中华人民共和国网络安全法解读专题培训课件

《中华人民共和国网络安全法》解读专家解读中央网信办网络安全协调局副局长卿昱这是网络安全领域一部根本大法，也是我们的一部基础性法律，它具有里程碑式的意义。公安部网络安全保卫局总工郭启全该法一是强调国家对网络的主权；另一方面则将我国信息安全领域实施10多年的信息安全等级保护制度上升为法律北京邮电大学互联网治理与法律研究中心谢永江《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障。西安交通大学信息安全法律研究中心主任马民虎作为我国网络安全领域的基本法，该法的颁布与实施对于提高我国网络安全保障能力意义重大，是我国在互联网治理的重要组成部分，为在中国社会现代化治理和全球互联网治理作出重大贡献，也为中国参与全球网络空间治理、提升网络空间国际话语权的奠定基础，这一重大的历史时刻将在网络社会治理历程中具有里程碑式意义。中国传媒大学教授、政治与法律学院副院长王四新网络安全法是对国家互联网信息办公室在互联网治理层面的权力、职责予以最全面、最集中规定的最高层级的立法文件，对于解决网信部门和其他部门的执法地位、执法权限问题，将产生积极影响。目录CONTENTS01立法背景及进程02全方位解读03我们需要做点啥立法背景及进程01网络安全立法刻不容缓国际立法情况美国日本德国及欧盟美国拥有世界上数量最多、内容最全面的网络安全立法。早在布什政府阶段，美国就将网络安全纳入其国土安全计划，并制定了《确保网络安全国家战略》。随后颁布了《爱国者法》、《国土安全法》、《保护美国法》、《网络情报共享与保护法令》、《联邦信息安全修正法令》，《2012年网络安全加强法》、《促进美国网络信息技术研究与开发法案》，2013年2月12日，美国总统奥巴马签署了网络安全行政令日本国会众议院2014年11月6日表决通过《网络安全基本法》，旨在加强日本政府与民间在网络安全领域的协调和运用，更好应对网络攻击2015年7月，德国议会通过《德国网络安全法》，标志着德国网络安全立法由分散走向统一。该法扩大了网络监控权，确立了网络安全报告制度，增设了电信运营商的义务。此外，还增加了对联邦信息安全办公室和德国联邦刑事警察局的资金和人员投入，旨在进一步充实德国网络安全保卫部门的力量。历时三年，2016年7月6日通过《网络与信息系统安全指令》（NIS指令）历程萌芽2014年2月，中央网络安全与信息化领导小组成立，中共中央总书记习近平任组长。两会上，“维护网络安全”首次写入政府工作报告。发展6月，十二届全国人大常委会审议了《网络安全法（草案）》。7月，向社会公开征求意见，并根据全国人大常委会组成人员和各方面的反馈意见，对草案作了修改，形成了《网络安全法（草案第二次审议稿）》确定6月，十二届全国人大常委会对《网络安全法（草案）》进行二次审议；7月，《网络安全法（草案）》二次审议稿正式在中国人大网公布，并向社会公开征求意见；11月，十二届全国人大常委会第二十四次会议于11月7号上午，以154票赞成、1票弃权表决通过《中华人民共和国网络安全法》实施《网络安全法》于6月1号正式生效。2014201520162017《中华人民共和国网络安全法》简介《网络安全法》是我国第一部网络安全领域的法律，是保障网络安全的基本法。网络安全法不是网络安全立法的终点，相反，是网络安全立法的起点。与《网络安全法》相关的法律有《国家安全法》，《保密法》，《反恐怖主义法》，《反间谍法》，《刑法修正案》（九），《治安管理处罚法》，《电子签名法》等。这些法律与网络安全法不是上位法和下位法的关系，同属同一法律位阶。网络安全法是我国网络安全管理的基础法律，与其它相关法律在相关条款和规定上互相衔接，互为呼应，共同构成了我国网络安全管理的综合法律体系。一共7章79条全方位解读02南京邮电大学信息产业发展战略研究院院长王春晖：六大亮点进一步完善了个人信息保护规则网络安全法聚焦个人信息安全保护4明确了网络运营者的安全义务网络安全法明确规定网络运营者应接受社会监督、受理公众举报。”3明确了网络空间主权的原则《网络安全法》第1条明确规定要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。1明确了网络产品和服务提供者的安全义务《网络安全法》明确网络产品和服务提供者需要尽到相应的责任和义务2建立了关键信息基础设施安全保护制度5监测预警与应急处置措施制度化、法制化6第一条为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。解读：《网络安全法》第1条“立法目的”开宗明义，明确规定要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。本条点明了网络安全法制定的目的。