阳外省电信卡号管控方案实施,对推动同业治理打击网诈专项行动,起到了导向性的主要推动作用。
2019年针对网诈转移边境开始泛滥,组织网诈越境芒街作案防诈专题会,现场制定边境网诈的管控方案,率先主动实施边境侧沿线基站降功率和调整天线方向,有效地配合公安遏制了境外越南侧网诈窝点的泛滥,也促进和推动了其他运营商的降功调向协同公安打击境外网诈;广西通过管理革新和技术创新,累计对漫入宾阳、东兴、凭祥、龙州地区的宾阳区域日均涉案由原数以百计将为个位,涉嫌涉诈异常电信普通手机号卡踢网拦截152226个,发送管控使用提醒短信1613812次。遏制边境地区境外窝点泛滥,助力公安宾阳打击网络诈骗犯罪行动,实现网诈案件量和网诈金额“双降”的目标。
革新企业内外协同机制和流程助力公安(2019-2020年),根据公安部反诈中心诈骗案件大数据分析通报,仅2019年9月份全国“杀猪盘”新型网诈案件共发生接近6000起,造成直接经济损失10.7亿元,案均造成损失16.8万元,社会危害极大。电信安全管理部门运用相关理论,以项目思维抓管理关键,治理思维抓协同关键,整合数据、网络、维护、客服和相关支撑厂商等部门的资源,革新企业内外协同机制和流程,应用信息技术,主动协同公安实现对“杀猪盘”类型网诈危害的精准防范预警和打击网诈犯罪的目标。建立治理协同机制和系统平台,提升了运作和数据推送的及时性、精准度,对公安机关快速进行预警劝阻、侦察打击新型网诈犯罪活动的时效和效用起到了、发挥了重要的作用。
2020年6月针对运营商5G设备趋同,未雨绸缪,广西互联网协会会同G省电信和联通等运营商到自治区厅际联席办与刑,技,网总队研讨Goip反制办法,电信整合内部网运丶企信部和外部凯通、恒安嘉新、迪科等支撑资源,共同研讨,提出基于互联网通讯流量特征识别发现机卡分离式GOIP网诈的思路和反诈方案,并付诸实施。G省D运营商及时提供线索给公安摸查成功抓到多个利用goip设备异常外呼的涉诈窝点,成效显著。
致力于搭建安全、可信、绿色的通信空间,依托于中国电信海量号码资源数据库和云网融合资源禀赋,整合可视化交互、AI引擎加持等优势,为用户提供安全、便捷、智能化的通信服务。
为应对网络诈骗手法逐步升级、作案手段日趋隐蔽的反诈形势,中国电信基于云、AI智能、大数据等能力技术,打造了“翼安反诈”平台,支撑公安机关产品的应用与服务。
“翼安反诈”平台能够对已知各类诈骗号码涉诈特征进行深入研判,构建包括贷款诈骗、刷单诈骗等多场景在内的丰富反诈智能模型,支撑大数据反诈短信宣传、诈骗网址预警拦截系统、诈骗电话预警系统、呼叫劝阻云系统等多项服务的使用。
当人们在访问疑似诈骗网站或APP时,服务会直接阻断访问;在收到疑似诈骗电话或国际来电时,其会弹出提示信息,预警用户可能存在的诈骗风险;通过电信大数据分析模型识别群众用被骗风险时会用反诈AI机器人进行电话劝阻。目前平台提供的反诈机器人每天为公安减少2000个人的工作量,让反诈民警有时间更专注做更复杂的工作。
云南地处边陲,一直是诈骗高发省份,也是国家反诈管控的难点区域。“翼安反诈”平台的出现,提高当地公安机关的技术反制能力。保山市搭建应用“翼安反诈”平台后,能够及时发现、拦截、封堵境内外涉诈短信、电线月,该市网络诈骗发案数同比下降13.17%,财产损失数同比下降1.94%,破案数同比上升1.53%,抓获犯罪嫌疑人数同比上升101.71%,成为省内相对安全的城市。服务已在江苏、浙江、重庆、天津、湖南等全国二十余省的大部分地区投入使用,协助政法公安维护人民生命财产安全。
日常生活中,陌生电话如何放心接?诈骗、推销电话频频骚扰,如何才能免受打扰?中国电信推出“不接?推出话频,具备亿级灰色名单标签数据、超千万条企业号码信息,实时分辨来电类型,提供漏话提醒、智能应答、留言信箱等核心功能,智能识别骚扰电话、诈骗电话,给用户特别是容易掉入诈骗陷阱的老人及时提醒,守护群众钱袋子。
中国电信的“来电名片”是“亮明身份利器”,疫情期间,不少人接陌生流调电话时心有顾虑,担心是诈骗电话而拒接,“防疫名片”,给流调人员实名认证,亮明身份,连接信任。基于反诈场景,协助工信部打造“反诈名片”服务,智能识别疑似诈骗电话,有效甄别电话来源,提升对网络信息诈骗的预警预防能力。
截至目前,已为3.6万号线的公安、反诈专用号码免费开通反诈名片服务覆盖全国31省,日均下发反诈名片近30万条。(左下图)
