網(wǎng)絡(luò)安全法實(shí)行在即,金融行業(yè)如何踐行?
一、前言
近年,隨著網(wǎng)絡(luò)安全形勢(shì)的日趨嚴(yán)峻,網(wǎng)絡(luò)安全也逐步上升到國(guó)家層面,十二屆全國(guó)人大常委會(huì)第二十四次會(huì)議表決通過(guò)了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》),宣告了我國(guó)網(wǎng)絡(luò)安全領(lǐng)域第一部基礎(chǔ)性、框架性法律正式出臺(tái)。《網(wǎng)絡(luò)安全法》在網(wǎng)絡(luò)空間主權(quán)、國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)運(yùn)營(yíng)者、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者義務(wù)、保障網(wǎng)絡(luò)信息安全,個(gè)人信息保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施重要數(shù)據(jù)跨境傳輸、監(jiān)測(cè)預(yù)警與應(yīng)急處置等方面做出明確規(guī)定。尤其需要注意的是,《網(wǎng)絡(luò)安全法》特別強(qiáng)調(diào)了“關(guān)鍵信息基礎(chǔ)設(shè)施”的概念,明確要求對(duì)信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù),要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者承擔(dān)更進(jìn)一步的保護(hù)義務(wù)。
近年來(lái)銀行業(yè)金融機(jī)構(gòu)是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū),尤其信息泄漏、黑客攻擊呈高發(fā)態(tài)勢(shì),如影響全球金融業(yè)的“SWIFT驚天銀行大劫案”、震驚全國(guó)的銀行行長(zhǎng)出售征信查詢賬號(hào)導(dǎo)致大量個(gè)人信息泄漏的“5·26侵犯公民個(gè)人信息案”等等,銀行業(yè)及金融機(jī)構(gòu)的網(wǎng)絡(luò)安全態(tài)勢(shì)非常嚴(yán)峻?!毒W(wǎng)絡(luò)安全法》中明確指出銀行業(yè)及金融機(jī)構(gòu)是關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者,一方面,突出了金融行業(yè)的戰(zhàn)略地位和價(jià)值,另一方面,也明確了銀行業(yè)金融機(jī)構(gòu)做好自身網(wǎng)絡(luò)安全工作的義務(wù)和責(zé)任。金融行業(yè)需要依據(jù)《網(wǎng)絡(luò)安全法》的法律要求進(jìn)行落地實(shí)施,有效提高金融行業(yè)整體的網(wǎng)絡(luò)安全保護(hù)水平。
《網(wǎng)絡(luò)安全法》對(duì)于加強(qiáng)互聯(lián)網(wǎng)和網(wǎng)絡(luò)安全方面的法律約束具有重要意義,對(duì)金融機(jī)構(gòu)提出新的網(wǎng)絡(luò)安全工作思路和要求。本文從安全法的總則至法律責(zé)任六個(gè)章節(jié)的重點(diǎn)條款解讀銀行業(yè)金融機(jī)構(gòu)開展網(wǎng)絡(luò)安全工作的方向和思路。
二、網(wǎng)絡(luò)安全法“總則”遵守解讀
重點(diǎn)法律條款:
第二條 在中華人民共和國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)和使用網(wǎng)絡(luò),以及網(wǎng)絡(luò)安全的監(jiān)督管理,適用本法。
第八條 國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。國(guó)務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作。
縣級(jí)以上地方人民政府有關(guān)部門的網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理職責(zé),按照國(guó)家有關(guān)規(guī)定確定。
第九條 網(wǎng)絡(luò)運(yùn)營(yíng)者開展經(jīng)營(yíng)和服務(wù)活動(dòng),必須遵守法律、行政法規(guī),尊重社會(huì)公德,遵守商業(yè)道德,誠(chéng)實(shí)信用,履行網(wǎng)絡(luò)安全保護(hù)義務(wù),接受政府和社會(huì)的監(jiān)督,承擔(dān)社會(huì)責(zé)任。
第十條 建設(shè)、運(yùn)營(yíng)網(wǎng)絡(luò)或者通過(guò)網(wǎng)絡(luò)提供服務(wù),應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,采取技術(shù)措施和其他必要措施,保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行,有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件,防范網(wǎng)絡(luò)違法犯罪活動(dòng),維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。
第十一條 網(wǎng)絡(luò)相關(guān)行業(yè)組織按照章程,加強(qiáng)行業(yè)自律,制定網(wǎng)絡(luò)安全行為規(guī)范,指導(dǎo)會(huì)員加強(qiáng)網(wǎng)絡(luò)安全保護(hù),提高網(wǎng)絡(luò)安全保護(hù)水平,促進(jìn)行業(yè)健康發(fā)展。
第十二條 國(guó)家保護(hù)公民、法人和其他組織依法使用網(wǎng)絡(luò)的權(quán)利,促進(jìn)網(wǎng)絡(luò)接入普及,提升網(wǎng)絡(luò)服務(wù)水平,為社會(huì)提供安全、便利的網(wǎng)絡(luò)服務(wù),保障網(wǎng)絡(luò)信息依法有序自由流動(dòng)。
任何個(gè)人和組織使用網(wǎng)絡(luò)應(yīng)當(dāng)遵守憲法法律,遵守公共秩序,尊重社會(huì)公德,不得危害網(wǎng)絡(luò)安全,不得利用網(wǎng)絡(luò)從事危害國(guó)家安全、榮譽(yù)和利益,煽動(dòng)顛覆國(guó)家政權(quán)、推翻社會(huì)主義制度,煽動(dòng)分裂國(guó)家、破壞國(guó)家統(tǒng)一,宣揚(yáng)恐怖主義、極端主義,宣揚(yáng)民族仇恨、民族歧視,傳播暴力、淫穢色情信息,編造、傳播虛假信息擾亂經(jīng)濟(jì)秩序和社會(huì)秩序,以及侵害他人名譽(yù)、隱私、知識(shí)產(chǎn)權(quán)和其他合法權(quán)益等活動(dòng)。
第十四條 任何個(gè)人和組織有權(quán)對(duì)危害網(wǎng)絡(luò)安全的行為向網(wǎng)信、電信、公安等部門舉報(bào)。收到舉報(bào)的部門應(yīng)當(dāng)及時(shí)依法作出處理;不屬于本部門職責(zé)的,應(yīng)當(dāng)及時(shí)移送有權(quán)處理的部門。
有關(guān)部門應(yīng)當(dāng)對(duì)舉報(bào)人的相關(guān)信息予以保密,保護(hù)舉報(bào)人的合法權(quán)益。
解讀
《網(wǎng)絡(luò)安全法》雖然提出的是境內(nèi)管轄,但網(wǎng)絡(luò)通信一般是沒(méi)有國(guó)境的,因此存在跨境業(yè)務(wù)的銀行業(yè)金融機(jī)構(gòu)需要優(yōu)化網(wǎng)絡(luò)安全內(nèi)部管理,保證跨境業(yè)務(wù)同時(shí)滿足國(guó)外、國(guó)內(nèi)的雙重監(jiān)管。特別在通信內(nèi)容領(lǐng)域,需要審慎分析信息在境內(nèi)和境外的采集、使用和存儲(chǔ)的合法性。
