网络安全法背景概述

国际国内网安法背景

国际背景

合作共赢
2015年9月，习主席访美提出“打造中美合作亮点，让网络空间更好地造福两国人民和世界人民”
2015年12月，中美达成了《打击网络犯罪及相关事项指导原则》
2015年以来，中英、中俄、中德先后签署了合作协议。中英，中德之间开展高级别对话深化网络犯罪国际合作。
2016年11月，习主席在第二届世界互联网大会系统论述了“网络空间命运共同体”的理念，重点提出“四点原则”和“五个主张”的中国方案。
冲突对抗
网络冲突和攻击成为国家间对抗的主要形式。
网络空间战略和政策升级调整
注重安全保障与攻击能力双向提升
加强对数据资源跨境传输的管控
2015年以来，国家行为体实施的大规模网络监控和网络攻击造成了国家间的严重不信任情绪，对国际局势的稳定带来不良影响。

国内背景

各国网络安全法重点制度

结合各国网络安全立法和战略，网络安全法重点保护的制度具体刻意分为两大类 对传统的网络安全制度进行立法修正 和 对近几年涌现出来的新问题进行解决

对传统的网络安全制度进行立法修正

机构职责和管理机制
监测预警和应急处理制度

对近几年涌现出来的新问题进行解决

关键信息基础设施保护
数据安全保护（跨境数据流动、数据泄露通知）
云计算等新型业务所引发的安全威胁等问题

网络安全法发展历程

我国网络安全法治建设的发展历程

网络安全法特点和内容

我国网络安全法律体系的特点

我国网络安全法律的主要规范内容

网络安全法是我国第一部网络安全领域的法律，是保障网络安全的基本法。

网络安全法不是网络安全立法的终点，相反，是网络安全立法的起点。
与《网络安全法》相关的法律有《国家安全法》，《保密法》，《反恐怖主义法》，《反间谍法》，《刑法修正案》(九)，《治安管理处罚法》，《电子签名法》等。这些法律与网络安全法不是上位法和下位法的关系，同属同一法律位阶。
网络安全法是我国网络安全管理的基础法律，与其它相关法律在相关条款和规定上互相衔接，互为呼应，共同构成了我国网络安全管理的综合法律体系。
网络安全法也是在现行的一些制度的基础上，例如《关于加强网络信息保护的决定》、《计算机信息系统安全保护条例》、《互联网信息服务管理办法》等，上升和完善的成果，为更好的开展网络安全工作提供了法律保障。

网络安全法解读

网络安全法解决的重要基础性问题

基本原则:网络空间主权原则、网络安全与信息化发展并重原则、共同治理原则;
明确了政府各部门的职责权限，完善了网络安全监管体制(第8条);
强化网络运行安全，重点保护关键信息基础设施;
完善网络安全义务和责任，加大了违法惩处力度;
将监测预警与应急处置措施制度化、法制化。

网络安全法内容解读

总则： 明确网络空间主权原则

作为我国网络安全治理的基本法，《网络安全法》在总则部分确立了网络主权原则，明确了网络安全管理体制和分工，以及域外的适应效力

国家网络安全责任机构组织

网络安全等级保护制度

信息系统安全等级保护制度已实施多年，网络安全等级保护制度应当会与目前的信息系统安全等级保护制度相衔接和融合，而不会成为两个并行的制度体系。
网络安全≠信息安全
特别强调网络安全不等于信息安全，两者有大幅的交集，但网络安全有特殊的内涵，包括网络的使用、运营。国家对网络的主权，符合国际惯例和一般做法。

网络实名制

网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

已有法律法规对实名制进行规定:

2016年1月1日实施《中华人民共和国反恐怖主义法》
2015年实施的《互联网用户账号名称管理规定》
2016年实施的《移动互联网应用程序信息服务管理规定》

关键基础设施

关键信息基础设施定义:

国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

下图为关键信息基础设施安全保护条例（征求意见稿）

关键信息基础设施保护：

关键信息基础设施内涵

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务重要行业和领域的关键信息基础设施。

其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施
关键信息基础设施外延

关键信息基础设施的具体范围由国务院制定

鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系
关键信息基础设施管理机制

按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门具体负责实施本行业、本领域的关键信息基础设施保护工作

国家网信部门统筹协调有关部门对关键信息基础设施采取安全保护措施
关键信息基础设施建设要求

确保具有支持业务稳定、持续运行的性能

安全技术措施同步规划、同步建设同步使用
关键信息基础设施运营者安全保护义务

**人员安全管理:**设置专门安全管理机构和安全管理负责人;对负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、培训和考核。

**数据境内留存:**在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。确需向境外提供的，需经国家安全评估;对重要系统和数据库进行容灾备份。

**应急预案机制:**制定网络安全事件应急预案，并定期进行演练。

安全采购措施∶采购网络产品和服务可能影响国家安全的，应当通过国家安全审查。应与网络产品和服务提供者签订安全保密协议。

风险评估机制︰自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关部门.

