在《网络安全法》实施的今天，网络运营商应履行安全义务

本篇文章4051字，读完约10分钟

在《网络安全法》实施的今天，网络运营商应履行安全义务 《网络安全法》将于6月1日正式实施，进一步明确网络安全工作的目标、原则、战略任务和法律依据。网络安全工作战略将更加清晰，任务将更加具体，责任将更加明确。 边肖:耿鹏飞 2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议表决通过了《中华人民共和国网络安全法》(以下简称《网络安全法》)，进一步明确了重点信息基础设施的范围，对攻击或破坏中国重点信息基础设施的境外组织和个人提供了相应的处罚措施，并增加了惩治网络欺诈等新型网络犯罪的规定。该条明确规定，该法将于2017年6月1日生效。

5月25日至26日，工业和信息化部网络安全局组织行业相关部门在北京举办了《网络安全法》和《信息通信网络与信息安全规划(2016-2020)》宣传培训会。在系统全面解读《网络安全法》及相关国家网络和信息安全战略规划的基础上，围绕如何实施《网络安全法》及相关战略规划，明确重点信息基础设施保护、数据安全和用户个人信息保护、网络关键设备及安全产品认证测试、网络安全监测预警和应急处置等相关行业规章制度，进行了深入交流和探讨，明确了下一步工作方向和要求。

会议认为，全国网络和信息安全相关战略规划陆续出台，《网络安全法》将于6月1日正式实施，进一步明确了网络安全工作的目标、原则、战略任务和法律依据。网络安全工作战略将更加清晰，任务将更加具体，责任将更加明确。当前和今后一个时期，网络与信息安全工作的重要任务是研究和实施《网络安全法》及相关战略规划。

《网络安全法》加强了对个人信息和数据安全的保护。

根据法律条文的内容，笔者梳理出《网络安全法》中与我们的工作和生活密切相关的条款，包括以下十一点:

1.网络安全企业和机构得到更多支持，这将促进产业和企业的发展:第十六条国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，支持网络安全关键技术产业和项目，支持网络安全技术的研究、开发、应用和推广，保护网络技术的知识产权，支持科研机构、高等院校和企业参与国家网络安全技术创新项目。

2.加强网络安全教育和知识普及，从而更好地理解网络安全的作用。第十九条各级人民政府及其有关部门应当定期组织网络安全宣传教育，指导和督促有关单位做好网络安全宣传教育工作。大众传媒应为社会开展有针对性的网络安全宣传教育。

3.促进网络安全教育机构发展，培养更多网络安全人才。第二十条国家支持企业、高等院校、职业学校等教育培训机构开展网络安全教育培训，采取多种方式培养网络安全技术人才，促进网络安全技术人才交流。

4.对网络安全运维岗位提出了具体的规范和要求。网络管理岗位非常重要，其职责也非常重要。第二十一条国家实行网络安全等级保护制度。网络经营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保护网络不受干扰、破坏或者未经授权的访问，防止网络数据被泄露、窃取或者篡改。

5.网络安全提供者有义务保护企业和个人的网络安全，不得推卸责任。第二十二条网络产品和服务应当符合相关国家标准和行业标准。网络产品和服务的提供商不得设置恶意程序；其产品和服务具有收集用户信息功能的，应当明示并取得用户同意；发现网络产品和服务存在安全缺陷和漏洞等风险时，应当及时通知用户并采取补救措施。网络产品和服务的提供商应为其产品和服务提供持续的安全维护；在双方约定或约定的期限内，不得终止提供安全维护。

6.网络服务提供商必须建立网络危机应对计划，出现问题时不能将责任推给第三方。第二十五条网络运营商应当制定网络安全事件应急预案，及时应对系统漏洞、计算机病毒、网络入侵和网络攻击等安全风险。发生危及网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按规定向有关主管部门报告。

7.澄清网络犯罪的范畴。后台支持，如网络劫持、假冒基站、诱导输入、为非法行为提供广告和支付等也将受到处罚:第二十七条任何个人和组织不得从事侵犯他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。禁止提供从事网络入侵、干扰正常网络功能、窃取网络数据以及其他危害网络安全活动的工具和生产方法。不得为他人进行危害网络安全的活动提供技术支持、广告宣传、支付和结算。

8.安全信息共享，企业与部门互联，覆盖面更广。第二十九条国家支持网络运营商在网络安全信息的收集、分析、通报和应急响应等方面开展合作，提高网络运营商的安全能力。

9.强调电信运营商的安全责任:第三十六条重点信息基础设施运营商在购买网络产品和服务时，应当与提供商签订安全保密协议，明确其安全保密义务和责任。

10.要求网络服务提供商确保其个人信息的安全。不允许他们非法收集、存储、转售或商业化他们的信息，也不允许他们造成信息泄露或损失。个人也有权要求网络服务提供商删除自己的信息。第四十一条网络经营者应当遵循合法、合法、必要的原则，明确信息收集和使用的目的、方法和范围，并征得被收集人的同意。网络经营者不得收集与其提供的服务无关的公民个人信息，不得违反法律、行政法规的规定和双方的约定收集和使用公民个人信息，并按照法律、行政法规的规定或者与用户的约定处理其保存的公民个人信息。网络经营者应当披露其收集和使用公民个人信息的规则。

