《电子四院网络安全法解读.ppt》由会员分享,可在线阅读,更多相关《电子四院网络安全法解读.ppt(31页珍藏版)》请在金锄头文库上搜索。
1、,中国电子技术标准化研究院 2017年11月4日,网络安全法解读,2016年11月7日,十二届全国人大常委会第二十四次会议审议通过了中华人民共和国网络安全法,并由中华人民共和国主席令第五十三号公布,自2017年6月1日起施行。,2,主要内容,一、 网络安全法总体情况 二、 对网络安全法几个重要概念的理解 三、 对网络安全法提出的一些基本理念、基本原则、 基本立场、基本格局和基本要求的理解 四、 网络安全法明确的主体责任和义务 五、 网络安全法明确的重要制度 六、 网络安全法中其他重要工作,3,网络安全法的出台是为了适应国家网络安全工作的新形势新任务,落实党中央要求,回应人民群众的期待。 是我国
2、关于网络安全工作的第一部综合性、框架性、基础性法律,是习近平总书记关于治网思想、治网理念、治网主张的集中体现,是我国网络安全理论探索和实践经验的科学总结,是依法治网、依法管网的根本依据,是推进网络强国战略的重要保障。 确定了各方面维护网络安全的责任义务,确立了一系列基本制度和重点任务。 法律的生命力在于实施。学习好、贯彻好、落实好网络安全法,切实用网络安全法指导实践、推动工作。,4,一、网络安全法总体情况,二、对网络安全法几个重要概念的理解,关于网络安全 关于网络运营者 关于有关主管部门 关于安全可信 关于网络空间主权,5,三、对网络安全法提出的一些基本理念、基本原则、基本立场、基本格局和基本
3、要求的理解,6,重大理念和重大原则 第三条规定:国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。 基本立场 第五条规定:国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。 基本格局 第八条规定:国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、
4、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。,四、 网络安全法明确的主体责任和义务,个人和组织的责任义务 明确禁止的“八类活动” “七类行为” 网络运营者的责任义务 通用责任义务 关键信息信息基础设施运营者的责任义务 电子信息发送提供者和应用软件下载服务提供者的责任义务 政府部门的责任 国家网信部门、电信主管部门、公安部门、地方政府,7,(一)个人和组织的责任义务(1),明确禁止的“八类活动”: 第十二条:(1)危害国家安全、荣誉和利益;(2)煽动颠覆国家政权、推翻社会主义制度;(3)煽动分裂国
5、家、破坏国家统一;(4)宣扬恐怖主义、极端主义;(5)宣扬民族仇恨、民族歧视;(6)传播暴力、淫秽色情信息;(7)编造、传播虚假信息扰乱经济秩序和社会秩序;(8)侵害他人名誉、隐私、知识产权和其他合法权益等活动。,8,(一)个人和组织的责任义务(2),明确禁止的“七类行为”: 分部在第二十七条、第四十四条、第四十六条、第四十八条 第二十七条 (1)非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动; (2)提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具; (3)明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推
6、广、支付结算等帮助;,9,(一)个人和组织的责任义务(2),明确禁止的“七类行为”: 第四十四条 (4)不得窃取或者以其他非法方式获取个人信息,非法出售或者非法向他人提供个人信息; 第四十六条 (5)不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组; (6)利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息; 第四十八条 (7)不得发送的电子信息、提供的应用软件,设置恶意程序,含有法律、行政法规禁止发布或者传输的信息。,10,(二)网络运营者的责任义务,1、通用责任和义务 一是 关于网络安全等级保护5方面的要求。(
7、第二十一条) 二是 关于产品、服务的要求。(第二十二条) 三是 关于实名制的要求。(第二十四条) 四是 关于网络安全事件处置的要求。(第二十五条) 五是 关于提供技术支持和协助的要求。(第二十八条) 六是 关于用户和个人信息保护的要求。(第四十、四十一、四十二、四十三条) 七是 关于信息发布的要求。(第四十七条) 八是 关于投诉举报和配合网信等部门实施安全检查的要求。(第四十九条) 上述规定都是指在开展经营和服务活动时必须遵守的,11,(二)网络运营者的责任义务,2、关键信息基础设施运营者的责任义务 除了履行网络运营者通用责任义务外,还应履行以下6个方面责任义务: 一是 关于“三同步”的要求。
8、(第三十三条) 二是 关于内部管理的5方面要求。(第三十四条) 三是 关于国家安全审查的要求。(第三十五条) 四是 关于安全保密协议的要求。(第三十六条) 五是 关于数据出境的要求(第三十七条 ) 六是 关于安全检测和评估的要求。(第三十八条),12,(二)网络运营者的责任义务,3、电子信息发送提供者和应用软件下载服务提供者的责任义务 除了履行网络运营者通用责任义务外,还应履行以下责任义务: 知道用户发送的电子信息、提供的应用软件设置恶意程序,含有法律、行政法规禁止发布或者传输的信息的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。(第四十八条),13,(三)政府部
