網絡空間不是法外之地—— 《網絡安全法》之數據安全合規合法解讀(dú)
發布時間:
2017.06.01 | 來源:
帕拉迪
今天具有裡(lǐ)程碑意義的《中國(guó)人民(mín)共和國(guó)網絡安全法》正式生(shēng)效。從(cóng)2014年(nián)中央網絡安全和信息化小(xiǎo)組成立之初就(jiù)開(kāi)始研究和制定網絡安全和信息化發展戰略。2015年(nián)7月(yuè)網絡安全法草(cǎo)案一(yī)審稿出台,2016年(nián)7月(yuè)網絡安全法草(cǎo)案二審稿出台,同年(nián)11月(yuè)網絡安全法草(cǎo)案三審稿完成并由十二屆全國(guó)人大常委會(huì)第二十四次會(huì)議表決通(tōng)過,安全大法的出台為(wèi)我國(guó)信息化建設提供宏觀規劃和重大方針指向,推動國(guó)家網絡安全和信息化法治建設,不斷增強安全保障能(néng)力。
網絡安全法适用除軍事(shì)網絡的安全保護相(xiàng)關單位和人以外的所有單位和個(gè)人,包括網絡運營者、主管單位、信息安全廠商、硬件(jiàn)廠商、集成商等。基本涵蓋了所有從(cóng)事(shì)IT類的單位、用戶、主管單位和個(gè)人。如果從(cóng)合法合規的角度來分類,整個(gè)網絡大全可以分為(wèi)網絡安全、數據安全、管理安全三個(gè)維度,随著(zhe)信息化的建設的發展,越來越多(duō)的單位和個(gè)人注重網絡安全、管理安全,而對數據安全的重要性、防護措施并不是很清晰,因此我們主要結合網絡安全法在數據安全方面的合法合規的政策解讀(dú)。
第二十一(yī)條:國(guó)家實行網絡安全等級保護制度。網絡運營者應當按照(zhào)網絡安全等級保護制度的要求,履行下(xià)列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改:
第三款:采取監測、記錄網絡運行狀态、網絡安全事(shì)件(jiàn)的技(jì)術(shù)措施,并按照(zhào)規定留存相(xiàng)關的網絡日志(zhì)不少于六個(gè)月(yuè)。
解讀(dú):應采取監控和審計類的技(jì)術(shù)或産品,對訪問網絡行為(wèi)、數據操作行為(wèi)進行持續監控和審計,可溯源、可控制,做到(dào)記錄事(shì)件(jiàn);值得注意的是明确規定了日志(zhì)的存儲期限不低(dī)于6個(gè)月(yuè),對存儲時間做了規範性要求。
第四款:采取數據分類、重要數據備份和加密等措施
解讀(dú):對收集和存儲、使用的個(gè)人隐私信息或重要敏感信息,進行發現、分類和監控,建立相(xiàng)應的方案防止數據被竊取、拖庫、重要信息非法入侵竊取。要采用相(xiàng)應防護措施實現系統重要敏感數據和重要業(yè)務數據,同時做好備份工(gōng)作,重要信息要有備份,同時備份的數據要有相(xiàng)應的保護措施,數據防護安全措施必須做到(dào)位。
第二十四條:網絡運營者為(wèi)用戶辦理網絡接入、域名注冊服務,辦理固定電(diàn)話、移動電(diàn)話等入網手續,或者為(wèi)用戶提供信息發布、即時通(tōng)訊等服務,在與用戶簽訂協議或者确認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得為(wèi)其提供相(xiàng)關服務。
解讀(dú):個(gè)人信息實名制要求,核心是實名制;在電(diàn)信用戶實名制基礎上(shàng),規定了信息發布、即時通(tōng)訊等服務的實名制要求,而為(wèi)了不影響用戶的個(gè)人隐私,實名制也是一(yī)把雙刃劍,對于網絡運營者來說,一(yī)旦收集的個(gè)人信息發生(shēng)大批量的洩漏,将産生(shēng)無法預期的數據安全風險;因此,網絡安全法個(gè)人信息實名制對網絡運營者提出了要求,事(shì)實上(shàng),目前有部分個(gè)人用戶信息洩露的方式就(jiù)通(tōng)過網絡運營者管理不善造成的,安全法強化了個(gè)人信息保護。
