|
一、前言
“网络运营者”的定义是什么?这个问题可能很多安全管理者未必清楚,更不用说履行法定义务和管理合规风险,希望本文能对部分安全管理者有所帮助,更希望您能转发给朋友(圈),笔者和朋友们会感谢您!
网络运营者多数同时是数据处理者,企业在遵守网络安全法的同时也要遵守数据安全法。
二、法规条款(部分)
网络安全法(2017年6月1日起施行) 第九条 网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
数据安全法(2021年9月1日起施行) 第二条 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
网络产品安全漏洞管理规定(2021年9月1日起施行) 第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。
个人信息保护法(审议中) 第三条 组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。
三、网络运营者的定义
网络安全法 第七十六条 网络运营者是指网络的所有者、管理者和网络服务提供者。
网络运营者涵盖的范围很广,具有一定信息化水平的中小企业同样适用,对于信息化程度较高的金融、政府、集团企业、上市企业和互联网公司是重点的网络运营者。
此处的“网络”不是狭义的通讯网络,是广义的网络空间,包括业务系统、基础架构、数据和用户等。
四、网络运营者的法定义务
作为网络运营者,在网络安全法、数据安全法、网络产品安全漏洞管理规定和个人信息保护法等法规中有明确的义务要求,包括但不限以下:
网络安全法 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
数据安全法 第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
网络产品安全漏洞管理规定 第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。第八条 网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。
四、网络运营者的合规风险
网络运营者通过网络系统实现主营业务的提质增效,网络安全已不是可选项,是业务过程的必选项,网络安全合规出现问题一定影响主营业务的发展,有直接的也有间接的。
网络运营者的合规风险具有很多特征,笔者简单举例说明如下:
1、等级保护及管理制度不合规
网络安全法 要求 “网络运营、者应当按照网络安全等级保护制度的要求,履行下列安全保护义务”,因此网络运营者须按照 等级保护2.0 要求开展定级、备案和测评等工作;同时 要求“制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任”,因此网络运营者要健全企业的规章制度,建立网络安全管理组织,明确网络安全保护责任。
2、技术措施不合规
网络安全法 要求 “采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”,因此网络运营者须建立完善的日志平台,网络日志依旧仅保存在网络设备和服务器本地已不符合要求,因为一旦被入侵则可以清除网络日志。
3、技术防护不合规
网络安全法 要求 “采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”,因此网络运营者须根据自身的网络安全状况和业务特征构建安全防护体系,如果出现较大信息安全事件则可能被认定为技术防护不合规。同时以往按照条条框框的要求进行设备或安全系统的简单堆叠已不满足合规要求,体系化和运营化方能有效防护。
4、安全管理不合规
网络产品安全漏洞管理规定 要求“网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通”,因此网络运营者须发布安全漏洞信息接收渠道,并通过安全运营的方式进行日常管理和快速响应,等待漏洞通报的安全管理已经不合规。出现较大信息安全事件也不再是通过救火就可以完全消除影响,行政处罚是执法机构的常规手段,罚企业和罚管理者的“双罚”已有较多案例。
5、数据管理不合规
数据安全法 要求“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。”,因此网络运营者须在数据管理方面进行较大投入,如果出现数据泄露,可能被认定为数据管理不合规,最高可处1000万元以下罚款。
6、个人隐私保护不合规
网络安全法 要求 “网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。”,因此网络运营者在数据的收集、存储、使用、加工、传输、提供、公开等均有合规要求,网络运营者需通过有效的管理手段进行规范处理。同时 个人信息保护法 即将发布,近期大量APP因为个人隐私条款不合规被通报,甚至下架。可以预见未来数年,大众的个人隐私保护意识将不断加强,个人信息保护会是合规管理的重点。
五、结束语
国家在法规制定和违法处罚已经比以前有很大进步,可以预见大量的信息安全处罚将陆续出现,处罚金额也会不断刷新记录。信息安全不再是技术部门的事,安全业务范围涵盖企业主营业务的方方面面。发生信息安全事件时,第一责任人是企业法人代表,对企业法人代表的处罚也会陆续出现。
安全合规管理需要往前站一步,紧盯监管的最新要求,实现主动合规,真正实现安全管理为主营业务保驾护航。
–文章结束–
注:作者陈建茂(微信号shenzhenmao),金融从业人员,十余年信息安全管理经验。
|