网络安全法解读课件

v网络安全法解读网络安全法解读v网络安全法网络安全法人大常委会人大常委会 2017.6.12017.6.1v网络关键设备和网络安全专用产品目录（第网络关键设备和网络安全专用产品目录（第一批）一批）四部门四部门 2017.6.12017.6.1v互联网信息内容管理行政执法程序规定互联网信息内容管理行政执法程序规定网网信办信办 2017.6.12017.6.1v互联网新闻信息服务管理规定互联网新闻信息服务管理规定网信办网信办2017.6.12017.6.1v区块链信息服务管理规定区块链信息服务管理规定网信办网信办2019.2.152019.2.15v关键信息基础设施安全保护条例（征求意关键信息基础设施安全保护条例（征求意见稿）见稿）网信办网信办v网络安全等级保护条例（征求意见稿）网络安全等级保护条例（征求意见稿）公安部公安部v关键信息基础设施确定指南关键信息基础设施确定指南v一、网络安全的重要性一、网络安全的重要性v二、行政机关的主要职责和法律责任二、行政机关的主要职责和法律责任v三、了解关键信息基础设施三、了解关键信息基础设施v四、四、网络安全法网络安全法的主要内容的主要内容一、网络安全的重要性一、网络安全的重要性网络安全网络安全v网络运行安全网络运行安全v网络信息安全网络信息安全v网络安全，是指通过采取必要措施，防网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。的完整性、保密性、可用性的能力。伊朗离心机感染病毒事件伊朗离心机感染病毒事件v提炼浓缩铀，全国估计提炼浓缩铀，全国估计8000台西门子的台西门子的WINCC系统。系统。2010年，美国国家安全局和以年，美国国家安全局和以色列合作研制了色列合作研制了“震网病毒震网病毒”，得到法德帮助。，得到法德帮助。攻击人员通过公开信息搜集伊朗从事核设施的攻击人员通过公开信息搜集伊朗从事核设施的工作人员及其家属的个人邮箱，发送含有病毒工作人员及其家属的个人邮箱，发送含有病毒的邮件，点开邮件后病毒自动下载并感染个人的邮件，点开邮件后病毒自动下载并感染个人电脑及移动存储设备。导致伊朗损坏了电脑及移动存储设备。导致伊朗损坏了20%的的离心机，因找不出原因，全部停机逐一排查，离心机，因找不出原因，全部停机逐一排查，伊朗的核计划至少推迟了两年。伊朗的核计划至少推迟了两年。乌克兰断电事件乌克兰断电事件v2015年平安夜，乌克兰多家电厂被黑客年平安夜，乌克兰多家电厂被黑客组织利用组织利用Killdisk恶意软件感染，该组件可以恶意软件感染，该组件可以破坏计算机硬件的某些零件、破坏工业控制破坏计算机硬件的某些零件、破坏工业控制系统的功能，导致成百上千用户居民家中停系统的功能，导致成百上千用户居民家中停电，城市陷入恐慌，损失惨重。电，城市陷入恐慌，损失惨重。v 2017 2017年年5 5月月1212日，一种名为日，一种名为“想哭想哭”的勒索病毒，从乌克兰和俄罗斯爆发，的勒索病毒，从乌克兰和俄罗斯爆发，迅速蔓延到全球，袭击迅速蔓延到全球，袭击150150多个国家和地多个国家和地区，影响领域包括政府部门、医疗服务、区，影响领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业。公共交通、邮政、通信和汽车制造业。v 2018 2018年年2 2月，中国发生的多起勒索月，中国发生的多起勒索病毒攻击事件，经腾讯企业安全分析发病毒攻击事件，经腾讯企业安全分析发现正是之前某种勒索病毒的变种。现正是之前某种勒索病毒的变种。v 2018 2018年年9 9月月2 2日，山东多地不动产登日，山东多地不动产登记系统遭到病毒入侵，山东省国土资源记系统遭到病毒入侵，山东省国土资源专网受到影响，已波及山东十多个市，专网受到影响，已波及山东十多个市，不动产登记系统因此无法正常使用，山不动产登记系统因此无法正常使用，山东多地发布暂停受理不动产业务登记的东多地发布暂停受理不动产业务登记的通告。据悉，系统遭到勒索病毒通告。据悉，系统遭到勒索病毒GlobeImposterGlobeImposter的攻击。的攻击。