《网络安全法》中值得关注的几点关键内容

大漠

《网络安全法》中值得关注的几点关键内容       2022-05-14 10:43                                                                      
2016年11月7日，中国首部网络安全根本大法《中华人民共和国网络安全法》，获得人民代表大会常务委员会表决通过，并将于2017年6月1日起施行，这标志我国网络安全和个人信息保护进入全新阶段。
《网络安全法》审议通过的消息发布后，国内各大媒体都在第一时间进行了相关报道，信息安全各界人士的微信朋友圈一时间也被这些报道刷屏了，可见这部网络安全根本大法的重要作用与意义。
关于这部法律的作用与意义本文里不再累述，在这里主要和大家分享一下《网络安全法》中的一些关键性内容。
❶基础性的网络安全具体措施写进了法律
保障网络安全必然要实施具体的控制措施，在网络安全法多处条文中都对具体的网络安全控制措施提出了明确要求。比如以下条款：

  第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
  （一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
  （二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
  （三）采取监测、记录网络运行状态、网络安全事件的技术措施，并留存网络日志不少于六个月；
  （四）采取数据分类、重要数据备份和加密等措施；
  （五）法律、行政法规规定的其他义务

在此条文中，不但对安全管理制度规范、防范计算机病毒与网络攻击入侵、数据备份与加密等方面提出了要求，对于网络日志的存储更是制定了需要至少保存六个月的详细规范。
类似的条款还很多，比如第三十四条就对安全机构、关键岗位人员、系统容灾、应急管理等方面提出了明确要求。
这些具体安全控制措施条款的定义，不仅仅只为安全建设提供规范要求与指导，更要命的是如果再不落实这些措施就已经构成违法了。从2017年6月份开始，网络日志存储达不到六个月就是违法行为了，也就是说从2017年元旦开始的网络日志就需要进行保存，不合规的赶紧整改吧。
❷“网络实名制”以法律的形式进行了明确
网络实名制的概念提出来后，有些人拍手称快，也有些人表示担忧。赞成也好，反对也罢，到现在已经没有争论的必要了。网络安全法已经以法律的形式对“网络实名制”作出了规定。

  第二十四条 网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。

网络是虚拟的，以前有句说法是“你不知道网络的另一端是不是一条狗”，现在不存在这个问题了，网络安全法明确了网络可以是虚拟的，但是使用网络的人应是真实的。让每个人使用互联网时，既有隐私，也增强责任意识和自我约束。
这一规定能否落到实处的关键在于，网络服务提供商要落实主体责任，责任包括实名制审核责任，同时还有个人隐私数据保护责任。
❸严厉打击个人信息泄露与网络诈骗活动
广大民众深受垃圾信息、诈骗信息、个人信息泄露的困扰，公民个人信息的泄露、收集、转卖，已经形成了完整的黑色产业链。网络安全法对个人信息泄露进行了明确的规定。

  第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

  第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

网络安全法不仅明确了网络产品服务提供者、运营者的责任，而且严厉打击出售贩卖个人信息的行为，对于保护公众个人信息安全，将起到积极作用。
除了防止个人信息泄露，网络安全法针对层出不穷的新型网络诈骗犯罪也进行了相应规定：

  第四十六条 任何个人和组织不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布与实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动有关的信息。

现在流行的诈骗活动，大部分都是依托于网络进行实施的，并且需要使用网络来作为主要的传播途径，这些规定不仅对诈骗组织和个人起到威慑作用，而且对网络服务提供者的责任也进行了明确。
❹重点保护关键基础设施与公共服务
关键基础设施与公共服务一直是网络安全的重中之重，这些基础设施和公共服务一旦出现问题，对国家、行业、社会、个人都会造成不可估量的损失。网络安全法明确了需要重点保护的行业和领域。

  第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

保障关键基础设施的安全，不仅仅是保护经济安全，更是保护社会安全、公共安全乃至国家安全。对关键基础设施，网络安全法不但提出了保护要求，还特别提出要对攻击破坏我国关键信息基础设施的行为进行严惩。

  第七十五条 境外的个人或者组织从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门和有关部门并可以决定对该个人或者组织采取冻结财产或者其他必要的制裁措施。

这已经上升到了网络安全主权的高度，在保护关键基础设施的同时抵御来外侵犯，采用重要手段维护国家网络安全。
❺重大突发安全事件可以启动网络通信限制
网络安全不仅和国家安全密切相关，网络安全还会影响社会稳定，网络安全法对重大网络安全事件管制措施进行了规定。

  第五十八条 因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

采取网络通信管制社会影响大，所以加入了决策审批机制，此条应该是在特殊情况下的特殊应变措施，将网络安全与社会安全、打击恐怖活动产生联系。

思雨

好帖！学习！

扬帆

翰墨飘香！ 丹青溢彩 ！