《中华人民共和国网络安全法》(以下简称《网络安全法》)于2017年6月1日正式实施。《网络安全法》作为我国网络空间安全管理的基本法律,框架性地构建了许多法律制度和要求,重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施安全保护制度、网络安全审查、个人信息和重要数据保护制度、数据出境安全评估、网络关键设备和网络安全专用产品安全管理制度、网络安全事件应对制度等。
为保障上述制度的有效实施,一方面,以国家互联网信息办公室(以下简称“网信办”)为主的监管部门制定了多项配套法规,进一步细化和明确了各项制度的具体要求、相关主体的职责以及监管部门的监管方式;另一方面,全国信息安全标准化技术委员会(以下简称“信安标委”)同时制定并公开了一系列以信息安全技术为主的重要标准的征求意见稿,为网络运营者提供了非常具有操作性的合规指引。具体讲:
1. 在互联网信息内容管理制度方面
网信办颁布了《互联网信息内容管理行政执法程序规定》,并已经针对互联网新闻信息服务、互联网论坛社区服务、公众账户信息服务、群组信息服务、跟帖评论服务等制定了专门的管理规定或规范性文件,以期全方位多层次地保障互联网信息内容的安全和可控性;
2. 在网络安全等级保护制度方面
信安标委在原有的信息系统安全等级保护制度的基础之上,发布了包括《网络安全等级保护实施指南》、《网络安全等级保护基本要求》等在内的多项标准文件的征求意见稿。考虑到现行的《信息安全等级保护管理办法》已不适用《网络安全法》的要求,新的《网络安全等级保护管理办法》也正在制定中;
3. 在关键信息基础设施安全保护制度方面
随着《关键信息基础设施安全保护条例》、《信息安全技术关键信息基础设施安全检查评估指南》等征求意见稿的公布,关键信息基础设施运营者的安全保护义务得以进一步明确。但是关键信息基础设施的范围依旧有待制定中的《关键信息基础设施识别指南》进行进一步地明确;
4. 在个人信息和重要数据保护制度方面
其核心内容主要包括个人信息收集和使用过程中的安全规范以及个人信息和重要数据出境时的安全评估制度。其中,个人信息权作为一项民事权利,除网络安全法以外,在民法总则、侵权责任法和刑法中同样也建立了相应的保护机制,各行业的特别法律法规对某些特殊的个人信息也提出了特殊的法律要求;
5. 在网络产品和服务的管理制度方面
以安全可控性为基本要求,网信办建立了全新的网络安全审查制度和网络关键设备和网络安全专用产品目录管理制度。实践中,企业在进行网络产品和服务的合规管理时,同时还应当考虑密码产品管理制度和公安部的计算机信息系统安全专用产品管理制度;
6.网络安全事件管理制度本身是网络安全等级保护制度中的一部分
为了加强对重点领域的管理,网信办、信安标委和行业主管部门等制定了更加针对性的管理要求和指引。
本文以上述各项制度为类别,对截止目前已经公布和即将出台的《网络安全法》相关的各项战略、法律法规、规范性文件及标准进行了梳理总结,供大家参考,表1为《网络安全法》及其配套法律法规和规范性文件汇总目录,表2为个人信息保护相关的重要法规及规范性文件汇总目录,表3为信息系统安全等级保护相关法规及重要国家标准汇总目录,表4为密码产品相关法规汇总目录。
表1:《网络安全法》及其配套法律法规和规范性文件汇总目录
截止时间:2017年9月16日
表2:个人信息保护相关的重要法规及规范性文件汇总目录
截止时间:2017年9月16日
表3:信息系统安全等级保护相关法规及重要国家标准汇总目录
截止时间:2017年9月16日
表4:密码产品相关法规汇总目录
截止时间:2017年9月16日
|