第一节 《网络安全法》相关规定及释义
总体来说,《网络安全法》让我国作为基本国策的信息安全等级保护制度在基本法层面确立为网络安全等级保护制度,以“保障网络免受干扰、破坏或未经授权的访问,防止网络数据泄露或被窃取、篡改”为根本目的,规定了等级保护制度安全措施的基线要求并赋予强制力。
在《网络安全法》中,网络安全等级保护制度体现为第二十一条和第五十九条。第二十一条规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或未经授权的访问,防止网络数据泄露或者被窃取、篡改:①制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;②采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;③采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月;④采取数据分类、重要数据备份和加密等措施;⑤法律、行政法规规定的其他义务。
第五十九条规定的主要是法律责任,即网络运营者不履行本法第二十一条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
从《网络安全法》第二十一条的规定来看,网络安全等级保护制度保护的对象既包括信息系统,也包括信息系统中存在的网络数据。网络安全等级保护制度将网络运营者作为第一责任人,要求网络运营者根据网络安全等级保护制度的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务。义务内容方面,《网络安全法》针对一般网络运营者与关键信息基础设施的网络运营者在安全等级保护制度下设置了不同程度的安全保障义务。一般网络运营者仅需遵从第二十一条规定的安全保障义务。关键信息基础设施网络运营者除了第二十一条规定的义务外还需遵守第三十四条的规定。法律责任方面,承担责任的主体不仅包括网络运营者,还包括直接负责的主管人员,处罚方式包括责令改正后警告和罚款。其中责令改正后警告属于未造成危害后果的前置条件,拒不改正后进一步做出罚款处罚;在网络运营者不履行安全保护义务导致危害网络安全后果的情形下,可直接做出罚款处罚。以下是具体释义。
一、义务主体
根据《网络安全法》第二十一条的规定,网络安全等级保护制度的义务主体是“网络运营者”。第七十六条对网络运营者的概念进行了界定,认为“网络运营者”是指网络的所有者、管理者和网络服务提供者。
在《网络安全法》颁布之前,网络运营者的概念仅在已经失效的《电信服务标准(试行)》中出现过,但在该规定中“网络运营者”主要是指提供通道、电路段的网络服务提供商,与《网络安全法》中的网络运营者并非同一概念。根据《网络安全法》对于网络的定义,这里规定的网络既包括电信网、广播电视传输网、互联网等基础信息网络,也包括局域网、工业控制系统等不向社会提供商业或公共服务的网络。网络所有者、网络管理者则是指前述信息系统的所有者和管理者。网络服务提供者指的则是依托于网络这个信息系统的各类服务提供者,网络服务包括了网络信息服务、网络接入服务及其他网络服务。因此,网络安全等级保护制度下安全保障义务的网络运营者的范畴相当广泛,既包括如移动、联通、电信等基础电信网络的所有者和管理者,也包括像京东、腾讯、新浪等这样的网络信息服务提供者;既包括经营性的网络服务运营者,也包括非经营性的网络运营者;既包括向公众提供服务的互联网的网络运营者,也包括不向公众提供服务的局域网或工业控制系统的网络运营者。
二、义务内容
网络安全等级保护制度下,《网络安全法》从管理措施和技术措施两个层面规定了网络运营者的义务。具体来说,网络运营者的主要义务包括以下内容。
(一)制定内部安全管理制度及操作规程
根据等级制度的要求,网络运营者应制定内部安全管理制度和操作规程,对安全管理活动中的主要管理内容建立安全管理制度,对要求管理人员或操作人员执行的日常管理操作建立操作规程。安全管理制度应通过正式、有效的方式发布,并进行版本控制,应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。
网络安全等级保护的核心是保证不同安全保护等级的对象具有相适应的安全保护能力。《信息系统安全等级保护基本要求》(GB/T 22239—2008)对不同安全保护等级对象的安全管理制度提出了不同强度的基本要求,网络运营者可以参考。
(二)确定网络安全负责人
网络运营者应根据不同保护等级设立信息安全管理工作的职能部门,设立安全主管、安全管理各方面的负责人岗位,并明确各负责人的职责;应设立系统管理员、网络管理员、安全管理员等岗位,并明确各工作岗位的职责;应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。《信息系统安全等级保护基本要求》(GB/T 22239—2008)对不同安全保护等级对象的安全管理机构和人员安全管理等提出了不同强度的基本要求,网络运营者可以参考。
(三)采取防范危害网络安全行为的技术措施
为落实网络安全等级保护制度,网络运营者应当采取技术防范措施,防范计算机病毒和网络攻击、网络侵入等网络安全风险。《网络安全法》之外,《计算机信息网络国际联网安全保护管理办法》
、公安部发布的《互联网安全保护技术措施规定》等规定中对于网络运营者应该承担的技术措施做出了规定。网络运营者应当采取的技术措施包括安装防病毒软件,防范计算机病毒;安装网络身份认证系统、网络入侵检测系统、网络风险审计系统等,防范网络攻击、侵入等。《信息系统安全等级保护基本要求》(GB/T 22239—2008)规定了不同安全保护等级对象的入侵防范基本要求,网络运营者可以参考。例如,二级要求“应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等”;三级要求“a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警”。
(四)网络监测与日志留存