第四十二条网络经营者应当对收集的公民个人信息严格保密，不得泄露、篡改、损毁、出售或者非法提供给他人。网络经营者应当采取技术措施和其他必要措施，保障公民个人信息的安全，防止其收集的公民个人信息的泄露、损毁和丢失。当信息泄露、损坏或丢失发生或可能发生时，应立即采取补救措施通知可能受影响的用户，并按规定向有关主管部门报告。

第四十三条个人发现网络经营者违反法律、行政法规规定或者双方同意收集、使用其个人信息的，有权要求网络经营者删除其个人信息。如果发现网络运营商收集和存储的个人信息有误，有权要求网络运营商进行更正。

第四十四条任何个人和组织不得窃取或者非法获取公民个人信息，不得向他人出售或者非法提供公民个人信息。

11.强调防止内部泄漏的重要性。毕竟，许多信息泄露都是内部人员的工作:第三十九条依法负责网络安全监督管理的部门，必须对其在履行职责过程中知悉的公民个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法提供给他人。

关于《网络安全法》的实施，网络安全局局长回答了记者的提问。

日前，国家互联网信息办公室网络安全协调局局长就《网络安全法》答记者问。该负责人表示，《网络安全法》的颁布实施不仅从法律上保障了广大网民的利益，有效维护了国家网络的主权和安全，也有利于信息技术的应用和互联网巨大潜力的开发。

如何确定关键信息基础架构的范围？中国将采取什么措施来加强对关键信息基础设施的保护？

负责人答复称，关键信息基础设施保护系统的目的是确保关系国家安全、国计民生和公共利益的信息系统和设施的安全。与分级保护系统相比，涉及的范围相对较小。从各国的情况来看，确定关键的信息基础设施相当复杂，在实践中是一个不断改进和调整的过程。目前，国家互联网信息办公室正与相关部门紧密合作，按照《互联网安全法》的要求，研究制定相关指导文件和标准，指导相关行业界定重点信息基础设施的具体范围。

加强对关键信息基础设施的保护，首先要按照《网络安全法》的要求，制定相关的配套制度和标准。我们应重点做好以下几个方面的工作:一是加强重点信息基础设施保护的整体规划，加强顶层设计和整体保护，避免多头分散、分散管理的局面。二是建立和完善责任制。政府主要加强监管和引导，重点信息基础设施运营商应承担主要保护责任。第三，要加强对员工的网络安全教育、技术培训和技能考核，切实提高网络安全意识和水平。四是做好网络安全信息共享和应急处置的基础工作，提高关键信息基础设施的保护能力。第五，加强保护关键信息基础设施方面的国际合作。

至于《网络安全法》的要求，应该采取技术措施和其他必要措施来阻止来自海外的非法信息的传播。这一要求是否意味着严格控制外国网站和限制信息的跨境流动？

该负责人表示，在现实世界中，无论企业还是个人进入任何国家，都必须遵守任何国家的法律法规，违法行为都会受到法律的制裁。网络空也不例外。在中国境内网络上传输的信息必须符合中国法律法规的规定。

中国坚持互联网法治，采取技术和其他必要措施阻止非法信息在其境内传播，这是国家网络主权的体现，也是维护国家安全和广大人民利益的客观要求。我们支持信息跨境自由流动，但前提是其他国家网络的主权不受损害，阻止非法信息进入其网络与支持信息跨境自由流动并不矛盾。

《网络安全法》规定，中华人民共和国境内关键信息基础设施运营商收集的个人信息和重要数据应存储在境内。此类法规会限制数据的跨境流动并影响国际贸易吗？

该负责人表示，网络安全法的目的是维护国家网络安全，保护人民的利益。要落实法律要求，必须把握以下几点:1 .这是关键信息基础设施运营商的要求，而不是所有网络运营商的要求。2.并非所有数据都仅限于个人信息和重要数据。这里的重要数据是国家的，而不是企业和个人的。3.对于确实需要出境的数据，法律已经做出了制度安排。那些经安全评估后认为不会危及国家安全和公共利益的人可以离开该国。4.经个人信息主体同意，个人信息可以导出。特别是，国际电话、国际电子邮件、通过互联网进行的跨境购物和其他个人活动被视为已被个人信息主体批准。

《网络安全法》中关于在中国境内保留数据和出境评估的条款并不是为了阻止数据的跨境流动，也不是为了限制国际贸易。如今，数据的跨境流动已经成为经济全球化的前提和推动一带一路建设的必要条件。我们愿在此问题上与其他国家开展交流与合作，共同促进数据依法有序、自由、跨境流动，充分保障个人信息安全和国家网络安全。

摘要

《网络安全法》的实施对于保护我国公民的个人信息、界定关键信息基础设施的范围、惩治电信欺诈犯罪以及管理攻击和破坏我国关键信息基础设施的海外组织和个人具有重要的里程碑意义。