《网络安全法》实施在即 细数互联网企业应当遵守的规定

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介:

2016年11月7日,十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》(以下简称“《网络安全法》”)。该法自2017年6月1日起施行,作为我国网络空间的第一部基础性法律,《网络安全法》对互联网企业的安全保障义务提出了更高要求,对互联网企业行为进行明确规范。

关键信息基础设施建设要求提高

《网络安全法》第三十一条指出关键信息基础设施的具体范围和安全保护办法由国务院制定。首次引入了“关键信息基础设施”的概念,并规定在网络安全等级保护制度的基础上实行重点保护。关键信息基础设施作为关乎国家安全、社会公共利益和公民福祉的战略性资源,其重要性显而易见。重要的互联网企业(如拥有数亿用户的百度、阿里、腾讯)现在已可被视为基础信息平台,被列入关键信息基础设施范围的可能性极大,一旦这些互联网企业及其系统出现中断、瘫痪或其他问题,都将会造成重大损失。

那么,如果被列入关键信息基础设施的目录,互联网企业则应遵守以下规定。

年度风险检测评估。根据《网络安全法》第三十八条,被列入关键信息基础设施范围的互联网企业,应自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

限制数据的境外传输。根据《网络安全法》第三十七条,被列入关键信息基础设施范围的互联网企业,在运营过程中收集的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当进行跨境安全评估。法律、行政法规另有规定的,依照其规定。作为我国首部限制数据向境外传输的法律,网络安全法限制传输的信息范围无疑是较大的,且对“重要数据”的界定也是有待细化的。除此之外,限制数据境外传输的执行也是互联网企业必须正视的一个问题。

国家安全审查。根据《网络安全法》第三十五条,被列入关键信息基础设施范围的互联网企业,采购网络产品和服务,可能影响国家安全的,应当接受国家安全审查。以法的形式确立关键信息基础设施的国家安全审查制度体现了关键信息基础设施对国家安全的重大战略意义。此外,法律责任部分对应罚则的规定也彰显了国家安全审查制度的重要性。

签订保密协议。根据《网络安全法》第三十六条,被列入关键信息基础设施范围的互联网企业采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。

对重要系统和数据库进行容灾备份。根据《网络安全法》第三十四条第三款之规定,被列入关键信息基础设施范围的互联网企业应履行的安全保护义务包括对重要系统和数据库进行容灾备份,以防止遇到网络安全事件时出现信息丢失的情况,保证互联网企业信息系统的正常运行。

明确了互联网企业实施实名制的义务

《网络安全法》在《反恐怖主义法》第二十一条的电信用户实名制的规定基础上,有了进一步突破。《网络安全法》第二十四条规定了互联网企业为用户提供信息发布、即时通信等服务,在与用户签订协议或者确认提供服务(如微信,微博)时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,互联网企业不得为其提供相关服务。

实名制实施面临的问题主要是信息泄露和用户的不配合问题。就信息泄露而言,实名制的规定是为了维护整个社会的公共利益,在此制度之下会有一系列相关的信息保护制度,且实名制采取的是“后台实名、前台自愿”的原则,与信息保护问题并不冲突。就用户的配合问题而言,实名制对于互联网企业的未来潜在用户来说问题不大,但大规模存量用户的实名制将是互联网企业需要解决的一大问题。

加大互联网企业对有害信息处置力度

《网络安全法》第四十七条规定了互联网企业对有害信息(法律、行政法规禁止发布或传输的信息)的发现义务,该义务相对于《电信条例》第六十一条和《互联网信息服务管理办法》第十六条的“明显”发现而言,提高了互联网企业对有害信息的审查义务。

互联网企业必须加大对人员、技术、资金及设备等基础保障的投入,以提升其对有害信息的发现能力,加大对其用户所发布的信息的管理力度。在处置方面,除了要求及时采取停止传输、消除等传统处置措施外,《网络安全法》第六十八条对互联网企业的不作为规定了罚则,加大了对互联网企业的处罚力度。从法律层面规定了对互联网上有害信息或非法信息的处置,给国家互联网信息系统的健康运行提供了法律依据。

加强了互联网企业对信息安全的保护

《网络安全法》第四十条到第四十三条规定了互联网企业对用户的信息安全义务。其中,第四十条规定互联网企业对其收集的用户信息的严格保密制度;第四十一条规定了互联网企业对用户信息的公开收集和使用的规则,按约定收集和使用信息;第四十二条规定互联网企业应采取适当措施,以确保其收集的用户信息的安全并防止用户信息的泄露、毁损和灭失;在发生或可能发生的情况下,及时采取补救措施。

值得注意的是,此次还规定了“被遗忘权”。《网络安全法》第四十三条指出了互联网企业对于其收集的错误的公民个人信息,有义务采取措施予以删除和更正。互联网的发展,使得各种网站上的信息也是鱼龙混杂,互联网企业如何解决错误信息的及时更正和完全删除问题,将是未来一段时间社会关注的重点。以往互联网企业所积压的未更正信息和未删除干净的信息及帖子也将再次面临挑战,这对互联网企业的设备、技术、人力等基础保障都提出了新的要求和挑战。

提高了对互联网企业日志留存的要求

根据《网络安全法》第二十一条第三款,互联网企业应采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月,以保护网络数据安全。

