網絡空間不是法外之地(dì)—— 《網絡安全法》之數據安全合規合法解讀
發布時間:
2017.06.01 | 來源:
帕拉迪
今天具有(yǒu)裏程碑意義的(de)《中國(guó)人民共和(hé)國(guó)網絡安全法》正式生效。從2014年(nián)中央網絡安全和(hé)信息化小組成立之初就開始研究和(hé)制定網絡安全和(hé)信息化發展戰略。2015年(nián)7月網絡安全法草(cǎo)案一(yī)審稿出台,2016年(nián)7月網絡安全法草(cǎo)案二審稿出台,同年(nián)11月網絡安全法草(cǎo)案三審稿完成并由十二屆全國(guó)人大常委會第二十四次會議表決通過,安全大法的(de)出台為(wèi)我國(guó)信息化建設提供宏觀規劃和(hé)重大方針指向,推動國(guó)家網絡安全和(hé)信息化法治建設,不斷增強安全保障能力。
網絡安全法适用除軍事網絡的(de)安全保護相關單位和(hé)人以外的(de)所有(yǒu)單位和(hé)個人,包括網絡運營者、主管單位、信息安全廠商(shāng)、硬件廠商(shāng)、集成商(shāng)等。基本涵蓋了所有(yǒu)從事IT類的(de)單位、用戶、主管單位和(hé)個人。如(rú)果從合法合規的(de)角度來分類,整個網絡大全可(kě)以分為(wèi)網絡安全、數據安全、管理(lǐ)安全三個維度,随着信息化的(de)建設的(de)發展,越來越多的(de)單位和(hé)個人注重網絡安全、管理(lǐ)安全,而對數據安全的(de)重要性、防護措施并不是很清晰,因此我們(men)主要結合網絡安全法在數據安全方面的(de)合法合規的(de)政策解讀。
第二十一(yī)條:國(guó)家實行(xíng)網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的(de)要求,履行(xíng)下列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的(de)訪問,防止網絡數據洩露或者被竊取、篡改:
第三款:采取監測、記錄網絡運行(xíng)狀态、網絡安全事件的(de)技術措施,并按照規定留存相關的(de)網絡日志不少于六個月。
解讀:應采取監控和(hé)審計類的(de)技術或産品,對訪問網絡行(xíng)為(wèi)、數據操作行(xíng)為(wèi)進行(xíng)持續監控和(hé)審計,可(kě)溯源、可(kě)控制,做(zuò)到記錄事件;值得注意的(de)是明确規定了日志的(de)存儲期限不低(dī)于6個月,對存儲時間做(zuò)了規範性要求。
第四款:采取數據分類、重要數據備份和(hé)加密等措施
解讀:對收集和(hé)存儲、使用的(de)個人隐私信息或重要敏感信息,進行(xíng)發現、分類和(hé)監控,建立相應的(de)方案防止數據被竊取、拖庫、重要信息非法入侵竊取。要采用相應防護措施實現系統重要敏感數據和(hé)重要業務數據,同時做(zuò)好備份工作,重要信息要有(yǒu)備份,同時備份的(de)數據要有(yǒu)相應的(de)保護措施,數據防護安全措施必須做(zuò)到位。
第二十四條:網絡運營者為(wèi)用戶辦理(lǐ)網絡接入、域名注冊服務,辦理(lǐ)固定電話、移動電話等入網手續,或者為(wèi)用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者确認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的(de),網絡運營者不得為(wèi)其提供相關服務。
解讀:個人信息實名制要求,核心是實名制;在電信用戶實名制基礎上,規定了信息發布、即時通訊等服務的(de)實名制要求,而為(wèi)了不影響用戶的(de)個人隐私,實名制也是一(yī)把雙刃劍,對于網絡運營者來說,一(yī)旦收集的(de)個人信息發生大批量的(de)洩漏,将産生無法預期的(de)數據安全風險;因此,網絡安全法個人信息實名制對網絡運營者提出了要求,事實上,目前有(yǒu)部分個人用戶信息洩露的(de)方式就通過網絡運營者管理(lǐ)不善造成的(de),安全法強化了個人信息保護。
