中华人民共和国网络安全法
(2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过)
网络安全法是中国网络安全领域的基础性法律,中国第一部有关网络安全方面的法律,是与《国家安全法》、《保密法》、《反恐怖主义法》、《反间谍法》、《刑法》、《治安管理处罚法》、《电子签名法》等属于同等地位的法律。
首次明确了网络空间主权的原则,作为网络安全领域的基础性法律,明确了网络产品和服务提供者及运营者的安全义务,进一步完善了个人信息保护规则,建立了关键信息基础设施安全保护制度,确立了关键信息基础设施重要数据跨境传输的规则。
1982年,我国就开始围绕计算机信息系统安全保护进行立法调研,以设备安全为重点,逐步开始探索网络安全法治建设之路。1983年,公安机关设立计算机管理监察机构——公共信息网络安全监察局。
1994年2月,国务院正式发布《中华人民共和国计算机信息系统安全保护条例》(147号令),这是我国专门针对网络安全问题制定的首部行政法规,具有里程碑意义,标志着我国开启了网络安全法治建设的新时代。
1994年4月20日,中关村地区教育与科研示范网络(简称NCFC)工程通过美国Sprint公司连入Internet的64K国际专线开通,这是我国最早的国际互联网络。至此,中国成为国际上第77个正式真正拥有全功能Internet的国家。
党的十八大以来,我国以总体国家安全观为指导,不断完善网络安全工作体制机制,加强网络安全保障体系和能力建设,全社会网络安全意识和防护能力明显增强。
从颁布数据安全法、个人信息保护法、《国家网络空间安全战略》《关键信息基础设施安全保护条例》等网络安全法律法规和战略文件;到出台《国家网络安全事件应急预案》《网络安全审查办法》《云计算服务安全评估办法》《数据出境安全评估办法》《个人信息出境标准合同办法》等,建立数据安全管理、个人信息保护、网络安全审查、云计算服务安全评估等一批重要制度;再到制定发布367项网络安全国家标准,推动发布多项我国主导和参与的国际标准……我国网络安全“四梁八柱”基本确立。
目 录
第一章 总 则
第二章 网络安全支持与促进
第三章 网络运行安全
第一节 一般规定
第二节 关键信息基础设施的运行安全
第四章 网络信息安全
第五章 监测预警与应急处置
第六章 法律责任
第七章 附 则
第一章 总 则
第一条 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
网络空间已经成为与陆地、海洋、天空、太空同等重要的人类活动的新领域,国家主权拓展到网络空间,网络空间主权成为国家主权的重要组成部分。
网络空间是人类共同的活动空间,网络空间的前途命运应由世界各国共同掌握。中国始终倡导共同建设和平、安全、开放、合作的网络空间,建立多边、民主、透明的国际互联网治理体系。
第二条 在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。
网络运营者
网络监督管理部门
个人和组织(网络使用者)第三条 国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
第四条 国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。
2016年12月27日发布的《国家网络空间安全战略》,是我国首次发布关于网络空间安全的战略。战略与网安法提出的构建网络空间的“和平、安全、开放、合作”原则相衔接,从国家战略层面诠释了网安法主张的网络空间主权原则,将“坚定捍卫网络空间主权”作为九大战略任务之首,强调“根据宪法和法律法规管理我国主权范围内的网络活动,保护我国信息设施和信息资源安全,采取包括经济、行政、科技、法律、外交、军事等一切措施,坚定不移地维护我国网络空间主权。坚决反对通过网络颠覆我国国家政权、破坏我国国家主权的一切行为”;战略将“保护关键信息基础设施”作为九大战略任务之三,进一步拓展了关键信息基础设施的外延,将重要互联网应用系统纳入其中,强调着眼识别、防护、检测、预警、响应、处置等环节,建立实施关键信息基础设施保护制度;同时,战略再次强调要建立实施网络安全审查制度,加强供应链安全管理。
2017年3月1日发布的《网络空间国际合作战略》,全面宣示了我国在国际互联网治理问题上的基本原则和行动要点,奠定了我国在国际社会竞争中的话语权和软实力。该战略站在各国共同维护网络空间安全的角度,重申了网安法的和平、主权原则;战略主张的“促进企业提高数据安全保护意识,支持企业加强行业自律,就网络空间个人信息保护最佳实践展开讨论。推动政府和企业加强合作,共同保护网络空间个人隐私”的行动倡议与网安法第四章“网络信息安全”的个人信息保护规定紧密契合。
这两个战略开启了我国网络空间治理的全新范式,巩固和强化了网安法构建的由内而外、自上到下的原则和政策,为我国网络安全相关政策和配套法律的出台指明了方向,有助于继续深入推进网络主权保障、关键信息基础设施保护、个人信息保护、国家安全审查等方面的法律构建。第五条 国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
在网络空间主权下,《网络安全法》赋予了国家在打击境内外攻击、惩治违法犯罪的权利,同时也解决了行业力量在防范网络安全面临的不足问题。
第六条 国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。
《文明办网、文明上网倡议书》中共惠州市委网络安全和信息化委员会办公室
http://shj.huizhou.gov.cn/zwgk/gzdt/zygzxx/content/post_3941107.html
第七条 国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。
2016年12月27日,经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布《国家网络空间安全战略》全文
https://www.cac.gov.cn/2016-12/27/c_1120195926.htm
和平:信息技术滥用得到有效遏制,网络空间军备竞赛等威胁国际和平的活动得到有效控制,网络空间冲突得到有效防范。
安全:网络安全风险得到有效控制,国家网络安全保障体系健全完善,核心技术装备安全可控,网络和信息系统运行稳定可靠。网络安全人才满足需求,全社会的网络安全意识、基本防护技能和利用网络的信心大幅提升。
开放:信息技术标准、政策和市场开放、透明,产品流通和信息传播更加顺畅,数字鸿沟日益弥合。不分大小、强弱、贫富,世界各国特别是发展中国家都能分享发展机遇、共享发展成果、公平参与网络空间治理。
合作:世界各国在技术交流、打击网络恐怖和网络犯罪等领域的合作更加密切,多边、民主、透明的国际互联网治理体系健全完善,以合作共赢为核心的网络空间命运共同体逐步形成。
(九)强化网络空间国际合作
在相互尊重、相互信任的基础上,加强国际网络空间对话合作,推动互联网全球治理体系变革。深化同各国的双边、多边网络安全对话交流和信息沟通,有效管控分歧,积极参与全球和区域组织网络安全合作,推动互联网地址、根域名服务器等基础资源管理国际化。
支持联合国发挥主导作用,推动制定各方普遍接受的网络空间国际规则、网络空间国际反恐公约,健全打击网络犯罪司法协助机制,深化在政策法律、技术创新、标准规范、应急响应、关键信息基础设施保护等领域的国际合作。
加强对发展中国家和落后地区互联网技术普及和基础设施建设的支持援助,努力弥合数字鸿沟。推动“一带一路”建设,提高国际通信互联互通水平,畅通信息丝绸之路。搭建世界互联网大会等全球互联网共享共治平台,共同推动互联网健康发展。通过积极有效的国际合作,建立多边、民主、透明的国际互联网治理体系,共同构建和平、安全、开放、合作、有序的网络空间。
第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
网络安全管理局
网络安全协调局
网络安全保卫局
县(区)级网络安全保卫大队的职责:负责执行国家网上保卫政策,承担公共信息的安全保护,实行互联网监控与情报信息收集,进行信息网络的技术侦查,查处网上法犯罪,实施计算机安全保护。
公安机关可以有下列权利和义务:保护举报人的合法权益、打击违法网络犯罪、打击个人信息违法、关闭用于实施违法犯罪活动的网站、通讯群组,打击境外违法犯罪、赋予网络安全等级保护更大的执法力度。第九条 网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
第十条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
