《网络安全法》解读

发表于   |   分类于 默认分类   |   暂无评论

网络空间的特点

虚拟性

  • 空间虚拟:没有三维物理的人造空间、电子空间、代码空间
  • 主体虚拟:匿名,隐藏身份
  • 客体虚拟:虚拟财产
  • 行为虚拟:行为由代码组成

现实性

  • 实在的信息通信实施设备
  • 实在的主体:网民
  • 实在的客体:信息
  • 实在的行为:信息行为

社会性

  • 网民—互动—网络社会
  • 每个上网者和网上的网站和网页都是互联网的节点,节点连接节点,交织成网,形成网络节点联系的体系,构成互联网上的社会交往体系,即网络社会
  • 网络社会是网络空间与现实社会的融合

网络空间与全球公域

全球公域的概念

全球公域主要是指那些国家管辖范围之外的自然财产,传统上主要包括公海及其上空,外层空间和南极洲,北约和美国均主张将网络空间视为网络公域

不同点

  1. 组成网络空间的物理设备设施实在各国主权的管辖之下
  2. 网络空间中的信息自由不是因为它是一个全球公域,而是因为各国免除或放松了信息出入境管制
  3. 网络空间与传统全球公域最大的不同是网络空间具有社会性
  4. 网络的互联互通性或无国界性并不意味着网络空间就是一个全球公域
  5. 全球公域向来都是有利于技术强国,不利于后进国家,只有掌握了必要技术能力的国家,才能够为了政治、经济、科学、文化以及军事目的而出入其中并加以利用
  6. 美国将网络空间作为全球公域有利于确保美国全球霸权地位和推销美国价值观

网络安全立法

网络安全问题的起源

  • 凯文米特尼克
  • 莫里斯蠕虫

  • 艾沙伊纳遭遇大规模网络攻击

    • 推出《塔林手册》
  • 伊朗震网病毒
  • 棱镜门事件
  • 乌克兰电力系统遭受攻击
  • 雅虎数据泄露
  • 欧美的反宣传法案

互联网的最大的特点就是开放性,这对于安全性来说就是知名的缺点

网络安全的概念

多种概念:

  • 计算机安全
  • 信息安全
  • 网络安全
  • 网络信息安全

我国国家标准《信息安全技术——术语》(GB/T25069-2010)中对计算机安全的定义为:“采取适当措施保护数据和资源,使计算机系统免受偶然或恶意的修改,损害,访问,泄露等操作的危害”

《网络安全法》第76条:

  • 网络安全是指通过采取必要措施、防范对网络的攻击、侵入、干扰,破坏和非法使用以及意外事故,是网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力
  • 网络安全 = 运行安全 + 数据安全

《德国网络安全战略》(2011)将网络安全定义为:网络安全是指一种IT安全状态的期望目标,即全球网络空间降低到可接受的最小程度

网络安全四大内容

  • 内容安全
  • 数据安全
  • 运行安全
  • 物理安全

网络治理

互联网治理的概念

互联网治理是政府、私营部门和公民社会根据各自的作用指定和实施的,旨在规范互联网发展和使用的共同原准、准则、规则、决策程序和按方案

治理与管理、管制的不同

  • 治理主体多元:政府,企业,民间组织,技术社群,学术界,国际组织和其他利益相关方
  • 治理手段多样:技术、法律、市场、管理、自律
  • 治理目标多元:推进网络空间和平、安全、开放、合作、有序、维护构架主权、安全、发展利益、实现建设网络强国的重要目标

网络治理模式

  1. 自治或自由主义

网络空间是技术社群创造的一个空间,政府没有做出任何贡献,政府无权管理网络空间

20实际90年代的《网络独立宣言》,讲到“政府的归政府,网络的归网络”

