www国产亚洲精品久久网站,国产91精品捆绑调教,欧美精品1

2016年11月7日，《網(wǎng)絡安全法》（以下亦稱“新法”）通過，并將于2017年6月1日起正式施行。本次新法作為一部保障網(wǎng)絡安全的基礎(chǔ)性法律，引起社會各界的廣泛關(guān)注和討論，三次審議稿中包括關(guān)鍵信息基礎(chǔ)設施、個人信息跨境傳輸?shù)戎匾拍罱缍?、對安全保護義務的規(guī)定等內(nèi)容也經(jīng)歷了數(shù)次修改調(diào)整。

本文一方面從保護客體、適用范圍、適用主體承擔的義務等方面對新法進行解讀，試圖為互聯(lián)網(wǎng)相關(guān)企業(yè)，也是對此次新法最為關(guān)注的一類企業(yè)提出建議。另一方面，文末也提出了企業(yè)將需要怎樣的專業(yè)法律合規(guī)服務來幫助自己做預先風險自測，以應對新法實施后帶來的重大變化。

一、兩種重要信息一、兩種重要信息作為一部網(wǎng)絡安全相關(guān)的基礎(chǔ)性法律，《網(wǎng)絡安全法》從兩個維度來解決“保護什么”的問題：一是從社會公共利益的角度，保護對國家安全和社會公共利益產(chǎn)生影響的內(nèi)容，本法中較為重要，也是引起關(guān)注最多的就是關(guān)鍵信息基礎(chǔ)設施；一是從公民和社會組織的角度，保護個人信息。新法也用較長的條文篇幅圍繞著上述內(nèi)容的保護進行了規(guī)定。

（一）關(guān)鍵信息基礎(chǔ)設施（Critical Information Infrastructures，即“CII”）

“關(guān)鍵信息基礎(chǔ)設施”是此次新法出臺后最受關(guān)注的事項之一。在《網(wǎng)絡安全法（草案）》三版審議稿中，對“關(guān)鍵信息基礎(chǔ)設施”的界定也屢次修改。

《中華人民共和國網(wǎng)絡安全法（草案）》第一次審議稿	《中華人民共和國網(wǎng)絡安全法（草案）》第二次審議稿	《中華人民共和國網(wǎng)絡安全法》正式頒布版本
提供公共通信、廣播電視傳輸?shù)确盏幕A(chǔ)信息網(wǎng)絡，能源、交通、水利、金融等重要行業(yè)和供電、供水、供氣、醫(yī)療衛(wèi)生、社會保障等公共服務領(lǐng)域的重要信息系統(tǒng)，軍事網(wǎng)絡，設區(qū)的市級以上國家機關(guān)等政務網(wǎng)絡，用戶數(shù)量眾多的網(wǎng)絡服務提供者所有或者管理的網(wǎng)絡和系統(tǒng)。	一旦遭到遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全，國計民生，公共利益的關(guān)鍵信息基礎(chǔ)設施。	公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設施。
關(guān)鍵信息基礎(chǔ)設施安全保護辦法由國務院制定。	關(guān)鍵信息基礎(chǔ)設施的具體范圍和安全保護辦法由國務院制定。	關(guān)鍵信息基礎(chǔ)設施的具體范圍和安全保護辦法由國務院制定。

最終正式出臺的《網(wǎng)絡安全法》結(jié)合第一次和第二次審議稿，以列舉行業(yè)領(lǐng)域加可能導致后果兩個方面對關(guān)鍵信息基礎(chǔ)設施做出了界定。

在《網(wǎng)絡安全法》正式出臺前，中央網(wǎng)絡安全和信息化領(lǐng)導小組辦公室發(fā)布了一份《國家網(wǎng)絡安全檢查操作指南》（“《操作指南》”），對如何確定CII的步驟做出了說明：

