INDUSTRY INFORMATION

新闻资讯

当前位置:首页 > 新闻中心

当代程序员一定要知道的《网络安全法》

发布时间:2020·02·05 浏览:27

    网络安全是指通过采取必要措施,防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。

    众所周知,在过去的几年间频频有程序员被抓,现在的网络安全服务行业不比以前,有太多我们忽略甚至习以为常的东西其实是违法的。所以现在大家要学法、懂法、用法,不做法律的牺牲者,要做法律的维护者。

下面是《网络安全法》原文,我还会给出一些解读,希望对大家有所帮助。
中华人民共和国网络安全法——法律原文及解读

中华人民共和国网络安全法
基本信息
发文字号中华人民共和国主席令第五十三号
效力级别法律
时效性现行有效
发布日期2016-11-07
实施日期2017-06-01
发布机关全国人大常委会
法律修订
2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过

正文
第一章 总 则
立法目的
第一条

为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
第二条

在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。
网络安全工作的基本原则
第三条

国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
解 读: 再次明确了我国在十八届三中全会《决定》中提出的我国网信事业发展的16字方针:积极利用、科学发展、依法管理、确保安全。
国家网络安全战略
第四条

国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。
解 读: 2014年中央网信办成立,标志着网络安全正式上升到了国家战略层面。国家网络安全战略是国家网络安全的顶层设计和战略框架。本条也说明了将来会出台“国家网络安全战略”(新)。
第五条

国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
第六条

国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。
第七条

国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。
国家网络监管体制
第八条

国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
解 读: 这一条明确了网络安全的监管责任,解决了谁来负责的问题。目前在国家层面主要是中央网信办网络安全协调局负责统筹协调,工信部网络安全管理局负责网络安全相关管理工作,公安部十一局(网络安全保障局)负责安全保障工作。
网络运营者的基本义务
第九条

网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
解 读: 这一条明确了网络运营者要做什么,表明网络运营者要承担的一般性义务。
第十条

建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
第十一条

网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。
网络活动参与者的权利与义务
第十二条

国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
解 读: 这一条以列举的方式说明了哪些行为不能做。
未成年人网络保护
第十三条

国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
解 读: 本条明确了网络安全在未成年人保护方面的要求。
危害网络安全行为的举报及处理
第十四条

任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。
解 读: 本条明确了在遭遇网络安全侵权、污染等方面举报维权的权利和权益。
第二章 网络安全支持与促进
第十五条

国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
第十六条

国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。
第十七条

国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。
第十八条

国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。
第十九条

各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。
第二十条

国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。
第三章 网络运行安全
网络安全等级保护制度
第二十一条

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。
解 读: 本条款提到的网络安全等级保护制度与公安部运营多年的信息系统安全等级保护制度有非常大的关联,也说明国家会修订或出台相关“网络安全等级保护”的相关配套制度。从条文来看,基本包括管理层面的制度规程和责任人,技术层面的防病毒、入侵检测,日志管理和分析,数据分类,数据备份,数据加密等。
网络产品和服务提供者的安全义务
第二十二条

网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
解 读: 本条主要是与网络安全产品相关的一条。主要对网络产品自身的安全性提出相关的要求,包括运维等后续服务。这是与网络产品服务提供者相关第一条义务。
需要注意的本条提到的“双告知”义务(用户和主管部门),将产品问题告知给用户,对于网络产品运营商来讲的确需要下一番狠心,日后执行情况也有待观望。除此之外,不同于在第76条中有明确定义的个人信息,本条中有一个没有明确的词是“用户信息”,用户信息应该包括用户名、密码、IP、Mac、上网时间、Cookies等信息。
第二十三条

网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
第二十四条

网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
网络运营者的应急处置措施
第二十五条

网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
解 读: 本条的核心是应急响应。这是网络运营者要承担的义务。
第二十六条

开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。
禁止危害网络安全的行为
第二十七条

任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
解 读: 本条主要明确禁止入侵、干扰网络,窃取网络数据的活动,把相关的一些规则显性化,没有特别要说的地方。这是与网络产品服务提供者相关第三条义务。
网络运行者的技术支持和协助义务
第二十八条

网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
解 读: 本条主要是协助执法机关执法的内容,这是网络运营者要承担的义务。
第二十九条

国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
第三十条

网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。
第三十一条

国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
第三十二条

按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。
第三十三条

建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
关键信息基础设施运营者的安全保护义务
第三十四条

除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;(二)定期对从业人员进行网络安全教育、技术培训和技能考核;(三)对重要系统和数据库进行容灾备份;(四)制定网络安全事件应急预案,并定期进行演练;(五)法律、行政法规规定的其他义务。
解 读: 本条款说明关键信息基础设施的保护要求高于网络安全等级保护制度的一般要求,从制度、培训、灾备、应急等方面提出了进一步要求。
关键信息基础设施采购的国家安全审查
第三十五条

关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
解 读: 在网络安全法出炉之前,美国商会等46家来自美洲、欧洲、亚洲和大洋洲等地区的国际企业团体联名给国务院写信抗议,其核心就在于本条的国家安全审查。由于外企很难如数提供相关设计图纸、源代码等审核资料,因而认为该法增加了贸易壁垒。
关键信息基础设施采购的安全保密义务
第三十六条

关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
解 读: 本条的关键字是:“采购”“保密协议”。
关键信息基础设施的境内存储和对外提供
第三十七条

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
解 读: 本条也是外企和有海外业务的国内企业很关注的一条。主要是关于数据境内存储和境外数据流动的问题。核心是数据安全。这里有两个关键词,一个是“重要数据”,什么是重要数据,相关的常见提法还有“业务数据”、“运营数据”、“服务数据”、“个人数据”、“企业数据”、“国家数据”。重要数据是从影响因子的权重来区分数据,是一种新的数据分类方式,而不是从用途和归属的角度去分类。
另一个关键词是“安全评估”,这个安全评估的方式也是将来要出台的配置制度。相关问题也并不清晰,例如评估对象的问题,是对要流向境外的数据进行评估?还是对业务的模式进行评估?还有谁来评估的问题,是主管单位来评估,还是运营者自己进行评估?
本条也说明了将来会出台“向境外提供关键信息基础设施重要数据的安全评估办法”
第三十八条

关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第三十九条

国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
 
 

上一篇: 微信小程序实战须知2:详解数据API所需网络配置域名、Https、备案、SSL

下一篇: 防火墙的基本概念

推荐案例
推荐新闻