网络安全2017年度盘点
【摘要】不容置疑,“网络安全”是2017年中国互联网法律政策领域的热词。
不容置疑,“网络安全”是2017年中国互联网法律政策领域的热词。如果说2016年度的网络安全集中在信息安全监管的舆论和方向角度(详见享法:2016年度国内互联网信息安全监管大事记),2017年度的网络安全大事件则包括战略、法规、标准和执法多维度看点:确立网络主权概念进而发布网络问题国际战略;以《网络安全法》为核心打造全方位法律监管体系和合规要求;国家标准委逐项落地网络安全各领域标准化体系;监管部门落实网络安全执法检查。
一、中国首度就网络问题发布国际战略
2017年3月1日,外交部和国家互联网信息办公室共同发布《网络空间国际合作战略》。这是中国首度就网络问题发布国际战略。《网络空间国际合作战略》以和平发展为主题,以合作共赢为核心,倡导和平、主权、共治、普惠作为网络空间国际交流与合作的基本原则,确立了维护主权与安全、构建国际规则体系、促进互联网公平治理、保护公民合法权益、促进全球数字经济合作、打造网上文化交流平台文化等中国参与网络空间国际合作的六大战略目标。
二、以《网络安全法》为核心打造全方位法律监管体系和合规要求
1. 《网络安全法》正式实施
2017年6月1日,《网络安全法》正式实施。网络安全法共七章七十九条,内容上突出六大亮点:
√ 明确网络空间主权的原则;
√ 明确网络产品和服务提供者的安全义务;
√ 明确网络运营者的安全义务;
√ 完善个人信息保护规则;
√ 建立关键信息基础设施安全保护制度;
√ 确立关键信息基础设施重要数据跨境传输的规则。
2. 配套:关于个人信息与重要数据保护
2017年4月11日,国家互联网信息办公室就《个人信息和重要数据出境安全评估办法(征求意见稿)》公开征求意见,内容共十八条。 本办法对“网络运营者”、“数据出境”、“个人信息”和“重要数据”明确定义。强调网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照有关规定进行安全评估。《评估办法》规定了自行评估和监管评估两种评估程序。
2017年5月8日,最高人民法院、最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(“《解释》”,自2017年6月1日起施行)。《解释》共十三条,明确了“公民个人信息”的界定范围,将财产状况、行踪轨迹等明确列入公民个人信息范畴;明确了侵犯公民个人信息的定罪量刑标准,区分三类信息分别适用“五十条”“五百条”和“五千条”标准认定“情节严重”;造成被害人死亡、重伤、精神失常或者被绑架等严重后果或造成重大经济损失或者恶劣社会影响等情形均属刑法第二百五十三条第一款规定的“情节特别严重”。
3. 配套:关于网络产品和服务安全
2017年5月2日,国家互联网信息办公室发布《网络产品和服务安全审查办法(试行)》(“《审查办法》”),自2017年6月1日起实施。《审查办法》内容包括网络安全审查的范围、审查的内容、审查机构、网络产品和服务提供者的权利和义务及法律责任等方面。《审查办法》明确要求关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。 网络安全审查重点审查网络产品和服务的安全性、可控性。
2017年6月8日,工业和信息化部就《互联网新业务安全评估管理办法(征求意见稿)》公开征求意见。本管理办法规定中华人民共和国境内的电信业务经营者拟将互联网新业务,即电信业务经营者通过互联网新开展其已取得经营许可的电信业务,或者通过互联网运用新技术试办未列入《电信业务分类目录》的新型电信业务,面向社会公众上线的(含合作推广、试点、商用试验)的,应当按照电信管理机构有关规定和互联网新业务安全评估标准,从用户个人信息保护、网络安全防护、网络信息安全、建立健全相关管理制度等方面,开展互联网新业务安全评估。
4. 配套:关于关键信息基础设施安全保护
2017年7月10日,国家互联网信息办公室就《关键信息基础设施安全保护条例(征求意见稿)》公开征求意见。《关键信息基础设施安全保护条例(征求意见稿)》规定哪些重点单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围。关键信息基础设施的运营者对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。
5. 配套:关于网络安全威胁监测与应急预案
2017年1月10日,中央网信办印发《国家网络安全事件应急预案》。本预案并将网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。网络安全事件应急响应分为四级,分别对应特别重大、重大、较大和一般网络安全事件,I级为最高响应级别。网络安全事件应急处置工作实行责任追究制。
