网络安全法 的落地实施与执法实践 黄道丽博士副研究员二级警督
我们的团队 公安三所网络安全法律研究中心 隶属于公安部第三研究所 服务网络安全保护工作需要 跟踪研判国内外网络安全事件, 深度分析国外网络安全战略 政策和立法动向, 动态关注新技术新应用给网络管理带来的热点难点问题 为政府部门提供高质量的法律研究支撑
目录 网络安全法的立法背景 网络安全法的体系架构 网络安全法的落地实施
目录 网络安全法的立法背景 网络安全法的体系架构 网络安全法的落地实施
立法背景 网络安全形势日趋严峻 棱镜门 事件敲响警钟 制定基本法律刻不容缓
立法进程 6 月二审 --12 届人大常委会第 21 次会议审议 7.5 公开征求意见 10.31 网安法草案三审 2017.6.1 实施 年初形成征求意见稿 5 月草案定稿成型 2016 2017 确定立法需求 总体思路 起草大纲拟定主要制度初步方案 10 月形成草案初稿 2014 2015 2016.11.7 通过 154 赞成 0 票反对 1 票弃权 2013 年下半年提上日程 2013 6 月一审 --12 届人大常委会第 15 次会议审议 7.6 公开征求意见 网络安全法 立法进程图
立法定位 网络安全管理的法律 与 国家安全法 反恐怖主义法 刑法 保密法 治安管理处罚法 关于加强网络信息保护的决定 关于维护互联网安全的决定 计算机信息系统安全保护条例 互联网信息服务管理办法 电信条例 等法律法规共同组成我国网络安全管理的法律体系
立法定位 : 国际法治环境 网络安全立法演变为全球范围内的利益协 调与国家主权斗争
目录 网络安全法的立法背景 网络安全法的体系架构 网络安全法的落地实施
网络安全法的体系架构 第一章总则第二章网络安全战略规划支持与促进第三章网络运行安全第一节一般规定第二节关键信息基础设施的运行安全第四章网络信息安全第五章监测预警与应急处置第六章法律责任第七章附则
网络安全法的体系架构 网络安全监督管理体制 为加强网络安全工作, 国家网信部门负责统筹协调网络安全工 作和相关监督管理工作, 并在一些条款中明确规定了其协调和管理职能 同时规定, 国务院电信主管部门 公安部门和其他有关 机关依照本法和有关法律 行政法规的规定, 在各自职责范围内负责网络安 全保护和监督管理工作 县级以上地方人民政府有关部门的网络安全保护和监督管 理职责, 按照国家有关规定确定
网络安全法的体系架构 网络安全责任主体 网络运营者 网络的所有者 管理者和网络服务提供者 网络相关行业组织 研究机构 企业 高校 网络产品和服务提供者 关键信息基础设施运营者 个人和组织 电子信息发送服务提供者 应用软件下载服务提供者 网络安全服务机构 大众传播媒介
网络安全法的体系架构 网络运行安全 (21-39) 系统安全 ( 网络安全等级保护 关键信息基础设施保护 ) 产品和服务安全 ( 提供者的安全义务 [ 不设恶意程序 ], 及时向用户告知安全缺陷 漏洞风险, 持续提供安全维护服务等 ; 提供者的个人信息保护义务 [ 专门强调, 衔接性义务 ]; 关键设备和专用产品强制认证 ; 网络安全服务活动原则性规范 ) 数据安全 ( 数据分类 重要数据备份和加密 关键重要数据境内存储制度 ) 网络安全监测评估等 网络信息安全 (40-50) 个人信息保护 网络身份管理 违法有害信息的发现处置责任 技术支持和协助 主管部门处置违法信息等 监测预警与应急处置 (51-58) 国家监测预警和信息通报制度 CII 的监测预警和信息通报 网络安全事件应急预案 网络安全风险预警 网络安全事件的应急处置 约谈 突发事件和生产事故的处置 通信限制等