通过大数据模型分析+AI+人工审核运营,截至目前服务电信移动用户3亿、下发用户闪信安全提醒10亿次。(下右图)
凡战者,以正合,以奇胜。中国电信基于自身大数据和安全防护能力,将不断探索、研究防范通讯信息诈骗的新技术,持续打造多元化、数字化、立体化的安全可信通信产品,努力保障人民群众的信息安全。
京东高度重视网络与隐私安全,将用户隐私保护放在至关重要的位置,一直以来采取多种措施保护用户的信息安全,帮助用户安心使用各项服务。京东认为高效的网络和信息技术是京东的基石、安全与隐私保护是长久稳定发展的保障。方便、高效的捍卫京东生态信息安全,是安全的使命。
从组织管理层面加强对安全重视程度。京东在集团设立安全与风控委员会作为公司的最高网络安全与隐私保护管理机构,并下设安全与隐私管理组及安全执行小组,形成多层管控的信息安全及隐私组织架构。安全与风控委员会统筹、决策京东集团信息安全及隐私战略规划;安全与隐私管理组贯彻安全与风控委员会决议,监督、协调及规范京东集团信息安全与隐私工作;安全执行小组负责本部门安全及隐私工作的落地执行。
建立信息安全与隐私管理体系,保护用户隐私安全。京东已取得ISO27701隐私信息安全管理体系认证,并建立了完善的隐私信息安全管理体系,该体系参照ISO/IEC27701:2019标准建立,同时参照《GB/T 35273 信息安全技术 个人信息安全规范》《网络安全法》等国内法律法规、标准编制,该体系包含集团信息安全与隐私策略、隐私影响评估、集团用户主体权利响应等12个制度要求,为确保该体系的落地执行,每年会进行ISO27701内部审计、管理评审等内部审计活动,同时每年由认证方BSI进行外部审计,以验证京东隐私安全管理工作的落地及合规。
制定外部数据使用安全管理体系,保障外部数据规范使用。制定了《京东业务及数据开放基本安全要求和指引》,明确数据对外开放评估流程,要求对涉及数据开放的业务、合作方数据安全能力进行评估,确保满足数据对外共享的必要性最小化原则及安全性。此外,对合作方有明确的安全管理要求,如《第三方服务安全开发规范》《接入规则与安全规范》,从账号、数据库、权限等各方面进行了详细要求,并要求合作方建立安全管理机制和提供安全配合人员清单,配合进行安全应急响应。对合作方在合作过程中,因为安全问题导致的数据泄漏问题,京东也制定了管理规则《服务市场安全违规处罚规范》。最严重的情况下,除上报公安机关外也会将服务商清理出平台。
A:数据安全:内部数据安全建设,建立了贯穿数据生命周期的技术保护措施,在数据产生环节对数据进行分类分级;数据存储环节敏感数据加密存储,敏感数据及非敏感数据逻辑隔离存储;数据使用环节敏感数据使用需进行审批,同时对数据使用情况进行监控及审计;使用HTTPS加密协议进行数据传输;传播环节,会对数据浏览权限、导出权限进行控制,同时进行监控审计;当涉及数据销毁,均会有日志记录,操作日志全部记录且留存6个月以上。
外部开放数据管理规范:要求数据对外需使用集团统一的开放平台(宙斯或物流网关)进行,对数据输出进行收口管理;同时也要求开放数据的第三方系统需部署到京东云鼎,京东数据需在京东云鼎中存储和使用,云鼎提供安全保护能力,如账号安全、数据加密等措施,保障数据安全性。
B:资产管理:安全团队与京东IT基础设施合作,搭建账号管理系统、设备资产管理系统、应用发布平台,全面掌握京东资产信息。
C:网络安全:通过构建网络边界来隔绝内外网安全攻击的问题,依据等保2.0要求,将全部应用系统划分为5个安全等级,并设计相应的安全环境保护策略。按照域内资产的安全等级将内部网络划分为多个安全域,包括生产网络、办公系统网络、测试网络、职场网络、供应链/子公司/生态网络。
D:终端安全:在设备维度,对不同类型的终端设备进行全面的资产管理和动态化的威胁感知与响应。加强终端安全管控,通过设备识别、身份验证、授权管理、入侵检测,实现对终端设备的访问控制。同时采用蜜罐技术转被动为主动,主动对黑产等攻击者进行诱捕,并可以精准定位攻击者,实现攻击者的溯源与反制。
E:应用安全:通过DevSecOps实现应用的全生命周期的管理,并在整个生命周期中,对应用进行安全评估,只允许检测通过的应用上线运行。同时,对线上应用通进行持续检测,对检测不合格的应用进行告警、下线等响应策略。同时京东为应用构建了热修复能力,进一步保障应用资产的安全性.
