上個(gè)月����,我們梳理了《網(wǎng)絡(luò)安全法》的骨架���,今天�����,我們站在本法適用的角度來對部分條款展開解讀����。首先�����,我們將適用對象設(shè)定為——網(wǎng)絡(luò)運(yùn)營商,現(xiàn)將《網(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)運(yùn)營者的責(zé)任����、義務(wù)和法律責(zé)任的條款認(rèn)定以及解讀做如下呈現(xiàn)。
網(wǎng)絡(luò)運(yùn)營者責(zé)任���、義務(wù)和法律責(zé)任解讀
廣大網(wǎng)絡(luò)運(yùn)營者的BOSS們請注意啦:隨著網(wǎng)絡(luò)安全法的實(shí)施��,相應(yīng)的法律條款和法律責(zé)任必然會(huì)落地實(shí)施�����,無論企業(yè)還是個(gè)人����,切忌心存僥幸�����,以身試法��。輕則罰款�����,重則企業(yè)停業(yè)、個(gè)人拘留���。
下面在解讀條款的同時(shí)�,以建議的方式說明如何進(jìn)行網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)的建議����,希望能夠幫助網(wǎng)絡(luò)運(yùn)營者更好的完善自身的網(wǎng)絡(luò)安全,規(guī)避風(fēng)險(xiǎn)�。
【第9條】 網(wǎng)絡(luò)運(yùn)營者開展經(jīng)營和服務(wù)活動(dòng),必須遵守法律�、行政法規(guī),尊重社會(huì)公德�,遵守商業(yè)道德���,誠實(shí)信用�,履行網(wǎng)絡(luò)安全保護(hù)義務(wù)��,接受政府和社會(huì)的監(jiān)督���,承擔(dān)社會(huì)責(zé)任����。
解讀:本條款明確了網(wǎng)絡(luò)運(yùn)營者必須承擔(dān)的基本義務(wù),特別是網(wǎng)絡(luò)安全保護(hù)義務(wù)�����,接受政府和社會(huì)監(jiān)督的義務(wù)�。
【第10條】 建設(shè)、運(yùn)營網(wǎng)絡(luò)或者通過網(wǎng)絡(luò)提供服務(wù)���,應(yīng)當(dāng)依照法律���、行政法規(guī)的規(guī)定和國家標(biāo)準(zhǔn)的強(qiáng)制性要求,采取技術(shù)措施和其他必要措施�����,保障網(wǎng)絡(luò)安全�、穩(wěn)定運(yùn)行,有效應(yīng)對網(wǎng)絡(luò)安全事件���,防范網(wǎng)絡(luò)違法犯罪活動(dòng)�����,維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性�����、保密性和可用性��。
解讀:本條款明確了網(wǎng)絡(luò)運(yùn)營者除了要依法外���,還要依照國家標(biāo)準(zhǔn)��,在國家標(biāo)準(zhǔn)中分為強(qiáng)制性要求和推薦性要求��,這里特別強(qiáng)調(diào)的是要依照強(qiáng)制性要求執(zhí)行��。同時(shí)強(qiáng)調(diào)了網(wǎng)絡(luò)數(shù)據(jù)的完整性��、保密性和可用性��。
【第21條】 國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求���,履行下列安全保護(hù)義務(wù)����,保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問����,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改:
(一)制定內(nèi)部安全管理制度和操作規(guī)程�����,確定網(wǎng)絡(luò)安全負(fù)責(zé)人����,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;
(二)采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊����、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;
(三)采取監(jiān)測�����、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)��、網(wǎng)絡(luò)安全事件的技術(shù)措施���,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月���;