2017年8月9日,工信部印发《公共互联网网络安全威胁监测与处置办法》,自2018年1月1日起实施。《公共互联网网络安全威胁监测与处置办法》明确界定了公共互联网网络安全威胁的范围,并要求相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等监测发现网络安全威胁后,属于本单位自身问题的,应当立即进行处置,涉及其他主体的,应当及时将有关信息按照规定的内容要素和格式提交至工信部和各地电信管理部门。
2017年11月14日,工业和信息化部发布《公共互联网网络安全突发事件应急预案》(“《应急预案》”)。《应急预案》共9条,明确了公共互联网网络安全突发事件分级(特大、重大、较大和一般网络安全事件)、监测预警(I-IV级)、应急处置、预防与应急准备、保障措施等内容。在启动I级、II级响应后,针对大规模用户信息泄露事件,事发单位应根据要求及时告知受影响的用户,并告知用户减轻危害的措施。
6. 配套:关于网络信息安全
国家互联网信息办公室分别颁布了如下管理规定,针对不同网络信息发布形式和特点加强信息安全管理:
2017年5月2日颁布《互联网新闻信息服务管理规定》,6月1日实施;
2017年8月25日颁布《互联网论坛社区服务管理规定》;
2017年8月25日颁布《互联网跟帖评论服务管理规定》;
2017年9月7日颁布《互联网群组信息服务管理规定》;
2017年9月7日颁布《互联网用户公众账号信息服务管理规定》。
三、国家标准委逐项落地网络安全各领域标准化体系
2016年8月所发布的《关于加强国家网络安全标准化工作的若干意见》在2017年度得到了实质性进展,在国家标准委领导下,全国信息安全标准化技术委员会分别就2017年度内网络安全法所涉及的信息安全技术领域的具体事项颁布征求意见稿或草稿,切实落地网络安全法规执行所需的国家标准化体系。
【设计信息安全技术体系的标准化建设太过庞大,以下仅作简要举例说明……】
《信息安全技术 大数据安全管理指南(征求意见稿)》: 明确大数据安全管理的角色与责任,指出大数据安全风险及其管理评估办法;
《信息安全技术 数据出境安全评估指南(草稿)》: 首次公布了重要数据识别指南,并列举了27个行业主管部门统计的中澳数据的划分范围;
《信息安全技术 个人信息安全规范(报批稿)》:详细规范了个人信息控制者开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动时应遵循的准则;
《信息安全技术 数据交易服务安全要求(征求意见稿)》:规定数据交易服务参与方、交易对象和交易过程的安全要求;
《信息安全技术 数据出境安全评估指南(征求意见稿)》:对数据出境是否需要进行评估做出指南;
《信息安全技术 关键信息基础设施安全检查评估指南(征求意见稿)》:规定关键信息基础设施检查评估工作准备、实施、总结环节的流程要求以及具体要求。
四、监管部门落实网络安全执法检查
自《网络安全法》6月1日正式实施以来,各地网信办、网安大队等监管部门落实网络安全执法检查,查处一批具有典型性代表的网络安全违法事件,形成典型执法案例供各家网络运营者引以为戒,举例而言:
腾讯、新浪微博、百度贴吧因违反《网络安全法》遭属地网信办重罚。腾讯公司微信公众号平台存在用户传播暴力恐怖、虚假信息、淫秽色情等危害国家安全、公共安全、社会秩序的信息;新浪微博对其用户发布传播“淫秽色情信息、宣扬民族仇恨信息及相关评论信息”未尽到管理义务;百度贴吧对其用户发布传播“淫秽色情信息、暴力恐怖信息帖文及相关评论信息”未尽到管理义务。
多地网站因未落实网络安全等级保护制度,未履行网络安全保护义务,遭黑客攻击入侵,造成严重后果。被网络安全管理部门要求整改和罚款处罚。
广州市动景计算机科技有限公司提供的UC浏览器智能云加速产品服务存在安全缺陷和漏洞风险,未能及时全面检测和修补,已被用于传播违法有害信息,造成不良影响,被要求整改。
阿里云计算有限公司为用户提供网络接入服务未落实真实身份信息登记和网站备案相关要求,导致用户假冒其他机构名义获取网站备案主体资格,被要求整改切实落实网站备案真实性核验要求。
淮南职业技术学院系统存在高危漏洞,未落实网络安全管理制度和采取必要安全措施,致使系统存储的4353名学生的身份信息泄露。公安局网安支队依法对该学院处以立即整改和行政警告的处罚措施。
小结
盘点2017年网络安全大事件,无论是宏观的战略还是具体制度与规则都日趋完善和落地,对网络运营者的履行网络安全义务具有很强的指导意义。可以预见2018年的网络安全法律政策领域,必将是深入理解合规要求和贯彻落实的一年,享法互联网法律团队将与各位互联网运营者一起,为网络安全与合规运营保驾护航!