6月1日,《中华人民共和国网络安全法》(下文简称《网络安全法》)正式实施。作为我国第一部关于网络安全的综合性法律,对于企业、个人和机构的身份和行为都作出了新的法律概念和规定,他们将对在中国境内建设、运营、维护和使用网络产生深远的影响。
为了让更多企业和个人关注、理解这部具有历史意义和现实意义的法律,赛迪网安全频道记者走访多家企业和机构。他们不仅仅是安全专家,也是《网络安全法》中最直接体现权利和义务的“主角”。借此机会,分享他们对本部法律重要细则的深刻理解,也为规范行业行为敲响警钟。
国产安全厂商,北京神州绿盟信息安全科技股份有限公司(以下简称绿盟科技)在接受赛迪网采访时表示,《网络安全法》的亮点在于明确了国家网络安全监管架构、网络运营者的责任义务、个人数据保护、等级保护和关键信息基础设施保障的关系、违法行为的法律责任和罚则等内容,为网络运营者有效履行安全保障责任,监管机构有效履行监管职责、执法机关对违法行为进行处罚提供了明确的法律依据。
绿盟:安全厂商属于“网络运营者”范畴
我们看到在《网络安全法》相关条款中多次出现了“网络运营者”这个名词,那么网络安全厂商是否也是“网络运营者”?
绿盟科技专家告诉赛迪网记者,《网络安全法》中很重要的一部分组成内容是明确阐述网络运营者的责任和义务。《网络安全法》在第七章第七十六条中明确解释了,网络运营者是指网络的所有者、管理者和网络服务提供者。根据以上定义,所有通过网络提供服务、开展业务活动的企业或机构,均可被视为网络运营者。
网络安全厂商作为网络安全专业产品的供应商,不仅要在自身网站提供安全产品的升级更新服务,而且还可能通过网络提供其它专业安全服务。例如绿盟科技建立了绿盟云,通过互联网向用户提供网站安全监测、脆弱性自助扫描、安全威胁情报、以及DDoS流量清洗等SaaS类型的安全服务。
从这个意义上讲,绝大多数网络安全厂商属于通过网络提供服务的企业或机构,也应当被视为网络运营者,需要承担《网络安全法》中规定的网络运营者的安全责任和义务。
为安全企业设置市场准入门槛
《网络安全法》第三章第一节中第二十二条和第二十三条中规定了为网络运营者提供产品和服务的厂商应遵循的行为准则。特别在第二十三条中,提到了“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。”
绿盟科技认为这相当于为安全厂商设置了市场准入门槛。国内主流的安全厂商的产品和服务,目前均符合安全认证合格和安全检测合格的具体要求,行业也会持续关注和跟踪国家网信部门关于网络安全专业产品目录的工作推进状况,如果现行的检测和认证机制发生调整和变化,国内主流安全厂商会尽快符合政策监管的要求。
国内主流安全厂商往往同时具备网络运营者的身份属性,因此《网络安全法》中对网络运营者的要求,也会同样适用于安全厂商,这对安全厂商自身的运行安全能力提出了明确且更高的要求,尽管国内主流安全厂商多数通过了ISO27001信息安全管理体系认证,具备了较为全面的运行安全能力,但是也应当针对《网络安全法》的内容,对现有的信息安全管理体系进行合规修订,对现有的技术设施进行合规建设,确保符合《网络安全法》的要求。
保护数据安全 考验安全厂商真本领
《网络安全法》第四章第四十条到第四十五条的法律条款,阐述了网络运营者因为业务需要对用户个人信息的收集、使用、保障所负有的义务,法律本身并未对安全厂商应该为保障网络运营者的用户个人信息提供哪些基本的服务做出明确规定。但是,像等级保护现行的标准提出了整套的重要信息系统安全保障技术和管理要求,其中包括了对数据安全的内容,各安全厂商能够根据自身的技术能力,用安全产品和服务有针对性覆盖等级保护标准的部分具体要求。
随着《网络安全法》的正式实施,以及后续关于关键信息基础设施安全保障规范细则的制定和颁布,如何准确识别网络运营者所持有的用户个人信息、如何从技术手段与管理流程对用户个人信息进行有效防护、如何识别潜在的信息泄露风险点,都已成为网络运营者对个人隐私信息保护的重中之重。
绿盟科技表示,他们现有的网络安全产品和服务,如互联网边界安全设备(防火墙、IPS、WAF)、数据库加密和审计产品、特权操作审计网关、安全风险评估服务、等级保护合规建设咨询服务等,都能够为网络运营者保障用户个人信息提供安全保障能力。公司目前也在投入力量,建立个人信息保护的安全咨询服务方法,协助网络运营者能够更加准确的识别用户个人信息,并建立全面有效的安全保护能力。
违法将遭不同程度处罚
《网络安全法》首次明确了相关单位、人员的信息安全保护义务和违背后的惩罚力度,如果企业或个人触犯了网络安全法,会受到怎样的处罚?
违反《网络安全法》的行为需要承担的法律责任条款,基本为不构成犯罪行为的行政责任。处罚方式具体包括了对个人违法行为的行政处分、罚款、乃至行政拘留等处罚方式;以及对机构违法行为的警告、罚款、责令停业、吊销许可证、吊销营业执照、没收违法所得等处罚方式。
另外,如果违法行为对他人造成损害,须依法承担民事责任;构成违反治安管理行为的,给予治安管理处罚;构成犯罪行为的,依法追究刑事责任。其中针对受到治安管理处罚和刑事处罚的个人还作出了网络安全行业禁业的法律规定。