(四)采取數(shù)據(jù)分類�����、重要數(shù)據(jù)備份和加密等措施�����;
(五)法律����、行政法規(guī)規(guī)定的其他義務(wù)���。
解讀:本條規(guī)定了網(wǎng)絡(luò)運(yùn)營者必須履行的義務(wù)之一�。和“等級安全保護(hù)制度”相關(guān)����。重點(diǎn)在于:
1)確定網(wǎng)絡(luò)安全責(zé)任人,以落實(shí)保護(hù)責(zé)任。這里需要注意的是作為責(zé)任人,相應(yīng)的承擔(dān)著法律責(zé)任���。
2)技術(shù)層面需要采取防病毒�����、入侵檢測等手段保護(hù)網(wǎng)絡(luò)安全����。(建議采用專門的網(wǎng)絡(luò)安全產(chǎn)品:云盾、WAF等)
3)采用數(shù)據(jù)庫審計(jì)����、網(wǎng)絡(luò)審計(jì)等手段,采集并記錄��、分析日志����,日志留存不少于六個(gè)月。(建議采用專門的安全審計(jì)產(chǎn)品:數(shù)據(jù)庫監(jiān)控與審計(jì)系統(tǒng)�、網(wǎng)絡(luò)日志審計(jì)系統(tǒng))
4)在數(shù)據(jù)安全方面,再次強(qiáng)調(diào)了數(shù)據(jù)分類和數(shù)據(jù)加密�;數(shù)據(jù)分類的重點(diǎn)是能夠幫助責(zé)任人自動(dòng)的識(shí)別發(fā)現(xiàn)系統(tǒng)中的個(gè)人敏感信息和行業(yè)敏感信息,和這些信息存儲(chǔ)的位置���、數(shù)據(jù)庫表和字段���,以確定需要保護(hù)的內(nèi)容����;數(shù)據(jù)加密則一直以來就是個(gè)難點(diǎn)���,其中的關(guān)鍵是在滿足保密性的同時(shí)還要滿足可用性����,比較理想的技術(shù)手段是“透明數(shù)據(jù)加密(TDE)”��。(建議采用專門的數(shù)據(jù)加密產(chǎn)品:數(shù)據(jù)庫透明加解密(TDE)系統(tǒng))
特別提醒網(wǎng)絡(luò)運(yùn)營者和安全責(zé)任人:不履行本條義務(wù)的�,要承擔(dān)法律責(zé)任(違法啦)
適用法律責(zé)任:【第五十九條】
【第24條】 網(wǎng)絡(luò)運(yùn)營者為用戶辦理網(wǎng)絡(luò)接入、域名注冊服務(wù)�����,辦理固定電話���、移動(dòng)電話等入網(wǎng)手續(xù)����,或者為用戶提供信息發(fā)布��、即時(shí)通訊等服務(wù),在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時(shí)�����,應(yīng)當(dāng)要求用戶提供真實(shí)身份信息�。用戶不提供真實(shí)身份信息的�,網(wǎng)絡(luò)運(yùn)營者不得為其提供相關(guān)服務(wù)。
國家實(shí)施網(wǎng)絡(luò)可信身份戰(zhàn)略�,支持研究開發(fā)安全、方便的電子身份認(rèn)證技術(shù)�,推動(dòng)不同電子身份認(rèn)證之間的互認(rèn)。
解讀:本條規(guī)定了網(wǎng)絡(luò)運(yùn)營者必須履行的義務(wù)之一�,核心是實(shí)名制,通過實(shí)名制最大程度的實(shí)現(xiàn)信息真實(shí)化�、可靠化,可以說是國家網(wǎng)絡(luò)安全的一個(gè)重要基礎(chǔ)����。本條在電信用戶實(shí)名制基礎(chǔ)上,規(guī)定了信息發(fā)布、即時(shí)通訊等服務(wù)的實(shí)名制要求��,而為了不影響用戶的隱私��,這里的實(shí)名指的是“前臺(tái)匿名����,后臺(tái)實(shí)名”(很人性化�����,充分顯示了對個(gè)人隱私保護(hù)的決心)����。
另一方面�,實(shí)名制也是一把雙刃劍,對于網(wǎng)絡(luò)運(yùn)營者來說�,一旦收集的個(gè)人信息發(fā)生大批量的泄漏,將產(chǎn)生無法預(yù)期的數(shù)據(jù)安全風(fēng)險(xiǎn)���;因此���,在本網(wǎng)絡(luò)安全法中的“網(wǎng)絡(luò)信息安全”章節(jié)相應(yīng)的規(guī)定了“網(wǎng)絡(luò)運(yùn)營者對個(gè)人信息保護(hù)的責(zé)任”條款,強(qiáng)化了個(gè)人信息保護(hù)���,這里有義務(wù)提醒網(wǎng)絡(luò)運(yùn)營者請務(wù)必關(guān)注本篇后面的“網(wǎng)絡(luò)信息安全條款和法律責(zé)任解讀”�����。
