上個月,我們梳理了《網(wǎng)絡(luò)安全法》的骨架����,今天��,我們站在本法適用的角度來對部分條款展開解讀���。首先�,我們將適用對象設(shè)定為——網(wǎng)絡(luò)運營商�����,現(xiàn)將《網(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)運營者的責(zé)任、義務(wù)和法律責(zé)任的條款認(rèn)定以及解讀做如下呈現(xiàn)。
網(wǎng)絡(luò)運營者責(zé)任��、義務(wù)和法律責(zé)任解讀
廣大網(wǎng)絡(luò)運營者的BOSS們請注意啦:隨著網(wǎng)絡(luò)安全法的實施����,相應(yīng)的法律條款和法律責(zé)任必然會落地實施,無論企業(yè)還是個人��,切忌心存僥幸�����,以身試法。輕則罰款�����,重則企業(yè)停業(yè)�、個人拘留���。
下面在解讀條款的同時�����,以建議的方式說明如何進行網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護的建議,希望能夠幫助網(wǎng)絡(luò)運營者更好的完善自身的網(wǎng)絡(luò)安全����,規(guī)避風(fēng)險�����。
【第9條】 網(wǎng)絡(luò)運營者開展經(jīng)營和服務(wù)活動,必須遵守法律��、行政法規(guī),尊重社會公德�,遵守商業(yè)道德,誠實信用�,履行網(wǎng)絡(luò)安全保護義務(wù),接受政府和社會的監(jiān)督���,承擔(dān)社會責(zé)任����。
解讀:本條款明確了網(wǎng)絡(luò)運營者必須承擔(dān)的基本義務(wù)��,特別是網(wǎng)絡(luò)安全保護義務(wù)���,接受政府和社會監(jiān)督的義務(wù)�����。
【第10條】 建設(shè)��、運營網(wǎng)絡(luò)或者通過網(wǎng)絡(luò)提供服務(wù)�����,應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國家標(biāo)準(zhǔn)的強制性要求,采取技術(shù)措施和其他必要措施�,保障網(wǎng)絡(luò)安全、穩(wěn)定運行,有效應(yīng)對網(wǎng)絡(luò)安全事件,防范網(wǎng)絡(luò)違法犯罪活動,維護網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性��。
解讀:本條款明確了網(wǎng)絡(luò)運營者除了要依法外��,還要依照國家標(biāo)準(zhǔn)����,在國家標(biāo)準(zhǔn)中分為強制性要求和推薦性要求,這里特別強調(diào)的是要依照強制性要求執(zhí)行��。同時強調(diào)了網(wǎng)絡(luò)數(shù)據(jù)的完整性�、保密性和可用性。
【第21條】 國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求�,履行下列安全保護義務(wù),保障網(wǎng)絡(luò)免受干擾���、破壞或者未經(jīng)授權(quán)的訪問�,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取�、篡改:
(一)制定內(nèi)部安全管理制度和操作規(guī)程����,確定網(wǎng)絡(luò)安全負(fù)責(zé)人��,落實網(wǎng)絡(luò)安全保護責(zé)任;
(二)采取防范計算機病毒和網(wǎng)絡(luò)攻擊����、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施����;
(三)采取監(jiān)測�����、記錄網(wǎng)絡(luò)運行狀態(tài)����、網(wǎng)絡(luò)安全事件的技術(shù)措施����,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月��;
(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施����;
(五)法律���、行政法規(guī)規(guī)定的其他義務(wù)�����。
解讀:本條規(guī)定了網(wǎng)絡(luò)運營者必須履行的義務(wù)之一���。和“等級安全保護制度”相關(guān)��。重點在于:
1)確定網(wǎng)絡(luò)安全責(zé)任人�,以落實保護責(zé)任����。這里需要注意的是作為責(zé)任人,相應(yīng)的承擔(dān)著法律責(zé)任�。
2)技術(shù)層面需要采取防病毒�、入侵檢測等手段保護網(wǎng)絡(luò)安全���。(建議采用專門的網(wǎng)絡(luò)安全產(chǎn)品:云盾����、WAF等)