- 保密性:保护数据不被外人看到,比如加密、密码保护。(数据只能被授权的人看到,防止外人偷窥。)
- 完整性:数据没有被修改,保持原样,比如文件校验、数字签名。(数据在传输或存储过程中没被篡改、保持原样。)
- 可用性:需要的时候能用,比如抗DDoS、备份恢复。(合法用户需要时能随时访问数据或服务。)
第十一条 网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。
2020中国互联网法治大会|中国互联网协会组织第二批企业签署《电信和互联网行业网络数据安全自律公约》
https://www.isc.org.cn/article/38618.html
2021年4月6日,国家医疗保障局《关于印发加强网络安全和数据保护工作指导意见的通知》(医保发〔2021〕23号)
https://www.gov.cn/zhengce/zhengceku/2021-04/12/content_5599043.htm?eqid=9db1e9190000d3b8000000066461c82a
第十二条 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
2017年8月25日,依据《网络安全法》第十二条规定,国家互联网信息办公室公布《互联网论坛社区服务管理规定》,自2017年10月1日起施行。国家互联网信息办公室有关负责人表示,出台《规定》旨在规范互联网论坛社区服务,促进互联网论坛社区行业健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益。
部分论坛存在淫秽色情、虚假广告、血腥暴力、侮辱诽谤、泄露个人隐私等违法违规信息,污染网络生态,扰乱互联网信息传播秩序,侵害公众利益。互联网论坛社区服务提供者或者其员工,通过有偿删帖、发帖、推送等手段牟取不正当利益。这种行为严重破坏了互联网信息传播秩序和互联网论坛社区服务市场秩序。在此背景下,在广泛调研、征求多方意见的基础上,立足解决互联网论坛社区服务中存在的突出问题,制定了本《规定》。第十三条 国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
网络上的颓废文化和淫秽、暴力、迷信等违背社会主义核心价值观的有害信息侵蚀青少年身心健康,败坏社会风气,误导价值取向,危害文件安全。
《儿童个人信息网络保护规定》与《未成年人网络保护条例》是我国针对未成年群体网络保护的两部重要法规,二者在颁布时间、颁布部门、核心原则及适用群体等方面存在显著区别,具体对比如下:
《儿童个人信息网络保护规定》
颁布部门:国家互联网信息办公室,属于部门规章,由国家网信办制定,效力层级较低,聚焦个人信息保护专项领域
施行时间:2019年10月1日24。
核心原则:聚焦于儿童个人信息的全流程保护,强调“知情同意”“最小必要”“安全保障”等原则,要求网络运营者需征得监护人同意,并严格限制信息收集、存储、转移和披露。
《未成年人网络保护条例》
颁布部门:属于国务院颁布的行政法规,效力层级更高,是我国首部综合性未成年人网络保护立法,与《未成年人保护法》等法律衔接
施行时间:2024年1月1日。
核心原则:以“最有利于未成年人”为原则,实行“社会共治”,覆盖网络素养提升、信息内容规范、防沉迷、个人信息保护等综合领域。
第十四条 任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。
可以通过网站、邮箱、举报电话等方式向网信、电信、公安、反诈骗中心等举报
网信部门:负责统筹协调网络安全工作,受理涉及网络信息内容安全、数据安全等举报。举报热线:12377(全国统一举报电话)。
公安部门:处理涉及网络违法犯罪活动的举报,如网络诈骗、黑客攻击等。报警电话:110或短信报警12110(需注明“网络安全举报”)
电信主管部门:针对电信和互联网行业中的网络安全问题,如通信基础设施破坏、非法接入等,投诉热线:12300(工信部电信用户申诉受理中心)或12321(网络不良信息举报)。
第二章 网络安全支持与促进
第十五条 国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
网络安全标准是构建我国网络空间安全保障体系的重要部分。主要包括:强制性国家标准GB、推荐性国家标准GB/T、指导性技术文件GB/Z
GB 42250-2022(强制性国家标准) 《信息安全技术 网络安全专用产品安全技术要求》(2023-07-01 实施)
GB/T 39276-2020(推荐性国家标准) 《信息安全技术 网络产品和服务安全通用要求 》(2021年6月1日 实施 )
GB/T 41241-2022(推荐性国家标准) 《核电厂工业控制系统网络安全管理要求 》(2022年10月1日 实施)
GB/T 38561-2020(推荐性国家标准)《信息安全技术 网络安全管理支撑系统技术要求》(2020年10月1日 实施)
GB/Z 42885-2023(指导性技术文件)《信息安全技术 网络安全信息共享指南》2024-03-01实施国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
团体标准
1.中国互联网协会(ISC)2024年3月15日发布的T/ISC 0011-2024《数据安全技术 数据分类分级规则》。
效力范围:适用于协会成员单位,指导企业进行数据分类分级管理。
2.中国网络空间安全协会(CSAC)2025年1月1日发布的T/CSAC 002-2025《网络数据安全行为规范》(《网络数据安全管理条例》配套标准)。
效力范围:协会成员需遵守,推动企业落实数据全生命周期安全保护6。
3.中国网络安全产业联盟(CSA)2024年7月4发布的T/CSA 016-2024《网络安全技术 算法伦理评估指南》
效力范围:推荐性标准,适用于人工智能、大数据等领域的算法开发企业4。
第十六条 国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。
第十七条 国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。
网络安全等级保护网https://www.djbh.net/
网络安全等级保护测评机构服务认证获证机构名录(截止2025年3月,全国共239家)第十八条 国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。
当前数字经济的蓬勃发展正成为我国在国际环境中的核心竞争力。《数据安全法》鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展,增进人民福祉。我国坚持维护数据安全与促进数据开发利用并重,互相促进。2021年9月1日,《数据安全法》的正式实施将为我国在国际数据经济市场中提供坚实有力的保障。
近期,国家数据局将正式挂牌成立。国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。
第十九条 各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。
大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。
“网络安全宣传周”即“中国国家网络安全宣传周”,围绕金融、电信、电子政务、电子商务等重点领域和行业网络安全问题,针对社会公众关注的热点问题,举办网络安全体验展等系列主题宣传活动,营造网络安全人人有责、人人参与的良好氛围。
首届国家网络安全宣传周以 “共建网络安全,共享网络文明”为主题,于2014年11月24日至30日举办。至少有10届。
第二十条 国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。
网络安全人才在全球都处于短缺状态。国家急需网络安全人才。
为加快网络空间安全高层次人才培养,2015年7月,国家正式设立网络空间安全一级学科,为我国建设网络安全产业人才梯队提供了坚实基础。2016年9月,武汉市人民政府建设国家网络安全创新园区。2017年8月,中央网信办、教育部联合发文,决定在10年内支持建设4-6所一流网络安全学院。2017年9月,中央网信办、教育部公布了一流网络安全学院名单,包括:西安电子科技大学、东南大学、武汉大学、北京航空航天大学、四川大学、中国科学技术大学、战略支援部队信息工程大学7所高校入围首批一流网络安全学院建设示范项目。2019年国家网络安全宣传周开幕式16日在天津举行。教育部副部长翁铁慧在开幕式上公布了第二批一流网络安全学院建设示范项目高校名单,华中科技大学、北京邮电大学、上海交通大学、山东大学4所高校入选。截至目前,共有11所高校入选该项目。
