上个月,我们梳理了《网络安全法》的骨架,今天,我们站在本法适用的角度来对部分条款展开解读。首先,我们将适用对象设定为——网络运营商,现将《网络安全法》对网络运营者的责任、义务和法律责任的条款认定以及解读做如下呈现。
网络运营者责任、义务和法律责任解读
广大网络运营者的boss们请注意啦:随着网络安全法的实施,相应的法律条款和法律责任必然会落地实施,无论企业还是个人,切忌心存侥幸,以身试法。轻则罚款,重则企业停业、个人拘留。
下面在解读条款的同时,以建议的方式说明如何进行网络安全和数据安全保护的建议,希望能够帮助网络运营者更好的完善自身的网络安全,规避风险。
【第9条】 网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
解读:本条款明确了网络运营者必须承担的基本义务,特别是网络安全保护义务,接受政府和社会监督的义务。
【第10条】 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
解读:本条款明确了网络运营者除了要依法外,还要依照国家标准,在国家标准中分为强制性要求和推荐性要求,这里特别强调的是要依照强制性要求执行。同时强调了网络数据的完整性、保密性和可用性。
【第21条】 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
解读:本条规定了网络运营者必须履行的义务之一。和“等级安全保护制度”相关。重点在于:
1)确定网络安全责任人,以落实保护责任。这里需要注意的是作为责任人,相应的承担着法律责任。
2)技术层面需要采取防病毒、入侵检测等手段保护网络安全。(建议采用专门的网络安全产品:云盾、waf等)
3)采用数据库审计、网络审计等手段,采集并记录、分析日志,日志留存不少于六个月。(建议采用专门的安全审计产品:数据库监控与审计系统、网络日志审计系统)
4)在数据安全方面,再次强调了数据分类和数据加密;数据分类的重点是能够帮助责任人自动的识别发现系统中的个人敏感信息和行业敏感信息,和这些信息存储的位置、数据库表和字段,以确定需要保护的内容;数据加密则一直以来就是个难点,其中的关键是在满足保密性的同时还要满足可用性,比较理想的技术手段是“透明数据加密(tde)”。(建议采用专门的数据加密产品:数据库透明加解密(tde)系统)
特别提醒网络运营者和安全责任人:不履行本条义务的,要承担法律责任(违法啦)
适用法律责任:【第五十九条】
【第24条】 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
解读:本条规定了网络运营者必须履行的义务之一,核心是实名制,通过实名制最大程度的实现信息真实化、可靠化,可以说是国家网络安全的一个重要基础。本条在电信用户实名制基础上,规定了信息发布、即时通讯等服务的实名制要求,而为了不影响用户的隐私,这里的实名指的是“前台匿名,后台实名”(很人性化,充分显示了对个人隐私保护的决心)。
另一方面,实名制也是一把双刃剑,对于网络运营者来说,一旦收集的个人信息发生大批量的泄漏,将产生无法预期的数据安全风险;因此,在本网络安全法中的“网络信息安全”章节相应的规定了“网络运营者对个人信息保护的责任”条款,强化了个人信息保护,这里有义务提醒网络运营者请务必关注本篇后面的“网络信息安全条款和法律责任解读”。
特别提醒网络运营者和安全责任人:不履行本条第一款规定的,要承担法律责任(违法啦)
适用法律责任:【第六十一条】
【第25条】 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
解读:本条规定了网络运营者必须履行的义务之一,核心是应急预案和应急处置、应急响应。
建议网络运营者,通过部署网站和系统漏洞监测、扫描类的产品或服务,及时的发现漏洞,并在第一时间通过升级补丁或完善应用系统来补救。(建议采用专门的网络安全产品:网站漏洞监测、漏洞扫描等)
特别提醒网络运营者和安全责任人:不履行本条义务的,要承担法律责任(违法啦)
适用法律责任:【第五十九条】
【第28条】 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供尊龙凯时官方旗舰店的技术支持和协助。
解读:本条规定了网络运营者必须履行的义务之一,核心是协助执法机关执法。举个例子:如果公安机关需要,网络运营者有义务提供采集的用户数据和网络数据。
适用法律责任:【第六十九条】
