安永网络安全法解读.pdf
《安永网络安全法解读.pdf》由会员分享,可在线阅读,更多相关《安永网络安全法解读.pdf(36页珍藏版)》请在冰点文库上搜索。
Thebetterthequestion.Thebettertheanswer.?
Thebettertheworldworks.中华人民共和国网络安全法中华人民共和国网络安全法交流分享会交流分享会2017第2页问题问题网络安全法实施进程11网络安全法覆盖的范围22何为“网络运营者”?
有哪些法定义务?
33何为“个人信息”?
44何为“关键信息基础设施”?
如何识别判定?
有哪些法定义务?
55定义了哪些主要的法律责任?
66对企业的影响,以及企业下一步行动的思考77网络安全法立法后的推进事项88?
第3页总览总览第4页中华人民共和国中华人民共和国网网络安全络安全法法立法进程网络安全法草案一审稿20152015年年77月月77日日网络安全法草案二审稿20162016年年77月月55日日网络安全法草案三审稿20162016年年1111月月11日日人大常委会表决通过网络安全法20162016年年1111月月77日日网络安全法施行20172017年年66月月11日日结束关键信息基础设施全国范围检查工作20162016年年1212月末月末启动关键信息基础设施全国范围检查工作20162016年年77月月88日日11网络产品和服务安全审查办法(征求意见稿)20172017年年22月月44日日个人信息和重要数据出境安全评估办法(征求意见稿)20172017年年44月月1111日日网络安全法首次在政府工作报告中提及20142014年年22月月首次在中国境内颁布的涉及网络安全与隐私权保护的法律是互联网领域、网络安全的基础性法律党的十八大以来的又一部重要法律关于网络安全法关于网络安全法:
第5页中华人民共和国网络安全法中华人民共和国网络安全法是:
是:
一一、落实党中央决策落实党中央决策,维护维护网络安全网络安全、国家安全国家安全的的重要重要举措举措二二、维护维护网络空间国家主权网络空间国家主权的重要的重要举措举措三三、提升提升互联网互联网国际国际竞争竞争力力的的重要举措重要举措四四、保护国家保护国家关键信息基础设施关键信息基础设施和和数据安全数据安全的重要的重要举措举措五五、打击网络犯罪打击网络犯罪,维护人民群众利益的维护人民群众利益的重要重要举措举措中华人民共和国中华人民共和国网网络安全络安全法法重要意义第6页中华人民共和国网络安全法中华人民共和国网络安全法重要意义(续)新法规遵循过程建立在国家层面上新法规遵循过程建立在国家层面上*提出了个人信息保护的基本原则和要求进一步理顺了网络安全工作体制对网络产品和服务提供者提出了要求建立了通信管制制度,以支持重大突发事件的处置规定了信息发布、即时通讯等服务的实名制要求从法的层面规定了对网上非法信息的清理明确了网络运营者的执法协助义务确立了国家关键信息基础设施保护制度建立了网络安全监测预警、信息通报和应急处置工作体系规范了重要网络安全信息的发布服务*中国信息安全研究院副院长左晓栋第7页中华人民共和国网络安全法中华人民共和国网络安全法的相关执行单位的相关执行单位负责统筹协调网络安全工作和相关监督管理工作负责关键信息基础设施的执法检查依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
负责信息系统等级保护制度的执行与检查负责除信息基础设施之外的网络运营者的执法检查依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
负责通信业网络运营者的执法检查第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。
国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
相关条款第8页中华人民共和国网络安全法中华人民共和国网络安全法主体内容网络产品开发商,网络服务提供者和网络网络运营者运营者的一般规定对关键信息基础设关键信息基础设施施保护的高度强调跨境数据传输的原则建立网络防御的安全风险评估、监测、监控、预警、通知、升级、应急响应等.对保护个人信息的强调对不符合遵循条款的罚款和惩罚112233445566第9页关键条款解读关键条款解读第10页中华人民共和国网络安全法中华人民共和国网络安全法网络产品开发商,网络服务提供者和网络运营者的一般规定中华人民共和国网络安全法中华人民共和国网络安全法网络产品开发商网络产品开发商,网络服务提供者网络服务提供者和和网络运营者网络运营者的的一般规定一般规定对保护个人信息对保护个人信息的强调的强调跨境数据传输的跨境数据传输的原则原则对关键信息基础对关键信息基础设施保护的高度设施保护的高度强调强调建立网络防御的建立网络防御的安全风险评估、安全风险评估、监测、监控、预监测、监控、预警、通知、升级、警、通知、升级、应急响应等应急响应等对不符合遵循条对不符合遵循条款的款的罚款和惩罚罚款和惩罚网络运营者:
