網絡空(kōng)間不是法外(wài)之地—— 《網絡安全法》之數據安全合規合法解讀
發布時(shí)間: 2017.06.01 | 來(lái)源: 帕拉迪

今天具有裏程碑意義的《中國人民共和(hé)國網絡安全法》正式生效。從(cóng)2014年中央網絡安全和(hé)信息化小(xiǎo)組成立之初就開(kāi)始研究和(hé)制定網絡安全和(hé)信息化發展戰略。2015年7月網絡安全法草案一審稿出台,2016年7月網絡安全法草案二審稿出台,同年11月網絡安全法草案三審稿完成并由十二屆全國人大(dà)常委會(huì)第二十四次會(huì)議(yì)表決通過,安全大(dà)法的出台爲我國信息化建設提供宏觀規劃和(hé)重大(dà)方針指向,推動國家網絡安全和(hé)信息化法治建設,不斷增強安全保障能(néng)力。


 

 網絡安全法适用(yòng)除軍事(shì)網絡的安全保護相關單位和(hé)人以外(wài)的所有單位和(hé)個人,包括網絡運營者、主管單位、信息安全廠(chǎng)商、硬件廠(chǎng)商、集成商等。基本涵蓋了(le)所有從(cóng)事(shì)IT類的單位、用(yòng)戶、主管單位和(hé)個人。如果從(cóng)合法合規的角度來(lái)分類,整個網絡大(dà)全可以分爲網絡安全、數據安全、管理(lǐ)安全三個維度,随着信息化的建設的發展,越來(lái)越多的單位和(hé)個人注重網絡安全、管理(lǐ)安全,而對(duì)數據安全的重要性、防護措施并不是很(hěn)清晰,因此我們主要結合網絡安全法在數據安全方面的合法合規的政策解讀。

第二十一條:國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下(xià)列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改:

第三款:采取監測、記錄網絡運行狀态、網絡安全事(shì)件的技術措施,并按照規定留存相關的網絡日志不少于六個月。

解讀:應采取監控和(hé)審計(jì)類的技術或産品,對(duì)訪問網絡行爲、數據操作(zuò)行爲進行持續監控和(hé)審計(jì),可溯源、可控制,做到(dào)記錄事(shì)件;值得注意的是明(míng)确規定了(le)日志的存儲期限不低(dī)于6個月,對(duì)存儲時(shí)間做了(le)規範性要求。

第四款:采取數據分類、重要數據備份和(hé)加密等措施

解讀:對(duì)收集和(hé)存儲、使用(yòng)的個人隐私信息或重要敏感信息,進行發現(xiàn)、分類和(hé)監控,建立相應的方案防止數據被竊取、拖庫、重要信息非法入侵竊取。要采用(yòng)相應防護措施實現(xiàn)系統重要敏感數據和(hé)重要業務數據,同時(shí)做好(hǎo)備份工(gōng)作(zuò),重要信息要有備份,同時(shí)備份的數據要有相應的保護措施,數據防護安全措施必須做到(dào)位。

第二十四條:網絡運營者爲用(yòng)戶辦理(lǐ)網絡接入、域名注冊服務,辦理(lǐ)固定電話(huà)、移動電話(huà)等入網手續,或者爲用(yòng)戶提供信息發布、即時(shí)通訊等服務,在與用(yòng)戶簽訂協議(yì)或者确認提供服務時(shí),應當要求用(yòng)戶提供真實身份信息。用(yòng)戶不提供真實身份信息的,網絡運營者不得爲其提供相關服務。

解讀:個人信息實名制要求,核心是實名制;在電信用(yòng)戶實名制基礎上(shàng),規定了(le)信息發布、即時(shí)通訊等服務的實名制要求,而爲了(le)不影響用(yòng)戶的個人隐私,實名制也(yě)是一把雙刃劍,對(duì)于網絡運營者來(lái)說,一旦收集的個人信息發生大(dà)批量的洩漏,将産生無法預期的數據安全風(fēng)險;因此,網絡安全法個人信息實名制對(duì)網絡運營者提出了(le)要求,事(shì)實上(shàng),目前有部分個人用(yòng)戶信息洩露的方式就通過網絡運營者管理(lǐ)不善造成的,安全法強化了(le)個人信息保護。

第四十一條:網絡運營者收集、使用(yòng)個人信息,應當遵循合法、正當、必要的原則,公開(kāi)收集、使用(yòng)規則,明(míng)示收集、使用(yòng)信息的目的、方式和(hé)範圍,并經被收集者同意。不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和(hé)雙方的約定收集、使用(yòng)個人信息,并應當依照法律、行政法規的規定和(hé)與用(yòng)戶的約定,處理(lǐ)其保存的個人信息。