徐玉玉案徐玉玉案v 2016 2016年年8 8月月2121日，山东大学生徐玉日，山东大学生徐玉玉因被诈骗电话骗走上大学的费用玉因被诈骗电话骗走上大学的费用99009900元，伤心欲绝，郁结于心，最终导致心元，伤心欲绝，郁结于心，最终导致心脏骤停，经医院抢救不幸离世。脏骤停，经医院抢救不幸离世。v20182018年年3 3月，某法院审理了某地方公月，某法院审理了某地方公务员窃取信息案件。朱某任职于某机关务员窃取信息案件。朱某任职于某机关单位，经统计，单位，经统计，20102010年年4 4月至月至20162016年年9 9月，月，朱某向刘某提供公民个人信息朱某向刘某提供公民个人信息7070余万条，余万条，20112011年年1111月至月至20162016年年7 7月，朱某向王某提月，朱某向王某提供公民个人信息供公民个人信息1212余万条。余万条。v 2018 2018年年4 4月，朱某从一个月，朱某从一个QQQQ群中得知群中得知可以利用网站漏洞进入服务器后台，从可以利用网站漏洞进入服务器后台，从而得到管理员权限，修改余额并提现的而得到管理员权限，修改余额并提现的方法。而且方法。而且QQQQ群给出了具体的链接，几群给出了具体的链接，几乎不需要多少专业知识，一学就会。所乎不需要多少专业知识，一学就会。所以，朱某在网上注册成为北京某教育科以，朱某在网上注册成为北京某教育科技公司网上商城的会员，利用网站漏洞技公司网上商城的会员，利用网站漏洞进入服务器后台，对余额进行修改，打进入服务器后台，对余额进行修改，打开提现功能。从开提现功能。从20162016年年1111月至月至20172017年年3 3月月这几个月间，他多次从商城提现，共窃这几个月间，他多次从商城提现，共窃取取7 7万余元。万余元。v据国家互联网应急中心据国家互联网应急中心(CNCERT)(CNCERT)的的数据显示，中国遭受境外网络攻击的情数据显示，中国遭受境外网络攻击的情况日趋严重。况日趋严重。CNCERTCNCERT抽样监测发现，仅抽样监测发现，仅仅两个月的时间，境外仅两个月的时间，境外67476747台木马或僵台木马或僵尸网络控制服务器控制了中国境内尸网络控制服务器控制了中国境内190190万万余台主机；其中位于美国的余台主机；其中位于美国的21942194台控制台控制服务器控制了中国境内服务器控制了中国境内128.7128.7万台主机，万台主机，无论是按照控制服务器数量还是按照控无论是按照控制服务器数量还是按照控制中国主机数量排名，美国都名列第一。制中国主机数量排名，美国都名列第一。二、行政机关的主要职责和法二、行政机关的主要职责和法律责任律责任综合主管和行业主管部门综合主管和行业主管部门v网信：统筹协调网信：统筹协调 电信、电信、公安、国家安全、国家保密行政公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管范围内负责相关网络安全保护和监督管理工作。理工作。v网信办网信办v互联网新闻信息服务、互联网新闻信息服务、区块链信息服务区块链信息服务的监督管理执法工作的监督管理执法工作v互联网新闻信息服务管理规定互联网新闻信息服务管理规定v第四条第四条国家互联网信息办公室负责全国家互联网信息办公室负责全国互联网新闻信息服务的监督管理执法国互联网新闻信息服务的监督管理执法工作。地方互联网信息办公室依据职责工作。地方互联网信息办公室依据职责负责本行政区域内互联网新闻信息服务负责本行政区域内互联网新闻信息服务的监督管理执法工作。的监督管理执法工作。v 第二十七条第二十七条本规定所称新闻单位，本规定所称新闻单位，是指依法设立的是指依法设立的报刊社、广播电台、电报刊社、广播电台、电视台、通讯社和新闻电影制片厂视台、通讯社和新闻电影制片厂。v第二十八条第二十八条违反本规定，同违反本规定，同时违反互联网信息服务管理规定的，由时违反互联网信息服务管理规定的，由国家和地方互联网信息办公室根据本规国家和地方互联网信息办公室根据本规定处理后，转由电信主管部门依法处置。定处理后，转由电信主管部门依法处置。v国家对互联网视听节目服务、国家对互联网视听节目服务、网络出版服务等另有规定的，应当同时网络出版服务等另有规定的，应当同时符合其规定。