2015年7月通过的新国家安全法第一次明确了网络空间主权的概念，在本法中再次表述对网络空间主权的关切，同时，与国家安全法以国家利益为唯一核心不同，网络安全法涉及的范围更为广泛，兼顾了国家安全、社会利益、企业利益和个人权利。同时，说明将来会有配套的法律和制度。网络空间主权原则第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。解读：《网络安全法》将现行有效的网络安全监管体制法制化，明确了网信部门与其他相关网络监管部门的职责分工。国家网信部门负责统筹协调网络安全工作和相关监督管理工作，国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作，明确了“1+X”的监管体制。目前中央网信办网络安全协调局负责统筹协调，工信部网络安全管理局负责网络安全相关管理工作，公安部十一局（网络安全保障局）负责安全保障工作。网络空间主权原则解读：本条主要对网络产品及服务自身的安全性提出相关的要求，当然也包括网络产品及服务提供者的“告知”义务。需要注意的本条提到的“双告知”义务（用户和主管部门），将产品问题告知给用户。除此之外，不同于在第76条中有明确定义的个人信息，本条中有一个没有明确的词是“用户信息”，个人认为，用户信息应该包括用户名、密码、IP、Mac、上网时间、Cookies等信息。收集信息要告知并取得同意，同时还得保护。个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。第二十二条网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。网络产品和服务提供者的安全义务第二十三条网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。解读：本条涉及网络设备的检测和认证，由于是基本法，到底哪些是关键设备，目前暂没有明确规定或标准，当然网络安全专用产品相对就明确多了。目前网络安全设备认证主要是公安部的计算机信息系统安全专用产品销售许可证，另外信息安全产品强制认证也属于如此。这是与网络产品及服务提供者相关的第二条义务。本条也说明了将来会出台“网络关键设备和网络安全专用产品目录”。前段时间提到的网络安全产品建建立审查制度，其实就是指这个。网络产品和服务提供者的安全义务第二十七条任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。解读：本条主要明确禁止入侵、干扰网络，窃取网络数据的活动，把相关的一些规则显性化，多少有点针对国外产品的味道。这是与网络产品及服务提供者相关第三条义务。网络产品和服务提供者的安全义务第九条网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。解读：明确网络运营者要守法，以前没“法”，现在有就得遵守。这是有关网络运营者的第一义务网络运营者的安全义务第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。解读：本条规定的是网络运营者的义务。本条款提到的网络安全等级保护制度与公安部运营多年的信息系统安全等级保护制度有非常大的关联，将多年的信息安全等级保护制度或标准上升到法律层面，也说明国家会修订或出台相关“网络安全等级保护”的相关配套制度。从条文来看，包括管理层面的制度规程和责任人，技术层面的防攻击、防篡改、防病毒、防瘫痪、防窃密、以及数据安全等。同时明确要采取监测记录网络及安全事件的技术措施，并且要留存日志至少6个月。网络运营者的安全义务第二十四条网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。解读：本条的核心是实名制。这是网络运营者要承担的义务。实名制是一把双刃剑，一方面，通过实名制可以最大程度的信息真实化、可靠化；但另一方面，对于信息收集单位来说，一旦信息发生泄漏，将产生不可想象的数据安全灾难事件，如何确保信息安全仍是一个难题。学校后期如果开设论坛等服务，也会涉及到实名制。该条表面上述服务开通必须进行实名制，但不限于上述服务。本条也说明了将来会出台“国家网络可信身份战略”（新）网络运营者的安全义务第二十五条网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。解读：本条的核心是应急响应，阐释了以下几点：1）首先要制定相关的应急预案；2）及时处置安全风险，防范安全事件发生；3）一旦有安全事件发生，应急预案能及时有效启动；4）报告。有关主管部门目前还不明确，公安肯定在其中。这是网络运营者要承担的义务。网络运营者的安全义务第二十八条网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。解读：本条主要是协助执法机关执法的内容，这是网络运营者要承担的义务。中国信息安全研究院副院长左晓栋：“明确了网络运营者的执法协助