昨日,經中央網絡安全和信息化領導小組批準,國家互聯網信息辦公室發布《國家網絡空間安全戰略》(以下簡稱《戰略》),提出捍衛網絡空間主權、維護國家安全、保護關鍵信息基礎設施、加強網絡文化建設、打擊網絡恐怖和違法犯罪、完善網絡治理體系、夯實網絡安全基礎、提升網絡空間防護能力、強化網絡空間國際合作等9項任務。
新京報記者獲悉,《戰略》歷時兩年多制定,是指導未來十年國家網絡安全工作的綱領性文件。此外,國家網信辦將出臺網絡安全審查的具體指南。
國家網絡安全9大戰略任務
1堅定捍衛網絡空間主權
根據憲法和法律法規管理我國主權范圍內的網絡活動,保護我國信息設施和信息資源安全,采取包括經濟、行政、科技、法律、外交、軍事等一切措施,堅定不移地維護我國網絡空間主權。堅決反對通過網絡顛覆我國國家政權、破壞我國國家主權的一切行為。
2堅決維護國家安全
防范、制止和依法懲治任何利用網絡進行叛國、分裂國家、煽動叛亂、顛覆或者煽動顛覆人民民主專政政權的行為;防范、制止和依法懲治利用網絡進行竊取、泄露國家秘密等危害國家安全的行為;防范、制止和依法懲治境外勢力利用網絡進行滲透、破壞、顛覆、分裂活動。
3保護關鍵信息基礎設施
建立實施網絡安全審查制度,加強供應鏈安全管理,對黨政機關、重點行業采購使用的重要信息技術產品和服務開展安全審查,提高產品和服務的安全性和可控性,防止產品服務提供者和其他組織利用信息技術優勢實施不正當競爭或損害用戶利益。
4加強網絡文化建設
堅決打擊謠言、淫穢、暴力、迷信、邪教等違法有害信息在網絡空間傳播蔓延。提高青少年網絡文明素養,加強對未成年人上網保護,通過政府、社會組織、社區、學校、家庭等方面的共同努力,為青少年健康成長創造良好的網絡環境。
5打擊網絡恐怖和違法犯罪
加強網絡反恐、反間諜、反竊密能力建設,嚴厲打擊網絡恐怖和網絡間諜活動。
嚴厲打擊網絡詐騙、網絡盜竊、販槍販毒、侵害公民個人信息、傳播淫穢色情、黑客攻擊、侵犯知識產權等違法犯罪行為。
6 完善網絡治理體系
健全網絡安全法律法規體系,制定出臺網絡安全法、未成年人網絡保護條例等法律法規,明確社會各方面的責任和義務,明確網絡安全管理要求。加快對現行法律的修訂和解釋,使之適用于網絡空間。
7 夯實網絡安全基礎
實施“互聯網+”行動,大力發展網絡經濟。實施國家大數據戰略,建立大數據安全管理制度,支持大數據、云計算等新一代信息技術創新和應用。優化市場環境,鼓勵網絡安全企業做大做強,為保障國家網絡安全夯實產業基礎。
8 提升網絡空間防護能力
網絡空間是國家主權的新疆域。建設與我國國際地位相稱、與網絡強國相適應的網絡空間防護力量,大力發展網絡安全防御手段,及時發現和抵御網絡入侵,鑄造維護國家網絡安全的堅強后盾。
9 強化網絡空間國際合作
加強對發展中國家和落后地區互聯網技術普及和基礎設施建設的支持援助,努力彌合數字鴻溝。推動“一帶一路”建設,提高國際通信互聯互通水平,暢通信息絲綢之路。搭建世界互聯網大會等全球互聯網共享共治平臺,共同推動互聯網健康發展。通過積極有效的國際合作,建立多邊、民主、透明的國際互聯網治理體系,共同構建和平、安全、開放、合作、有序的網絡空間。 摘自《國家網絡空間安全戰略》
焦點1
保護公民信息 免費不能免責
《戰略》指出,網絡欺詐、黑客攻擊、侵犯知識產權、濫用個人信息等不法行為大量存在,一些組織肆意竊取用戶信息、交易數據、位置信息以及企業商業秘密,嚴重損害國家、企業和個人利益,影響社會和諧穩定。
國家網信辦網絡安全協調局局長趙澤良表示,保護個人信息,首先要把有關個人信息保護的法律落實到企業和機構。《網絡安全法》規定,網絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。