数据保护

数据保护范围:个人信息保护、用户信息保护和商业秘密保护。

**用户信息:**引入了“用户信息”的概念，可以理解为在用户使用产品或服务过程中收集的信息构成用户信息，包括IP地址、用户名和密码、上网时间、Cookie信息等。

**收集:**网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意;

**保护:**网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。
**个人信息:**个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
1. 应当遵守本法和有关法律、行政法规的规定。《电信和互联网用户个人信息保护规定》
2. **收集、使用个人信息:**应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。
3. 不得泄露、篡改、毁损其收集的个人信息:
  1. 采取技术措施和其他必要措施保护;
  2. 若泄露，立即采取补救措施，告知用户并向有关主管部门报告。
4. 未经被收集者同意,不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。
5. 个人信息主体拥有删除权（保护使用不当)和更正权(有误)
6. 不得非法获取、窃取，不得非法出售、非法向他人提供
7. 管理部门不得泄露履行职责中知悉的个人信息
**商业秘密:**是指不为公众所知悉、能为权利人带来经济利益，具有实用性并经权利人采取保密措施的技术信息和经营信息。

依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。

数据本地化

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。

因业务需要，确需向境外提供的，应当进行安全评估;法律、行政法规另有规定的,依照其规定。

下列数据在其它法律里有本地化要求:国家秘密和国家安全数据、征信数据、个人金融信息、地图数据、网络出版服务所需的必要的技术设备、网约车相关数据和信息。

以数据为中心的安全

《网络安全法》对数据安全和数据保护也给予了关注。

第二十一条对数据安全作出明确说明:网络运营者应当按照网络安全等级保护制度的要求，防止网络数据泄露或者被窃取、篡改。采取数据分类、重要数据备份和加密等措施。

第四章40-45,大篇幅地强调个人信息(个人数据）安全，强调数据的脱敏。

网络安全法近似等于等级保护加数据安全。

第18条，鼓励数据安全行业发展。

网络行为要求

任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。

网络运营者法律合规要求

需要网络运营者建立企业的管理制度和操作规程，以满足法律合规性的要求避免法律风险，主要包括如下:

与实施网络安全等级保护制度相关的义务和制度建设，包括制定内部安全管理制度和
操作规程，确定网络安全负责人等（第二十一条);
健全用户信息保护制度（第二十二条和第四十条);
落实网络实名制(第二十四条);
网络安全事件应急预案(第二十五条);
关键信息基础设施的安全保护义务，包括:设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案，并定期进行演练;法律、行政法规规定的其他义务（第三十四条）
采购关键信息基础设施产品和服务的保密制度（第三十六条);
关键信息基础设施安全性的年度评估(第三十六条);
个人信息的收集和利用规则及制度（第四十一条和第四十二条)
个人信息泄露事件的报告制度（第四十二条);
违法使用个人信息删除和错误个人信息更正制度（第四十三条）
网络运营者对用户非法信息传播的监管（第四十七条);
网络信息安全投诉、举报制度（第四十九条）。

网络运营者的安全义务

内部安全管理∶ 制定内部安全管理制度和操作规程，确定网络安全负责人
安全技术措施∶ 采取防范网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施，留存相关的网络日志不少于六个月
数据安全管理∶ 采取数据分类、重要数据备份和加密等措施，防止网络数据泄露或者被窃取、篡改
网络身份管理︰ 办理网络接入、域名注册服务，或固定电话、移动电话等入网手续，或为用户提供信息发布、即时通讯等服务，应要求用户提供真实身份信息
应急预案机制∶ 制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并向有关主管部门报告。
安全协助义务︰ 为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助

网络产品、服务提供者的安全义务

强制标准义务︰ 网络产品、服务应当符合相关国家标准的强制性要求，不得设置恶意程序;网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供
告知补救义务∶ 网络产品、服务提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，及时告知用户，向有关主管部门报告。
安全维护义务︰ 网络产品、服务提供者应为产品、服务持续提供安全维护，在规定或者当事人约定的期限内不得终止;
个人信息保护∶ 网络产品、服务具有收集用户信息功能的，网络产品、服务提供者应向用户明示并取得同意;涉及用户个人信息的，还应遵守相关法律、行政法规中有关个人信息保护的规定。

一般性安全保护义务

安全信息发布: 开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。
禁止危害行为: 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等。
信息使用规则︰ 网信部门和有关部门在履行网络安全保护职责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。

产品研发

符合相关国家标准的强制性要求。不得设置恶意程序;发现存在安全缺陷、漏洞等风险时，应当立即采取补救措施，及时告知用户并向有关主管部门报告。

持续提供安全维护;在规定或者当事人约定的期限内，不得终止提供安全维护。

网络关键设备和网络安全专用产品安全认证合格或者安全检测符合要求后，方可销售

个人

规范上网行为:

不得诈骗、传授诈骗方法、制售违禁物品;
不得危害网络安全(入侵、窃取等)、国家安全;
不得发布不良信息;
不得侵犯他人权益;
不为上述违法行为提供便利

网络信息安全-个人信息保护

网络安全审查制度

2017年05月02日中央网信办正式发布《网络产品和服务安全审查办法（试行）》。其中就审查的目的、需要审查的网络产品和服务的范围、网络安全审查的管理部门(网络安全审查委员会)、审查的机构（国家统一认定网络安全审查第三方机构）和对党政机关和重点行业的审查工作提出要求。并于2017年6月1日同《网络安全法》一同实施。