【編者按】
本講義由上海國瓴律師事務所名譽主任、上海交通大學網絡空間治理研究中心主任壽步教授撰寫,內容取材於2016年11月我國網絡安全法發布以來至2023年2月底期間的相關規範性文件,權威性高,實用性強,可供關心網絡安全法律政策的讀者閱讀。連載共13篇。
目錄
第四章 網絡運行安全制度一般規定(上)
網絡安全法第三章網絡運行安全第一節一般規定,包含第二十一條至第三十條,主要涉及網絡安全等級保護制度、網絡運營者義務、網絡產品和網絡服務的安全保障、網絡安全服務活動、禁止危害網絡安全的行為、網絡安全合作和執法中獲取信息的用途限制等。本章討論網絡運行安全制度的一般規定。
網絡安全法第三章網絡運行安全第二節關鍵信息基礎設施的運行安全的內容將在另外兩章關鍵信息基礎設施運行安全制度和數據出境管理制度中討論。
第一節 網絡安全等級保護制度
一、網絡安全等級保護制度和信息安全等級保護制度
網絡安全法第二十一條規定:
“國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
(二)采取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日志不少於六個月;
(四)采取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。”
網絡安全法規定的網絡安全等級保護制度是網絡安全領域的一項重要制度,它脫胎於先前早已實行多年的信息安全等級保護制度。
1994年國務院頒布的《計算機信息系統安全保護條例》規定:公安部主管全國計算機信息系統安全保護工作。計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定。
此後,信息安全等級保護制度逐步完善,一系列國家標準相繼發布實施。
二、網絡安全等級的劃分與保護
(一)等級劃分
1999年發布的強制性國家標準《計算機信息系統安全保護等級劃分準則》(GB 17859-1999)規定了計算機信息系統安全保護能力的五個等級:第一級為用戶自主保護級;第二級為系統審計保護級;第三級為安全標記保護級;第四級為結構化保護級;第五級為訪問驗證保護級。該標準適用於計算機信息系統安全保護技術能力等級的劃分。計算機信息系統安全保護能力隨著安全保護等級的增高,逐漸增強。
2007年發布的《信息安全等級保護管理辦法》第七條規定:
“信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。”
公安部於2018年6月27日公布《網絡安全等級保護條例(征求意見稿)》,其中關於網絡安全等級的劃分與信息安全等級的劃分類似,細節描述有所修改。關於網絡分為五個安全保護等級的第十五條規定如下:
“根據網絡在國家安全、經濟建設、社會生活中的重要程度,以及其一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀後,對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素,網絡分為五個安全保護等級。
(一)第一級,一旦受到破壞會對相關公民、法人和其他組織的合法權益造成損害,但不危害國家安全、社會秩序和公共利益的一般網絡。
(二)第二級,一旦受到破壞會對相關公民、法人和其他組織的合法權益造成嚴重損害,或者對社會秩序和公共利益造成危害,但不危害國家安全的一般網絡。
(三)第三級,一旦受到破壞會對相關公民、法人和其他組織的合法權益造成特別嚴重損害,或者會對社會秩序和社會公共利益造成嚴重危害,或者對國家安全造成危害的重要網絡。
(四)第四級,一旦受到破壞會對社會秩序和公共利益造成特別嚴重危害,或者對國家安全造成嚴重危害的特別重要網絡。
(五)第五級,一旦受到破壞後會對國家安全造成特別嚴重危害的極其重要網絡。”
《信息安全等級保護管理辦法》第八條規定:
“信息系統運營、使用單位依據本辦法和相關技術標準對信息系統進行保護,國家有關信息安全監管部門對其信息安全等級保護工作進行監督管理。
第一級信息系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。
第二級信息系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。
第三級信息系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行監督、檢查。
第四級信息系統運營、使用單位應當依據國家有關管理規範、技術標準和業務專門需求進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制監督、檢查。
第五級信息系統運營、使用單位應當依據國家管理規範、技術標準和業務特殊安全需求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督、檢查。”