首先，確定本地區(qū)、本部門、本行業(yè)的關(guān)鍵業(yè)務是什么，是涉及能源、金融還是交通、市政等領(lǐng)域；

其次，確定了關(guān)鍵業(yè)務后，再確定支持關(guān)鍵業(yè)務的信息系統(tǒng)或工業(yè)控制系統(tǒng)是什么，形成CII候選清單。例如，支持電力行業(yè)火電企業(yè)的發(fā)電機組控制系統(tǒng)、管理信息系統(tǒng)；支持市政供水水廠的生產(chǎn)控制系統(tǒng)、供水管網(wǎng)監(jiān)控系統(tǒng)等；

最后，根據(jù)關(guān)鍵業(yè)務對信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度，以及信息系統(tǒng)發(fā)生網(wǎng)絡安全事件后可能造成的損失認定是否屬于關(guān)鍵信息基礎(chǔ)設施。而這個認定過程的具體標準也可以參考該操作指南。

相比于《網(wǎng)絡安全法》的原則性規(guī)定，《操作指南》更具有指向性和操作性，對CII范圍的確定更有參考價值。但最終CII的具體范圍和保護辦法仍將以國務院等部門另行確定的規(guī)則為準。具體標準的制定是否會參考該指南雖然仍不能確定，但指南中所確立的CII三步確認法很可能在今后的新規(guī)中體現(xiàn)。

（二）個人信息

個人信息定義：

《網(wǎng)絡安全法》	以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。
《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》（“《保護規(guī)定》 ”）	電信業(yè)務經(jīng)營者和互聯(lián)網(wǎng)信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結(jié)合識別用戶的信息以及用戶使用服務的時間、地點等信息。

《網(wǎng)絡安全法》和《保護規(guī)定》將能夠識別自然人身份的信息定義為個人信息，也就是說，只要一個信息能夠單獨或者結(jié)合“定位”到該自然人，都屬于個人信息。

用戶使用服務的時間、地點等內(nèi)容是否屬于《網(wǎng)絡安全法》個人信息范疇而受到規(guī)制值得商榷。

雖然《網(wǎng)絡安全法》和《保護規(guī)定》中對個人信息均有明確定義，但從表述范圍來看，《保護規(guī)定》界定的個人信息似乎更為寬泛。除了能夠識別自然人身份的信息屬于個人信息外，《保護規(guī)定》還將用戶使用服務的時間、地點等信息也納入個人信息范疇，未經(jīng)用戶書面許可，不得收集和使用。用戶使用服務的時間、地點等數(shù)據(jù)成為越來越多的網(wǎng)絡服務提供者關(guān)注的領(lǐng)域，對這類信息收集和使用的合法性也一直受到廣泛爭議和質(zhì)疑。

而本次《網(wǎng)絡安全法》并未將上述信息數(shù)據(jù)納入個人信息范疇，雖然在條款中規(guī)定“網(wǎng)絡運營者不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息”。但《保護規(guī)定》從效力層級上僅屬于部門規(guī)章。從上述規(guī)定可以看出，新法對個人信息界定的側(cè)重點在于一種或者幾種信息是否能定位到這個人，而無論這種信息是以什么方式呈現(xiàn)。如果通過信息無法判斷是某個具體的人使用了產(chǎn)品、服務，很可能就不屬于新法意義下要保護的個人信息，有時這種信息甚至是可以通過合法的公開渠道查詢，那么對這種信息的收集使用也就不受限制。不過，在無法識別自然人身份的情況下，用戶使用服務的時間、地點等信息是否受到《網(wǎng)絡安全法》規(guī)制仍值得商榷，并有待監(jiān)管機關(guān)進一步明確。

此外，可以明確的一點是，無論是《保護規(guī)定》還是《網(wǎng)絡安全法》，其目的并不在于完全禁止對個人數(shù)據(jù)的收集、使用。企業(yè)基于大數(shù)據(jù)的利用發(fā)掘產(chǎn)品服務，創(chuàng)新商業(yè)模式正是政府監(jiān)管部門支持鼓勵的行為。法律的目的在于保護用戶個人隱私和合法權(quán)益，規(guī)制和禁止非法銷售、收集或濫用個人信息數(shù)據(jù)的違法行為。因此，無論是可以識別自然人身份的信息，還是用戶使用服務時間、地點的信息，應當經(jīng)過用戶合法授權(quán)并依法收集、使用和提供。

