《网络安全法》解读课件

网络安全法网络安全法解读网络安全法网络安全法解读目录CONTENTS1法律要点2守法要点3工作要点目录CONTENTS1法律要点2守法要点3工作要点01法律要点01法律要点一、概述目标l l保障保障网络安全，维护维护网络空间主权和国家安全、社会公共利益，保护保护公民、法人和其他组织合法权益，促促进进经济社会信息化健康发展l在中华人民共和国境内中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。范围l法律条文：共7章，79条l2016年11月7日发布l2017年6月1日起施行总览网络安全法解读一、概述目标保障网络安全，维护网络空间主权和国家安全、社会公制定网络安全法的迫切性和必要性u是落实党中央决策部署的重要举措,是维护网络安全、国家安全的迫切需要；u是维护网络空间国家主权的迫切需要；u是深化网络安全等级保护制度、保护国家关键信息基础设施和大数据安全的迫切需要；u是打击网络违法犯罪、维护广大人民群众利益的迫切需要；u是参与互联网国际竞争和国际治理的迫切需要一、概述网络安全法解读制定网络安全法的迫切性和必要性一、概述网络安全法解读网络安全法的亮点u一是明确了网络空间主权的原则；u二是明确了网络产品和服务提供者的安全义务；u三是明确了网络运营者的安全义务；u四是进一步完善了个人信息保护规则；u五是等级保护制度由政策推动上升为法律要求；u六是提出了关键信息基础设施安全保护制度；u七是确立了关键信息基础设施重要数据跨境传输的规则一、概述网络安全法解读网络安全法的亮点一、概述网络安全法解读法律体系网络安全法构成我国网络空间安全管理的基本法律，与国家安全法、反恐怖主义法、刑法、保密法、治安管理处罚法、关于加强网络信息保护的决定、关于维护互联网安全的决定、计算机信息系统安全保护条例、互联网信息服务管理办法等现行法律法规共同构成中国关于网络安全管理的法律系统。配套法规国务院及相关的部门会制定和颁布一系列的配套法律法规，比如网络安全等级保护制度、关键信息基础设施的认定和保护办法、数据跨境传输的安全评估办法、网络产品和服务的国家安全审查制度等，数量上可能会达十余部。一、概述网络安全法解读法律体系配套法规一、概述网络安全法解读法律适用与管辖在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。域外管辖网络安全法采取了有限的域外管辖原则，依照法七十五条七十五条，境外的主体境外的主体实实施入侵施入侵或攻或攻击击境内关境内关键键信息基信息基础设础设施的活施的活动动，造成严重后果的，依法追究法律责任，且中国执法机关可实施财产冻结等制裁措施，这是为应对日益严重的全球网络安全威胁的需要。一、概述网络安全法解读法律适用与管辖域外管辖一、概述网络安全法解读目标u保障网络安全，维护网络空间主权和国家安全、公共利益，保护合法权益.国家职责u网络安全与信息化发展并重u制定、完善网络安全战略u监测、防御、处置网络安全风险及威胁u倡导诚实守信、健康文明的网络行为u积极推进国际交流与合作u国家网信部网信部门负责统筹筹协调网络安全工作和相关监督管理工作，国务院电信主管部门、公安部门等各司其职二、总则网络安全法解读目标国家职责二、总则网络安全法解读网信部门在网络安全保障中的地位和职责二、总则网络安全法解读网信部门在网络安全保障中的地位和职责二、总则网络安全法解信息安全职能部门职责分工二、总则网信部门网信部门负责统筹协调网络安全工作和相关监督管理工作，互联网信息内容监督执法，关键信息基础设施抽查检测评估，制定、公布安全专用产品目录，制定风险评估、应急机制和预案；公安机关公安机关负责等级保护工作的监督、检查、指导，是等保工作的牵头部门；国家保密部门国家保密部门负责等保工作中有关保密工作的监督、检查、指导；国家密码管理部门国家密码管理部门负责等保工作中有关密码工作的监督、检查、指导；工业和信息化部门工业和信息化部门负责网络建设相关工作，承担电信和互联网行业网络安全审查相关工作，负责网络安全防护、应急管理和处置。国家安全部门国家安全部门是负责维护国家安全相关工作的执法机构，负责处理危害中华人民共和国国家安全的行为。网络安全法解读信息安全职能部门职责分工二、总则网信部门负责统筹协调网络安全网络运营者职责u遵守法律、行政法规，履行网络安全保护义务u接受政府和社会的监督，承担社会责任。u保障网络安全、稳定运行，维护网络数据的完整性、保密性和可用性。行业组织职责u网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。二、总则网络安全法解读网络运营者职责行业组织职责二、总则网络安全法解读网络安全等级保护制度第二十一第二十一条条规定，国家实行网络安全等级保护制度。安全保护义务包括：1）制定内部安全管理制度和操作内部安全管理制度和操作规规程程，确定网网络络安全安全负责负责人人，落实网络安全保护责任；2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；3）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月不少于六个月；4）采取数据分类、重要数据备份和加密等措施；5）法律、行政法规规定的其他义务。解读1 1、等等级保保护制度由政策推制度由政策推动上升上升为法律要求法律要求。2 2、信息系信息系统统安全等安全等级级保保护护制度制度已实施多年，目前的信息系统安全等级保护制度更改为网网络络安全等安全等级级保保护护制度制度。