根据网络安全等级制度的要求,网络运营者应当监测、记录网络运行状态、网络安全事件,并留存相关的网络日志不少于6个月。《网络安全法》颁布之前我国的许多规范中已经存在与网络日志留存相关的规定,基本源自2000年国务院发布的《互联网信息服务管理办法》规定。《互联网信息服务管理办法》(国务院令第292号)第十四条规定,互联网信息服务提供者应当记录提供的信息内容及其发布时间、互联网地址或域名;互联网接入服务提供者应当记录上网用户的上网时间、用户账号、互联网地址或域名、主叫电话号码等信息。互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日。
2003年铁道部发布《铁路计算机信息系统安全保护办法》(铁道部令第10号),第二十七条规定重要计算机信息系统应当建立完善的计算机信息系统日志,根据信息的重要程度设定保存时间,最短不少于60日。2006年公安部发布《互联网安全保护技术措施规定》(公安部令第82号),第十三条规定互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施,应当具有至少保存60日的记录备份的功能。
2012年工业和信息化部发布《移动互联网恶意程序监测与处置机制》(2018年1月1日起废止),第十二条规定,国家互联网应急中心(National Internet Emergency Center, CNCERT)、移动通信运营企业、互联网域名注册管理机构和注册服务机构应留存所监测和处置的移动互联网恶意程序相关数据或资料以备查验。数据或资料保存时间为60日。少数行业规范超出了60日的规定,如中国证券监督管理委员会发布的《中国证券监督管理委员会公告(2011)39号——证券期货业信息系统安全等级保护测评要求(试行)》规定检查审计记录应当至少保存6个月;2009年《商业银行信息科技风险管理指引》第二十七条规定,“系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定,但不能少于一年”。
(五)数据分类、重要数据备份和加密
随着云计算、大数据等技术的发展和应用,网络数据安全对维护国家安全、经济安全,保护公民合法权益,促进数据利用至关重要。网络安全等级制度要求网络运营者对数据进行分类,重要数据采取备份和加密等措施,防止网络数据被窃取或篡改。
数据分类是按照重要程度等标准对数据进行区分、归类。我国现行的规范中还未有对数据分类标准的具体规定。《信息安全等级保护管理办法》第三十四条规定,国家密码管理部门对信息安全等级保护的密码实行分类分级管理。对于重要数据备份和加密中重要数据的认定问题,《网络安全法》没有做具体的界定。第三十七条关于关键信息基础设施的重要数据出境中有“重要数据”的有关规定。基于《网络安全法》第三十七条,2017年国家互联网信息办公室发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》,定义“重要数据”为与国家安全、经济发展,以及社会公共利益密切相关的数据。从此定义可以看出第三十七条中的“重要数据”的识别需要考量的因素包括国家安全、经济发展和社会公共利益。之后国家标准《信息安全技术 数据出境安全评估指南(征求意见稿)》对重要数据进行了进一步的认定。从上述规定中可以看出,数据出境规范中的“重要数据”具有以下特点。第一,重要数据与个人数据并非种属关系,个人数据不属于规范中的重要数据。虽然《信息安全技术 数据出境安全评估指南(征求意见稿)》附录A“重要数据识别指南”中还增加了对于个人合法利益的考量,疑似可以将个人数据纳入其中,但这与整个指南将个人数据与重要数据分别加以规范的做法并不相符,有待商榷。第二,国家秘密被排除在外,国家秘密的相关规范由其他法律法规进行规定。第三,数据来源为识别要素之一,“重要数据”的来源仅限于境内收集和产生,而不包括来源于境外的数据。
首先,需要注意的是,网络安全等级制度中的“重要数据”与数据出境制度中的“重要数据”略有不同。数据备份、加密与数据出境对于国家安全,社会秩序、公共利益,以及公民、法人和其他组织的合法权益影响的作用方式有所不同。例如,有些用户信息的出境并不会对国家安全、经济发展和社会公共利益产生不利影响,因此不属于数据出境中的“重要数据”。但是对这类数据的备份对于企业自身运营可能具有重大的积极意义,可能就属于网络安全等级保护制度中的“重要数据”。
此外,有些数据的备份可能对网络运营者业务自身运营具有重要意义,因此可能被划分到等级保护中的“重要数据”的范畴,但是此类数据可能因出境对国家安全、经济发展和社会公共利益没有多大影响而被排除在数据出境规范中的“重要数据”的范畴之外。
其次,与数据出境中的“重要数据”强调数据境内产生或收集不同,等级保护制度中的“重要数据”并不区分数据的来源。
最后,在数据出境的规范中,并没有将个人数据纳入重要数据的范畴,而是将个人数据与重要数据分别加以规定和保护。在等级保护制度规定的重要数据加密和备份中并没有另行规定个人数据的保护,鉴于个人数据对于国家、公众或个人的重要意义,等级保护制度中的“重要数据”必然包括个人数据。
综上,等级保护制度中的“重要数据”的认定应当以保护国家安全,社会秩序、公共利益,以及公民、法人和其他组织的合法权益为导向,重点考量数据备份和加密对于网络运营者业务运营的重要意义,以及数据不备份、不加密是否会对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益造成不利影响。
《信息系统安全等级保护基本要求》(GB/T 22239—2008)规定了不同安全保护等级对象的数据备份要求,网络运营者可以参考。例如,二级对象要求“能够对重要信息进行备份和恢复;提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性”,三级对象要求“应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障;应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性”。
值得注意的是,依据《网络安全法》第二十一条的规定,除了制定内部安全管理制度及操作规程、确定网络安全负责人、采取防范危害网络安全行为的技术措施、网络监测与日志留存、数据分类、重要数据备份和加密等明确规定的义务外,法律、行政法规规定的其他义务也是网络运营者需要履行的安全保护义务,如依据《计算机信息系统安全保护条例》第九条和《信息安全等级保护管理办法》第十四条规定的“第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评”的义务等。