西安交大信息安全法律研究中心方婷：《网络安全法》与企业信息安全遵从 原创

至顶网安全频道 06月16日 综合消息： 2017年6月14-16日，由中国电子学会主办、至顶网等协办的第九届中国云计算大会在北京国家会议中心召开，与大会同期召开的《云计算大数据安全论坛》成为最受关注的技术论坛之一。

西安交通大学信息安全法律研究中心博士、西安交通大学信息安全法律研究中心助理研究员方婷在论坛上做了《网络安全法》与企业信息安全遵从的主题演讲。

以下是方婷演讲实录：（内容根据现场速记整理，未经发言嘉宾确认，仅供参考，谢绝转载）

方婷：有关于企业信息安全遵从的一些相关规定，实际上引发了各界普遍关注，今天我就此与大家一起分享有关于网络安全法下的企业信息安全遵从的相关内容。首先我们可以看一下，网络安全法的一个立法进程图，网络安全法的立法实际上在2013年的下半年已经提上了议程，一直到去年的11月获得了通过，在经历了两次征求意见稿三次审议，最后获得了一个高票的通过，并于今年的6月1日起正式施行，从这个立法进程图中我们可以看出，实际上我们国家的网络安全法是经过了多个阶段进行修改和完善，在此基础上形成了现在看到的版本，近期实际上有关于网络安全法的一些动态，我们可以看到，网络安全法基于基本法的属性，为了有效的落实网络安全法具体的规定，网络安全法的相关要求能够实施落地，实际上我们国家公安部、网信办实际上是采取了相应的执法活动。

那么我们比较关注的就是有关于国家安全审查的问题，数据跨境安全评估的问题等等，实际上网信办也出台了相应的办法。那么接下来我将展开今天和大家汇报的一个内容，主要分为四个部分，第一个部分就是对网络安全法做一个基本的概述，第二部分，第三部分和第四部分将是我今天给大家重点分享的部分，就是有关于我们企业的一个信息安全遵从的一些相关规定。那么我把它概括为三个主体的一个信息安全遵从义务的规定，实际上也涉及到其他的主体，但是网安法实际上对这三项规定比较多，而且内容也是非常的详细，那么我主要围绕网络运营者，网络产品服务提供者以及关键信息基础设施运营者，这三方面主体进行信息安全义务遵从的解读。

实际上网络安全法它的立法思路就是基于我们国家，国际国内的一个网络安全形势，以及爆发的网络安全事件，那么我国早在1998年之前成立了国务院的信息办，当时有国务院的147号令，刑法的285，286，287条的相关规定，那么在2001年左右，包括中美黑客大战促成下成立了国新办，当时也发布了相应的网络安全管理的政策文件，还有包括相应的法律法规。那么实际上在2009年前后，包括新疆七五事件，还有爱沙尼亚政府遭到网络攻击，以及大家众所周知的伊朗核设施受到攻击事件，实际上让我们更加认识到了网络安全的重要性。近几年网络安全事件频发，以及国内网络安全形势使我们更加清楚认识到网络安全保护的重要性，那立法的迫切性和需求就显得更加突出。那么我们众所周知的乌克兰电网断电的事件，以及中兴华为受到审查的事件，都使我们充分认识到了网络安全战略政策立法的重要性。

在这个阶段习总书记在419讲话当中明确提出了，没有网络安全就没有国家安全。那么有关于网络安全法的一个法律框架也可以看到，实际上形成了一个比较具有体系化的，包括国家网络安全领导体系、保障体系、治理体系、安全标准体系、社会化体系以及关键信息基础设施保护体系的一个体系化的法律框架，其中包括等级保护制度监测预警，通报制度等等，在这一制度体系下，实际上对企业的信息安全遵从的义务做出了一些具体的规定，包括建立一些相应的安全保障的能力。那么我们可以看出实际上国家网安法它是作为我们国家网络攻击安全管理的一个基本法律，与反恐法、刑法、保密法以及人大相应的决定，还有一些互联网信息管理服务办法一些条例，现行法律法规，共同构成了我们国家有关于网络安全管理的一个法律体系。那么实际上网安法基于基本法的规定，具有一些原则性，为了具体的落实这些规定，然后为信息安全，为企业提供一些信息安全遵从的明确指引，我们国家实际上就是要制订相应的配套的法律法规。

