2、明确了网络产品和服务提供者的安全义务
3、明确了网络运营者的安全义务
4、进一步完善了个人信息保护规则
5、建立了关键信息基础设施安全保护制度
6、确立了关键信息基础实施重要数据跨境传输的规则
四、九类网络安全保障制度
1、网络安全等级保护制度
2、网络产品和服务安全制度
3、关键信息基础设施运行安全保护制度
4、网络安全风险评估制度
5、用户实名制度
6、网络安全事件应急预案制度
7、网络安全监测预警和信息通报制度
8、用户信息保护制度
9、关键信息基础设施重要数据境内留存制度
五、惩罚措施
1、约谈
2、断网
3、拘留
4、罚款
5、职业禁入
六、全社会参与者
1、监管者
2、监管对象
《网络安全法》是我国网络安全领域的基础性法律,是我国第一部网络安全领域的法律,也是我国第一部保障网络安全的基础法。《网络安全法》是与现有《国家安全法》、《保密法》、《反恐怖主义法》、《反间谍法》、《刑法修正案(九)》、《治安管理处罚法》、《电子签名法》等属同等地位的法律。
第一、网络空间主权原则
《网络安全法》第1条“立法目的”开宗明义,明确规定要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。习近平总书记指出,《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,覆盖国与国交往各个领域,其原则和精神也应该适用于网络空间。各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利应当得到尊重。第2条明确规定《网络安全法》适用于我国境内网络以及网络安全的监督管理。这是我国网络空间主权对内最高管辖权的具体体现。
第二、网络安全与信息化发展并重原则
习近平总书记指出,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。《网络安全法》第3条明确规定,国家坚持网络安全与信息化并重,遵循积极利用、科学发展、依法管理、确保安全的方针;既要推进网络基础设施建设,鼓励网络技术创新和应用,又要建立健全网络安全保障体系,提高网络安全保护能力,做到“双轮驱动、两翼齐飞”。
第三、共同治理原则
第一、《网络安全法》明确了网络空间主权的原则
没有网络安全就没有国家安全,没有网络主权就没有网络空间安全。网络主权原则根植于《联合国宪法》和国家法理的基本准则。网络空间主权主要表现为三个方面:一是对内的最高权,各国有权自主选择网络发展道路、网络管理模式、互联网公共政策。二是对外的独立权,各国有平等参与国际网络空间治理的权利;三是防止危害国家的网络安全,不搞网络霸权,不干涉他国内政,不从事、纵容或支持维护他国国家安全的网络活动。根据国家网络空间主权原则,国家不仅有权对其领土境内的关键基础设施,重要数据、网络空间活动和信息通信网络监管履行主权,也可依法对境外个人或组织对我国境内的网络破坏活动行驶司法管辖权,即具有域外的效力。
第二、明确了网络产品和服务提供者的安全义务
第三、明确了网络运营者的安全义务
第四、进一步完善了个人信息保护规则
《网络安全法》明确运营者在收集个人信息时必须合法、正当、必要。收集应当与个人签订合同;个人信息一旦泄漏、损坏、丢失,必须告知和报告,同时个人具有对其信息的删除权和更正权(删除权的两种形式:违反法律法规、约定的合同期限已满)。《网络安全法》首次给予个人信息交易一定的合法空间。
第五、建立了关键信息基础设施安全保护制度
以立法的形式将国家主权范围内的关键信息基础设施列为国家重要基础性战略资源加以保护,已经成为各主权国家网络空间安全法治建设的核心内容和基本实践。《网络安全法》首次将关键信息基础设施安全保护制度以立法形式进行保护。
第六、确立了关键信息基础设施重要数据跨境传输的规则
为了更好地履行《网络安全法》,运营者需要建立对应制度,分别是网络安全等级保护制度、网络产品和服务采购制度、网络产品和服务的强制性准入制度、网络安全产品和关键设备的强制性认证和检测制度、网络安全风险评估制度、用户实名制度、网络安全监测预警和信息通报制度、网络安全事件应急预案制度、开展网络安全认证、监测、风险评估制度、关键信息基础设施运行安全保护制度、用户信息保护制度、合法侦查犯罪协助制度、关键信息基础设施重要数据境内留存制度、网络安全信息管理制度网络信息安全投诉、举报制度。
《网络安全法》第二十一条规定,国家实行网络安全等级保护制。经过二十多年的发展国家确定实施网络安全等级保护制度从国家制度上升为国家法律。同时第三十一条规,对可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。网络运营者要从定级备案、安全建设、等级测评、安全整改、监督检查角度,严格落实网络安全等级保护制度。
《网络安全法》第三十一条规定,“国家对公共通信和信息服务能源,交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄漏,可能严重危害国家安全国、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护,关键信息基础设施的具体范围和安全保护办法由国务院制定。”这是我国首次在法律层面提出关键信息基础设施的概念和重点保护范围。
为了强化对关键信息基础设施安全保护的责任,《网络安全法》从国家主体和关键信息基础设施运营者两大层面,分别明确了对关键信息基础设施安全保护的法律义务和责任。在国家层面《网络安全法》第三十二条规定,“按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。”