特別提醒網(wǎng)絡(luò)運(yùn)營者和安全責(zé)任人:不履行本條第一款規(guī)定的��,要承擔(dān)法律責(zé)任(違法啦)
適用法律責(zé)任:【第六十一條】
【第25條】 網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案��,及時(shí)處置系統(tǒng)漏洞���、計(jì)算機(jī)病毒����、網(wǎng)絡(luò)攻擊��、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)���;在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí),立即啟動(dòng)應(yīng)急預(yù)案����,采取相應(yīng)的補(bǔ)救措施,并按照規(guī)定向有關(guān)主管部門報(bào)告�。
解讀:本條規(guī)定了網(wǎng)絡(luò)運(yùn)營者必須履行的義務(wù)之一,核心是應(yīng)急預(yù)案和應(yīng)急處置���、應(yīng)急響應(yīng)����。
建議網(wǎng)絡(luò)運(yùn)營者,通過部署網(wǎng)站和系統(tǒng)漏洞監(jiān)測����、掃描類的產(chǎn)品或服務(wù),及時(shí)的發(fā)現(xiàn)漏洞���,并在第一時(shí)間通過升級補(bǔ)丁或完善應(yīng)用系統(tǒng)來補(bǔ)救��。(建議采用專門的網(wǎng)絡(luò)安全產(chǎn)品:網(wǎng)站漏洞監(jiān)測��、漏洞掃描等)
特別提醒網(wǎng)絡(luò)運(yùn)營者和安全責(zé)任人:不履行本條義務(wù)的�,要承擔(dān)法律責(zé)任(違法啦)
適用法律責(zé)任:【第五十九條】
【第28條】 網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)為公安機(jī)關(guān)�����、國家安全機(jī)關(guān)依法維護(hù)國家安全和偵查犯罪的活動(dòng)提供技術(shù)支持和協(xié)助��。
解讀:本條規(guī)定了網(wǎng)絡(luò)運(yùn)營者必須履行的義務(wù)之一�,核心是協(xié)助執(zhí)法機(jī)關(guān)執(zhí)法。舉個(gè)例子:如果公安機(jī)關(guān)需要���,網(wǎng)絡(luò)運(yùn)營者有義務(wù)提供采集的用戶數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)�。
適用法律責(zé)任:【第六十九條】
【第29條】 國家支持網(wǎng)絡(luò)運(yùn)營者之間在網(wǎng)絡(luò)安全信息收集、分析��、通報(bào)和應(yīng)急處置等方面進(jìn)行合作�����,提高網(wǎng)絡(luò)運(yùn)營者的安全保障能力��。
有關(guān)行業(yè)組織建立健全本行業(yè)的網(wǎng)絡(luò)安全保護(hù)規(guī)范和協(xié)作機(jī)制����,加強(qiáng)對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的分析評估,定期向會(huì)員進(jìn)行風(fēng)險(xiǎn)警示�,支持�����、協(xié)助會(huì)員應(yīng)對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)���。
解讀:本條主要是鼓勵(lì)網(wǎng)絡(luò)安全合作��;鼓勵(lì)網(wǎng)絡(luò)安全威脅情報(bào)交換����、行業(yè)組織建立風(fēng)險(xiǎn)評估。
網(wǎng)絡(luò)信息安全條款和法律責(zé)任解讀
這部分條款���,提出了個(gè)人信息保護(hù)的基本原則和要求���,可以說是一部小型的“個(gè)人信息保護(hù)法”。主要規(guī)定了在網(wǎng)絡(luò)信息安全特別是個(gè)人信息保護(hù)方面����,網(wǎng)絡(luò)運(yùn)營者、任何個(gè)人和組織����、網(wǎng)絡(luò)安全監(jiān)管人員必須承擔(dān)的責(zé)任和義務(wù),相應(yīng)的也要承擔(dān)法律責(zé)任�。
【第40條】 網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密,并建立健全用戶信息保護(hù)制度�����。
