網絡安全法實行在即,金融行業如何踐行?
一、前言
近年,隨著網絡安全形勢的日趨嚴峻,網絡安全也逐步上升到國家層面,十二屆全國人大常委會第二十四次會議表決通過了《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》),宣告了我國網絡安全領域第一部基礎性、框架性法律正式出臺。《網絡安全法》在網絡空間主權、國家網絡安全等級保護制度、關鍵信息基礎設施保護、網絡運營者、網絡產品和服務提供者義務、保障網絡信息安全,個人信息保護、關鍵信息基礎設施重要數據跨境傳輸、監測預警與應急處置等方面做出明確規定。尤其需要注意的是,《網絡安全法》特別強調了“關鍵信息基礎設施”的概念,明確要求對信息基礎設施實行重點保護,要求關鍵信息基礎設施的運營者承擔更進一步的保護義務。
近年來銀行業金融機構是網絡攻擊的重災區,尤其信息泄漏、黑客攻擊呈高發態勢,如影響全球金融業的“SWIFT驚天銀行大劫案”、震驚全國的銀行行長出售征信查詢賬號導致大量個人信息泄漏的“5·26侵犯公民個人信息案”等等,銀行業及金融機構的網絡安全態勢非常嚴峻。《網絡安全法》中明確指出銀行業及金融機構是關鍵信息基礎設施的運營者,一方面,突出了金融行業的戰略地位和價值,另一方面,也明確了銀行業金融機構做好自身網絡安全工作的義務和責任。金融行業需要依據《網絡安全法》的法律要求進行落地實施,有效提高金融行業整體的網絡安全保護水平。
《網絡安全法》對于加強互聯網和網絡安全方面的法律約束具有重要意義,對金融機構提出新的網絡安全工作思路和要求。本文從安全法的總則至法律責任六個章節的重點條款解讀銀行業金融機構開展網絡安全工作的方向和思路。
二、網絡安全法“總則”遵守解讀
重點法律條款:
第二條 在中華人民共和國境內建設、運營、維護和使用網絡,以及網絡安全的監督管理,適用本法。
第八條 國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責范圍內負責網絡安全保護和監督管理工作。
縣級以上地方人民政府有關部門的網絡安全保護和監督管理職責,按照國家有關規定確定。
第九條 網絡運營者開展經營和服務活動,必須遵守法律、行政法規,尊重社會公德,遵守商業道德,誠實信用,履行網絡安全保護義務,接受政府和社會的監督,承擔社會責任。
第十條 建設、運營網絡或者通過網絡提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,采取技術措施和其他必要措施,保障網絡安全、穩定運行,有效應對網絡安全事件,防范網絡違法犯罪活動,維護網絡數據的完整性、保密性和可用性。
第十一條 網絡相關行業組織按照章程,加強行業自律,制定網絡安全行為規范,指導會員加強網絡安全保護,提高網絡安全保護水平,促進行業健康發展。
第十二條 國家保護公民、法人和其他組織依法使用網絡的權利,促進網絡接入普及,提升網絡服務水平,為社會提供安全、便利的網絡服務,保障網絡信息依法有序自由流動。
任何個人和組織使用網絡應當遵守憲法法律,遵守公共秩序,尊重社會公德,不得危害網絡安全,不得利用網絡從事危害國家安全、榮譽和利益,煽動顛覆國家政權、推翻社會主義制度,煽動分裂國家、破壞國家統一,宣揚恐怖主義、極端主義,宣揚民族仇恨、民族歧視,傳播暴力、淫穢色情信息,編造、傳播虛假信息擾亂經濟秩序和社會秩序,以及侵害他人名譽、隱私、知識產權和其他合法權益等活動。
第十四條 任何個人和組織有權對危害網絡安全的行為向網信、電信、公安等部門舉報。收到舉報的部門應當及時依法作出處理;不屬于本部門職責的,應當及時移送有權處理的部門。
有關部門應當對舉報人的相關信息予以保密,保護舉報人的合法權益。
解讀
《網絡安全法》雖然提出的是境內管轄,但網絡通信一般是沒有國境的,因此存在跨境業務的銀行業金融機構需要優化網絡安全內部管理,保證跨境業務同時滿足國外、國內的雙重監管。特別在通信內容領域,需要審慎分析信息在境內和境外的采集、使用和存儲的合法性。
在網絡安全管理的遵從性方面,銀行業金融機構應全面落實《金融行業信息系統信息安全等級保護實施指引》【JR/T 0071—2012】的同時,還需進一步關注中央網信辦、銀監會、央行和當地政府出臺的網絡空間安全的治理規范,將其有效融合進內部管理中。
銀行業金融機構是國家的經濟中樞,承擔著維護國家網絡安全的重任,應當保證已方的網絡空間內資源利用、輿情傳播是正確的。這一方面要通過技術方法過濾,另一方面也要通過思想和道德教育來引導。