三、网络运行安全网络安全法解读网络安全等级保护制度解读三、网络运行安全网络安全法解读现在世界上一共有13个根域名服务器,10个在美国,2个在欧洲,1个在日本.而中国只有3个根域名镜像服务器。网络安全法解读现在世界上一共有13个根域名服务器,10个在美国,2个在欧洲2010年年6月月在伊朗的在伊朗的纳坦坦兹核核电站中潜藏三年站中潜藏三年的的Stuxnet蠕虫病毒被首次曝光蠕虫病毒被首次曝光网络安全法解读2010年6月网络安全法解读2016年年4月孟加拉国央行被黑客攻月孟加拉国央行被黑客攻击。原本想窃取至少。原本想窃取至少10亿美元的黑客，由于拼写美元的黑客，由于拼写错误最最终只只转走了走了8100万万美元美元网络安全法解读2016年4月孟加拉国央行被黑客攻击。原本想窃取至少10亿美2016 年年10 月月 21 日日，美国近一半的互美国近一半的互联网因网因DDOS攻攻击瘫痪网络安全法解读2016年10月21日，美国近一半的互联网因DDOS2014年年8月月1日晚上日晚上7点，黑客点，黑客攻攻击温州温州46.5万台机万台机顶盒盒 播放反播放反动图文文网络安全法解读2014年8月1日晚上7点，黑客攻击温州46.5万台机顶盒关键信息基础设施保护关键信息基础设施（CII）范围国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。国务院另行制定关键信息基础设施的具体范围和安全保护办法。三、网络运行安全网络安全法解读关键信息基础设施保护三、网络运行安全网络安全法解读关键信息基础设施保护重要信息系统范围u2003年中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见（中办发【2003】27号）指出，要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。u2005年4月，国务院信息化办公室联合起草的重要信息系统灾难恢复指南,确定电子政务、银行、电力、铁路、民航、证券、保险、海关、税务等八大重点行业的电信网、广播电视网、计算机互联网三大基础信息网络为重要信息系统。三、网络运行安全网络安全法解读关键信息基础设施保护三、网络运行安全网络安全法解读国家网络安全检查操作指南2016年6月，中央网信办颁布的网络安全检查操作指南中，其明确提出关键信息基础设施确定指南（试行）。关键信息基础设施主要涵盖14大行业：（1）能源；（2）金融；（3）交通；（4）水利；（5）医疗卫生；（6）环境保护；（7）工业制造（原材料、装备、消费品、电子制造）；（8）市政；（9）电信与互联网；（10）广播电视；（11）教育；（12）新闻网站；（13）商业平台；（14）政府部门。三、网络运行安全网络安全法解读国家网络安全检查操作指南三、网络运行安全网络安全法解读国家网络安全检查操作指南关键信息基础设施包括：1、网站类，如党政机关网站、企事业单位网站、新闻网站等；2、平台类，如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；3、生产业务类，如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。三、网络运行安全网络安全法解读国家网络安全检查操作指南三、网络运行安全网络安全法解读国家网络空间安全战略2016年12月27日，中央网信办批准，国家互联网信息办公室发布国家网络空间安全战略指出，国家关键信息基础设施是指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施，包括但不限于提供公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统等。三、网络运行安全网络安全法解读国家网络空间安全战略三、网络运行安全网络安全法解读国外关键基础设施保护工作开展情况美国：美国：先后出台 1993年国家信息基础设施行动动议、1996年国家信息基础设施保护法案、2001年关键基础设施保护法案、联邦信息安全管理法案、2002年关键基础设施信息法案、2003年关键基础设施和重要资产物理保护的国家战略、2006年、2009年、2013年国家基础设施保护计划 2014年联邦信息安全现代化法案2014年网络安全加强法案2014年国家网络安全保护法案等法律以及多部具有法律效力的行政令和总统令。三、网络运行安全网络安全法解读国外关键基础设施保护工作开展情况三、网络运行安全网络安全法三、网络运行安全法律义务关键信息基础设施运营者将会承担相应的网络安全保护法定义务：1）建建设要求要求：业务运行稳定可靠，安全技术措施同步规划、同步建设、同步使用；2）安全安全保保护：专门安全管理机构和安全管理负责人；安全教育、培训、考核；容灾备份；应急预案、定期演练3）安全安全审查：采购网络产品和服务，应当通过国家安全审查4）保密要求保密要求：签订安全保密协议，明确安全和保密义务与责任5）境内存境内存储：个人信息和重要数据应当在境内存储6）检测评估估：每年至少进行一次检测评检测评估估，报送检测评估情况和改进措施。网络安全法解读三、网络运行安全法律义务网络安全法解读三、网络运行安全法律义务7）统筹筹协调：国家网信部网信部门应当统筹协调有关部门对关关键信息基信息基础设施施的安全保护采取下列措施：（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。