截至2023年3月,国内已有80所高校开设网络空间安全专业,132所高校开设信息安全专业,2所高校开设保密技术专业,17所高校开设信息对抗技术专业,28所高校开设网络安全与执法专业。同时,我国各高校正在逐步加强网络安全高层次人才培养力度。2023年网络安全相关本科专业(信息安全、网络空间安全、网络安全与执法)毕业生规模约为 1.45 万人。总体上,网络安全产业人才供需关系为供不应求。习近平总书记指出:“得人者兴,失人者崩”,网络空间的竞争,归根结底是人才竞争。建设网络强国,没有一支优秀的人才队伍,没有人才创造力迸发、活力涌流,是难以成功的。
网络安全竞赛演练成为了院校评价网络安全人才实战能力最有效的方式之一。同时,院校也纷纷以网络安全攻防实验、网络安全攻防演练等为抓手,让学生走进“实战场景”,上好“实践必修课”,75%的院校优先将人才评价预算投入到搭建攻防实验室中。
第三章 网络运行安全
第一节 一般规定
第二十一条 国家实行网络安全等级保护制度。
多年来对信息安全、网络安全、网络信息安全、信息网络安全等概念,我国在有关法律法规和文件中通常采用“信息安全”这个关键词。网络安全法出台后,国家有关法律法规和文件中将“信息安全”调整到“网络安全”,将“信息安全等级保护制度”调整为“网络安全等级保护制度”。
《中华人民共和国计算机信息系统安全保护条例》(147号令)及2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发(2003)27号),规定了国家实施信息安全等级保护制度。
2007年,《信息安全等级保护管理办法》出台,并组织在全国实施。
本条规定了国家实行网络安全等级保护制度,标志着从1994年的国务院条件上升到国家法律;标志着国家实施十余年的信息安全等级保护制度进入了2.0阶段。
《中华人民共和国保守国家秘密法》
第二十三条 存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。
涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划,同步建设,同步运行。
涉密信息系统应当按照规定,经检查合格后,方可投入使用。
公安部:《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
网络安全等级保护就是坚持分等级保护、突出重点。网络(包含网络设施、信息系统、数据资源等)在国家安全、经济建设、社会生活中的重要程度,以及其遭到破坏后的危害程度等因素,科学确定网络的安全保护等级,实施分等级保护、分等级监管,重点保障关键信息基础设施和第三级(含第三级、下同)以上网络的安全。
对新建第二级网络,应在规划设计阶段确定安全保护等级,坚持同步规划、同步建设、同步运行。新建第三级以上网络应在通过等级测评后投入运行。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
可能涉及的罪名:拒不履行信息网络安全管理义务罪。(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
2017年8月15日中共中央办公厅发布《党委(党组)网络安全工作责任制实施办法》
第二条 网络安全工作事关国家安全政权安全和经济社会发展。按照谁主管谁负责、属地管理的原则,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。
第九条 实施责任追究应当实事求是,分清集体责任和个人责任。追究集体责任时,领导班子主要负责人和主管网络安全的领导班子成员承担主要领导责任,参与相关工作决策的领导班子其他成员承担重要领导责任。
对领导班子、领导干部进行问责,应当由有管理权限的党组织依据有关规定实施。各级网络安全和信息化领导机构办公室可以向实施问责的党委(党组)、纪委(纪检组)提出问责建议。
第十条 各级党委(党组)应当建立网络安全责任制检查考核制度,完善健全考核机制,明确考核内容、方法、程序,考核结果送干部主管部门,作为对领导班子和有关领导干部综合考核评价的重要内容。(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
以下是一些常见的防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施:
### 防火墙技术
* **网络边界防护** :在企业网络与外部网络之间部署防火墙,设置访问规则,阻止未经授权的访问和恶意流量进入内部网络。例如,只允许特定 IP 地址段或端口的流量通过,过滤掉来自恶意 IP 地址的攻击流量 。
* **内网隔离** :将内部网络划分为不同的区域,如办公区、服务器区、研发区等,使用防火墙进行隔离,限制不同区域之间的访问权限,防止内部网络的横向渗透 。
### 反病毒软件技术
* **实时监控与查杀** :安装反病毒软件后,开启其实时监控功能,对系统文件、内存、网络流量等进行实时监测,一旦发现病毒或恶意软件,立即进行查杀和清除 。
* **定期更新病毒库** :病毒和恶意软件不断更新和变化,反病毒软件需要定期更新病毒库,以确保能够识别和查杀最新的威胁 。
### 加密技术
* **数据传输加密** :在网络传输过程中,使用加密协议如 SSL/TLS、IPSec 等对数据进行加密,确保数据在传输过程中的机密性和完整性,防止数据被窃取或篡改 。
* **数据存储加密** :对存储在硬盘、数据库等介质中的敏感数据进行加密,即使数据被窃取,也无法被轻易读取和利用 。
### 入侵检测与防御技术
* **入侵检测系统(IDS)** :部署 IDS 对网络流量进行实时监测,通过分析网络行为和模式,检测是否存在入侵行为。当检测到入侵时,及时发出警报,通知管理员采取措施 。
* **入侵防御系统(IPS)** :IPS 不仅能检测入侵行为,还能主动采取措施进行防御,如阻断攻击流量、封禁攻击源 IP 地址等,有效防止入侵行为对网络和系统造成损害 。
### 安全扫描技术
* **漏洞扫描** :定期对网络系统、服务器、应用程序等进行漏洞扫描,发现存在的安全漏洞和弱点,及时进行修复,减少被攻击的风险
* **配置检查** :检查系统和网络设备的配置是否符合安全标准,是否存在不安全的配置项,如默认密码、不必要的服务开启等,及时进行调整和优化 。
### 访问控制技术
* **身份认证** :采用强密码策略,要求用户设置包含字母、数字、符号的复杂密码,并定期更换密码。同时,启用多因素认证,如指纹识别、面部识别、短信验证码等,提高账号的安全性 。
* **权限管理** :根据用户的工作职责和需求,合理分配用户的权限,遵循最小权限原则,避免用户拥有过高的权限而导致安全风险 。
### 安全审计与监控技术
* **日志记录与分析** :记录网络运行状态、系统操作日志、安全事件日志等,通过对日志的分析,发现异常行为和潜在的安全威胁,及时采取措施进行处理 。
* **实时监控** :对网络流量、系统资源、用户行为等进行实时监控,及时发现异常情况,如流量异常增长、CPU 和内存占用率过高、用户异常登录等,迅速做出响应 。
### 威胁情报收集与分析
* **建立威胁情报搜集分析队伍** :收集和分析网络安全威胁信息,包括攻击者画像、攻击手段、高危漏洞隐患等,及时预警攻击活动,查找防护薄弱点,组织实施安全整改加固 。
### 蜜罐技术
* **部署蜜罐系统** :蜜罐是一种模拟真实业务场景的系统,用于诱捕攻击者。通过部署蜜罐,可以捕获攻击者的攻击行为、攻击路线、攻击目标等信息,为防御提供依据 。
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
网络日志留存是公安机关依法追查网络违法犯罪的重要基础和保证,能够准确、及时查询到不法分子的互联网日志,可为下一步循线追踪,查获不法分子打下坚实基础。遵守“日志留存”规定,对网站运营者本身也有着极其重要的安全防护作用,不仅能够留存历史数据,更为未来可能发生的安全威胁消除了隐患。正是因为如此,《网络安全法》严格规范了网络运营者记录并留存网络日志的法宝义务。
(四)采取数据分类、重要数据备份和加密等措施;
【《数据安全法》第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。】
《数据安全法》第二十一条规定:国家建立数据分类分级保护制度。对数据实行分类分级保护,可以更好对数据资产进行管理,最大限度的利用数据,发挥数据的价值。数据分级的方法主要是依据“危害对象”和“危害程度”。是否危害到国家安全、公共利益以及个人、组织合法权益;是一般伤害、严重伤害还是特别严重伤害的程度?