銀行業金融機構也是網絡攻擊的最大利益誘惑區,我們應當與網信、電信、公安等部門協同探討并標準化“己方網絡攻擊事件的報告、調查和取證”方法論和機制,維護國家網絡安全。
三、網絡安全法“網絡安全支持與促進”遵守解讀
重點法律條款
第十五條 國家建立和完善網絡安全標準體系。國務院標準化行政主管部門和國務院其他有關部門根據各自的職責,組織制定并適時修訂有關網絡安全管理以及網絡產品、服務和運行安全的國家標準、行業標準。
國家支持企業、研究機構、高等學校、網絡相關行業組織參與網絡安全國家標準、行業標準的制定。
第十七條 國家推進網絡安全社會化服務體系建設,鼓勵有關企業、機構開展網絡安全認證、檢測和風險評估等安全服務。
第十八條 國家鼓勵開發網絡數據安全保護和利用技術,促進公共數據資源開放,推動技術創新和經濟社會發展。
國家支持創新網絡安全管理方式,運用網絡新技術,提升網絡安全保護水平。
第十九條 各級人民政府及其有關部門應當組織開展經常性的網絡安全宣傳教育,并指導、督促有關單位做好網絡安全宣傳教育工作。
大眾傳播媒介應當有針對性地面向社會進行網絡安全宣傳教育。
解讀
《網絡安全法》要求行政主管部門(例如工信部、網信辦、銀監會等)出臺更多、甚至更具操作性的網絡安全管理、技術活產品方面標準和指南。銀行業金融機構的內部安全部門應當保持跟蹤網絡安全標準的發展,適時調整網絡安全管理策略。國家新成立的“網絡安全審查委員會”發布的《網絡產品和服務安全審查辦法(征求意見稿)》即是我們采購網絡安全產品的指導性意見。
《網絡安全法》將促進我國社會化網絡安全服務能力的提升,這對銀行業金融機構是一福音,我們將有更多可選的安全外包商。關于公共數據資源開放,我們需要結合互聯網金融的新生態,依據個人信息、商業秘密保護的相關法規和標準,評估可能的大數據資源開放方案。關于網絡安全的宣傳教育工作,我們應當承擔更多的社會責任,在金融防詐騙、互聯網消費、理財、電子交易等方面主動向用戶推送安全常識。
四、網絡安全法“網絡運行安全”遵守解讀
重點法律條款
第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄漏或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
(二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;
(四)采取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
第二十二條 網絡產品、服務應當符合相關國家標準的強制性要求。網絡產品、服務的提供者不得設置惡意程序;發現其網絡產品、服務存在安全缺陷、漏洞等風險時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。
網絡產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。
網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。
第二十三條 網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求后,方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄,并推動安全認證和安全檢測結果互認,避免重復認證、檢測。
第二十四條 網絡運營者為用戶辦理網絡接入、域名注冊服務,辦理固定電話、移動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得為其提供相關服務。
國家實施網絡可信身份戰略,支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認。
第二十五條 網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。
第二十六條 開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。
第二十七條 任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動;不得提供專門用于從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具;明知他人從事危害網絡安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。