第四十一(yī)條:網絡運營者收集、使用個(gè)人信息,應當遵循合法、正當、必要的原則,公開(kāi)收集、使用規則,明示收集、使用信息的目的、方式和範圍,并經被收集者同意。不得收集與其提供的服務無關的個(gè)人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個(gè)人信息,并應當依照(zhào)法律、行政法規的規定和與用戶的約定,處理其保存的個(gè)人信息。
第二十二條第三款:網絡産品、服務具有收集用戶信息功能(néng)的,其提供者應當向用戶明示并取得同意;涉及用戶個(gè)人信息的,還(hái)應當遵守本法和有關法律、行政法規關于個(gè)人信息保護的規定。
解讀(dú):四十一(yī)條和二十二強調網絡運營者收集使用個(gè)人信息的原則和目的,條款規定了個(gè)人信息保護的知情同意和特定目的原則。強調必須在用戶知曉并同意收集目的和使用範圍後,才能(néng)收集個(gè)人信息,保證了用戶的知情權。企業(yè)要按此要求規範獲取個(gè)人信息的途徑和方式方法。
第四十二條:網絡運營者不得洩露、篡改、毀損其收集的個(gè)人信息;未經被收集者同意,不得向他人提供個(gè)人信息。但是,經過處理無法識别特定個(gè)人且不能(néng)複原的除外。
網絡運營者應當采取技(jì)術(shù)措施和其他必要措施,确保其收集的個(gè)人信息安全,防止信息洩露、毀損、丢失。在發生(shēng)或者可能(néng)發生(shēng)個(gè)人信息洩露、毀損、丢失的情況時,應當立即采取補救措施,按照(zhào)規定及時告知用戶并向有關主管部門(mén)報(bào)告。
解讀(dú):本條款也被業(yè)内稱作“大數據條款”;強調網絡運營者要保護用戶個(gè)人信息,很多(duō)網絡運營者的用戶注冊信息成千上(shàng)萬,如何确保這些信息不被竊取、洩露、而現在個(gè)人信息的洩露的方式可以由内部人員(yuán)造成、也可以是由業(yè)務漏洞造成的洩露,因此數據安全防護産品是一(yī)種手段。
第四十三條:個(gè)人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個(gè)人信息的,有權要求網絡運營者删除其個(gè)人信息;發現網絡運營者收集、存儲的其個(gè)人信息有錯(cuò)誤的,有權要求網絡運營者予以更正。網絡運營者應當采取措施予以删除或者更正
解讀(dú):本條款核心是法律明确賦予公民(mín)個(gè)人具有删除權和更正權;如果發現網絡運營者不當使用個(gè)人信息,有權要求删除,有錯(cuò)誤的有權要求其改正。
第四十四條:任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息,不得非法出售或者非法向他人提供個(gè)人信息
解讀(dú):核心是不得非法獲取、非法出售和提供個(gè)人信息,這一(yī)要求是毋庸置疑的。
這裡(lǐ)說到(dào)非法出售和提供,數據洩露的方式有很多(duō)種,有内部用戶為(wèi)了個(gè)人利益兜售用戶信息,而如果沒有相(xiàng)應的記錄過程,這種數據獲取方式往往是被看(kàn)做是一(yī)種“合法操作”,對于一(yī)些越權訪問數據信息又(yòu)得不到(dào)權限控制。對外部人員(yuán),更多(duō)的數據洩露方式往往是業(yè)務層面的一(yī)些漏洞被利用,因此應該有相(xiàng)應的數據防護産品來防範該類事(shì)情的發生(shēng)。
通(tōng)過對網絡安全法的整體分析,實際上(shàng)可以從(cóng)三個(gè)安全框架建設單位和個(gè)人的網絡,分為(wèi)網絡層安全、數據層安全、規則制度建設安全。
網絡層安全:針對網絡層安全除了部署傳統網絡防火牆等外,應部署運維審計産品、做到(dào)設備訪問權限控制、合法合規、可記錄、可追溯、可審計等,推薦帕拉迪運維審計産品,産品成熟度和市(shì)場認可度高(gāo)。
數據層安全:基于個(gè)人信息保護及數據安全保護,需要審計及記錄,對敏感數據、高(gāo)危數據操作進行行為(wèi)判斷、事(shì)中阻斷。并且重要數據需要有容災備份,推薦帕拉迪科技(jì)數據審計、數據庫防火牆、NGDAP、NGWAF等。
規章制度建設安全:制定内部安全管理制度和操作規程,确定網絡安全負責人,落實網絡安全保護責任,網絡運營者應當制定網絡安全事(shì)件(jiàn)應急預案,定期對從(cóng)業(yè)人員(yuán)進行網絡安全教育、技(jì)術(shù)培訓和技(jì)能(néng)考核。