  1. 软件代码治理

网络空间实际上是由网络代码组成的,通过代码来设计网络结构,大家遵循网络结构的设计、在网络试试各式各样的行为。

可以依据法律、市场、还有各种准则、道德来治理网络;更重要的是,可以利用网络结构,网络代码来治理网络。

  1. 如同现实世界一样治理

现在对网络空间的治理逐渐转向用现实世界的治理模式来提高治理效率

网络空间和现实空间是一个融合空间、现实的治理手段很多情况下是可以应用到网络空间的

  1. 多利益相关方治理

ICANN多利益主体参与模式

ICANN是管理互联网域名和网址的机构

在ICANN中,政府的权力,政府的影响是很弱的

我国的网络治理历程

  • 自由发展阶段(1994-1999)
  • 网络治理探索阶段(2000-2013)
  • 网络治理走向法治(2014-至今)(建立领导小组)

中国的网络治理主张

构建和平、安全、开放、合作的网络空间,建立多边,民主,透明的全球互联网治理体系

四项原则:

  • 尊重网络主权
  • 维护和平安全
  • 促进开放合作
  • 构建良好秩序

五点主张:

  • 加快全球网络基础设施建设,促进互联互通
  • 打造网上文化交流共享平台,促进交流互鉴
  • 推动网络经济创新发展,促进共同繁荣
  • 保障网络安全,促进有序发展
  • 构建互联网治理体系,促进公平正义

我国的网络安全立法

现行网络安全法律体系

  • 以传统法律为基础,以网络专门法律为补充
  • 因网络空间和显示控件是融合空间,传统法律亦适用于网络空间,但是网络有一些不同的特点,需要对传统法律做一些修改完善,如《刑法》,《知识产权法》等
  • 传统法律不能包括的部分,需要指定专门的网络法律,如《网络安全法》、《网络信息服务管理法》等

网络安全立法存在的问题

  • 立法层次低,欠缺上位法和体系化设计
  • 政出多门、立法分散、立法与执法明显脱节
  • 立法滞后,不能适应网络社会快速发展的需要
  • 立法简单,缺乏操作性
  • 立法重管理轻治理,重义务轻权利
  • 网络立法人才极度欠缺,学科支撑基础薄弱

网络安全法的基本原则

网络主权原则

所谓网络主权,简单来说,就是一国国家主权在网路空间的自然延伸和表现

  • 管辖权:各个国家依据自己的法律来管辖网络事务的权利
  • 独立权:确保网络存在于国际互联网上,而不被别的国家随便抹掉的权利
  • 防卫权:保证自己的网络能够正常运行,不因网络犯罪、网络黑客、网络攻击而受到破坏中断
  • 平等权:主张在国际网络治理方面,基于国家平等参与的原则

网络安全与发展并重的原则

  • 没有网络安全就没有国家安全;没有信息化就没有现代化
  • 发展和安全相辅相成,应同步推进,安全是发展的前提,发展是安全的保障

共同治理原则

  • 网络的共同治理,是指政府、企业、民间组织、技术社群、学术界、国际组织和其他利益相关方,根据各自的作用共同参与互联网的治理
  • 治理主体包括:国家网信部门、国务院电信主管部门、公安部门、网络运营者、企业、研究机构、高校。。。。

责权利相一致原则

  • 在享受互联网带来的红利,带来的便捷的同时,我们也应当履行相应的义务

网络运行安全

网络运行安全的定义

网络运行安全是指在网络运行的过程中,网络的操作系统,应用软件等维持网络运行的程序能充分发挥其功能,消除负面因素,免受外部的干扰和破坏,保证网络稳定而有序的运行、使网络处于安全的状态

威胁网络运行安全的因素

  1. 网络攻击

网络攻击事件呈现下降的趋势,但是大流量的攻击事件开始增加

  1. 恶意程序
    网络病毒,木马等逐年下降,移动互联网恶意程序增加
  2. 网络漏洞

网络漏洞-企业-危害

网络漏洞-国家-资源

  1. 网站安全

仿冒网站、后门、被篡改等大量发生

  1. 管理、安全意识欠缺
    弱口令,软件不及时更新等

网络安全等级保护制度

共五级,按危害评级

网络运营者的义务和责任

  1. 安全保护义务

    1. 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任
    2. 采取防范计算机病毒和网络攻击,网络侵入等危害网络安全行为的技术措施
    3. 监测、记录网络运行状态,留存相关的网络日志不少于六个月
    4. 采取数据分类,重要数据要备份和加密
    5. 法律、行政法规规定的相关义务
  2. 符合强制性要求义务

