随着网络视频监控技术高速发展,数据安全问题日益凸现,威胁到国家、社会、企业和家庭安全,加强监控系统安全性,已刻不容缓。
近年来,国家相关政府管理部门陆续出台了多项政策法规指导网络监控安全体系建设。
一、《中华人民共和国网络安全法》
《中华人民共和国网络安全法》(简称《网络安全法》)自2017年6月1日起施行,这是中国建立严格的网络治理指导方针的一个重要里程碑。
《网络安全法》由七个章节、79项条款组成,涵盖范围极为广泛。其包含一个全局性的框架,旨在监管网络安全、保护个人隐私和敏感信息,以及维护国家网络空间主权/安全。《网络安全法》与一些最常用的网络安全标准相类似,比如美国国家标准与技术研究所(NIST)的网络安全框架和ISO 27000-27001,主要强调了网络产品、服务、运营、信息安全以及监测、早期诊断、应急响应和报告等方面的要求。在保护数据隐私方面,《网络安全法》与其他国家的数据隐私法律法规亦相近。然而在国家网络空间主权和国家安全方面则有更为特殊的要求。
早在《网络安全法》施行之前,中国已就加强信息安全方面做出了一定努力。例如,2010年出版的白皮书《互联网在中国》,就是中国于互联网使用上的一个早期政策指南。而此次颁布《网络安全法》则标志着中国在打击网络犯罪方面迈入至一个重要里程。
虽然《网络安全法》已经通过并得已施行,但在其使用方面仍存在不确定性。由于部分要求模棱两可、定义也比较宽泛,一些企业担心这将对其在中国的运营产生潜在影响,而另一些企业则担心《网络安全法》会对在中国市场的外国企业造成贸易壁垒。
鉴于此情形以及公众的期待,国家互联网信息办公室(CAC)发布官方指南,对《网络安全法》做进一步解释。例如,2017年4月11日,国家互联网信息办公室发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》,向社会公开征求意见。该征求意见稿为《网络安全法》第37条提供了重要补充,并就中国政府如何管理个人信息和重要数据的境外输出提供了权威见解。
二、《通信网络安全防护管理办法》
2010年初,工业和信息化部发布了《通信网络安全防护管理办法》(以下简称《办法》)。《办法》要求,2010年3月1日起,通信网络运行单位应按照各通信网络单元遭到破坏后可能造成的危害程度,将本单位已正式投入运行的通信网络单元划分为五级。
《办法》指出,通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级。电信管理机构应当组织专家对通信网络单元的分级情况进行评审。通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别,并进行评审。
《办法》要求,通信网络运行单位应当在通信网络定级评审通过后三十日内,将通信网络单元的划分和定级情况按照有关规定向电信管理机构备案。电信管理机构对通信网络运行单位开展通信网络安全防护工作的情况进行检查。
《办法》还指出,对于违反有关规定的通信网络运行单位,由电信管理机构依据职权责令改正;拒不改正的,给予警告,并处五千元以上三万元以下的罚款。
三、《电信和互联网用户个人信息保护规定》
2013年7月16日,工业和信息化部公布了《电信和互联网用户个人信息保护规定》(中华人民共和国工业和信息化部令第24号),并已于2013年9月1日起施行。
出台《规定》,可以进一步完善电信和互联网行业个人信息保护制度。目前,部分电信业务经营者、互联网信息服务提供者对用户个人信息安全重视不够,安全防护措施不完善,管理制度不健全,信息安全责任落实不到位,需要进一步完善用户个人信息保护法律制度,规范电信服务、互联网信息服务过程中收集、使用用户个人信息的活动。
出台《规定》,也是贯彻落实全国人大常委会《关于加强网络信息保护的决定》(以下简称《决定》)的需要。贯彻执行好《决定》有关收集、使用个人信息的制度,需要出台相关配套规定。制定《规定》,进一步明确电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施等,是落实全国人大常委会《决定》规定的制度和措施,切实保护用户合法权益的要求。
《规定》共六章、二十五条,主要规定了如下内容:
(一)电信和互联网用户个人信息的保护范围。《规定》依据全国人大常委会《决定》的有关规定,明确要求保护“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”。
(二)用户个人信息收集和使用原则。《规定》根据全国人大常委会《决定》的规定,要求电信业务经营者、互联网信息服务提供者收集、使用用户个人信息应当遵循合法、正当、必要的原则,并对用户个人信息的安全负责。
