网络安全入门第一课之遵纪守法
一、网安相关法律背景介绍
目前网络安全相关的主要法律有三部:《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》。
网络安全法
《中华人民共和国网络安全法》是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定的法规。
2017年6月1日起《中华人民共和国网络安全法》(下文简称《网络安全法》)正式实施,从宏观的层面来讲,这意味着网络安全同国土安全、经济安全等一样成为国家安全的一个重要组成部分;从微观层面来讲,意味着网络运营者(指网络的所有者、管理者和网络服务提供者)必须担负起履行网络安全的责任。
《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,并对“网络(Cyber)”进行了重新定义,是指“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”,其涵义外延更大。既然作为基本法,与之前看到的各部门规章有着本质区别,它明确提出不履行相应的责任与义务,都将会受到法律的处罚。处罚也从不同角度进行了细化和明确,特别是会对主管人员或直接负责人员进行处罚,构成犯罪的会依法追究刑事责任。
数据安全法
《中华人民共和国数据安全法》经十三届全国人大常委会第二十九次会议表决通过,于2021年9月1日起正式施行。
作为我国关于数据安全的首部律法,受到了社会各界人士的广泛关注。自2020年6月28日以来,《数据安全法》经历了三次审议与修改,确定将于2021年9月1日正式施行,标志我国在数据安全领域有法可依,为各行业数据安全提供监管依据。
随着《数据安全法》的出台,我国在网络与信息安全领域的法律法规体系得到了进一步的完善。按照总体国家安全观的要求,《数据安全法》明确数据安全主管机构的监管职责,建立健全数据安全协同治理体系,提高数据安全保障能力,促进数据出境安全和自由流动,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,让数据安全有法可依、有章可循,为数字化经济的安全健康发展提供了有力支撑。
个人信息保护法
2020年10月21日,《中华人民共和国个人信息保护法(草案)》正式公开,向全社会公开征求意见。
2021年4月26日,第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息保护法(草案二次审议稿)》进行了审议。
2021年8月20日,第十三届全国人大常委会第三十次会议审议通过《中华人民共和国个人信息保护法》,并将于2021年11月1日起施行。
《中华人民共和国个人信息保护法》厘清了个人信息、敏感个人信息、自动化决策、去标识化、匿名化的基本概念,从适用范围、个人信息处理的基本原则、处理规则、跨境传输规则等多个方面对个人信息保护进行了全面规定,个人信息保护领域各主体的行为从此也有了更明确的法律依据。
二、网络安全管理趋势
网络安全法
近几年,我国网络安全形势发生了非常大的变化,我国是名副其实的网络大国,网民人数全球第一,网络创新活跃,越来越多的业务都在互联网化,网络已融入经济社会生活的各个方面。但同时,我国也是网络安全事件的重灾区,网络攻击活动日渐频繁,个人信息泄露事件频发。因此《网络安全法》的出台,对于我们每个网络服务的提供者、网民都有非常积极的帮助。接下来我们重点对《网络安全法》的重点章节和相关条款进行剖析。
1.《网络安全法》“不止于此”。网络安全法是我国在网络安全管理方面的基本法,后续还有一系列细则,需根据企业自身所在行业整体实施,整体来看国家对于网络安全的管理会加大力度。
2.信息安全向网络安全转变。很多企业往往只关注的信息安全或者说内容的安全性,缺乏对于网络安全的关注,虽说二者有一定的交集,但在范围、管理模式、技术手段上有着较大差异。
3.强调个人信息及隐私的保护。《网络安全法》实施后,将规范个人信息的收集和使用,让企业的关注点应从单纯的“数据安全”延展至影响范围更广的“个人隐私保护”。
4.违法处罚更加严格。对于网络运营者拒不履行安全的责任,明确处罚措施,包括暂停业务活动、严重的违法行为将导致停业整顿或吊销执照、处罚金额最高可至100万元、对于直接负责人进行罚款等。
数据安全法
近年来,公民个人信息、隐私的泄露、盗用事件时有发生,倒卖个人信息和随之而来的疯狂推销令人反感,利用个人信息的诈骗,更令人防不胜防。而涉及水文地理、金融经济、基因生物数据的信息泄露,还可能对国家安全造成威胁。
在网络经济数据爆炸时代,数据已被越来越多的人视为一种资产,并已列为继土地、劳动力、资本、技术之后的第五大生产要素。数据的安全也越来越多地受到政府和民众的重视,《数据安全法》的诞生恰逢其时。
个人信息保护法
随着信息化与经济社会持续深度融合,网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。截至2020年12月,我国互联网用户已达9.89亿,互联网网站超过443万个、应用程序数量超过345万个,个人信息的收集、使用更为广泛。
虽然近年来我国个人信息保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。从2020年中信银行泄露脱口秀演员池子个人信息案件以及各大平台的“大数据杀熟”、今年“3·15”爆出的各种个人隐私泄露事件,似乎在告诉我们一个不大愿意相信但确实已经存在了的事实:经营者在数字技术上应用的更加专业、纯熟,消费者就越发的处于弱势地位,个人隐私已成为经营者手中用于交换利益的廉价或免费的筹码。
为进一步加强个人信息保护法制保障、维护网络空间良好生态、促进数字经济健康发展,制定本法。
三、《网络安全法》解读
网络运行基本安全要求
涉及行业: 事业单位 国企 传媒 金融 电商 游戏 社交网站 ……
《网络安全法》第二十一条规定:
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
\1. 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
\2. 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
\3. 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
\4. 采取数据分类、重要数据备份和加密等措施;
\5. 法律、行政法规规定的其他义务。
条款解读:
本条款提到的网络安全等级保护制度是公安部运营多年的信息系统安全等级保护制度,网络安全法的出台也加强了对等保执行力度的要求,不做等保就属于违法行为了。
\1. 安全管理:网络运营者需在企业内部明确网络安全的责任,并通过完善的规章制度、操作流程为网络安全提供制度保障;