第四十一(yī)條:網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的(de)原則,公開收集、使用規則,明示收集、使用信息的(de)目的(de)、方式和(hé)範圍,并經被收集者同意。不得收集與其提供的(de)服務無關的(de)個人信息,不得違反法律、行(xíng)政法規的(de)規定和(hé)雙方的(de)約定收集、使用個人信息,并應當依照法律、行(xíng)政法規的(de)規定和(hé)與用戶的(de)約定,處理(lǐ)其保存的(de)個人信息。
第二十二條第三款:網絡産品、服務具有(yǒu)收集用戶信息功能的(de),其提供者應當向用戶明示并取得同意;涉及用戶個人信息的(de),還應當遵守本法和(hé)有(yǒu)關法律、行(xíng)政法規關于個人信息保護的(de)規定。
解讀:四十一(yī)條和(hé)二十二強調網絡運營者收集使用個人信息的(de)原則和(hé)目的(de),條款規定了個人信息保護的(de)知情同意和(hé)特定目的(de)原則。強調必須在用戶知曉并同意收集目的(de)和(hé)使用範圍後,才能收集個人信息,保證了用戶的(de)知情權。企業要按此要求規範獲取個人信息的(de)途徑和(hé)方式方法。
第四十二條:網絡運營者不得洩露、篡改、毀損其收集的(de)個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理(lǐ)無法識别特定個人且不能複原的(de)除外。
網絡運營者應當采取技術措施和(hé)其他必要措施,确保其收集的(de)個人信息安全,防止信息洩露、毀損、丢失。在發生或者可(kě)能發生個人信息洩露、毀損、丢失的(de)情況時,應當立即采取補救措施,按照規定及時告知用戶并向有(yǒu)關主管部門報告。
解讀:本條款也被業內(nèi)稱作“大數據條款”;強調網絡運營者要保護用戶個人信息,很多網絡運營者的(de)用戶注冊信息成千上萬,如(rú)何确保這些信息不被竊取、洩露、而現在個人信息的(de)洩露的(de)方式可(kě)以由內(nèi)部人員造成、也可(kě)以是由業務漏洞造成的(de)洩露,因此數據安全防護産品是一(yī)種手段。
第四十三條:個人發現網絡運營者違反法律、行(xíng)政法規的(de)規定或者雙方的(de)約定收集、使用其個人信息的(de),有(yǒu)權要求網絡運營者删除其個人信息;發現網絡運營者收集、存儲的(de)其個人信息有(yǒu)錯誤的(de),有(yǒu)權要求網絡運營者予以更正。網絡運營者應當采取措施予以删除或者更正
解讀:本條款核心是法律明确賦予公民個人具有(yǒu)删除權和(hé)更正權;如(rú)果發現網絡運營者不當使用個人信息,有(yǒu)權要求删除,有(yǒu)錯誤的(de)有(yǒu)權要求其改正。
第四十四條:任何個人和(hé)組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息
解讀:核心是不得非法獲取、非法出售和(hé)提供個人信息,這一(yī)要求是毋庸置疑的(de)。
這裏說到非法出售和(hé)提供,數據洩露的(de)方式有(yǒu)很多種,有(yǒu)內(nèi)部用戶為(wèi)了個人利益兜售用戶信息,而如(rú)果沒有(yǒu)相應的(de)記錄過程,這種數據獲取方式往往是被看做(zuò)是一(yī)種“合法操作”,對于一(yī)些越權訪問數據信息又得不到權限控制。對外部人員,更多的(de)數據洩露方式往往是業務層面的(de)一(yī)些漏洞被利用,因此應該有(yǒu)相應的(de)數據防護産品來防範該類事情的(de)發生。
通過對網絡安全法的(de)整體分析,實際上可(kě)以從三個安全框架建設單位和(hé)個人的(de)網絡,分為(wèi)網絡層安全、數據層安全、規則制度建設安全。
網絡層安全:針對網絡層安全除了部署傳統網絡防火牆等外,應部署運維審計産品、做(zuò)到設備訪問權限控制、合法合規、可(kě)記錄、可(kě)追溯、可(kě)審計等,推薦帕拉迪運維審計産品,産品成熟度和(hé)市(shì)場認可(kě)度高(gāo)。
數據層安全:基于個人信息保護及數據安全保護,需要審計及記錄,對敏感數據、高(gāo)危數據操作進行(xíng)行(xíng)為(wèi)判斷、事中阻斷。并且重要數據需要有(yǒu)容災備份,推薦帕拉迪科(kē)技數據審計、數據庫防火牆、NGDAP、NGWAF等。
規章(zhāng)制度建設安全:制定內(nèi)部安全管理(lǐ)制度和(hé)操作規程,确定網絡安全負責人,落實網絡安全保護責任,網絡運營者應當制定網絡安全事件應急預案,定期對從業人員進行(xíng)網絡安全教育、技術培訓和(hé)技能考核。