解讀:本條款的核心是用戶信息保護(hù)���;這里需要注意的是“用戶信息”和“個(gè)人信息”是有區(qū)別的����,具體內(nèi)容請參考前面的“重要概念”中對個(gè)人信息和用戶信息的解釋。
【第41條】 網(wǎng)絡(luò)運(yùn)營者收集�����、使用個(gè)人信息�,應(yīng)當(dāng)遵循合法、正當(dāng)���、必要的原則�����,公開收集��、使用規(guī)則����,明示收集�、使用信息的目的���、方式和范圍�,并經(jīng)被收集者同意�。
網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息��,不得違反法律��、行政法規(guī)的規(guī)定和雙方的約定收集��、使用個(gè)人信息��,并應(yīng)當(dāng)依照法律��、行政法規(guī)的規(guī)定和與用戶的約定���,處理其保存的個(gè)人信息。
解讀:本條款強(qiáng)化了個(gè)人信息保護(hù)的知情同意和特定目的原則����;確定了網(wǎng)絡(luò)運(yùn)營者收集個(gè)人信息必須遵循合法、正當(dāng)�、必要原則,強(qiáng)調(diào)了個(gè)人信息收集過程中的透明度��,和用戶自主選擇權(quán)���,同時(shí)強(qiáng)調(diào)了信息采集者必須合法使用和保存?zhèn)€人信息�����。那些利用其“壟斷地位”或“霸王條款”強(qiáng)制用戶同意采集信息的網(wǎng)絡(luò)運(yùn)營者需要注意啦���,再如此任性可就違法啦�。
適用法律責(zé)任:【第六十四條】
【第42條】 網(wǎng)絡(luò)運(yùn)營者不得泄露��、篡改�、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意��,不得向他人提供個(gè)人信息���。但是�����,經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外�����。
網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集的個(gè)人信息安全���,防止信息泄露����、毀損、丟失����。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損�����、丟失的情況時(shí)����,應(yīng)當(dāng)立即采取補(bǔ)救措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告�����。
解讀:本條款也被稱作“大數(shù)據(jù)條款”��;在強(qiáng)調(diào)保護(hù)個(gè)人信息的同時(shí)���,有建設(shè)性的提出了“經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的”除外��,為個(gè)人信息數(shù)據(jù)在使用���、交換和交易過程的合法性提供了法律依據(jù)��,并要求:個(gè)人信息數(shù)據(jù)匿名化處理���,技術(shù)上就是通過采用數(shù)據(jù)脫敏產(chǎn)品或技術(shù)手段,將涉及個(gè)人隱私的敏感數(shù)據(jù)進(jìn)行脫敏處理���,保證脫敏后的數(shù)據(jù)不能再識(shí)別出特定個(gè)人���,并且信息不可逆(不可通過技術(shù)手段復(fù)原)。
另外�,脫敏技術(shù)也可以被應(yīng)用在日常的數(shù)據(jù)維護(hù)過程中,對于金融���、醫(yī)療健康����、零售����、游戲等需要收集大量用戶個(gè)人信息的網(wǎng)絡(luò)系統(tǒng),在系統(tǒng)數(shù)據(jù)庫日常維護(hù)過程中同樣需要防止個(gè)人隱私數(shù)據(jù)的泄漏,通過采用具有動(dòng)態(tài)脫敏能力的產(chǎn)品或技術(shù)手段�����,可以有效地避免數(shù)據(jù)泄露�����,降低運(yùn)維安全風(fēng)險(xiǎn)�����,更為運(yùn)維者提供了免責(zé)的技術(shù)保障���。
同時(shí),本條款作為個(gè)人信息保護(hù)的核心內(nèi)容����,明確了網(wǎng)絡(luò)運(yùn)營者對個(gè)人信息保護(hù)的責(zé)任:有必要采取技術(shù)措施保護(hù)個(gè)人信息,確保其收集的個(gè)人信息安全��,通過采用監(jiān)控�����、審計(jì)等技術(shù)手段及時(shí)發(fā)現(xiàn)和記錄異常行為,為主管部門進(jìn)行追責(zé)和定責(zé)提供數(shù)據(jù)依據(jù)�。