二、四種重要主體（網(wǎng)絡運營者、CII運營者、網(wǎng)絡產(chǎn)品服務提供者、任何個人和組織）

本次《網(wǎng)絡安全法》中的網(wǎng)絡運營者是指網(wǎng)絡的所有者、管理者和網(wǎng)絡服務提供者，這一界定范圍十分廣泛，幾乎將涉及網(wǎng)絡產(chǎn)品服務的主體都納入其中，只要“在中華人民共和國境內(nèi)建設、運營、維護和使用網(wǎng)絡，以及網(wǎng)絡安全的監(jiān)督管理”，都適用《網(wǎng)絡安全法》。而不區(qū)分外資企業(yè)或內(nèi)資企業(yè)，也不區(qū)分提供的產(chǎn)品服務是否收費。

關(guān)鍵信息基礎(chǔ)設施運營者（CII運營者）、網(wǎng)絡產(chǎn)品、服務提供者以及其他個人和組織是《網(wǎng)絡安全法》規(guī)范的另外三個重要主體，雖然條款中并沒有對該等主體做出明確定義。但從網(wǎng)絡運營者的界定范圍來看，這三類主體的范圍與網(wǎng)絡運營者之間均有交叉和重疊（各類主體之間的關(guān)系如下圖）。特別是CII運營者應屬于廣義網(wǎng)絡運營者的一部分，因此，除了承擔網(wǎng)絡運營者需要負擔的義務外，因涉及國計民生、國家安全和公共利益，法律為其規(guī)定了更嚴格的安全保護義務和標準。除此之外，即使沒有提供網(wǎng)絡產(chǎn)品、服務的個人和組織，新法也對其使用網(wǎng)絡服務、獲取個人信息等行為設置了規(guī)范。

三、五類重要義務

新法用大量條文篇幅為網(wǎng)絡運營者等主體規(guī)定了各類網(wǎng)絡安全義務，也是第一次以法律的形式提出了很多具有前瞻性的概念，為各主體設置了強制性規(guī)范。各類運營主體、其他個人和組織的規(guī)范總結(jié)為以下五種重要義務，不同主體可以自行“對號入座”。

但需要說明的是，因各主體之間存在上圖所示的交叉和包含關(guān)系，在承擔義務方面也會存在重疊，但為突出各主體承擔的主要義務，本部分仍按照四種主體類型進行了區(qū)分。

（一）報告義務

網(wǎng)絡運營者

CII運營者

網(wǎng)絡產(chǎn)品、服務提供者

備注

報

告

義

務

在發(fā)生危害網(wǎng)絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并向主管部門報告。

在發(fā)現(xiàn)其用戶發(fā)布、傳輸違法違規(guī)信息情況下立即處置并向主管部門報告。

收集的個人信息泄露、毀損、丟失等情況下向主管部門報告。

將每年對其網(wǎng)絡安全性和潛在風險的檢測評估情況和改進措施報送相關(guān)負責部門。

網(wǎng)絡產(chǎn)品、服務存在安全缺陷、漏洞等風險時采取補救措施并向主管部門報告。

電子信息發(fā)送服務提供者和應用軟件下載服務提供者在知道其用戶設置惡意程序，發(fā)布、傳輸違法違規(guī)信息的情況下采取處置措施，保存記錄并向主管部門報告。

審議稿第三稿將電子信息發(fā)送服務提供者和應用軟件下載服務提供者在“發(fā)現(xiàn)”后的處置報告義務，修改為“知道”，對服務提供者規(guī)定的義務更加嚴格。

