第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
老王解读:本条主要是与网络安全产品相关的一条。主要对网络产品自身的安全性提出相关的要求,包括运维等后续服务。这是与网络产品服务提供者相关第一条义务。
需要注意的本条提到的“双告知”义务(用户和主管部门),将产品问题告知给用户,对于网络产品运营商来讲的确需要下一番狠心,日后执行情况也有待观望。除此之外,不同于在第76条中有明确定义的个人信息,本条中有一个没有明确的词是“用户信息”,老王认为,用户信息应该包括用户名、密码、IP、Mac、上网时间、Cookies等信息。
第二十三条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
老王解读:本条主要是与网络安全产品检测和认证有关。目前主要是公安部的计算机信息系统安全专用产品销售许可证。还有工信部等做的电信产品进网许可证等。这是与网络产品服务提供者相关第二条义务。本条也说明了将来会出台“网络关键设备和网络安全专用产品目录”(新)。
第二十四条 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
老王解读:本条的核心是实名制。这是网络运营者要承担的义务(3)。实名制是一把双刃剑,一方面,通过实名制可以最大程度的信息真实化、可靠化;但另一方面,对于信息收集单位来说,一旦信息发生泄漏,将产生不可想象的数据安全灾难事件,如何确保信息安全仍是一个难题。同时,也提到了电子身份认证的问题,目前公安部三所在推广eID,信安标委WG4组也在做关于网络身份鉴别方面的国家标准的制定工作(老王也混迹于wg4组,参与认证授权标准相关工作)。本条也说明了将来会出台“国家网络可信身份战略”(新)。
第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
老王解读:本条的核心是应急响应。这是网络运营者要承担的义务(4)。
第二十六条 开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。
老王解读:本条主要是关于网络安全认证检测和风险评估的,其实这一条很敏感,因为2016年7月的乌云停业整顿事件一度也在圈内弄的沸沸扬扬,各种版本漫天飞。本条款表明国家将来会出台相关更具体的相关配套的制度和规定。目前我国现有的《产品质量法》、《认证认可条例》、《电信条例》还不足以涵盖目前的很多活动。
第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
老王解读:本条主要明确禁止入侵、干扰网络,窃取网络数据的活动,把相关的一些规则显性化,没有特别要说的地方。这是与网络产品服务提供者相关第三条义务。
第二十八条 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
老王解读:本条主要是协助执法机关执法的内容,这是网络运营者要承担的义务(5)。
第二十九条 国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。
有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
老王解读:本条主要是有关合作的内容。涉及网络运营者网络安全威胁情报交换等内容。并提到了行业组织的风险评估问题。本条也说明了将来会出台“行业网络安全保护规范和协作机制”(新)。
第三十条 网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。
老王解读:本条主要是有关执法机关权力滥用的问题。通过法律条文来规范执法者的行为,老王觉得非常有必要,希望真正能做到有法可依,执法必严。
第二节 关键信息基础设施的运行安全
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
发表评论