3)采用數(shù)據(jù)庫審計、網(wǎng)絡(luò)審計等手段,采集并記錄�����、分析日志�����,日志留存不少于六個月��。(建議采用專門的安全審計產(chǎn)品:數(shù)據(jù)庫監(jiān)控與審計系統(tǒng)�����、網(wǎng)絡(luò)日志審計系統(tǒng))
4)在數(shù)據(jù)安全方面,再次強調(diào)了數(shù)據(jù)分類和數(shù)據(jù)加密�����;數(shù)據(jù)分類的重點是能夠幫助責(zé)任人自動的識別發(fā)現(xiàn)系統(tǒng)中的個人敏感信息和行業(yè)敏感信息���,和這些信息存儲的位置����、數(shù)據(jù)庫表和字段���,以確定需要保護的內(nèi)容�;數(shù)據(jù)加密則一直以來就是個難點���,其中的關(guān)鍵是在滿足保密性的同時還要滿足可用性��,比較理想的技術(shù)手段是“透明數(shù)據(jù)加密(TDE)”���。(建議采用專門的數(shù)據(jù)加密產(chǎn)品:數(shù)據(jù)庫透明加解密(TDE)系統(tǒng))
特別提醒網(wǎng)絡(luò)運營者和安全責(zé)任人:不履行本條義務(wù)的���,要承擔(dān)法律責(zé)任(違法啦)
適用法律責(zé)任:【第五十九條】
【第24條】 網(wǎng)絡(luò)運營者為用戶辦理網(wǎng)絡(luò)接入���、域名注冊服務(wù)��,辦理固定電話��、移動電話等入網(wǎng)手續(xù)�����,或者為用戶提供信息發(fā)布�����、即時通訊等服務(wù),在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時���,應(yīng)當(dāng)要求用戶提供真實身份信息��。用戶不提供真實身份信息的���,網(wǎng)絡(luò)運營者不得為其提供相關(guān)服務(wù)。
國家實施網(wǎng)絡(luò)可信身份戰(zhàn)略�,支持研究開發(fā)安全、方便的電子身份認(rèn)證技術(shù)���,推動不同電子身份認(rèn)證之間的互認(rèn)�����。
解讀:本條規(guī)定了網(wǎng)絡(luò)運營者必須履行的義務(wù)之一,核心是實名制�����,通過實名制最大程度的實現(xiàn)信息真實化、可靠化,可以說是國家網(wǎng)絡(luò)安全的一個重要基礎(chǔ)���。本條在電信用戶實名制基礎(chǔ)上,規(guī)定了信息發(fā)布���、即時通訊等服務(wù)的實名制要求,而為了不影響用戶的隱私�����,這里的實名指的是“前臺匿名���,后臺實名”(很人性化�����,充分顯示了對個人隱私保護的決心)�。
另一方面�����,實名制也是一把雙刃劍�,對于網(wǎng)絡(luò)運營者來說,一旦收集的個人信息發(fā)生大批量的泄漏���,將產(chǎn)生無法預(yù)期的數(shù)據(jù)安全風(fēng)險;因此,在本網(wǎng)絡(luò)安全法中的“網(wǎng)絡(luò)信息安全”章節(jié)相應(yīng)的規(guī)定了“網(wǎng)絡(luò)運營者對個人信息保護的責(zé)任”條款���,強化了個人信息保護,這里有義務(wù)提醒網(wǎng)絡(luò)運營者請務(wù)必關(guān)注本篇后面的“網(wǎng)絡(luò)信息安全條款和法律責(zé)任解讀”���。
特別提醒網(wǎng)絡(luò)運營者和安全責(zé)任人:不履行本條第一款規(guī)定的�����,要承擔(dān)法律責(zé)任(違法啦)
適用法律責(zé)任:【第六十一條】
【第25條】 網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時處置系統(tǒng)漏洞、計算機病毒�、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險�����;在發(fā)生危害網(wǎng)絡(luò)安全的事件時,立即啟動應(yīng)急預(yù)案,采取相應(yīng)的補救措施��,并按照規(guī)定向有關(guān)主管部門報告����。
解讀:本條規(guī)定了網(wǎng)絡(luò)運營者必須履行的義務(wù)之一���,核心是應(yīng)急預(yù)案和應(yīng)急處置���、應(yīng)急響應(yīng)����。
建議網(wǎng)絡(luò)運營者,通過部署網(wǎng)站和系統(tǒng)漏洞監(jiān)測、掃描類的產(chǎn)品或服務(wù)�,及時的發(fā)現(xiàn)漏洞��,并在第一時間通過升級補丁或完善應(yīng)用系統(tǒng)來補救�����。(建議采用專門的網(wǎng)絡(luò)安全產(chǎn)品:網(wǎng)站漏洞監(jiān)測、漏洞掃描等)
特別提醒網(wǎng)絡(luò)運營者和安全責(zé)任人:不履行本條義務(wù)的��,要承擔(dān)法律責(zé)任(違法啦)
適用法律責(zé)任:【第五十九條】