（二）安全保護、管理義務

網(wǎng)絡運營者

CII運營者

網(wǎng)絡產(chǎn)品、服務提供者

個人和組織

安全管理、

保護義務

網(wǎng)絡運營者為用戶辦理網(wǎng)絡接入、域名注冊服務，辦理固定電話、移動電話等入網(wǎng)手續(xù)，或者為用戶提供信息發(fā)布、即時通訊等服務，在與用戶簽訂協(xié)議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網(wǎng)絡運營者不得為其提供相關(guān)服務。

制定網(wǎng)絡安全事件應急預案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等安全風險；

按照網(wǎng)絡安全等級保護制度的要求，履行21條規(guī)定的安全保護義務，包括但不限于制定安全制度和操作規(guī)則，確定網(wǎng)絡安全負責人；采取技術(shù)措施等。

建立網(wǎng)絡信息安全投訴、舉報制度，公布投訴、舉報方式等信息，及時受理并處理有關(guān)網(wǎng)絡信息安全的投訴和舉報。

除履行網(wǎng)絡運營者承擔的安全保護義務外，仍須承擔34條規(guī)定的安全保護義務。

網(wǎng)絡產(chǎn)品、服務應當符合相關(guān)國家標準的強制性要求。網(wǎng)絡產(chǎn)品、服務的提供者不得設置惡意程序。

網(wǎng)絡產(chǎn)品、服務的提供者應當為其產(chǎn)品、服務持續(xù)提供安全維護；在規(guī)定或者當事人約定的期限內(nèi)，不得終止提供安全維護。

任何個人和組織使用網(wǎng)絡應當遵守法律和道德規(guī)范，不得危害網(wǎng)絡安全，損害公共利益和他人合法權(quán)益。

任何個人和組織不得從事非法侵入他人網(wǎng)絡、干擾他人網(wǎng)絡正常功能、竊取網(wǎng)絡數(shù)據(jù)等危害網(wǎng)絡安全的活動；不得提供專門用于上述危害網(wǎng)絡安全活動的程序、工具；明知他人從事危害網(wǎng)絡安全的活動的，不得為其提供技術(shù)支持、廣告推廣、支付結(jié)算等幫助。

任何個人和組織發(fā)送的電子信息、提供的應用軟件，不得設置惡意程序，不得含有法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔ⅰ?/span>

（三）安全評估審查義務

網(wǎng)絡運營者

CII運營者

網(wǎng)絡產(chǎn)品、服務提供者

安全評估、

審查義務

采購網(wǎng)絡產(chǎn)品和服務，可能影響國家安全的，應當通過國家安全審查。

在中國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要，確需向境外提供的，應當依法進行安全評估。

自行或者委托網(wǎng)絡安全服務機構(gòu)對其網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估。

（四）保密義務

	網(wǎng)絡運營者	CII運營者	網(wǎng)絡產(chǎn)品、服務提供者
保密義務	應對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。	關(guān)鍵信息基礎(chǔ)設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任。	/

（五）信息規(guī)范收集、使用的義務

網(wǎng)絡運營者

CII運營者

網(wǎng)絡產(chǎn)品、服務提供者

個人和組織

信息規(guī)范收集、

使用義務

不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復原的除外。

應當采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。

不得收集與其提供的服務無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。

個人發(fā)現(xiàn)網(wǎng)絡運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，有權(quán)要求網(wǎng)絡運營者刪除其個人信息；發(fā)現(xiàn)網(wǎng)絡運營者收集、存儲的其個人信息有錯誤的，有權(quán)要求網(wǎng)絡運營者予以更正。網(wǎng)絡運營者應當采取措施予以刪除或者更正。

網(wǎng)絡產(chǎn)品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意；涉及用戶個人信息的，還應當遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個人信息保護的規(guī)定。

任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

任何個人和組織不得設立用于實施詐騙，傳授犯罪方法，制作或者銷售違禁物品、管制物品等違法犯罪活動的網(wǎng)站、通訊群組，不得利用網(wǎng)絡發(fā)布涉及實施詐騙，制作或者銷售違禁物品、管制物品以及其他違法犯罪活動的信息。

四、六個待明確的 “ 新規(guī) ”