符合其规定。v区块链信息服务管理规定区块链信息服务管理规定v第三条第三条国家互联网信息办公国家互联网信息办公室依据职责负责全国区块链信息服务的室依据职责负责全国区块链信息服务的监督管理执法工作。省、自治区、直辖监督管理执法工作。省、自治区、直辖市互联网信息办公室依据职责负责本行市互联网信息办公室依据职责负责本行政区域内区块链信息服务的监督管理执政区域内区块链信息服务的监督管理执法工作法工作v 智能合约智能合约v证券交易证券交易v电子商务电子商务v物联网物联网v社交通讯社交通讯v文件存储文件存储v存在性证明存在性证明v身份验证身份验证v股权众筹股权众筹v网络安全法网络安全法：有关主管部门：有关主管部门v1 1、网络安全宣传教育、网络安全宣传教育 v 19 19条：条：各级人民政府及其有关部门应各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育，当组织开展经常性的网络安全宣传教育，并指导、督促有关单位做好网络安全宣传并指导、督促有关单位做好网络安全宣传教育工作。教育工作。v4 4、指导和监督关键信息基础设施运行指导和监督关键信息基础设施运行v2323、3535（安全审查）（安全审查）网信部门会同有关网信部门会同有关部门部门v5 5、保密义务、保密义务v第第4545条条依法负有网络安全监督管理职依法负有网络安全监督管理职责的部门责的部门及其工作人员，必须对在履行及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法密严格保密，不得泄露、出售或者非法向他人提供。向他人提供。v6 6、处理应急事宜、处理应急事宜v第第5555条发生网络安全事件，应当立即条发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。会发布与公众有关的警示信息。v7 7、处罚违法、处罚违法v第第5757条因网络安全事件，发生突发条因网络安全事件，发生突发事件或者生产安全事故的，应当依照事件或者生产安全事故的，应当依照中华人民共和国突发事件应对法、中华人民共和国突发事件应对法、中华人民共和国安全生产法等有关中华人民共和国安全生产法等有关法律、行政法规的规定处置。法律、行政法规的规定处置。法律责任法律责任v行政责任行政责任v第第7373条网信部门和有关部门违反本法条网信部门和有关部门违反本法第三十条规定，将在履行网络安全保护第三十条规定，将在履行网络安全保护职责中获取的信息用于其他用途的，对职责中获取的信息用于其他用途的，对直接负责的主管人员和其他直接责任人直接负责的主管人员和其他直接责任人员依法给予处分。员依法给予处分。v网信部门和有关部门的工作人员玩网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。成犯罪的，依法给予处分。v第三十条网信部门和有关部门在履行第三十条网信部门和有关部门在履行网络安全保护职责中获取的信息，只能网络安全保护职责中获取的信息，只能用于维护网络安全的需要，不得用于其用于维护网络安全的需要，不得用于其他用途。他用途。v刑事责任刑事责任v玩忽职守玩忽职守罪罪v滥用职权滥用职权罪罪v徇私舞弊徇私舞弊罪罪v泄露公民个人信息罪泄露公民个人信息罪v民事责任民事责任v第第7474条违反本法规定，给他人造条违反本法规定，给他人造成损害的，依法承担民事责任。成损害的，依法承担民事责任。