[[187817]]

2017年6月1日，《網(wǎng)絡安全法》將正式施行。作為網(wǎng)絡安全行業(yè)的一員，我們常說要扛起安全的大旗，而把握《網(wǎng)絡安全法》這一風向，才可以更好地讓旗幟迎風飛舞。從今天開始，我們將陸續(xù)推出系列文章來解讀這部重要法律，更好地領會其中要義，履行安全企業(yè)的社會責任。今天，我們先站在框架的視角來一起學習它。

一、認識它

我國互聯(lián)網(wǎng)領域、網(wǎng)絡安全的基礎性法律、黨的十八大以來的又一部重要法律。

1、從關鍵詞看立法必要性：國家安全、網(wǎng)絡空間國家主權、打擊網(wǎng)絡違法犯罪、互聯(lián)網(wǎng)國際競爭和國際治理、廣大人民群眾利益……

2、溯源

2013年下半年提上日程;2014年形成草案;15年初形成征求意見稿，15年6月一審;16年6月二審、10月31日三審、11月7日人大通過;2017年6月1日起施行。

3、《網(wǎng)絡安全法》說了啥?

• 7章79條，說盡《網(wǎng)絡安全法》

第一章 總 則

第二章 網(wǎng)絡安全支持與促進

第三章 網(wǎng)絡運行安全

第五章 監(jiān)測預警與應急處置

第六章 法律責任

第七章 附 則

• 七大維度，骨骼清晰解讀《網(wǎng)絡安全法》

二：勾勒條款粗線條

 

三、《網(wǎng)絡安全法》出臺的意義

• 服務于國家網(wǎng)絡安全戰(zhàn)略和網(wǎng)絡強國建設;
• 助力網(wǎng)絡空間治理，護航“互聯(lián)網(wǎng)+”;
• 構建我國首部網(wǎng)絡空間管轄基本法;
• 提供維護國家網(wǎng)絡主權的法律依據(jù);
• 在網(wǎng)絡空間領域貫徹落實依法治國精神;
• 成為網(wǎng)絡參與者普遍遵守的法律準則和依據(jù);

總之，《網(wǎng)絡安全法》的出臺具有里程碑式的意義，是我國網(wǎng)絡安全法治建設的一個重大戰(zhàn)略契機。網(wǎng)絡安全從此有法可依，信息安全行業(yè)將由合規(guī)性驅(qū)動過渡到合規(guī)性和強制性驅(qū)動并重，同時標志著我國網(wǎng)絡空間領域的發(fā)展和現(xiàn)代化治理邁出了堅實的一步。

預告：接下來的文章安華金和會針對具體條款做解讀，同時有針對性地提出數(shù)據(jù)安全和網(wǎng)絡安全方面的建議，以期幫助網(wǎng)絡運營者更好地了解有哪些安全措施、安全產(chǎn)品可供選擇，完善自身網(wǎng)絡 和數(shù)據(jù)安全體系建設。

《網(wǎng)絡安全法》解讀系列:網(wǎng)絡運營者們看過來

上個月，我們梳理了《網(wǎng)絡安全法》的骨架，今天，我們站在本法適用的角度來對部分條款展開解讀。首先，我們將適用對象設定為——網(wǎng)絡運營商，現(xiàn)將《網(wǎng)絡安全法》對網(wǎng)絡運營者的責任、義務和法律責任的條款認定以及解讀做如下呈現(xiàn)。

網(wǎng)絡運營者責任、義務和法律責任解讀

廣大網(wǎng)絡運營者的BOSS們請注意啦：隨著網(wǎng)絡安全法的實施，相應的法律條款和法律責任必然會落地實施，無論企業(yè)還是個人，切忌心存僥幸，以身試法。輕則罰款，重則企業(yè)停業(yè)、個人拘留。

下面在解讀條款的同時，以建議的方式說明如何進行網(wǎng)絡安全和數(shù)據(jù)安全保護的建議，希望能夠幫助網(wǎng)絡運營者更好的完善自身的網(wǎng)絡安全，規(guī)避風險。

【第9條】 網(wǎng)絡運營者開展經(jīng)營和服務活動，必須遵守法律、行政法規(guī)，尊重社會公德，遵守商業(yè)道德，誠實信用，履行網(wǎng)絡安全保護義務，接受政府和社會的監(jiān)督，承擔社會責任。