本次《網(wǎng)絡安全法》是一部基礎(chǔ)性的安全保障法律，很多條文僅做出原則性規(guī)定，而并沒有對問題的解決提供具體指導思路，可操作性不強。因此，在實際操作中如何落實操作各項原則性保護辦法和制度就需要各主管部門另行制定實施細則、指引或相關(guān)產(chǎn)品目錄等規(guī)范性文件。從《網(wǎng)絡安全法》的表述來看，接下來將出臺的“新規(guī)”主要有以下幾個：

1、網(wǎng)絡產(chǎn)品和服務安全審查辦法

國家互聯(lián)網(wǎng)信息辦公室于2017年2月4日發(fā)布《網(wǎng)絡產(chǎn)品和服務安全審查辦法》征求意見稿，該征求意見稿明確了關(guān)系國家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡產(chǎn)品和服務，應當經(jīng)過網(wǎng)絡安全審查。國家網(wǎng)信辦聘請專家成立網(wǎng)絡安全審查委員會，并認證第三方安全審查機構(gòu)，進行第三方安全評價工作。但需要注意的是，該征求意見稿不僅僅是針對CII運營者采購網(wǎng)絡產(chǎn)品服務而言，而是所有可能對公共利益產(chǎn)生影響的網(wǎng)絡產(chǎn)品、服務都需要進行審查。

審查重點為網(wǎng)絡產(chǎn)品、服務安全性、可控性。具體包括：

● 產(chǎn)品和服務被非法控制、干擾和中斷運行的風險；

● 產(chǎn)品及關(guān)鍵部件研發(fā)、交付、技術(shù)支持過程中的風險；

● 產(chǎn)品和服務提供者利用提供產(chǎn)品和服務的便利條件非法收集、存儲、處理、利用用戶相關(guān)信息的風險；

● 產(chǎn)品和服務提供者利用用戶對產(chǎn)品和服務的依賴，實施不正當競爭或損害用戶利益的風險；

【條文鏈接】：

第三十五條關(guān)鍵信息基礎(chǔ)設施的運營者采購網(wǎng)絡產(chǎn)品和服務，可能影響國家安全的，應當通過國家網(wǎng)信部門會同國務院有關(guān)部門組織的國家安全審查。

2、網(wǎng)絡安全等級保護制度

新法中屢次提及的網(wǎng)絡安全等級保護制度的具體內(nèi)容目前仍沒有明確。有觀點認為，新法中的網(wǎng)絡安全等級保護制度可能與我國已經(jīng)通過相關(guān)法規(guī)確立的兩項網(wǎng)絡安全等級保護制度（即“計算機信息系統(tǒng)安全等級保護制度”和“通信網(wǎng)絡安全分級保護制度”）在涉及網(wǎng)絡及其安全的限度內(nèi)有所交叉或重疊。但現(xiàn)在仍無法判斷新法中的等級保護制度是在已有制度基礎(chǔ)上進行吸收、整合，還是重新構(gòu)建。

無論如何，網(wǎng)絡安全等級保護制度對于網(wǎng)絡運營者而言具有重要的指示規(guī)范作用，因為從新法規(guī)定來看，網(wǎng)絡運營者的安全保護義務將基于網(wǎng)絡安全等級保護制度來確定，這意味著不同等級的網(wǎng)絡運營者所肩負的安全保護義務是不同的。

【條文鏈接】：

第二十一條國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行...安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改。

第三十一條國家對...關(guān)鍵信息基礎(chǔ)設施，在網(wǎng)絡安全等級保護制度的基礎(chǔ)上，實行重點保護。

3、網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄

今后對網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品將實行“清單管理”，由相關(guān)主管部門制定產(chǎn)品目錄，凡是出現(xiàn)在目錄中的設備、產(chǎn)品都需要進行安全認證和檢測才能夠銷售或提供。需要注意的是，審議稿第二稿中，僅對“銷售”網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品進行規(guī)制，但最終稿中將范圍擴大到“銷售或提供”。因此，即使免費提供目錄中的設備、產(chǎn)品，也需要完成認證和檢測。