(二)等級保護
《網絡安全等級保護條例(征求意見稿)》中的相關規定如下:
關於網絡運營者一般安全保護義務的第二十條規定:“網絡運營者應當依法履行下列安全保護義務,保障網絡和信息安全:
(一)確定網絡安全等級保護工作責任人,建立網絡安全等級保護工作責任制,落實責任追究制度;
(二)建立安全管理和技術保護制度,建立人員管理、教育培訓、系統安全建設、系統安全運維等制度;
(三)落實機房安全管理、設備和介質安全管理、網絡安全管理等制度,制定操作規範和工作流程;
(四)落實身份識別、防範惡意代碼感染傳播、防範網絡入侵攻擊的管理和技術措施;
(五)落實監測、記錄網絡運行狀態、網絡安全事件、違法犯罪活動的管理和技術措施,並按照規定留存六個月以上可追溯網絡違法犯罪的相關網絡日志;
(六)落實數據分類、重要數據備份和加密等措施;
(七)依法收集、使用、處理個人信息,並落實個人信息保護措施,防止個人信息泄露、損毀、篡改、竊取、丟失和濫用;
(八)落實違法信息發現、阻斷、消除等措施,落實防範違法信息大量傳播、違法犯罪證據滅失等措施;
(九)落實聯網備案和用戶真實身份查驗等責任;
(十)對網絡中發生的案事件,應當在二十四小時內向屬地公安機關報告;泄露國家秘密的,應當同時向屬地保密行政管理部門報告。
(十一)法律、行政法規規定的其他網絡安全保護義務。”
關於網絡運營者特殊安全保護義務的第二十一條規定:“第三級以上網絡的運營者除履行本條例第二十條規定的網絡安全保護義務外,還應當履行下列安全保護義務:
(一)確定網絡安全管理機構,明確網絡安全等級保護的工作職責,對網絡變更、網絡接入、運維和技術保障單位變更等事項建立逐級審批制度;
(二)制定並落實網絡安全總體規劃和整體安全防護策略,制定安全建設方案,並經專業技術人員評審通過;
(三)對網絡安全管理負責人和關鍵崗位的人員進行安全背景審查,落實持證上崗制度;
(四)對為其提供網絡設計、建設、運維和技術服務的機構和人員進行安全管理;
(五)落實網絡安全態勢感知監測預警措施,建設網絡安全防護管理平臺,對網絡運行狀態、網絡流量、用戶行為、網絡安全案事件等進行動態監測分析,並與同級公安機關對接;
(六)落實重要網絡設備、通信鏈路、系統的冗餘、備份和恢複措施;
(七)建立網絡安全等級測評制度,定期開展等級測評,並將測評情況及安全整改措施、整改結果向公安機關和有關部門報告;
(八)法律和行政法規規定的其他網絡安全保護義務。”
三、標準體系簡介
為代替《信息安全技術 信息系統安全等級保護實施指南》(GB/T 25058-2010),2019年8月30日發布《信息安全技術網絡安全等級保護實施指南》(GB/T 25058-2019),2020年3月1日起實施。
為順應網絡安全法中相關用語的變化,新版本與老版本相比的主要技術變化包括:(1)標準名稱由《信息安全技術 信息系統安全等級保護實施指南》變更為《信息安全技術 網絡安全等級保護實施指南》。(2)全文將“信息系統”調整為“等級保護對象”或“定級對象”,將國家標準《信息系統安全等級保護基本要求》調整為《網絡安全等級保護基本要求》。此外還有其它調整。
(一)定級
先前已有《信息安全技術 信息系統安全等級保護定級指南》(GB/T 22240—2008)。2017年5月8日公安部發布並實施公共安全行業標準《信息安全技術 網絡安全等級保護定級指南》(GA/T 1389-2017)。2020年4月28日發布《信息安全技術 網絡安全等級保護定級指南》(GB/T 22240—2020),2020年11月1日起實施。新版本規定了網絡安全等級保護的定級方法和定級流程,以指導網絡運營者開展等級保護對象的定級工作。
與《信息安全技術 網絡安全等級保護定級指南》相關的標準包括:
——信息安全技術 網絡安全等級保護基本要求(GB/T 22239-2019);
——信息安全技術 網絡安全等級保護實施指南(GB/T 25058-2019);
——信息安全技術 網絡安全等級保護測評要求(GB/T 28448-2019);
——信息安全技術 網絡安全等級保護測評過程指南(GB/T 28449-2018)。
(二)保護
2019年5月10日《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)正式發布,2019年12月1日實施,用以替代《信息安全技術 信息系統安全等級保護基本要求》(GB/T 22239-2008),後者在過去發揮過非常重要的作用。該標準規定了網絡安全等級保護的第一級到第四級等級保護對象的安全通用要求和安全擴展要求(雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求)。該標準適用於指導分等級的非涉密對象的安全建設和監督管理。對第五級等級保護對象的安全要求則不在該標準中描述。