(三)用户个人信息收集和使用规则。《规定》要求电信业务经营者、互联网信息服务提供者遵守下列信息收集和使用规则:制定并公布其信息收集和使用的规则;未经用户同意不得收集、使用用户个人信息;明确告知用户其收集、使用信息的目的、方式和范围等事项;不得收集提供服务所必需以外的用户个人信息;在用户终止使用服务后应当停止对用户个人信息的收集和使用,并提供注销号码或账号的服务;不得泄露、篡改、毁损、出售或者非法向他人提供用户个人信息等。
(四)代理商管理。《规定》按照“谁经营、谁负责”、“谁委托、谁负责”的原则,根据民法上的委托代理制度,明确规定由电信业务经营者、互联网信息服务提供者负责对其代理商的个人信息保护工作实施管理。《规定》要求:电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合《规定》有关用户个人信息保护要求的代理人代办相关服务。
(五)安全保障制度。《规定》从岗位责任、管理制度、权限管理、存储介质、信息系统、操作记录、安全防护等方面,明确了电信业务经营者、互联网信息服务提供者应当采取的防止用户个人信息泄露、毁损、篡改或者丢失的措施。与此同时,《规定》对用户个人信息保护情况自查和培训等制度作了相应的规定。
(六)监督检查制度。《规定》要求电信管理机构对用户个人信息保护情况实施监督检查,电信业务经营者、互联网信息服务提供者应当予以配合。《规定》还明确规定电信管理机构在电信业务经营许可和年检中应当审查用户个人信息保护的情况,将电信业务经营者、互联网信息服务提供者违反《规定》的行为记入其社会信用档案。
四、《网络安全等级保护条例》
2018年6月27日,为贯彻落实《中华人民共和国网络安全法》,深入推进实施国家网络安全等级保护制度,经广泛征求意见,反复研究修改,公安部会同有关部门起草了《网络安全等级保护条例(征求意见稿)》。为保障公众知情权和参与权,凝聚各界共识和智慧,提高立法质量,并向社会公开征求意见。而这一新规也被业界普遍称为“网络安全等级保护2.0”。
7月19日,由中国信息安全法律大会专家委员会(以下简称专家委员会)主办,公安部第三研究所承办的《网络安全等级保护条例(征求意见稿)》(以下简称等保条例)研讨会在北京举办。全国人大常委会法工委经济室原副巡视员、专家委员会顾问委员宋燕妮代表专家委员会作会议致辞。她表示,等保制度是我国现行网络安全领域最基本、最重要的制度之一,是保障和促进信息化建设健康发展的有效制度。等保制度在我国推行了十多年,在提升信息系统安全能力方面取得了重要成效,牵头负责的公安机关作出了巨大贡献。与会专家应积极提出反馈建议,推动等保条例尽快完善出台。
全国信息安全标准化专家组组长顾建国指出,我国信息安全首个强制性标准即《计算机信息系统安全保护等级划分准则》于1999年9月13日推出,虽然已呈基本体系,并取得重要成果,但随着云技术、物联网等快速发展,我国网络安全保护需要在深度、广度、策略、保护手段和法律法规五个方面更完善。由此,网络安全等级保护2.0呼之欲出。
顾建国介绍说,第一,新规明确将网络安全等级保护为对外统一称呼。第二,网络安全等级保护扩展到云计算、大数据、物联网、移动互联网以及公共新领域,并增加了风险、评估、安全监测、通报预警、考核评价、应急处置,还涉及对供应链的要求,可信可控态势感知等方面。第三,强调落实主体责任。第四,新技术标准适应性更强。今年还将颁布四个云安全保护标准和六个网络等级保护标准,涵盖网络安全等级保护基本要求、测评要求、设计要求、测评过程指南,管理中心技术要求以及评估规范。这一系列新规最快本月颁布,最迟下月。第五,法律保障更加健全完善。
作为《网络安全法》的重要配套法规,《保护条例》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求,为开展等级保护工作提供了重要的法律支撑。
(一)条例适用范围
《保护条例》的适用范围扩大。在147号令适用范围为:重点维护国家事务、 经济建设、国防建设、尖端科学技术等重要领域的计算机信息系 统的安全。中华人民共和国境内的计算机信息系统的安全保护,适用本条例。未联网的微型计算机的安全保护办法,另行制定。 而在新的条例范围扩大,境内建设、运营、维护、使用网络的单位原则上都要在等保的使用范围,而这意味着所有网络运营者都要对相关网络开展等保工作。
(二)监管部门
《保护条例》确立了各部门统筹协作、分工负责的监管机制,所涉及的监管部门包括中央网络安全和信息化领导机构、国家网信部门、国务院公安部门、国家保密行政管理部门、国家密码管理部门、国务院其他相关部门、以及县级以上地方人民政府有关部门等。
微信扫描二维码,关注公众号。
