教学课件 电子商务法--凌斌.ppt

网络运营者对个人信息的保护，除了不能主动泄露、滥用以外，还应采取必要的安全保障措施，防止个人信息被其他组织或个人非法取得并非法利用。《网络安全法》第22条从技术角度规定了网络运营者应当尽到的安全保障义务： “网络产品、服务应当符合相关国家标准的强制性要求：网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。” “网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。” “网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。” * 安全保障措施规范：技术要求 安全保障除了技术性规则以外，还有制度性要求。即网络运营者除了要采取适当的网络安全技术外，还应当建立一套行之有效的安全管理责任体系，如明确安全管理责任、流程，对工作人员和代理人员实行权限管理等。 具体措施规定在《电信和互联网用户个人信息保护规定》第13条，包括： （一）确定各部门、岗位和分支机构的用户个人信息安全管理责任； （二）建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度； （三）对工作人员及代理人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施； （四）妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体，并采取相应的安全储存措施； （五）记录对用户个人信息进行操作的人员、时间、地点、事项等信息； （六）按照电信管理机构的规定开展通信网络安全防护工作； （七）电信管理机构规定的其他必要措施。 * 安全保障措施规范：管理制度要求 《网络安全法》第21条对于安全等级保护的规定为： “国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改： （一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任； （二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施； （三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月； （四）采取数据分类、重要数据备份和加密等措施； （五）法律、行政法规规定的其他义务。 * 安全保障措施规范：等级保护要求 如果发生安全隐患或事故，造成个人信息泄露或可能泄露时，除了寻求民事救济，还应当启动应急预案并及时向有关部门申请帮助。 《网络安全法》第25条规定：“在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。” 《电信和互联网用户个人信息保护规定》第14条更细致地对上报的对象作了规定，并规定了在相关管理部门调查处理时的配合义务：“?电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调查处理。 电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估；影响特别重大的，相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前，可以要求电信业务经营者和互联网信息服务提供者暂停有关行为，电信业务经营者和互联网信息服务提供者应当执行。” * 安全保障措施规范：应急预案和报告 网络个人信息保护的监督检查，主要监管主体是电信管理机构，对象是电信业务经营者、互联网信息服务提供者。《网络安全法》第50条规定：“国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录。” 这里提到的禁止发布或传输的信息，自然也包括非法泄露的个人信息。 除了信息泄露的时候处置外，《网络安全法》还规定国家网信部门建立网络信息安全风险评估和应急工作机制，并组织演练。（第五十三条）省级以上网信部门，还可以根据风险评估的结果，约谈其网络运营商责任人，并要求其改建安全措施、消除隐患。（第五十六条）未尽到相应义务的，将被处以行政处罚。（第六十六条、六十九条） * 个人信息保护监督监管 《电信和互联网用户个人信息保护规定》第十七条： “电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。 电信管理机构实施监督检查时，可以要求电信业务经营者、互联网信息服务提供者提供相关材料，进入其生产经营场所调查情况，电信业务经营者、互联网信息服务提供