目录 网络安全法的立法背景 网络安全法的体系架构 网络安全法的落地实施
网络安全法 配套规范完善进行时
文件类别发布时间文件名称发布 / 制定单位 国家战略 配套规章和规范性文件 立法草案 国家标准草案 国家标准立项 网络安全法 配套规范一览表 2016.12.27 国家网络空间安全战略 国家互联网信息办公室 2017.3.1 网络空间国际合作战略 外交部 ; 国家互联网信息办公室 2017.1.10 国家网络安全事件应急预案 中央网信办 2017.5.2 互联网新闻信息服务管理规定 国家互联网信息办公室 2017.5.2 网络产品和服务安全审查办法( 试行 ) 中央网信办 2017.5.31 工业控制系统信息安全事件应急管理工作指南 工业和信息化部 2017.6.1 网络关键设备和网络安全专用产品目录( 第一批 ) 国家互联网信息办公室 ; 工业和信息化部 ; 公安部 ; 国家认证认可监督管理委员会 2017.8.14 一流网络安全学院建设示范项目管理办法 中央网信办秘书局 ; 教育部办公厅 2017.4.11 个人信息和重要数据出境安全评估办法( 征求意见稿 ) 2017.7.11 关键信息基础设施安全保护条例( 征求意见稿 ) 国家互联网信息办公室 2016.11.3 信息安全技术网络安全等级保护测评过程指南 ( 征求意见稿 ) 2016.11.3 信息安全技术网络安全等级保护测试评估技术指南 ( 征求意见稿 ) 2016.11.3 信息安全技术网络安全等级保护基本要求第 1 部分 : 安全通用要求 ( 征求意见稿 ) 2016.12.20 信息安全技术个人信息安全规范 ( 征求意见稿 ) 2017.1.11 信息安全技术网络安全等级保护测评要求第 2 部分 : 云计算安全扩展要求 ( 征求意见稿 ) 2017.1.11 信息安全技术网络安全等级保护基本要求第 3 部分 : 移动互联安全扩展要求 2017.1.11 信息安全技术网络安全等级保护基本要求第 4 部分 : 物联网安全扩展要求 ( 征求意见稿 ) 2017.1.11 信息安全技术网络安全等级保护基本要求第 5 部分 : 工业控制系统安全扩展要求 ( 征求意见稿 ) 全国信息安全标准化技术委员会 2017.1.11 信息安全技术网络安全等级保护设计技术要求第 1 部分 : 通用设计要求 ( 征求意见稿 ) 2017.1.11 信息安全技术网络安全等级保护设计技术要求第 2 部分 : 云计算安全要求 ( 征求意见稿 ) 2017.1.11 信息安全技术网络安全等级保护设计技术要求第 3 部分 : 移动互联安全要求 ( 征求意见稿 ) 2017.1.11 信息安全技术网络安全等级保护设计技术要求第 4 部分 : 物联网安全要求 ( 征求意见稿 ) 2017.1.11 信息安全技术网络安全等级保护设计技术要求第 5 部分 : 工业控制安全要求 ( 征求意见稿 ) 2017.5.24 信息安全技术网络安全事件应急演练通用指南 ( 征求意见稿 ) 2017.5.27 信息安全技术数据出境安全评估指南 ( 草案 ) 信息安全技术网络安全漏洞发现与报告管理指南 制定中 信息安全技术关键信息基础设施网络安全保护要求 全国信息安全标准化技术委员会 信息安全技术网络产品和服务安全基本要求
网络安全法 执法常态化
落地实施之 网络运营者的安全保护义务
网络安全法 第 21 条 : 网络安全等级保护制度 管理制度 技术措施 安全监测 数据安全 制定内部安全管理制度和操作规程, 确定网络安全负责人, 落实网络安全保护责任 采取防范计算机病毒和网络攻击 网络侵入等危害网络安全行为的技术措施 采取监测 记录网络运行状态 网络安全事件的技术措施, 并按照规定留存相关的网络日志不少于六个月 ; 采取数据分类 重要数据备份和加密等措施 其他 法律 行政法规规定的其他义务
