法律法规篇
(一)《网络安全法》
简介
2017年6月1日起《中华人民共和国网络安全法》(下文简称《网络安全法》)正式实施,从宏观的层面来讲,这意味着网络安全同国土安全、经济安全等一样成为国家安全的一个重要组成部分;从微观层面来讲,意味着网络运营者(指网络的所有者、管理者和网络服务提供者)必须担负起履行网络安全的责任。
《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,并对“网络(Cyber)”进行了重新定义,是指“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”,其涵义外延更大。既然作为基本法,与之前看到的各部门规章有着本质区别,它明确提出不履行相应的责任与义务,都将会受到法律的处罚。处罚也从不同角度进行了细化和明确,特别是会对主管人员或直接负责人员进行处罚,构成犯罪的会依法追究刑事责任。
解读
《网络安全法》的八大亮点。
(1)将信息安全等级保护制度上升为法律。
(2)明确了网络产品和服务提供者的安全义务和个人信息保护义务。
(3)明确了关键信息基础设施的范围和关键信息基础设施保护制度的主要内容。
(4)明确了国家网信部门对网络安全工作的统筹协调职责和相关监督管理职责。
(5)确定网络实名制,并明确了网络运营者对公安机关、国际安全机关维护网络安全和侦查犯罪的活动提供技术支持和协助的义务。
(6)进一步完善了网络运营者收集、使用个人信息的规则及其保护个人信息安全的义务与责任。
(7)明确建立国家统一的监测预警、信息通报和应急处置制度和体系。
(8)对支持、促进网络安全发展的措施作了规定。
问答
(1)法律保护的公民个人信息范围。
公民个人信息是指:以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名身份证件号码通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
《网络安全法》对公民个人信息做了进一步界定,电商、社交、搜索地图、直播云及全平台账号密码信息均被纳入公民个人信息范围,并明确了非法获取、出售个人信息等情况的相应处罚措施。
(2)您的信息被冒用怎么办?
《网络安全法》特别规定了公民个人信息保护的基本法律制度。通过举报要求网络运营者及时删除被冒用的个人信息,是公民加强个人信息保护的有力武器。
(3)您发现危害网络安全的行为可以举报吗?
《网络安全法》明确了公民对危害网络安全行为的举报权利,政府部门有受理处置公民举报的责任,保障了公民通过网络举报参与网络空间治理的有效性。
(二)《数据安全法》
简介
2021年6月10日,历经三审的《中华人民共和国数据安全法》正式通过,并于2021年9月1日实施。作为我国数据安全领域的基本法,《数据安全法》完善了我国数据安全治理体系中最重要的一块拼图,与《网络安全法》同属于国家安全和网络空间主权的重要组成部分。
解读
《数据安全法》是我国第一部有关数据安全的专门法律,也是国家安全领域的一部重要法律。《数据安全法》的出台,为国家重要数据保护和各行业数据安全监管提供依据,标志着我国在数据安全领域有法可依。
一是强化数据安全领域制度建设。《数据安全法》确立了数据分类分级管理、数据安全审查、风险评估、监测预警和应急处置等基本制度,为我国数据安全保护提供了法律保障,也为相关部门出台重要数据目录、数据跨境管理等的细则办法和规范性文件留下法律依据。同时,《数据安全法》明确了数据管理者和运营者应当遵守的义务和责任,对相关主体形成制约机制,并为其开展数据安全保护指明了合规方向。
二是统筹数字经济发展与数据安全保护。《数据安全法》坚持数据安全保障与数据开发利用和产业发展互相促进,在法律层面提出了发展数字经济、弥合数字鸿沟、推进数据开发利用、培育数据交易市场等要求,在保障数据安全的同时,促进数据的创新应用,激发数据要素价值,提升数据对经济社会稳定发展的作用。
三是指导行业部门开展数据保护工作。《数据安全法》明确了行业部门的数据安全监管职责。在工业领域,工业数据既承载着工业生产运行的重要信息,关乎产业安全和国家安全,又是驱动制造业转型升级的重要生产要素,亟待有效挖掘应用价值。《数据安全法》划出了数据活动的“红线”,为工业领域开展数据分类分级、跨境传输评估、风险评估等工作提供指引,能够有效破解智能网联汽车、工业互联网等应用场景的数据安全问题,从而保障行业安全和国家利益。
问答
(1)《数据安全法》的适用范围是什么?
