《网络安全法》实施在即 细数互联网企业应当遵守的规定

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介:

2016年11月7日,十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》(以下简称“《网络安全法》”)。该法自2017年6月1日起施行,作为我国网络空间的第一部基础性法律,《网络安全法》对互联网企业的安全保障义务提出了更高要求,对互联网企业行为进行明确规范。

关键信息基础设施建设要求提高

《网络安全法》第三十一条指出关键信息基础设施的具体范围和安全保护办法由国务院制定。首次引入了“关键信息基础设施”的概念,并规定在网络安全等级保护制度的基础上实行重点保护。关键信息基础设施作为关乎国家安全、社会公共利益和公民福祉的战略性资源,其重要性显而易见。重要的互联网企业(如拥有数亿用户的百度、阿里、腾讯)现在已可被视为基础信息平台,被列入关键信息基础设施范围的可能性极大,一旦这些互联网企业及其系统出现中断、瘫痪或其他问题,都将会造成重大损失。

那么,如果被列入关键信息基础设施的目录,互联网企业则应遵守以下规定。

年度风险检测评估。根据《网络安全法》第三十八条,被列入关键信息基础设施范围的互联网企业,应自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

限制数据的境外传输。根据《网络安全法》第三十七条,被列入关键信息基础设施范围的互联网企业,在运营过程中收集的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当进行跨境安全评估。法律、行政法规另有规定的,依照其规定。作为我国首部限制数据向境外传输的法律,网络安全法限制传输的信息范围无疑是较大的,且对“重要数据”的界定也是有待细化的。除此之外,限制数据境外传输的执行也是互联网企业必须正视的一个问题。

国家安全审查。根据《网络安全法》第三十五条,被列入关键信息基础设施范围的互联网企业,采购网络产品和服务,可能影响国家安全的,应当接受国家安全审查。以法的形式确立关键信息基础设施的国家安全审查制度体现了关键信息基础设施对国家安全的重大战略意义。此外,法律责任部分对应罚则的规定也彰显了国家安全审查制度的重要性。

签订保密协议。根据《网络安全法》第三十六条,被列入关键信息基础设施范围的互联网企业采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。

对重要系统和数据库进行容灾备份。根据《网络安全法》第三十四条第三款之规定,被列入关键信息基础设施范围的互联网企业应履行的安全保护义务包括对重要系统和数据库进行容灾备份,以防止遇到网络安全事件时出现信息丢失的情况,保证互联网企业信息系统的正常运行。

明确了互联网企业实施实名制的义务

《网络安全法》在《反恐怖主义法》第二十一条的电信用户实名制的规定基础上,有了进一步突破。《网络安全法》第二十四条规定了互联网企业为用户提供信息发布、即时通信等服务,在与用户签订协议或者确认提供服务(如微信,微博)时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,互联网企业不得为其提供相关服务。

实名制实施面临的问题主要是信息泄露和用户的不配合问题。就信息泄露而言,实名制的规定是为了维护整个社会的公共利益,在此制度之下会有一系列相关的信息保护制度,且实名制采取的是“后台实名、前台自愿”的原则,与信息保护问题并不冲突。就用户的配合问题而言,实名制对于互联网企业的未来潜在用户来说问题不大,但大规模存量用户的实名制将是互联网企业需要解决的一大问题。

加大互联网企业对有害信息处置力度

《网络安全法》第四十七条规定了互联网企业对有害信息(法律、行政法规禁止发布或传输的信息)的发现义务,该义务相对于《电信条例》第六十一条和《互联网信息服务管理办法》第十六条的“明显”发现而言,提高了互联网企业对有害信息的审查义务。

互联网企业必须加大对人员、技术、资金及设备等基础保障的投入,以提升其对有害信息的发现能力,加大对其用户所发布的信息的管理力度。在处置方面,除了要求及时采取停止传输、消除等传统处置措施外,《网络安全法》第六十八条对互联网企业的不作为规定了罚则,加大了对互联网企业的处罚力度。从法律层面规定了对互联网上有害信息或非法信息的处置,给国家互联网信息系统的健康运行提供了法律依据。

加强了互联网企业对信息安全的保护

《网络安全法》第四十条到第四十三条规定了互联网企业对用户的信息安全义务。其中,第四十条规定互联网企业对其收集的用户信息的严格保密制度;第四十一条规定了互联网企业对用户信息的公开收集和使用的规则,按约定收集和使用信息;第四十二条规定互联网企业应采取适当措施,以确保其收集的用户信息的安全并防止用户信息的泄露、毁损和灭失;在发生或可能发生的情况下,及时采取补救措施。

值得注意的是,此次还规定了“被遗忘权”。《网络安全法》第四十三条指出了互联网企业对于其收集的错误的公民个人信息,有义务采取措施予以删除和更正。互联网的发展,使得各种网站上的信息也是鱼龙混杂,互联网企业如何解决错误信息的及时更正和完全删除问题,将是未来一段时间社会关注的重点。以往互联网企业所积压的未更正信息和未删除干净的信息及帖子也将再次面临挑战,这对互联网企业的设备、技术、人力等基础保障都提出了新的要求和挑战。

提高了对互联网企业日志留存的要求

根据《网络安全法》第二十一条第三款,互联网企业应采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月,以保护网络数据安全。

相对于其他法律文件规定的日志留存时间,该法对互联网企业提出了更高的要求。一方面,该规定为执法机关的取证提供了便利;另一方面,留存时间的延长,也对互联网企业提出了新的挑战,设备扩容、技术保障等都是亟需解决的问题;另外,应制定相应的日志存储和管理制度,对于留存日志的保密、未到期日志的存储、到期日志的处理及留存日志的行政检查等问题都应详细规定,保护网络数据安全。