v一般行政机关（包括所有机关）一般行政机关（包括所有机关）v 对本单位关键信息基础设施安全负对本单位关键信息基础设施安全负主体责任，履行网络安全保护义务，接主体责任，履行网络安全保护义务，接受政府和社会监督，承担社会责任受政府和社会监督，承担社会责任v第第21条国家实行网络安全等级保护条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡访问，防止网络数据泄露或者被窃取、篡改：改：（一）制定内部安全管理制度和操作规程，（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护确定网络安全负责人，落实网络安全保护责任；责任；（二）采取防范计算机病毒和网络攻击、（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；网络侵入等危害网络安全行为的技术措施；v（三）采取监测、记录网络运行状（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；规定留存相关的网络日志不少于六个月；v（四）采取数据分类、重要数据备（四）采取数据分类、重要数据备份和加密等措施；份和加密等措施；v（五）法律、行政法规规定的其他（五）法律、行政法规规定的其他义务。义务。v第第3434条除本法第二十一条的规定外，条除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行关键信息基础设施的运营者还应当履行下列安全保护义务下列安全保护义务v（一）设置专门安全管理机构和安全管（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的理负责人，并对该负责人和关键岗位的人员进行安全背景审查；人员进行安全背景审查；v（二）定期对从业人员进行网络安全教（二）定期对从业人员进行网络安全教育、技术培训和技能考核；育、技术培训和技能考核；v（三）对重要系统和数据库进行容灾备（三）对重要系统和数据库进行容灾备份；份；v（四）制定网络安全事件应急预案，并（四）制定网络安全事件应急预案，并定期进行演练；定期进行演练；v（五）法律、行政法规规定的其他义务。（五）法律、行政法规规定的其他义务。v安全管理负责人的职责安全管理负责人的职责v网信办网信办关键信息基础设施安全保护条例关键信息基础设施安全保护条例（征求意见稿）（征求意见稿）第第2525条条运营者网络安运营者网络安全管理负责人履行下列职责：全管理负责人履行下列职责：v（一）（一）组织制定网络安全规章制组织制定网络安全规章制度、操作规程并监督执行；度、操作规程并监督执行；v（二）组织对关键岗位人员的技（二）组织对关键岗位人员的技能考核；能考核；v （三）组织制定并实施本单位网络（三）组织制定并实施本单位网络安全教育和培训计划；安全教育和培训计划；v（四）组织开展网络安全检查（四）组织开展网络安全检查和应急演练，应对处置网络安全事件；和应急演练，应对处置网络安全事件；v（五）按规定向国家有关部门（五）按规定向国家有关部门报告网络安全重要事项、事件。报告网络安全重要事项、事件。v归纳为以下最重要的两点归纳为以下最重要的两点v聘用专业技术人员专门负责聘用专业技术人员专门负责v严格保密严格保密v行政责任行政责任v第第7272条国家机关政务网络的运营者不条国家机关政务网络的运营者不履行本法规定的网络安全保护义务的，履行本法规定的网络安全保护义务的，由其上级机关或者有关机关责令改正；由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接责任对直接负责的主管人员和其他直接责任人员依法给予处分。人员依法给予处分。v刑事责任刑事责任v刑法刑法253253之一侵犯公司个人信息罪之一侵犯公司个人信息罪v 286 286之一拒不履行信息网络安之一拒不履行信息网络安全管理义务罪全管理义务罪v第二百五十三条之一第二百五十三条之一【侵犯公民个侵犯公民个人信息罪人信息罪】违反国家有关规定，向他人出违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。七年以下有期徒刑，并处罚金。v违反国家有关规定，将在履行职责违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定出售或者提供给他人的，依照前款的规定从重处罚。从重处罚。v窃取或者以其他方法非法获取公民个人窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。信息的，依照第一款的规定处罚。