随着互联网和信息技术的迅猛发展,网络安全问题也日益凸显并受到国家和社会各界的重视。为提升全民网络安全意识和技能,今年9月至10月期间,以“网络安全为人民,网络安全靠人民”为主题的国家网络安全宣传周在全国范围内统一举行。11月23日,我们参与了由中国科技产业化促进会、清华-青岛数据科学研究院联合主办的西山金融科技产业创新论坛,与会金融机构、研究机构、高校和金融科技企业在讨论拥抱创新科技的同时,也表达了对网络安全保护义务的关注。
全国人民代表大会常务委员会颁布并于2017年06月01日起施行的《中华人民共和国网络安全法》(主席令第五十三号)(以下简称“《网络安全法》”)是我国网络安全保护的基础性法律。本文以《网络安全法》及相关法律法规规范为基础,探讨我国现行网络安全的调整范围以及监管要点,以便各网络运营者了解并依法履行其网络安全保护义务。
理解一部法律规范的适用范围,首先须了解其调整的对象和行为。《网络安全法》第二条规定:“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。”第九条规定:“网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。”
理解《网络安全法》首先需要从“网络”、“网络运营者”以及“网络安全”三个核心概念入手。
我国现行法律、法规及其他有关规范中,对“网络”及类似概念的界定不尽相同,相关定义内容如下:
《网络安全法》界定的“网络”定义,与《计算机信息系统安全保护条例》规定最为相似,指信息终端及相关设备组成的按照一定规则和程序对信息进行收集、储存、交换、处理的系统,包括互联网、封闭型的局域网、工业控制系统等。
网络运营者是《网络安全法》规范的对象,安全保护义务的承担者。《网络安全法》第七十六条规定:“网络运营者,是指网络的所有者、管理者和网络服务提供者。”因此,网络运营者的范围不仅包括提供网络商业或非商业服务提供者,也包括其所有者、管理者。
《网络安全法》第七十六条规定:“网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”
结合《网络安全法》全文,网络安全包括网络运行安全、网络信息安全两大内容,网络运营者应当履行相关义务,保障网络运行安全和信息安全。
《网络安全法》第二十一条、《计算机信息系统安全保护条例》第九条规定,国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。网络运营者应当按照等级保护制度的要求,履行安全保护义务,并按照公安部未来正式颁布的有关条例开展网络定级备案、安全建设整改、等级测评和自查等工作。
《网络安全法》出台后,公安部对原GB/T 22239-2008《信息系统安全等级保护基本要求》做了调整,形成GB/T 22239-2019《网络安全等级保护基本要求》(2019年12月01日起实施)(以下简称“等保2.0标准”)及其系列配套制度(如,GB/T 25070-2019《网络安全等级保护安全设计技术要求》、GB/T 28448-2019《网络安全等级保护测评要求》),规定了网络安全等级保护对象的安全通用要求和安全扩展要求。
等保2.0标准的保护对象为网络,全面覆盖了基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联网技术的系统等,并根据等级保护对象在国家安全、经济建设、社会生活中的重要程序,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五个安全保护等级(其中,第五级等级保护对象因其重要地位,对其有特殊管理模式和安全要求,未在等保2.0标准中进行描述),不同级别的等级保护对象应具备的基本安全保护能力不同。
网络运营者依法应当对其网络开展安全测评,并选择符合具有相应能力的安全等级测评机构进行。
《网络安全法》第二十二条规定,网络产品、服务应当符合相关国家标准的强制性要求。目前,网络产品、服务标准多为行业性标准,相关产品和服务的强制性国家标准待有关部门制定、出台。
《网络安全法》第二十三条规定,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。据此,网络关键设备和网络安全专用产品在销售或提供(无论有偿或无偿)前,必须通过安全认证或安全检测。
对于网络关键设备和网络安全专用产品的界定范围,根据国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会2017年6月1日联合发布并实施的《关于发布网络关键设备和网络安全专用产品目录(第一批)的公告》, 网络关键设备包括:路由器、交换机、服务器(机架式)、可编程逻辑控制器(PLC设备);网络安全专用产品包括:数据备份一体机、防护墙(硬件)、WEB应用防火墙(WAF)、入侵检测系统(IDS)、入侵防御系统(IPS)、安全隔离与信息交换产品(网闸)、反垃圾邮件产品、网络综合审计系统、网络脆弱性扫描产品、安全数据库系统、网络恢复产品(硬件)。具体参数详见该公告规定。
网络运营者应当对网络关键设备和网络安全专用产品进行安全认证或安全检测,并应聘任具备资格的机构进行。可承担安全认证/安全检测任务机构,须以有关部门公布的名录为准。
除上述安全认证/检测要求外,我国现行《计算机信息系统安全保护条例》第十六条、《计算机信息系统安全专用产品检测和销售许可证管理办法》还规定,国家对计算机信息系统安全专用产品的销售实行许可证制度。
据此,安全专用产品的生产者在其产品进入市场销售之前,必须针对单件安全专用产品,申领《计算机信息系统安全专用产品销售许可证》。
在以上一般管理规定的基础上,《网络安全法》第三十一条进一步规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
针对关键信息基础设施的具体范围,结合国家互联网信息办公室2017年7月10日公布的《关键信息基础设施安全保护条例(征求意见稿)》,下列单位运行、管理的网络设施和信息系统,拟议纳入关键信息基础设施保护范围:1、政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;2、电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;3、国防科工、大型装备、化工、食品药品等行业领域科研生产单位;4、广播电台、电视台、通讯社等新闻单位;以及,5、其他重点单位。
上述关键信息基础设施的运营者,较一般网络运营者而言,除承担较重的安全保护义务外,在采购网络产品和服务时,还应当履行通过国家网信部门组织的国家安全审查(适用于可能影响国家安全的情形)、与提供者签订安全保密协议、数据境内存储、向境外提供数据须进行安全评估、年度网络安全性监测评估等义务。
除网络运行安全规定外,对于网络信息安全,《网络安全法》要求网络运营者对用户信息严格保密,建立健全用户信息(重点针对个人信息)保护制度,并规定了网络运营者的信息管理义务。主要包括:
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
此外,网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,不得泄露、篡改、毁损其收集的个人信息,未经被收集者同意不得向他人提供个人信息。
网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
《网络安全法》规定,网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报;并且,对网信部门和有关部门依法实施的监督检查,应当予以配合。返回搜狐,查看更多