(3)文化层面:打造全员信息安全及隐私保护文化。定期开展专题教育,组织信息安全月活动,组织专题数据安全讲座,通过全员线上考核、安全隐患体验、播放安全视频等形式,切实增强员工信息安全及隐私保护意识。此外,信息安全部与京东大学联合合作,将信息安全及隐私保护试题作为新人转正必学课程,只有通过考试才能转正。
百度的使命是“用科技让复杂的世界更简单”,为了更好提供优质的网络体验,充分利用科技能力,持续加强网络安全治理,优化产品能力,切实保障用户权益。
百度公司作为人工智能的领头企业,也将其从应用领域扩展到了网络安全治理上。通过借助人工智能、威胁情报、深度学习等能力,自研“百度安全网络黑产监测与检测系统”平台,经过不断迭代,建立了庞大的网络黑产活动样本库,优化升级黑产的建模,提高了黑产类信息、风险、产业链条的监测、识别、处置能力,净化平台内容生态。
2021年9月,在国家反诈中心的指导下,成立了百度反诈中心。以公司业务生态为基础,通过完善内控和安全责任制度,在预警、治理、打击、宣传四个方向不断加大工作力度。一年来,一是强化问题链接屏蔽;二是加大风险账号治理;三是加强涉诈物料的清理;四是做好涉诈电线)多举措、全方位保障网民网络体验和财产安全
百度高度重视用户权益保护的工作,早在2013年,公司就推出“网民权益保障计划”,旨在保障网民使用搜索引擎时信息的真实性、交易的公平性。网民在登录百度账号状态下点击带有“广告”或“保障”标识的网站,如果因假冒官网或钓鱼欺诈而蒙受经济损失,可以申请赔偿保障金。公司权益保障计划经多年升级,保障覆盖范围逐步扩大、赔付金额逐年增加。当出现百度客服无法判定纠纷的情况,第三方机构人民调解委员会将被引入,平台将协同线上、线下解决服务纠纷,使用户权益获得更完善的保障。实践中,我们探索采取了以下举措:一是增设维权申保入口;二是优化申保流程;三是强化官网认证与识别;四是推进百度人民调解机制。此外,百度高度重视行业生态建设与治理,推动制定《互联网企业投诉处理优质服务规范》团体标准,积极承担社会责任、引领行业可持续发展。
利用互联网产品机制高效化解消费者与商家之间消费纠纷,同时发挥自身的数据能力及传播资源,主动开展各项反诈工作。
在产品建设方面:针对平台上高发的与消费高度关联的刷单、冒充客服、金融贷款等典型诈骗类型,平台通过自主研发,不断升级样本库及数据模型:从投诉内容、投诉用户行为、企业投诉数据等多个维度进行日常风险监测,提升了平台对黑产涉骗信息的监测识别能力,服务平台自身运营及外部合作方的各类需求。为政府主管部门的监管、执法提供数据支持。2022年已配合各级公安机关案件协查,调证数据输出27次,输出线年与浙江公安开展数据对接,合作开发App风险识别工具“反诈帮帮团”,对350余款诈骗App有效识别,超3万名潜在受害者开展精准预警。
在日常运营中,平台实时对异常内容及账号进行阻断,加大平台内风险账号处置、涉骗信息清理,并通过月度安全治理公告对外公示,保持对不法行为的高压打击。月均清理虚假投诉、引流广告、诈骗信息等违规内容上千条,处置违规账号超过300个,保障平台内容安全及运营秩序。并针对异常投诉制定“熔断”机制,发现问题主动与相关企业进行反馈、沟通,确定涉骗风险后对用户通过站内信息推送进行预警。
在科普宣传方面:平台积极与各方联合开展各项反诈教育宣传工作,已经连续两年在国家反诈中心的指导下进行反诈主题宣传活动,通过数据盘点分析、典型涉骗案例讲解、防骗知识科普等线上、线下活动多维度、多角度进行反诈教育工作。联合合作律师,每周通过案例解析、连麦直播的方式进行普法宣传,提升网民的防骗意识和能力。