(三)測評
安全等級保護測評是指測評機構依據國家信息安全等級保護制度規定,按照有關管理規範和技術標準,對未涉及國家秘密的等級保護對象的安全等級保護狀況進行檢測評估的活動。
等級測評是標準符合性評判活動,即依據信息安全等級保護的國家標準或行業標準,按照特定方法對等級保護對象的安全保護能力進行科學公正的綜合評判過程。與等級保護測評相關的標準包括GB/T 28448《信息安全技術 網絡安全等級保護測評要求》,GB/T 28449《信息安全技術 網絡安全等級保護測評過程指南》。
2019年5月10日《信息安全技術 網絡安全等級保護測評要求》(GB/T 28448-2019)正式發布,2019年12月1日實施,用以替代《信息安全技術 信息系統安全等級保護測評要求》(GB/T 28448-2012)。該標準規定了不同級別的等級保護對象的安全測評通用要求和安全測評擴展要求。該標準適用於安全測評服務機構、等級保護對象的運營使用單位及主管部門對等級保護對象的安全狀況進行安全測評並提供指南,也適用於網絡安全職能部門進行網絡安全等級保護監督檢查時參考使用。第五級等級保護對象是非常重要的監督管理對象,對其有特殊的管理模式和安全測評要求,所以不在該標準中進行描述。
第二節 網絡運營者義務
一、落實等級保護制度確保運行安全
(一)相關規定
網絡安全法明確規定網絡運營者負有實施網絡安全等級保護制度的義務並規定了相應的處罰措施。
第二十一條規定:“國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
(二)采取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日志不少於六個月;
(四)采取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。”
第五十九條規定,未落實網絡安全等級保護義務的,“由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。”
《網絡安全等級保護條例(征求意見稿)》關於網絡運營者的網絡安全保護義務有具體規定。
(二)實務操作
網絡安全法第二十一條第一項規定,網絡運營者應當制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任。因此,確定網絡安全負責人是網絡運營者的法定義務;違反者,將受到網絡安全法第五十九條規定的處罰。
關於網絡安全負責人的任職條件,網絡安全法第六十三條第三款給出了禁止性規定:違反該法第二十七條關於禁止危害網絡安全行為的規定,受到治安管理處罰的人員,五年內不得從事網絡安全管理和網絡運營關鍵崗位的工作;受到刑事處罰的人員,終身不得從事網絡安全管理和網絡運營關鍵崗位的工作。
在實務中,網絡運營者應當依據相關國家標準依法開展相應等級的網絡安全等級保護的工作,可以聘請有資質的評測機構協助落實。
二、身份管理義務
(一)相關規定
我國的網絡用戶身份管理制度建設由來已久。
1994年4月20日,北京中關村地區教育與科研示範網絡工程成功實現了與互聯網的全功能接入。1997年實施的《計算機信息網絡國際聯網安全保護管理辦法》第十條第五項規定:“建立計算機信息網絡電子公告系統的用戶登記和信息管理制度”。
2012年《全國人民代表大會常務委員會關於加強網絡信息保護的決定》第六條規定:“網絡服務提供者為用戶辦理網站接入服務,辦理固定電話、移動電話等入網手續,或者為用戶提供信息發布服務,應當在與用戶簽訂協議或者確認提供服務時,要求用戶提供真實身份信息。”
2016年實施的《反恐怖主義法》第二十一條規定:“電信、互聯網、金融、住宿、長途客運、機動車租賃等業務經營者、服務提供者,應當對客戶身份進行查驗。對身份不明或者拒絕身份查驗的,不得提供服務。”
2017年實施的網絡安全法第二十四條第一款規定:“網絡運營者為用戶辦理網絡接入、域名注冊服務,辦理固定電話、移動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得為其提供相關服務。”
(二)實務操作
從我國網絡用戶身份管理制度的上述各項規定可以看出,對網絡用戶的身份管理義務是由網絡運營者承擔的。網絡運營者應當要求用戶提供真實身份信息;用戶不提供真實身份信息的,網絡運營者不得為其提供相關服務。網絡運營者應當按照“後臺實名、前臺自願”的原則,對用戶進行真實身份信息認證。
落實網絡用戶身份管理制度也是網絡運營者履行網絡安全法第二十八條規定的義務——“網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助”——的基礎和前提。
三、應急處置義務
(一)相關規定