正在制定实际上包括关键信息基础设施的保护条例，以及关键信息基础设施网络安全保护的要求，涉及到关键信息基础设施的识别指南的一些规定，以及重要数据识别指南，实际上这些配套法规为了网安法的具体实施落地，提供了相应的支持。

接下来我将给大家分享一下有关于我们企业信息安全遵从的一些相关规定，那么首先第一个部分就有关我们的一般的网络运营者的信息安全遵从义务，实际上在原则性规定里面，对于网络运营者的基本义务做了三个层面的规定，包括要履行网络安全保护的义务，承担相应的社会责任，同时要保障网络安全以及网络数据的完整性，保密性和可用性，那么对于网络运营者这个概念界定实际上在网安法的负责当中已经作出了明确的规定，其中指出网络运营者是指，网络的所有者，管理者以及网络服务的提供者，从这个概念界定来看，对比网安法草案一审稿可以看出，实际上网安法采用了比较宽泛的外延，这也是基于我们国家这种信息技术快速发展的一个需求，对于立法这种宽泛性，具有灵活性的这种制定立法的需求。

那么对于网络运营者的信息安全遵从义务，我主要给大家做了一个具体的概括，包括以下几个义务。接下来比较有争议的，和大家比较关注的焦点问题，我将给大家做一个详细的解读，那么首先是第一个层面，有关于网络运营者的安全保护义务，实际上在网安法第21条做出了明确的规定，那么这个规定实际上是落实我们国家，网络安全等级保护制度的要求，那么网安全等级保护制度实际上和之前的计算机信息系统等级保护系统实际上本质上是一样的，只是在这个基础上发展起来的新版机制，源于最早的国务院147号令第九条的规定，对于信息系统实行分等级进行安全保护的这种措施。那么非常重要的一点就是有关于等保的实施实际上公安部已经采取了相应的措施，包括要制定一系列修订相应的等保系列标准，包括2008年信息安全等级保护的基本要求，还有信息安全等级保护的顶级指南规范，这个指南规范已经修订了相应的名称，这些修订实际上是基于多方面的考量，那么主要是三个方面。

第一个方面就是有关于安全，内涵的一个变化。那么就是说从传统的，早期的我们强调信息数据的安全，发展到这种信息系统保障安全以及目前强调的网络空间安全，实际上这个安全内涵有一个变化，对于等保的系列标准修订是有一个需求。第二个方面就是IT系统的重要性不断的提升，IT系统重要性目前逐步在国家安全，社会民生等等领域重要性逐渐凸显，也对这个修订有了巨大的需求。第三个层面就是有关于网络安全责任的变化，我们比如说像云计算，在云计算服的背景下，提供了虚拟计算资源，使得传统的这种服务，运营和管理的服务商单一责任向这种云服务商，和云租户分担责任的这种情况进行转化。那么在这种情况下也为我们国家的等级保护工作带来了更大的挑战，尤其是定级工作。在这个背景下实际上也是对我们国家等保系列标准修订有一个强烈的需求。

那么对于具体的安全保护遵从义务，实际上我们可以看到是包括四个方面来落实等级保护制度的要求，那么第一个方面就是要求我们企业要采取相应的组织措施，那么包括要制定企业内部的内控制度，以及落实安全责任，网络安全责任到人，第二个方面就是要采取相应的技术措施，来防范网络攻击和入侵，以及防范网络代码，安装防病毒软件，安装身份认证系统，安装入侵监测系统以及风险审计系统等等，保障我们安全。第三个方面就是有关于数据安全的要求，要求我们网络运营者要采取数据分类的方式，同时要对重要数据进行备份，并且对正在传输和储存的这些数据进行一个加密的保护。最后一个方面就是要求我们的企业采用检测技术持续监测有关于网络运营的状态，以及网络安全事件，同时对日志要求有一个数据存留的要求，要求存留六个月，这个实际上也是对国外立法的一个参考。

那么对于相应违反不履行相关义务的规定，也做了相应的责任。实际上也是落实我们网络实名制的要求，这个在我们网安法第24条有明确的规定对于网络实名制，实际上我们国家在2012年的全国人大常委会关于加强网络安全保护管理当中已经加强了。在电话用户真实信息登记规定和2015年网信办，不良网用户等管理当中，也是要求对用户进行实名登记管理，同时非常重要的是在反恐法中规定了基于反恐要求，要求我们的电信互联网金融等等这些服务提供者来对用户进行真实身份认证的要求，都是已经落实了实名制的要求，网安法实际上是从基本法的层面又强调，并原则性的规定网络实名制具体的要求。