9、门的责任,第八条等条款对国家网信部门、电信主管部门、公安部门、地方政府网络安全责任进行了规范 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。 国务院电信主管部门依照本法和有关法律、行政法规的规定,在职责范围内负责网络安全保护和监督管理工作,包括电信网络安全管理、受理网络安全举报等。 国务院公安部门依照本法和有关法律、行政法规的规定,在职责范围内负责网络安全保护和监督管理工作,包括打击网络犯罪、受理网络安全举报等。 县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。,14,五、网络安全法明确的重要制度,网络安全等级保护 关键信息基础设施保护 个人信息和重要
10、数据跨境安全传输 网络产品和服务安全审查 公民个人信息保护 网络关键设备和网络安全专用产品管理 网络监测预警、信息通报与应急处置 网络信息内容管理和通信管制 网络安全举报 网络安全约谈,15,16,(一)网络安全等级保护,第二十一条规定:实行网络安全等级保护制度 信息安全等级保护是中国网络安全保障的重要制度,其核心是分清系统边界,明确系统责任,分清决定系统的保护措施,确保重点目标的安全。信息安全等级保护制度在国家网络安全保障中发挥了重要作用。 这个制度也应该随着形势的发展不断完善,如云计算、大数据、物联网、移动互联网等的发展,使系统边界日趋模糊,需要按照体系化的思路来管理和保护,迫切需要从整体
11、上加强保护。 关键信息基础设施保护和等级保护,二者是相互统一、相互衔接的,不是矛盾的,不要把两个工作看成是部门的职能划分,不要看成是权利的分配,实际上是工作的分配,是企业的、行业的、各个部门的工作,不是其中哪个部门的工作。,(二)关键信息基础设施保护,关键信息基础设施-是指那些一旦遭到破坏、丧失功能或者数据泄露将对国家安全、国际民生、公共利益造成严重危害的网络设施和信息系统,具体范围将由国务院制定办法予以确定。 负责关键信息基础设施保护的部门 关键信息基础设施相关人员安全背景审查 关键信息基础设施从业人员网络安全教育培训 关键信息基础设施运营者安全保密义务要求 如何加强关键信息基础设施工作,1
12、7,(三)个人信息和重要数据跨境安全传输,第三十七条规定在我国境内收集、产生的个人信息和重要数据应当留在境内,确需出境的应当按照规定进行评估,目的是为了维护国家网络安全,保护个人利益。 一是法律并没有要求所有的数据都要留在境内,只是对个人信息和重要数据提出要求,而且还为确需出境的数据留了出口。 二是个人信息出境应该经过个人信息主体明示同意。对于个人主动订购国际机票、拨打海外电话、向境外发送电子邮件等情况,应视为个人信息主体明示同意。 三是法律中的重要数据是对国家而言是重要的,不是针对企业和个人。 国家网信部门会同相关部门制定了个人信息和重要数据出境安全评估办法以及重要数据识别指南,对数据出境安
13、全评估作出了明确规定。,18,(四)网络产品和服务安全审查,第三十五条规定:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。这里的国家安全审查实际上就是网络安全审查。 2017年5月2日,国家互联网信息办公室公开发布了网络产品和服务安全审查办法(试行),规定了网络安全审查流程、机构等作出明确规定 审查的目的:提高网络产品和服务的安全可控水平,防范供应链安全风险 审查的范围:只有可能影响国家安全的才需要审查 审查的重点:产品和服务的安全性、可控性 审查不针对特定国家和地区,没有国别差异,19,20,(五)公民个人信息保护,
14、指出:网络安全工作要坚持以人民为中心的发展理念,要坚持网络安全为人民、网络安全靠人民的宗旨。 建立健全用户信息保护制度的要求 正当、必要、明确、知情的要求 建立了数据泄露通知制度 明确了公民个人信息的删除权和更正权制度 建立了网络安全监督管理机构及其工作人员对公民个人信息、隐私和商业秘密的保密制度等 用户信息发布的要求,(六)网络关键设备和网络安全专用产品管理,21,第二十三条规定:网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。 网络关键设备和网络安全专用产品的范畴:大型路由器、服务器、重要存储设备;加密机
15、、防火墙等 对设备产品认证检测的约束条件:一是列入网络关键设备和网络安全专用产品目录;二是国家标准有相关强制性要求 对开展认证检测机构的认定:“具备资格的机构”是指国家质检总局会同有关部门按照程序认定的机构,22,(七)网络监测预警、信息通报与应急处置,网络监测预警信息发布 第五十一条规定:按照规定统一发布网络安全监测预警信息 第五十二条规定:按照规定报送网络安全监测预警信息 网络安全信息发布 第二十六条规定:向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定 网络安全应急处置 第五十三条规定:国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,
16、制定网络安全事件应急预案,并定期组织演练,23,(八)网络信息内容管理和通信管制,依法进行网络信息内容管理不会妨碍网上言论自由和信息自由流动 第四十七条规定:网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息 依法采取技术措施和其他必要措施阻断境外非法信息的传播不是要对国外网站进行更严格的封堵 第五十条规定:国家网信部门和有关部门依法履行网络信息安全监督管理职责,对来源于境外的法律、行政法规禁止发布或者传输的信息,应当通知有关机构采取技术措施和其他必要措施阻断传播 特定区域网络通信限制的实施条件 第五十八条规定:可以在特定区域对网络通信采取限制等临时措施,24,(九)网络安全举报,第十四条规定:任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。 涉及网络犯罪的,主要向公安部门举报 其他类型的,既可以向电信部门,也可以