\2. 技术层面:网络运营者应采取各种事前预防、事中响应、事后跟进的技术手段,应对网络攻击,降低网络安全的风险。值得注意的是,网络日志的保存期限已明确要求不低于六个月;
\3. 数据安全方面:网络运营者需对重要数据进行备份、加密,以此来保障数据的可用性、保密性。
如何根据自身实际情况建立有效的安全管理体系、如何在技术层面选择合理的技术解决方案、如何加强自身的数据保护能力,都将成为网络运营者所重点关注的问题。
处罚:拒不执行本条款要求或因此导致危害网络安全后果的网络运营者,处一万以上十万以下罚款,对于直接负责的主管人员处以5000元以上5万元以下罚款。
应急预案与响应要求
涉及行业: 事业单位 国企 传媒 金融 电商 游戏 社交网站 ……
《网络安全法》第二十五条规定:
网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
解读:
本条款的提出也是完善安全技术体系非常重要的一环,而响应能力的建设是当前网络运营者普遍存在的弱点。
整体缺乏事件危害评估、应急预案、处置措施、上报流程等一系列的规范,或者说有规范但在出现网络安全事件的时候,发现应急预案根本没办法起到作用。
在公共云或者可运营的政务云上,有着完整的安全运营体系,当发生大规模网络安全事件时,安全运营团队会第一时间处理相关问题。或者使用云盾管家服务,针对网络运营者的业务制定应急预案和定期演练。
处罚:拒不执行本条款要求或因此导致危害网络安全后果的网络运营者,处一万以上十万以下罚款,对于直接负责的主管人员处以5000元以上5万元以下罚款。
政务安全治理
涉及行业: 政府机构 事业单位 公共服务职能部门 ……
《网络安全法》第三十四条规定:
除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
\1. 设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
\2. 定期对从业人员进行网络安全教育、技术培训和技能考核;
\3. 对重要系统和数据库进行容灾备份;
\4. 制定网络安全事件应急预案,并定期进行演练;
\5. 法律、行政法规规定的其他义务。
解读:
关键基础设施的安全隐患具有很大的破坏性和杀伤力,《网络安全法》在关键信息基础设施的运行安全、建立网络安全监测预警与应急处置制度等方面都作出了明确规定。
处罚:不履行本法相关条款的网络安全保护义务的,拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
个人信息保护
涉及行业: 事业单位 通信 传媒 金融 医疗 电商 游戏 ……
《网络安全法》第四十一、四十二、四十三条规定:
第四十一条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十三条:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
解读:
从这三条条款中可以看出,《网络安全法》聚焦个人信息泄露,明确网络产品服务提供者、运营者的责任。严厉打击出售贩卖个人信息的行为,对保护公众个人信息安全将起到积极作用。
除严防个人信息泄露,《网络安全法》针对层出不穷的新型网络诈骗犯罪还规定:任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布与实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
处罚:违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
等保测评
涉及行业: 政府机构 事业单位 传媒 金融 公共服务职能部门 ……
《网络安全法》第三十八条规定:
关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门
解读:
明确了关键基础设施单位,需要每年对其网络的安全性和可能存在的风险至少进行一次检测评估,等级保护测评至少从技术上可以满足这个要求,等级保护测评就是对单位重要信息系统做的一个安全检测评估。
处罚:不履行本条款的网络安全保护义务,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
新规修改
2022年9月12日,国家互联网信息办公室发布关于修改《中华人民共和国网络安全法》的决定(征求意见稿),意见反馈截止时间为2022年9月29日
一、将第五十九条、第六十条、第六十一条、第六十二条修改为:“违反本法第二十一条、第二十二条第一款和第二款、第二十三条、第二十四条第一款、第二十五条、第二十六条、第二十八条、第三十三条、第三十四条、第三十六条、第三十八条规定的网络运行安全保护义务或者导致危害网络运行安全等后果的,由有关主管部门责令改正,给予警告、通报批评;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节特别严重的,由省级以上有关主管部门责令改正,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”
二、将第六十三条、第六十七条修改为:“违反本法第二十七条、第四十六条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,或者设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。
单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。”
三、将第六十四条修改为:“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十四条规定,侵害个人信息依法得到保护的权利的,依照有关法律、行政法规的规定处罚。”
四、将第六十五条修改为:“关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下或者上一年度营业额百分之五以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
将第六十六条修改为:“关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,依照有关法律、行政法规的规定处罚。”
五、将第六十八条、第六十九条修改为:“违反本法第四十七条、第四十八条、第四十九条规定的网络信息安全保护义务,或者不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的,或者不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施的,由有关主管部门责令改正,给予警告、通报批评,没收违法所得;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
