《×××網絡安全法》(以下簡稱《網絡安全法》)於2017年6月1日正式實施。《網絡安全法》作爲我國網絡空間安全管理的基本法律,框架性地構建了許多法律制度和要求,重點包括網絡信息內容管理制度、網絡安全等級保護制度、關鍵信息基礎設施安全保護制度、網絡安全審查、個人信息和重要數據保護制度、數據出境安全評估、網絡關鍵設備和網絡安全專用產品安全管理制度、網絡安全事件應對制度等。
爲保障上述制度的有效實施,一方面,以國家互聯網信息辦公室(以下簡稱“網信辦”)爲主的監管部門制定了多項配套法規,進一步細化和明確了各項制度的具體要求、相關主體的職責以及監管部門的監管方式;另一方面,全國信息安全標準化技術委員會(以下簡稱“信安標委”)同時制定並公開了一系列以信息安全技術爲主的重要標準的徵求意見稿,爲網絡運營者提供了非常具有操作性的合規指引。具體講:
01
在互聯網信息內容管理制度方面
網信辦頒佈了《互聯網信息內容管理行政執法程序規定》,並已經針對互聯網新聞信息服務、互聯網論壇社區服務、公衆賬戶信息服務、羣組信息服務、跟帖評論服務等制定了專門的管理規定或規範性文件,以期全方位多層次地保障互聯網信息內容的安全和可控性;
02
在網絡安全等級保護制度方面
信安標委在原有的信息系統安全等級保護制度的基礎之上,發佈了包括《網絡安全等級保護實施指南》、《網絡安全等級保護基本要求》等在內的多項標準文件的徵求意見稿。考慮到現行的《信息安全等級保護管理辦法》已不適用《網絡安全法》的要求,新的《網絡安全等級保護管理辦法》也正在制定中;
03
在關鍵信息基礎設施安全保護制度方面
隨着《關鍵信息基礎設施安全保護條例》、《信息安全技術關鍵信息基礎設施安全檢查評估指南》等徵求意見稿的公佈,關鍵信息基礎設施運營者的安全保護義務得以進一步明確。但是關鍵信息基礎設施的範圍依舊有待制定中的《關鍵信息基礎設施識別指南》進行進一步地明確;
04
在個人信息和重要數據保護制度方面
其核心內容主要包括個人信息收集和使用過程中的安全規範以及個人信息和重要數據出境時的安全評估制度。其中,個人信息權作爲一項民事權利,除網絡安全法以外,在民法總則、侵權責任法和刑法中同樣也建立了相應的保護機制,各行業的特別法律法規對某些特殊的個人信息也提出了特殊的法律要求;
05
在網絡產品和服務的管理制度方面
以安全可控性爲基本要求,網信辦建立了全新的網絡安全審查制度和網絡關鍵設備和網絡安全專用產品目錄管理制度。實踐中,企業在進行網絡產品和服務的合規管理時,同時還應當考慮密碼產品管理制度和公安部的計算機信息系統安全專用產品管理制度;
06
網絡安全事件管理制度本身是
網絡安全等級保護制度中的一部分
爲了加強對重點領域的管理,網信辦、信安標委和行業主管部門等制定了更加針對性的管理要求和指引。
本文以上述各項制度爲類別,對截止目前已經公佈和即將出臺的《網絡安全法》相關的各項戰略、法律法規、規範性文件及標準進行了梳理總結,供大家參考。
附表:《網絡安全法》及其配套法律法規和規範性文件彙總清單
注:上文信息來源上海律協公衆號,並已獲得原創作者授權。