在網(wǎng)絡(luò)安全管理的遵從性方面,銀行業(yè)金融機(jī)構(gòu)應(yīng)全面落實(shí)《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》【JR/T 0071—2012】的同時(shí),還需進(jìn)一步關(guān)注中央網(wǎng)信辦、銀監(jiān)會(huì)、央行和當(dāng)?shù)卣雠_(tái)的網(wǎng)絡(luò)空間安全的治理規(guī)范,將其有效融合進(jìn)內(nèi)部管理中。
銀行業(yè)金融機(jī)構(gòu)是國(guó)家的經(jīng)濟(jì)中樞,承擔(dān)著維護(hù)國(guó)家網(wǎng)絡(luò)安全的重任,應(yīng)當(dāng)保證已方的網(wǎng)絡(luò)空間內(nèi)資源利用、輿情傳播是正確的。這一方面要通過(guò)技術(shù)方法過(guò)濾,另一方面也要通過(guò)思想和道德教育來(lái)引導(dǎo)。
銀行業(yè)金融機(jī)構(gòu)也是網(wǎng)絡(luò)攻擊的最大利益誘惑區(qū),我們應(yīng)當(dāng)與網(wǎng)信、電信、公安等部門協(xié)同探討并標(biāo)準(zhǔn)化“己方網(wǎng)絡(luò)攻擊事件的報(bào)告、調(diào)查和取證”方法論和機(jī)制,維護(hù)國(guó)家網(wǎng)絡(luò)安全。
三、網(wǎng)絡(luò)安全法“網(wǎng)絡(luò)安全支持與促進(jìn)”遵守解讀
重點(diǎn)法律條款
第十五條 國(guó)家建立和完善網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系。國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門和國(guó)務(wù)院其他有關(guān)部門根據(jù)各自的職責(zé),組織制定并適時(shí)修訂有關(guān)網(wǎng)絡(luò)安全管理以及網(wǎng)絡(luò)產(chǎn)品、服務(wù)和運(yùn)行安全的國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。
國(guó)家支持企業(yè)、研究機(jī)構(gòu)、高等學(xué)校、網(wǎng)絡(luò)相關(guān)行業(yè)組織參與網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的制定。
第十七條 國(guó)家推進(jìn)網(wǎng)絡(luò)安全社會(huì)化服務(wù)體系建設(shè),鼓勵(lì)有關(guān)企業(yè)、機(jī)構(gòu)開展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)和風(fēng)險(xiǎn)評(píng)估等安全服務(wù)。
第十八條 國(guó)家鼓勵(lì)開發(fā)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)和利用技術(shù),促進(jìn)公共數(shù)據(jù)資源開放,推動(dòng)技術(shù)創(chuàng)新和經(jīng)濟(jì)社會(huì)發(fā)展。
國(guó)家支持創(chuàng)新網(wǎng)絡(luò)安全管理方式,運(yùn)用網(wǎng)絡(luò)新技術(shù),提升網(wǎng)絡(luò)安全保護(hù)水平。
第十九條 各級(jí)人民政府及其有關(guān)部門應(yīng)當(dāng)組織開展經(jīng)常性的網(wǎng)絡(luò)安全宣傳教育,并指導(dǎo)、督促有關(guān)單位做好網(wǎng)絡(luò)安全宣傳教育工作。
大眾傳播媒介應(yīng)當(dāng)有針對(duì)性地面向社會(huì)進(jìn)行網(wǎng)絡(luò)安全宣傳教育。
解讀
《網(wǎng)絡(luò)安全法》要求行政主管部門(例如工信部、網(wǎng)信辦、銀監(jiān)會(huì)等)出臺(tái)更多、甚至更具操作性的網(wǎng)絡(luò)安全管理、技術(shù)活產(chǎn)品方面標(biāo)準(zhǔn)和指南。銀行業(yè)金融機(jī)構(gòu)的內(nèi)部安全部門應(yīng)當(dāng)保持跟蹤網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的發(fā)展,適時(shí)調(diào)整網(wǎng)絡(luò)安全管理策略。國(guó)家新成立的“網(wǎng)絡(luò)安全審查委員會(huì)”發(fā)布的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(征求意見稿)》即是我們采購(gòu)網(wǎng)絡(luò)安全產(chǎn)品的指導(dǎo)性意見。
《網(wǎng)絡(luò)安全法》將促進(jìn)我國(guó)社會(huì)化網(wǎng)絡(luò)安全服務(wù)能力的提升,這對(duì)銀行業(yè)金融機(jī)構(gòu)是一福音,我們將有更多可選的安全外包商。關(guān)于公共數(shù)據(jù)資源開放,我們需要結(jié)合互聯(lián)網(wǎng)金融的新生態(tài),依據(jù)個(gè)人信息、商業(yè)秘密保護(hù)的相關(guān)法規(guī)和標(biāo)準(zhǔn),評(píng)估可能的大數(shù)據(jù)資源開放方案。關(guān)于網(wǎng)絡(luò)安全的宣傳教育工作,我們應(yīng)當(dāng)承擔(dān)更多的社會(huì)責(zé)任,在金融防詐騙、互聯(lián)網(wǎng)消費(fèi)、理財(cái)、電子交易等方面主動(dòng)向用戶推送安全常識(shí)。
四、網(wǎng)絡(luò)安全法“網(wǎng)絡(luò)運(yùn)行安全”遵守解讀
重點(diǎn)法律條款
第二十一條 國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄漏或者被竊取、篡改:
(一)制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;
(二)采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;
(三)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月;
(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;
(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。
第二十二條 網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序;發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。
網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當(dāng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護(hù);在規(guī)定或者當(dāng)事人約定的期限內(nèi),不得終止提供安全維護(hù)。
網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的,其提供者應(yīng)當(dāng)向用戶明示并取得同意;涉及用戶個(gè)人信息的,還應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定。