情节特别严重的,由省级以上有关主管部门责令改正,没收违法所得,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”
六、将第七十条修改为:“发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。
法律、行政法规没有规定的,由有关主管部门责令改正,给予警告、通报批评,没收违法所得;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
情节特别严重的,由省级以上有关主管部门责令改正,没收违法所得,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。"
四、《数据安全法》解读
适用范围
在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
数据安全制度
数据分类分级保护制度:
根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
数据安全风险评估预警机制:
国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
数据安全应急处置机制:
发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
出口管制:
对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
贸易措施:
任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
数据违法处罚规定
《数据安全法》第四十四条规定:
有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。
行为表现:
发现数据处理活动存在较大安全风险情况;
法律责任:
按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。
《数据安全法》第四十五条规定:
开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
行为表现:
开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定;
法律责任:
由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;
拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
《数据安全法》第四十六条规定:
违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
行为表现:
向境外提供重要数据(违反第31条规定)
法律责任:
由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;
情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款
《数据安全法》第四十七条规定:
从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
行为表现:
数据交易中介服务的机构未履行数据来源、身份核查、数据保留义务(违反第33条规定)
法律责任:
由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
《数据安全法》第四十八条规定:
违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
行为表现:
拒不配合数据调取(违反第35条规定)。
法律责任:
由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
行为表现:
未经主管机关批准向外国司法或者执法机构提供数据(违反第36条规定)。
法律责任:
由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
《数据安全法》第四十九条规定:
国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。
行为表现:
国家机关不履行本法规定的数据安全保护义务。
法律责任:
对直接负责的主管人员和其他直接责任人员依法给予处分。
《数据安全法》第五十条规定:
第五十条 履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。
行为表现:
履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的。
法律责任:
依法给予处分。
《数据安全法》第五十一条规定:
窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。
行为表现:
窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益
法律责任:
依照有关法律、行政法规的规定处罚
《数据安全法》第五十二条规定:
违反本法规定,给他人造成损害的,依法承担民事责任。
行为表现:
违反本法规定,给他人造成损害
法律责任:
依法承担民事责任。
《数据安全法》法规规定:
行为表现:
违反本法规定,构成违反治安管理行为。
法律责任
依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
五、《个人信息保护法》解读
术语界定
个人信息:是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理:包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
敏感个人信息:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
范围界定
境内:组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。
境外:在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
以向境内自然人提供产品或者服务为目的;
分析、评估境内自然人的行为;
法律、行政法规规定的其他情形。
另:境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
个人信息处理规则