网络安全法解读三、网络运行安全法律义务网络安全法解读网络产品和服务u符合相关国家标准的强制性要求u不得设置恶意程序u发现存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。u持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。u用户信息和个人信息合规网络关键设备和网络安全专用产品u应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。u国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。三、网络运行安全网络安全法解读网络产品和服务网络关键设备和网络安全专用产品三、网络运行安全三、网络运行安全网络实名制u网络运营者为用户办理网网络络接入、域名注册服接入、域名注册服务务，办办理固定理固定电话电话、移、移动电话动电话等等入网手续，或者为用户提供信息信息发发布、即布、即时时通通讯讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真真实实身份信息身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。u国家实施网络可信身份战略，支持研究开发安全、方便的电电子子身份身份认证认证技技术术，推动不同电子身份认证之间的互认。网络安全法解读三、网络运行安全网络实名制网络安全法解读数据保护范围：个人信息保护、用户信息保护和商业秘密保护。四、网络信息安全数据保护个人信息：个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。用户信息：引入了“用用户信息信息”的概念，可以理解为在用户使用产品或服务过程中收集的信息构成用户信息，包括IP地址、用户名和密码、上网时间、Cookie信息等。商业秘密：是指不为公众所知悉、能为权利人带来经济利益，具有实用性并经权利人采取保密措施的技术信息和经营信息。网络安全法解读数据保护范围：个人信息保护、用户信息保护和商业秘密保护。四、用户信息保护要点u收集：网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意明示并取得同意；u保护：网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。四、网络信息安全数据保护商业秘密保护要点u依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。网络安全法解读用户信息保护要点四、网络信息安全数据保护商业秘密保护要点四、网络信息安全数据保护个人信息保护：与以往法律法规相比，增加了删除权和更正权：u应当遵守本法和有关法律、行政有关法律、行政有关法律、行政有关法律、行政法法法法规规的规定。电电信和互信和互信和互信和互联联网用网用网用网用户户个人信息保个人信息保个人信息保个人信息保护护规规定定定定u收集、使用个人信息：应当遵循合法、正当、必要合法、正当、必要合法、正当、必要合法、正当、必要的原则，公开收集、使用使用使用使用规则规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意同意同意同意。u不得泄露、篡改、毁损其收集的个人信息：1）采取技技术术措施措施和其他必要措施保护；2）若泄漏，立即采取补补救措施救措施，告知告知用用户户并向有关主管部向有关主管部门报门报告告。u未经被收集者同意，不得向他人提供个人信息。但是，但是，但是，但是，经过处经过处理无法理无法理无法理无法识别识别特定个特定个特定个特定个人且不能复原的除外人且不能复原的除外人且不能复原的除外人且不能复原的除外。-利好利好利好利好“大数据大数据大数据大数据发发展展展展”u个人信息主体拥有删删除除除除权权（保护使用不当）和更正更正更正更正权权（有误）u不得非法获取、窃取，不得非法出售、非法向他人提供uu管理部管理部管理部管理部门门不得泄露履行职责中知悉的个人信息网络安全法解读四、网络信息安全数据保护个人信息保护：与以往法律法规相比，数据本地化u关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据个人信息和重要数据应应当在境内存当在境内存储储。u因业务需要，确需向境外提供的，应当进行安全评估；法律、行政法规另有规定的，依照其规定。四、网络信息安全数据本地化其它规定u下列数据在其它法律里有本地化要求：国家秘密和国家安全数据、征信数据、个人金融信息、地图数据、网络出版服务所需的必要的技术设备、网约车相关数据和信息。网络安全法解读数据本地化四、网络信息安全数据本地化其它规定网络安全法四、网络信息安全网络行为u任何个人和组织应当对其使用网络的行为负责，不得不得设设立立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违违法犯罪活法犯罪活动动的网站、通的网站、通讯讯群群组组，不得不得利用网络发发布布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违违法犯罪活法犯罪活动动的信息的信息。网络行为要求网络安全法解读四、网络信息安全网络行为任何个人和组织应当对其使用网络的行国家及主管部门u建立网络安全监测预警和信息通报制度。