第二十八條 網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。
第二十九條 國家支持網絡運營者之間在網絡安全信息收集、分析、通報和應急處置等方面進行合作,提高網絡運營者的安全保障能力。
有關行業組織建立健全本行業的網絡安全保護規范和協作機制,加強對網絡安全風險的分析評估,定期向會員進行風險警示,支持、協助會員應對網絡安全風險。
第三十三條 建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,并保證安全技術措施同步規劃、同步建設、同步使用。
第三十四條 除本法第二十一條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:
(一)設置專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查;
(二)定期對從業人員進行網絡安全教育、技術培訓和技能考核;
(三)對重要系統和數據庫進行容災備份;
(四)制定網絡安全事件應急預案,并定期進行演練;
(五)法律、行政法規規定的其他義務。
第三十五條 關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。
第三十七條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。
第三十八條 關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
第三十九條 國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護采取下列措施:
(一)對關鍵信息基礎設施的安全風險進行抽查檢測,提出改進措施,必要時可以委托網絡安全服務機構對網絡存在的安全風險進行檢測評估;
(二)定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練,提高應對網絡安全事件的水平和協同配合能力;
(三)促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享;
(四)對網絡安全事件的應急處置與網絡功能的恢復等,提供技術支持和協助。
解讀
《網絡安全法》把“網絡安全等級保護制度”從行政指令上升到法律高度,銀行業金融機構全面識別、評測、備案內部信息系統的安全等級是不容商議的。在具體實施等級保護制度時,需要參照執行人民銀行發布的《金融行業信息系統信息安全等級保護實施指引》【JR/T 0071—2012】,同時關注未來中央網信辦和銀監會具體如何劃分和確定網絡安全等級保護制度的文件和通知要求。
第二十一條規定的網絡安全管理必須包含的要素有:明確的管理組織和責任人,體系化的制度,組合性的技術手段,操作與事件的記錄保存期限,以及敏感數據的分類保護。我們應當在已有的信息安全管理體系基礎上,識別仍然不能形成有效管理的方面,分項實施建設以達到安全管理的完備性,不留短板。在具體管理運行上,網絡狀態記錄和事件處理記錄的保存期限在至少6個月的基礎上,應按照系統的等保級別設置,某些重要記錄可能需要長期保存;在敏感數據的保護上,不僅需要按數據功能、特征分類,更需要分級別保護。
第二十二、二十三條規定了網絡產品和服務的強制性安全責任和安全認證原則。銀行業金融機構在產品的采購時必須嚴格鑒別產品是否通過工信部、公安部、網信辦等組織的安全測評或認證許可,對暫時不能提供測評認證的產品,原則上不采用,我們內部應當有專門的部門保持跟蹤網絡關鍵設備和網絡安全專用產品目錄。另一方面銀行業金融機構應當保證己方提供的網絡、軟件等產品的安全性,當前電子金融和互聯網金融的發展,使得我們開發的軟件越來越多,可能的軟件漏洞會形成堰塞湖效應。如何應對和消解其中的風險?首先應全面引入開發安全體系,保證產品原生安全,其次應依據銀監《信息科技外包風險管理指引》完善制度、加強監督、勇于執行監督評價后措施。
第二十四條規定了必須實名制注冊才能獲得網絡服務,銀行業金融機構由于業務風險的嚴格控制需要,基本已滿足了這個要求。但是目前各家機構的身份認證還是自我封閉的,探索銀行業之間電子身份認證信息的互認卻是一個令人感興趣的課題。