建議網(wǎng)絡(luò)運(yùn)營者采用專門的安全產(chǎn)品保護(hù)個(gè)人信息:數(shù)據(jù)脫敏系統(tǒng)(最好具有動(dòng)態(tài)脫敏能力)、數(shù)據(jù)安全運(yùn)維系統(tǒng)(最好具有監(jiān)控和審計(jì)能力)
適用法律責(zé)任:【第六十四條】
【第43條】 個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者違反法律����、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的����,有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除其個(gè)人信息;發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集���、存儲(chǔ)的其個(gè)人信息有錯(cuò)誤的��,有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正��。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取措施予以刪除或者更正����。
解讀:本條款核心是法律明確賦予公民個(gè)人具有刪除權(quán)和更正權(quán)�;如果發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者不當(dāng)使用個(gè)人信息,有權(quán)要求刪除��,有錯(cuò)誤的有權(quán)要求其改正�。
特別要提醒網(wǎng)絡(luò)運(yùn)營者�����,有義務(wù)采取措施予以刪除或更正���;否則面臨違法��。
適用法律責(zé)任:【第六十四條】
【第44條】 任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息����,不得非法出售或者非法向他人提供個(gè)人信息。
解讀:本條款的核心是不得非法獲取����、非法出售和提供個(gè)人信息。這里說到非法出售�,關(guān)鍵問題是如何做才算合法呢?我們認(rèn)為從法律層面需要結(jié)合前面的條款中的“經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的”除外�����,這句話來解讀�,合法數(shù)據(jù)交易的前提是個(gè)人信息必須經(jīng)過符合要求的脫敏處理,只有這樣的數(shù)據(jù)在進(jìn)行交易時(shí)才有可能是合法的����。
適用法律責(zé)任:【第六十四條】第二款
【第45條】 依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員���,必須對在履行職責(zé)中知悉的個(gè)人信息、隱私和商業(yè)秘密嚴(yán)格保密����,不得泄露、出售或者非法向他人提供�。
解讀:本條款規(guī)定了執(zhí)法部門和執(zhí)法人員必須履行的保密責(zé)任。
【第46條】 任何個(gè)人和組織應(yīng)當(dāng)對其使用網(wǎng)絡(luò)的行為負(fù)責(zé)����,不得設(shè)立用于實(shí)施詐騙,傳授犯罪方法�,制作或者銷售違禁物品、管制物品等違法犯罪活動(dòng)的網(wǎng)站���、通訊群組�����,不得利用網(wǎng)絡(luò)發(fā)布涉及實(shí)施詐騙�����,制作或者銷售違禁物品��、管制物品以及其他違法犯罪活動(dòng)的信息��。
解讀:本條款規(guī)定了網(wǎng)絡(luò)犯罪的范疇���。
適用法律責(zé)任:【第六十七條】
【第47條】 網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)加強(qiáng)對其用戶發(fā)布的信息的管理��,發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?���,?yīng)當(dāng)立即停止傳輸該信息,采取消除等處置措施��,防止信息擴(kuò)散�,保存有關(guān)記錄,并向有關(guān)主管部門報(bào)告���。
解讀:本條款規(guī)定了承擔(dān)對違法信息傳播的阻斷義務(wù)�,是網(wǎng)絡(luò)運(yùn)營者必須履行的義務(wù)之一�。
適用法律責(zé)任:【第六十八條】
產(chǎn)品咨詢:4000 258 365 