第二十三條 網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后,方可銷售或者提供。國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,并推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn),避免重復(fù)認(rèn)證、檢測(cè)。
第二十四條 網(wǎng)絡(luò)運(yùn)營(yíng)者為用戶辦理網(wǎng)絡(luò)接入、域名注冊(cè)服務(wù),辦理固定電話、移動(dòng)電話等入網(wǎng)手續(xù),或者為用戶提供信息發(fā)布、即時(shí)通訊等服務(wù),在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時(shí),應(yīng)當(dāng)要求用戶提供真實(shí)身份信息。用戶不提供真實(shí)身份信息的,網(wǎng)絡(luò)運(yùn)營(yíng)者不得為其提供相關(guān)服務(wù)。
國(guó)家實(shí)施網(wǎng)絡(luò)可信身份戰(zhàn)略,支持研究開發(fā)安全、方便的電子身份認(rèn)證技術(shù),推動(dòng)不同電子身份認(rèn)證之間的互認(rèn)。
第二十五條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn);在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí),立即啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)的補(bǔ)救措施,并按照規(guī)定向有關(guān)主管部門報(bào)告。
第二十六條 開展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng),向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息,應(yīng)當(dāng)遵守國(guó)家有關(guān)規(guī)定。
第二十七條 任何個(gè)人和組織不得從事非法侵入他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動(dòng);不得提供專門用于從事侵入網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能及防護(hù)措施、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全活動(dòng)的程序、工具;明知他人從事危害網(wǎng)絡(luò)安全的活動(dòng)的,不得為其提供技術(shù)支持、廣告推廣、支付結(jié)算等幫助。
第二十八條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)為公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)依法維護(hù)國(guó)家安全和偵查犯罪的活動(dòng)提供技術(shù)支持和協(xié)助。
第二十九條 國(guó)家支持網(wǎng)絡(luò)運(yùn)營(yíng)者之間在網(wǎng)絡(luò)安全信息收集、分析、通報(bào)和應(yīng)急處置等方面進(jìn)行合作,提高網(wǎng)絡(luò)運(yùn)營(yíng)者的安全保障能力。
有關(guān)行業(yè)組織建立健全本行業(yè)的網(wǎng)絡(luò)安全保護(hù)規(guī)范和協(xié)作機(jī)制,加強(qiáng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的分析評(píng)估,定期向會(huì)員進(jìn)行風(fēng)險(xiǎn)警示,支持、協(xié)助會(huì)員應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
第三十三條 建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能,并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。
第三十四條 除本法第二十一條的規(guī)定外,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù):
(一)設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人,并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查;
(二)定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核;
(三)對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份;
(四)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期進(jìn)行演練;
(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。
第三十五條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國(guó)家安全的,應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的國(guó)家安全審查。
第三十七條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。
第三十八條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估,并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。
第三十九條 國(guó)家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)采取下列措施:
(一)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)進(jìn)行抽查檢測(cè),提出改進(jìn)措施,必要時(shí)可以委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估;
(二)定期組織關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者進(jìn)行網(wǎng)絡(luò)安全應(yīng)急演練,提高應(yīng)對(duì)網(wǎng)絡(luò)安全事件的水平和協(xié)同配合能力;
(三)促進(jìn)有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享;
(四)對(duì)網(wǎng)絡(luò)安全事件的應(yīng)急處置與網(wǎng)絡(luò)功能的恢復(fù)等,提供技術(shù)支持和協(xié)助。
解讀
《網(wǎng)絡(luò)安全法》把“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”從行政指令上升到法律高度,銀行業(yè)金融機(jī)構(gòu)全面識(shí)別、評(píng)測(cè)、備案內(nèi)部信息系統(tǒng)的安全等級(jí)是不容商議的。在具體實(shí)施等級(jí)保護(hù)制度時(shí),需要參照?qǐng)?zhí)行人民銀行發(fā)布的《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》【JR/T 0071—2012】,同時(shí)關(guān)注未來(lái)中央網(wǎng)信辦和銀監(jiān)會(huì)具體如何劃分和確定網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的文件和通知要求。