第二十五條關于網絡安全事件應急預案的規定特別適用于銀行業金融機構,我們在遵守這一條款上應當站在業務連續性的高度,串聯起支持業務運行的前、中、后端的資源,建立包含網絡安全事件應急預案的業務連續性計劃。一般的網絡安全事件包括網絡攻擊、有害程序、網絡故障、系統故障和數據泄漏等。建設業務連續性計劃的主要參考依據是銀監的《商業銀行業務連續性監管指引》、《銀行業突發事件應急預案》、《GB 20986-2007 信息安全技術 信息安全事件分類分級指南》、《GB 20988-2007 信息安全技術 信息系統災難恢復規范》和《ISO/IEC 22301》,在計劃運行中保持住常態化的演練和優化。
第二十六條、三十八條關于開展網絡風險評估,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息的規定,銀行業金融機構應每年至少進行一次風險評估,在信息資產、系統環境或計算形式發生變化時應及時跟進評估風險并處置。銀行業金融機構雖然不是專業的威脅情報發布單位,但是針對我們自己的系統,特別是移動金融系統,存在的漏洞和可感染的病毒,是負有發布補丁、警示預防措施責任的,內部安全部門須承擔這個責任。
第二十七、二十八條關于打擊網絡犯罪的規定,其中提到的禁止提供廣告推廣、支付結算等幫助,為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。一般來說,犯罪總是和金錢往來有千絲萬縷的關系,銀行業金融機構配合執法機關調查時義不容辭的,在配合打擊網絡犯罪上,我們內部的對接部門和接口人、內部工作機制和程序方面都是需要制定的。
第二十九條國家支持網絡運營者之間在網絡安全方面的合作,這一方面會促進銀行業金融機構進行更多的知識分享和經驗分享,另一方面是否可以在行業圈內探索災備中心、虛擬數據中心、行業云等的共建共享方案?實現網絡安全的天然協作。
第三十三條規定了關鍵信息基礎設施建設與安全技術措施部署應當同步進行,銀行業金融機構也屬于本法明確提出的關鍵基礎設施網絡運營者之一,應當在數據中心設計、網絡架構設計、信息系統開發等重要IT活動中融入安全理念,同步執行安全需求、安全設計、安全實施和安全測試活動。安全技術措施遵循這“三同步原則”可保證項目目標與安全目標相匹配。
第三十四條規定的若干義務,銀行業金融機構應當加強遵守的有三點,一是安全關鍵崗位的背景調查,這項工作在實踐中容易流于形式,調查什么?誰來調查?仍然需要我們多思考并制定實施細則。二是應急預案的演練,需要制定年度的演練計劃,保證過程的仿真度,嚴格來說,應急演練除了場景是假設或模擬的,其他都應該是真實的。三是“法律、行政法規規定的其他義務”究竟指什么?這既包含本法其他條款說明的義務,也包含銀監、人行相關指引內的義務,更包含刑法、保守國家秘密法、反不正當競爭法、居民身份證法、商業銀行法、征信業管理條例等一系列法律法規內的義務。我們的安全部門和法務部門應當熟悉這些法規。
第三十五條規定影響國家安全的網絡基礎設施應當通過國家網信部門會同國務院有關部門組織的國家安全審查。銀行業金融機構網絡安全是國家安全的重要組成,關鍵網絡基礎設施應當取得“網絡安全審查委員會”的《網絡產品和服務安全審查辦法》內說明的認證。
第三十七條規定間接要求銀行業金融機構的個人信息和重要數據應當在境內存儲,即境外數據云存儲、境外托管等都是禁止的,無論我們是否完全控制其運行。因涉外業務需要出境的數據,其收集、存儲、處理、銷毀不能違反我國的法律法規。
第三十九條雖然規定的是國家網信部門的責任,但是銀行業金融機構如何有效配合外部網絡安全檢測、獲得外部技術指導和網絡安全的分享信息?仍然需要我們逐條梳理,建立起內部的工作程序,從組織、人員、系統方面給予保障。
五、網絡安全法“網絡信息安全”遵守解讀
重點法律條款
第四十條 網絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。
第四十一條 網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。
網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
第四十二條 網絡運營者不得泄漏、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。
網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄漏、毀損、丟失。在發生或者可能發生個人信息泄漏、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。
