《中国网信》2023年第1期
大道之行,壮阔无垠。
2023年是全面贯彻落实党的二十大精神的开局之年,是全面建设社会主义现代化国家、向第二个百年奋斗目标进军的关键一年。新时代网络安全和信息化工作迎来新的战略机遇,肩负起以中国式现代化全面推进中华民族伟大复兴的光荣使命。
1月4日至5日,全国网信办主任会议召开。会议以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导,深入学习宣传贯彻党的二十大精神以及中央经济工作会议、全国宣传部长会议精神,回顾总结2022年网络安全和信息化工作,研究部署2023年工作,明确了重点任务,指明了发力方向。
物有甘苦,尝之者识;道有夷险,履之者知。
会议指出,2022年是党的二十大召开之年,也是实施“十四五”规划、全面建设社会主义现代化国家的重要一年。这一年,面对风高浪急的国际环境,肩扛建设网络强国和数字中国的使命重任,我们始终紧紧围绕迎接学习宣传贯彻党的二十大这条主线,以最高标准、最严要求、最强力量、最实作风全力以赴做好党的二十大服务保障工作。我们基本建成网络综合治理体系,强化网络安全审查和数据安全管理,加强信息化建设整体布局,加大网络执法力度,成立世界互联网大会国际组织……
新时代网络安全和信息化工作迈上新台阶,在网络内容建设和管理、网络安全保障、信息化发展、网络法治建设、网络空间国际交流合作以及全面从严治党和干部队伍建设等方面取得显著成效。
这十年,网信事业从无到有、从小到大、从弱到强,取得历史性成就、发生历史性变革。在以习近平同志为核心的党中央坚强领导下,坚持和运用马克思主义立场观点方法研究解决新时代网信工作面临的实际问题,探索走出一条中国特色治网之道。互联网管理领导体制持续完善,中央网络安全和信息化委员会成立,网信三级工作体系建设深入推进,党中央对网信工作的集中统一领导得到全面加强。网络意识形态主阵地更加巩固,网络综合治理体系建设加快推进,网络空间法治化进程不断加快,网络空间正能量极大释放、负因素极大遏制。
青松寒不落,碧海阔逾澄。这是一场风雨兼程的行进,一路披荆斩棘;这是一段把握机遇的航程,一路奋勇争先。
做好下一步网信工作的谋划、部署和推进,必须对形势进行科学分析和准确把握。数字革命进入深入推进期,百年变局进入加速演进期,民族复兴进入历史上升期,党心民心进入空前凝聚期,管网治网进入提质增效期。面临新的战略环境,网信工作肩负起新的战略任务,凸显出新的战略要求,迈向新的战略阶段。
习近平总书记深刻指出:“新征程是充满光荣和梦想的远征,没有捷径,唯有实干。”
面对党中央的高度重视和殷切期望,面对新形势与新变化,我们要以高度政治责任感,全力落实好相关决策部署,统筹网上网下,提升治理效能,扎实推动今年网络安全和信息化工作取得新成效。
抓住工作主线,突出发力重点,不断激发新活力、打造新优势。
学习宣传贯彻党的二十大精神,是当前和今后一个时期的首要政治任务和全年工作主线,以全面学习、全面把握、全面落实党的二十大精神为统领,深刻领悟“两个确立”的决定性意义,牢记“国之大者”,增强“四个意识”、坚定“四个自信”、做到“两个维护”。
一方面,加强网信领域从业者的学习培训,开展网上宣传和深度解读,根据不同受众群体的特点,制作形式多样、内容生动、创意互动的内容,让党的二十大精神的学习宣传向全体网民延伸;另一方面,深刻把握党的二十大对新时代新征程网信工作提出的任务要求,坚决贯彻落实决策部署,确保党的二十大精神在网信领域落地生根、产生实效。
建设全媒体传播体系、塑造主流舆论新格局。切实提升议题引领力、内容感召力、舆论引导力和国际传播力,从改善社会心理预期、提振发展信心入手,大力唱响中国经济光明论,振奋干事创业精气神。促进传播手段和话语方式创新,满足人民群众多样化、高品质的精神文化需求。
完善网络综合治理体系,全面提升治理效能,营造清朗网络空间。深入推进“清朗”等专项行动,不断健全未成年人网络保护机制,以特色品牌活动推进网络文明建设,压实网站平台信息内容管理主体责任。
加快数字领域核心技术自主创新,加强信息化建设。把核心技术突破摆在突出位置,完善创新保障机制。聚焦先导产业提升全链条自主可控能力,推动数字经济产业集群发展,深入实施数字乡村发展战略。
维护网络安全和数据安全,持续加强关键信息基础设施保护,提升网络安全防护能力,壮大网络安全产业。全面推进网络空间法治化建设,强化重点领域立法,完善配套规定,严厉打击违法违规行为。
构建网络空间命运共同体,深化互利共赢。宣传介绍阐释好习近平总书记关于构建网络空间命运共同体的理念主张,积极主动参加全球数字治理进程,为世界和平发展和人类文明进步贡献“中国方案”。
放眼神州,开局便是冲刺;俯身耕耘,未来无限可能。让我们前进的脚步,担当“中国精神”的历史分量;让我们创造的价值,汇聚“中国力量”的磅礴伟力。
2023年网信工作新任务新要求已定。我们要把思想和行动统一到贯彻落实习近平总书记重要指示批示精神和党中央重大决策部署上来,坚持党的全面领导不动摇,充分发挥党的领导政治优势,以实打实的举措,推进网络强国建设取得新成效。以信息化数字化驱动引领中国式现代化,让中国这艘巨轮,在惊涛骇浪中挺立潮头,在栉风沐雨中再书华章。