【重要数据】
《网络安全法》第二十一条、第三十七条,及《数据安全法》第二十一条、第二十七条均所提及。
在实践中,重要数据识别常被认为是重要的数据,导致实际认定的“重要数据”范围扩大。
《信息安全技术 重要数据识别指南》、《信息安全技术 重要数据处理安全要求》的公布有助于为实践中的重要数据识别提供更为明确、具体且可操作的判断标准。重要数据的识别只是第一步的工作,数据处理者还应在识别出重要数据后对其加以保护,所以需要制定第二部国家标准《信息安全技术 重要数据处理安全要求》。
(五)法律、行政法规规定的其他义务。
案例一 泸州某医院不履行网络安全保护义务案
简要案情:2021年6月,泸州某医院遭受网络攻击,造成全院系统瘫痪。泸州公安机关迅速调集技术力量赶赴现场,指导相关单位开展事件调查和应急处置工作。经调查发现,该医院未制定内部安全管理制度和操作流程,未确定网络安全负责人,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,导致被黑客攻击造成系统瘫痪。泸州公安机关根据《中华人民共和国网络安全法》第二十一条和五十九条之规定,对该院处以责令改正并警告的行政处罚。
案件警示:部分单位在信息化建设和应用中,存在“重应用,轻防护”的思想,对网络安全工作不重视、安全防护意识淡薄,未严格按照法律要求履行网络安全主体责任,存在较大安全隐患和漏洞被黑客利用进行攻击,导致部分信息系统或数据遭到破坏。公安机关通过开展“一案双查”,对于相关单位未履行安全管理义务情况开展调查并给予行政处罚,倒逼单位主动整改,切实履行网络安全保护义务。
案例二 广安某单位不履行网络保护义务案
简要案情:2021年2月,广安某单位所使用的智慧政务一体化平台被黑客攻击植入木马病毒,导致系统文件被加密勒索,广安公安机关立即以破坏计算机信息系统立案侦查。通过一案双查发现,该单位未制定内部安全管理制度和操作规程,未采取防范计算机病毒的技术措施,未对重要数据备份和加密,未履行网络安全保护义务。广安公安机关根据《中华人民共和国网络安全法》第二十一条和第五十九条之规定,对该单位作出罚款一万元、对单位具体责任人赵某作出罚款五千元的行政处罚。
案件警示:网络运营单位因未落实网络安全防护措施造成勒索病毒攻击破坏,不但要承担勒索病毒带来的损失,还要受到法律的惩处。
第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
GB 42250-2022(强制性国家标准) 《信息安全技术 网络安全专用产品安全技术要求》(2023-07-01 实施)
2021年7月12日,工业和信息化部、网信办、公安部联合发布《网络产品安全漏洞管理规定》,自2021年9月1日起施行。
https://www.gov.cn/gongbao/content/2021/content_5641351.htm
网络产品漏洞信息可通过网络平台、媒体、会议等方式在社会上快速传播,危害大量网络用户权益,有必要采取措施防止风险扩大或者避免损害发生。《网络安全法》明确指出,网络产品提供者发现其网络产品存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。因此,《规定》要求网络产品提供者于2日内向工业和信息化部报送漏洞信息,并及时进行修补,将修补方式告知可能受影响的产品用户。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
用户信息,就是在用户使用产品或服务过程中收集的信息构成用户信息,包括IP地址、用户名和密码、用户身份,上网时间、Cookie信息等。如果用户信息具备身份识别的功能,则构成用户的个人信息。
用户信息的范围相比个人信息更广泛一些。
第二十三条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
https://www.gov.cn/zhengce/zhengceku/202307/content_6889847.htm
2023年7月3日,国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会联合发布《关于调整<网络关键设备和网络安全专用产品目录>的公告》(2023年第2号),国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会等部门更新了《网络关键设备和网络安全专用产品目录》。2017年国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会联合发布的《关于发布〈网络关键设备和网络安全专用产品目录(第一批)〉的公告》(2017年第1号)中的网络关键设备和网络安全专用产品目录同步废止。
2. 《密码法》第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。
商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
3. http://www.cac.gov.cn/2023-09/05/c_1695224396381548.htm
网络关键设备和网络安全专用产品安全认证和安全检测结果发布2018年发布的《网络关键设备和网络安全专用产品安全认证实施规则》(CNCA-CCIS-2018),为安全认证的实施提供了依据。
2021年2月20日,国家市场监督管理总局(国家标准化管理委员会)发布2021年第1号公告,批准了《网络关键设备安全通用要求》(GB 40050-2021),这是我国网络安全领域为数不多的强制性标准之一,将成为网络关键设备安全认证和安全检测的统一规范。为网络关键设备安全认证和安全检测的落地,提供了技术标准。网络关键设备和网络安全专用产品安全认证和安全检测制度的建立,是我国在网络安全领域,依法建立产品认证制度,建设认证体系的卓有成效的尝试。
第二十四条 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
根据《电话用户真实身份信息登记规定》第七条,2013年9月1日起手机号已经强制进行身份证信息实名;2016年5月,工信部发布《关于贯彻落实〈反恐怖主义法〉等法律规定进一步做好电话用户真实身份信息登记工作的通知》,通知中明确规定,未实名的用户没有进行信息补登,运营商可停止其通信服务。
http://www.cac.gov.cn/2019-06/23/c_1124657671.htm 2018年年6月,几则关于“卖茶女骗局”的新闻,曾在网络上引发了广泛关注。诈骗实施者在社交网络上假扮为美丽动人的“卖茶姑娘”,先通过较长时间的聊天与受骗者建立信任,之后再以“外公生病”“茶庄装修”等借口骗取对方钱财。其中,仅是在广东惠州摧毁的一个诈骗团伙,就抓捕了犯罪嫌疑人近240名,冻结资金3200万元。
此后,“卖茶女套路”虽在网络上变成了“段子”,但其施骗过程,实质是所谓“养号”团队的不法行径。
2015年2月,国家网信办发布了《互联网用户账号名称管理规定》,其中指出“互联网信息服务提供者应当按照‘后台实名、前台自愿’的原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号。”
在日趋严格的实名制要求下,不法分子为了获得大量无法追溯背后真实用户的网络账号,已形成一条分工明确的“养号”、恶意注册黑色产业链。
犯罪手法往往相似:手机“黑卡”卡商通过非正常渠道获得大量手机卡,用于注册账号,之后再通过批量注册设备通过网站平台验证,获得大量账号。为了躲过相关平台对于“僵尸号”的判断和封禁,“养号”团队“应运而生”,目的就是为了“养活”违规账号。
网吧的【案例】:
2017年10月11日7时许,阜阳市公安局向阳路派出所民警对位于阜阳市颍东区北京东路不见不散网吧进行检查,发现该网吧未按规定核实89号机上网人员的身份信息。因未按规定核对、登记上网消费者有效身份证件,根据《互联网上网服务营业场所管理条例》第三十三第三项之规定,给予阜阳市不见不散网吧警告并处罚款六千元整。
《互联网上网服务营业场所管理条例》(公布日期:2022-03-29)第三十三条:
互联网上网服务营业场所经营单位违反本条例的规定,有下列行为之一的,由文化行政部门、公安机关依据各自职权给予警告,可以并处15000元以下的罚款;情节严重的,责令停业整顿,直至由文化行政部门吊销《网络文化经营许可证》:(一)向上网消费者提供的计算机未通过局域网的方式接入互联网的;(二)未建立场内巡查制度,或者发现上网消费者的违法行为未予制止并向文化行政部门、公安机关举报的;(三)未按规定核对、登记上网消费者的有效身份证件或者记录有关上网信息的;(四)未按规定时间保存登记内容、记录备份,或者在保存期内修改、删除登记内容、记录备份的;(五)变更名称、住所、法定代表人或者主要负责人、注册资本、网络地址或者终止经营活动,未向文化行政部门、公安机关办理有关手续或者备案的。
国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
广东省统一身份认证平台
第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
中央网信办关于印发《国家网络安全事件应急预案》的通知(中网办发文〔2017〕4号)
http://www.cac.gov.cn/2017-06/27/c_1121220113.htm
广东省网络与信息安全事件应急预案
http://yjgl.sz.gov.cn/zwgk/xxgkml/qt/yjya/content/post_3653844.html
深圳市网络与信息安全突发事件应急预案
http://www.lg.gov.cn/bmzz/jhjdb/xxgk/yjgl/yjya/content/post_1650920.html
GB/T 20986-2023《信息安全技术 网络安全事件分类分级指南》
案例七 绵阳某单位不履行网络安全保护义务案
简要案情:2021年3月,绵阳市民姜某某在访问浏览绵阳一网站时发现一则刷单广告,其按照广告内容下载使用APP聊天软件后,被刷单诈骗3万余元。绵阳公安机关在侦办此案时调查发现,受害人访问的网站为绵阳市某单位开办,该网站长期存在大量高危漏洞,前期公安机关已检查通报督促其限期整改,但该单位仍未引起高度重视,未及时维护处置安全隐患,导致网站被不法分子非法入侵,篡改挂载大量诈骗、赌博、色情广告暗链。绵阳公安机关根据《中华人民共和国网络安全法》第二十五条、第五十九条之规定,对该单位处以10000元人民币的罚款,并对该单位法人代表李某某处以个人罚款5000元人民币的罚款。
案件警示:部分单位不重视网络安全,未履行法律、行政法规规定的信息网络安全管理义务,日常疏于对单位网络的安全管理和巡查防护,对通报的网络安全隐患不重视,整改不积极,经监管部门责令改正而仍未整改彻底,导致出现严重安全后果,应当承担法律责任。第二十六条 开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。
2021年7月12日,工业和信息化部、网信办、公安部联合发布《网络产品安全漏洞管理规定》,自2021年9月1日起施行。
https://www.gov.cn/gongbao/content/2021/content_5641351.htm