在关键信息基础设施运营运营者方面,《网络安全法》第三十四条专门设定了关键信息基础设施的运营者应当履行的四大安全保护义务:一是设置专门安全管理机构和安全管理负责人;二是定期对从业人员进行网络安全教育、技术培训和技能考核;三是对于重要系统和数据库进行容灾备份;四是制定网络安全事件应急预预案,并定期进行演练。另外设定了一项兜底性条款,即“以及法律、行政法规规定的其他义务。”
《网络安全法》第五十一条规定,国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。这是从国家层面要建立安全态势感知与信息通报制度,说明了将来会出台国家层面的“网络安全监测预警和信息通报制度”。习近平总书记在2016年4月19日讲道到。“全天候全方位感知网络安全态势。知己知彼,才能百战不殆”,同时指出,“感知网络安全态势是最基本最重要工作。要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。要建立统一高效的网络安全分析报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。要建立政府和企业网络安全信息共享机制,把企业掌握的大量安网络安全信息供起来。”
《网络安全法》第五十二条规定,负责关键信息基础设施安全保护工作的部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全检测预警信息。这条主要从行业层面讲安全态势感知与信息通报制度,行业主管部门要在国家指导下出台行业层面的“网络安全监测预警和监测预警和信息通报制度”。
《网络安全法》第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度,同时。第二十二条规定,网络产品,服务具有收集用户信息功能的。其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
《网络安全法》对保护个人信息,有了明确规定,如“网络运营者不得泄露、篡改、损毁其收集的个人信息”,“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”等。
《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。法律、行政法规另有规定的,依照其规定。
对于涉及国家安全和社会稳定的数据提出本地化要求是一个趋势,也符合国际上的立法惯例。但是,如果数据本地化要求过于泛化,会对企业(尤其是跨国企业)的业务带来负。因此,下一步有关部门制定对关键信息基础设施的认定和数据跨境传输的安全评估办法时,数据安全和商业便利两者的平衡关系非常重要。
对数据本地化的法律规制,除了《网络安全法》的规定以下数据(或设施)亦明确有本地化的法律要求:
b、征信数据(《征信业管理条例》第二十四条)。
c、个人金融信息(《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六条。
d、地图数据(《地图管理条例》第三十四条)。
e、网络出版服务所需的必要技术设备(《网络出版服务管理规定》第八条)。
除了以上行政处罚外,网络运营者还应当包括违法行为所导致的民事责任和刑事责任。网络运营者如果因违反《网络安全法》的行为给他人造成损失的,该行为具有民事上的可诉性,网络运营者应当承担相应的民事责任。
我国《刑法修正案(九)》规定的拒不履行信息网络安全管理义务罪,指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,具有法律规定的情形之一的,构成本罪。
《网络安全法》为网络运营者设定了诸多的网络安全保护义务(如网络安全等级保护和关键信息基础设施保护等),如果由于不履行法律的规定而导致严重后果的,可能受到刑事的追诉,从而承担拒不履行信息网络安全管理义务罪的后果,下面给出几个比较典型的惩罚措施。
《网络安全法》第五十六条明确,省及以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络运营者的法定代表人或者主要负责人进行约谈。
《网络安全法》第五十八条明确规定,因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准可以在特定区域对网络通信采取限制等临时措施。“在特定区域对网络通信采取限制等临时措施”被业界很多人解读为断网。
如果被罚款对象是运营者,范围为最低一万最高一百万。如果被罚款对象是个人,范围最低五千元最高十万元。为了打击违法犯罪《网络安全法》同时规定了违法所得或采购金额的一倍以上十倍以下罚款,大大提高了犯罪成本。执行罚款的部门主要由运营者的主管部门、公安部门组成。
《网络安全法》要求关键信息基础设施的运营者设置专门的安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。如果发现受到治安管理处罚的人,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
六、全社会参与者=
1、监督者
从《网络安全法》中可以看出网络安全的治理层级,可分为领导机构、规划机构、协调机构、关键基础设施主管机构。
统筹领导机构:中央国家安全领导机构。
国家关键基础设施主管机构:各部委(电信主管部门、公安部门、其他有关机关在各自职责范围内的网络安全职责)。
非政府网络要素参与者就是通常意义上的监管对象。非政府网络要素参与者包括国家机关政务网络的运营者、网络运营者电子信息发送服务提供者、应用软件下载服务提供者、关键信息基础设施的运营者、网络产品或服务的提供者、被收集者、行业组织、大众传播媒介、企业和高校、职教培训机构、安全认证或者安全检测机构、安全管理负责人,关键岗位人员、从事人员等。