解讀：本條款明確了網(wǎng)絡運營者必須承擔的基本義務，特別是網(wǎng)絡安全保護義務，接受政府和社會監(jiān)督的義務。

【第10條】 建設、運營網(wǎng)絡或者通過網(wǎng)絡提供服務，應當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網(wǎng)絡安全、穩(wěn)定運行，有效應對網(wǎng)絡安全事件，防范網(wǎng)絡違法犯罪活動，維護網(wǎng)絡數(shù)據(jù)的完整性、保密性和可用性。

解讀：本條款明確了網(wǎng)絡運營者除了要依法外，還要依照國家標準，在國家標準中分為強制性要求和推薦性要求，這里特別強調(diào)的是要依照強制性要求執(zhí)行。同時強調(diào)了網(wǎng)絡數(shù)據(jù)的完整性、保密性和可用性。

【第21條】 國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行下列安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改：

(一)制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡安全負責人，落實網(wǎng)絡安全保護責任;

(二)采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術措施;

(三)采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施，并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月;

(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;

(五)法律、行政法規(guī)規(guī)定的其他義務。

解讀：本條規(guī)定了網(wǎng)絡運營者必須履行的義務之一。和“等級安全保護制度”相關。重點在于：

1)確定網(wǎng)絡安全責任人，以落實保護責任。這里需要注意的是作為責任人，相應的承擔著法律責任。

2)技術層面需要采取防病毒、入侵檢測等手段保護網(wǎng)絡安全。(建議采用專門的網(wǎng)絡安全產(chǎn)品：云盾、WAF等)

3)采用數(shù)據(jù)庫審計、網(wǎng)絡審計等手段，采集并記錄、分析日志，日志留存不少于六個月。(建議采用專門的安全審計產(chǎn)品：數(shù)據(jù)庫監(jiān)控與審計系統(tǒng)、網(wǎng)絡日志審計系統(tǒng))

4)在數(shù)據(jù)安全方面，再次強調(diào)了數(shù)據(jù)分類和數(shù)據(jù)加密;數(shù)據(jù)分類的重點是能夠幫助責任人自動的識別發(fā)現(xiàn)系統(tǒng)中的個人敏感信息和行業(yè)敏感信息，和這些信息存儲的位置、數(shù)據(jù)庫表和字段，以確定需要保護的內(nèi)容;數(shù)據(jù)加密則一直以來就是個難點，其中的關鍵是在滿足保密性的同時還要滿足可用性，比較理想的技術手段是“透明數(shù)據(jù)加密(TDE)”。(建議采用專門的數(shù)據(jù)加密產(chǎn)品：數(shù)據(jù)庫透明加解密(TDE)系統(tǒng))

特別提醒網(wǎng)絡運營者和安全責任人：不履行本條義務的，要承擔法律責任(違法啦)

適用法律責任：【第五十九條】

【第24條】 網(wǎng)絡運營者為用戶辦理網(wǎng)絡接入、域名注冊服務，辦理固定電話、移動電話等入網(wǎng)手續(xù)，或者為用戶提供信息發(fā)布、即時通訊等服務，在與用戶簽訂協(xié)議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網(wǎng)絡運營者不得為其提供相關服務。

國家實施網(wǎng)絡可信身份戰(zhàn)略，支持研究開發(fā)安全、方便的電子身份認證技術，推動不同電子身份認證之間的互認。

解讀：本條規(guī)定了網(wǎng)絡運營者必須履行的義務之一，核心是實名制，通過實名制最大程度的實現(xiàn)信息真實化、可靠化，可以說是國家網(wǎng)絡安全的一個重要基礎。本條在電信用戶實名制基礎上,規(guī)定了信息發(fā)布、即時通訊等服務的實名制要求，而為了不影響用戶的隱私，這里的實名指的是“前臺匿名，后臺實名”(很人性化，充分顯示了對個人隱私保護的決心)。

