郭启全:《网络安全法》重点内容解读
2021-01-25 16:40:13
  • 0
  • 2
  • 1
 摘要:我参加了《网络安全法》的制定,其实我也在多次场合中讲这个《网络安全法》,我是把《网络安全法》和其它法串着讲,这个法出台之后非常重要,实际上一个法还是不够的,因此我要从公安部这个角度,公安机关这个角度对这个法谈一谈自己的看法。

很高兴和企业界的专家们,还有媒体朋友们做一下汇报。我参加了《网络安全法》的制定,其实我也在多次场合讲这个《网络安全法》,这个法实施之前要大张旗鼓的宣传,更正一下,我不是协调局,我是公安部网络安全保卫局,保卫和协调概念不一样。其实我是把《网络安全法》和其他法串着讲,这个法出台之后非常重要,实际上一个法还是不够的,因此我要从公安部这个角度,公安机关这个角度对这个法谈一谈自己的看法。必要性不说了,大家都知道。

网络空间主权放在第一位

我想第一个要谈的就是我们这个法,大家看这个目录,总共7章79条,从这个目录上就可以看出这个法主要调整的是什么。主要是网络运行安全,网上数据和信息的安全,监测通报预警,还有法则。这个法的定位是一个基础性法规,又是十八大以来我们国家最重要的法律,制定过程大家看看,都不重复了,时间关系。高票通过,没有反对,只有一票弃权,这是这个法的大家对它的重视程度。调整范围大家看看,就是这个法调整的是什么,我把什么放在第一位,网络空间主权放在第一位。后面还有一页调整的内容。简单来说,就是对境内外网络攻击均有管辖权,不是仅仅管国内,也要管国外,因此要对这个境外攻击进行防御、惩治和制裁,这是我们这个法出台的最重要意义。另外还有一些调整内容,我就不一一念了。

国家开展网络安全工作的原则和方针

有关概念,我不细讲。重要的我要说一说,这里面有一个网络运营者,制定法的时候这个对于有些涵概不全,所以冒出一个新词叫“网络运营者”,是指网络所有者、管理者和网络提供者。这是对这个网络当中大量网络运营者定的规矩和法则。重点条款,因为网络安全是国家安全,因此这个法先给国家规定责任和义务,重要行业部门再强大,你干不动,国家的事国家的责任是什么,国家的义务是什么,因此这个法首先确定了国家应该承担的责任、义务,因此大家看看第三条,明确了国家要开展网络安全工作的原则和方针,以及这个关键词,国家要制定和完善网络安全战略,这是解决顶层设计问题,国家网络安全要有顶层设计是要靠战略解决顶层设计,法当中就规定了国家要制定完善网络安全战略。第五条国家应该采取什么措施,也就是说国家应该承担的主要任务是什么,在这条当中有规定了,这条解决什么问题呢,就是行业自身力量不足问题,比如说银行、民航、铁路、证券、保险,自己家门口内的东西你要自己干,你干不了也管不动,你没有太大能力,所以说国家要采取措施承担国家应该承担的责任和义务。

建立多边、民主、透明的网络治理体系

第七条,我们国家通过这个法向全球,向全世界声明了我们国家在网络安全方面的态度,要建立多边、民主、透明的网络治理体系。第十三条保护未成年人,第五十条,国家有法律,有政策还得有标准,因此国家要重视网络安全标准建设,所以是成体系化的,因此必须加快制定国家的网络安全标准。第十六条解决什么问题呢,我们国家企业老说国家投入不足,重要行业投入不够,也就是说投入的太低,安全投入低,这条解决什么问题?解决投入不足问题。我们各级政府大家看看,国务院和省区市、人民政府应当统筹、规划加快投入。这就说明什么问题呢,法要求各级政府加大投入。第十七条社会广泛参与与副五。第十八条,鼓励和支持创新,还有公共数据资源开放,因为数据跨境流动势不可挡。第十九条,采取各种形式的宣传教育,提高我们的意识、认识。第二十条解决人才不足问题,缺乏网络安全人才,高校培训机构等等社会各方怎么开展教育和培训、训练。这是国家应该承担的主要责任义务。