第二十一條規(guī)定的網(wǎng)絡(luò)安全管理必須包含的要素有:明確的管理組織和責(zé)任人,體系化的制度,組合性的技術(shù)手段,操作與事件的記錄保存期限,以及敏感數(shù)據(jù)的分類保護(hù)。我們應(yīng)當(dāng)在已有的信息安全管理體系基礎(chǔ)上,識(shí)別仍然不能形成有效管理的方面,分項(xiàng)實(shí)施建設(shè)以達(dá)到安全管理的完備性,不留短板。在具體管理運(yùn)行上,網(wǎng)絡(luò)狀態(tài)記錄和事件處理記錄的保存期限在至少6個(gè)月的基礎(chǔ)上,應(yīng)按照系統(tǒng)的等保級(jí)別設(shè)置,某些重要記錄可能需要長(zhǎng)期保存;在敏感數(shù)據(jù)的保護(hù)上,不僅需要按數(shù)據(jù)功能、特征分類,更需要分級(jí)別保護(hù)。
第二十二、二十三條規(guī)定了網(wǎng)絡(luò)產(chǎn)品和服務(wù)的強(qiáng)制性安全責(zé)任和安全認(rèn)證原則。銀行業(yè)金融機(jī)構(gòu)在產(chǎn)品的采購(gòu)時(shí)必須嚴(yán)格鑒別產(chǎn)品是否通過(guò)工信部、公安部、網(wǎng)信辦等組織的安全測(cè)評(píng)或認(rèn)證許可,對(duì)暫時(shí)不能提供測(cè)評(píng)認(rèn)證的產(chǎn)品,原則上不采用,我們內(nèi)部應(yīng)當(dāng)有專門的部門保持跟蹤網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄。另一方面銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)保證己方提供的網(wǎng)絡(luò)、軟件等產(chǎn)品的安全性,當(dāng)前電子金融和互聯(lián)網(wǎng)金融的發(fā)展,使得我們開發(fā)的軟件越來(lái)越多,可能的軟件漏洞會(huì)形成堰塞湖效應(yīng)。如何應(yīng)對(duì)和消解其中的風(fēng)險(xiǎn)?首先應(yīng)全面引入開發(fā)安全體系,保證產(chǎn)品原生安全,其次應(yīng)依據(jù)銀監(jiān)《信息科技外包風(fēng)險(xiǎn)管理指引》完善制度、加強(qiáng)監(jiān)督、勇于執(zhí)行監(jiān)督評(píng)價(jià)后措施。
第二十四條規(guī)定了必須實(shí)名制注冊(cè)才能獲得網(wǎng)絡(luò)服務(wù),銀行業(yè)金融機(jī)構(gòu)由于業(yè)務(wù)風(fēng)險(xiǎn)的嚴(yán)格控制需要,基本已滿足了這個(gè)要求。但是目前各家機(jī)構(gòu)的身份認(rèn)證還是自我封閉的,探索銀行業(yè)之間電子身份認(rèn)證信息的互認(rèn)卻是一個(gè)令人感興趣的課題。
第二十五條關(guān)于網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的規(guī)定特別適用于銀行業(yè)金融機(jī)構(gòu),我們?cè)谧袷剡@一條款上應(yīng)當(dāng)站在業(yè)務(wù)連續(xù)性的高度,串聯(lián)起支持業(yè)務(wù)運(yùn)行的前、中、后端的資源,建立包含網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的業(yè)務(wù)連續(xù)性計(jì)劃。一般的網(wǎng)絡(luò)安全事件包括網(wǎng)絡(luò)攻擊、有害程序、網(wǎng)絡(luò)故障、系統(tǒng)故障和數(shù)據(jù)泄漏等。建設(shè)業(yè)務(wù)連續(xù)性計(jì)劃的主要參考依據(jù)是銀監(jiān)的《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》、《銀行業(yè)突發(fā)事件應(yīng)急預(yù)案》、《GB 20986-2007 信息安全技術(shù) 信息安全事件分類分級(jí)指南》、《GB 20988-2007 信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》和《ISO/IEC 22301》,在計(jì)劃運(yùn)行中保持住常態(tài)化的演練和優(yōu)化。
第二十六條、三十八條關(guān)于開展網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估,向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息的規(guī)定,銀行業(yè)金融機(jī)構(gòu)應(yīng)每年至少進(jìn)行一次風(fēng)險(xiǎn)評(píng)估,在信息資產(chǎn)、系統(tǒng)環(huán)境或計(jì)算形式發(fā)生變化時(shí)應(yīng)及時(shí)跟進(jìn)評(píng)估風(fēng)險(xiǎn)并處置。銀行業(yè)金融機(jī)構(gòu)雖然不是專業(yè)的威脅情報(bào)發(fā)布單位,但是針對(duì)我們自己的系統(tǒng),特別是移動(dòng)金融系統(tǒng),存在的漏洞和可感染的病毒,是負(fù)有發(fā)布補(bǔ)丁、警示預(yù)防措施責(zé)任的,內(nèi)部安全部門須承擔(dān)這個(gè)責(zé)任。
第二十七、二十八條關(guān)于打擊網(wǎng)絡(luò)犯罪的規(guī)定,其中提到的禁止提供廣告推廣、支付結(jié)算等幫助,為公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)依法維護(hù)國(guó)家安全和偵查犯罪的活動(dòng)提供技術(shù)支持和協(xié)助。一般來(lái)說(shuō),犯罪總是和金錢往來(lái)有千絲萬(wàn)縷的關(guān)系,銀行業(yè)金融機(jī)構(gòu)配合執(zhí)法機(jī)關(guān)調(diào)查時(shí)義不容辭的,在配合打擊網(wǎng)絡(luò)犯罪上,我們內(nèi)部的對(duì)接部門和接口人、內(nèi)部工作機(jī)制和程序方面都是需要制定的。
第二十九條國(guó)家支持網(wǎng)絡(luò)運(yùn)營(yíng)者之間在網(wǎng)絡(luò)安全方面的合作,這一方面會(huì)促進(jìn)銀行業(yè)金融機(jī)構(gòu)進(jìn)行更多的知識(shí)分享和經(jīng)驗(yàn)分享,另一方面是否可以在行業(yè)圈內(nèi)探索災(zāi)備中心、虛擬數(shù)據(jù)中心、行業(yè)云等的共建共享方案?實(shí)現(xiàn)網(wǎng)絡(luò)安全的天然協(xié)作。
第三十三條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)與安全技術(shù)措施部署應(yīng)當(dāng)同步進(jìn)行,銀行業(yè)金融機(jī)構(gòu)也屬于本法明確提出的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)運(yùn)營(yíng)者之一,應(yīng)當(dāng)在數(shù)據(jù)中心設(shè)計(jì)、網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、信息系統(tǒng)開發(fā)等重要IT活動(dòng)中融入安全理念,同步執(zhí)行安全需求、安全設(shè)計(jì)、安全實(shí)施和安全測(cè)試活動(dòng)。安全技術(shù)措施遵循這“三同步原則”可保證項(xiàng)目目標(biāo)與安全目標(biāo)相匹配。