【條文鏈接】：

第二十三條網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品應當按照相關(guān)國家標準的強制性要求，由具備資格的機構(gòu)安全認證合格或者安全檢測符合要求后，方可銷售或者提供。國家網(wǎng)信部門會同國務院有關(guān)部門制定、公布網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄，并推動安全認證和安全檢測結(jié)果互認，避免重復認證、檢測。

4、關(guān)鍵信息基礎(chǔ)設施的具體范圍和安全保護辦法

目前《網(wǎng)絡安全法》對CII的原則性定義較為寬泛，可操作性不強。因涉及國家安全和社會公共利益，各部門將根據(jù)行業(yè)特征分別制定并實施對關(guān)鍵信息基礎(chǔ)設施的安全保護和安全規(guī)劃。前文所述的《操作指南》中關(guān)于CII的認定方法也很可能成為各部門在實際操作中的借鑒和指引。

【條文鏈接】：

第三十一條關(guān)鍵信息基礎(chǔ)設施的具體范圍和安全保護辦法由國務院制定。

第三十二條按照國務院規(guī)定的職責分工，負責關(guān)鍵信息基礎(chǔ)設施安全保護工作的部門分別編制并組織實施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設施安全規(guī)劃，指導和監(jiān)督關(guān)鍵信息基礎(chǔ)設施運行安全保護工作。

5、個人信息跨境傳輸?shù)陌踩u估辦法

因涉及國家安全和公共利益，未來CII運營者中國境內(nèi)運營中收集和產(chǎn)生的個人信息、重要數(shù)據(jù)跨境傳輸將受到限制。本次新法并沒有明確重要數(shù)據(jù)的含義，在第三次審議稿中更是將“重要業(yè)務數(shù)據(jù)”（important business data）修改為“重要數(shù)據(jù)”（important data），限制傳輸?shù)臄?shù)據(jù)范圍更大。由此，對企業(yè)產(chǎn)生的影響也就更大，甚至可能阻礙企業(yè)業(yè)務的開展和與境外的合作。但本次新法并沒有完全禁止數(shù)據(jù)跨境傳輸，在因業(yè)務需要而確需向境外提供的情況下，經(jīng)過安全評估后可以進行數(shù)據(jù)的跨境提供。雖然監(jiān)管部門將進一步制定安全評估辦法，但最終哪些信息是因業(yè)務需要提供而須經(jīng)過評估的標準仍十分模糊，監(jiān)管部門對此有較大的裁量權(quán)。

【條文鏈接】：

第三十七條關(guān)鍵信息基礎(chǔ)設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關(guān)部門制定的辦法進行安全評估。

6、安全監(jiān)測預警和應急處置制度

新法第五章明確了國家將建立安全監(jiān)測預警機制和應急處置機制。未來企業(yè)的網(wǎng)絡安全保護工作會面臨更嚴格的監(jiān)管，受到主管部門和社會的監(jiān)督。主管部門將根據(jù)風險事件的特點或違反安全保護義務行為可能帶來的損害對安全事件進行分級，并向社會預警通報，采取其他相應的應急措施。而一旦因發(fā)生安全事件被采取信息通報、分級等措施，將可能對企業(yè)聲譽、社會評價、信用記錄等方面帶來不良的影響。

【條文鏈接】：

第五十一條國家建立網(wǎng)絡安全監(jiān)測預警和信息通報制度。國家網(wǎng)信部門應當統(tǒng)籌協(xié)調(diào)有關(guān)部門加強網(wǎng)絡安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡安全監(jiān)測預警信息。

第五十二條負責關(guān)鍵信息基礎(chǔ)設施安全保護工作的部門，應當建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡安全監(jiān)測預警和信息通報制度，并按照規(guī)定報送網(wǎng)絡安全監(jiān)測預警信息。

