PowerPoint 演示文稿 - PDF 免费下载

网络安全法的落地实施与执法实践黄道丽博士副研究员二级警督

我们的团队公安三所网络安全法律研究中心隶属于公安部第三研究所服务网络安全保护工作需要跟踪研判国内外网络安全事件, 深度分析国外网络安全战略政策和立法动向, 动态关注新技术新应用给网络管理带来的热点难点问题为政府部门提供高质量的法律研究支撑

目录网络安全法的立法背景网络安全法的体系架构网络安全法的落地实施

立法背景网络安全形势日趋严峻棱镜门事件敲响警钟制定基本法律刻不容缓

立法进程 6 月二审 --12 届人大常委会第 21 次会议审议 7.5 公开征求意见 10.31 网安法草案三审 2017.6.1 实施年初形成征求意见稿 5 月草案定稿成型 2016 2017 确定立法需求总体思路起草大纲拟定主要制度初步方案 10 月形成草案初稿 2014 2015 2016.11.7 通过 154 赞成 0 票反对 1 票弃权 2013 年下半年提上日程 2013 6 月一审 --12 届人大常委会第 15 次会议审议 7.6 公开征求意见网络安全法立法进程图

立法定位网络安全管理的法律与国家安全法反恐怖主义法刑法保密法治安管理处罚法关于加强网络信息保护的决定关于维护互联网安全的决定计算机信息系统安全保护条例互联网信息服务管理办法电信条例等法律法规共同组成我国网络安全管理的法律体系

立法定位 : 国际法治环境网络安全立法演变为全球范围内的利益协调与国家主权斗争

目录网络安全法的立法背景网络安全法的体系架构网络安全法的落地实施

网络安全法的体系架构第一章总则第二章网络安全战略规划支持与促进第三章网络运行安全第一节一般规定第二节关键信息基础设施的运行安全第四章网络信息安全第五章监测预警与应急处置第六章法律责任第七章附则

网络安全法的体系架构网络安全监督管理体制为加强网络安全工作, 国家网信部门负责统筹协调网络安全工作和相关监督管理工作, 并在一些条款中明确规定了其协调和管理职能同时规定, 国务院电信主管部门公安部门和其他有关机关依照本法和有关法律行政法规的规定, 在各自职责范围内负责网络安全保护和监督管理工作县级以上地方人民政府有关部门的网络安全保护和监督管理职责, 按照国家有关规定确定

网络安全法的体系架构网络安全责任主体网络运营者网络的所有者管理者和网络服务提供者网络相关行业组织研究机构企业高校网络产品和服务提供者关键信息基础设施运营者个人和组织电子信息发送服务提供者应用软件下载服务提供者网络安全服务机构大众传播媒介

网络安全法的体系架构网络运行安全 (21-39) 系统安全 ( 网络安全等级保护关键信息基础设施保护 ) 产品和服务安全 ( 提供者的安全义务 [ 不设恶意程序 ], 及时向用户告知安全缺陷漏洞风险, 持续提供安全维护服务等 ; 提供者的个人信息保护义务 [ 专门强调, 衔接性义务 ]; 关键设备和专用产品强制认证 ; 网络安全服务活动原则性规范 ) 数据安全 ( 数据分类重要数据备份和加密关键重要数据境内存储制度 ) 网络安全监测评估等网络信息安全 (40-50) 个人信息保护网络身份管理违法有害信息的发现处置责任技术支持和协助主管部门处置违法信息等监测预警与应急处置 (51-58) 国家监测预警和信息通报制度 CII 的监测预警和信息通报网络安全事件应急预案网络安全风险预警网络安全事件的应急处置约谈突发事件和生产事故的处置通信限制等