按照规定统统一一发发布网布网络络安全安全监测预监测预警警信息信息u关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网网络络安全安全监监测预测预警和信息通警和信息通报报制度制度，并按照规定报送网络安全监测预警信息u国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应应急急预预案，并定期案，并定期组织组织演演练练u网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害：检测检测、评评估、估、预预警、警、补补救措施救措施u发生网络安全事件，应当立即启启动动网网络络安全事件安全事件应应急急预预案案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息五、监测预警与应急处理网络安全法解读国家及主管部门五、监测预警与应急处理网络安全法解读国家及有关部门u省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈约谈。u因网网络络安全事件，安全事件，发发生突生突发发事件或者生事件或者生产产安全事故安全事故的，应当依照中华人民共和国突发事件应对法、中华人民共和国安全生产法等有关法律、行政法规的规定处置。u因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网网络络通信采取限制等通信采取限制等临时临时措施措施。网络运营者u存在较大安全风险或发生安全事件：网络运营者应当按照要求采取措施采取措施，进行整改，整改，消除消除隐隐患患。五、监测预警与应急处理网络安全法解读国家及有关部门五、监测预警与应急处理网络安全法解读行政处罚u责令改正、警告、改正、警告、罚款款，u责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员等进行罚款等；u有关机关还可以把违法行为记录到信用档案到信用档案。u对于“非法入侵”等，法律还建立了职业禁入禁入的制度。六、法律责任民事责任u违法网络安全法的行为给他人造成损失的，网络运营者应当承担相应的民事责任。治安管理处罚/刑事责任u违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。网络安全法解读行政处罚六、法律责任民事责任治安管理处罚/刑事责任网络安全02守法要点02守法要点守法要点网络运营者法律合规要求需要网络运营者建立企业的管理制度和操作规程，以满足法律合规性的要求，避免法律风险，主要包括如下：1）与实施网施网络安全等安全等级保保护制度相关制度相关的义务和制度建设，包括制定内部安全管理制度和操作规程，确定网络安全负责人等（第二十一条）；2）健全用健全用户信息信息保护制度（第二十二条和第四十条）；3）落实网网络实名制名制（第二十四条）；4）网络安全事件应急急预案案（第二十五条）；5）关关键信息基信息基础设施的安全保施的安全保护义务，包括：设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；定期对从业人员进行网络安全教育、技术培训和技能考核；对重要系统和数据库进行容灾备份；制定网络安全事件应急预案，并定期进行演练；法律、行政法规规定的其他义务（第三十四条）；网络安全法解读守法要点网络运营者法律合规要求网络安全法解读守法要点网络运营者法律合规要求6）采购关关键信息基信息基础设施施产品和服品和服务的保密制度（第三十六条）；7）关关键信息基信息基础设施安全性施安全性的年度评估（第三十六条）；8）个人信息的收集和利用个人信息的收集和利用规则及制度（第四十一条和第四十二条）；9）个人信息泄露个人信息泄露事件的报告制度（第四十二条）；10）违法使用法使用个人信息删除和错误个人信息更正更正制度（第四十三条）；11）网络运营者对用户非法信息非法信息传播播的监管（第四十七条）；12）网络信息安全投投诉、举报制度（第四十九条）。网络安全法解读守法要点网络运营者法律合规要求6）采购关键信息基础设施产品守法要点产品研发u符合相关国家标准的强制性要求。不得设置恶意程序；发现存在安全缺陷、漏洞等风险时，应当立即采取补救措施，及时告知用户并向有关主管部门报告。u持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。u网络关键设备和网络安全专用产品安全认证合格或者安全检测符合要求后，方可销售个人u规范上网行为：u诈骗、传授诈骗方法、制售违禁物品u不得危害网络安全（入侵、窃取等）、国家安全；u不得发布不良信息u不得侵犯他人权益u不为上述违法行为提供便利网络安全法解读守法要点产品研发个人网络安全法解读03工作要点03工作要点工作要点产品运营u国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。u国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。u国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训。标准制定u国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定（网络安全管理以及网络产品、服务和运行安全）。网络安全法解读工作要点产品运营标准制定网络安全法解读宣传教育工作要点网络安全法解读宣传教育工作要点网络安全法解读愿景工作要点网络安全法解读愿景工作要点网络安全法解读谢谢网络安全法解读谢谢网络安全法解读谢谢您的聆听敬请批评指正！谢谢您的聆听谢谢您的聆听敬请批评指正！谢谢您的聆听