以下是方婷演講實錄：（內(nèi)容根據(jù)現(xiàn)場速記整理

時間：2022-03-05 05:56:02 | 來源：行業(yè)動態(tài)

時間：2022-03-05 05:56:02 來源：行業(yè)動態(tài)

方婷：有關(guān)于企業(yè)信息安全遵從的一些相關(guān)規(guī)定，實際上引發(fā)了各界普遍關(guān)注，今天我就此與大家一起分享有關(guān)于網(wǎng)絡(luò)安全法下的企業(yè)信息安全遵從的相關(guān)內(nèi)容。首先我們可以看一下，網(wǎng)絡(luò)安全法的一個立法進(jìn)程圖，網(wǎng)絡(luò)安全法的立法實際上在2013年的下半年已經(jīng)提上了議程，一直到去年的11月獲得了通過，在經(jīng)歷了兩次征求意見稿三次審議，最后獲得了一個高票的通過，并于今年的6月1日起正式施行，從這個立法進(jìn)程圖中我們可以看出，實際上我們國家的網(wǎng)絡(luò)安全法是經(jīng)過了多個階段進(jìn)行修改和完善，在此基礎(chǔ)上形成了現(xiàn)在看到的版本，近期實際上有關(guān)于網(wǎng)絡(luò)安全法的一些動態(tài)，我們可以看到，網(wǎng)絡(luò)安全法基于基本法的屬性，為了有效的落實網(wǎng)絡(luò)安全法具體的規(guī)定，網(wǎng)絡(luò)安全法的相關(guān)要求能夠?qū)嵤┞涞?，實際上我們國家公安部、網(wǎng)信辦實際上是采取了相應(yīng)的執(zhí)法活動。

那么我們比較關(guān)注的就是有關(guān)于國家安全審查的問題，數(shù)據(jù)跨境安全評估的問題等等，實際上網(wǎng)信辦也出臺了相應(yīng)的辦法。那么接下來我將展開今天和大家匯報的一個內(nèi)容，主要分為四個部分，第一個部分就是對網(wǎng)絡(luò)安全法做一個基本的概述，第二部分，第三部分和第四部分將是我今天給大家重點(diǎn)分享的部分，就是有關(guān)于我們企業(yè)的一個信息安全遵從的一些相關(guān)規(guī)定。那么我把它概括為三個主體的一個信息安全遵從義務(wù)的規(guī)定，實際上也涉及到其他的主體，但是網(wǎng)安法實際上對這三項規(guī)定比較多，而且內(nèi)容也是非常的詳細(xì)，那么我主要圍繞網(wǎng)絡(luò)運(yùn)營者，網(wǎng)絡(luò)產(chǎn)品服務(wù)提供者以及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者，這三方面主體進(jìn)行信息安全義務(wù)遵從的解讀。

實際上網(wǎng)絡(luò)安全法它的立法思路就是基于我們國家，國際國內(nèi)的一個網(wǎng)絡(luò)安全形勢，以及爆發(fā)的網(wǎng)絡(luò)安全事件，那么我國早在1998年之前成立了國務(wù)院的信息辦，當(dāng)時有國務(wù)院的147號令，刑法的285，286，287條的相關(guān)規(guī)定，那么在2001年左右，包括中美黑客大戰(zhàn)促成下成立了國新辦，當(dāng)時也發(fā)布了相應(yīng)的網(wǎng)絡(luò)安全管理的政策文件，還有包括相應(yīng)的法律法規(guī)。那么實際上在2009年前后，包括新疆七五事件，還有愛沙尼亞政府遭到網(wǎng)絡(luò)攻擊，以及大家眾所周知的伊朗核設(shè)施受到攻擊事件，實際上讓我們更加認(rèn)識到了網(wǎng)絡(luò)安全的重要性。近幾年網(wǎng)絡(luò)安全事件頻發(fā)，以及國內(nèi)網(wǎng)絡(luò)安全形勢使我們更加清楚認(rèn)識到網(wǎng)絡(luò)安全保護(hù)的重要性，那立法的迫切性和需求就顯得更加突出。那么我們眾所周知的烏克蘭電網(wǎng)斷電的事件，以及中興華為受到審查的事件，都使我們充分認(rèn)識到了網(wǎng)絡(luò)安全戰(zhàn)略政策立法的重要性。