确立个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。(第五条至第九条)
确立以“告知-同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。考虑到经济社会生活的复杂性和个人信息处理的不同情况,本法还对基于个人同意以外合法处理个人信息的情形作了规定。(第十三条至第十九条)
根据个人信息处理的不同环节、不同个人信息种类,对个人信息的共同处理、委托处理、向第三方提供、公开、用于自动化决策、处理已公开的个人信息等提出有针对性的要求。(第二十一条至第二十七条)
设专节对处理敏感个人信息作出更严格的限制,只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。(第二十八条至第三十二条)
设专节规定国家机关处理个人信息的规则,在保障国家机关依法履行职责的同时,要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。(第三十三条至第三十七条)
个人信息跨境提供规则
明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。(第三十八条、第四十条)
对跨境提供个人信息的 “告知-同意”作出更严格的要求。(第三十九条,应告知接收方详细信息,并取得单独同意)
未经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。(第四十一条)
对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,规定了可以采取的相应措施。(第四十二条、第四十三条,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。)
个人信息处理活动中个人的权利和处理者义务
与民法典的有关规定相衔接,明确在个人信息处理活动中个人的各项权利,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。(第四十四条至第五十条)
明确个人信息处理者的合规管理和保障个人信息安全等义务(第五十一条至第五十六条)
- 按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督;
- 定期对其个人信息活动进行合规审计;
- 对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;
- 履行个人信息泄露通知和补救义务等。
明确提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的义务(第五十七条)
- 建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;
- 遵循公开、公平、公正的原则,明确处理个人信息的规范和保护个人信息的义务;
- 对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
- 定期发布个人信息保护社会责任报告,接受社会监督。
履行个人信息保护职责的部门
个人信息保护职责部门的定义。(第六十条)
- 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。
- 国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
- 县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
明确个人信息保护部门的职责。(第六十一条、第六十二条)
个人信息保护部门可以采用的措施,包括询问、查阅、复制资料、现场检查、检查设备及物品、查封或者扣押、约谈主要负责人、进行合规审计等。(第六十三条、第六十四条)
对个人信息违法活动的投诉、举报及处置进行规定。(第六十五条)
法律责任
违反规定。(第六十六条)
- 责令改正,给予警告,没收违法所得;
- 拒不改正的,并处一百万元以下罚款;
- 相关责任人:一万元以上十万元以下罚款;
情节严重。(第六十六条)
- 责令改正,没收违法所得;
- 五千万元以下或者上一年度营业额百分之五以下罚款;
- 责令暂停相关业务、停业整顿、吊销相关业务许可或者吊销营业执照;
- 相关责任人:十万元以上一百万元以下罚款;
存在违法行为的依照有关规定记入信用档案,并予以公示。(第六十七条)
国家机关不履行保护义务的处罚进行规定。(第六十八条)
个人信息侵权行为的归责原则为过错推定。(第六十九条)
个人信息主体可以对侵权行为发起集体诉讼。(第七十条)
与治安管理、刑法相衔接。(第七十一条)
新技术新引用
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
公共场所摄像头
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
六、如何正确使用网络
公民身份
公民应当:遵守宪法法律、遵守公共秩序、尊重社会公德;
不能危害网络安全
不能为危害网络安全的活动提供工具及帮助
不能危害国家安全、荣誉和利益
不能煽动颠覆国家政权、推翻社会主义制度
不能煽动分裂国家、破坏国家统一
不能宣扬恐怖主义、极端主义
不能宣扬民族仇恨、民族歧视
不能传播暴力、淫秽色情信息
不能编造、传播虚假信息扰乱经济秩序和社会秩序
不能侵害他人名誉、隐私、知识产权
网络运营者身份
网络运营者应当:遵守法律法规、尊重社会公德、遵守商业道德;
履行网络安全保护义务,接受政府和社会的监督
按照网络安全等级保护制度的要求,保障网络免受干扰、破坏,防止数据泄露
签订协议或确认提供服务,应要求用户实名制
建立健全用户信息保护制度,严禁泄露
建立网络信息安全投诉、举报制度,并及时处理
为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供支持和协助
配合网信等部门的监督检查制定应急预案,及时处置风险;发生危害后,采取补救措施,向主管部门报告
网络产品、服务提供者身份
网络产品、服务提供者应当:防范网络违法犯罪活动维护数据的完整性、保密性和可用性
网络产品、服务要符合国家标准的强制性要求
决不能设置恶意程序
发现缺陷、漏洞,立即补救,及时告知用户并向主管部门报告
为产品、服务持续提供安全维护
若网络产品、服务具有收集用户信息功能,应向用户明示并取得同意
遵守网络安全法和有关法律法规关于个人信息保护的规定
PS:本文非原创,纯粹是法律法规太多了,不太想写
本文来自博客园,作者:夜未至,转载请注明原文链接:https://www.cnblogs.com/wushiyiwuzhong/p/17806436.html
浙公网安备 33010602011771号