第三十四條規(guī)定的若干義務(wù),銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)遵守的有三點(diǎn),一是安全關(guān)鍵崗位的背景調(diào)查,這項(xiàng)工作在實(shí)踐中容易流于形式,調(diào)查什么?誰(shuí)來(lái)調(diào)查?仍然需要我們多思考并制定實(shí)施細(xì)則。二是應(yīng)急預(yù)案的演練,需要制定年度的演練計(jì)劃,保證過(guò)程的仿真度,嚴(yán)格來(lái)說(shuō),應(yīng)急演練除了場(chǎng)景是假設(shè)或模擬的,其他都應(yīng)該是真實(shí)的。三是“法律、行政法規(guī)規(guī)定的其他義務(wù)”究竟指什么?這既包含本法其他條款說(shuō)明的義務(wù),也包含銀監(jiān)、人行相關(guān)指引內(nèi)的義務(wù),更包含刑法、保守國(guó)家秘密法、反不正當(dāng)競(jìng)爭(zhēng)法、居民身份證法、商業(yè)銀行法、征信業(yè)管理?xiàng)l例等一系列法律法規(guī)內(nèi)的義務(wù)。我們的安全部門和法務(wù)部門應(yīng)當(dāng)熟悉這些法規(guī)。
第三十五條規(guī)定影響國(guó)家安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的國(guó)家安全審查。銀行業(yè)金融機(jī)構(gòu)網(wǎng)絡(luò)安全是國(guó)家安全的重要組成,關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)當(dāng)取得“網(wǎng)絡(luò)安全審查委員會(huì)”的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》內(nèi)說(shuō)明的認(rèn)證。
第三十七條規(guī)定間接要求銀行業(yè)金融機(jī)構(gòu)的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ),即境外數(shù)據(jù)云存儲(chǔ)、境外托管等都是禁止的,無(wú)論我們是否完全控制其運(yùn)行。因涉外業(yè)務(wù)需要出境的數(shù)據(jù),其收集、存儲(chǔ)、處理、銷毀不能違反我國(guó)的法律法規(guī)。
第三十九條雖然規(guī)定的是國(guó)家網(wǎng)信部門的責(zé)任,但是銀行業(yè)金融機(jī)構(gòu)如何有效配合外部網(wǎng)絡(luò)安全檢測(cè)、獲得外部技術(shù)指導(dǎo)和網(wǎng)絡(luò)安全的分享信息?仍然需要我們逐條梳理,建立起內(nèi)部的工作程序,從組織、人員、系統(tǒng)方面給予保障。
五、網(wǎng)絡(luò)安全法“網(wǎng)絡(luò)信息安全”遵守解讀
重點(diǎn)法律條款
第四十條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的用戶信息嚴(yán)格保密,并建立健全用戶信息保護(hù)制度。
第四十一條 網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。
網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息,并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定,處理其保存的個(gè)人信息。
第四十二條 網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄漏、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意,不得向他人提供個(gè)人信息。但是,經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。
網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集的個(gè)人信息安全,防止信息泄漏、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄漏、毀損、丟失的情況時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。
第四十三條 個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者刪除其個(gè)人信息;發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者收集、存儲(chǔ)的其個(gè)人信息有錯(cuò)誤的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者予以更正。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取措施予以刪除或者更正。
第四十四條 任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息,不得非法出售或者非法向他人提供個(gè)人信息。
第四十五條 依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員,必須對(duì)在履行職責(zé)中知悉的個(gè)人信息、隱私和商業(yè)秘密嚴(yán)格保密,不得泄漏、出售或者非法向他人提供。
第四十七條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)加強(qiáng)對(duì)其用戶發(fā)布的信息的管理,發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?,?yīng)當(dāng)立即停止傳輸該信息,采取消除等處置措施,防止信息擴(kuò)散,保存有關(guān)記錄,并向有關(guān)主管部門報(bào)告。
第四十八條 任何個(gè)人和組織發(fā)送的電子信息、提供的應(yīng)用軟件,不得設(shè)置惡意程序,不得含有法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔ⅰ?/p>
電子信息發(fā)送服務(wù)提供者和應(yīng)用軟件下載服務(wù)提供者,應(yīng)當(dāng)履行安全管理義務(wù),知道其用戶有前款規(guī)定行為的,應(yīng)當(dāng)停止提供服務(wù),采取消除等處置措施,保存有關(guān)記錄,并向有關(guān)主管部門報(bào)告。
第四十九條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)建立網(wǎng)絡(luò)信息安全投訴、舉報(bào)制度,公布投訴、舉報(bào)方式等信息,及時(shí)受理并處理有關(guān)網(wǎng)絡(luò)信息安全的投訴和舉報(bào)。
網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)網(wǎng)信部門和有關(guān)部門依法實(shí)施的監(jiān)督檢查,應(yīng)當(dāng)予以配合。
解讀
《網(wǎng)絡(luò)安全法》第四十一條到四十五條是關(guān)于個(gè)人信息保護(hù)的若干規(guī)定,覆蓋信息收集、存儲(chǔ)、處理、使用和轉(zhuǎn)讓等各環(huán)節(jié),這些規(guī)定可以總結(jié)為三原則,既“征得同意”、“明確用處”和“泄漏有責(zé)”。銀行業(yè)金融機(jī)構(gòu)將個(gè)人信息保護(hù)融入網(wǎng)絡(luò)安全管理工作中應(yīng)當(dāng)重點(diǎn)評(píng)估以下領(lǐng)域的風(fēng)險(xiǎn):一是業(yè)務(wù)流程是否存在泄漏用戶信息的環(huán)節(jié),如何加強(qiáng)業(yè)務(wù)線的數(shù)據(jù)保密意識(shí)、監(jiān)控非法信息交易風(fēng)險(xiǎn)?二是涉及收集用戶個(gè)人信息的系統(tǒng)是否明確、無(wú)歧義的告知用戶信息內(nèi)容、用途和范圍,是否具備技術(shù)性保護(hù)措施?三是存儲(chǔ)個(gè)人信息系統(tǒng)的運(yùn)維人員的權(quán)限管理、法律責(zé)任管理是否完備?