趙澤良說,法律明確,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。此外,網絡運營者不得收集與其提供的服務無關的個人信息。
他說,很多企業和機構都高度重視個人信息保護工作,但是確實存在重視不夠的情況。比如,在網上下載安裝APP時,有一些服務條款會讓用戶選擇同意。在這種情況下,用戶不同意也得同意,否則無法安裝。
趙澤良說,這些需要用戶同意的條款是否貫徹了法律要求?很多時候并沒有。一些服務條款內存在企業超范圍采集個人信息的情況。對此,企業應該按照法律的要求盡快糾正。
他強調,不能因為用戶選擇了“同意”,企業就可以放松個人信息保護或者不承擔責任。此外,一些企業認為他們提供軟件是免費的,就可以不承擔責任,這是不對的。
值得注意的是,在保護公民個人信息方面,政府機構和企業所承擔的責任是一樣的。
趙澤良對新京報記者表示,除了企業要承擔起保護個人信息的責任,政府部門和機構對收集到的個人信息同樣要加強保護。在個人信息保護方面,法律對政府和企業的要求是一樣的。
焦點2
正制定有關數據出境評估辦法
《戰略》提出,采取一切必要措施保護關鍵信息基礎設施及其重要數據不受攻擊破壞。《網絡安全法》也明確,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。
“重要數據境內存儲”這一政策是否會影響到信息自由流動?
對此,趙澤良表示,加強個人信息和重要信息的保護,已經成為各國的共識。基于這種認識,我國立法明確,除非確實必要,個人信息和重要數據不應流出境外。
他說,我們難以保證信息和數據流出到境外后的安全,這一規定為了維護國家安全和個人信息,信息流動應該建立規則之上。
趙澤良強調,《網絡安全法》同時規定,因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。
他透露,目前國家網信辦正在按照法律要求制定有關數據出境的評估辦法,這個辦法將對數據出境做出明確的要求。將來在評估信息能否出境的時候,要充分考慮目的地是否有能力、有誠意來確保我們的數據信息安全。
《網絡安全法》要求,對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。
四川大學網絡空間安全研究院特聘副研究員洪延青表示,在關鍵信息基礎設施的判定標準上,與網絡運營者是屬于民營或國營公司,國內或國際公司的身份無關,僅取決于它承擔的功能及一旦功能破壞或喪失,或者數據泄露后可能造成的后果。
他舉例稱,比如網約車平臺或者電商平臺掌握了上千萬甚至上億用戶的個人信息或支付信息,一旦泄露就會影響到社會公眾利益,這就算作關鍵信息基礎設施。
焦點3
不是對任何產品和服務都審查
2014年5月,國家互聯網信息辦公室宣布,為維護國家網絡安全、保障中國用戶合法利益,中國將推出網絡安全審查制度。
今年11月7日,第十二屆全國人大常委會第二十四次會議表決通過《網絡安全法》,明確了關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。
《戰略》提出,建立實施網絡安全審查制度,加強供應鏈安全管理,對黨政機關、重點行業采購使用的重要信息技術產品和服務開展安全審查,提高產品和服務的安全性和可控性,防止產品服務提供者和其他組織利用信息技術優勢實施不正當競爭或損害用戶利益。
趙澤良表示,網絡安全審查不是普世性的,不是對任何產品和服務都進行審查,只是針對關系到國家安全和國計民生的信息技術產品和服務進行審查。
他表示,將來會就哪些產品需要審查,按照哪些辦法來審查出臺網絡安全審查的具體指南。目前該工作已經啟動。
此前,趙澤良曾表示,目前為黨政機關提供云計算服務的企業,已進行了網絡安全審查。