《网络安全法》全面解读
《网络安全法》背景
《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,并对“网络(Cyber)”进行了重新定义,是指“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”,其涵义外延更大。既然作为基本法,与之前看到的各部门规章有着本质区别,它明确提出不履行相应的责任与义务,都将会受到法律的处罚。处罚也从不同角度进行了细化和明确,特别是会对主管人员或直接负责人员进行处罚,构成犯罪的会依法追究刑事责任。
网络安全管理趋势
近几年,我国网络安全形势发生了非常大的变化,我国是名副其实的网络大国,网民人数全球第一,网络创新活跃,越来越多的业务都在互联网化,网络已融入经济社会生活的各个方面。但同时,我国也是网络安全事件的重灾区,网络攻击活动日渐频繁,个人信息泄露事件频发。因此《网络安全法》的出台,对于我们每个网络服务的提供者、网民都有非常积极的帮助。接下来我们重点对《网络安全法》的重点章节和相关条款进行剖析。
《网络安全法》“不止于此”。网络安全法是我国在网络安全管理方面的基本法,后续还有一系列细则,需根据企业自身所在行业整体实施,整体来看国家对于网络安全的管理会加大力度。
信息安全向网络安全转变。很多企业往往只关注的信息安全或者说内容的安全性,缺乏对于网络安全的关注,虽说二者有一定的交集,但在范围、管理模式、技术手段上有着较大差异。
强调个人信息及隐私的保护。《网络安全法》实施后,将规范个人信息的收集和使用,让企业的关注点应从单纯的“数据安全”延展至影响范围更广的“个人隐私保护”。
违法处罚更加严格。对于网络运营者拒不履行安全的责任,明确处罚措施,包括暂停业务活动、严重的违法行为将导致停业整顿或吊销执照、处罚金额最高可至100万元、对于直接负责人进行罚款等。
条款解读
本条款提到的网络安全等级保护制度是公安部运营多年的信息系统安全等级保护制度,网络安全法的出台也加强了对等保执行力度的要求,不做等保就属于违法行为了。
1. 安全管理:网络运营者需在企业内部明确网络安全的责任,并通过完善的规章制度、操作流程为网络安全提供制度保障;
2. 技术层面:网络运营者应采取各种事前预防、事中响应、事后跟进的技术手段,应对网络攻击,降低网络安全的风险。值得注意的是,网络日志的保存期限已明确要求不低于六个月;
3. 数据安全方面:网络运营者需对重要数据进行备份、加密,以此来保障数据的可用性、保密性。
如何根据自身实际情况建立有效的安全管理体系、如何在技术层面选择合理的技术解决方案、如何加强自身的数据保护能力,都将成为网络运营者所重点关注的问题。
应对策略:基于本方案将形成从主机层、网络层、应用层的整体防入侵措施。网络层具备抵御大流量的DDoS攻击、CC攻击的能力,避免因网络攻击导致出现业务中断或不可访问的情况。并实现安全监测和安全分析,实时发现网络入侵行为。
处罚:拒不执行本条款要求或因此导致危害网络安全后果的网络运营者,处一万以上十万以下罚款,对于直接负责的主管人员处以5000元以上5万元以下罚款。
应急预案与响应要求
涉及行业: 事业单位 国企 传媒 金融 电商 游戏 社交网站 ……
《网络安全法》第二十五条规定:
网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
解读:
本条款的提出也是完善安全技术体系非常重要的一环,而响应能力的建设是当前网络运营者普遍存在的弱点。
整体缺乏事件危害评估、应急预案、处置措施、上报流程等一系列的规范,或者说有规范但在出现网络安全事件的时候,发现应急预案根本没办法起到作用。
在公共云或者可运营的政务云上,有着完整的安全运营体系,当发生大规模网络安全事件时,安全运营团队会第一时间处理相关问题。或者使用云盾管家服务,针对网络运营者的业务制定应急预案和定期演练。
处罚:
拒不执行本条款要求或因此导致危害网络安全后果的网络运营者,处一万以上十万以下罚款,对于直接负责的主管人员处以5000元以上5万元以下罚款。
政务安全治理
涉及行业:政府机构 事业单位 公共服务职能部门 ……
《网络安全法》第三十四条规定:
除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
1. 设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
2. 定期对从业人员进行网络安全教育、技术培训和技能考核;
3. 对重要系统和数据库进行容灾备份;
4. 制定网络安全事件应急预案,并定期进行演练;
5. 法律、行政法规规定的其他义务。
解读:
关键基础设施的安全隐患具有很大的破坏性和杀伤力,《网络安全法》在关键信息基础设施的运行安全、建立网络安全监测预警与应急处置制度等方面都作出了明确规定。