等级保护制度进入 2.0 时代 网络安全法 总结实践经验, 对信息安全等级保护制度的名称做了调整, 网络安全法 第 21 条确立国家网络安全等级保护制度, 并对主要内容做了规定, 第 59 条明确了网络运营者不履行第 21 条安全保护义务的法律责任, 同时第 31 条进一步要求关键信息基础设施必须落实国家安全等级保护制度, 突出保护重点
重庆市违反 网络安全法 第一案 重庆市公安局网安总队成功查处一起网络运营者在提供网络服务过程中, 未依法留存用户登录网络日志的违法行为 网安总队在日常检查中发现, 重庆市首页科技发展有限公司自 2017 年 6 月 1 日后, 在提供互联网数据中心服务时, 存在未依法留存用户登录相关网络日志的违法行为 ; 根据 网络安全法 第二十一条 ( 三 ) 项 第五十九条之规定, 决定给予该公司警告处罚, 并责令限期十五日内进行整改 该公司收到 行政处罚通知书 后, 立即编制了 整改方案 并着手实施整改, 待整改完成后, 公安机关将对其整改情况进行验收 趋势 : 加大对违法行为的查处打击力度
广东汕头第一宗 网络安全法 行政案件 2017 年 7 月 20 日, 检查中发现, 汕头市某信息科技有限公司于 2015 年 11 月向公安机关报备的信息系统安全等级为第三级, 经测评合格后投入使用, 但 2016 年至今未按规定定期开展等级测评 根据 信息安全等级保护管理办法 第十四条第一款规定, 信息系统安全保护等级为第三级的信息系统应当每年至少进行一次等级测评 根据新出台的 网络安全法 规定, 定期开展测评属于第二十一条第 ( 五 ) 项规定的 法律 行政法规规定的其他义务 汕头市某信息科技有限公司之行为已违反 信息安全等级保护管理办法 第十四条第一款和 网络安全法 第二十一条第 ( 五 ) 项规定, 构成未按规定履行网络安全等级测评义务 根据 网络安全法 第五十九条第一款规定, 依法对该单位给予警告处罚并责令其改正 趋势 : 加大对违法行为的查处打击力度
落地实施之 网络运营者的个人信息保护义务
网络运营者的个人信息保护义务 网络安全法 第 41 条 ( 个人信息收集使用规则 ) 网络运营者收集 使用个人信息, 应当遵循合法 正当 必要的原则, 公开收集 使用规则, 明示收集 使用信息的目的 方式和范围, 并经被收集者同意 网络运营者不得收集与其提供的服务无关的个人信息, 不得违反法律 行政法规的规定和双方的约定收集 使用个人信息, 并应当依照法律 行政法规的规定和与用户的约定, 处理其保存的个人信息 网络安全法 第 42 条 ( 网络运营者的个人信息保护义务 ) 网络运营者不得泄露 篡改 毁损其收集的个人信息 ; 未经被收集者同意, 不得向他人提供个人信息 但是, 经过处理无法识别特定个人且不能复原的除外 网络运营者应当采取技术措施和其他必要措施, 确保其收集的个人信息安全, 防止信息泄露 毁损 丢失 在发生或者可能发生个人信息泄露 毁损 丢失的情况时, 应当立即采取补救措施, 按照规定及时告知用户并向有关主管部门报告