【第29条】 国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。
有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
解读:本条主要是鼓励网络安全合作;鼓励网络安全威胁情报交换、行业组织建立风险评估。
网络信息安全条款和法律责任解读
这部分条款,提出了个人信息保护的基本原则和要求,可以说是一部小型的“个人信息保护法”。主要规定了在网络信息安全特别是个人信息保护方面,网络运营者、任何个人和组织、网络安全监管人员必须承担的责任和义务,相应的也要承担法律责任。
【第40条】 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
解读:本条款的核心是用户信息保护;这里需要注意的是“用户信息”和“个人信息”是有区别的,具体内容请参考前面的“重要概念”中对个人信息和用户信息的解释。
【第41条】 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
解读:本条款强化了个人信息保护的知情同意和特定目的原则;确定了网络运营者收集个人信息必须遵循合法、正当、必要原则,强调了个人信息收集过程中的透明度,和用户自主选择权,同时强调了信息采集者必须合法使用和保存个人信息。那些利用其“垄断地位”或“霸王条款”强制用户同意采集信息的网络运营者需要注意啦,再如此任性可就违法啦。
适用法律责任:【第六十四条】
【第42条】 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
解读:本条款也被称作“大数据条款”;在强调保护个人信息的同时,有建设性的提出了“经过处理无法识别特定个人且不能复原的”除外,为个人信息数据在使用、交换和交易过程的合法性提供了法律依据,并要求:个人信息数据匿名化处理,技术上就是通过采用数据脱敏产品或技术手段,将涉及个人隐私的敏感数据进行脱敏处理,保证脱敏后的数据不能再识别出特定个人,并且信息不可逆(不可通过技术手段复原)。
另外,脱敏技术也可以被应用在日常的数据维护过程中,对于金融、医疗健康、零售、游戏等需要收集大量用户个人信息的网络系统,在系统数据库日常维护过程中同样需要防止个人隐私数据的泄漏,通过采用具有动态脱敏能力的产品或技术手段,可以有效地避免数据泄露,降低运维安全风险,更为运维者提供了免责的技术保障。
同时,本条款作为个人信息保护的核心内容,明确了网络运营者对个人信息保护的责任:有必要采取技术措施保护个人信息,确保其收集的个人信息安全,通过采用监控、审计等技术手段及时发现和记录异常行为,为主管部门进行追责和定责提供数据依据。
建议网络运营者采用专门的安全产品保护个人信息:数据脱敏系统(最好具有动态脱敏能力)、数据安全运维系统(最好具有监控和审计能力)
适用法律责任:【第六十四条】
【第43条】 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
解读:本条款核心是法律明确赋予公民个人具有删除权和更正权;如果发现网络运营者不当使用个人信息,有权要求删除,有错误的有权要求其改正。
特别要提醒网络运营者,有义务采取措施予以删除或更正;否则面临违法。
适用法律责任:【第六十四条】
【第44条】 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
解读:本条款的核心是不得非法获取、非法出售和提供个人信息。这里说到非法出售,关键问题是如何做才算合法呢?我们认为从法律层面需要结合前面的条款中的“经过处理无法识别特定个人且不能复原的”除外,这句话来解读,合法数据交易的前提是个人信息必须经过符合要求的脱敏处理,只有这样的数据在进行交易时才有可能是合法的。
适用法律责任:【第六十四条】第二款
【第45条】 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
解读:本条款规定了执法部门和执法人员必须履行的保密责任。
【第46条】 任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
解读:本条款规定了网络犯罪的范畴。
适用法律责任:【第六十七条】
【第47条】 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
解读:本条款规定了承担对违法信息传播的阻断义务,是网络运营者必须履行的义务之一。
适用法律责任:【第六十八条】
试用申请