第四十三條 個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。
第四十四條 任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。
第四十五條 依法負有網絡安全監督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密,不得泄漏、出售或者非法向他人提供。
第四十七條 網絡運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,采取消除等處置措施,防止信息擴散,保存有關記錄,并向有關主管部門報告。
第四十八條 任何個人和組織發送的電子信息、提供的應用軟件,不得設置惡意程序,不得含有法律、行政法規禁止發布或者傳輸的信息。
電子信息發送服務提供者和應用軟件下載服務提供者,應當履行安全管理義務,知道其用戶有前款規定行為的,應當停止提供服務,采取消除等處置措施,保存有關記錄,并向有關主管部門報告。
第四十九條 網絡運營者應當建立網絡信息安全投訴、舉報制度,公布投訴、舉報方式等信息,及時受理并處理有關網絡信息安全的投訴和舉報。
網絡運營者對網信部門和有關部門依法實施的監督檢查,應當予以配合。
解讀
《網絡安全法》第四十一條到四十五條是關于個人信息保護的若干規定,覆蓋信息收集、存儲、處理、使用和轉讓等各環節,這些規定可以總結為三原則,既“征得同意”、“明確用處”和“泄漏有責”。銀行業金融機構將個人信息保護融入網絡安全管理工作中應當重點評估以下領域的風險:一是業務流程是否存在泄漏用戶信息的環節,如何加強業務線的數據保密意識、監控非法信息交易風險?二是涉及收集用戶個人信息的系統是否明確、無歧義的告知用戶信息內容、用途和范圍,是否具備技術性保護措施?三是存儲個人信息系統的運維人員的權限管理、法律責任管理是否完備?
從社會上已有的個人信息泄漏案例來看,絕大多數的原因是非法交易。銀行業金融機構應當實行業務權限、系統權限和操作權限的分離,最小化數據泄漏面,同時運用保密協議、教育培訓提高人員的自律意識。從整體上來看,我們應該把個人信息保護納入內部的數據安全體系內,系統化防御個人信息泄漏的風險。
第四十七條、四十八條規定網絡運營主體負有凈化信息發布的責任,無論主體是否意識到存在非法信息。銀行業金融機構雖然允許用戶在網站上發布信息的應用較少,但只要存在,就應當采用信息審核機制、軟件測評機制保證發布信息的合法性,我們對凈化國家網絡輿情負有義務。
第四十九條規定的網絡信息安全投訴、舉報制度等,銀行業金融機構應當確立內部的組織、責任人和處理程序以便能夠響應投訴或舉報。
六、網絡安全法“監測預警與應急處置”遵守解讀
重點法律條款
第五十一條 國家建立網絡安全監測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分析和通報工作,按照規定統一發布網絡安全監測預警信息。
第五十二條 負責關鍵信息基礎設施安全保護工作的部門,應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度,并按照規定報送網絡安全監測預警信息。
第五十三條 國家網信部門協調有關部門建立健全網絡安全風險評估和應急工作機制,制定網絡安全事件應急預案,并定期組織演練。
負責關鍵信息基礎設施安全保護工作的部門應當制定本行業、本領域的網絡安全事件應急預案,并定期組織演練。
網絡安全事件應急預案應當按照事件發生后的危害程度、影響范圍等因素對網絡安全事件進行分級,并規定相應的應急處置措施。
第五十四條 網絡安全事件發生的風險增大時,省級以上人民政府有關部門應當按照規定的權限和程序,并根據網絡安全風險的特點和可能造成的危害,采取下列措施:
(一)要求有關部門、機構和人員及時收集、報告有關信息,加強對網絡安全風險的監測;
(二)組織有關部門、機構和專業人員,對網絡安全風險信息進行分析評估,預測事件發生的可能性、影響范圍和危害程度;
(三)向社會發布網絡安全風險預警,發布避免、減輕危害的措施。
第五十五條 發生網絡安全事件,應當立即啟動網絡安全事件應急預案,對網絡安全事件進行調查和評估,要求網絡運營者采取技術措施和其他必要措施,消除安全隱患,防止危害擴大,并及時向社會發布與公眾有關的警示信息。