在中华人民共和国境内开展数据处理活动及其安全监管;在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,需要追究法律责任的,均适用数据安全法。但是,开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》。军事数据安全保护的办法,由中央军事委员会依据本法另行制定。
(2)数据安全的监管体系是如何构建的?
数据安全法明确:
①中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
②各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。其中,工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
③相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
④任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。
(3)数据安全管理制度有哪些具体要求?
①国家建立数据分类分级保护制度,对数据实行分类分级保护。
②国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
③国家建立数据安全应急处置机制。
④国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
(三)《个人信息保护法》
简介
2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,自2021年11月1日起施行。
明确不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制……这部专门法律充分回应社会关切,为破解个人信息保护中的热点难点问题提供强有力的法律保障。
《个人信息保护法》明确个人信息处理和跨境提供的规则、个人信息处理者的义务等内容。本法规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
针对过度收集信息、大数据杀熟的问题,本法明确,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;个人信息处理者利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
针对滥用人脸识别技术问题,本法要求,在公共场所安装图像采集、个人身份识别设备,应设置显著的提示标识;所收集的个人图像、身份识别信息只能用于维护公共安全的目的。
对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,本法特别规定了其需要履行的义务,如建立健全个人信息保护合规制度体系,定期发布个人信息保护社会责任报告,接受社会监督等。
《个人信息保护法》还进一步强化相关部门的监管职责,从严惩治违法行为。履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
解读
(1)什么是个人信息?
以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括收集、存储、使用、加工、传输、提供、公开、删除等。
(2)核心原则:“告知-同意”。
处理个人信息,应在事先充分告知的前提下取得个人同意,不得误导、欺诈、胁迫等;不得以个人不同意为由拒绝提供产品或者服务;信息处理者应当提供便捷的撤回同意的方式。
(3)个人信息处理有“三最”。
处理个人信息应当采取对个人权益影响最小的方式;收集范围应当限于实现处理目的的最小范围;保存期限应当为实现处理目的所必要的最短时间。
问答
(1)《个人信息保护法》回应了哪些社会热点问题?
①禁止差别化待遇,让大数据“杀熟”无所遁形。
②对处理敏感个人信息的规则进行了规定。
③明确了公共场所采集个人信息的特殊要求。
④规范了平台责任,不得过度收集个人信息。
(2)企业应该注意哪些问题?
违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
(3)处理敏感个人信息为什么要取得个人的单独同意?
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
(4)为什么要加强个人信息行为的打击力度?
现在个人信息显然比以前更重要。随着移动支付,刷脸支付等越来越广泛,个人的手机与银行卡紧密联系,个人的身份信息,面部识别信息等,关系到我们每个人的人身安全和财产安全。还有很多地方在用到刷脸,那么如何确保个人的信息不受侵犯呢?如果这么多的数据被泄露,被买卖的话,那种严重程度可想而知。因此,加强个人信息保护的力度,出台更严厉的措施打击这种行为是十分必要的。如果处罚力度太轻的话,很难起到震慑作用。
(四)《密码法》
简介
密码是国家重要战略资源,密码工作是党和国家的一项特殊重要工作,直接关系国家政治安全、经济安全、国防安全和信息安全。密码法是我国国家安全法律制度体系的重要组成部分,是密码领域的综合性、基础性法律,于2019年10月26日经十三届全国人大常委会第十四次会议审议通过,自2020年1月1日起正式实施。
《中华人民共和国密码法释义》共五章,围绕“什么是密码、谁来管密码、怎么管密码、怎么用密码”等问题,对密码法的法条进行逐条释义和深入阐释,对重点问题和制度设计的立法考虑和立法原意作详尽解读。该书突出政策性、专业性、实用性和通俗性,为广大干部群众学习密码法提供了重要辅助材料。
解读
(1)《密码法》中的“密码”。
《密码法》第二条对密码的概念进行了定义:“本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。”
对于该概念的定义,有两点值得注意:一是明确规定了密码所采用的方法为特定变换,排除了对未经处理的“口令”的规制;二是密码不仅包括了狭义上的密码技术,还包括了基于密码技术的产品和服务。
(2)《密码法》的法律地位。
《密码法》是我国国家安全法律制度体系的重要组成部分,是密码领域的综合性、基础性法律,也是一部技术性、专业性较强的专门法律。《密码法》以法律的形式明确了党管密码的根本原则,确立了密码工作领导和管理体制,明确了密码分类管理原则以及核心密码、普通密码、商用密码管理的各项制度措施,为保障网络与信息安全,维护国家安全、社会公共利益,以及公民、法人和其他组织的合法权益提供了坚实有力的法律保障,为构建系统完备、科学规范、运行高效的密码法律制度体系奠定了基础。
问答
(1)为什么要制定《密码法》?