v单位犯前三款罪的，对单位判处罚单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。直接责任人员，依照各该款的规定处罚。v第二百八十六条之一第二百八十六条之一【拒不履行信息拒不履行信息网络安全管理义务罪网络安全管理义务罪】网络服务提供者不网络服务提供者不履行法律、行政法规规定的信息网络安全履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者以下有期徒刑、拘役或者管制，并处或者单处罚金：单处罚金：(一一)致使违法信息大量传播的；致使违法信息大量传播的；(二二)致使用户信息泄露，造成严重后果的；致使用户信息泄露，造成严重后果的；(三三)致使刑事案件证据灭失，情节严重的；致使刑事案件证据灭失，情节严重的；(四四)有其他严重情节的。有其他严重情节的。v单位犯前款罪的，对单位判处罚金，并单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。任人员，依照前款的规定处罚。v民事责任民事责任v第第7474条违反本法规定，给他人造条违反本法规定，给他人造成损害的，依法承担民事责任。成损害的，依法承担民事责任。三、了解关键信息基础设施三、了解关键信息基础设施v关键信息基础设施是指面向公众提供关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系交通、公用事业等重要行业运行的信息系统或工业控制系统，且这些系统一旦发生统或工业控制系统，且这些系统一旦发生网络安全事故，会影响重要行业正常运行，网络安全事故，会影响重要行业正常运行，对国家政治、经济、科技、社会、文化、对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损国防、环境以及人民生命财产造成严重损失。失。v范围范围v关键信息基础设施包括网站类，如党关键信息基础设施包括网站类，如党政机关网站、企事业单位网站、新闻网政机关网站、企事业单位网站、新闻网站等；平台类，如即时通信、网上购物、站等；平台类，如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；生产业地图、音视频等网络服务平台；生产业务类，如办公和业务系统、工业控制系务类，如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视统、大型数据中心、云计算平台、电视转播系统等。转播系统等。v涉及政府部门的，主要是涉及政府部门的，主要是v信息公开信息公开v面向公众服务面向公众服务v办公业务系统办公业务系统v网络安全法网络安全法第第3131条国家对公共通条国家对公共通信和信息服务、能源、交通、水利、金信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基全、国计民生、公共利益的关键信息基础设施，础设施，在网络安全等级保护制度的基在网络安全等级保护制度的基础上，实行重点保护。础上，实行重点保护。关键信息基础设关键信息基础设施的具体范围和安全保护办法由施的具体范围和安全保护办法由国务院国务院制定。制定。v网信办网信办关键信息基础设施安全保护关键信息基础设施安全保护条例（征求意见稿）条例（征求意见稿）v第十八条第十八条下列单位运行、管理的网络下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：入关键信息基础设施保护范围：v（一）政府机关和能源、金融、交（一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；境保护、公用事业等行业领域的单位；v（二）电信网、广播电视网、互联网等（二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和信息网络，以及提供云计算、大数据和其他大型公共信息网络服务其他大型公共信息网络服务的单位；的单位；v（三）国防科工、大型装备、化工、（三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；食品药品等行业领域科研生产单位；v（四）广播电台、电视台、通讯社等（四）广播电台、电视台、通讯社等新闻单位；新闻单位；v（五）其他重点单位。