第七十六条对适用于本法的“网络运营者”给出了明确的定义:
“网络运营者,是指网络的所有者、管理者和网络服务提供者”。
在此定义下,“网络运营者”所适用的范围大为扩展,包括了拥有网站并提供网络服务的企业等范围:
所有的网络所有的网络,包含整个网络的生命周期整个网络的生命周期与所有的网络运营者所有的网络运营者第二第二条条在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。
第第九条九条网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
第七十六条第七十六条本法下列用语的含义:
(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。
相关条文第11页中华人民共和国网络安全中华人民共和国网络安全法法网络产品开发商,网络服务提供者和网络运营者的一般规定(续)中华人民共和国网络安全法中华人民共和国网络安全法网络产品开发商网络产品开发商,网络服务提供者网络服务提供者和和网络运营者网络运营者的的一般规定一般规定对保护个人信息对保护个人信息的强调的强调跨境数据传输的跨境数据传输的原则原则对关键信息基础对关键信息基础设施保护的高度设施保护的高度强调强调建立网络防御的建立网络防御的安全风险评估、安全风险评估、监测、监控、预监测、监控、预警、通知、升级、警、通知、升级、应急响应等应急响应等对不符合遵循条对不符合遵循条款的款的罚款和惩罚罚款和惩罚第二十一条第二十一条国家实行网络安全等级保护制度。
网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。
第二十二条第二十二条网络产品、服务应当符合相关国家标准的强制性要求。
网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
第二十四条第二十四条网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。
用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
第第二十五条二十五条网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
关键条款第12页企业是否制定内部安全管理制度和操作规程?
企业是否有保留相关网络日志至少6个月?
企业是否收集用户或其他个人信息?
企业是否提供为用户办理网络接入、域名注册,信息发布、或者即时通讯等服务?
企业是否制定了网络安全事件应急预案?
中华人民共和国网络安全中华人民共和国网络安全法法网络产品开发商,网络服务提供者和网络运营者的一般规定(续)中华人民共和国网络安全法中华人民共和国网络安全法对保护个人信息对保护个人信息的强调的强调跨境数据传输的跨境数据传输的原则原则对关键信息基础对关键信息基础设施保护的高度设施保护的高度强调强调建立网络防御的建立网络防御的安全风险评估、安全风险评估、监测、监控、预监测、监控、预警、通知、升级、警、通知、升级、应急响应等应急响应等对不符合遵循条对不符合遵循条款的款的罚款和惩罚罚款和惩罚思考合规方案*网络产品开发商网络产品开发商,网络服务提供者网络服务提供者和和网络运营者网络运营者的的一般规定一般规定安全管理安全管理现状信息采集现状信息采集对标法规对标法规要求要求快赢计划快赢计划和实施和实施123根据一般规定的要求,有针对性的采集企业安全治理相关信息和文档对照一般规定的要求完成初步评估并记录发现的缺口或者空白点依照发现,结合企业现有资源和能力来衡量并制定可迅速见效的快赢计划并实施制定中制定中-长期提升长期提升方案方案4对于相对复杂的实施项,制定中-长期提升计划,并纳入整体信息安全规划体系中*基于各企业现状和信息安全成熟度的不同,此处合规方案仅供参考!