另一方面，實名制也是一把雙刃劍，對于網(wǎng)絡運營者來說，一旦收集的個人信息發(fā)生大批量的泄漏，將產(chǎn)生無法預期的數(shù)據(jù)安全風險;因此，在本網(wǎng)絡安全法中的“網(wǎng)絡信息安全”章節(jié)相應的規(guī)定了“網(wǎng)絡運營者對個人信息保護的責任”條款，強化了個人信息保護，這里有義務提醒網(wǎng)絡運營者請務必關注本篇后面的“網(wǎng)絡信息安全條款和法律責任解讀”。

特別提醒網(wǎng)絡運營者和安全責任人：不履行本條第一款規(guī)定的，要承擔法律責任(違法啦)

適用法律責任：【第六十一條】

【第25條】 網(wǎng)絡運營者應當制定網(wǎng)絡安全事件應急預案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等安全風險;在發(fā)生危害網(wǎng)絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規(guī)定向有關主管部門報告。

解讀：本條規(guī)定了網(wǎng)絡運營者必須履行的義務之一，核心是應急預案和應急處置、應急響應。

建議網(wǎng)絡運營者，通過部署網(wǎng)站和系統(tǒng)漏洞監(jiān)測、掃描類的產(chǎn)品或服務，及時的發(fā)現(xiàn)漏洞，并在第一時間通過升級補丁或完善應用系統(tǒng)來補救。(建議采用專門的網(wǎng)絡安全產(chǎn)品：網(wǎng)站漏洞監(jiān)測、漏洞掃描等)

特別提醒網(wǎng)絡運營者和安全責任人：不履行本條義務的，要承擔法律責任(違法啦)

適用法律責任：【第五十九條】

【第28條】 網(wǎng)絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協(xié)助。

解讀：本條規(guī)定了網(wǎng)絡運營者必須履行的義務之一，核心是協(xié)助執(zhí)法機關執(zhí)法。舉個例子：如果公安機關需要，網(wǎng)絡運營者有義務提供采集的用戶數(shù)據(jù)和網(wǎng)絡數(shù)據(jù)。

適用法律責任：【第六十九條】

【第29條】 國家支持網(wǎng)絡運營者之間在網(wǎng)絡安全信息收集、分析、通報和應急處置等方面進行合作，提高網(wǎng)絡運營者的安全保障能力。

有關行業(yè)組織建立健全本行業(yè)的網(wǎng)絡安全保護規(guī)范和協(xié)作機制，加強對網(wǎng)絡安全風險的分析評估，定期向會員進行風險警示，支持、協(xié)助會員應對網(wǎng)絡安全風險。

解讀：本條主要是鼓勵網(wǎng)絡安全合作;鼓勵網(wǎng)絡安全威脅情報交換、行業(yè)組織建立風險評估。

網(wǎng)絡信息安全條款和法律責任解讀

這部分條款，提出了個人信息保護的基本原則和要求，可以說是一部小型的“個人信息保護法”。主要規(guī)定了在網(wǎng)絡信息安全特別是個人信息保護方面，網(wǎng)絡運營者、任何個人和組織、網(wǎng)絡安全監(jiān)管人員必須承擔的責任和義務，相應的也要承擔法律責任。

【第40條】 網(wǎng)絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。

解讀：本條款的核心是用戶信息保護;這里需要注意的是“用戶信息”和“個人信息”是有區(qū)別的，具體內(nèi)容請參考前面的“重要概念”中對個人信息和用戶信息的解釋。

【第41條】 網(wǎng)絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

網(wǎng)絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。

解讀：本條款強化了個人信息保護的知情同意和特定目的原則;確定了網(wǎng)絡運營者收集個人信息必須遵循合法、正當、必要原則，強調(diào)了個人信息收集過程中的透明度，和用戶自主選擇權，同時強調(diào)了信息采集者必須合法使用和保存?zhèn)€人信息。那些利用其“壟斷地位”或“霸王條款”強制用戶同意采集信息的網(wǎng)絡運營者需要注意啦，再如此任性可就違法啦。

適用法律責任：【第六十四條】

【第42條】 網(wǎng)絡運營者不得泄露、篡改、毀損其收集的個人信息;未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復原的除外。