第五十六條 省級以上人民政府有關部門在履行網絡安全監督管理職責中,發現網絡存在較大安全風險或者發生安全事件的,可以按照規定的權限和程序對該網絡的運營者的法定代表人或者主要負責人進行約談。網絡運營者應當按照要求采取措施,進行整改,消除隱患。
第五十七條 因網絡安全事件,發生突發事件或者生產安全事故的,應當依照《中華人民共和國突發事件應對法》、《中華人民共和國安全生產法》等有關法律、行政法規的規定處置。
第五十八條 因維護國家安全和社會公共秩序,處置重大突發社會安全事件的需要,經國務院決定或者批準,可以在特定區域對網絡通信采取限制等臨時措施。
解讀
《網絡安全法》第五十一條到五十八條把網絡安全監測預警和應急處置從過去各單位自我封閉式的應急狀態提升到了行業和國家層面高度,其核心思想是“政府應承擔起網絡應急的行政、領導和協同責任”、“行業應承擔起業內網絡應急的統籌規劃和信息分享責任”、“企業應承擔起己方網絡基礎設施的監測預警責任,并保持與行業主管部門、政府和社會的信息互動”。 瞞報、少報網絡安全事件信息是違背本法思想的。
銀行業金融機構應當重點建設、完善己方的業務連續性計劃和網絡安全事件應急預案。同時按照本法的核心思想要求,其計劃和預案應增加與行業主管部門、政府相關部門和社會公眾的雙向信息通報程序,以保證國家層面上網絡基礎設施的整體安全。
在踐行網絡安全監測預警方面,中小型銀行業金融機構是否可以在監管部門的指導下,建設多家聯合的網絡安全監測預警云平臺?實現協同運營,降低成本,提高應急處理的專業性和效率。
七、網絡安全法“法律責任”遵守解讀
重點法律條款
第五十九條 網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
第六十條 違反本法第二十二條第一款、第二款和第四十八條第一款規定,有下列行為之一的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處五萬元以上五十萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款:
(一)設置惡意程序的;
(二)對其產品、服務存在的安全缺陷、漏洞等風險未立即采取補救措施,或者未按照規定及時告知用戶并向有關主管部門報告的;
(三)擅自終止為其產品、服務提供安全維護的。
第六十一條 網絡運營者違反本法第二十四條第一款規定,未要求用戶提供真實身份信息,或者對不提供真實身份信息的用戶提供相關服務的,由有關主管部門責令改正;拒不改正或者情節嚴重的,處五萬元以上五十萬元以下罰款,并可以由有關主管部門責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第六十二條 違反本法第二十六條規定,開展網絡安全認證、檢測、風險評估等活動,或者向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息的,由有關主管部門責令改正,給予警告;拒不改正或者情節嚴重的,處一萬元以上十萬元以下罰款,并可以由有關主管部門責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五千元以上五萬元以下罰款。
第六十三條 違反本法第二十七條規定,從事危害網絡安全的活動,或者提供專門用于從事危害網絡安全活動的程序、工具,或者為他人從事危害網絡安全的活動提供技術支持、廣告推廣、支付結算等幫助,尚不構成犯罪的,由公安機關沒收違法所得,處五日以下拘留,可以并處五萬元以上五十萬元以下罰款;情節較重的,處五日以上十五日以下拘留,可以并處十萬元以上一百萬元以下罰款。
單位有前款行為的,由公安機關沒收違法所得,處十萬元以上一百萬元以下罰款,并對直接負責的主管人員和其他直接責任人員依照前款規定處罰。
違反本法第二十七條規定,受到治安管理處罰的人員,五年內不得從事網絡安全管理和網絡運營關鍵崗位的工作;受到刑事處罰的人員,終身不得從事網絡安全管理和網絡運營關鍵崗位的工作。
第六十四條 網絡運營者、網絡產品或者服務的提供者違反本法第二十二條第三款、第四十一條至第四十三條規定,侵害個人信息依法得到保護的權利的,由有關主管部門責令改正,可以根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。
違反本法第四十四條規定,竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息,尚不構成犯罪的,由公安機關沒收違法所得,并處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款。