從社會(huì)上已有的個(gè)人信息泄漏案例來(lái)看,絕大多數(shù)的原因是非法交易。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)實(shí)行業(yè)務(wù)權(quán)限、系統(tǒng)權(quán)限和操作權(quán)限的分離,最小化數(shù)據(jù)泄漏面,同時(shí)運(yùn)用保密協(xié)議、教育培訓(xùn)提高人員的自律意識(shí)。從整體上來(lái)看,我們應(yīng)該把個(gè)人信息保護(hù)納入內(nèi)部的數(shù)據(jù)安全體系內(nèi),系統(tǒng)化防御個(gè)人信息泄漏的風(fēng)險(xiǎn)。
第四十七條、四十八條規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)主體負(fù)有凈化信息發(fā)布的責(zé)任,無(wú)論主體是否意識(shí)到存在非法信息。銀行業(yè)金融機(jī)構(gòu)雖然允許用戶在網(wǎng)站上發(fā)布信息的應(yīng)用較少,但只要存在,就應(yīng)當(dāng)采用信息審核機(jī)制、軟件測(cè)評(píng)機(jī)制保證發(fā)布信息的合法性,我們對(duì)凈化國(guó)家網(wǎng)絡(luò)輿情負(fù)有義務(wù)。
第四十九條規(guī)定的網(wǎng)絡(luò)信息安全投訴、舉報(bào)制度等,銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)確立內(nèi)部的組織、責(zé)任人和處理程序以便能夠響應(yīng)投訴或舉報(bào)。
六、網(wǎng)絡(luò)安全法“監(jiān)測(cè)預(yù)警與應(yīng)急處置”遵守解讀
重點(diǎn)法律條款
第五十一條 國(guó)家建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度。國(guó)家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)網(wǎng)絡(luò)安全信息收集、分析和通報(bào)工作,按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息。
第五十二條 負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門,應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,并按照規(guī)定報(bào)送網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息。
第五十三條 國(guó)家網(wǎng)信部門協(xié)調(diào)有關(guān)部門建立健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制,制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期組織演練。
負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門應(yīng)當(dāng)制定本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期組織演練。
網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案應(yīng)當(dāng)按照事件發(fā)生后的危害程度、影響范圍等因素對(duì)網(wǎng)絡(luò)安全事件進(jìn)行分級(jí),并規(guī)定相應(yīng)的應(yīng)急處置措施。
第五十四條 網(wǎng)絡(luò)安全事件發(fā)生的風(fēng)險(xiǎn)增大時(shí),省級(jí)以上人民政府有關(guān)部門應(yīng)當(dāng)按照規(guī)定的權(quán)限和程序,并根據(jù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的特點(diǎn)和可能造成的危害,采取下列措施:
(一)要求有關(guān)部門、機(jī)構(gòu)和人員及時(shí)收集、報(bào)告有關(guān)信息,加強(qiáng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的監(jiān)測(cè);
(二)組織有關(guān)部門、機(jī)構(gòu)和專業(yè)人員,對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)信息進(jìn)行分析評(píng)估,預(yù)測(cè)事件發(fā)生的可能性、影響范圍和危害程度;
(三)向社會(huì)發(fā)布網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)警,發(fā)布避免、減輕危害的措施。
第五十五條 發(fā)生網(wǎng)絡(luò)安全事件,應(yīng)當(dāng)立即啟動(dòng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,對(duì)網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查和評(píng)估,要求網(wǎng)絡(luò)運(yùn)營(yíng)者采取技術(shù)措施和其他必要措施,消除安全隱患,防止危害擴(kuò)大,并及時(shí)向社會(huì)發(fā)布與公眾有關(guān)的警示信息。
第五十六條 省級(jí)以上人民政府有關(guān)部門在履行網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)中,發(fā)現(xiàn)網(wǎng)絡(luò)存在較大安全風(fēng)險(xiǎn)或者發(fā)生安全事件的,可以按照規(guī)定的權(quán)限和程序?qū)υ摼W(wǎng)絡(luò)的運(yùn)營(yíng)者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照要求采取措施,進(jìn)行整改,消除隱患。
第五十七條 因網(wǎng)絡(luò)安全事件,發(fā)生突發(fā)事件或者生產(chǎn)安全事故的,應(yīng)當(dāng)依照《中華人民共和國(guó)突發(fā)事件應(yīng)對(duì)法》、《中華人民共和國(guó)安全生產(chǎn)法》等有關(guān)法律、行政法規(guī)的規(guī)定處置。
第五十八條 因維護(hù)國(guó)家安全和社會(huì)公共秩序,處置重大突發(fā)社會(huì)安全事件的需要,經(jīng)國(guó)務(wù)院決定或者批準(zhǔn),可以在特定區(qū)域?qū)W(wǎng)絡(luò)通信采取限制等臨時(shí)措施。
解讀
《網(wǎng)絡(luò)安全法》第五十一條到五十八條把網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和應(yīng)急處置從過(guò)去各單位自我封閉式的應(yīng)急狀態(tài)提升到了行業(yè)和國(guó)家層面高度,其核心思想是“政府應(yīng)承擔(dān)起網(wǎng)絡(luò)應(yīng)急的行政、領(lǐng)導(dǎo)和協(xié)同責(zé)任”、“行業(yè)應(yīng)承擔(dān)起業(yè)內(nèi)網(wǎng)絡(luò)應(yīng)急的統(tǒng)籌規(guī)劃和信息分享責(zé)任”、“企業(yè)應(yīng)承擔(dān)起己方網(wǎng)絡(luò)基礎(chǔ)設(shè)施的監(jiān)測(cè)預(yù)警責(zé)任,并保持與行業(yè)主管部門、政府和社會(huì)的信息互動(dòng)”。 瞞報(bào)、少報(bào)網(wǎng)絡(luò)安全事件信息是違背本法思想的。
