網(wǎng)絡安全法教程

第十四章

網(wǎng)絡安全合規(guī)審查第十四章

網(wǎng)絡安全合規(guī)審查【內容提要】隨著《網(wǎng)絡安全法》的出臺，網(wǎng)絡安全合規(guī)工作愈發(fā)重要。為了降低企業(yè)網(wǎng)安合規(guī)風險，越來越多的企業(yè)開始啟動網(wǎng)絡安全合規(guī)服務。本章旨在系統(tǒng)闡釋網(wǎng)絡安全合規(guī)基本原理（網(wǎng)絡安全合規(guī)的概念、主體和依據(jù)等）和網(wǎng)絡安全合規(guī)審查的內容。第一節(jié)

網(wǎng)絡安全合規(guī)概述

一、網(wǎng)絡安全合規(guī)的概念（一）“合規(guī)”的含義（二）合規(guī)的要素

規(guī)則的識別

規(guī)則的遵守

規(guī)則的運行（三）網(wǎng)絡安全合規(guī)的界定（三）網(wǎng)絡安全合規(guī)的界定網(wǎng)絡安全合規(guī)，是指網(wǎng)絡運營者應當全面遵守網(wǎng)絡安全法律（如《網(wǎng)絡安全法》）、國家標準（如《個人信息安全規(guī)范》）及相關文本規(guī)范，避免遭受法律制裁或監(jiān)管處罰。二、網(wǎng)絡安全合規(guī)的主體《網(wǎng)絡安全法》語境下的“網(wǎng)絡運營者”是一個非常廣泛的概念，包括網(wǎng)絡（各種網(wǎng)絡和觸網(wǎng)的系統(tǒng)，例如局域網(wǎng)、工業(yè)控制系統(tǒng)、自動化辦公系統(tǒng)、社交媒體等）的所有者、管理者（含網(wǎng)絡或內容管理）和網(wǎng)絡服務提供者（包括網(wǎng)絡內容服務提供商、網(wǎng)絡平臺服務提供商、網(wǎng)絡接入服務提供商。從廣義上來說，還包括《網(wǎng)絡安全法》第二十二條提到的“網(wǎng)絡產(chǎn)品、服務的提供者”）。三、網(wǎng)絡安全合規(guī)的依據(jù)網(wǎng)絡安全合規(guī)的依據(jù)不僅僅包括《網(wǎng)絡安全法》，同時包括消費者權益

保護法、民法總則、刑法等基本法。同時還包括全國人大的決定以及其他單行法規(guī)（例如國務院292號令）、規(guī)章（例如工信部24號令）等，相關法律法規(guī)、司法解釋、國家技術標準和政策文件等也是網(wǎng)絡安全合規(guī)的依據(jù)。第二節(jié)

網(wǎng)絡安全合規(guī)審查的內容一、網(wǎng)絡安全等級保護的合規(guī)審查網(wǎng)絡安全等級保護制度作為保障和促進我國信息化建設健康發(fā)展的一項基本制度，不做等級保護（簡稱“等?！保┕ぷ骶褪遣缓弦?guī)行為。合規(guī)要點之一：審查是否定級和備案，并進行合規(guī)審查。合規(guī)要點之二：審查是否落實“建設整改”工作，并進行合規(guī)審查。合規(guī)要點之三：審查是否開展“等級測評”工作，并進行合規(guī)審查。合規(guī)要點之四：審查是否開展“監(jiān)督檢查”工作，并進行合規(guī)審查。【延伸閱讀】某事業(yè)單位網(wǎng)站違反網(wǎng)絡等級安全等級保護制度被處罰案件案情簡介：山西忻州市某省直事業(yè)單位網(wǎng)站存在SQL注入漏洞，嚴重威脅網(wǎng)站信息安全，連續(xù)被國家網(wǎng)絡與信息安全信息通報中心通報。根據(jù)《中華人民共和國網(wǎng)絡安全法》第二十一條第二款之規(guī)定，網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術措施；第五十九條第一款之規(guī)定，網(wǎng)絡運營者不履行第二十一條規(guī)定的網(wǎng)絡安全保護義務的，由有關主管部門責令改正，依法予以處置。山西忻州市網(wǎng)警認為該單位之行為已違反《網(wǎng)絡安全法》相關規(guī)定，忻州市、縣兩級公安機關網(wǎng)安部門對該單位進行了現(xiàn)場執(zhí)法檢查，依法給予行政警告處罰并責令其改正。二、關鍵基礎信息設施安全的合規(guī)審查

《網(wǎng)絡安全法》第三章第二節(jié)“關鍵信息基礎設施”首次對關鍵信息基礎設施運營者（CIIO）的網(wǎng)絡安全義務從法律層面予以規(guī)定，對CIIO提出了比一般網(wǎng)絡運營者更高的法定安全保護義務。合規(guī)要點之一：完成關鍵信息基礎設施的識別與確定是合規(guī)整改的前提合規(guī)要點之二：審查政策文件要求落實情況合規(guī)要點之三：審查國家安全標準、行業(yè)標準等執(zhí)行情況合規(guī)要點之四：審查信息安全等級保護落實情況合規(guī)要點之五：審查個人信息和重要數(shù)據(jù)保護情況合規(guī)要點之六：審查安全管理機構設置和人員安全管理情況合規(guī)要點之七：審查安全管理保障體系落實情況合規(guī)要點之八：審查備份與恢復情況；審查應急響應與處置情況三、網(wǎng)絡信息安全的合規(guī)審查合規(guī)要點之一：個人信息收集的合規(guī)審查合規(guī)要點之二：個人信息保存的合規(guī)審查合規(guī)要點之三：個人信息的使用合規(guī)要點之四：個人信息的委托處理合規(guī)要點之五：個人信息共享、轉讓和公開披露的合規(guī)審查合規(guī)要點之六：個人信息跨境傳輸?shù)暮弦?guī)審查合規(guī)要點之七：個人信息安全事件處置的合規(guī)審查合規(guī)要點之八：組織管理的合規(guī)審查關于網(wǎng)絡內容審查的內容，主要包括但不限于以下方面：合規(guī)要點之一：管理用戶發(fā)布信息的義務合規(guī)要點之二：網(wǎng)絡運營者的網(wǎng)絡信息管理義務合規(guī)要點之三：網(wǎng)絡運營者網(wǎng)絡安全維護義務四、數(shù)據(jù)本地化和出境安全合規(guī)審查合規(guī)要點之一：熟悉數(shù)據(jù)出境安全評估總體流程合規(guī)要點之二：把握審查安全自評估流程合規(guī)要點之三：了解審查主管部門評估流程五、網(wǎng)絡產(chǎn)品和服務安全合規(guī)審查合規(guī)要點之一：網(wǎng)絡產(chǎn)品和服務安全審查的主體合規(guī)要點之二：網(wǎng)絡產(chǎn)品和服務安全審查的范圍合規(guī)要點之三：網(wǎng)絡產(chǎn)品和服務安全審查的重點合規(guī)要點之四：網(wǎng)絡產(chǎn)品和服務安全審查的啟動合規(guī)要點之五：網(wǎng)絡產(chǎn)品和服務安全審查的評估報告【延伸閱讀】廣東省通信管理局要求UC瀏覽器整改2017年9月19日，廣東省通信管理局對廣州市動景計算機科技有限公司提供的UC瀏覽器只能云加速產(chǎn)品服務存在安全缺陷和漏洞風險未能及時全面檢測修補的問題，責令其立即