第六十五條 關鍵信息基礎設施的運營者違反本法第三十五條規定,使用未經安全審查或者安全審查未通過的網絡產品或者服務的,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第六十六條 關鍵信息基礎設施的運營者違反本法第三十七條規定,在境外存儲網絡數據,或者向境外提供網絡數據的,由有關主管部門責令改正,給予警告,沒收違法所得,處五萬元以上五十萬元以下罰款,并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第六十七條 違反本法第四十六條規定,設立用于實施違法犯罪活動的網站、通訊群組,或者利用網絡發布涉及實施違法犯罪活動的信息,尚不構成犯罪的,由公安機關處五日以下拘留,可以并處一萬元以上十萬元以下罰款;情節較重的,處五日以上十五日以下拘留,可以并處五萬元以上五十萬元以下罰款。關閉用于實施違法犯罪活動的網站、通訊群組。
單位有前款行為的,由公安機關處十萬元以上五十萬元以下罰款,并對直接負責的主管人員和其他直接責任人員依照前款規定處罰。
第六十八條 網絡運營者違反本法第四十七條規定,對法律、行政法規禁止發布或者傳輸的信息未停止傳輸、采取消除等處置措施、保存有關記錄的,由有關主管部門責令改正,給予警告,沒收違法所得;拒不改正或者情節嚴重的,處十萬元以上五十萬元以下罰款,并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
電子信息發送服務提供者、應用軟件下載服務提供者,不履行本法第四十八條第二款規定的安全管理義務的,依照前款規定處罰。
第六十九條 網絡運營者違反本法規定,有下列行為之一的,由有關主管部門責令改正;拒不改正或者情節嚴重的,處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員,處一萬元以上十萬元以下罰款:
(一)不按照有關部門的要求對法律、行政法規禁止發布或者傳輸的信息,采取停止傳輸、消除等處置措施的;
(二)拒絕、阻礙有關部門依法實施的監督檢查的;
(三)拒不向公安機關、國家安全機關提供技術支持和協助的。
第七十條 發布或者傳輸本法第十二條第二款和其他法律、行政法規禁止發布或者傳輸的信息的,依照有關法律、行政法規的規定處罰。
第七十一條 有本法規定的違法行為的,依照有關法律、行政法規的規定記入信用檔案,并予以公示。
第七十二條 國家機關政務網絡的運營者不履行本法規定的網絡安全保護義務的,由其上級機關或者有關機關責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分。
第七十三條 網信部門和有關部門違反本法第三十條規定,將在履行網絡安全保護職責中獲取的信息用于其他用途的,對直接負責的主管人員和其他直接責任人員依法給予處分。
網信部門和有關部門的工作人員玩忽職守、濫用職權、徇私舞弊,尚不構成犯罪的,依法給予處分。
第七十四條 違反本法規定,給他人造成損害的,依法承擔民事責任。
違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第七十五條 境外的機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關鍵信息基礎設施的活動,造成嚴重后果的,依法追究法律責任;國務院公安部門和有關部門并可以決定對該機構、組織、個人采取凍結財產或者其他必要的制裁措施。
解讀
銀監會《商業銀行信息科技風險管理指引》中明確了商業銀行要定期開展內外部的信息科技風險審計,但對于違規行為沒有提出具體的處罰標準。《網絡安全法》在第六章“法律責任”中提高了違法行為的處罰標準,有利于保障《網絡安全法》的實施。銀行業金融機構需強化內部網絡安全三道管理線,即日常管理、風險管理和風險審計。日常管理是執行層運用已有的技術手段和體系流程,預防、監測和響應網絡安全風險。風險管理是管理層運用已有的風險評估策略和安全風險指標,評估、統計和分析網絡安全風險。風險審計是決策層運用內外部審計機制和工具,監督網絡安全風險的全景。
值得特別說明的兩點:一是銀行業金融機構應當在對全員的網絡安全宣傳教育中,增加本法“法律責任”的教育;二是第七十五條規定的凍結財產措施本身需要銀行業來支持,我們需要內部的業務、法務和安全部門制定標準化的程序來執行公安部門或有關部門下達的凍結資產指令。
京公網安備 11010502049343號