20 KiB
网络安全法律体系建设
一、计算机犯罪
了解计算机犯罪的概念、特征及计算机犯罪的发展趋势。二、我国立法体系
了解我国多级立法机制及相关职能;
了解立法分类(法律、行政法规及地方性法规)等概念。三、《网络安全法》
理解网络安全法出台背景;
理解网络安全法中定义的网络、网络安全等基本概念及网络空间主权原则;
了解网络运行安全制度、关键基础设施保护制度、等级保护制度、网络安全审查制度的相关要求。四、网络安全相关法规
了解行政违法相关概念及相关行政处罚;
了解刑事责任、常见网络安全犯罪及量刑等概念;
了解民事违法相关概念及违法您是处罚;
了解国家安全法、保密法、电子签名法、反恐怖主义法、密码法中网络安全相关条款。
一、计算机犯罪
1、计算机犯罪的概念
2、计算机犯罪的特点
- 多样化
- 复杂化
- 国际化
3、计算机犯罪的趋势
- 从无意识到有组织
- 从个体侵害到国家威胁
- 跨越计算机本身的实施能力
- 低龄化成为法律制约难题
二、我国立法体系
1、立法是网络空间治理的基础工作
2、我国采取多级立法机制
3、对传统的网络安全制度进行立法修正
- 机构职责和管理制度
- 监测预警及应急处置机制
4、对近几年涌现的新问题进行应对
- 关键基础设施保护
- 数据安全防护(跨境数据流动、数据泄露处置等)
- 云计算等新技术、新业务引发的安全问题等
网络安全立法演变为全球范围内的利益协调与国家主权斗争
三、《网络安全法》
1、出台背景
《网络安全法》从草案发布到正式出台,共经历了三次审议,两次公开征求意见和修改。
2、基本概念
-
网络、网络安全
网络:是指由计算机或者其他信息终端及相关设备组成的,按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
-
网络空间安全
网络空间已成为领土、领海、领空、太空之外的“第五空间”或人类“第二类生存空间”成为国家主权延伸的新疆域。
-
关键信息基础设施
-
网络运营者
网络运营者是指网络的所有者、管理者和网络服务提供者。
-
个人信息
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结果识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
-
网络数据
网络数据是指通过网络收集、存储、传输、处理和产生的各种数据。
-
......
3、主要结构
七章 79条
-
第一章 总则
-
明确网络空间主权原则
作为我国网络安全治理的基本法,《网络安全法》在总则部分确立了网络主权原则,明确了网络安全管理体制和分工,及域外的适用效力。
-
-
第二章 网络安全支持与促进
- 建立和完善网络安全标准体系建设(等保2.0)
- 统筹规划,扶持网络安全产业(产品、服务等)
- 推动社会化网络安全服务体系建设
- 鼓励开发数据安全保护和利用技术、创新网络安全管理方式
- 开展经常性网络安全宣传教育
- 支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流(解决人才不足问题)
-
第三章 网络运行安全
-
明确要求落实网络安全等级保护制度
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。
-
明确网络运营者的安全义务
- 内部安全管理:制定内部安全管理制度和操作规程,确定网络安全负责人;
- 安全技术措施:采取防范网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,留存相关的网络日志不少于六个月;
- 数据安全管理:采取数据分类、重要数据备份和加密等措施,防止网络数据泄露或者被窃取、篡改;
- 网络身份管理:办理网络接入、域名注册服务,或固定电话、移动电话等入网手续,或为用户提供信息发布、即时通讯等服务,应要求用户提供真实身份信息;
- 应急预案机制:制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并向有关主管部门报告;
- 安全协助义务:为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
-
明确网络产品、服务提供者的安全义务
- 强制标准义务:网络产品、服务应当符合相关国家标准的强制性要求,不得设置恶意程序;网络关键设备和网络安全专用产品应当按照国家相关标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供;(例:军购)
- 告知补救义务:网络产品、服务提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,及时告知用户,向有关主管部门报告;
- 安全维护义务:网络产品、服务提供者应为产品、服务持续提供安全维护,在规定或者当事人约定的期限内不得终止;
- 个人信息保护:网络产品、服务具有收集用户信息功能的,网络产品、服务提供者应向用户明示并取得同意;涉及用户个人信息的,还应遵守相关法律、行政法规中有关个人信息保护的规定。
-
明确一般性安全保护义务
- 安全信息发布:开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息、应当遵守国家有关规定;
- 禁止危害行为:任何个人和组织不得从事非法侵入他人网络、干扰他人从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等;
- 信息使用规则:网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。
-
关键信息基础实施保护(关基)
-
关键信息基础设施内涵
- 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务重要行业和领域的关键信息基础设施;
- 其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
-
关键信息基础设施外延
- 关键信息基础设施的具体范围由国务院制定
- 鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
-
关键信息基础设施管理机制
- 按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门具体负责实施本行业、本领域的关键信息基础设施保护工作;
