加快《网络安全等级保护条例》立法,网络安全等级保护制度建立刻不容缓
《网安法》第二十一条明确规定我国实行网络安全等级保护制度,同时要求网络运营者在安全等级保护制度的要求下从内控、外部技术措施、网络日志留存、数据分类加密备份等四个方面履行相应的安全保护义务。从《网安法》正式实施以来各地网警部门处理的案例来看,大部分网络运营者都是由于尚未履行上述安全保护义务而受到行政处罚,显然,网络安全等级保护制度合规亟待真正落实到网络运营者的日常经营之中。
《网安法》标志着我国首次从法律层面上提出了“网络安全等级保护制度”这一概念,但其并未进一步阐明该制度的内涵,也未说明该制度的具体等级划分标准及实施办法。我国目前所确立的信息安全等级保护制度主要是依据《信息安全等级保护管理办法》对包含网络在内的计算机信息系统实施五级安全保护。本次报告再次提到要加快《网络安全等级保护条例》的立法进程,因此可以预见网络安全等级保护制度将是在原有信息安全等级保护制度之上的一次全新升级,给网络运营者内部合规带来的挑战将是巨大的,企业一定要引起重视。从现有的法规来看,网络安全等级保护制度与信息安全等级保护制度在主体、实施依据、监管部门、规定内容的各方面都存在一定的区别,但由于《网络安全等级保护条例》等有关网络安全等级保护制度的法律法规尚在制定之中,网络运营者尤其是关键信息基础设施运营者仍应当参照《信息安全等级保护管理办法》及相关规定进行合规审查与整改,满足特定条件的,还应及时办理备案,配合公安部门检查,以应对日趋严格的政府监管。
加大用户个人信息保护力度,企业产品、服务及内控应关注个人信息保护
为了加大用户个人信息保护,“一法一决定”提出了,一是要加快个人信息保护法立法进程;二是加强安全防护;三是要认真研究用户实名制的范围和方式,坚决避免信息采集主体过多、实名登记事项过滥问题;四是加大监督检查力度;五是进一步加大打击力度;六是要完善投诉受理机制。从以上六点可以看出国家层面对于个人信息保护的重视程度。从网安法实施的这半年来看,无论从立法、执法监管还是司法审判,个人信息保护都将成为未来网安法在实施过程中问题最多、处罚最多、判例最多的部分。
早在13年发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》就明确了处理个人信息时应遵循最小够用原则,信息管理者只处理与处理目的有关的最少信息,达到处理目的后应在最短时间内删除个人信息,《网安法》也规定了收集、使用个人信息的“合法、正当、必要”原则,企业产品、服务以及内控应特别关注。
完善关键信息基础设施建设,相应机构应积极参与立法讨论
“一法一决定”报告已经注意到关于关键信息基础设施的认定存在现有立法过于原则难以把握的问题,并提出要加快《关键信息基础设施安全保护条例》立法,细化法律中个人信息和重要数据出境安全评估、网络数据管理、网络安全监测预警和信息通报、网络安全审查、网络安全认证和安全检测结果互认等相关制度。
另外,此次报告中特别提出容灾备份体系建设与应急预案制度两个问题值得关注。
强化网络安全工作统筹协调,企业应关注网安法监管执法动态
报告指出现有的网络安全监管存在权责不清、各自为战、执法推诿、效率低下等问题,法律赋予网信部门的统筹协调职能履行不够顺畅。下一步的网安法监管执法的重点必将是强化网信部门的统筹协调职责,明确各职能部门的权责界限和接口,形成网信、工信、公安、保密等各部门协调联动机制。鉴于网安法监管执法多头并重的特点,作为被监管对象的网络运营者更是要特别关注执法动态,以应对未来可能出现密集监管执法活动。