第三个层面实际上是有关于我们企业进行网络安全监测预警机制建立的要求，这要求实际上是基于网络安全风险控制的一个需求，所建立的一个机制，实际上包括监测预警处置三个阶段，那么在网络安全检测阶段要求，我们企业有关于网络安全信息的收集，分析，攻防演练，漏洞挖掘等等，那么在发现有关于网络安全信息以及网络安全事件可能发生的情况下，包括采取相应的网络安全信息通报，并向社会发布相应的预警信息，同时网络安全主管部门，同时要相应的企业的法律代表人进行约谈，要求提出一些整改的要求，来满足网络安全保障的一些需求。最后就是处置阶段，要求我们企业尽快的启动应急预案，并且我们的计算机应急响应小组尽快作出应急效应和恢复同时也要求有一种对境外攻击进行反治的能力。

情报来源以及企业正式的行业组织，以及商业伙伴，还有公开的一些来源，以及提供商业情报服务的来源来获取有关于网络威胁信息，网络安全信息监测的过程当中，收集的这些信息的来源。那么有关于网络安全应急响应实际上也是有具体的要求，在网安法当中25条明确要求要制定应急预案，那么应急预案的制定，实际上应当包括以下几个方面，我们从图中可以看到，实际上要设计有关网络安全事件应急管理的方针政策和工作原则，还有组织机构，职责以及相应人员的沟通与协调方式，以及应当采取的应急行动和保障措施等等，甚至包括事后恢复与重建措施，并且要求建立相应的操作手册来明确应急过程中的关键状态和沟通报告的内容。那么制定应急预案的过程中，实际上我们也基于以下的考量，包括我们的业务分类，业务风险的等级，技术的现状以及优先考虑对社会，用户和内部管理最大的事件。同时要求进行定期和不定期的应急演练来检验我们应急预案的可操作性以及它的科学性，合理性，有效性。

同时采取相应的补救措施和报告，处置措施等等，这是我们前面都已经谈到过的。那么第四个方面实际上是有关于我们企业的技术协助，技术支持以及协助执法的要求，那么在网安法的第28条做出了相关的规定，实际上这规定与我们国家的反恐法，已经制定了反恐法，还有密码法的一个草案征求意见稿，即将出台的密码法的相关规定，是形成了有效的衔接，实际上都是在基于维护国家安全和侦查犯罪的情况下，要求为公安机关和国家机关，要求相应的网络运营者来提供相应的技术支持和协助执法的义务要求。最后一个方面有关于网络运营者的信息安全遵从义务，我们可以看到实际上有关于个人信息保护，用户个人信息保护的一个义务，实际上有关于个人信息保护的相关规定，实际上我们国家最早在2000年的这个人大决定，一直到我们近期的两高班和司法解释都是做出了一些明确的要求。那么我们网络安全法首次是以网络安全基本法的层面来规定了有关于个人信息保护的一些具体的原则和要求。

那么我们可以看到，实际上在网安法当中做出了明确的规定，其中在第四章的用户信息安全当中，有多条涉及到我们企业个人信息保护的义务，要求，首先是关于第44条禁止性的规定，同时包括以下几个方面，第一就是对个人信息收集使用原则和要求，包括要合法，正当必要的原则收集用户的个人信息，同时要经过用户的同意，那么第二方面是要求对个人信息收集的用户个人信息不得泄露，篡改和毁损，有可能涉及到个人信息泄露的情况下，要求企业应当立即采取相应的措施同时应当向主管部门报告，同时应当向权利可能被侵犯，通知其权利可能被侵犯的情况。要求以同意为原则，但是经过匿名化处理的这些个人信息不能识别特定个人的这些信息作为一个同意原则的例外。那么最后实际上也是赋予了我们信息主体的权利，包括删除权和更正权，从而能够保障信息主体的权利，那么从另一方面也是对我们企业提出了信息安全遵从的义务，就是在信息主体提出要求，删除和更正情形时满足要求的情况下，应当采取相应的措施。