再看看职责、任务、分工,第八条很重要,我不会对每条都解释的,但是重要的地方,让大家多看看,第八条解决什么问题?只把这三家名字点出来,网信办统筹协调,国务院电信主管部门是工信部,公安部门,把这三个点出来,因为这三个是主要部门,主要的网络安全职能部门,和其他有关部门,这就是重要条款,我们几家怎么分工。还有本法与其他法的关系,依照本法和有关法律、行政法规的规定,也就是说本法涵概不全,因此这个法出台之后要和其他法配合,这个法出台之后其他任何法律法规没有一个废止的,就是我们制定这个法为什么这么快出来,因为有些东西是这个法没法说清楚的,因此第八条非常关键,解决了我们几个主要部门的分工和本法与其他法的关系,这在第八条明确了。还要解读,别理解偏了,一个好法你理解偏了怎么行呢,怎么干呢。第十一条行业自律,第十四条很重要,举报的责任。

调整国家网络安全等级保护制度

第三,调整的国家网络安全等级保护制度,这是我们国家网络安全的基本制度、基本国策,国务院要求明显规律国家实施等级保护制度,现在这个法第二十一,国家实行网络安全等级保护制度。第三十一条订立了关键基础设施,是在网络安全等级保护制度的基础上实现重点保护,没有等级保护哪儿来得关键基础设施,关键基础设施从哪儿出,什么在它的基础之上实现重点保护,无论你是不是关键基础设施,我们的信息系统,我们的保护对象都要定级,都要备案,都要测评,都要整改,都要检查,这是国家规定的,规定动作。然后在此基础之上从人财物等方面予以重点支持和保障,这叫实施重点保护。所以等级保护和关键信息基础设施的关系就是等级保护制度是基础,如果我们的基础没了,根基没了,关键信息基础设施不存在。

网络运营者责任和义务

第四,网络运营者责任和义务。我们这个没有当中大量给网络运营者规定了它的责任和义务,就是以前我们在文件当中,中央文件、有关部门的文件、政府文件当中规定一些网络运营者的责任义务,这都是文件,文件效率低,强调力不够,因此要把一些重要的责任、义务放在这个法当中,因此从第九条网络运营者要理清网络安全保护义务,主要解决什么问题呢,保障网络系统运行安全和网上数据信息安全,它干的活主要是这两个方面。二十一,我再重复说一下,什么叫按照国家等级保护制度要求履行下列安全保护义务,列了若干项,就是你要做的,日志留存,在这里藏着一个“日志留存”,留存多长时间?不少于六个月,这就是关键的地方。还有数据安全,数据要分类,要备案,要加密,这些重要措施要落实。所以日志留存和数据安全在第二十一条有了明确的要求。第二十四条,实名制,大家看看第二十四条实名制,因此我们各方要按照这个法条的要求搞实名制。第二十五条应急预案,制定应急预案,开展应急处置,这是我们经常要求网络运营者干的工作,它不做不行,法有规定。二十六条,第三方服务要守法,向社会发布信息漏洞等等要守规矩,有的企业不手规矩,违了法,就被公安机关打掉了端掉了大家都知道是谁。第二十八条,运营者应当对公安机关、国家安全机关有支持协助义务,不做行不行?不行。