【第28條】 網(wǎng)絡(luò)運營者應(yīng)當(dāng)為公安機關(guān)���、國家安全機關(guān)依法維護國家安全和偵查犯罪的活動提供技術(shù)支持和協(xié)助����。
解讀:本條規(guī)定了網(wǎng)絡(luò)運營者必須履行的義務(wù)之一�,核心是協(xié)助執(zhí)法機關(guān)執(zhí)法�。舉個例子:如果公安機關(guān)需要���,網(wǎng)絡(luò)運營者有義務(wù)提供采集的用戶數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)����。
適用法律責(zé)任:【第六十九條】
【第29條】 國家支持網(wǎng)絡(luò)運營者之間在網(wǎng)絡(luò)安全信息收集、分析��、通報和應(yīng)急處置等方面進行合作��,提高網(wǎng)絡(luò)運營者的安全保障能力。
有關(guān)行業(yè)組織建立健全本行業(yè)的網(wǎng)絡(luò)安全保護規(guī)范和協(xié)作機制�,加強對網(wǎng)絡(luò)安全風(fēng)險的分析評估,定期向會員進行風(fēng)險警示��,支持����、協(xié)助會員應(yīng)對網(wǎng)絡(luò)安全風(fēng)險。
解讀:本條主要是鼓勵網(wǎng)絡(luò)安全合作�;鼓勵網(wǎng)絡(luò)安全威脅情報交換、行業(yè)組織建立風(fēng)險評估����。
網(wǎng)絡(luò)信息安全條款和法律責(zé)任解讀
這部分條款,提出了個人信息保護的基本原則和要求,可以說是一部小型的“個人信息保護法”�。主要規(guī)定了在網(wǎng)絡(luò)信息安全特別是個人信息保護方面�����,網(wǎng)絡(luò)運營者�、任何個人和組織、網(wǎng)絡(luò)安全監(jiān)管人員必須承擔(dān)的責(zé)任和義務(wù)��,相應(yīng)的也要承擔(dān)法律責(zé)任����。
【第40條】 網(wǎng)絡(luò)運營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密�����,并建立健全用戶信息保護制度�。
解讀:本條款的核心是用戶信息保護����;這里需要注意的是“用戶信息”和“個人信息”是有區(qū)別的,具體內(nèi)容請參考前面的“重要概念”中對個人信息和用戶信息的解釋�。
【第41條】 網(wǎng)絡(luò)運營者收集���、使用個人信息��,應(yīng)當(dāng)遵循合法�����、正當(dāng)�、必要的原則���,公開收集��、使用規(guī)則���,明示收集、使用信息的目的����、方式和范圍,并經(jīng)被收集者同意��。
網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的個人信息��,不得違反法律�、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息�����,并應(yīng)當(dāng)依照法律�、行政法規(guī)的規(guī)定和與用戶的約定,處理其保存的個人信息����。
解讀:本條款強化了個人信息保護的知情同意和特定目的原則�;確定了網(wǎng)絡(luò)運營者收集個人信息必須遵循合法�、正當(dāng)、必要原則���,強調(diào)了個人信息收集過程中的透明度���,和用戶自主選擇權(quán),同時強調(diào)了信息采集者必須合法使用和保存?zhèn)€人信息�。那些利用其“壟斷地位”或“霸王條款”強制用戶同意采集信息的網(wǎng)絡(luò)運營者需要注意啦,再如此任性可就違法啦��。
適用法律責(zé)任:【第六十四條】
【第42條】 網(wǎng)絡(luò)運營者不得泄露�、篡改、毀損其收集的個人信息��;未經(jīng)被收集者同意���,不得向他人提供個人信息�����。但是��,經(jīng)過處理無法識別特定個人且不能復(fù)原的除外����。
網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集的個人信息安全���,防止信息泄露����、毀損����、丟失����。在發(fā)生或者可能發(fā)生個人信息泄露、毀損��、丟失的情況時����,應(yīng)當(dāng)立即采取補救措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告�。
解讀:本條款也被稱作“大數(shù)據(jù)條款”;在強調(diào)保護個人信息的同時,有建設(shè)性的提出了“經(jīng)過處理無法識別特定個人且不能復(fù)原的”除外����,為個人信息數(shù)據(jù)在使用、交換和交易過程的合法性提供了法律依據(jù)�,并要求:個人信息數(shù)據(jù)匿名化處理,技術(shù)上就是通過采用數(shù)據(jù)脫敏產(chǎn)品或技術(shù)手段�,將涉及個人隱私的敏感數(shù)據(jù)進行脫敏處理,保證脫敏后的數(shù)據(jù)不能再識別出特定個人����,并且信息不可逆(不可通過技術(shù)手段復(fù)原)。