GB/T 42926-2023 《金融信息系统网络安全风险评估规范 》 (2023年12月1日实施) 第二十七条 ①任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;②不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;③明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
《网络安全法》中与网络运营者关联或者涉及的共有12种罪。
①非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息罪;只要是“侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的”行为,就是非法侵入计算机信息系统罪;
刑法第285条第二款规定,违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
②提供侵入、非法控制计算机信息系统程序、工具罪
刑法第285条第三款规定,提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
③帮助信息网络犯罪活动罪。
《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》已于2019年6月3日由最高人民法院审判委员会第1771次会议、2019年9月4日由最高人民检察院第十三届检察委员会第二十三次会议通过,现予公布,自2019年11月1日起施行。【情况严重】的情形如“为三个以上对象提供帮助的;”,“支付结算金额二十万元以上的”,“违法所得一万元以上的;”
案例五:2019年1月,违法嫌疑人黄某某(男,31岁,山东临沂人)通过互联网多次向他人兜售黑客工具。黄某某提供的“淘宝检存”、“PC微信HOOK”、“微信机器人”软件,均具有避开或突破计算机信息系统安全保护措施,不经授权或超越授权获取系统数据的功能。泰州警方依据《网络安全法》第27条、第63条规定,对黄某某予以行政拘留5日并没收违法所得。
第二十八条 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
第二十九条 国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。
有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
2022年8月29日,国家卫生健康委、国家中医药局、国家疾控局联合发布《医疗卫生机构网络安全管理办法》。办法共六章三十四条,涉及网络安全管理、数据安全管理、监督管理、管理保障等内容。
2022年8月23日,交通运输部发布《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》。征求意见稿共六章四十八条,涉及公路水路关键信息基础设施认定、运营者责任和义务、保障和监督管理等内容。
征求意见稿规定,运营者应当设立首席网络安全官,为每个公路水路关键信息基础设施明确一名安全管理责任人。当专门安全管理机构的负责人和关键岗位人员的身份、安全背景等发生变化或必要时,运营者应当根据情况重新进行安全背景审查。
第三十条 网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。
本法第七十三条 网信部门和有关部门违反本法第三十条规定,将在履行网络安全保护职责中获取的信息用于其他用途的,对直接负责的主管人员和其他直接责任人员依法给予处分。
网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
第二节 关键信息基础设施的运行安全
2021年7月30日,国务院发布《关键信息基础设施安全保护条例》自2021年9月1日起施行。
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
网安法第21条提出国家实行网络安全等级保护制度,第31条进一步要求关键信息基础设施要落实国家安全等级保护制度,突出保护重点,是深化信息安全等级保护制度、保护国家关键信息基础设施和大数据安全的迫切需要。为落实网安法第21条和第31条的规定,必须科学合理地推动网络安全等级保护制度的演进与变革,构建和完善等级保护2.0制度体系。
网安法第31条规定建立关键信息基础设施保护制度,授权国务院制定关键信息基础设施的具体范围和安全保护办法。关键信息基础设施安全保护办法是法律中唯一明确规定“由国务院制定”的行政法规,也是网络安全法律体系的重中之重。主管部门已开展了相关条例的具体调研、安全检查、起草编写、部门论证和企业座谈等工作。在与关键信息基础设施保护配套的强制性标准方面,全国信安标委2017年工作重点之一即为落实网安法要求,加快推动重点标准研制,网络安全产品与服务、关键信息基础设施保护等强制性国家标准的研究。由此可见,与网安法第31条配套的法规、国家标准等正在经历着缜密的夯实历程。
可能被识别为关键信息基础设施的行业和领域,包括能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、云计算、大数据、国防科工、大型装备、化工、食品药品、新闻等。
根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当考虑申报网络安全审查。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
第三十二条 按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。
第一,《网络安全法》提出了“关键信息基础设施安全保护工作部门”,这个“工作部门”就是行业主管监管部门,与《党委(党组)网络安全工作责任制实施办法》所指是一致的,其监督管理职责后来在法律中作了明确规定。
第二,无论行业主管监管部门如何“指导”和“监管”,都不改变行业内一个具体单位应当承担的网络安全责任。具体到这个单位,也依然是本单位党委(党组)负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。
第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
网安法第35条规定应该对可能影响国家安全的关键信息基础设施的网络产品和服务进行国家安全审查,该条已在国家互联网信息办公室2017年5月2日发布的《网络产品和服务安全审查办法(试行)》中进行了具体规定,该规定是首个正式生效的网安法重要配套规定,并已于6月1日同步施行。该办法旨在提高网络产品和服务安全可控水平,防范供应链安全风险。根据该办法,关系国家安全和公共利益的信息系统使用的重要网络产品和服务以及关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,都要经过网络安全审查;网络安全审查重点在于网络产品和服务的安全性、可控性。
采购的网络产品和服务应当与国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
http://www.cac.gov.cn/2023-09/05/c_1695224396381548.htm
网络关键设备和网络安全专用产品安全认证和安全检测结果发布
2017年5月2日发布的《网络产品和服务安全审查办法(试行)》,2017年6月1日与《网络安全法》同步施行。
根据等级保护要求,凡是定级备案在二级以上的重要信息系统,所使用的重要网络产品和服务都必须经过网络安全审查。重点审查的是网络产品和服务的安全性、可控性,不审查其功能和性能。是首个正式生效的《网络安全法》的重要配套办法。
2019年5月21日,《网络安全审查办法(征求意见稿)》发布
2020年4月27日,《网络安全审查办法》发布,并于2020年6月1日正式施行。
新办法规定,采购网络产品和服务时,需要履行网络安全审查申报的义务主体是关键信息基础设施(CII)的运营者,而不是网络产品和服务的提供者。第三十六条 关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
在《数据安全法》第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
2017年4月11日,国家互联网信息办公室就《个人信息和重要数据出境安全评估办法(征求意见稿)》(“评估办法”)发出公开征求意见的通知。该评估办法是《网络安全法》的一个重要配套办法,对于具有跨境数据传输需求的企业(尤其是跨国企业)会产生重要影响。评估办法制定的依据是《国家安全法》和《网络安全法》,因此,在安全评估的适用范围上,已经超出了《网络安全法》第三十七条规定的范围。按照第二条的规定,所有网络运营者在境内收集和产生的个人信息和重要数据应当在境内存储,这是一般性要求;作为例外,对于因业务需要,确需向境外提供的,应当事先进行安全评估。此条明显地扩大了数据本地化要求的适用范围。
网络运营者的数据出境适用本办法,对于非网络运营者(其他个人和组织)数据出境的安全评估工作,参照本办法执行。
网安法第37条首次在法律中确立了对个人信息及重要数据出境的安全评估制度,并授权国家网信部门会同其他监管部门制定详细的安全评估实施办法。数据本地化属于境内外实体的重大关切,《个人信息和重要数据出境安全评估办法(征求意见稿)》已于5月11日结束公开征求意见。评估办法以《国家安全法》和《网络安全法》等为上位法依据,扩大了数据本地化及安全评估义务适用对象的范围,解释了重要数据的概念,数据评估的重点内容,不得出境的条件等,正式制度出台和具体实施有待在实践中进一步观察。
2017年《个人信息和重要数据出境安全评估办法(征求意见稿)》;
2019年《个人信息出境安全评估办法(征求意见稿)》;
2021年《数据出境安全评估办法(征求意见稿)》等一系列立法探索的过程。
最终,国家互联网信息办公室于2022年7月7日正式发布了《数据出境安全评估办法》,并于2022年9月1日起正式生效。是否适用《数据出境安全评估办法》,第一个难点就是判断所涉的场景是否构成法律上的数据出境。关于数据出境的定义,《信息安全技术 数据出境安全评估指南(征求意见稿)》(2017年8月30日)发布。第3.7条规定:网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。2022年7月7日,国家网信办有关负责人答记者问中表示:《数据出境安全评估办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储到境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织和个人可以访问或者调用。2022年8月31日,国家网信办公开发布了《数据出境安全评估申报指南(第一版)》,据此,认定是否构成出境,应以申报指南的定义为准,申报指南中未明确的,可以参考安全评估指南(征求意见稿)的定义。
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第三十九条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
GB/T 42926-2023 《金融信息系统网络安全风险评估规范》(2023-12-01实施)
GB/T 20984-2022 《信息安全技术 信息安全风险评估方法》(2022-11-01实施)