网络产品,服务应当符合国家相关标准的强制性要求,网络产品,服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告

  1. 持续提供安全维护义务
  2. 取得用户同意义务
  3. 实行网络实名制义务
  4. 制定应急预案义务

网络关键设备和网络安全专用产品的销售许可制度

需要经过认证和各后才可以销售或者提供

关键信息基础设施保护

  • 关键基础设施为对一国至关重要的实体的或虚拟的系统和资产,这些系统和资产丧失能力或遭到破坏将弱化国家、经济或社会安全
  • 关键信息基础设施是指关系国家安全,国计民生,一旦数据泄露,遭到破坏或者桑柘功能可能危害国家安全、公共利益的信息设施

  • 范围:

    • 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域
    • 其他一旦遭到破坏、丧失功能或者数据泄露、可能危害国家安全,国计民生,公共利益的关键信息基础设施

关键信息基础设施的安全保护义务

  • 建设中的安全义务
    建设关键信息基础设施应当确保其具有支持服务稳定、持续运行的性能,并保证安全技术措施同步规划,同步建设、同步使用。

  • 安全保护义务

    • 设置专门安全管理机构和安全管理负责热门,并对负责人和相关人员进行安全背景审查
    • 定时向从业人员i纪念性网络安全教育、技术培训和技能考核
    • 对重要系统和数据库进行容灾备份
    • 指定网络安全应急预案,并定期演练
    • 法律,行政法规规定的其他义务
  • 签订安全保密协议义务
  • 数据本地化义务(数据在境内)
  • 风险检测评估义务

网络安全审查制度

安全审查概念

所谓网络安全审查,就是对关系国家安全和社会稳定的信息系统中使用的信息技术产品与服务进行测试评估,监测分析,持续监督的过程。

法律基础

  • 《国家安全法》
  • 《网络空间安全战略》
  • 《网络产品和服务安全审查办法》

网络安全审查工作的开展

  • 建立专家委员会
  • 第三方
  • ..

网络信息安全

个人信息

个人信息是指以电子或其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证证件号码,个人生物识别信息,住址,电话号码等

分类

  • 个人敏感信息(会对标识的个人信息主体造成不良影响的个人信息)
  • 个人一般信息(其他)

个人信息权

决定权

定义

自然人决定其个人信息是否被收集、处理与利用的权利,为了国家利益的除外

实现

事先告知、须经同意,重点是防止信息滥用

知情权

定义

自然人查询个人信息以及有关的处理情况,并要求答复的权利

实现

任何机关不得任意剥夺

请求更正权

定义

自然人请求信息处理主体对不正确,不全面的个人信息进行更正的权利

实现

有权要求

请求删除权

定义

当法定或约定的事由出现时,自然人可以要求信息处理主体删除其个人信息的权利

实现

有权要求

报酬请求权

定义

自然人因其个人信息被商业化利用而向信息处理追请求支付对价的权利

实现

保护组织(如消协)代表网民行使

保护的基本原则

  • 合法原则
  • 正当原则
  • 必要原则
  • 公开原则
  • 同意原则
  • 安全原则

网络内容安全

《中华人民共和国网络安全法》第十二条任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一。
宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动

网络服务提供者的网络信息安全义务

  • 建立信息安全管理制度
  • 用户信息审核
  • 公共信息巡查
  • 告知督促
  • 保障信息安全
  • 违法信息处置
  • 投诉处理
  • 接受监督检查
  • 信息记录
  • 报告
添加新评论