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)重點(diǎn)建設(shè)、完善己方的業(yè)務(wù)連續(xù)性計(jì)劃和網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案。同時(shí)按照本法的核心思想要求,其計(jì)劃和預(yù)案應(yīng)增加與行業(yè)主管部門、政府相關(guān)部門和社會(huì)公眾的雙向信息通報(bào)程序,以保證國(guó)家層面上網(wǎng)絡(luò)基礎(chǔ)設(shè)施的整體安全。
在踐行網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警方面,中小型銀行業(yè)金融機(jī)構(gòu)是否可以在監(jiān)管部門的指導(dǎo)下,建設(shè)多家聯(lián)合的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警云平臺(tái)?實(shí)現(xiàn)協(xié)同運(yùn)營(yíng),降低成本,提高應(yīng)急處理的專業(yè)性和效率。
七、網(wǎng)絡(luò)安全法“法律責(zé)任”遵守解讀
重點(diǎn)法律條款
第五十九條 網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬(wàn)元以上十萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。
關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處十萬(wàn)元以上一百萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。
第六十條 違反本法第二十二條第一款、第二款和第四十八條第一款規(guī)定,有下列行為之一的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處五萬(wàn)元以上五十萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款:
(一)設(shè)置惡意程序的;
(二)對(duì)其產(chǎn)品、服務(wù)存在的安全缺陷、漏洞等風(fēng)險(xiǎn)未立即采取補(bǔ)救措施,或者未按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告的;
(三)擅自終止為其產(chǎn)品、服務(wù)提供安全維護(hù)的。
第六十一條 網(wǎng)絡(luò)運(yùn)營(yíng)者違反本法第二十四條第一款規(guī)定,未要求用戶提供真實(shí)身份信息,或者對(duì)不提供真實(shí)身份信息的用戶提供相關(guān)服務(wù)的,由有關(guān)主管部門責(zé)令改正;拒不改正或者情節(jié)嚴(yán)重的,處五萬(wàn)元以上五十萬(wàn)元以下罰款,并可以由有關(guān)主管部門責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。
第六十二條 違反本法第二十六條規(guī)定,開展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng),或者向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者情節(jié)嚴(yán)重的,處一萬(wàn)元以上十萬(wàn)元以下罰款,并可以由有關(guān)主管部門責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處五千元以上五萬(wàn)元以下罰款。
第六十三條 違反本法第二十七條規(guī)定,從事危害網(wǎng)絡(luò)安全的活動(dòng),或者提供專門用于從事危害網(wǎng)絡(luò)安全活動(dòng)的程序、工具,或者為他人從事危害網(wǎng)絡(luò)安全的活動(dòng)提供技術(shù)支持、廣告推廣、支付結(jié)算等幫助,尚不構(gòu)成犯罪的,由公安機(jī)關(guān)沒(méi)收違法所得,處五日以下拘留,可以并處五萬(wàn)元以上五十萬(wàn)元以下罰款;情節(jié)較重的,處五日以上十五日以下拘留,可以并處十萬(wàn)元以上一百萬(wàn)元以下罰款。
單位有前款行為的,由公安機(jī)關(guān)沒(méi)收違法所得,處十萬(wàn)元以上一百萬(wàn)元以下罰款,并對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依照前款規(guī)定處罰。
違反本法第二十七條規(guī)定,受到治安管理處罰的人員,五年內(nèi)不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營(yíng)關(guān)鍵崗位的工作;受到刑事處罰的人員,終身不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營(yíng)關(guān)鍵崗位的工作。
第六十四條 網(wǎng)絡(luò)運(yùn)營(yíng)者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者違反本法第二十二條第三款、第四十一條至第四十三條規(guī)定,侵害個(gè)人信息依法得到保護(hù)的權(quán)利的,由有關(guān)主管部門責(zé)令改正,可以根據(jù)情節(jié)單處或者并處警告、沒(méi)收違法所得、處違法所得一倍以上十倍以下罰款,沒(méi)有違法所得的,處一百萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款;情節(jié)嚴(yán)重的,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照。
違反本法第四十四條規(guī)定,竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個(gè)人信息,尚不構(gòu)成犯罪的,由公安機(jī)關(guān)沒(méi)收違法所得,并處違法所得一倍以上十倍以下罰款,沒(méi)有違法所得的,處一百萬(wàn)元以下罰款。
第六十五條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者違反本法第三十五條規(guī)定,使用未經(jīng)安全審查或者安全審查未通過(guò)的網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的,由有關(guān)主管部門責(zé)令停止使用,處采購(gòu)金額一倍以上十倍以下罰款;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。