第五十三條國家網(wǎng)信部門協(xié)調(diào)有關(guān)部門建立健全網(wǎng)絡安全風險評估和應急工作機制，制定網(wǎng)絡安全事件應急預案，并定期組織演練。負責關(guān)鍵信息基礎(chǔ)設施安全保護工作的部門應當制定本行業(yè)、本領(lǐng)域的網(wǎng)絡安全事件應急預案，并定期組織演練。網(wǎng)絡安全事件應急預案應當按照事件發(fā)生后的危害程度、影響范圍等因素對網(wǎng)絡安全事件進行分級，并規(guī)定相應的應急處置措施。

五、對企業(yè)如何履行安全保護義務的建議

本次《網(wǎng)絡安全法》的出臺給互聯(lián)網(wǎng)相關(guān)企業(yè)從各方面都帶來不小的影響，企業(yè)今后將要在網(wǎng)絡安全保護和管理等方面承擔更多的義務和責任。企業(yè)需梳理并需要做以下幾件的事情：

1、完善安全管理制度。采取有效技術(shù)措施和網(wǎng)絡安全防護設備保障網(wǎng)絡安全、穩(wěn)定運行，能有效應對網(wǎng)絡安全事件，具體而言：

● 無線網(wǎng)絡接入的加密和分級授權(quán)；

● 內(nèi)部電子郵箱等通訊軟件的安全管理；

● 技術(shù)部門外部采購行為的規(guī)范審查；

● 對系統(tǒng)及硬件供應商、服務商的資質(zhì)審查、存檔記錄；

● 系統(tǒng)定期升級、維護；

● 加強信息數(shù)據(jù)管理，對重要數(shù)據(jù)做備份、存檔、加密等處理。

2、建立審核監(jiān)控制度，具體而言：

● 審核監(jiān)控制度須能夠有效監(jiān)控網(wǎng)絡系統(tǒng)，及時發(fā)現(xiàn)漏洞和信息泄露等風險；

● 審核監(jiān)控制度須具備“信息過濾”功能，保證網(wǎng)絡服務提供者不會收集與其提供的服務無關(guān)的信息，尤其是涉及國家秘密、個人隱私等重要敏感信息；

● 審核監(jiān)控制度需要解決如何能有效發(fā)現(xiàn)、鑒別用戶上傳、傳輸內(nèi)容的問題，以便及時處置；

● 審核監(jiān)控制度需要解決如何有效應對用戶的刪除/更正請求的問題。

3、建立信息標記及回溯制度，使用信息數(shù)據(jù)地圖以識別存儲介質(zhì)的位置以及追蹤數(shù)據(jù)信息的流轉(zhuǎn)路徑，為企業(yè)進行網(wǎng)絡安全評估、信息數(shù)據(jù)存儲傳輸、敏感信息過濾等提供幫助。

4、定期進行安全檢查和評估，被認定為CII運營者的每年必須進行一次評估。

5、建立報告制度。及時報告系統(tǒng)漏洞、信息泄露等風險事件。

6、建立保密制度。依法簽署保密協(xié)議，并采取設置安全系統(tǒng)，物理隔離區(qū)域等手段對個人信息、重要數(shù)據(jù)進行保密。

7、建立安全責任制度。本次新法明確規(guī)定，在企業(yè)違反網(wǎng)絡安全保護義務情形下，可對直接負責的主管人員或責任人員企業(yè)內(nèi)部安全保護管理工作分工明確，制度健全。依法對安全負責人及關(guān)鍵崗位人員選任并實施安全審查，定期對從業(yè)人員培訓、教育和考核。

8、加強對外包服務的風控。涉及網(wǎng)絡信息安全的服務外包時，在協(xié)議中明確約定外包服務商的行為規(guī)范和風險事件發(fā)生時的責任承擔。

9、完善投訴舉報制度。公示暢通的投訴舉報渠道，并及時處理相關(guān)投訴舉報。

六、企業(yè)在網(wǎng)絡安全領(lǐng)域需要什么樣的專業(yè)法律合規(guī)服務

1、盡職調(diào)查

以新法和國家安全審查相關(guān)指引為基礎(chǔ)，并結(jié)合本文第五部分建議的措施對企業(yè)的網(wǎng)絡安全義務履行是否符合法律要求，各項制度建立是否健全進行核查，并從合法性、安全性、保密性等方面對企業(yè)安全制度建設是否合規(guī)進行盡職調(diào)查。

