来源:法大大发布时间:2017-06-14 00:00:00
今天(2017年6月1日)开始正式实施的《中华人民共和国网络安全法》(以下简称《网络安全法》),把过往零散在各个法律、法规和文件中的条文系统地形成一部法律,唤醒了公众的网络安全意识,并且更加有力的保障了网络安全。那么,这一法条究竟是什么来头?对企业会产生哪些影响?别着急,我们看看专业律师怎么说。
2015年6月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》。2015年7月6日至2015年8月5日,该草案面向社会公开征求意见。
快速get《网络安全法》三大重点
一、用户信息保护得到重视
对于刑法相关规定中“情节严重”的认定标准,此次司法解释明确规定了十种情形,包括非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;非法获取、出售或者提供前两项规定以外的公民个人信息五千条以上的;违法所得五千元以上的等等。
TIPS:
例如,选择电子合同服务商时,就应当选择法大大这种获得公安部等级保护测评三级(银行级别安保等级)、通过ISO27001安全认证的企业,这样一来,合同管理、存储更安心,也更安全。
值得一提的是,《网络安全法》的第二十一条明确提出了网络运营者应当遵守的安全义务。根据条款规定,所有提供信息服务的网络运营者,包括第三方服务平台、线上信息中介平台等等都应当按照网络安全等级保护制度的要求,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
具体义务有:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。
另外,根据第二十二条规定,互联网企业的网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
作为网络产品、服务的提供者,应当为其产品、服务持续提供安全维护,在规定或者当事人约定的期限内,也不得终止提供安全维护。网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
网络产品、服务的提供者的义务得到明确规定后,相关企业应当通过规范合理的制度、先进有效的技术抵御网络风险,严守用户敏感信息安全。
例如,和法大大一样建立严密的运维机制抵御各类不可预知的网络风险,并通过区块链技术、PDF技术等严守用户敏感信息,24小时无休监控系统动态,从而更好地履行相应的安全义务。
“关键信息基础设施保护”是首次出现在我国的法律法规中的概念。关于何为“关键信息基础设施”,《网络安全法》第31条也做出了明确的解释:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键设施。
对于这样一批“关键信息基础设施”,国家将在网络安全等级保护制度的基础上,实行重点保护。而关键设施的具体范围和安全保护办法由国务院制定。关键信息基础设施的运营者有着更高的安全义务,所以社会各界对自身是否属于关键信息基础设施有着一定的疑虑。
此外,《网络安全法》的一些条文也值得我们关注,例如第十二条,本条中禁止利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,这些都是老生常谈。
但是禁止从事编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益更多地是针对现在网络社会中的网络暴力问题作出了相应的规定。然而《网络安全法》并没有在此明确或增加对这些网络暴力的惩罚。
比如说利用网络侵害他人名誉、隐私的情况很常见,但是要以诽谤罪或者侮辱罪进行惩罚的话的,立案门槛比较高,有些时候难以保护受害者的权益。而《网络安全法》第二十四条和第六十一条则再次加大了网络运营者的实名制的义务,TIPS:
<span style="font-family:"font-size:16px;line-height:2;">例如,选择经过严格身份认证(eID系统、CA证书等手段)的法大大,能够有效地保障用户真实身份,规避因为网络身份冒充带来不必要的纠纷。