处罚:
不履行本法相关条款的网络安全保护义务的,拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
个人信息保护
涉及行业: 事业单位 通信 传媒 金融 医疗 电商 游戏 ……
《网络安全法》第四十一、四十二、四十三条规定:
第四十一条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十三条:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
解读:
从这三条条款中可以看出,《网络安全法》聚焦个人信息泄露,明确网络产品服务提供者、运营者的责任。严厉打击出售贩卖个人信息的行为,对保护公众个人信息安全将起到积极作用。
除严防个人信息泄露,《网络安全法》针对层出不穷的新型网络诈骗犯罪还规定:任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布与实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
处罚:
违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
《数据安全法》全面解读
作为我国关于数据安全的首部律法,受到了社会各界人士的广泛关注。自2020年6月28日以来,《数据安全法》经历了三次审议与修改,于2021年9月1日正式施行,标志我国在数据安全领域有法可依,为各行业数据安全提供监管依据。
随着《数据安全法》的出台,我国在网络与信息安全领域的法律法规体系得到了进一步的完善。按照总体国家安全观的要求,《数据安全法》明确数据安全主管机构的监管职责,建立健全数据安全协同治理体系,提高数据安全保障能力,促进数据出境安全和自由流动,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,让数据安全有法可依、有章可循,为数字化经济的安全健康发展提供了有力支撑。
新法案对数据安全作出了全面的指导,并加大了对违法行为的处罚力度:
解读1:
坚持以数据开发利用和产业发展促进数据安全
当前数字经济的蓬勃发展正成为我国在国际环境中的核心竞争力。《数据安全法》鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展,增进人民福祉。我国坚持维护数据安全与促进数据开发利用并重,互相促进。《数据安全法》的正式实施将为我国在国际数据经济市场中提供坚实有力的保障。
解读2:
深化数据安全体制建设
在大数据时代背景下,政务、社会、城市数字化转型快速发展,依据本法建立数据安全管理制度,明确数据责任主体,从统一化及可落地性出发,结合现有数据业务建设需求和建设情况,遵从整体策略方针,全面优化管理体制,为我国数字化转型的健康发展提供法治保障,为构建智慧城市、数字政务、数字社会提供法律依据。
解读3:
数据安全监管制约
《数据安全法》明确了数据管理者和运营者的数据保护责任,指明了数据保护的工作方向,对整个信息安全产业都带来了积极的影响,全面消除数据管理者和运营者在数据安全建设中的盲区,数据安全建设有法可依,数据安全事故造成的损失有法可惩,这对促进经济社会信息化健康发展,保护公民、组织的合法权益具有非常大的价值。
《数据安全法》以人为本,鼓励对违法行为的投诉举报,对投诉、举报人的相关信息予以保密,并充分考虑老年人、残疾人的需求,维护每一个公民的合法利益。
解读4:
深度覆盖的全场景数据安全评估与防护要求
《数据安全法》特别指出“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。”核心数据安全监督与管理、评估与防护建设刻不容缓。
《数据安全法》提出对数据全生命周期各环节的安全保护义务,加强风险监测与身份核验,结合业务需求,从数据分级分类到风险评估、身份鉴权到访问控制、行为预测到追踪溯源、应急响应到事件处置,全面建设有效防护机制,保障数字产业蓬勃健康发展。
解读5:
加大政务数据开放共享中的安全机制
《数据安全法》针对政务数据开发利用作出了明确的指示,要求省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,加强数据开放共享的安全保障措施,建立统一规范、互联互通、安全可控的机制,利用数据安全运营,提升数据服务对经济社会稳定发展的效果。
《数据安全法》的发布促进数据安全的保障力度和执法强度,对数字化转型中的政务数据应用起到关键性的作用。数字经济市场空间巨大。
解读6:
加大违法处罚力度
《数据安全法》对数据安全违法行为赋予了多项处罚说明。第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
对违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。