调整关键基础设施运行安全

第五这个法规范了调整了关键基础设施运行安全,明确了范围,保护的主要内容和网络安全等级保护制度。因此在第三十一条,关键信息基础设施,简称CII,必须先落实国家等级保护制度,然后再突出保护重点,这就是这两个,一个是制度,一个是重点保护对象他们之间的关系。三十二条,制定规划,就是说这些重要部门要制定规划,水利部还有国土安全部那些领导,我参加了他们一些顶层设计规划的研究、指导,所以这些行业部门要制定规划。第三十三条“三同步”,以前老是向建设,后搞安全,你老不同步,这回不行,法让你“三同步”。三十四条,CII运营使用单位,除了满足第二十一条之外还要满足三十四条这些措施,这些措施更重要,其实国家有关标准当中这些要求都有,但是拿出来把这些标准当做要求,上升到法它就重要了。有的领导不翻标准,不翻标准把一些重要措施上升到法你就得翻法了,你得看法有什么规定。三十五,安全审查。这个安全审查大家注意是国家安全审查,是非常态的,别理解错了,什么叫国家安全审查,什么时候审查,谁来组织审查,不能拍脑门子,不能说因为这条把现在国家已有的制度、措施都给否定,那是不行的。我们安全部、公安部、工信部已有的措施,原来的法没有废止我们还要实施,什么叫配合,所以你要理解,这是非常态的网络安全产品和服务的国家安全审查。如果因为这条在我们政府对于产品厂商和服务商管理出现偏差,那你就制约它的发展,所以这是不行的。三十六条外包服务安全,因为公安机关在备案当中,有的安全信息公司给有的企业服务了十年,他中了十年的木马,被我们抓了,这是什么问题呢,要防服务商。第三十八条,等级风险评估、渗透测试等每年要干一次,CII运营者每年要干一次。

第六,规范了数据留存和提供,怎么跑第三十七条呢,前面不说呢,报告大家,只要求了CII运营者你这个数据留存和提供有要求,对于非CII的没要求,为什么要这样考虑呢?因为数据得流动,境内外得流动,没招,大趋势谁也拦不住。所以要保护重点数据,重点数据留存和提供进行了明确要求。

网络产品服务

第七,网络产品服务,就是在座的,今天来参加这个会的主要是产品厂商,服务商都少,也有集成商。因此在这个法当中对于产品厂商和服务商提出了明确要求。就是说你的责任义务到底在哪儿,我就不一一说,不得设置恶意程序,还有报告的责任义务。三十二条,产品专用产品认证、销售等等在三十二条进行了明确,网络安全产品,也叫计算机安全专用产品,国务院要求37号令,其中有一个产品销售许可证制度,这个制度仍旧实施,永远不会废止,中宣办、公安部和有关部门研究,让我们信息安全企业你的产品在公安机关,我们上海三号进行检测,你就不用掏检测费了,由中央财政给大家出。第二十七条,一看就是公安部写的,我在那儿参加法当然要把它写上,我们办案子办的这个太多了,你干网络犯罪还帮助犯罪,这叫地下黑产,犯罪一条龙,我们现在打专项,打了多少人了,攻击者,还有内随,四十多个行业都抓了,你不备案不知道里面的严重性、危害性,所以必然通过法条对任何组织和个人禁止性条款,不能犯罪,不能利用网络、根据网络犯罪。

第八调整了网络数据和信息的安全,主要是解决了这些问题,不一一念了。

网络运营者,又是给网络运营者提出对于公民个人信息和数据,你的保护责任和义务。

还有违法信息传播阻断义务,禁止传播违法信息,什么是违法信息呢,恐怖信息、反党、反国家的,我们有的企业在一个网盘里还存着这玩意,我到新疆反恐,听说有一个企业有这样的信息,我就让把那个老总抓到新疆,抓进去再说再审。我今天穿着便装来的,别忘了我是警察,我是打击犯罪的。配合义务,配合有关部门监督检查义务。

监测预警与应急处置

第九监测预警与应急处置,这是在我们网络安全工作当中很重要的措施,应该要单说出来。实施监测,利用大平台监测、发现、处置,主要就是这些事。渗透测试、监测、发现问题、整改,日常就是监测,发现攻击处置,因此监测预警通报处置这是最重要的工作,在相关条款当中就说了,第五十一条国家建立网络安全监测预警和信息通报制度,03年时任总书记胡锦涛同志批准成立国家网络与信息安全信息通报中心,建立国家通报机制,这个机制是公安部牵头,201家部委和央企参加这个通报机制,我们干这个活都十年了,很好,感谢法律把这个机制上升到法,因此我们开展工作底气更足了,没别的就是给大家服务,我们通报机制技术支撑单位有71家,成员单位201家。另外本行业,这些重要行业也得建通报机制,因为201家都得建通报机制,建三层二百纵立体的通报机制。第五十五事件应急处置。第五十六条约谈,再不好好干这个工作我们执法部门要约谈,还有因为网络安全事件发生突发事件或者生产安全事故的要依据其他有关法律进行处罚。第五十八条通信管制,不能谁想通信管制就通信管制,要国务院批准。