目录网络安全法的立法背景网络安全法的体系架构网络安全法的落地实施

网络安全法配套规范完善进行时

文件类别发布时间文件名称发布 / 制定单位国家战略配套规章和规范性文件立法草案国家标准草案国家标准立项网络安全法配套规范一览表 2016.12.27 国家网络空间安全战略国家互联网信息办公室 2017.3.1 网络空间国际合作战略外交部 ; 国家互联网信息办公室 2017.1.10 国家网络安全事件应急预案中央网信办 2017.5.2 互联网新闻信息服务管理规定国家互联网信息办公室 2017.5.2 网络产品和服务安全审查办法( 试行 ) 中央网信办 2017.5.31 工业控制系统信息安全事件应急管理工作指南工业和信息化部 2017.6.1 网络关键设备和网络安全专用产品目录( 第一批 ) 国家互联网信息办公室 ; 工业和信息化部 ; 公安部 ; 国家认证认可监督管理委员会 2017.8.14 一流网络安全学院建设示范项目管理办法中央网信办秘书局 ; 教育部办公厅 2017.4.11 个人信息和重要数据出境安全评估办法( 征求意见稿 ) 2017.7.11 关键信息基础设施安全保护条例( 征求意见稿 ) 国家互联网信息办公室 2016.11.3 信息安全技术网络安全等级保护测评过程指南 ( 征求意见稿 ) 2016.11.3 信息安全技术网络安全等级保护测试评估技术指南 ( 征求意见稿 ) 2016.11.3 信息安全技术网络安全等级保护基本要求第 1 部分 : 安全通用要求 ( 征求意见稿 ) 2016.12.20 信息安全技术个人信息安全规范 ( 征求意见稿 ) 2017.1.11 信息安全技术网络安全等级保护测评要求第 2 部分 : 云计算安全扩展要求 ( 征求意见稿 ) 2017.1.11 信息安全技术网络安全等级保护基本要求第 3 部分 : 移动互联安全扩展要求 2017.1.11 信息安全技术网络安全等级保护基本要求第 4 部分 : 物联网安全扩展要求 ( 征求意见稿 ) 2017.1.11 信息安全技术网络安全等级保护基本要求第 5 部分 : 工业控制系统安全扩展要求 ( 征求意见稿 ) 全国信息安全标准化技术委员会 2017.1.11 信息安全技术网络安全等级保护设计技术要求第 1 部分 : 通用设计要求 ( 征求意见稿 ) 2017.1.11 信息安全技术网络安全等级保护设计技术要求第 2 部分 : 云计算安全要求 ( 征求意见稿 ) 2017.1.11 信息安全技术网络安全等级保护设计技术要求第 3 部分 : 移动互联安全要求 ( 征求意见稿 ) 2017.1.11 信息安全技术网络安全等级保护设计技术要求第 4 部分 : 物联网安全要求 ( 征求意见稿 ) 2017.1.11 信息安全技术网络安全等级保护设计技术要求第 5 部分 : 工业控制安全要求 ( 征求意见稿 ) 2017.5.24 信息安全技术网络安全事件应急演练通用指南 ( 征求意见稿 ) 2017.5.27 信息安全技术数据出境安全评估指南 ( 草案 ) 信息安全技术网络安全漏洞发现与报告管理指南制定中信息安全技术关键信息基础设施网络安全保护要求全国信息安全标准化技术委员会信息安全技术网络产品和服务安全基本要求

网络安全法执法常态化

落地实施之网络运营者的安全保护义务

网络安全法第 21 条 : 网络安全等级保护制度管理制度技术措施安全监测数据安全制定内部安全管理制度和操作规程, 确定网络安全负责人, 落实网络安全保护责任采取防范计算机病毒和网络攻击网络侵入等危害网络安全行为的技术措施采取监测记录网络运行状态网络安全事件的技术措施, 并按照规定留存相关的网络日志不少于六个月 ; 采取数据分类重要数据备份和加密等措施其他法律行政法规规定的其他义务

等级保护制度进入 2.0 时代网络安全法总结实践经验, 对信息安全等级保护制度的名称做了调整, 网络安全法第 21 条确立国家网络安全等级保护制度, 并对主要内容做了规定, 第 59 条明确了网络运营者不履行第 21 条安全保护义务的法律责任, 同时第 31 条进一步要求关键信息基础设施必须落实国家安全等级保护制度, 突出保护重点

重庆市违反网络安全法第一案重庆市公安局网安总队成功查处一起网络运营者在提供网络服务过程中, 未依法留存用户登录网络日志的违法行为网安总队在日常检查中发现, 重庆市首页科技发展有限公司自 2017 年 6 月 1 日后, 在提供互联网数据中心服务时, 存在未依法留存用户登录相关网络日志的违法行为 ; 根据网络安全法第二十一条 ( 三 ) 项第五十九条之规定, 决定给予该公司警告处罚, 并责令限期十五日内进行整改该公司收到行政处罚通知书后, 立即编制了整改方案并着手实施整改, 待整改完成后, 公安机关将对其整改情况进行验收趋势 : 加大对违法行为的查处打击力度

广东汕头第一宗网络安全法行政案件 2017 年 7 月 20 日, 检查中发现, 汕头市某信息科技有限公司于 2015 年 11 月向公安机关报备的信息系统安全等级为第三级, 经测评合格后投入使用, 但 2016 年至今未按规定定期开展等级测评根据信息安全等级保护管理办法第十四条第一款规定, 信息系统安全保护等级为第三级的信息系统应当每年至少进行一次等级测评根据新出台的网络安全法规定, 定期开展测评属于第二十一条第 ( 五 ) 项规定的法律行政法规规定的其他义务汕头市某信息科技有限公司之行为已违反信息安全等级保护管理办法第十四条第一款和网络安全法第二十一条第 ( 五 ) 项规定, 构成未按规定履行网络安全等级测评义务根据网络安全法第五十九条第一款规定, 依法对该单位给予警告处罚并责令其改正趋势 : 加大对违法行为的查处打击力度

