EN | 中文  

首页 > Insights e-Newsletter > > 中国网络安全及数据保护

视野档案

中国网络安全及数据保护

背景

随着中国新的网络安全法在2017年6月1日生效,在中国的企业将面临为保护关键信息基础建设而变得更严厉的互联网监管。在网络安全法第13条中,关键信息基础建设被广义定义为:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。

有关的重要用语定义出现在网络安全法第76条。

网络安全法第七十六条用语的含义

  1. 网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
  2. 网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
  3. 网络运营者,是指网络的所有者、管理者和网络服务提供者。
  4. 网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
  5. 个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

(2016 网络安全法, 第76条)

由于「网络运营商」一词含义极为广泛,可以包括任何在中国内地运营网站的业务,所以了解新法律是非常重要的。

网络安全法的重要内容

  • 隐私保护:
    • 条例为中国互联网用户提供了很多隐私保护。法律要求网络运营者对其收集的用户信息严格保密,并建立健全用户信息保护制度,以保护用户信息。 网络运营商在收集用户信息时明确列出、方式和范围。网络运营商在收集用户信息前必须取得被收集者的同意,而且不得收集与其提供的服务无关的个人信息。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网路运营商不得非法出售或者非法向他人提供个人信息。

(第40-44条)

  • 网络安全:
    • 新网络安全法实现了分层网络安全系统。网络运营商需要保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。在发现现其网络产品、服务存在安全缺陷、漏洞等风险时,网络运营商需要立即采取补救措施,并在规定或者当事人约定的期限内,不得终止提供安全维护。

(第21及 22条)

    • 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

(第25条)

  • 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

(第35条)

    • 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

(第37条)

    • 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。国家网信部门应当统筹协调有关部门对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。

(第38及39条)

  • 罚则
    • 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。

(Article 64)

    • 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

(第65条)

    • 关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

(第66条)

雷博网络安全服务
为您的业务进行内部审计可以为您提供制定独一无二的网络安全战略所必要的信息,并适应新的法规,为网络安全时代做好准备。在内部审计的过程中会分析公司内部的业务流程、目标、管理体系和风险,以提供中肯有价值的反馈,并建议改善措施。

雷博可以为您的公司提供内部审计,在网络安全领域支持您的公司。

资料来源: http://www.chinalawtranslate.com/cybersecuritylaw/?lang=en

联系我们