《國家網絡安全事件應急預案》第1.3條將網絡安全事件定義為由於人為原因、軟硬件缺陷或故障、自然災害等,對網絡和信息系統或者其中的數據造成危害,對社會造成負面影響的事件,可分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他事件。
關於網絡運營者防範和應對網絡安全事件的義務,網絡安全法第二十五條規定:“網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,並按照規定向有關主管部門報告。”
《突發事件應急預案管理辦法》第二條將應急預案定義為各級人民政府及其部門、基層組織、企事業單位、社會團體等為依法、迅速、科學、有序應對突發事件,最大程度減少突發事件及其造成的損害而預先制定的工作方案。
《突發事件應對法》第十八條規定:“應急預案應當根據本法和其他有關法律、法規的規定,針對突發事件的性質、特點和可能造成的社會危害,具體規定突發事件應急管理工作的組織指揮體系與職責和突發事件的預防與預警機制、處置程序、應急保障措施以及事後恢複與重建措施等內容。”
中央網信辦2017年1月10日印發實施《國家網絡安全事件應急預案》。該文件包括總則、組織機構與職責、監測與預警、應急處置、調查與評估、預防工作、保障措施、附則等內容。該文件的編制目的是建立健全國家網絡安全事件應急工作機制,提高應對網絡安全事件能力,預防和減少網絡安全事件造成的損失和危害,保護公眾利益,維護國家安全、公共安全和社會秩序。
該文件的適用範圍是網絡安全事件。網絡安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他網絡安全事件等。具體為:
(1)有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵屍網絡事件、混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件。
(2)網絡攻擊事件分為拒絕服務攻擊事件、後門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、幹擾事件和其他網絡攻擊事件。
(3)信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。
(4)信息內容安全事件是指通過網絡傳播法律法規禁止信息,組織非法串聯、煽動集會遊行或炒作敏感問題並危害國家安全、社會穩定和公眾利益的事件。
(5)設備設施故障分為軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。
(6)災害性事件是指由自然災害等其他突發事件導致的網絡安全事件。
(7)其他事件是指不能歸為以上分類的網絡安全事件。
該文件適用於網絡安全事件的應對工作。其中,有關信息內容安全事件的應對,將另行制定專項預案。
該文件將網絡安全事件分為四級:特別重大網絡安全事件、重大網絡安全事件、較大網絡安全事件、一般網絡安全事件。
該文件確定的工作原則是:堅持統一領導、分級負責;堅持統一指揮、密切協同、快速反應、科學處置;堅持預防為主,預防與應急相結合;堅持誰主管誰負責、誰運行誰負責,充分發揮各方面力量共同做好網絡安全事件的預防和處置工作。
該文件確定的領導機構與職責是:在中央網絡安全和信息化領導小組的領導下,中央網信辦統籌協調組織國家網絡安全事件應對工作,建立健全跨部門聯動處置機制,工業和信息化部、公安部、國家保密局等相關部門按照職責分工負責相關網絡安全事件應對工作。必要時成立國家網絡安全事件應急指揮部,負責特別重大網絡安全事件處置的組織指揮和協調。
(二)實務操作
網絡運營者應當根據有關規定和國家標準,從下列方面做好應對網絡安全事件的工作:
一、制定應急預案。
二、應急預案的演練。
三、應急預案的實施。
四、事件的報告。
五、調查與評估。
四、技術支持和協助義務
網絡安全法第二十八條規定:“網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。”
作者簡介 PROFILE
壽步 國瓴名譽主任
壽步教授現為上海交通大學法學院教授、博士生導師,上海交通大學知識產權研究中心主任、網絡空間治理研究中心主任,中國法學會網絡與信息法學研究會副會長,中國科學技術法學會副會長、網絡空間法專業委員會主任,中國法學會知識產權法學研究會常務理事,中國法學會案例法學研究會常務理事,中華全國律師協會信息網絡與高新技術法律專業委員會顧問,上海知識產權法院特邀知識產權專家。
壽步教授長期從事法學與新技術交叉領域的法學研究、法學教育、法律實務工作,尤其是與計算機軟件、網絡遊戲、雲計算、網絡安全、數據安全、個人信息保護等相關的領域。
壽步教授已出版個人專著5部、合著4部、主編著作21部。代表性論著有《中國軟件版權訴訟實務》、《 計算機軟件著作權保護》、《軟件網絡和知識產權》、《軟件網絡訴訟代理實務》、《信息時代知識產權教程》等。
發表評論 取消回複