制定和实施密码法,可以把现有核心密码和普通密码在维护国家安全方面的基本制度,把重要领域商用密码的应用、基础支撑能力的提升以及检测认证、安全性评估、国家安全审查等制度,及时上升为法律规范,引导全社会合规、正确、有效使用密码,规范网络空间密码保障工作,推动构建以密码技术为核心、多种技术交叉融合的网络空间新安全体制,加快推进关键信息基础设施的密码应用,努力做到党和国家战略推进到哪里,密码就保障到哪里。
(2)密码有哪些分类?
按照不同的标准,密码有不同的分类。
按照保护信息的种类,密码分为核心密码、普通密码和商用密码。核心密码是用于保护国家绝密级、机密级、秘密级信息的密码。普通密码是用于保护国家机密级、秘密级信息的密码。商用密码是用于保护不属于国家秘密的信息的密码,公民、法人和其他组织可以依法使用。
(3)密码能够发挥什么作用?
它是构筑网络信息系统免疫体系和网络信任体系的基石,直接关系国家政治安全、经济安全、国防安全和信息安全,是保护党和国家根本利益的战略性资源,是国之重器。
核心密码、普通密码用于保护国家秘密信息和涉密信息系统,有力地保障了中央政令军令安全,为维护国家网络空间主权、安全和发展利益构筑起牢不可破的密码屏障。
商用密码广泛应用于国民经济发展和社会生产生活的方方面面。
(五)《关键信息基础设施安全保护条例》
简介
2021年8月17日,国务院总理李克强签署国务院令,公布了备受瞩目的《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行。这是我国首部专门针对关键信息技术设施安全保护工作的行政法规,《条例》的颁布实施既是落实《网络安全法》要求、构建国家关键信息基础设施安全保护体系的顶层设计和重要举措,更是保障国家安全、社会稳定和经济发展的现实需要。
解读
(1)定义
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
(2)四项管理职责及分工
①国家网信部门
负责统筹协调关键信息基础设施安全保护工作。
②国务院公安部门
负责指导监督关键信息基础设施安全保护工作。
③国务院电信主管部门及其他有关部门
依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
④省级人民政府有关部门
依据各自职责对关键信息基础设施实施安全保护和监督管理。
(3)分类
①公众服务类,如党政机关网站、企事业单位网站、新闻网站等。
②民生服务类,如金融、电子政务、公共服务等。
③基础生产类,如能源、水利、交通、数据中心、电视广播等。
问答
(1)制定《条例》的总体思路是什么?
在总体思路上主要把握了以下三点:一是坚持问题导向。针对关键信息基础设施安全保护工作实践中的突出问题,细化《网络安全法》有关规定,将实践证明成熟有效的做法上升为法律制度,为保护工作提供法治保障。二是压实责任。坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。三是做好与相关法律、行政法规的衔接。在《中华人民共和国网络安全法》确立的制度框架下,细化相关制度措施,同时处理好与相关法律、行政法规的关系。
(2)为强化和落实关键信息基础设施运营者主体责任,《条例》主要作了哪些规定?
《条例》在总则部分对运营者责任作了原则规定,要求运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
《条例》还设专章细化了有关义务要求,主要包括:一是建立健全网络安全保护制度和责任制,实行“一把手负责制”,明确运营者主要负责人负总责,保障人财物投入。二是设置专门安全管理机构,履行安全保护职责,参与本单位与网络安全和信息化有关的决策,并对机构负责人和关键岗位人员进行安全背景审查。三是对关键信息基础设施每年进行网络安全检测和风险评估,及时整改问题并按要求向保护工作部门报送情况。四是关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,按规定向保护工作部门、公安机关报告。五是优先采购安全可信的网络产品和服务,并与提供者签订安全保密协议;可能影响国家安全的,应当按规定通过安全审查。
(3)对实施危害关键信息基础设施安全活动的个人和组织,或未经授权或批准,对关键信息基础设施实施漏洞探测、渗透性测试等活动的个人和组织,《条例》作了哪些规范?
实践中,一些个人和组织擅自对关键信息基础设施实施漏洞探测、渗透性测试等活动,影响关键信息基础设施安全。《条例》一是明确任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。二是规定未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。三是在法律责任章节中专门规定了相应罚则。
鲁公网安备37100002001102