GB/T 36466-2018 《信息安全技术 工业控制系统风险评估实施指南》(2019-01-01实施)
YD/T 3801-2020 《电信网和互联网数据安全风险评估实施方法》(2021-01-01实施)
YD/T 4215-2023 《工业互联网 数控加工制造系统信息安全风险评估指南 》(2023-08-01实施)
GB/T 39204-2022 《信息安全技术 关键信息基础设施安全保护要求》(2023-05-01实施)
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
GB/T 38645-2020 《信息安全技术 网络安全事件应急演练指南》(2020年11月01日实施)
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
GB/Z 42885-2023 《信息安全技术 网络安全信息共享指南》(2024年03月01日实施)
GB/T 42708-2023 《金融网络安全威胁信息共享指南》(2023年08月06日实施)
GB/T 39477-2020 《信息安全技术 政务信息共享 数据安全技术要求》(2021年06月01日实施)
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
第四章 网络信息安全
第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
【某互联网公司未履行个人信息保护义务且存在超范围收集公民个人信息被处罚】2022年6月,广州警方在工作中发现,广州某互联网公司开发运营的某教育类APP在未经用户同意就违规收集个人信息,甚至在用户关闭APP进程后,仍不间断收集个人信息。并且,该公司未向用户明示全部收集个人信息的目的、方式和范围,向第三方明文传输用户敏感信息,存在数据安全风险隐患,违反了《网络安全法》第四十一条规定。警方在复核过程中,发现该公司逾期仍未落实相关整改措施,导致上述违法违规行为仍然存在。根据《网络安全法》有关规定,广州警方依法作出对该公司处罚款2万元、对该APP主要负责人处罚款1万元的处罚,并责令限期改正。
这两条的中心是用户信息维护。
不得过度收集信息;
解读:这两条的中心是用户信息维护。明确要求网络运营者有必要建章立制,担负起用户信息“保管员”的职责,确保对所搜集的用户信息在不泄露的前提下进行运用,同时强化了个人信息维护的知情赞同和特定目的准则。确认了网络运营者搜集个人信息有必要遵从合法、正当、必要的准则,强调了个人信息搜集过程中的透明度,和用户自主选择权,同时强调了信息收集者有必要合法运用和保存个人信息。那些使用其“垄断位置”或“霸王条款”强制用户赞同收集信息的网络运营者需求留意,再如此任性可就违法了。
《数据安全法》第三十二条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
2019年11月28日,国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅联合发布关于印发《App违法违规收集使用个人信息行为认定方法》的通知(国信办秘字〔2019〕191号)
https://www.cnaac.org.cn/newShowData.html?id=161
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
2021年11月1日《个人信息保护法》中:匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
《深圳经济特区数据条例》中:匿名化,是指个人数据经过处理无法识别特定自然人且不能复原的过程。
(2021年)个人信息保护法
第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。
(2020年)民法典
第一千零三十六条 【处理个人信息免责事由】处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
党的二十大报告强调,加强个人信息保护。
信息泄露主体主要有:1.内部人员犯罪凸显;2.服务行业人员(教育培训机构、房地产销售、中介等)利用公民个人信息过程中犯罪。
解读:本条款也被称作“大数据条款”。在强调维护个人信息的同时,有建设性的提出了“经过处理无法辨认特定个人且不能恢复的”除外,为个人信息数据在运用、交换和交易过程的合法性提供了法律依据。要求网络运营者对用户个人信息数据进行匿名化处理,技术上便是经过选用数据脱敏产品或技术手段,将涉及个人隐私的敏感数据进行脱敏处理,保证脱敏后的数据不能再辨认出特定个人,并且信息不行逆(不行经过技术手段恢复)。
同时,本条款作为个人信息维护的核心内容,清晰了网络运营者对个人信息维护的责任:有必要采纳技术措施维护个人信息,保证其搜集的个人信息安全,经过选用监控、审计等技术手段及时发现和记载反常行为,为主管部门进行追责和定责提供数据依据。
可与个人信息保护法结合
近日,广西北海公安网安部门在查处一起涉个人信息保护违法案件时发现,北海某网站存在数据泄露问题,网站约22万个人信息数据被挂在境外论坛售卖。经查,涉案公司主要提供网上咨询服务,建设有一网站,在日常工作中收集了个人和企业等大量公民信息,但未能按照《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及有关等级保护工作要求落实网络安全保护主体责任。公司网站服务器安全防护措施不足,仅能对SQL注入、XSS、WebShell等简单攻击手段进行防御,网站存在被多个境外IP攻击入侵的情况。
此外,公司未采取数据加密等有效的技术保护措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失,且在发现公司发生个人信息泄露的情况下,未及时告知用户和主动向公安机关报告。
该公司还存在网站日志只存储30日,网络日志留存不足六个月及相关安全管理制度缺失等问题。
对此,广西北海公安机关根据《中华人民共和国网络安全法》第四十二条的规定,对公司及直接负责人员分别作出罚款20万元、3万元的行政处罚。第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
解读:本条款中心是法律清晰赋予公民个人具有“删去权”和“更正权”。假如个人发现网络运营者不妥使用个人信息,有权要求删去,有过错的有权要求其改正。特别要提示网络运营者,有义务采纳办法予以删去或更正,否则将面临后款第六十四条所清晰的高额处罚。
中国首例网络“被遗忘权”案终审:百度胜诉 。海淀法院今日称,其依法审结了公民个人信息“被遗忘权”司法保护领域的全国首例案件,该案原告为任某某,被告为“国内网络搜索业龙头企业”,任某某的全部诉讼请求被驳回。
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
可能涉及的罪名:侵犯公民个人信息罪
2012年全国人民代表大会常务委员会发布的《关于加强网络信息保护的决定》中规定:
三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
《网络安全法》中在“不得”和“出售”中增加了“非法”。两字之差意味着,网络运营者出售、提供个人信息的行为不是完全被禁止的,非法出售、提供个人信息的行为才是被禁止的。合法出售、提供个人信息的行为则是合法的。《网络安全法》一方面对网络运营者保护个人信息给出了强制性要求,另一方面对个人信息的合理化使用让出空间,促进信息社会的数据共享,推动网络信息产业的快速发展。
《网络安全法》第六章第六十四条规定:违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
《治安处罚法2023》修订草案将违法出售或者提供公民个人信息行为增列为侵犯人身、财产权利的行为并给予处罚。规定:违反国家有关规定,向他人出售或者提供个人信息的,处十日以上十五日以下拘留;情节较轻的,处五日以上十日以下拘留。窃取或者以其他方法非法获取个人信息的,依照前款的规定处罚。
案例八 自贡某公司涉嫌非法获取个人信息案
简要案情:2021年5月,自贡公安机关工作发现,辖区某公司片区负责人经公司同意后,以7000元的价格非法购买公民个人信息14000余条,后分发给公司工作人员,使用非法获取的公民个人信息开展招生工作,涉嫌非法获取个人信息。自贡公安机关根据《中华人民共和国网络安全法》第四十四条、六十八条之规定,对该公司作出罚款三十万元的行政处罚。
案件警示:企业在经营过程中应当坚守法律底线,不得非法获取、非法提供和非法使用公民个人信息。除法律另有规定或者权利人明确同意外,任何组织或者个人不得以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁。个人信息遭到泄露,相关权利人可以通过行政、民事、刑事手段保护自身合法权益。
案例四:2019年4月,南京某装饰工程有限公司法人王某某为拓展公司在徐州地区业务,花费3000余元从网上购买徐州多个小区业主个人信息计3946条,后该王将购得的业主信息分发给员工用以推销装修装饰业务。徐州警方依据《网络安全法》规定,对王某某予以罚款10万元。
《中华人民共和国刑法》侵犯公民个人信息罪的判决依据:
第二百五十三条之一 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。。。。。
最高人民法院 最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
《中华人民共和国民法总则》
第一百一十一条自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
可能涉及的罪名:侵犯商业秘密罪。
第四十六条 任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
为了网络安全的需要,公安机关可以监控网站、通讯群组,网络运营都和社交网站运营者需要进行技术协助和配合。
可能涉及的罪名:非法利用信息网络罪。
这一条也与今年来层出不穷的新型网络诈骗犯罪有关。
2017年10月8日起施行的《互联网群组信息服务管理规定》
第九条 互联网群组建立者、管理者应当履行群组管理责任,依据法律法规、用户协议和平台公约,规范群组网络行为和信息发布,构建文明有序的网络群体空间。互联网群组成员在参与群组信息交流时,应当遵守法律法规,文明互动、理性表达。互联网群组信息服务提供者应为群组建立者、管理者进行群组管理提供必要功能权限。
第十条 互联网群组信息服务提供者和使用者不得利用互联网群组传播法律法规和国家有关规定禁止的信息内容。
【案例】:丹东市公安局在工作中发现潘某等人为谋取利益,通过网络群组和APP非法购买、销售弩具等管制物品。经过多方侦查,公安机关先后将潘某等多名犯罪嫌疑人抓捕归案,并查获了大量弩具、弩箭等管制物品。2023年4月,潘某等人因非法利用信息网络罪,分别被法院判处有期徒刑、拘役,并处罚金。
利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;(三)为实施诈骗等违法犯罪活动发布信息的。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