（五）其他重点单位。v二者基本一致，仍然是二者基本一致，仍然是“领域识别和领域识别和风险识别风险识别”双重识别模式：双重识别模式：v1.领域识别：（领域识别：（1）国防科工、政府机关、）国防科工、政府机关、公共事业和大型装备研发、能源、金融、公共事业和大型装备研发、能源、金融、交通、水利、卫生医疗、新闻、教育、社交通、水利、卫生医疗、新闻、教育、社保、环境保护、化工研发、食品药品研发保、环境保护、化工研发、食品药品研发等行业领域；（等行业领域；（2）电信网、广播电视网、）电信网、广播电视网、互联网等通信网络；（互联网等通信网络；（3）提供云计算、大）提供云计算、大数据和其他大型公共信息网络服务的行业。数据和其他大型公共信息网络服务的行业。v2.2.风险识别：一旦遭到破坏、丧失功风险识别：一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的网络。全、国计民生、公共利益的网络。v基本与网安法第基本与网安法第3131条规定一致。唯一变条规定一致。唯一变化的、也是业界最为关注的是，首次明化的、也是业界最为关注的是，首次明确将确将“提供云计算、大数据和其他大型提供云计算、大数据和其他大型公共信息网络服务的行业公共信息网络服务的行业”明确纳入明确纳入CIICII范围。范围。v 但是，条例并未明确细化何为但是，条例并未明确细化何为“其其他大型公共信息网络服务他大型公共信息网络服务”，这就使网，这就使网安法一审稿提及的安法一审稿提及的“用户数量众多的网用户数量众多的网络服务络服务”（例如电商、网游等行业）是（例如电商、网游等行业）是否纳入否纳入CIICII范围成为了又一个范围成为了又一个“未解之谜。未解之谜。v 稍微欣慰的是，条例第稍微欣慰的是，条例第1919条授权相条授权相关综合主管部门和行业主管部门关综合主管部门和行业主管部门“制定制定关键信息基础设施识别指南关键信息基础设施识别指南”。v 第第1919条条国家网信部门会同国务院国家网信部门会同国务院电信主管部门、公安部门等部门制定关电信主管部门、公安部门等部门制定关键信息基础设施识别指南。键信息基础设施识别指南。v国家行业主管或监管部门按照国家行业主管或监管部门按照关键信息基础设施识别指南，组织识别关键信息基础设施识别指南，组织识别本行业、本领域的关键信息基础设施，本行业、本领域的关键信息基础设施，并按程序报送识别结果。并按程序报送识别结果。v发布主体，为什么是网信办呢？发布主体，为什么是网信办呢？v一种观点认为，是经国务院根据国发一种观点认为，是经国务院根据国发201420143333号文授权制定的条例。但是，号文授权制定的条例。但是，国发国发201420143333号文仅授权号文仅授权CACCAC负责负责“内内容管理容管理”，而条例的很多内容显然已经，而条例的很多内容显然已经超越了超越了“内容管理内容管理”，更多的却是，更多的却是“服服务管理务管理”。v限制限制境内存储境内存储 境内运维境内运维v v 网安法第网安法第3737条规定的运营者收集的条规定的运营者收集的个人信息与重要数据应当在境内存储，个人信息与重要数据应当在境内存储，若需要向境外提供的，应当依法开展安若需要向境外提供的，应当依法开展安全评估。条例第全评估。条例第2929条再次重申了数据跨条再次重申了数据跨境转移安全评估的政策。境转移安全评估的政策。v 条例第条例第3434条还首次规定了条还首次规定了CIICII应当应当境内运维的要求，即境内运维的要求，即“关键信息基础设关键信息基础设施的运行维护应当在境内实施。因业务施的运行维护应当在境内实施。因业务需要，确需进行境外远程维护的，应事需要，确需进行境外远程维护的，应事先报国家行业主管或监管部门和国务院先报国家行业主管或监管部门和国务院公安部门公安部门”。这一条严重突破了网安法。