網(wǎng)絡(luò)空間不是法外之地—— 《網(wǎng)絡(luò)安全法》之?dāng)?shù)據(jù)安全合規(guī)合法解讀
發(fā)布時間:
2017.06.01 | 來源:
帕拉迪
今天具有里程碑意義的《中國人民共和國網(wǎng)絡(luò)安全法》正式生效�����。從2014年中央網(wǎng)絡(luò)安全和信息化小組成立之初就開始研究和制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略�����。2015年7月網(wǎng)絡(luò)安全法草案一審稿出臺,2016年7月網(wǎng)絡(luò)安全法草案二審稿出臺�,同年11月網(wǎng)絡(luò)安全法草案三審稿完成并由十二屆全國人大常委會第二十四次會議表決通過,安全大法的出臺為我國信息化建設(shè)提供宏觀規(guī)劃和重大方針指向�,推動國家網(wǎng)絡(luò)安全和信息化法治建設(shè),不斷增強(qiáng)安全保障能力���。
網(wǎng)絡(luò)安全法適用除軍事網(wǎng)絡(luò)的安全保護(hù)相關(guān)單位和人以外的所有單位和個人����,包括網(wǎng)絡(luò)運營者���、主管單位���、信息安全廠商、硬件廠商�、集成商等?;竞w了所有從事IT類的單位、用戶���、主管單位和個人�。如果從合法合規(guī)的角度來分類�,整個網(wǎng)絡(luò)大全可以分為網(wǎng)絡(luò)安全�����、數(shù)據(jù)安全、管理安全三個維度���,隨著信息化的建設(shè)的發(fā)展���,越來越多的單位和個人注重網(wǎng)絡(luò)安全、管理安全����,而對數(shù)據(jù)安全的重要性、防護(hù)措施并不是很清晰���,因此我們主要結(jié)合網(wǎng)絡(luò)安全法在數(shù)據(jù)安全方面的合法合規(guī)的政策解讀�����。
第二十一條:國家實行網(wǎng)絡(luò)安全等級保護(hù)制度���。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行下列安全保護(hù)義務(wù)���,保障網(wǎng)絡(luò)免受干擾����、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取�、篡改:
第三款:采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)����、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月���。
解讀:應(yīng)采取監(jiān)控和審計類的技術(shù)或產(chǎn)品�����,對訪問網(wǎng)絡(luò)行為�����、數(shù)據(jù)操作行為進(jìn)行持續(xù)監(jiān)控和審計��,可溯源���、可控制�����,做到記錄事件����;值得注意的是明確規(guī)定了日志的存儲期限不低于6個月����,對存儲時間做了規(guī)范性要求��。
第四款:采取數(shù)據(jù)分類����、重要數(shù)據(jù)備份和加密等措施
解讀:對收集和存儲、使用的個人隱私信息或重要敏感信息���,進(jìn)行發(fā)現(xiàn)���、分類和監(jiān)控,建立相應(yīng)的方案防止數(shù)據(jù)被竊取����、拖庫���、重要信息非法入侵竊取。要采用相應(yīng)防護(hù)措施實現(xiàn)系統(tǒng)重要敏感數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)�,同時做好備份工作,重要信息要有備份�����,同時備份的數(shù)據(jù)要有相應(yīng)的保護(hù)措施���,數(shù)據(jù)防護(hù)安全措施必須做到位���。
第二十四條:網(wǎng)絡(luò)運營者為用戶辦理網(wǎng)絡(luò)接入、域名注冊服務(wù)��,辦理固定電話���、移動電話等入網(wǎng)手續(xù)��,或者為用戶提供信息發(fā)布��、即時通訊等服務(wù)�����,在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時�����,應(yīng)當(dāng)要求用戶提供真實身份信息���。用戶不提供真實身份信息的���,網(wǎng)絡(luò)運營者不得為其提供相關(guān)服務(wù)�����。
解讀:個人信息實名制要求����,核心是實名制;在電信用戶實名制基礎(chǔ)上,規(guī)定了信息發(fā)布��、即時通訊等服務(wù)的實名制要求�����,而為了不影響用戶的個人隱私,實名制也是一把雙刃劍�,對于網(wǎng)絡(luò)運營者來說,一旦收集的個人信息發(fā)生大批量的泄漏��,將產(chǎn)生無法預(yù)期的數(shù)據(jù)安全風(fēng)險�����;因此����,網(wǎng)絡(luò)安全法個人信息實名制對網(wǎng)絡(luò)運營者提出了要求,事實上���,目前有部分個人用戶信息泄露的方式就通過網(wǎng)絡(luò)運營者管理不善造成的����,安全法強(qiáng)化了個人信息保護(hù)����。
第四十一條:網(wǎng)絡(luò)運營者收集、使用個人信息�,應(yīng)當(dāng)遵循合法、正當(dāng)�、必要的原則��,公開收集��、使用規(guī)則�,明示收集�、使用信息的目的、方式和范圍�,并經(jīng)被收集者同意。不得收集與其提供的服務(wù)無關(guān)的個人信息�����,不得違反法律�����、行政法規(guī)的規(guī)定和雙方的約定收集���、使用個人信息,并應(yīng)當(dāng)依照法律��、行政法規(guī)的規(guī)定和與用戶的約定���,處理其保存的個人信息���。