- 国家网信部门统筹协调有关部门对关键信息基础设施采取安全保护措施。
-
关键信息基础设施建设要求
- 确保具有支持业务稳定、持续运行的性能
- 安全技术措施同步规划、同步建设、同步使用
-
关键信息基础设施运营者安全保护义务
-
人员安全管理:设置专门安全管理机构和安全管理负责人;对负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、培训和考核;
-
数据境内留存:在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。确需向境外提供的,需经国家安全评估;对重要系统和数据库进行容灾备份。
-
关键基础设施运营中产生的数据必须境内存储
-
2017年04月10日国家互联网信息办公室发布关于《个人信息和重要数据出境安全评估办法(征求意见稿)》公开征求意见的通知。明确了:
-
个人信息和重要数据出境的范围
-
有50万人以上的个人信息
-
数据量超过1000GB
-
7大重要领域数据等
7大重要领域:核设施、化学生物、国防军工、人口健康等领域的数据,大型工程活动、海洋环境以及敏感地理信息数据等
-
-
数据出境评估原则
-
评估7个方面主要内容
- 数据出境的必要性;
- 涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;
- 涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;
- 数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;
- 数据出境及再转移后被泄露、损毁、篡改、滥用等风险;
- 数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;
- 其他需要评估的重要事项。
-
-
-
应急预案机制:制定网络安全事件应急预案,并定期进行演练;
-
安全采购措施:采购网络产品和服务可能影响国家安全的,应当通过国家安全审查。应与网络产品和服务提供者签订安全保密协议。
-
风险评估机制:自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关部门。
-
-
-
明确我国实行网络安全审查制度
第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
- 2017年05月02日中央网信办正式发布《网络产品和服务安全审查办法(试行)》。其中就审查的目的、需要审查的网络产品和服务的范围、网络安全审查的管理部门(网络安全审查委员会)、审查的机构(国家统一认定网络安全审查第三方机构)和对党政机关和重点行业的审查工作提出要求。并于2017年6月1日同《网络安全法》一同实施。
-
-
第四章 网络信息安全
-
重视对个人信息保护
-
规范信息管理
-
确定信息管理中相关职责
-
2017年05月02日国家互联网信息办公室正式发布《互联网新闻信息服务管理规定》(国信办1号令),于6月1日同《网络安全法》一起实施。
其规范了:
- 互联网新闻信息服务的范围
- 互联网新闻信息服务的6项许可条件
- 互联网新闻信息服务提供者的责任义务
- 网信部门对互联网新闻信息服务的监督检查要求
- 相关法律责任
-
-
第五章 监测预警与应急处置
-
工作制度化、法治化
-
-
第六章 法律责任
-
对违反《网络安全法》的行为,第六章规定了民事责任、行政责任、刑事责任
-
四、网络安全相关法规
1、《宪法》
- 第二章 公民的基本权利和义务 - 第40条
- 公民的通信自由和通信秘密受法律的保护
- 除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。
2、《刑法》相关法规
- 出售或者提供公民个人信息罪、非法侵入计算机信息系统罪、网络服务渎职罪等
- 第285条:非法侵入计算机信息系统罪
- 非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法侵入、非法控制计算机信息系统程序、工具罪。
- 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
- 违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机系统中存储、处理或者传输的数据,或者对该计算机系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
- 提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款规定处罚。
- 第286条:破坏计算机信息系统罪
- 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
- 违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
- 第287条:利用计算机实施犯罪的提示性规定
- 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。
3、《民法》相关法规
4、行政法相关法规
- 行政法规
- 《电信条例》
- 《计算机信息网络国际互联网管理暂行规定》
- 《计算机信息网络国际联网安全保护管理办法》
- 《互联网信息服务管理办法》
- 部门规章
- 《中国互联网域名管理办法》(原信产部)
- 《互联网IP地址备案管理办法》(原信产部)
- 《计算机病毒防治管理办法》(公安部)
- 《信息安全等级保护管理办法》(公安部)
5、其他网络安全相关法规及条款
-
《国家安全法》
-
第二十五条规定
加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散步违法有害信息等网络违法行为,维护国家网络空间主权、安全和发展利益。
-
-
《保守国家秘密法》
- 国家秘密受法律保护。一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。
-
《治安管理处罚法》
- 第三章违反治安管理的行为和处罚
- 第一节扰乱公共秩序的行为和处罚第29条
- 第三章违反治安管理的行为和处罚
-
《电子签名法》
-
《反恐怖主义法》
-
《密码法》