那么对于非法收集和使用用户个人信息，网安法当中也是规定了相应的法律责任。那么我们看到有关于网络运营者的信息安全遵从的一个规则，我们看到第二个方面，第一个网络产品和服务安全保障义务，要求提供者不得设置恶意的程序，同时应当在约定的期限内提供持续性的安全维护义务。第二个方面有关于网络安全漏洞的一个告知义务，实际上是要求我们网络产品和服务提供者在发现其产品和服务存在缺陷和漏洞的时候，应当尽快采取相应的补救措施，并且向相应的主管部门进行一个风险告知的规定。具体的要求实际上还会通过具体的配套法律法规来明确如何进行漏洞，相应的漏洞披露，漏洞报告的程序和流程。

第三个方面用户信息保护义务和前面网络运营者的保护，实际上是基本一致，第四个方面实际上是在关键信息基础设施保护的领域，国家安全审查的要求，另外一方面实际上是对我们网络产品和服务的提供者，也提出了安全保密义务的要求。那要求我们关键信息基础设施服务的提供者与其签订安全保密协议。最后一个方面就有关于网络安全设备和专用产品的一个认证检测。我们可以看到，前几天实际上在网信办已经发布了一个公告，其中就对网络关键设备和网络安全专用产品目录做了一个列举和明确，实际上就要求进行国家强制认证的要求。

那么最后一个方面我为大家分享有关于关键信息基础设施运营者的信息安全遵从要求。那么关键信息基础设施，对于国家安全，社会稳定重要性是非常，大家都是有目共睹的，实际上关于关键信息基础设施其中涉及到国家安全审查，数据本地化，传输的一些问题，都引发了各界的关注和争议，那么接下来我们具体来看一下有关于关键信息基础设施的范围和界定，那么在网安法第31条实际上是对关键信息基础设施重要行业和领域作出了明确界定，同时也对关键系统的本质内涵做出了界定，其中规定是一旦遭到破坏，丧失功能或者数据泄露，严重危害国家安全，公共利益的关键设施，那么早前实际上根据国际电信联盟的定义，我们从图中可以看出，实际上关键信息基础设施是指的关键信息基础设施的一个信息系统。那么对于这个关键信息基础设施的范围，在网安法中是做出了授权性的规定，是要求国务院另行指定来确定关键信息基础设施的范围和保护要求。实际上我们是分为三个步骤，这是根据国际的一个经验，首先是对关键行业的一个确认，包括立法确认和政府推动，实际上我们国家已经明确有了一个列举式的规定，美国实际上已经明确了16个关键行业，在关键行业确认之后应当确认关键行业的关键服务，对关键服务的确认实际上就对运营商提出了要求，是国家推动的情况下，运营商自己来识别有关于我们关键行业领域的一些关键服务进行相应的确认和评估。那么最后就有关于关键服务的一些关键信息基础设施的资产进行一个确认和义务相关的评估，从而最终来确定各个行业，各个关键行业的这些关键信息基础设施的一个范围。

那么目前实际上国务院的关键信息基础设施保护条例的拯救意见稿，还有有关于关键信息基础设施网络安全保护要求，包括关键信息基础设施确定指南，都已经发布，对于范围确定对企业来说有一个明确的指引作用。那么有关于关键信息基础设施运营者的义务我们首先来看，就是安全保护义务，刚才我们也提到网络运营者也有一个网络保护义务，关键信息基础设施运营者实际上基于它的一个重要性，那么实际上是在网络运营者安全保护义务的基础上，又施加了更重的保护义务，那么包括要设立首席信息安全官，要对相关的人进行背景调查，对相关的人员进行网络安全意识培训和教育，同时经过相应的应急演练，并且要建立相应的备份的一个机制。那么第二个方面就是我们大家比较关注，而且比较有争议的一个方面，就是有关于国家安全审查的一个规定，有关于国家安全审查的规定，实际上是在网安法的第35条做出了一个规定，要求是关键信息基础设施的运营者在采购网络安全技术，产品和服务的过程中，应当接受国家安全审查，实际上目前网信办已经制定了审查办法，涉及到审查的标准，程序，审查的一些主管机构等等相关的内容。那么实际上有关于国家安全审查的规定，在我们国家安全法的第59条，也是最早做出了一个规定，当时这个国家安全审查设定的范围比较广泛，外资并购审查，还有一些关键的技术，同时也包括我们网络信息技术产品，服务。