在诈骗类型中,杀猪盘类的投资诈骗极为典型,犯罪分子通常从网络上盗取豪车豪宅图片,在社交平台伪装成功人士,通过网聊交友确定恋爱关系,再通过引诱投资导致对方被骗。
Soul通过AI识别和黑灰产识别技术上线动态查重功能和多项反诈机制,从技术研发、产品设计及多方协同打击方面着手,建立严密的风控机制。
在Soul上,用户无法直接进行金钱交易,切断了用户在平台被诈骗的途径。从用户注册前序行为、注册进入Soul、站内行为、举报申诉以及到账号注销等用户全生命周期,风控体系都会开启风险管控与安全守护机制,全程守卫用户在平台内的安全。自主研发建立的风控机制会在不同应用场景与环节对用户异常行为进行建模监测。在疑似风险用户与“易受害体制”用户群中间建立有效防火墙。一方面尽量阻断疑似风险用户对正常用户的影响,另一方面在监测发现高危风险时迅速采取“熔断”机制,并及时提示、“叫醒”可能潜在受害者。通过不断收集和扩充导流风险平台和内容黑库,结合人工策略和机器策略双管齐下治理,高效拦截风险内容。
2022年上线“动态查重”功能,可以作为为用户提供辨别虚假人设甚至杀猪盘的工具。如果发布者的图片曾经在站内内容广场出现过,在其个人主页对应的内容帖下方将出现该内容曾在站内出现过的提示,能更好地保护原创作者的权益,还能强化对盗取豪宅豪车图的杀猪盘假人设的打击。该功能是Soul基于深度学习构建的大规模向量检索框架SIMAGE,把站内存量的近百亿内容构建成特征向量,能够根据局部特征以及全局特征的索引方式检索相同或相近的内容,同时具备较高的召回率和精准度。
针对灰黑产业链的治理,对用户异常行为进行建模监测、阻断拦截风险内容外,及时扩充黑产动向,多渠道收集引流方式和设备伪装技术。通过实战模拟攻击,提高Soul的自主风控防控技术;其次,对设备安全环境识别进行设备识别。设有高危风险设备库,进行精准的设备指纹识别、风险识别和对抗技术,进一步提高黑产作案成本。已完成设备指纹自建,实现多维度设备特征识别和比对。Soul的自研算法可识别70%以上的作弊设备,并精准识别包括虚拟化、越狱式、远程控制等多种异常行为。
爱聊作为新一代婚恋交友平台,高度重视用户信息安全和隐私,为防范网络诈骗等违法行为,综合运用平台产品机制建立门槛和防护,技术和安全防范手段进行有力打击,并通过用户共建等反诈创新举措,为用户营造绿色交友空间。
(1)产品机制方面:遵循各种相关法律法规制定产品运营规则,通过高标准认证机制提高账号注册门槛,打击虚假注册,设立用户信用成长体系,用户使用平台时间越久,通过的各项信用验证越多,信用体系成长就越快。以此产品逻辑,优质用户更容易获取信任,让虚假用户、新注册账号不易获得系统信任;其次,平台通过AI反诈智能算法,对可疑行为进行排查,以及给相关用户进行预警并推送反诈信息;建立黑名单排查机制,对可疑设备号、IP地址、手机号、头像、身份证号等进行排查,快速发现并处置违法违规行为。
(2)技术安全方面:自主研发的“天网”安全体系,由AI系统对用户在平台行为进行全流程保障,对数据进行不可逆的加密存储,智能过滤拦截涉及低俗、欺诈、涉黄、暴恐等违法违规行为,并对相关交友行为进行安全风险提示;其次,自研“天网”与第三方安全机构合作相结合,定期更新策略和进行安全审查。
(3)用户共建方面:通过产品机制奖励用户对不法行为进行举报,平台设置专人专岗7*24小时对举报投诉进行响应和处置,降低影响减少用户损失。同时,结合“人工7×24小时”轮班无间断复审、严格的举报和投诉机制,对违规违法用户实行禁用、禁言、封号、永久封禁等措施。
文明办网文明上网举报网址:增值电信业务经营许可证 京B2-20090071