相对于其他法律文件规定的日志留存时间,该法对互联网企业提出了更高的要求。一方面,该规定为执法机关的取证提供了便利;另一方面,留存时间的延长,也对互联网企业提出了新的挑战,设备扩容、技术保障等都是亟需解决的问题;另外,应制定相应的日志存储和管理制度,对于留存日志的保密、未到期日志的存储、到期日志的处理及留存日志的行政检查等问题都应详细规定,保护网络数据安全。

规定了互联网企业的执法协助义务

《网络安全法》第二十八条规定互联网企业应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。互联网企业的执法协助是目前国际上的通用做法,是国际惯例。以往我国多是依靠“红头文件”,该规定改变了这一局面。明确规定互联网企业的这一义务,提高了执法效率。此外,第四十九条规定互联网企业对网信部门和有关部门依法实施的监督检查,应当予以配合。但是配合的程度和执法机关应遵循的正当执法程序并没有予以规定,所以在协助执法过程中互联网企业也应重视这一问题。

除了以上所述,《网络安全法》还规定了互联网企业的其他安全保障义务。如:制定内部安全管理制度和操作规程,确定网络负责人;网络安全事件的应急、补救及报告义务;实行数据分类、重要数据备份、加密等。

总体而言,《网络安全法》对互联网企业提出了更高的要求。网络安全法的落地,还需要其他一些列法规的配合,在这个过程中,互联网企业应严格遵守《网络安全法》,依法履行各项安全保障义务,加强自身的各项能力建设,避免在法律适用等环节中出现问题。

本文转自d1net(转载)

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
5天前
|
SQL 运维 安全
网络安全等级保护2.0 定级、评测、实施与运维-复习题目资料
本文详细总结了网络信息安全等级保护的练习题,包括单选题、多选题、判断题和简答题。供朋友们参考复习,学习相关领域知识参考。
|
11天前
|
监控 安全 BI
什么是零信任模型?如何实施以保证网络安全?
随着数字化转型,网络边界不断变化,组织需采用新的安全方法。零信任基于“永不信任,永远验证”原则,强调无论内外部,任何用户、设备或网络都不可信任。该模型包括微分段、多因素身份验证、单点登录、最小特权原则、持续监控和审核用户活动、监控设备等核心准则,以实现强大的网络安全态势。
|
20天前
|
云安全 人工智能 安全
|
1月前
|
存储 安全 网络安全
互联网上如何有效应对网络勒索攻击?
有效应对网络勒索攻击需要采取多方面的措施,从预防、监测到应急响应和数据恢复等多个环节进行综合防护。
51 4
|
2月前
|
存储 监控 安全
如何实施有效的网络安全策略?
【10月更文挑战第13天】如何实施有效的网络安全策略?
149 5
|
2月前
|
网络协议 网络安全 网络架构
|
2月前
|
网络协议 安全 数据安全/隐私保护
网络协议:互联网通信的基石
【10月更文挑战第12天】
112 1
|
2月前
|
存储 安全 网络安全
云端盾牌:云计算时代的网络安全守护在数字化浪潮中,云计算以其高效、灵活的特性成为企业转型的加速器。然而,伴随其迅猛发展,网络安全问题亦如影随形,成为悬在每个组织头顶的达摩克利斯之剑。本文旨在探讨云计算服务中的网络安全挑战,分析信息安全的重要性,并提出相应对策,以期为企业构建一道坚实的云端防护网。
在当今这个数据驱动的时代,云计算已成为推动创新与效率的关键力量。它允许用户随时随地访问强大的计算资源,降低了企业的运营成本,加速了产品上市时间。但随之而来的网络威胁也日益猖獗,尤其是对于依赖云服务的企业而言,数据泄露、身份盗用等安全事件频发,不仅造成经济损失,更严重损害品牌信誉。本文深入剖析云计算环境中的安全风险,强调建立健全的信息安全管理机制的重要性,并分享一系列有效策略,旨在帮助企业和个人用户在享受云服务带来的便利的同时,也能构筑起强有力的网络防线。
|
2月前
|
存储 安全 算法
网络安全与信息安全:构建数字世界的防线在数字化浪潮席卷全球的今天,网络安全与信息安全已成为维系现代社会正常运转的关键支柱。本文旨在深入探讨网络安全漏洞的成因与影响,剖析加密技术的原理与应用,并强调提升公众安全意识的重要性。通过这些综合性的知识分享,我们期望为读者提供一个全面而深刻的网络安全视角,助力个人与企业在数字时代中稳健前行。
本文聚焦网络安全与信息安全领域,详细阐述了网络安全漏洞的潜在威胁、加密技术的强大防护作用以及安全意识培养的紧迫性。通过对真实案例的分析,文章揭示了网络攻击的多样性和复杂性,强调了构建全方位、多层次防御体系的必要性。同时,结合当前技术发展趋势,展望了未来网络安全领域的新挑战与新机遇,呼吁社会各界共同努力,共筑数字世界的安全防线。
|
2月前
|
存储 安全 自动驾驶
探索未来网络:量子互联网的原理与应用
【10月更文挑战第2天】 本文旨在探讨量子互联网的基本原理、技术实现及其在通讯领域的革命性应用前景。量子互联网利用量子力学原理,如量子叠加和量子纠缠,来传输信息,有望大幅提升通信的安全性和速度。通过详细阐述量子密钥分发(QKD)、量子纠缠交换和量子中继等关键技术,本文揭示了量子互联网对未来信息社会的潜在影响。

热门文章

最新文章