網(wǎng)絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告。

解讀：本條款也被稱作“大數(shù)據(jù)條款”;在強調(diào)保護個人信息的同時，有建設性的提出了“經(jīng)過處理無法識別特定個人且不能復原的”除外，為個人信息數(shù)據(jù)在使用、交換和交易過程的合法性提供了法律依據(jù)，并要求：個人信息數(shù)據(jù)匿名化處理，技術上就是通過采用數(shù)據(jù)脫敏產(chǎn)品或技術手段，將涉及個人隱私的敏感數(shù)據(jù)進行脫敏處理，保證脫敏后的數(shù)據(jù)不能再識別出特定個人，并且信息不可逆(不可通過技術手段復原)。

另外，脫敏技術也可以被應用在日常的數(shù)據(jù)維護過程中，對于金融、醫(yī)療健康、零售、游戲等需要收集大量用戶個人信息的網(wǎng)絡系統(tǒng)，在系統(tǒng)數(shù)據(jù)庫日常維護過程中同樣需要防止個人隱私數(shù)據(jù)的泄漏，通過采用具有動態(tài)脫敏能力的產(chǎn)品或技術手段，可以有效地避免數(shù)據(jù)泄露，降低運維安全風險，更為運維者提供了免責的技術保障。

同時，本條款作為個人信息保護的核心內(nèi)容，明確了網(wǎng)絡運營者對個人信息保護的責任：有必要采取技術措施保護個人信息，確保其收集的個人信息安全，通過采用監(jiān)控、審計等技術手段及時發(fā)現(xiàn)和記錄異常行為，為主管部門進行追責和定責提供數(shù)據(jù)依據(jù)。

建議網(wǎng)絡運營者采用專門的安全產(chǎn)品保護個人信息：數(shù)據(jù)脫敏系統(tǒng)(最好具有動態(tài)脫敏能力)、數(shù)據(jù)安全運維系統(tǒng)(最好具有監(jiān)控和審計能力)

適用法律責任：【第六十四條】

【第43條】 個人發(fā)現(xiàn)網(wǎng)絡運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，有權要求網(wǎng)絡運營者刪除其個人信息;發(fā)現(xiàn)網(wǎng)絡運營者收集、存儲的其個人信息有錯誤的，有權要求網(wǎng)絡運營者予以更正。網(wǎng)絡運營者應當采取措施予以刪除或者更正。

解讀：本條款核心是法律明確賦予公民個人具有刪除權和更正權;如果發(fā)現(xiàn)網(wǎng)絡運營者不當使用個人信息，有權要求刪除，有錯誤的有權要求其改正。

特別要提醒網(wǎng)絡運營者，有義務采取措施予以刪除或更正;否則面臨違法。

適用法律責任：【第六十四條】

【第44條】 任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

解讀：本條款的核心是不得非法獲取、非法出售和提供個人信息。這里說到非法出售，關鍵問題是如何做才算合法呢?我們認為從法律層面需要結合前面的條款中的“經(jīng)過處理無法識別特定個人且不能復原的”除外，這句話來解讀，合法數(shù)據(jù)交易的前提是個人信息必須經(jīng)過符合要求的脫敏處理，只有這樣的數(shù)據(jù)在進行交易時才有可能是合法的。

適用法律責任：【第六十四條】第二款

【第45條】 依法負有網(wǎng)絡安全監(jiān)督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息、隱私和商業(yè)秘密嚴格保密，不得泄露、出售或者非法向他人提供。

解讀：本條款規(guī)定了執(zhí)法部門和執(zhí)法人員必須履行的保密責任。

【第46條】 任何個人和組織應當對其使用網(wǎng)絡的行為負責，不得設立用于實施詐騙，傳授犯罪方法，制作或者銷售違禁物品、管制物品等違法犯罪活動的網(wǎng)站、通訊群組，不得利用網(wǎng)絡發(fā)布涉及實施詐騙，制作或者銷售違禁物品、管制物品以及其他違法犯罪活動的信息。

解讀：本條款規(guī)定了網(wǎng)絡犯罪的范疇。

適用法律責任：【第六十七條】

【第47條】 網(wǎng)絡運營者應當加強對其用戶發(fā)布的信息的管理，發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?，應當立即停止傳輸該信息，采取消除等處置措施，防止信息擴散，保存有關記錄，并向有關主管部門報告。

解讀：本條款規(guī)定了承擔對違法信息傳播的阻斷義務，是網(wǎng)絡運營者必須履行的義務之一。

適用法律責任：【第六十八條】

【本文是51CTO專欄作者“安華金和”的原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文