网络运营者的个人信息保护义务 网络安全法 第 43 条 ( 个人信息收集使用规则 ) 个人发现网络运营者违反法律 行政法规的规定或者双方的约定收集 使用其个人 信息的, 有权要求网络运营者删除其个人信息 ; 发现网络运营者收集 存储的其个 人信息有错误的, 有权要求网络运营者予以更正 网络运营者应当采取措施予以删 除或者更正 违反 41-43 条, 侵害公民个人信息依法得到保护的权利的, 由有关主管部门责令改正, 可以根据情节单处或者并处警告 没收违法所得 处违法所得一倍以上十倍以下罚款, 没有违法所得的, 处一百万元以下 (2 倍于二审稿 ) 罚款 ; 对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款 ( 三稿新增 ); 情节严重的, 可以责令暂停相关业务 停业整顿 关闭网站 吊销相关业务许可证或者吊销营业执照 ;
网络运营者的个人信息保护义务 网络安全法 第 44 条 ( 禁止非法获取 出售 提供个人信息 ) 任何个人和组织不得窃取或者以其他非法方式获取个人信息, 不得非法出售 或者非法向他人提供个人信息 违反本法第四十四条规定, 窃取或者以其他非法方式获取 非法出售或者非 法向他人提供个人信息, 尚不构成犯罪的, 由公安机关没收违法所得, 并处违法所得一倍以上十倍以下罚款, 没有违法所得的, 处一百万元以下罚款 (2 倍于二审稿 )
刑法的个人信息保护 :2015 刑九 修正案 第二百五十三条之一 侵犯公民个人信息罪 违反国家有关规定, 向他人出售或者提供公民个人信息, 情节严重的, 处三年以下有期徒刑或者拘役, 并处或者单处罚金 ; 情节特别严重的, 处三年以上七年以下有期徒刑, 并处罚金 违反国家有关规定, 将在履行职责或者提供服务过程中获得的公民个人信息, 出售或者提供给他人的, 依照前款的规定从重处罚 窃取或者以其他方法非法获取公民个人信息的, 依照第一款的规定处罚 单位犯前三款罪的, 对单位判处罚金, 并对其直接负责的主管人员和其他直接责任人员, 依照各该款的规定处罚
刑法的个人信息保护 :2017 两高司法解释 第五条非法获取 出售或者提供公民个人信息, 具有下列情形之一的, 应当认定为刑法第二百五十三条之一规定的 情节严重 : ( 一 ) 出售或者提供行踪轨迹信息, 被他人用于犯罪的 ; ( 二 ) 知道或者应当知道他人利用公民个人信息实施犯罪, 向其出售或者提供的 ; ( 三 ) 非法获取 出售或者提供行踪轨迹信息 通信内容 征信信息 财产信息五十条以上的 ; ( 四 ) 非法获取 出售或者提供住宿信息 通信记录 健康生理信息 交易信息等其他可能影响人身 财产安全的公民个人信息五百条以上的 ; ( 五 ) 非法获取 出售或者提供第三项 第四项规定以外的公民个人信息五千条以上的 ; ( 六 ) 数量未达到第三项至第五项规定标准, 但是按相应比例合计达到有关数量标准的 ; ( 七 ) 违法所得五千元以上的 ; ( 八 ) 将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人, 数量或者数额达到第三项至第七项规定标准一半以上的 ;( 内鬼 : 银行 教育 工商 电信 快递 证券 电商等 )
刑法的个人信息保护 :2015 刑九 修正案 刑法第二百八十六条之一第一款 拒不履行信息网络安全管理义务罪 网络服务提供者不履行网络安全管理义务, 经监管部门责令采取改正措施而拒不改正, 有下列情形之一的, 构成犯罪 : (1) 致使违法信息大量传播的 ; (2) 致使用户信息泄露, 造成严重后果的 ; (3) 致使刑事案件证据灭失, 情节严重的 ; (4) 有其他严重情节的 ;
小结 国家网络空间法制化进程已实质性展开 网安法强化了主体责任, 明确了不同主体的网络安全保护义务, 强化社会责任, 加大了对相关违法行为的处罚力度 法律生命力在于实施, 贯彻落实网安法是当前和今后一个时期网络安全工作的中心任务
谢谢! 联系方式 : huangdaoli@stars.org.cn 18018503403