第13页中华人民共和国网络安全法中华人民共和国网络安全法对保护个人信息的强调中华人民共和国网络安全法中华人民共和国网络安全法网络产品开发商网络产品开发商,网络服务提供者网络服务提供者和网络运营者的和网络运营者的一般规定一般规定对保护个人信息对保护个人信息的强调的强调跨境数据传输的跨境数据传输的原则原则对关键信息基础对关键信息基础设施保护的高度设施保护的高度强调强调建立网络防御的建立网络防御的安全风险评估、安全风险评估、监测、监控、预监测、监控、预警、通知、升级、警、通知、升级、应急响应等应急响应等对不符合遵循条对不符合遵循条款的款的罚款和惩罚罚款和惩罚个人信息:
2017年5月8日最高人民法院最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释:
释:
刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
第七十六条第七十六条本法下列用语的含义:
(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
相关条文第14页中华人民共和国网络安全中华人民共和国网络安全法法对保护个人信息的强调(续)第四十一条第四十一条网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。
但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十三条第四十三条个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。
网络运营者应当采取措施予以删除或者更正。
第四十四条第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
第四十五条第四十五条依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
中华人民共和国网络安全法中华人民共和国网络安全法网络产品开发商网络产品开发商,网络服务提供者网络服务提供者和网络运营者的和网络运营者的一般规定一般规定跨境数据传输的跨境数据传输的原则原则对关键信息基础对关键信息基础设施保护的高度设施保护的高度强调强调建立网络防御的建立网络防御的安全风险评估、安全风险评估、监测、监控、预监测、监控、预警、通知、升级、警、通知、升级、应急响应等应急响应等对不符合遵循条对不符合遵循条款的款的罚款和惩罚罚款和惩罚关键条款对保护个人信息对保护个人信息的强调的强调第15页中华人民共和国网络安全法中华人民共和国网络安全法对保护个人信息的强调(续)中华人民共和国网络安全法中华人民共和国网络安全法网络产品开发商网络产品开发商,网络服务提供者网络服务提供者和网络运营者的和网络运营者的一般规定一般规定跨境数据传输的跨境数据传输的原则原则对关键信息基础对关键信息基础设施保护的高度设施保护的高度强调强调建立网络防御的建立网络防御的安全风险评估、安全风险评估、监测、监控、预监测、监控、预警、通知、升级、警、通知、升级、应急响应等应急响应等对不符合遵循条对不符合遵循条款的款的罚款和惩罚罚款和惩罚企业是否获得收集者同意进行个人信息收集和使用?
企业是否获得个人信息所有者的同意向第三方提供其个人信息?
企业是否需要采取技术措施和其他必要措施,确保其收集的个人信息安全?
企业是否有一个适当的个人信息处置过程?
服务协议是否能清晰界定与服务使用方的责任思考合规方案对保护个人信息对保护个人信息的强调的强调*基于各企业现状和信息安全成熟度的不同,此处合规方案仅供参考!
了解企业了解企业对外门户渠道对外门户渠道对标法规对标法规要求要求定位定位企业企业内部个人内部个人信息位置信息位置123整理并记录所有企业对外收集个人信息的和电子及非电子渠道(例,网站,App,柜台等);对照相关条例审核现有渠道(含第三方)采集个人信息的合理及合法性并针对发现进行整改利用技术(信息发掘软件)和非技术(问卷)方法定位企业内个人信息的存储情况制定企业制定企业规章流程规章流程4针对个人信息保护制定安全政策和审批流程,并开展员工意识学习或集中培训第16页中华人民共和国网络安全法中华人民共和国网络安全法跨境数据传输的原则中华人民共和国网络安全法中华人民共和国网络安全法网络产品开发商网络产品开发商,网络服务提供者网络服务提供者和网络运营者的和网络运营者的一般规定一般规定对保护个人信息对保护个人信息的强调的强调跨境数据传输的跨境数据传输的原则原则对关键信息基础对关键信息基础设施保护的高度设施保护的高度强调强调建立网络防御的建立网络防御的安全风险评估、安全风险评估、监测、监控、预监测、监控、预警、通知、升级、警、通知、升级、应急响应等应急响应等对不符合遵循条对不符合遵循条款的款的罚款和惩罚罚款和惩罚2017年4月11日国家互联网信息办公室关于国家互联网信息办公室关于个人信息和重要数据出境安全评估办法(征求意见稿)个人信息和重要数据出境安全评估办法(征求意见稿)公开征求意见的通公开征求意见的通知知:
第二条网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。
因业务需要,确需向境外提供的,应当按照本办法进行安全评估。
重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。
第三十七第三十七条条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。
因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
相关条文第17页中华人民共和国网络安全法中华人民共和国网络安全法跨境数据传输的原则(续)中华人民共和国网络安全法中华人民共和国网络安全法网络产品开发商,网络服务提供者和网络运营者的一般规定对保护个人信息对保护个人信息的强调的强调对关键信息基础对关键信息基础设施保护的高度设施保护的高度强调强调建立网络防御的建立网络防御的安全风险评估、安全风险评估、监测、监控、预监测、监控、预警、通知、升级、警、通知、升级、应急响应等应急响应等对不符合遵循条对不符合遵循条款的款的罚款和惩罚罚款和惩罚第四条个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。
