网络安全法

一、背景

概念

• 网络：是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
• 网络安全：是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。
• 网络运营者：是指网络的所有者、管理者和网络服务提供者。
• 网络数据：是指通过网络收集、存储、传输、处理和产生的各种电子数据。
• 个人信息：是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
• 关键信息基础设施：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的设施
• 网络安全=运行安全+信息安全=（安全评估+产品服务+预警响应+人员）+（个人信息+出镜安全+有害处置）

特点：

• 全面性：明确各个主体的义务与责任；确定了各方面的基本制度
• 针对性：从国情出发，坚持问题导向，总结实践经验
• 协调性：注重主体的权益，保障网络信息依法有序流通，促进技术创新。安全与发展并重

目标

• 保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展

范围

• 在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理

原则

• 主权原则：国家主权在网络空间中的延伸和体现

  • 管辖：依自己的法律管辖事物的权利
  • 独立：不被其他国家干预的权利
  • 防卫：保障网络正常运行，不因攻击而中断
  • 平等：国际治理方面平等参与

• 网络安全与信息化发展并重原则

  • 没有网络安全就没有国家安全，没有信息化就没有现代化；安全是发展的前提，发展是安全的保障；相辅相成，同步推进
  • 发展人才、完善战略、境外监测处置、提高意识、网络治理、未成年环境

• 共同治理原则

  • 国家网信部门：统筹协调

  • 国务院电信主管部门、公安部门和其他有关机关：依法在职责范围内负责

  • 县级以上地方人民政府有关部门：依规定确定

  • 网络运营者：守法、履行义务、接受监督

  • 服务提供者：保障网络安全、稳定运行、防范攻击、维护数据安全

  • 相关行业组织：自律、指定规范、指导会员、促进行业发展

  • 个人：举报危害网络安全的行为。相关部门保密、保护举报人合法权益

• 责权一致原则

  • 保护个人、组织依法使用网络的权利，保障网络信息依法有序自由流动
  • 个人和组织使用网络应当遵守宪法法律，不得危害网络安全、利用网络实行违法行为、侵害他人权益

• 对于境外适用情况：

  • 境外的风险和威胁：监测、防御、处置

  • 境外的违法信息：采取措施阻断传播

  • 境外危害我国关基的活动：追究法律责任

二、支持与促进

建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。

统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。

推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。创新网络安全管理方式，运用网络新技术，提升网络安全保护水平。

网络安全宣传教育，并指导、督促有关单位做好网络安全宣传教育工作。大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。

学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。

三、六大亮点

3.1 主权

国家主权在网络空间中的延伸和体现

• 管辖：依自己的法律管辖事物的权利
• 独立：不被其他国家干预的权利
• 防卫：保障网络正常运行，不因攻击而中断
• 平等：国际治理方面平等参与

3.2 网络产品和服务提供者的安全义务

• 强制标准义务：不得设置恶意程序，符合国家强制性要求，关键、专用产品检测、合格后才可以提供
• 告知补救义务：发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。
• 安全维护义务：网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。
• 个人信息保护义务：网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

3.3 网络运营者义务

• 等保制度：制定制度和规程，确认安全负责人+背调，防范措施，监测状态事件，数据分类备份加密，其他
• 身份认证：要求用户提供真实身份信息。国家推动不同电子身份认证之间的互认。
• 应急预案：制定应急预案，及时处置漏洞、病毒、攻击、侵入等安全风险；定期演练；发生事件时，启动预案，采取补救措施，并按规定向有关主管部门报告。
• 协助机制：为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
• 协作机制：建立健全协作机制，提高安全保障能力，加强安全风险应对能力。

3.4 个人信息保护规则

• 收集：告知并同意、公开目的、最小化收集

• 处理：不得泄露、篡改、销毁收集的个人信息

• 保护：采取措施保障防止信息泄露、毁损、丢失；如发生，立即补救并按规定告知用户和部门

• 举报：个人有权要求运营者删除、更正信息

• 合法：不得非法获取或提供个人信息

3.5 关键信息基础设施安全保护制度

基础等保

• 制定制度和规程，确定负责人，落实网络安全保护责任
• 防范措施抵御病毒、攻击、侵入
• 技术措施监测、记录网络运行状态，相关日志大于六个月
• 数据分类、重要数据备份、加密

关基

• 设置专人专岗，相关人员背调
• 定期教育、培训、考核
• 重要系统和数据库容灾备份
• 应急预案、定期演练

3.6 关键信息基础设施重要数据跨境传输规则

• 境内运营中收集和产生的信息数据存储与境内
• 需向境外提供的，应按照网信部和国务院制定的办法进行安全评估
• 境外对境内关基攻击、侵入、干扰、破坏造成严重后果的，追究法律责任，冻结资产、制裁

四、九大制度

4.1 等级保护制度

网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

• 指定制度和规程，确定负责人，落实保护责任
• 采取技术防范病毒、攻击、侵入等
• 监测记录网络状态，日志不少于六个月
• 数据分类、重要数据备份、加密

4.2 网络产品和服务安全制度

• 强制标准义务：符合相关国家标准的强制性要求。不得设置恶意程序；网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，检验后才可销售
• 告知补救业务：发现产品或服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。
• 安全维护义务：应当为产品、服务持续提供安全维护；在规定或约定的期限内，不得终止提供安全维护。
• 个人信息保护：具有收集用户信息功能的，应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

