《网络安全法》解读系列之二—网络运营者们看过来.docxVIP

《网络安全法》解读系列之二—网络运营者们看过来上个月，我们梳理了《网络安全法》的骨架，今天，我们站在本法适用的角度来对部分条款展开解读。首先，我们将适用对象设定为——网络运营商，现将《网络安全法》对网络运营者的责任、义务和法律责任的条款认定以及解读做如下呈现。网络运营者责任、义务和法律责任解读广大网络运营者的BOSS们请注意啦：随着网络安全法的实施，相应的法律条款和法律责任必然会落地实施，无论企业还是个人，切忌心存侥幸，以身试法。轻则罚款，重则企业停业、个人拘留。下面在解读条款的同时，以建议的方式说明如何进行网络安全和数据安全保护的建议，希望能够帮助网络运营者更好的完善自身的网络安全，规避风险。【第9条】网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。解读：本条款明确了网络运营者必须承担的基本义务，特别是网络安全保护义务，接受政府和社会监督的义务。【第10条】建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。解读：本条款明确了网络运营者除了要依法外，还要依照国家标准，在国家标准中分为强制性要求和推荐性要求，这里特别强调的是要依照强制性要求执行。同时强调了网络数据的完整性、保密性和可用性。【第21条】国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。解读：本条规定了网络运营者必须履行的义务之一。和“等级安全保护制度”相关。重点在于：确定网络安全责任人，以落实保护责任。这里需要注意的是作为责任人，相应的承担着法律责任。技术层面需要采取防病毒、入侵检测等手段保护网络安全。（建议采用专门的网络安全产品：云盾、WAF等）采用数据库审计、网络审计等手段，采集并记录、分析日志，日志留存不少于六个月。（建议采用专门的安全审计产品：数据库监控与审计系统、网络日志审计系统）在数据安全方面，再次强调了数据分类和数据加密；数据分类的重点是能够帮助责任人自动的识别发现系统中的个人敏感信息和行业敏感信息，和这些信息存储的位置、数据库表和字段，以确定需要保护的内容；数据加密则一直以来就是个难点，其中的关键是在满足保密性的同时还要满足可用性，比较理想的技术手段是“透明数据加密（TDE）”。（建议采用专门的数据加密产品：数据库透明加解密（TDE）系统）特别提醒网络运营者和安全责任人：不履行本条义务的，要承担法律责任（违法啦）适用法律责任：【第五十九条】【第24条】网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。解读：本条规定了网络运营者必须履行的义务之一，核心是实名制，通过实名制最大程度的实现信息真实化、可靠化，可以说是国家网络安全的一个重要基础。本条在电信用户实名制基础上,规定了信息发布、即时通讯等服务的实名制要求，而为了不影响用户的隐私，这里的实名指的是“前台匿名，后台实名”（很人性化，充分显示了对个人隐私保护的决心）。另一方面，实名制也是一把双刃剑，对于网络运营者来说，一旦收集的个人信息发生大批量的泄漏，将产生无法预期的数据安全风险；因此，在本网络安全法中的“网络信息安全”章节相应的规定了“网络运营者对个人信息保护的责任”条款，强化了个人信息保护，这里有义务提醒网络运营者请务必关注本篇后面的“网络信息安全条款和法律责任解读”。特别提醒网络运营者和安全责任人：不履行本条第一款规定的，要承担法律责任（违法啦）适用法律责任：【第六十一条】【第25条】网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。解读：本条