这一条严重突破了网安法的规定，对运营者及很多还不确定是否的规定，对运营者及很多还不确定是否会被纳入会被纳入CIICII范围的企业来说，影响巨大。范围的企业来说，影响巨大。v 网安法网安法3737条规定，仅需要满足个人条规定，仅需要满足个人信息与重要数据的存储服务器放置在境内信息与重要数据的存储服务器放置在境内即可。但依照条例，对即可。但依照条例，对CIICII的全部运营、的全部运营、维护、技术支持都必须在境内实施，若需维护、技术支持都必须在境内实施，若需要境外远程访问、维护、调试等操作的，要境外远程访问、维护、调试等操作的，都必须要履行事前报备。对于很多跨国公都必须要履行事前报备。对于很多跨国公司而言，是选择网络安全法合规满足司而言，是选择网络安全法合规满足“境境内存储内存储 境内运维境内运维”，还是选择电信业务，还是选择电信业务经营许可合规满足经营许可合规满足“境内具有服务器并境境内具有服务器并境内运维的应当依法办理增值电信业务经营内运维的应当依法办理增值电信业务经营许可证许可证”，这或许是个两难的选择。，这或许是个两难的选择。v网络关键设备和网络安全专用产品网络关键设备和网络安全专用产品v 网安法网安法第第2323条网络关键设备和网络条网络关键设备和网络安全专用产品应当按照相关国家标准的安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可证合格或者安全检测符合要求后，方可销售或者提供。销售或者提供。国家网信部门会同国务国家网信部门会同国务院有关部门制定、公布网络关键设备和院有关部门制定、公布网络关键设备和网络安全专用产品目录网络安全专用产品目录，并推动安全认，并推动安全认证和安全检测结果互认，避免重复认证、证和安全检测结果互认，避免重复认证、检测。检测。v国家互联网信息办公室国家互联网信息办公室、工业和信息化、工业和信息化部、部、公安部公安部、国家认证认可监督管理委员会、国家认证认可监督管理委员会四部门发布了四部门发布了网络关键设备和网络安网络关键设备和网络安全专用产品目录（第一批）全专用产品目录（第一批）v网络关键设备网络关键设备v1.1.路由器路由器v整系统吞吐量（双向）整系统吞吐量（双向）12Tbps12Tbpsv整系统路由表容量整系统路由表容量5555万条万条v2.2.交换机交换机v整系统吞吐量（双向）整系统吞吐量（双向）30Tbps30Tbpsv整系统包转发率整系统包转发率10Gpps10Gppsv3.3.服务器（机架式）服务器（机架式）vCPUCPU数量数量8 8个个v单单CPUCPU内核数内核数1414个个v内存容量内存容量256GB256GBv4.4.可编程逻辑控制器（可编程逻辑控制器（PLCPLC设备）设备）v控制器指令执行时间控制器指令执行时间0.080.08微秒微秒四、四、网络安全法网络安全法的主要内容的主要内容v第一章总则第一章总则v第二章网络安全支持与促进第二章网络安全支持与促进v第三章网络运行安全第三章网络运行安全v第一节一般规定第一节一般规定v第二节关键信息基础设施的运行安全第二节关键信息基础设施的运行安全v第四章网络信息安全第四章网络信息安全v第五章监测预警与应急处置第五章监测预警与应急处置v第六章法律责任第六章法律责任v第七章附则第七章附则v主要亮点主要亮点v1 1、提出个人信息保护基本要求、提出个人信息保护基本要求v2 2、对网络产品和服务提供者提出要求、对网络产品和服务提供者提出要求v3 3、反恐法基础上实名制，前台匿名后、反恐法基础上实名制，前台匿名后台实名台实名v4 4、规范重要网络安全信息的发布服务、规范重要网络安全信息的发布服务v5 5、明确网络运营者的执法协助义务、明确网络运营者的执法协助义务v6 6、清理网上非法信息、清理网上非法信息v7 7、关键信息基础设施保护制度、关键信息基础设施保护制度v8 8、网络安全监测预警、信息通报和应、网络安全监测预警、信息通报和应急处理体系急处理体系v9 9、建立通讯管制制度，以支持重大突、建立通讯管制制度，以支持重大突发事件的处置，国务院限制发事件的处置，国务院限制v1010、理顺网络安全工作体制，网信办统、理顺网络安全工作体制，网信办统筹协调筹协调