落地实施之网络运营者的个人信息保护义务

网络运营者的个人信息保护义务网络安全法第 41 条 ( 个人信息收集使用规则 ) 网络运营者收集使用个人信息, 应当遵循合法正当必要的原则, 公开收集使用规则, 明示收集使用信息的目的方式和范围, 并经被收集者同意网络运营者不得收集与其提供的服务无关的个人信息, 不得违反法律行政法规的规定和双方的约定收集使用个人信息, 并应当依照法律行政法规的规定和与用户的约定, 处理其保存的个人信息网络安全法第 42 条 ( 网络运营者的个人信息保护义务 ) 网络运营者不得泄露篡改毁损其收集的个人信息 ; 未经被收集者同意, 不得向他人提供个人信息但是, 经过处理无法识别特定个人且不能复原的除外网络运营者应当采取技术措施和其他必要措施, 确保其收集的个人信息安全, 防止信息泄露毁损丢失在发生或者可能发生个人信息泄露毁损丢失的情况时, 应当立即采取补救措施, 按照规定及时告知用户并向有关主管部门报告

网络运营者的个人信息保护义务网络安全法第 43 条 ( 个人信息收集使用规则 ) 个人发现网络运营者违反法律行政法规的规定或者双方的约定收集使用其个人信息的, 有权要求网络运营者删除其个人信息 ; 发现网络运营者收集存储的其个人信息有错误的, 有权要求网络运营者予以更正网络运营者应当采取措施予以删除或者更正违反 41-43 条, 侵害公民个人信息依法得到保护的权利的, 由有关主管部门责令改正, 可以根据情节单处或者并处警告没收违法所得处违法所得一倍以上十倍以下罚款, 没有违法所得的, 处一百万元以下 (2 倍于二审稿 ) 罚款 ; 对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款 ( 三稿新增 ); 情节严重的, 可以责令暂停相关业务停业整顿关闭网站吊销相关业务许可证或者吊销营业执照 ;

网络运营者的个人信息保护义务网络安全法第 44 条 ( 禁止非法获取出售提供个人信息 ) 任何个人和组织不得窃取或者以其他非法方式获取个人信息, 不得非法出售或者非法向他人提供个人信息违反本法第四十四条规定, 窃取或者以其他非法方式获取非法出售或者非法向他人提供个人信息, 尚不构成犯罪的, 由公安机关没收违法所得, 并处违法所得一倍以上十倍以下罚款, 没有违法所得的, 处一百万元以下罚款 (2 倍于二审稿 )

刑法的个人信息保护 :2015 刑九修正案第二百五十三条之一侵犯公民个人信息罪违反国家有关规定, 向他人出售或者提供公民个人信息, 情节严重的, 处三年以下有期徒刑或者拘役, 并处或者单处罚金 ; 情节特别严重的, 处三年以上七年以下有期徒刑, 并处罚金违反国家有关规定, 将在履行职责或者提供服务过程中获得的公民个人信息, 出售或者提供给他人的, 依照前款的规定从重处罚窃取或者以其他方法非法获取公民个人信息的, 依照第一款的规定处罚单位犯前三款罪的, 对单位判处罚金, 并对其直接负责的主管人员和其他直接责任人员, 依照各该款的规定处罚

刑法的个人信息保护 :2017 两高司法解释第五条非法获取出售或者提供公民个人信息, 具有下列情形之一的, 应当认定为刑法第二百五十三条之一规定的情节严重 : ( 一 ) 出售或者提供行踪轨迹信息, 被他人用于犯罪的 ; ( 二 ) 知道或者应当知道他人利用公民个人信息实施犯罪, 向其出售或者提供的 ; ( 三 ) 非法获取出售或者提供行踪轨迹信息通信内容征信信息财产信息五十条以上的 ; ( 四 ) 非法获取出售或者提供住宿信息通信记录健康生理信息交易信息等其他可能影响人身财产安全的公民个人信息五百条以上的 ; ( 五 ) 非法获取出售或者提供第三项第四项规定以外的公民个人信息五千条以上的 ; ( 六 ) 数量未达到第三项至第五项规定标准, 但是按相应比例合计达到有关数量标准的 ; ( 七 ) 违法所得五千元以上的 ; ( 八 ) 将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人, 数量或者数额达到第三项至第七项规定标准一半以上的 ;( 内鬼 : 银行教育工商电信快递证券电商等 )

刑法的个人信息保护 :2015 刑九修正案刑法第二百八十六条之一第一款拒不履行信息网络安全管理义务罪网络服务提供者不履行网络安全管理义务, 经监管部门责令采取改正措施而拒不改正, 有下列情形之一的, 构成犯罪 : (1) 致使违法信息大量传播的 ; (2) 致使用户信息泄露, 造成严重后果的 ; (3) 致使刑事案件证据灭失, 情节严重的 ; (4) 有其他严重情节的 ;

小结国家网络空间法制化进程已实质性展开网安法强化了主体责任, 明确了不同主体的网络安全保护义务, 强化社会责任, 加大了对相关违法行为的处罚力度法律生命力在于实施, 贯彻落实网安法是当前和今后一个时期网络安全工作的中心任务

谢谢! 联系方式 : huangdaoli@stars.org.cn 18018503403