在网安法当中实际上对网络安全领域国家安全审查又做了进一步的规定，在这个办法当中可以看到，实际上是实施国家与安全行业主管的机制，那么审查的内容实际上包括产品和服务的安全性和可控性，那么涉及了供应链和透明度，同时国家依法设定的过程中，也要求第三方机构的服务。运营者实际上也有一个安全保密的义务，对于使用未经审查的网络产品和服务，以及未通过安全审查的网络产品和服务，网安法也是规定了一系列的责任，那么有关于审查办法中的具体规定我们可以看出，实际上涉及国家安全审查的组织机构，包括以下几个方面，第一个我们可以看到是网络安全审查委员会，实际上是作为国家安全审查的一个领导机构。那么第二个机构是网络安全审查办公室，实际上负责具体实施网络安全审查的实施机构，对于关键部门行业，比如金融，能源，电信各个部门的行业实施机构，也组织开展本行业本领域的网络产品和服务安全审查的工作，那么同时在这个基础上第三方机构将提供相应的，有关于安全审查的评价。

那么对于安全审查的一个流程，这个程序实际上从图中也可以看出，在审查颁发施行当中已经明确要求了对于提出国家安全审查的一个情形，实际上这个图是在基于征求意见稿的阶段，那么只有一个变化就是我们提出申请的一个情况，取消了企业申请的情况，那么就是前三种情况包括，国家有关部门要求，还有全国性行业协会建立，以及市场反应来向网络安全审查办公室来申请那么审查办公室它要组织第三方机构和网络安全审查的专家委员会来进行审查，反馈审查的结果，最终发布并在一定范围内来通报审查结果。

最后同时也告知网络产品和服务提供商相应的评价结果，然后通过第三方来提供相应的评价。这个就有关于我们国家目前的网络安全审查的一些具体的程序要求。那么第三个方面是有关于数据本地化与跨境传输的要求，实际上在网安法第37条做出了明确的规定，在网信办已经发布的个人信息和重要数据出境安全评估办法征求意见稿当中也有规定，我们网安法实际上强调的安全与发展的这个关系，数据本地化是一个原则性的规定，跨境流动是基于业务需要，确实需要向境外提供的必要性的情况的一个例外规定，但是应当经过安全评估，那么评估的内容以及不得出境具体的规定，实际上在征求意见稿当中都做出了具体的规定，那么实际上从征求意见稿当中可以看出，采用了行业自评估，首先是自评估，然后同时是行业主管评估的两种模式相结合，他们也删掉了在之前版本当中，第三方评估的一个要求。对于违反相应规定的，网安法也要求承担相应的法律责任。

那么实际上我们可以看到，有关于数据出境安全评估指南，征求意见稿已经发布了涉及到具体的评估流程，评估要点等等，这个大家都可以再具体的查询，那么有关于关键信息基础信息运营者定期安全监测评估的要求，实际上也是在我们国家网安法第38条做出了具体的规定，包括自评和第三方评估相结合的模式，对安全性和可能存在的风险进行一年，至少一次的这种监测评估，同时要求企业将检测结果和改进措施报送有关的部门，同时也对第26条风险评估形成了条文之间的衔接。那么最后一个方面就是网络安全信息共享的规定，实际上这个也是美国2015年底已经通过了网络信息安全共享法案，明确表明了网络信息安全共享，尤其强调政府与企业之间的网络安全信息共享的重要性，涉及到共享的信息范围，包括一些事件威胁漏洞的信息，态势感知信息，最佳实践信息，战略分析信息等等，实际上在我们国家已经明确要求建立政府和企业之间的这种网络安全信息共享机制，那么目前包括两种方式，一种立法的强制，一种通过合同协议进行一个建立，我们认为在关键信息基础设施领域，应当通过立法强制的手段，保障关键信息基础设施的安全。

那么对于网络安全信息共享的具体规定，网安法当中实际上还不是一个强制性的规定，但是在未来的技术发展趋势情况下，为了实现国家整体层面的这种网络安全态势感知的能力，对于共享的要求也应当是我们企业所应当关注和应当重点考虑的。那么以上就是我今天给大家分享的内容，我的报告到此结束，谢谢大家。