4.3 运行制度

4.3.1 一般

• 认证使用机制：网络关键设备和网络安全专用产品安全认证合格后，方可销售或者提供。网信部制定目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。
• 安全信息发布：开展网络安全认证、检测、风险评估等活动，按规定向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息。
• 禁止危害行为：不得非法入侵、干扰、窃取；不得提供相关工具；不得技术支持，广告推广等
• 信息使用规则：履行网络安全保护职责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。

4.3.2 关基

定义

• 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，
• 一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益

特殊

• 在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

分工

• 负责关基保护工作的各部门负责实施本行业、本领域的关基保护工作
• 国家网信部门统筹协调有关部门
  • 抽查检测，提出改进措施，可以委托网络安全服务机构对进行检测评估；
  • 定期应急演练，提高应对网络安全事件的水平和协同配合能力；
  • 促进部门、运营者以及研究机构、服务机构等之间的网络安全信息共享；
  • 对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。

原则

• 具有支持业务稳定、持续运行的性能
• 保证安全技术措施同步规划、同步建设、同步使用。

义务：除等保规定的义务外，还需

• 人员安全管理：设置管理机构和负责人；安全背景审查；定期教育、培训和考核；

• 数据境内留存：境内收集产生的境内存储；如需向境外提供需评估；对重要系统和数据库进行容灾备份；

  • 出境范围：50万人+、1000G+、7大领域

• 应急预案机制：制定网络安全事件应急预案，并定期进行演练；

• 安全采购措施：有关部门审查+提供者保密协议

  • 审查目标：提高网络安全产品和服务安全可控水平，防范网络安全风险，维护国家安全
  • 审查对象：关系国家安全的网络和信息系统采购的重要网络产品和服务
  • 审查方法：社会监督，实验室，现场，在线，背调，供应链
  • 审查结果：黑白名单
  • 审查内容：自身风险，被控制风险；关键部件生产测试交付技术支持供应链风险；非法收集数据风险；利用用户依赖损害用户利益风险；

• 风险评估机制：每年检测评估并报送

4.4 网络安全风险评估制度

• 制定预案：建立网络安全风险评估和应急工作机制，制定网络安全事件应急预案，定期演练

• 信息公开：按规定开展网络安全认证、检测、风险评估等活动，向社会发布漏洞、病毒、攻击、侵入等信息

• 每年评估：对网络安全性和可能存在的风险每年评估一次，并将报告和改进措施报送相关部门

• 分级标准：危害程度+影响范围

4.6 网络安全事件应急预案制度

• 发生前：

  • 制定应急预案，建立风险评估和应急工作机制。定期演练；
  • 及时处置，降低风险。漏洞、病毒、攻击、侵入等；
  • 安全事件分级：危害程度+影响范围。不同级别指定相应的应急措施

• 可能发生时：

  • 各部门及时收集报告信息，加强风险检测
  • 对风险信息进行评估，分析可能性、危害程度、影响范围
  • 向社会发布风险预警，防范措施

• 发生时：

  • 立即启动应急预案，调查+评估，采取措施消除安全隐患，及时公布警示信息
  • 可以参照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》
  • 经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

4.7 网络安全监测和预警制度

• 国家建立网络安全监测预警和信息通报制度。加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。
• 关键信息基础设施安全保护工作的部门建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。
• 省级以上人民政府有关部门在监管过程中，发现较大风险或发生安全事件，可以对该网络的运营者进行约谈。

4.8 用户信息保护制度

• 实名：办理部分业务时，网络运营者应要求用户提供真实身份信息。

• 规则：合法、正当、必要的收集，告知并取得同意、公开目的、最小化收集；不得泄露、篡改、销毁收集的个人信息；个人有权要求运营者删除、更正信息；采取措施保障防止信息泄露、毁损、丢失；如发生，立即补救并按规定告知用户和部门；

• 管理：对用户发布的信息管理，立即停止、消除、防扩散并报告；来源境外的采取措施阻断传播

• 投诉：建立投诉制度，公开投诉方式，并处理收到的投诉和举报

• 电诈：电子邮件不得设置恶意程序， 不得包含违法信息。采取措施消除并报告；不得设立违法网站、群组。不得利用网络诈骗、销售违法物品或信息；不得非法获取或向他人提供个人信息。

• 配合：运营者配合网信和有关部门的依法监督检查

构建网络安全体系

五项举措

一是推动完善网络安全法律法规和制度标准体系，同步完善危险监测处置、数据保护、新技术、新业务安全评估等行业配套政策；

二是持续强化信息通信行业网络安全的防护能力部署和监督落实；

三是加大网络环境的治理力度，每年不定期开展网络安全威胁的专项治理行动；

四是推进信息行业大数据安全的监管能力建设；

五是推动网络安全产业的发展和人才队伍建设，强化基础支撑的保障能力。