第六十六條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者違反本法第三十七條規(guī)定,在境外存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù),或者向境外提供網(wǎng)絡(luò)數(shù)據(jù)的,由有關(guān)主管部門責(zé)令改正,給予警告,沒(méi)收違法所得,處五萬(wàn)元以上五十萬(wàn)元以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。
第六十七條 違反本法第四十六條規(guī)定,設(shè)立用于實(shí)施違法犯罪活動(dòng)的網(wǎng)站、通訊群組,或者利用網(wǎng)絡(luò)發(fā)布涉及實(shí)施違法犯罪活動(dòng)的信息,尚不構(gòu)成犯罪的,由公安機(jī)關(guān)處五日以下拘留,可以并處一萬(wàn)元以上十萬(wàn)元以下罰款;情節(jié)較重的,處五日以上十五日以下拘留,可以并處五萬(wàn)元以上五十萬(wàn)元以下罰款。關(guān)閉用于實(shí)施違法犯罪活動(dòng)的網(wǎng)站、通訊群組。
單位有前款行為的,由公安機(jī)關(guān)處十萬(wàn)元以上五十萬(wàn)元以下罰款,并對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依照前款規(guī)定處罰。
第六十八條 網(wǎng)絡(luò)運(yùn)營(yíng)者違反本法第四十七條規(guī)定,對(duì)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⑽赐V箓鬏敗⒉扇∠忍幹么胧⒈4嬗嘘P(guān)記錄的,由有關(guān)主管部門責(zé)令改正,給予警告,沒(méi)收違法所得;拒不改正或者情節(jié)嚴(yán)重的,處十萬(wàn)元以上五十萬(wàn)元以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。
電子信息發(fā)送服務(wù)提供者、應(yīng)用軟件下載服務(wù)提供者,不履行本法第四十八條第二款規(guī)定的安全管理義務(wù)的,依照前款規(guī)定處罰。
第六十九條 網(wǎng)絡(luò)運(yùn)營(yíng)者違反本法規(guī)定,有下列行為之一的,由有關(guān)主管部門責(zé)令改正;拒不改正或者情節(jié)嚴(yán)重的,處五萬(wàn)元以上五十萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員,處一萬(wàn)元以上十萬(wàn)元以下罰款:
(一)不按照有關(guān)部門的要求對(duì)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔ⅲ扇⊥V箓鬏?、消除等處置措施的?br />
(二)拒絕、阻礙有關(guān)部門依法實(shí)施的監(jiān)督檢查的;
(三)拒不向公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)提供技術(shù)支持和協(xié)助的。
第七十條 發(fā)布或者傳輸本法第十二條第二款和其他法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?,依照有關(guān)法律、行政法規(guī)的規(guī)定處罰。
第七十一條 有本法規(guī)定的違法行為的,依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案,并予以公示。
第七十二條 國(guó)家機(jī)關(guān)政務(wù)網(wǎng)絡(luò)的運(yùn)營(yíng)者不履行本法規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由其上級(jí)機(jī)關(guān)或者有關(guān)機(jī)關(guān)責(zé)令改正;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分。
第七十三條 網(wǎng)信部門和有關(guān)部門違反本法第三十條規(guī)定,將在履行網(wǎng)絡(luò)安全保護(hù)職責(zé)中獲取的信息用于其他用途的,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分。
網(wǎng)信部門和有關(guān)部門的工作人員玩忽職守、濫用職權(quán)、徇私舞弊,尚不構(gòu)成犯罪的,依法給予處分。
第七十四條 違反本法規(guī)定,給他人造成損害的,依法承擔(dān)民事責(zé)任。
違反本法規(guī)定,構(gòu)成違反治安管理行為的,依法給予治安管理處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第七十五條 境外的機(jī)構(gòu)、組織、個(gè)人從事攻擊、侵入、干擾、破壞等危害中華人民共和國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施的活動(dòng),造成嚴(yán)重后果的,依法追究法律責(zé)任;國(guó)務(wù)院公安部門和有關(guān)部門并可以決定對(duì)該機(jī)構(gòu)、組織、個(gè)人采取凍結(jié)財(cái)產(chǎn)或者其他必要的制裁措施。
解讀
銀監(jiān)會(huì)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》中明確了商業(yè)銀行要定期開展內(nèi)外部的信息科技風(fēng)險(xiǎn)審計(jì),但對(duì)于違規(guī)行為沒(méi)有提出具體的處罰標(biāo)準(zhǔn)。《網(wǎng)絡(luò)安全法》在第六章“法律責(zé)任”中提高了違法行為的處罰標(biāo)準(zhǔn),有利于保障《網(wǎng)絡(luò)安全法》的實(shí)施。銀行業(yè)金融機(jī)構(gòu)需強(qiáng)化內(nèi)部網(wǎng)絡(luò)安全三道管理線,即日常管理、風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)審計(jì)。日常管理是執(zhí)行層運(yùn)用已有的技術(shù)手段和體系流程,預(yù)防、監(jiān)測(cè)和響應(yīng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理是管理層運(yùn)用已有的風(fēng)險(xiǎn)評(píng)估策略和安全風(fēng)險(xiǎn)指標(biāo),評(píng)估、統(tǒng)計(jì)和分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)審計(jì)是決策層運(yùn)用內(nèi)外部審計(jì)機(jī)制和工具,監(jiān)督網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的全景。
值得特別說(shuō)明的兩點(diǎn):一是銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在對(duì)全員的網(wǎng)絡(luò)安全宣傳教育中,增加本法“法律責(zé)任”的教育;二是第七十五條規(guī)定的凍結(jié)財(cái)產(chǎn)措施本身需要銀行業(yè)來(lái)支持,我們需要內(nèi)部的業(yè)務(wù)、法務(wù)和安全部門制定標(biāo)準(zhǔn)化的程序來(lái)執(zhí)行公安部門或有關(guān)部門下達(dá)的凍結(jié)資產(chǎn)指令。