第二十二條第三款:網絡産品、服務具有收集用(yòng)戶信息功能(néng)的,其提供者應當向用(yòng)戶明(míng)示并取得同意;涉及用(yòng)戶個人信息的,還應當遵守本法和(hé)有關法律、行政法規關于個人信息保護的規定。

解讀:四十一條和(hé)二十二強調網絡運營者收集使用(yòng)個人信息的原則和(hé)目的,條款規定了(le)個人信息保護的知(zhī)情同意和(hé)特定目的原則。強調必須在用(yòng)戶知(zhī)曉并同意收集目的和(hé)使用(yòng)範圍後,才能(néng)收集個人信息,保證了(le)用(yòng)戶的知(zhī)情權。企業要按此要求規範獲取個人信息的途徑和(hé)方式方法。

第四十二條:網絡運營者不得洩露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他(tā)人提供個人信息。但(dàn)是,經過處理(lǐ)無法識别特定個人且不能(néng)複原的除外(wài)。

網絡運營者應當采取技術措施和(hé)其他(tā)必要措施,确保其收集的個人信息安全,防止信息洩露、毀損、丢失。在發生或者可能(néng)發生個人信息洩露、毀損、丢失的情況時(shí),應當立即采取補救措施,按照規定及時(shí)告知(zhī)用(yòng)戶并向有關主管部門(mén)報(bào)告。

解讀:本條款也(yě)被業内稱作(zuò)“大(dà)數據條款”;強調網絡運營者要保護用(yòng)戶個人信息,很(hěn)多網絡運營者的用(yòng)戶注冊信息成千上(shàng)萬,如何确保這(zhè)些(xiē)信息不被竊取、洩露、而現(xiàn)在個人信息的洩露的方式可以由内部人員造成、也(yě)可以是由業務漏洞造成的洩露,因此數據安全防護産品是一種手段。

第四十三條:個人發現(xiàn)網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用(yòng)其個人信息的,有權要求網絡運營者删除其個人信息;發現(xiàn)網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當采取措施予以删除或者更正 

解讀:本條款核心是法律明(míng)确賦予公民個人具有删除權和(hé)更正權;如果發現(xiàn)網絡運營者不當使用(yòng)個人信息,有權要求删除,有錯誤的有權要求其改正。

第四十四條:任何個人和(hé)組織不得竊取或者以其他(tā)非法方式獲取個人信息,不得非法出售或者非法向他(tā)人提供個人信息

解讀:核心是不得非法獲取、非法出售和(hé)提供個人信息,這(zhè)一要求是毋庸置疑的。

這(zhè)裏說到(dào)非法出售和(hé)提供,數據洩露的方式有很(hěn)多種,有内部用(yòng)戶爲了(le)個人利益兜售用(yòng)戶信息,而如果沒有相應的記錄過程,這(zhè)種數據獲取方式往往是被看(kàn)做是一種“合法操作(zuò)”,對(duì)于一些(xiē)越權訪問數據信息又得不到(dào)權限控制。對(duì)外(wài)部人員,更多的數據洩露方式往往是業務層面的一些(xiē)漏洞被利用(yòng),因此應該有相應的數據防護産品來(lái)防範該類事(shì)情的發生。

 

通過對(duì)網絡安全法的整體分析,實際上(shàng)可以從(cóng)三個安全框架建設單位和(hé)個人的網絡,分爲網絡層安全、數據層安全、規則制度建設安全。


 

網絡層安全:針對(duì)網絡層安全除了(le)部署傳統網絡防火牆等外(wài),應部署運維審計(jì)産品、做到(dào)設備訪問權限控制、合法合規、可記錄、可追溯、可審計(jì)等,推薦帕拉迪運維審計(jì)産品,産品成熟度和(hé)市場認可度高(gāo)。

數據層安全:基于個人信息保護及數據安全保護,需要審計(jì)及記錄,對(duì)敏感數據、高(gāo)危數據操作(zuò)進行行爲判斷、事(shì)中阻斷。并且重要數據需要有容災備份,推薦帕拉迪科技數據審計(jì)、數據庫防火牆、NGDAP、NGWAF等。

規章制度建設安全:制定内部安全管理(lǐ)制度和(hé)操作(zuò)規程,确定網絡安全負責人,落實網絡安全保護責任,網絡運營者應當制定網絡安全事(shì)件應急預案,定期對(duì)從(cóng)業人員進行網絡安全教育、技術培訓和(hé)技能(néng)考核。

 


Copyright © 2019 All Rights Reserved Designed
杭州卓測網絡科技有限公司