规定了互联网企业的执法协助义务

《网络安全法》第二十八条规定互联网企业应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。互联网企业的执法协助是目前国际上的通用做法,是国际惯例。以往我国多是依靠“红头文件”,该规定改变了这一局面。明确规定互联网企业的这一义务,提高了执法效率。此外,第四十九条规定互联网企业对网信部门和有关部门依法实施的监督检查,应当予以配合。但是配合的程度和执法机关应遵循的正当执法程序并没有予以规定,所以在协助执法过程中互联网企业也应重视这一问题。

除了以上所述,《网络安全法》还规定了互联网企业的其他安全保障义务。如:制定内部安全管理制度和操作规程,确定网络负责人;网络安全事件的应急、补救及报告义务;实行数据分类、重要数据备份、加密等。

总体而言,《网络安全法》对互联网企业提出了更高的要求。网络安全法的落地,还需要其他一些列法规的配合,在这个过程中,互联网企业应严格遵守《网络安全法》,依法履行各项安全保障义务,加强自身的各项能力建设,避免在法律适用等环节中出现问题。

本文转自d1net(转载)

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
打赏
0
0
0
0
176
分享
相关文章
在数字化时代,网络项目的重要性日益凸显。本文从前期准备、方案内容和注意事项三个方面,详细解析了如何撰写一个优质高效的网络项目实施方案,帮助企业和用户实现更好的体验和竞争力
在数字化时代,网络项目的重要性日益凸显。本文从前期准备、方案内容和注意事项三个方面,详细解析了如何撰写一个优质高效的网络项目实施方案,帮助企业和用户实现更好的体验和竞争力。通过具体案例,展示了方案的制定和实施过程,强调了目标明确、技术先进、计划周密、风险可控和预算合理的重要性。
74 5
【算法合规新时代】企业如何把握“清朗·网络平台算法典型问题治理”专项行动?
在数字化时代,算法推动社会发展,但也带来了信息茧房、大数据杀熟等问题。中央网信办发布《关于开展“清朗·网络平台算法典型问题治理”专项行动的通知》,针对六大算法问题进行整治,明确企业需落实算法安全主体责任,建立健全审核与管理制度,并对算法进行全面审查和备案。企业应积极自查自纠,确保算法合规透明,防范风险,迎接新机遇。
企业内训|LLM大模型在服务器和IT网络运维中的应用-某日企IT运维部门
本课程是为某在华日资企业集团的IT运维部门专门定制开发的企业培训课程,本课程旨在深入探讨大型语言模型(LLM)在服务器及IT网络运维中的应用,结合当前技术趋势与行业需求,帮助学员掌握LLM如何为运维工作赋能。通过系统的理论讲解与实践操作,学员将了解LLM的基本知识、模型架构及其在实际运维场景中的应用,如日志分析、故障诊断、网络安全与性能优化等。
127 2
面对全球化的泼天流量,出海企业如何观测多地域网络质量?
网络监控与分析在保证网络可靠性、优化用户体验和提升运营效率方面发挥着不可或缺的作用,对于出海企业应对复杂的网络环境和满足用户需求具有重要意义,为出海企业顺利承接泼天流量保驾护航。
网络安全等级保护2.0 定级、评测、实施与运维-复习题目资料
本文详细总结了网络信息安全等级保护的练习题,包括单选题、多选题、判断题和简答题。供朋友们参考复习,学习相关领域知识参考。
什么是零信任模型?如何实施以保证网络安全?
随着数字化转型,网络边界不断变化,组织需采用新的安全方法。零信任基于“永不信任,永远验证”原则,强调无论内外部,任何用户、设备或网络都不可信任。该模型包括微分段、多因素身份验证、单点登录、最小特权原则、持续监控和审核用户活动、监控设备等核心准则,以实现强大的网络安全态势。
179 2
制造企业ERP系统迁移至阿里云ECS的实例,详细介绍了从需求分析、数据迁移、应用部署、网络配置到性能优化的全过程
本文通过一个制造企业ERP系统迁移至阿里云ECS的实例,详细介绍了从需求分析、数据迁移、应用部署、网络配置到性能优化的全过程,展示了企业级应用上云的实践方法与显著优势,包括弹性计算资源、高可靠性、数据安全及降低维护成本等,为企业数字化转型提供参考。
87 5
SD-WAN分布式组网:构建高效、灵活的企业网络架构
本文介绍了SD-WAN(软件定义广域网)在企业分布式组网中的应用,强调其智能化流量管理、简化的网络部署、弹性扩展能力和增强的安全性等核心优势,以及在跨国企业、多云环境、零售连锁和制造业中的典型应用场景。通过合理设计网络架构、选择合适的网络连接类型、优化应用流量优先级和定期评估网络性能等最佳实践,SD-WAN助力企业实现高效、稳定的业务连接,加速数字化转型。
SD-WAN分布式组网:构建高效、灵活的企业网络架构
企业上网监控:Kibana 在网络监控数据可视化
在网络监控中,Kibana 作为一款强大的数据可视化工具,与 Elasticsearch 配合使用,可处理大量日志数据,提供丰富的可视化组件,帮助企业高效管理网络活动,保障信息安全。通过索引模式和数据映射,Kibana 能够组织和分类原始数据,支持深入分析和异常检测,助力企业识别潜在安全威胁。
93 5

热门文章

最新文章

AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等