中国新《网络安全法》及其对商业的影响
2016年11月7日,全国人大常委会正式通过了新的《网络安全法》,并将在2017年6月1日生效。这部新的《网络安全法》表明了中国政府重点构建安全可控的信息技术系统、加强本土技术能力和保卫国家安全的决心和趋势。
在新法实施后,它又将给相关行业和企业带来什么样的影响呢?
适用范围
《网络安全法》适用范围极广,其条款涉及网络产品的安全要求,数据安全和隐私,以及网络内容控制。
新《网络安全法》下,关键信息基础设施运营者将承担极为严厉的义务。并且,新法通过列举的方式给出了关键信息基础设施的最新定义:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”。同时,国家也鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
重点规定
为履行《网络安全法》下的责任,相关公司应当紧密关注以下5个重点要求。
1、个人数据保护
根据现行各项规定,《网络安全法》重新定义了个人数据,并重申了收集、使用和公开个人数据的限制。简言之,任何网络运营者必须在收集和使用任何个人数据之前获得同意,并在允许的范围内收集使用以满足业务要求。网络运营者不得泄露、篡改、毁损其收集的个人信息,但是,经过适当处理隐去姓名的除外。
《网络安全法》下,准确识别企业运行中所持有的个人数据、并实施措施对这些个人数据进行有效保护、识别潜在的信息泄露风险点将成为企业践行个人信息数据保护义务的重中之重。这里的个人数据是指可以用来识别个人身份的信息,包括姓名、出生日期以及身份证号码。
2、关键信息基础设施
关键信息基础设施在《网络安全法》中是一个极为重要的概念,新法也对其提出了额外的保护要求。
a. 数据本地化: 关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的个人信息和其他重要数据应当在境内存储。《网络安全法》并未对“其他重要数据”的定义予以明确。建议企业根据4月11日新公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》,做好数据出境安全评估工作。
b. 国家安全:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
c. 检测评估:关键信息基础设施的运营者应当每年检测和评估其网络安全的稳定性和潜在风险。
基于以上规定,建议企业先进行初步评估以判定自身是否属于关键信息基础设施运营者。企业可以通过用户规模、数据泄露风险、潜在影响以及数据中心规模等几个方面进行评估。
3、网络运营者
网络运营者是指网络的所有者、管理者和网络服务提供者。根据《网络安全法》,网络运营者应当制定内部安全管理制度和操作指引,以明确网络安全责任人员和网络安全责任;同时,网络运营者应当采取技术手段,应对电脑病毒、网络攻击、网络入侵以及其他威胁网络安全的行为;此外,网络运营者还应当对重要数据进行分类、备份和加密以保障数据安全。
4、关键信息的存储
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
5、网络关键设备和网络安全专用产品
网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录。
鉴于大部分企业都信赖信息技术和互联网,网络安全变得至关重要。《网络安全法》要求企业评估他们当前的实践,为防止攻击、数据泄露的准备以及必要情况下的变革。