网络安全法
一、网络安全法概述
加强网络安全是夯实信息时代国家安全基石、维护国家总体安全的战略需要,是确保网络意识形态领域安全的迫切需要,是防范网络自身安全风险的现实需要。没有网络安全,就没有国家安全;没有信息化,就没有现代化。
网络安全法由第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,自2017年6月1日起施行。网络安全法共7章79条,内容上有6个方面突出亮点:一是明确了网络空间主权的原则;二是明确了网络产品和服务提供者的安全义务;三是明确了网络运营者的安全义务;四是进一步完善了个人信息保护规则;五是建立了关键信息基础设施安全保护制度;六是确立了关键信息基础设施重要信息跨境传输的规则。
网络安全法是我国第一部关于网络安全的基本大法,是依法治网、管网的根本依据,是推进网络强国战略的重要保障,具有里程碑意义。广大干部要站在建设网络强国的战略高度,进一步掌握和理解网络安全法的相关知识,认识个人在互联网访问时所承担的安全义务和责任,学习保护网络信息安全的方法,切实做到“学网、懂网、用网”,守住网络安全底线,提高网络安全意识,增强网络安全科学防范,杜绝泄密事件发生。
二、网络安全法的基本原则
(一)网络空间主权原则
网络安全法第1条“立法目的”开宗明义,明确规定要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。习近平总书记指出,《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,覆盖国与国交往各个领域,其原则和精神也应该适用于网络空间。各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利应当得到尊重。第2条明确规定,在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。这是我国网络空间主权对内最高管辖权的具体体现。
(二)网络安全与信息化发展并重原则
安全是发展的前提,发展是安全的保障,安全和发展要同步推进。网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。网络安全法第3条明确规定,国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
(三)共同治理原则
网络空间安全仅仅依靠政府是无法实现的,需要政府、企业、社会组织、技术社群和公民等网络利益相关者的共同参与。网络安全法坚持共同治理原则,要求采取措施鼓励全社会共同参与,政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作。
三、网络安全战略的主要内容
网络安全法第4条规定,国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。第7条中明确规定,我国致力于“推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系”。这是我国第一次通过国家法律的形式向世界宣示网络空间治理目标,明确表达了我国的网络空间治理诉求。上述规定提高了我国网络治理公共政策的透明度,与我国的网络大国地位相称,有利于提升我国对网络空间的国际话语权和规则制定权,促成网络空间国际规则的出台。
四、网络安全工作中政府各部门的职责权限
网络安全法将现行有效的网络安全监管体制法制化,明确了网信部门与其他相关网络监管部门的职责分工。网络安全法第8条第1款规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。这种“1+X”的监管体制,符合当前互联网与现实社会全面融合的特点和我国监管需要。
五、网络安全法重点保护关键信息基础设施
网络安全法第三章用了近1/3的篇幅规范网络运行安全,特别强调要保障关键信息基础设施的运行安全。关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的系统和设施。网络运行安全是网络安全的重心,关键信息基础设施安全则是重中之重,与国家安全和社会公共利益息息相关。为此,网络安全法强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。
六、网络安全法将监测预警与应急处置措施制度化、法制化
网络安全法第五章将监测预警与应急处置工作制度化、法制化,明确国家建立网络安全监测预警和信息通报制度,建立网络安全风险评估和应急工作机制,制定网络安全事件应急预案并定期演练。这为建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制提供了法律依据,为深化网络安全防护体系、实现全天候全方位感知网络安全态势提供了法律保障。
网络安全法等各项法律法规行业规范均要求网络平台要建立起严格有效的不良信息甄别防范机制,平台确保资金与人力投入,保障相关机制在技术上适度先进、高效准确,以此保证平台传播内容的合法合规性,这既是平台的法律责任,同时也是其社会责任。对只算经济账、流量账而见利忘义的平台,应依法承担罚款、暂停相关业务、停业整顿、关闭网站、吊销执照等行政责任。
以案释法
不履行等级保护要担责
【案情回放】
案例一:2019年2月,南京某研究院、无锡某图书馆因安全责任意识淡薄、网络安全等级保护制度落实不到位、管理制度和技术防护措施严重缺失,导致网站遭受攻击破坏。南京、无锡警方依据网络安全法第21条、第59条规定,对上述单位分别予以5万元罚款,对相关责任人予以5000元、2万元不等罚款,同时责令限期整改安全隐患,落实网络安全等级保护制度。
案例二:2019年3月,泰州某事业单位集中监控系统遭黑客攻击破坏。经查,该单位网络安全意识淡薄,曾因存在安全隐患、不落实网络安全等级保护制度被责令整改。整改期满后,未采取有效管理措施、技术防护措施。泰州警方依据网络安全法第21条、第59条规定,对该单位予以6万元罚款,对相关责任人予以2万元罚款,同时责令该单位停机整顿,开展定级备案、测评整改等网络安全等级保护工作。
【案例评析】
网络安全法第21条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。第59条规定,网络运营者不履行本法第21条、第25条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处1万元以上10万元以下罚款,对直接负责的主管人员处5000元以上5万元以下罚款。
有法必依,执法必严。案例中的几个单位确实因为违反网络安全法的相关规定而受到处罚,这也给各地政府机构、能源、医疗、教育等行业在网络安全方面敲响了警钟——没有网络安全就没有国家安全,维护网络安全,就是维护我们的切身利益!
【法条链接】
《中华人民共和国网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。