《网络安全法》修改带给我们哪些启示,政企单位如何做好准备?
新华社北京9月14日电 为了做好网络安全法与相关法律的衔接协调,完善法律责任制度,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,国家网信办会同相关部门起草了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》并于14日公布,向社会公开征求意见。
《网络安全法》修改的背景
1、自2017年施行《中华人民共和国网络安全法》之后,《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国密码法》《关键信息基础设施安全保护条例》等相继施行,应做好《中华人民共和国网络安全法》与新实施的法律之间衔接协调,完善法律责任制度,进一步保障网络安全。
2、当前,全球网络安全格局动荡不安,大规模网络攻击频频发生,网络安全已成为国家安全的重要因素,为此应该持续加强网络顶层设计,加强网络力量建设。
3、在数字化时代,伴随着人工智能、大数据、云计算等信息技术的快速发展,产业数字化、数字产业化,网络安全态势也变得日益复杂,网络安全面临新形势;同时数据作为生产要素,呈现爆发式增长,需要进一步关注数据安全。
修改的主要内容
1、完善违反网络运行安全一般规定的法律责任制度。结合当前网络运行安全法律制度实施情况,拟调整违反网络运行安全保护义务或者导致危害网络运行安全等后果的行为的行政处罚种类和幅度。
2、修改关键信息基础设施安全保护的法律责任制度。关键信息基础设施是经济社会运行的神经中枢,为强化关键信息基础设施安全保护责任,进一步完善关键信息基础设施运营者有关违法行为行政处罚规定。
3、调整网络信息安全法律责任制度。适应网络信息安全工作实际,对违反网络信息安全义务行为的法律责任进行整合,调整了行政处罚幅度和从业禁止措施,新增对法律、行政法规没有规定的有关违法行为的法律责任规定。
4、修改个人信息保护法律责任制度。鉴于个人信息保护法规定了全面的个人信息保护法律责任制度,拟将原有关个人信息保护的法律责任修改为转致性规定。
要点解读
处罚力度提高,企业违法成本加重
1、发生网络运行安全保护义务或者导致危害网络运行安全等后果的,除原要求的责令改正、警告外,增加通报批评。
2、拒不改正或情节严重的罚款上限提高。由1万-10万或5万-50万提高到100万以下。
3、拒不改正或情节严重的可暂停业务、关停网站、吊销营业执照等。违反21条、第22条第1款和第2款、第23条、第25条、第28条、第33条、第34条、第36条、第38条的,新增可并处责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
新增情节特别严重的罚则,罚款金额加大,责任到人
1、单位高额罚款。单位罚金新增5000万元以下或上一年度营业额5%以下这一标准,与《个人信息保护法》保持一致。
2、负责人罚款+禁业。新增负责人禁业,禁止担任董监高和安全类关键岗位。
法律条款合并,实现协调统一,简洁明了
1、《个人信息保护法》等法规对个人信息保护的罚则做了全面规定,此对不再规定具体的罚则,援引对应规定。
2、《数据安全法》中关键信息基础设施运营者在境外存储网络数据或向境外提供网络数据进行了相关规定,此处不再规定具体罚则,援引相关内容。
应对建议
安恒信息认为,面对《网络安全法》修改的新要求、新形势,政企单位应该做好以下准备:
//
1、要进一步转变理念,“合法合规不越线”是从事一切活动的基本准则。政企单位尤其是企业在中华人民共和国境内建设、运营、维护和使用网络,以及开展一切网络安全业务都要自觉遵循《中华人民共和国网络安全法》这一网络安全领域里基础性的法律。
2、政企单位要遴选和采购经安全审查过的网络产品或者服务,负担关键信息基础设施主管和运营。关基单位应适应新时代安全态势,坚持安全技术措施“三同步”理念,兼顾技术先进性原则,优先使用国产软硬件产品,确保安全可控。
3、相关单位要着重加强本行业、本单位的数据安全防护,优先开展数据分类分级管理、敏感数据识别,梳理数据资产清单,加强数据交易和数据交换的全生命周期防护措施;涉及境外数据业务的单位要严格依照国家网信部门要求,依据《数据出境安全评估办法》规定,按照国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》申报数据出境安全评估。
4、明确网络安全第一责任人,从实战化组建网络安全团队,至少包含决策层、管理层、执行层,同时明确责任分工,责任到人。
5、在落实信息安全等级保护制度之上,做好跨境数据的监管,数据安全能力建设,网络安全数据安全两手抓,实现网络安全和数据安全的统一。
6、网络安全建设不能单一再依赖于某一款或某几款产品,而是与服务深度融合。安全建设的压力转变为对价值的追求,以安全结果为导向。
7、积极与主管部门、监管部门互动,在安全事件预警通报、检查处置、应急响应场景加强与网信、公安部门协同。
8、开展常态化攻防演练活动,持续验证网络安全建设成果,通过演练查漏补缺,做到“平时多流汗,战时少流泪”。
9、建立健全的网络安全人才培训深造和能力培养的配套机制,推动建立专业技术人才的聘用制度,培养一批既懂信息化又懂网络安全技术、既懂业务又懂管理的“新技术人才”。
10、经费投入是规划建设得以顺利实施的重要保证,网络安全建设在当前和今后一段时期的信息化建设中具有战略性、基础性、全局性地位,需要保证网络安全建设的经费投入,进一步提高资金利用效率,完善项目审核制度,杜绝重复投入和重复建设,降低建设成本,做到业务与安全的平衡。