【精选】《中华人民共和国网络安全法》解读(中)课件.ppt

《中华人民共和国网络安全法》解读（中）谢永江北京邮电大学互联网治理与法律研究中心副主任一、网络的概念和属性二、网络安全立法三、网络运行安全四、网络信息安全目录二、网络安全立法（四）网络治理1、互联网治理的概念互联网治理是政府、私营部门和公民社会根据各自的作用制定和实施的，旨在规范互联网发展和使用的共同原则、准则、规则、决策程序和方案。治理与管理、管制不同治理主体多元：政府、企业、民间组织、技术社群、学术界、国际组织和其他利益相关方。治理手段多样：技术、法律、市场、管理、自律。治理目标多元：推进网络空间和平、安全、开放、合作、有序，维护国家主权、安全、发展利益，实现建设网络强国的战略目标。2、网络治理模式（1）自治或自由主义•网络空间是技术社群创造的一个空间，政府没有做出任何贡献，政府无权管理网络空间。•20世纪90年代的《网络独立宣言》，讲到“政府的归政府，网络的归网络”。（2）软件代码治理•网络空间实际上是由网络代码组成的，通过代码来设计网络结构。大家遵循网络结构的设计，在网络实施各式各样的行为。•可以依据法律、市场，还有各种准则、道德来治理网络；更重要的是，可以利用网络结构、网络代码来治理网络。（3）如同现实世界一样治理•现在对网络空间的治理逐渐转向用现实世界的治理模式来提高治理效率。•网络空间跟现实空间是一个融合空间，现实的治理手段很多情况下是可以应用到网络空间的。（4）多利益相关方治理•ICANN多利益主体参与模式（Multi-stakeholder）•ICANN是管理互联网域名和网址的机构。•在ICANN中，政府的权力、政府的影响是很弱的。网络治理市场Market法律Law准则Norms结构Architecture3、我国网络治理的历程自由发展阶段（1994—1999）网络治理探索阶段（2000—2013）网络治理走向法治阶段（2014—）4、中国的网络治理主张构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的全球互联网治理体系。四项原则：尊重网络主权维护和平安全促进开放合作构建良好秩序第一，加快全球网络基础设施建设，促进互联互通。第二，打造网上文化交流共享平台，促进交流互鉴。第三，推动网络经济创新发展，促进共同繁荣。第四，保障网络安全，促进有序发展。第五，构建互联网治理体系，促进公平正义。五点主张（五）我国网络安全立法1、现行网络安全法律体系以传统法律为基础，以网络专门法律为补充。因网络空间和现实空间是融合空间，传统法律亦适用于网络空间，但是网络有一些不同的特点，需要对传统法律做一些修改完善，如《刑法》、《知识产权法》等。传统法律不能包括的部分，需要制定专门的网络法律，如《网络安全法》、《网络信息服务管理法》等。传统法中的网络法侵权法刑法知识产权法诉讼法消费者权益保护法广告法竞争法……专门网络法网络安全法网络信息服务管理法个人信息保护法电子商务法电子政务法信息通信法网络社会管理法网络法律法规统计（2017年5月）2、网络安全立法存在的问题立法层次低，欠缺上位法和体系化设计。政出多门，立法分散，立法与执法明显脱节。立法滞后，不能适应网络社会快速发展的需要。立法简单，缺乏操作性。立法重管理轻治理，重义务轻权利。网络立法人才极度欠缺，学科支撑基础薄弱。（六）网络安全法的基本原则1、网络主权原则所谓网络主权，简单来讲，就是一国国家主权在网络空间中的自然延伸和表现。管辖权独立权防卫权平等权网络主权管辖权：各个国家依据自己的法律来管辖网络事务的权利。独立权：确保网络存在于国际互联网上，而不被别的国家随便抹掉的权利。防卫权：保证自己的网络能够正常运行，不因网络犯罪、网络黑客、网络攻击而受到破坏中断。平等权：主张在国际网络治理方面，基于国家平等参与的原则。2、网络安全与发展并重的原则没有网络安全就没有国家安全；没有信息化就没有现代化。发展和安全相辅相成，应同步推进。安全是发展的前提，发展是安全的保障。《网络安全法》第3条：国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。3、共同治理原则网络的共同治理，是指政府、企业、民间组织、技术社群、学术界、国际组织和其他利益相关方，根据各自的作用共同参与互联网的治理。治理主体包括：国家网信部门、国务院电信主管部门、公安部门、网络运营者、企业、研究机构、高等学校……4、责权利相一致原则在享受互联网带来的红利、带来的便捷的同时，我们也应当履行相应的义务。《网络安全法》：任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。三、网络运行安全（一）网络运行安全的定义•网络运行安全是指在网络运行的过程中，网络的操作系统、应用软件等维持网络运行的程序能充分发挥其功能，消除负面因素，免受外部的干扰和破坏，保证网络稳定有序地运行，使网络处于安全的状态。定义（二）威胁网络运行安全的因素1、网络攻击网络攻击事件呈现下降的趋势，但是大流量的攻击事件开始增加。2、恶意程序像木马、僵尸病毒等恶意程序在逐年下降，而移动互联网的恶意程序在大量增加。3、网络漏洞网络漏洞-企业-危害网络漏洞-国家-资源4、网站安全仿冒网站、网站植入后门、网站被篡改事件大量发生。5、管理、安全意识的欠缺未及时更新软件：“想哭”勒索病毒。弱口令：2014年12月25日，12306火车票网站遭受撞库攻击，导致包括用户账号、明文密码、身份证号码、手机号码和电子邮箱等在内的13万多条用户数据在互联网上流传。针对所泄露的数据分析发现，“123456”、“a123456”、“123456a”等弱口令居高。（三）网络安全等级保护制度级别对公民、法人和其他组织的合法权益的影响对社会秩序和公共利益的影响对国家安全的影响第一级损害不损害不损害第二级严重损害损害不损害第三级严重损害损害第四级特别严重损害严重损害第五级特别严重损害（四）网络运营者的义务和责任1、安全保护义务网络运营者要在安全等级保护制度下，履行安全保护义务：（1）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（3）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（4）采取数据分类、重要数据备份和加密等措施；（5）法律、行政法规规定的其他义务。2、符合强制性要求义务网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。3、持续提供安全维护义务网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。4、取得用户同意义务网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。5、实行网络实名制义务网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。2003年网吧实名制2004年校园网实名制2005年2月网站主办者实名制2005年7月QQ群创建者和管理员实名制2005年8月网络游戏实名制2006年博客实名制2008年版主实名制2010年网络互动实名制2011年北京微博实名制2012《关于加强网络信息保护的决定》2013年手机实名制2015年互联网信息服务使用者实名制2015《国家安全法》2016《网络安全法》网络实名制在我国的推行6、制定应急预案义务网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。