另外�,脫敏技術(shù)也可以被應(yīng)用在日常的數(shù)據(jù)維護過程中,對于金融��、醫(yī)療健康����、零售、游戲等需要收集大量用戶個人信息的網(wǎng)絡(luò)系統(tǒng)�,在系統(tǒng)數(shù)據(jù)庫日常維護過程中同樣需要防止個人隱私數(shù)據(jù)的泄漏,通過采用具有動態(tài)脫敏能力的產(chǎn)品或技術(shù)手段����,可以有效地避免數(shù)據(jù)泄露���,降低運維安全風(fēng)險,更為運維者提供了免責(zé)的技術(shù)保障���。
同時��,本條款作為個人信息保護的核心內(nèi)容��,明確了網(wǎng)絡(luò)運營者對個人信息保護的責(zé)任:有必要采取技術(shù)措施保護個人信息��,確保其收集的個人信息安全���,通過采用監(jiān)控、審計等技術(shù)手段及時發(fā)現(xiàn)和記錄異常行為�����,為主管部門進行追責(zé)和定責(zé)提供數(shù)據(jù)依據(jù)����。
建議網(wǎng)絡(luò)運營者采用專門的安全產(chǎn)品保護個人信息:數(shù)據(jù)脫敏系統(tǒng)(最好具有動態(tài)脫敏能力)����、數(shù)據(jù)安全運維系統(tǒng)(最好具有監(jiān)控和審計能力)
適用法律責(zé)任:【第六十四條】
【第43條】 個人發(fā)現(xiàn)網(wǎng)絡(luò)運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的���,有權(quán)要求網(wǎng)絡(luò)運營者刪除其個人信息���;發(fā)現(xiàn)網(wǎng)絡(luò)運營者收集、存儲的其個人信息有錯誤的����,有權(quán)要求網(wǎng)絡(luò)運營者予以更正。網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取措施予以刪除或者更正��。
解讀:本條款核心是法律明確賦予公民個人具有刪除權(quán)和更正權(quán)��;如果發(fā)現(xiàn)網(wǎng)絡(luò)運營者不當(dāng)使用個人信息����,有權(quán)要求刪除,有錯誤的有權(quán)要求其改正����。
特別要提醒網(wǎng)絡(luò)運營者,有義務(wù)采取措施予以刪除或更正�����;否則面臨違法。
適用法律責(zé)任:【第六十四條】
【第44條】 任何個人和組織不得竊取或者以其他非法方式獲取個人信息���,不得非法出售或者非法向他人提供個人信息����。
解讀:本條款的核心是不得非法獲取�、非法出售和提供個人信息。這里說到非法出售��,關(guān)鍵問題是如何做才算合法呢�����?我們認(rèn)為從法律層面需要結(jié)合前面的條款中的“經(jīng)過處理無法識別特定個人且不能復(fù)原的”除外��,這句話來解讀�����,合法數(shù)據(jù)交易的前提是個人信息必須經(jīng)過符合要求的脫敏處理���,只有這樣的數(shù)據(jù)在進行交易時才有可能是合法的。
適用法律責(zé)任:【第六十四條】第二款
【第45條】 依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員���,必須對在履行職責(zé)中知悉的個人信息�、隱私和商業(yè)秘密嚴(yán)格保密,不得泄露����、出售或者非法向他人提供。
解讀:本條款規(guī)定了執(zhí)法部門和執(zhí)法人員必須履行的保密責(zé)任���。
【第46條】 任何個人和組織應(yīng)當(dāng)對其使用網(wǎng)絡(luò)的行為負(fù)責(zé)��,不得設(shè)立用于實施詐騙�,傳授犯罪方法����,制作或者銷售違禁物品、管制物品等違法犯罪活動的網(wǎng)站�����、通訊群組����,不得利用網(wǎng)絡(luò)發(fā)布涉及實施詐騙,制作或者銷售違禁物品��、管制物品以及其他違法犯罪活動的信息。
解讀:本條款規(guī)定了網(wǎng)絡(luò)犯罪的范疇���。
適用法律責(zé)任:【第六十七條】
【第47條】 網(wǎng)絡(luò)運營者應(yīng)當(dāng)加強對其用戶發(fā)布的信息的管理��,發(fā)現(xiàn)法律����、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?��,?yīng)當(dāng)立即停止傳輸該信息���,采取消除等處置措施,防止信息擴散���,保存有關(guān)記錄���,并向有關(guān)主管部門報告。
解讀:本條款規(guī)定了承擔(dān)對違法信息傳播的阻斷義務(wù)��,是網(wǎng)絡(luò)運營者必須履行的義務(wù)之一��。
適用法律責(zé)任:【第六十八條】
產(chǎn)品咨詢:4000 258 365 
