前言
十二届全国人大常委会第二十四次会议7日上午经表决,通过了《中华人民共和国网络安全法》(以下简称网络安全法)。这是我国网络领域的基础性法律,明确加强对个人信息保护,打击网络诈骗。该法自2017年6月1日起施行。网络安全法的出台先后经过了全国人大常委会的三次审议。2015年6月,十二届全国人大常委会第十五次会议对网络安全法草案进行了首次审议。2016年6月,十二届全国人大常委会第二十一次会议对网络安全法草案进行了第二次审议。2016年11月7日召开的十二届全国人大常委会第二十四次会议又进行了第三次审议,表决通过了网络安全法。《网络安全法》共有七章七十九条,突出六部分内容。一是明确了网络空间主权的原则;二是明确了网络产品和服务提供者的安全义务;三是明确了网络运营者的安全义务;四是进一步完善了个人信息保护规则;五是建立了关键信息基础设施安全保护制度;六是确立了关键信息基础设施重要数据跨境传输的规则。
背景
任何一部法律的出台不是无缘无故的,总是有原因的,先来简单聊聊该法律出台的简单背景。
第一、我国显然已经是网络大国,目前可能还算不上网络强国,无论带宽还是基础芯片、软件的发达程度,可能和个别发达国家还有较大差距。网民众多得益于人口基数较大,不完全统计已经接近8亿人群。互联网已经渗透到人们生活、工作、消费等各个领域,除个别贫困区域或老年人,几乎没有人或机构能离开网络,国家的工业制造、能源、金融、军工、政务等都一样,网络依存度较大;
第二、几个典型的安全相关事件对《网络安全法》的出台起到了较大的推波助澜作用。(1)斯诺登事件;(2)震网病毒事件;(3)利用电信网络银行诈骗事件;(4)境内外重大信息泄露事件;(5)各类间谍事件;(6)去ioe;最近发生的美帝大选,勒索软件猖獗,从国家安全到个人安全,涉及面较广,这也进一步验证了安全法落地的必要性;
第三、我国信息安全自主可控环节相对薄弱,过去主要依赖国外企业支撑,企事业机构对信息安全意识淡薄,对人才培养也不够重视。本土信息安全企业与国外差距较大,还没有形成巨无霸型企业。信息安全的建设也相对滞后,网信办的组建成立在一定程度上促进了发展,但想要真正发挥出巨大作用还需要依靠网络安全法来实施以达到更好地效果。信息泄露严重,诈骗频发,谣言传播失控,对信息事件的处理几乎一直处于被动应对局面,缺少抓手;
第四、等级保护的管理规定在一定程度上提高了我国信息安全的防护能力,但始终没有上升到法律层面,关键基础设施运营者大多出于安全自身的考虑。公众层面的网络运营者网络安全建设相对被动,一方面和人才缺乏有关,另一方面经费投入不足,侥幸心理严重,甚至多年前发生入侵自身确不知道的情况较多。
《网络安全法》的落地经历了几次专家委员的审查修订,如果从从无到有的角度看能在一定程度上大大改善现有的局面,加大了惩治力度,形成了一定的威慑力。但总的看来责任处置还是比较轻的,大多都是经济处罚,涉及到其他严重问题部分,应该还要参照我国其他法律执行,大家不要有侥幸心理。
面向对象的解读
对主管机构,基本确定由网信部牵头,采取公安部主导的等级保护制度,承担检查监督执行的权力,同时身兼安全威胁通报的义务,也基本确立了各企事业单位的潜在的“建设标准”。安全是没有边界的,即没有绝对安全,永远只有相对安全。运行安全还是信息安全的建设永远是降低风险至一个可以接受的程度。这个很关键,到底是什么样的程度,这里基本可以参考网信办或行业内通报的信息作为责任界定的直接依据。
对企事业机构或关键信息基础设施运营者,安全法加大了自律效应,也带来一定的运营成本负担,甚至会影响到个别业务的开展。除了经济上的投入,安全技术人员的特殊性将出现一将难求的局面,这是现实的问题。编制上还是体制内薪酬水准可以说是个难点,借助于上级主管部门常会出现排队现象,总之压力山大,优秀的主管将成为香饽饽。尤其对电信、能源、交通、水利、金融、电子政务主管或信息安全从业岗位可能会经常出现加班熬夜现象,笔者对他们的身心健康表示担忧。
对信息安全企业,无疑是利好,但对资质、技术能力、规范化等方面要求提出了更高的要求,未来可能出现大面积安全企业并购现象,演变成人才的争夺。高校信息安全专业的开辟将成为热门专业,大型系统集成商也跃跃欲试,会逐步加入信息安全的行业方向中来,整体上讲是有利于信息安全商业环境进一步发展。信息安全的咨询服务业将一改过去重产品轻服务的局面,也会得到空前的发展。
重点部分的解读
《网络安全法》大篇幅的强调了个人信息保护,“徐玉玉悲剧”事件发生概率将会大大降低,无论是网络运营者,还是服务机构的信息拥有者应该不会掉以轻心了。在一定程度上增加了运营成本和难度,对无能力做好信息保护的服务商将会逐步淘汰,未来会产生大量黑名单或关停部分网站。信息安全建设优秀的企业投入重金将得到一定的回报,市场将筛选出一批合规企业,信息安全将体 现出充分的竞争力,再也不是过去的纯粹成本投入。
《网络安全法》第五章将监测预警与应急处置工作制度化、法制化,明确国家建立网络安全监测预警和信息通报制度,建立网络安全风险评估和应急工作机制,制定网络安全事件应急预案并定期演练。这一项在过去通常处于盲区,或处于非重点部分,目前只有电信运营商落实相对较好,有丰富的建设经验。
目前总体看来,网络运营者(是指网络的所有者、管理者和网络服务提供者)所处的压力巨大,如火如荼的云计算、大数据、物连网会不会因为网络边界,责任界定方面存在模糊而影响到快速发展。过去的安全投入建设是否合规有效,变更管理的压力会有所增加,应急演练,通报制度需要重新严格制定。火遍全国的电商运营者们需要日夜加固系统,甚至需要组建新的部门,都需要重新审视之前的安全架构了。电信、金融的信息安全相对其他几个关键基础设施运营者们压力较小,因为过去一直的重视沉淀了大量的经验和优秀的人才。其他电子政务、水利、交通、高校、公众服务类运营者通常重视物理边界或重视具体服务体验,对运行安全和信息安全、通报机制等投入相对不足,今后将进一步需要补足短板规范化建设,投入也会较大。
结束语
除关键基础网络运营者服务商有了明确的规定,对工厂、中小学教育部门、医疗、科研机构,无数的中小企业,如制造类、消费零售类企业、地市级以下政府机构如何进行《网络安全法》的落实,各行业协会或主管部门需要进一步商讨。从现在到明年六月,留给大家的时间不多了,从安全框架设计到安全评估,再落实到具体建设、检查等还需要大量的时间,希望大家能积极行动起来,不要成为行业内的小白鼠。《网络安全法》包含内容较多,需要细细消化,此解读不尽完善,旨在抛砖引玉,请专家学者不吝指正。(完)