2、人員訪談

與安全責任人、關(guān)鍵崗位從業(yè)人員以及可能對安全審查結(jié)果產(chǎn)生影響的人員進行訪談，了解相關(guān)崗位的設置，并對人員選任審查、職責分工、授權(quán)權(quán)限、培訓考核情況等方面進行審查。在很多情況下，人員訪談也屬于盡職調(diào)查的重要組成部分，貫穿盡職調(diào)查的過程中完成。

3、提供制度建設建議，幫助企業(yè)完善安全保護管理制度

在上述盡職調(diào)查的基礎(chǔ)上，與企業(yè)聘請的安全評估機構(gòu)、技術(shù)專家等第三方機構(gòu)以及企業(yè)技術(shù)部門充分溝通，幫助企業(yè)建立和完善安全審核制度、報告制度、保密制度等網(wǎng)絡安全保護管理制度和流程，作為企業(yè)的日常管理制度的一部分。

4、起草、審核協(xié)議和相關(guān)法律文件

幫助企業(yè)起草、審核：

● 與網(wǎng)絡產(chǎn)品、服務提供者之間的合作協(xié)議、保密協(xié)議；

● 與外包服務商之間的合作協(xié)議、保密協(xié)議；

● 網(wǎng)絡產(chǎn)品服務相關(guān)的用戶協(xié)議，平臺協(xié)議，特別是其中的隱私保護及通知政策、個人信息授權(quán)許可條款，保密條款等。

5、及時更新網(wǎng)絡安全相關(guān)法規(guī)和指引

本文中已經(jīng)闡述了在新法出臺后可能出臺的六個新規(guī)，而面對網(wǎng)絡安全監(jiān)管這一新概念，各個主管部門也在摸索中前進，今后關(guān)于網(wǎng)絡安全保護的具體實施辦法必將有更多的規(guī)范性文件和指引。企業(yè)須及時解讀新規(guī)內(nèi)容，對企業(yè)的網(wǎng)絡安全保護管理制度進行更新，使其符合主管部門的要求。

分享到： QQ空間新浪微博微信

五月婷婷视频在线,日日夜夜免费精品,国产情趣视频在线观看,72pao成人国产永久免费视频,日韩福利在线观看,欧美日韩精品一二区,伊人91视频

《網(wǎng)絡安全法》的出臺改變了什么？——條文解析企業(yè)的網(wǎng)絡安全義務和法律合規(guī)新需求

日期：2017-04-20 作者：馮堅堅（上海市律師協(xié)會互聯(lián)網(wǎng)業(yè)務研究委員會委員、北京市競天公誠律師事務所合伙人）、李岑（北京市競天公誠律師事務所律師）

五月婷婷视频在线,日日夜夜免费精品,国产情趣视频在线观看,72pao成人国产永久免费视频,日韩福利在线观看,欧美日韩精品一二区,伊人91视频

《網(wǎng)絡安全法》的出臺改變了什么？——條文解析企業(yè)的網(wǎng)絡安全義務和法律合規(guī)新需求

日期：2017-04-20 作者：馮堅堅（上海市律師協(xié)會互聯(lián)網(wǎng)業(yè)務研究委員會委員、北京市競天公誠律師事務所合伙人）、李岑（北京市競天公誠律師事務所律師）

《網(wǎng)絡安全法》的出臺改變了什么？——條文解析企業(yè)的網(wǎng)絡安全義務和法律合規(guī)新需求

日期：2017-04-20 作者：馮堅堅（上海市律師協(xié)會互聯(lián)網(wǎng)業(yè)務研究委員會委員、北京市競天公誠律師事務所合伙人）、李岑（北京市競天公誠律師事務所律師）