網絡空間不是法外之地—— 《網絡安全法》之數據安全合規合法解讀
發(fā)布時間: 2017.06.01 | 來源: 帕拉迪

今天具有裡(lǐ)程碑意義的《中國(guó)人民共和國(guó)網絡安全法》正式生效。從2014年中央網絡安全和信息化小組成(chéng)立之初就(jiù)開(kāi)始研究和制定網絡安全和信息化發(fā)展戰略。2015年7月網絡安全法草案一審稿出台,2016年7月網絡安全法草案二審稿出台,同年11月網絡安全法草案三審稿完成(chéng)并由十二屆全國(guó)人大常委會(huì)第二十四次會(huì)議表決通過(guò),安全大法的出台爲我國(guó)信息化建設提供宏觀規劃和重大方針指向(xiàng),推動國(guó)家網絡安全和信息化法治建設,不斷增強安全保障能(néng)力。


 

 網絡安全法适用除軍事(shì)網絡的安全保護相關單位和人以外的所有單位和個人,包括網絡運營者、主管單位、信息安全廠商、硬件廠商、集成(chéng)商等。基本涵蓋了所有從事(shì)IT類的單位、用戶、主管單位和個人。如果從合法合規的角度來分類,整個網絡大全可以分爲網絡安全、數據安全、管理安全三個維度,随著(zhe)信息化的建設的發(fā)展,越來越多的單位和個人注重網絡安全、管理安全,而對(duì)數據安全的重要性、防護措施并不是很清晰,因此我們主要結合網絡安全法在數據安全方面(miàn)的合法合規的政策解讀。

第二十一條:國(guó)家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受幹擾、破壞或者未經(jīng)授權的訪問,防止網絡數據洩露或者被(bèi)竊取、篡改:

第三款:采取監測、記錄網絡運行狀态、網絡安全事(shì)件的技術措施,并按照規定留存相關的網絡日志不少于六個月。

解讀:應采取監控和審計類的技術或産品,對(duì)訪問網絡行爲、數據操作行爲進(jìn)行持續監控和審計,可溯源、可控制,做到記錄事(shì)件;值得注意的是明确規定了日志的存儲期限不低于6個月,對(duì)存儲時間做了規範性要求。

第四款:采取數據分類、重要數據備份和加密等措施

解讀:對(duì)收集和存儲、使用的個人隐私信息或重要敏感信息,進(jìn)行發(fā)現、分類和監控,建立相應的方案防止數據被(bèi)竊取、拖庫、重要信息非法入侵竊取。要采用相應防護措施實現系統重要敏感數據和重要業務數據,同時做好(hǎo)備份工作,重要信息要有備份,同時備份的數據要有相應的保護措施,數據防護安全措施必須做到位。

第二十四條:網絡運營者爲用戶辦理網絡接入、域名注冊服務,辦理固定電話、移動電話等入網手續,或者爲用戶提供信息發(fā)布、即時通訊等服務,在與用戶簽訂協議或者确認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得爲其提供相關服務。

解讀:個人信息實名制要求,核心是實名制;在電信用戶實名制基礎上,規定了信息發(fā)布、即時通訊等服務的實名制要求,而爲了不影響用戶的個人隐私,實名制也是一把雙刃劍,對(duì)于網絡運營者來說,一旦收集的個人信息發(fā)生大批量的洩漏,將(jiāng)産生無法預期的數據安全風險;因此,網絡安全法個人信息實名制對(duì)網絡運營者提出了要求,事(shì)實上,目前有部分個人用戶信息洩露的方式就(jiù)通過(guò)網絡運營者管理不善造成(chéng)的,安全法強化了個人信息保護。

第四十一條:網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開(kāi)收集、使用規則,明示收集、使用信息的目的、方式和範圍,并經(jīng)被(bèi)收集者同意。不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。

第二十二條第三款:網絡産品、服務具有收集用戶信息功能(néng)的,其提供者應當向(xiàng)用戶明示并取得同意;涉及用戶個人信息的,還(hái)應當遵守本法和有關法律、行政法規關于個人信息保護的規定。

解讀:四十一條和二十二強調網絡運營者收集使用個人信息的原則和目的,條款規定了個人信息保護的知情同意和特定目的原則。強調必須在用戶知曉并同意收集目的和使用範圍後(hòu),才能(néng)收集個人信息,保證了用戶的知情權。企業要按此要求規範獲取個人信息的途徑和方式方法。

第四十二條:網絡運營者不得洩露、篡改、毀損其收集的個人信息;未經(jīng)被(bèi)收集者同意,不得向(xiàng)他人提供個人信息。但是,經(jīng)過(guò)處理無法識别特定個人且不能(néng)複原的除外。

網絡運營者應當采取技術措施和其他必要措施,确保其收集的個人信息安全,防止信息洩露、毀損、丢失。在發(fā)生或者可能(néng)發(fā)生個人信息洩露、毀損、丢失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向(xiàng)有關主管部門報告。

解讀:本條款也被(bèi)業内稱作“大數據條款”;強調網絡運營者要保護用戶個人信息,很多網絡運營者的用戶注冊信息成(chéng)千上萬,如何确保這(zhè)些信息不被(bèi)竊取、洩露、而現在個人信息的洩露的方式可以由内部人員造成(chéng)、也可以是由業務漏洞造成(chéng)的洩露,因此數據安全防護産品是一種(zhǒng)手段。

第四十三條:個人發(fā)現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者删除其個人信息;發(fā)現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當采取措施予以删除或者更正 

解讀:本條款核心是法律明确賦予公民個人具有删除權和更正權;如果發(fā)現網絡運營者不當使用個人信息,有權要求删除,有錯誤的有權要求其改正。

第四十四條:任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向(xiàng)他人提供個人信息

解讀:核心是不得非法獲取、非法出售和提供個人信息,這(zhè)一要求是毋庸置疑的。

這(zhè)裡(lǐ)說到非法出售和提供,數據洩露的方式有很多種(zhǒng),有内部用戶爲了個人利益兜售用戶信息,而如果沒(méi)有相應的記錄過(guò)程,這(zhè)種(zhǒng)數據獲取方式往往是被(bèi)看做是一種(zhǒng)“合法操作”,對(duì)于一些越權訪問數據信息又得不到權限控制。對(duì)外部人員,更多的數據洩露方式往往是業務層面(miàn)的一些漏洞被(bèi)利用,因此應該有相應的數據防護産品來防範該類事(shì)情的發(fā)生。

 

通過(guò)對(duì)網絡安全法的整體分析,實際上可以從三個安全框架建設單位和個人的網絡,分爲網絡層安全、數據層安全、規則制度建設安全。


 

網絡層安全:針對(duì)網絡層安全除了部署傳統網絡防火牆等外,應部署運維審計産品、做到設備訪問權限控制、合法合規、可記錄、可追溯、可審計等,推薦帕拉迪運維審計産品,産品成(chéng)熟度和市場認可度高。

數據層安全:基于個人信息保護及數據安全保護,需要審計及記錄,對(duì)敏感數據、高危數據操作進(jìn)行行爲判斷、事(shì)中阻斷。并且重要數據需要有容災備份,推薦帕拉迪科技數據審計、數據庫防火牆、NGDAP、NGWAF等。

規章制度建設安全:制定内部安全管理制度和操作規程,确定網絡安全負責人,落實網絡安全保護責任,網絡運營者應當制定網絡安全事(shì)件應急預案,定期對(duì)從業人員進(jìn)行網絡安全教育、技術培訓和技能(néng)考核。

 


Copyright © 2019 All Rights Reserved Designed
杭州梵汐網絡科技有限公司