【案例】:葛某某于2017年开始在微信上建立交通违法处理群,并在群内、微信朋友圈以及58同城网站发布代为处理交通违法的消息,处理违章800多条,买卖驾驶证分数2000分,非法获利10万余元,葛某某和行为构成了非法利用信息网络。杭州公安局下城区公安局根据《网络安全法》第六十七条第一款的规定,决定给予葛某某行政挽留十五日并处罚款十万元的处罚。第四十七条 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
本款对网络运营者从法律上讲是义务,但是从内容上讲更像是一种权力,网络运营者的责任,会对网络运营者与网络用户之间的关系产生影响,这就迫使网络运营者成为实际上的执法主体。但是网络运营者本身并不具备执法资质和能力,只是具有一定的技术手段。如果对违法信息判断错误,会出现违法和侵权。
案例九 成都某公司不履行网络信息安全管理义务案
简要案情:2021年6月,成都公安机关检查发现,辖区某公司APP聊天工具,未对群聊内容、图片、语音进行严格审核,未及时删除违法有害信息,造成大量网络黑灰产信息在群聊里发布,该公司在实际工作中未履行网络信息安全管理义务。成都公安机关根据《中华人民共和国网络安全法》第四十七条、第六十四条之规定,对该公司作出罚款10万元、对公司技术负责人作出罚款1万元的行政处罚。
案件警示:网络运营者对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录,在开展业务过程中对相关内容审核措施落实不到位,造成大量违法有害信息在互联网上传播的严重后果,线下极易引起现实危害,最终将受到法律严惩。
案例五 成都某公司不履行网络信息安全管理义务案
简要案情:2021年4月,成都公安机关对辖区某公司开展网络安全监督检查时,发现该公司上架购买的版权歌曲,未对歌曲内容进行审核,未及时删除违法有害信息,造成违法有害信息在互联网上传播,该公司在实际工作中未履行网络信息安全管理义务。成都公安机关根据《中华人民共和国网络安全法》第四十七条和第六十四条之规定,对该公司作出罚款50万元的行政处罚。
案件警示:网络运营者应当加强对其用户发布信息的管理,发现法律、行政法规禁止发布或者传输的信息,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关部门报告。
第四十八条 任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
第四十九条 网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。
第五十条 国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。
第五章 监测预警与应急处置
第五十一条 国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。
中央网信办关于印发《国家网络安全事件应急预案》(中网办发文〔2017〕4号)的通知
http://www.cac.gov.cn/2017-06/27/c_1121220113.htm
《网络安全法》第五十一条规定,“国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息”。《条例》第二十三条规定,“国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。”
当前,国家网信部门已建立同中央和国家机关各部委、各人民团体、各省(自治区、直辖市)和新疆生产建设兵团、部分中央企业的网络安全信息通报、报告机制。通过该机制,国家网信部门组织网络安全机构、安全企业共享网络安全威胁、漏洞、事件等信息;组织相关单位、技术机构、网络安全企业等进行研判;向各有关单位通报网络安全事件、风险;有关单位报送网络安全风险和事件信息,反馈对国家网信部门通报的网络安全风险和事件的防范应对情况。网络安全信息通报、报告和信息共享机制作为国家网络安全保障体系的重要组成部分,在协调、整合各方资源力量,实现网络安全主动防范、应急处置等方面发挥了重要作用。
在国家关键信息基础设施网络安全信息共享工作中,《条例》要求建立关键信息基础设施网络安全信息共享机制,明确国家网信部门发挥统筹协调作用,统筹协调有关部门开展关键信息基础设施领域网络安全信息收集、分析、通报,发布关键信息基础设施网络安全预警信息。同时,《条例》还体现了网络安全服务机构等社会各方积极参与网络安全工作的思想,明确了政府、行业、网络安全服务机构网络安全威胁信息、漏洞的共享要求,共同保护关键信息基础设施安全。
第五十二条 负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
习近平总书记指出:“维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓‘聪者听于无声,明者见于未形’。感知网络安全态势是最基本最基础的工作。”作为网络安全工作的重要组成部分,监测预警工作是及时感知发现网络安全风险隐患、开展处置应对的重要环节。《网络安全法》《数据安全法》均通过相应条款,对监测预警与信息通报作出规定。《网络安全法》第五十二条规定,“负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。”《数据安全法》第二十二条也强调国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。
《条例》在关键信息基础设施网络安全监测预警方面,也体现了与《网络安全法》《数据安全法》相统一的体系化监测预警防护思路。《条例》第三条明确了国家各部门职责,第五条指出“国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁”。第十五条规定运营者负责网络安全防护能力建设,开展网络安全监测。第二十四条明确了行业、领域的保护工作部门要建立本行业、本领域的监测预警制度。《条例》从国家、行业主管监管部门、运营者三个层面,对国家有关部门、国家行业主管监管部门,以及关键信息基础设施运营者在网络安全防护工作中的职责进行了明确规定。明确了由国家网信部门统筹协调,国务院公安部门指导监督,行业主管监管部门负责关键信息基础设施安全保护和监督管理工作,制定本行业、本领域关键信息基础设施安全规划,明确保护目标、要求、任务和具体措施;关键信息基础设施运营者落实安全责任,建立健全关键信息基础设施网络安全监测预警与信息通报制度和措施。
第五十三条 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。
http://www.cac.gov.cn/2017-06/27/c_1121220113.htm
中央网信办关于印发《国家网络安全事件应急预案》的通知
负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。
网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
在关键信息基础设施网络安全应急处置工作方面,《关保条例》第二十五条要求,“保护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助”。其中,《关保条例》明确指出的“国家网络安全事件应急预案”,是指2017年1月印发的《国家网络安全事件应急预案》。该预案明确了中央和国家各部门、各地区在网络安全事件预防、监测、预警、应急处置中的职责,是国家网络安全事件应急预案体系的总纲,为各级部门制定相关网络安全应急预案提供了指导和参照。国家关键信息基础设施网络安全应急处置也将作为整体网络安全应急工作的一部分,纳入到国家网络安全应急协作机制开展工作。
第五十四条 网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施:
(一)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全风险的监测;
(二)组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度;
(三)向社会发布网络安全风险预警,发布避免、减轻危害的措施。
第五十五条 发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。
第五十六条 省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。
第五十七条 因网络安全事件,发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。
第五十八条 因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。
第六章 法律责任
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
“一案双查”的案例
福建厦门某科技有限公司信息泄露案。
2023年2月,福建厦门公安机关接到某科技有限公司报案称,其公司信息系统被攻击导致大量用户信息泄露。
经查,马某发现该公司开发的“跟单宝”系统中的交易记录等信息具有经济价值,指使杨某、陈某等人通过黑客手段入侵该系统,非法获取大量公民个人信息,并转卖至李某涛、刘某海、黄某南等人处。李某涛利用上述信息通过拨打骚扰电话、邮寄产品等方式向受害人进行精准营销。
2023年3月,厦门公安机关开展集中收网,抓获犯罪嫌疑人7名,涉案金额200余万元。此外,厦门公安机关还依法对该科技有限公司未履行网络安全保护义务行为给予行政处罚。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
2019-10-17深圳市公安局发布了《对违反网络安全管理行为实施处罚的裁量(liang第四声)指导意见(试行)》
【裁量基准】
(一)初次违反规定,且未导致危害网络安全等后果的,责令改正,给予警告。
(二)未按照公安机关的要求实施整改或非因不可抗力未在规定的期限内完成整改,且未导致危害网络安全等后果的,处一万元以上五万元以下罚款,对直接负责的主管人员处五千元以上二万元以下罚款。
(三)初次或多次违反规定,有下列情形之一的,属于“导致危害网络安全等后果”,处一万元以上五万元以下罚款,对直接负责的主管人员处五千元以上二万元以下罚款:
(四)未按照公安机关的要求实施整改或非因不可抗力未在规定的期限内完成整改,且导致危害网络安全等后果的,处五万元以上十万元以下罚款,对直接负责的主管人员处二万元以上五万元以下罚款。
第六十条 违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:
(一)设置恶意程序的;
第三方开发的系统,在上线前必须要经过代码安全审计、等级保护测评。
(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;
(三)擅自终止为其产品、服务提供安全维护的。
第六十一条 网络运营者违反本法第二十四条第一款规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第六十二条 违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。
2021年末更是爆出了被称作“核弹级”的Apache Log4j2漏洞,引发全球软件供应链安全灾难。