未成年人个人信息出境须经其监护人同意。
第七条网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。
第八条数据出境安全评估应重点评估以下内容:
(一)数据出境的必要性;
(二)涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;(三)涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;(四)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;(五)数据出境及再转移后被泄露、毁损、篡改、滥用等风险;(六)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;(七)其他需要评估的重要事项。
评估办法(征求意见稿)跨境数据传输的跨境数据传输的原则原则第18页中华人民共和国网络安全法中华人民共和国网络安全法跨境数据传输的原则(续)中华人民共和国网络安全法中华人民共和国网络安全法网络产品开发商,网络服务提供者和网络运营者的一般规定对保护个人信息对保护个人信息的强调的强调对关键信息基础对关键信息基础设施保护的高度设施保护的高度强调强调建立网络防御的建立网络防御的安全风险评估、安全风险评估、监测、监控、预监测、监控、预警、通知、升级、警、通知、升级、应急响应等应急响应等对不符合遵循条对不符合遵循条款的款的罚款和惩罚罚款和惩罚第九条出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:
(一)含有或累计含有50万人以上的个人信息;
(二)数据量超过1000GB;(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;(五)关键信息基础设施运营者向境外提供个人信息和重要数据;(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。
行业主管或监管部门不明确的,由国家网信部门组织评估。
第十二条网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,及时将评估情况报行业主管或监管部门。
当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估。
评估办法(征求意见稿)跨境数据传输的跨境数据传输的原则原则第19页中华人民共和国网络安全法中华人民共和国网络安全法跨境数据传输的原则(续)中华人民共和国网络安全法中华人民共和国网络安全法网络产品开发商,网络服务提供者和网络运营者的一般规定对保护个人信息对保护个人信息的强调的强调对关键信息基础对关键信息基础设施保护的高度设施保护的高度强调强调建立网络防御的建立网络防御的安全风险评估、安全风险评估、监测、监控、预监测、监控、预警、通知、升级、警、通知、升级、应急响应等应急响应等对不符合遵循条对不符合遵循条款的款的罚款和惩罚罚款和惩罚是否将运营中收集和产生的个人信息和重要数据在境内存储?
是否有业务需要向境外提供个人信息和重要数据?
服务协议是否能清晰界定与服务使用方的责任思考合规方案*跨境数据传输的跨境数据传输的原则原则全面全面了解了解企业信息存储边界企业信息存储边界关注相应法关注相应法规发展动态规发展动态制定企业内制定企业内部相关管控部相关管控123深入了解并系统性的记录企业目前存储在境外的个人信息和重要数据,包括量级根据指引,按照国家要求自行或者通过第三方来完成个人信息和重要数据出境安全评估对未来的个人数据与关键数据存储制定企业内部规范,准则和审批流程*基于企业现状和信息安全成熟度的不同,及相应的评估办法仍处于试行阶段,此处合规方案仅供参考!
第20页中华人民共和国网络安全法中华人民共和国网络安全法对关键信息基础设施保护的高度强调中华人民共和国网络安全法中华人民共和国网络安全法网络产品开发商网络产品开发商,网络服务提供者网络服务提供者和网络运营者的和网络运营者的一般规定一般规定对保护个人信息对保护个人信息的强调的强调跨境数据传输的跨境数据传输的原则原则对对关键信息基础关键信息基础设施设施保护的高度保护的高度强调强调建立网络防御的建立网络防御的安全风险评估、安全风险评估、监测、监控、预监测、监控、预警、通知、升级、警、通知、升级、应急响应等应急响应等对不符合遵循条对不符合遵循条款的款的罚款和惩罚罚款和惩罚关键信息基础关键信息基础设施设施指的是面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业重要行业运行的信息系统或工业控制系统,这些系统一旦发生网络安全事故,能影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境及人民生命财产造成严重损失。
“”“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。
”习近平*2016年4月19日*来源:
中国网信网http:
/第21页中华人民共和国网络安全法中华人民共和国网络安全法对关键信息基础设施保护的高度强调(续)中华人民共和国网络安全法中华人民共和国网络安全法网络产品开发商网络产品开发商,网络服务提供者网络服务提供者和网络运营者的和网络运营者的一般规定一般规定对保护个人信息对保护个人信息的强调的强调跨境数据传输的跨境数据传输的原则原则建立网络防御的建立网络防御的安全风险评估、安全风险评估、监测、监控、预监测、监控、预警、通知、升级、警、通知、升级、应急响应等应急响应等对不符合遵循条对不符合遵循条款的款的罚款和惩罚罚款和惩罚对对关键信息基础关键信息基础设施设施保护的高度保护的高度强调强调1.1.网站类网站类:
如党政机关网站、企事业单位网站、新闻网站等2.2.平台类平台类:
如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台3.3.
升级会员 