网络安全法培训总结0414由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“网络安全法培训总结”。
网络安全法培训重点内容总结(20170414)
演讲标题:网络安全挑战与网络安全法
演讲嘉宾:周汉华(中国社会科学院法学所研究员,参与《网络安全法》起草过程)演讲目录:
1.互联网是一次历史性机会 2.无所不在的网络安全挑战 3.网络安全法的制定及其意义 4.网络安全法的调整对象 5.网络运营者责任
6.关键信息基础设施保护制度 7.个人信息保护规定 8.网络安全管理体制
一、调整对象——网络安全
第二条:“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。”
(一)网络安全的两层含义 1.网络运行安全——本法主线
第十条:“建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保证网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。”
网络运行安全的定义
第七十六条第二款:“网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”
2.网络信息安全:个人信息保护+信息内容安全
二、网络运营者责任
(一)网络运营者定义:
第七十六条第三款:“网络运营者,是指网络的所有者、管理者和网络服务提供者。”
1.网络运营者包括公权力主体+私权利主体 2.网络运营者的直接责任+替代责任
3.网络运营者责任的兜底条款(类似《反不正当竞争法》第二条)第九条:“网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。”
(二)网络运营者的双重义务 1.直接责任 1.1 等级保护制度
第二十一条:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。” 1.2 符合国家标准的强制性要求
第二十二条:“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”
1.3 用户信息保护义务 第二十二条第二款:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”
1.4 实名制
第二十四条:“网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。”
1.5 网络安全事件应急机制
第二十五条:“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”
1.6 协助义务
第二十八条:“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。”
2.替代责任 2.1 发布+发现:
第四十七条:“网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。”
2.2发送+知道
第四十八条:“任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。”
信息发送行为涉及私人领域内宪法层面上的“通信自由”,因此网安法并未因此规定网络运营者的主动审查义务,而是规定了“知道”,但并未明确“知道”是否包含“应当知道”,同时也涉及与诸如侵权责任法等相关法律的适用及解释问题。
三、个人信息保护规定
1.明确要求网络运营者建立健全用户信息保护制度,突出预防为主的思路; 第四十条:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”
2.明确信息采集最小化原则,不得收集与其提供的服务无关的个人信息; 第四十一条第一款:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
数据能不能用、怎么用,其实涉及数据授权问题
3.首次规定数据脱敏条款;
第四十二条第一款:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”
4.首次规定个人信息泄露报告制度;
第四十二条第二款:“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”
5.首次一定程度上规定被遗忘权;
第四十三条:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”
6.明确关键信息基础设施运营者的数据本地化要求;
第三十七条:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
个人听课笔记:
今日头条,你关心的才是头条——算法统治的世界 假新闻泛滥,谣言,标题党,网络软暴力,网络恐怖 人肉搜索—刑事犯罪,民事侵权(最高院解释)
习近平:没有信息安全就没有国家安全(朝鲜导弹发射失败系遭美国远程遥控)网络信息安全包括个人信息保护及信息内容安全两方面,后者更具中国特色