第二十二條第三款:網(wǎng)絡(luò)產(chǎn)品���、服務(wù)具有收集用戶信息功能的,其提供者應(yīng)當(dāng)向用戶明示并取得同意�����;涉及用戶個人信息的�,還應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個人信息保護(hù)的規(guī)定�。
解讀:四十一條和二十二強(qiáng)調(diào)網(wǎng)絡(luò)運營者收集使用個人信息的原則和目的,條款規(guī)定了個人信息保護(hù)的知情同意和特定目的原則���。強(qiáng)調(diào)必須在用戶知曉并同意收集目的和使用范圍后��,才能收集個人信息�,保證了用戶的知情權(quán)�。企業(yè)要按此要求規(guī)范獲取個人信息的途徑和方式方法。
第四十二條:網(wǎng)絡(luò)運營者不得泄露����、篡改、毀損其收集的個人信息����;未經(jīng)被收集者同意���,不得向他人提供個人信息。但是��,經(jīng)過處理無法識別特定個人且不能復(fù)原的除外��。
網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施���,確保其收集的個人信息安全����,防止信息泄露����、毀損、丟失���。在發(fā)生或者可能發(fā)生個人信息泄露、毀損����、丟失的情況時�����,應(yīng)當(dāng)立即采取補救措施��,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告�。
解讀:本條款也被業(yè)內(nèi)稱作“大數(shù)據(jù)條款”�;強(qiáng)調(diào)網(wǎng)絡(luò)運營者要保護(hù)用戶個人信息,很多網(wǎng)絡(luò)運營者的用戶注冊信息成千上萬�,如何確保這些信息不被竊取、泄露��、而現(xiàn)在個人信息的泄露的方式可以由內(nèi)部人員造成����、也可以是由業(yè)務(wù)漏洞造成的泄露,因此數(shù)據(jù)安全防護(hù)產(chǎn)品是一種手段���。
第四十三條:個人發(fā)現(xiàn)網(wǎng)絡(luò)運營者違反法律�、行政法規(guī)的規(guī)定或者雙方的約定收集���、使用其個人信息的�����,有權(quán)要求網(wǎng)絡(luò)運營者刪除其個人信息����;發(fā)現(xiàn)網(wǎng)絡(luò)運營者收集、存儲的其個人信息有錯誤的�,有權(quán)要求網(wǎng)絡(luò)運營者予以更正。網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取措施予以刪除或者更正
解讀:本條款核心是法律明確賦予公民個人具有刪除權(quán)和更正權(quán)��;如果發(fā)現(xiàn)網(wǎng)絡(luò)運營者不當(dāng)使用個人信息��,有權(quán)要求刪除��,有錯誤的有權(quán)要求其改正��。
第四十四條:任何個人和組織不得竊取或者以其他非法方式獲取個人信息���,不得非法出售或者非法向他人提供個人信息
解讀:核心是不得非法獲取���、非法出售和提供個人信息,這一要求是毋庸置疑的���。
這里說到非法出售和提供��,數(shù)據(jù)泄露的方式有很多種�����,有內(nèi)部用戶為了個人利益兜售用戶信息����,而如果沒有相應(yīng)的記錄過程����,這種數(shù)據(jù)獲取方式往往是被看做是一種“合法操作”,對于一些越權(quán)訪問數(shù)據(jù)信息又得不到權(quán)限控制����。對外部人員,更多的數(shù)據(jù)泄露方式往往是業(yè)務(wù)層面的一些漏洞被利用��,因此應(yīng)該有相應(yīng)的數(shù)據(jù)防護(hù)產(chǎn)品來防范該類事情的發(fā)生�。
通過對網(wǎng)絡(luò)安全法的整體分析,實際上可以從三個安全框架建設(shè)單位和個人的網(wǎng)絡(luò)���,分為網(wǎng)絡(luò)層安全�����、數(shù)據(jù)層安全����、規(guī)則制度建設(shè)安全。
網(wǎng)絡(luò)層安全:針對網(wǎng)絡(luò)層安全除了部署傳統(tǒng)網(wǎng)絡(luò)防火墻等外�����,應(yīng)部署運維審計產(chǎn)品�����、做到設(shè)備訪問權(quán)限控制���、合法合規(guī)�、可記錄���、可追溯���、可審計等,推薦帕拉迪運維審計產(chǎn)品����,產(chǎn)品成熟度和市場認(rèn)可度高。
數(shù)據(jù)層安全:基于個人信息保護(hù)及數(shù)據(jù)安全保護(hù),需要審計及記錄�����,對敏感數(shù)據(jù)�、高危數(shù)據(jù)操作進(jìn)行行為判斷��、事中阻斷�。并且重要數(shù)據(jù)需要有容災(zāi)備份,推薦帕拉迪科技數(shù)據(jù)審計��、數(shù)據(jù)庫防火墻�、NGDAP、NGWAF等���。
規(guī)章制度建設(shè)安全:制定內(nèi)部安全管理制度和操作規(guī)程����,確定網(wǎng)絡(luò)安全負(fù)責(zé)人����,落實網(wǎng)絡(luò)安全保護(hù)責(zé)任,網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案�����,定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核����。