自阿里云12月9日将漏洞报告给Apache,Log4j 2漏洞也开始逐渐发酵。
而自2021年9月1日正式施行的《网络产品安全漏洞管理规定》:不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息。认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
同时该规定明确相关企业要接受至少4家的管理检查,分别是国家互联网信息办公室、工业和信息化部、公安部和有关行业主管部门;同时企业应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。
《网络产品安全漏洞管理规定》第三条规定国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。有关主管部门加强跨部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。
第六十三条 违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。
单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
在网安法与《刑法》计算机类型犯罪的违法行为衔接方面,具体如下:(1)网安法第六十三条从事危害网络安全的活动中的窃取网络数据,提供专门用于从事危害网络安全活动的程序、工具的行为与《刑法》第285条第二款非法获取计算机信息系统数据罪、提供侵入、非法控制计算机信息系统程序、工具罪相衔接;(2)网安法第六十三条为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助与《刑法》第287条之二款帮助信息网络犯罪活动罪相衔接;(3)网安法第六十四条窃取或者以其他方式非法获取、非法出售或者非法向他人提供个人信息的行为与《刑法》第253条之一款侵犯公民个人信息罪相衔接;(4)网安法第六十七条设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息与《刑法》第287条之一款非法利用信息网络罪相衔接。
第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
在网安法与《刑法》计算机类型犯罪的违法行为衔接方面,具体如下:(3)网安法第六十四条窃取或者以其他方式非法获取、非法出售或者非法向他人提供个人信息的行为与《刑法》第253条之一款侵犯公民个人信息罪相衔接;
2023年9月1日,治安管理处罚法(修订草案)征求意见稿:
将违法出售或者提供公民个人信息行为增列为侵犯人身、财产权利的行为并给予处罚。规定:违反国家有关规定,向他人出售或者提供个人信息的,处十日以上十五日以下拘留;情节较轻的,处五日以上十日以下拘留。窃取或者以其他方法非法获取个人信息的,依照前款的规定处罚。
第六十五条 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第六十六条 关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
滴滴公司共存在16项违法事实,包括违法收集个人信息、过度收集个人信息、在未明确告知乘客情况下分析乘客出行意图、频繁索取无关权限、未准确清晰说明个人信息处理目的等方面。经网络安全审查发现,滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。根据滴滴公司年报显示,其2021年的年度营业额为272.77亿美元,此次罚款80.26亿元人民币,应为其年度营业额的5%。
《个人信息保护法》第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
第六十七条 违反本法第四十六条规定,设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关处五日以下拘留,可以并处一万元以上十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。
单位有前款行为的,由公安机关处十万元以上五十万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
为了网络安全的需要,公安机关可以监控网站、通讯群组,网络运营都和社交网站运营者需要进行技术协助和配合。
(4)网安法第六十七条设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息与《刑法》第287条之一款非法利用信息网络罪相衔接。
葛某某于2017年开始在微信上建立交通违法处理群,并在群内、微信朋友圈以及58同城网站发布代为处理交通违法的消息,处理违章800多条,买卖驾驶证分数2000分,非法获利10万余元,葛某某和行为构成了非法利用信息网络。杭州公安局下城区公安局根据《网络安全法》第六十七条第一款的规定,决定给予葛某某行政挽留十五日并处罚款十万元的处罚。
第六十八条 网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十八条第二款规定的安全管理义务的,依照前款规定处罚。
第六十九条 网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款:
(一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的;
(二)拒绝、阻碍有关部门依法实施的监督检查的;
(三)拒不向公安机关、国家安全机关提供技术支持和协助的。
第七十条 发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。
第七十一条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
第七十二条 国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
第七十三条 网信部门和有关部门违反本法第三十条规定,将在履行网络安全保护职责中获取的信息用于其他用途的,对直接负责的主管人员和其他直接责任人员依法给予处分。
网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
第七十四条 违反本法规定,给他人造成损害的,依法承担民事责任。
民事责任,是民事法律责任的简称,指民事主体在开展民事活动的过程中,因实施了民事违法行为,根据民法所承担的对其不利的民事法律后果或者基于法律特别规定而应承担的民事法律责任。如当事人违反合同约定,使受害人造成实际经济损失;如在未经同意的情况下,使用他人肖像来实现牟利等,均属于民事责任。
《中华人民共和国民法典》
第一百七十九条 承担民事责任的方式主要有:(一)停止侵害;(二)排除妨碍;(三)消除危险;(四)返还财产;(五)恢复原状;(六)修理、重作、更换;(七)继续履行;(八)赔偿损失;(九)支付违约金;(十)消除影响、恢复名誉;(十一)赔礼道歉。
法律规定惩罚性赔偿的,依照其规定。本条规定的承担民事责任的方式,可以单独适用,也可以合并适用。
【来自】
根据《中华人民共和国民法典》第一百七十九条、第一百八十七条、第一千一百六十五条第一款和《中华人民共和国网络安全法》第七十四条第一款之规定,被告人王某某应承担消除危险、向社会公众公开赔礼道歉的民事责任。请求法院判令:1、被告人王某某永久删除其出售的公民个人信息数据;2、被告人王某某通过国家级媒体向社会公众赔礼道歉。
违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
中华人民共和国治安管理处罚法(节选)(2005年8月28日第十届全国人民代表大会常务委员会第十七次会议通过)
第三章 违反治安管理的行为和处罚
第一节 扰乱公共秩序的行为和处罚
第二十九条 有下列行为之一的,处五日以下拘留;情节较重的,处五日以上十日以下拘留:
(一)违反国家规定,侵入计算机信息系统,造成危害的;
(二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的;
(三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;
(四)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。案例六:2019年2月,违法嫌疑人李某(男,29岁,淮安人)自2018年1月起,为逃避经营性上网服务场所实名制管理,将其经营的深蓝网咖、轻语网咖、无尽网咖擅自组网,使用其中一家网吧账号登记上网人员信息,干扰公安、文化实名登记软件,甚至在上网高峰时段,出现网吧无人上网异常情况。淮安警方依据《网络安全法》第74条及《治安管理处罚法》第29条规定,对李某予以行政拘留5日。
案例:丹东市公安局在工作中发现潘某等人为谋取利益,通过网络群组和APP非法购买、销售弩具等管制物品。经过多方侦查,公安机关先后将潘某等多名犯罪嫌疑人抓捕归案,并查获了大量弩具、弩箭等管制物品。2023年4月,潘某等人因非法利用信息网络罪,分别被法院判处有期徒刑、拘役,并处罚金。
《中华人民共和国刑法》 第二百五十三条之一 对侵犯公民个人信息罪的规定:
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
《刑法》第二百八十五条 【非法侵入计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
第七十五条 境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。
第七章 附 则
第七十六条 本法下列用语的含义:
(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
(二)网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。
(四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
【案例裁决】经查,根据《中华人民共和国网络安全法》第七十六条规定:“个人信息,是指以电子或其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定:“公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”上述法律及司法解释的规定可看出公民的电话号码及微信号码应属于公民的个人信息范畴。
经查,根据《中华人民共和国网络安全法》第七十六条第五项、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条之规定,电话号码属于公民个人信息
第七十七条 存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。
第七十八条 军事网络的安全保护,由中央军事委员会另行规定。
第七十九条 本法自2017年6月1日起施行。
来自:http://www.cac.gov.cn/2016-11/07/c_1119867116.htm
滴滴公司
https://www.cagd.gov.cn/v/2022/07/1369.html
