网络安全法的重点章节
网络运行安全
网络信息安全
网络安全法第3章“网络运行安全”细分为两节内容,即“一般规定”与“关键信息基础设施的运行安全”。
网络运行安全——一般规定:
第21条,明确指出了国家实行网络安全等级保护制度。网络运营者如果未能按照等保要求履行相应的安全保护义务,则会面临违法的风险。
第22条,网络产品、服务应当符合相关国家标准的强制性要求。
第23条,网络关键设备和网络安全专用产品需要通过安全检测认证后方可销售。
第24条,用户在使用网络服务时需要实名认证。
第25条,网络运营者应制定网络安全事件应急预案。
第26条,开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。
第27~30条,27条规定了需要令行禁止的一些违法行为,28条规定了网络运营者需支持并协助公安机关处理国家安全和侦查犯罪活动,29条网络运营者之间的网络安全信息共享,第30条网信部门和有关部门在履职中获取的信息不得用于维护网络安全以外的其他用途。
网络运行安全——关键信息基础设施的运行安全:
第31条,规定了可以视为关键信息基础设施的行业范围并要求实施重点保护。
第32条,规定了履职部门的责任与义务。
第33条,即著名的“三同步”要求,建设关键信息基础设施应当保证安全技术措施的同步规划、同步建设、同步使用。
第34条,是对第21条执行等级保护管理措施的再加码,即关键信息基础设施的运营者还应当履行更多的义务:设置专门安全管理机构和安全管理负责人、定期进行网络安全教育与培训考核、实施重要系统和数据容灾备份措施、制定网络安全事件应急预案并定期演练等。
第35、36条,规定了关键信息基础设施的运营者采购网络产品和服务时的合规要求。
第37条,规定了关键信息基础设施的运营者在处理个人信息、重要数据跨境传输时的合规要求。
第38条,规定了关键信息基础设施的运营者应当每年执行一次网络安全风险评估。
第39条,规定了国家网信部门履职的相关责任与义务,如定期抽查检测、组织应急演练等。
第31条针对可以视为属于关键信息基础设施的行业范围的定义存在一定的模糊性,尤其是“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”这一句话。可能有很多网络产品服务运营者认为自家产品服务不属于、达不到关键信息基础设施的定义标准。举个例子,大家会觉得嘀嘀打车的网络服务算作关键信息基础设施吗,只是个打车软件应该不至于吧?
实际上有很多国家机关、监狱、军队机构的员工也都会使用嘀嘀打车,通过对嘀嘀后台的用户打车行为数据进行统计分析,很容易掌握一个特定单位有哪些员工人群,进一步可以分析出这些人员除了家与单位之外还频繁到访的地点是哪些,甚至是过往几年的出行痕迹,这些信息如果转移到了国外或泄露到敌特份子手上,是不是会严重危害国家安全、国计民生。
网络信息安全:
第40~45条,均是在讲网络信息中的个人信息保护方面的要求,这在颁布了个人信息保护法后则可以后者为准。
第46~48条,一方面规定了任何个人和组织都应当令行禁止的行为,一方面规定了网络运营者治理违规网络信息的责任与义务要求。
第49条,网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
第50条,国家网信部门和有关部门的依法履职要求