第三大部分法律责任,我们给网络运营者列出了若干项你该遵守的,如果不遵守约谈、警告、罚款、清理整顿、治安处罚、刑拘,怎么这么多呢,你看看怎么说的。对于网络产品、服务商给了答案,第三条由有关主管部门责令整改,谁是有关部门?公安部、网信办、工信部?这里没说,相关法律说了,国务院三定决定了,你有没有处罚权其他法律法规早定了。处罚尺度,警告、罚款,罚多少,整顿都来了。还有第三方,就是对于网络安全服务商违法规定的处罚。处罚违法或协助违法的,有的是针对计算机犯罪,有的是利用计算机犯罪,有的是协助犯罪,我们有的网站和组织,你不会犯罪它都帮助你,在网上告诉你你要犯罪我来帮助你,一条龙,还有这事。这是对人员的处罚,还有终身不得从事这个岗位的,在这个法当中有了明确的规定。还有暂停业务、停业整顿、吊销执照等都是处罚措施。CII违法数据安全的处罚。然后大家看网站、QQ群,聊聊天,出去旅旅行都是可以,如果商量怎么犯罪,你不干你不知道,但有干的,我们抓的多了,所以必须在法条当中把这个事给干住。六十八网络运营者,你干的事多了,如果不干对你的处罚措施在这个条当中非常明确。六十九条也是对网络运营者的,这条再说一下,很重要,网络运营者如果违法本没有的规定,我们有关部门要对网络运营者进行处罚,也就是说重要行业部门以前没法对它进行过多过重处罚,现在就有了。因此这是对网络运营者为理清职责、义务进行处罚。党政机关、央企也要。

还要给大家带一下其他的法律法规,因为不费之,147号令,运营单位和个人在网络安全方面的责任和义务。销售许可制度,我刚才说了,仍旧继续实施。还有法律责任,警告、停业整顿等等。《国家安全法》,第二十五条把网络安全上升到国家安全法去明确去要求,谁让它是国家安全呢,因此对这个内容大家看看网络安全上升到国家安全法去约束,去要求,要建立国家安全审查和监管制度和机制,公民和组织要理清相关义务,为国家安全在网络空间、网络安全方面履行维护国家安全的义务。防恐法,对电信运营者、互联网提供者、运行单位和个人提出了明确要求,恐怖怎么来的,恐怖的根子在网络恐怖,所以对网络控制不住恐怖你能控制得了吗,因此对于有关电信运营商和互联网提供商提出了明确要求,恐怖事件发生之后通信管制,还有法则,法律处罚的条款。这个好,《刑法》好,刑九更好了,回去看看,二八五、二八七好好看看,非法入侵即入刑,非法获取即入刑,非法协助,非法破坏、删除修改、增加干扰等即入刑,非法传播即入刑。网络服务提供者,这个又是规范重要行业部门的,重要行业部门都是共产党的队伍,部委、央企,如果你不好好干,发生这样的情况这就是给他们定的,三年以下有期徒刑,刑拘就是在这儿呢,在座企业得知道规范他们有刑法,不仅仅是处罚、拘留等等,这太轻,因此这条很重要,这就规范政府部门重要行业部门你的责任义务到底在哪儿,犯了哪条刑法三年以下。二八七之二,帮助信息网络犯罪。第二十九条发生以下这些情况实施拘留。

第七大家都知道,人大出台互联网安全的有关法规。

我就是给大家串一串,说的不对的请大家批评指正,谢谢。

 
最新文章
相关阅读