在這個階段習(xí)總書記在419講話當(dāng)中明確提出了，沒有網(wǎng)絡(luò)安全就沒有國家安全。那么有關(guān)于網(wǎng)絡(luò)安全法的一個法律框架也可以看到，實際上形成了一個比較具有體系化的，包括國家網(wǎng)絡(luò)安全領(lǐng)導(dǎo)體系、保障體系、治理體系、安全標(biāo)準(zhǔn)體系、社會化體系以及關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系的一個體系化的法律框架，其中包括等級保護(hù)制度監(jiān)測預(yù)警，通報制度等等，在這一制度體系下，實際上對企業(yè)的信息安全遵從的義務(wù)做出了一些具體的規(guī)定，包括建立一些相應(yīng)的安全保障的能力。那么我們可以看出實際上國家網(wǎng)安法它是作為我們國家網(wǎng)絡(luò)攻擊安全管理的一個基本法律，與反恐法、刑法、保密法以及人大相應(yīng)的決定，還有一些互聯(lián)網(wǎng)信息管理服務(wù)辦法一些條例，現(xiàn)行法律法規(guī)，共同構(gòu)成了我們國家有關(guān)于網(wǎng)絡(luò)安全管理的一個法律體系。那么實際上網(wǎng)安法基于基本法的規(guī)定，具有一些原則性，為了具體的落實這些規(guī)定，然后為信息安全，為企業(yè)提供一些信息安全遵從的明確指引，我們國家實際上就是要制訂相應(yīng)的配套的法律法規(guī)。

正在制定實際上包括關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)條例，以及關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)的要求，涉及到關(guān)鍵信息基礎(chǔ)設(shè)施的識別指南的一些規(guī)定，以及重要數(shù)據(jù)識別指南，實際上這些配套法規(guī)為了網(wǎng)安法的具體實施落地，提供了相應(yīng)的支持。

接下來我將給大家分享一下有關(guān)于我們企業(yè)信息安全遵從的一些相關(guān)規(guī)定，那么首先第一個部分就有關(guān)我們的一般的網(wǎng)絡(luò)運(yùn)營者的信息安全遵從義務(wù)，實際上在原則性規(guī)定里面，對于網(wǎng)絡(luò)運(yùn)營者的基本義務(wù)做了三個層面的規(guī)定，包括要履行網(wǎng)絡(luò)安全保護(hù)的義務(wù)，承擔(dān)相應(yīng)的社會責(zé)任，同時要保障網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)數(shù)據(jù)的完整性，保密性和可用性，那么對于網(wǎng)絡(luò)運(yùn)營者這個概念界定實際上在網(wǎng)安法的負(fù)責(zé)當(dāng)中已經(jīng)作出了明確的規(guī)定，其中指出網(wǎng)絡(luò)運(yùn)營者是指，網(wǎng)絡(luò)的所有者，管理者以及網(wǎng)絡(luò)服務(wù)的提供者，從這個概念界定來看，對比網(wǎng)安法草案一審稿可以看出，實際上網(wǎng)安法采用了比較寬泛的外延，這也是基于我們國家這種信息技術(shù)快速發(fā)展的一個需求，對于立法這種寬泛性，具有靈活性的這種制定立法的需求。

那么對于網(wǎng)絡(luò)運(yùn)營者的信息安全遵從義務(wù)，我主要給大家做了一個具體的概括，包括以下幾個義務(wù)。接下來比較有爭議的，和大家比較關(guān)注的焦點(diǎn)問題，我將給大家做一個詳細(xì)的解讀，那么首先是第一個層面，有關(guān)于網(wǎng)絡(luò)運(yùn)營者的安全保護(hù)義務(wù)，實際上在網(wǎng)安法第21條做出了明確的規(guī)定，那么這個規(guī)定實際上是落實我們國家，網(wǎng)絡(luò)安全等級保護(hù)制度的要求，那么網(wǎng)安全等級保護(hù)制度實際上和之前的計算機(jī)信息系統(tǒng)等級保護(hù)系統(tǒng)實際上本質(zhì)上是一樣的，只是在這個基礎(chǔ)上發(fā)展起來的新版機(jī)制，源于最早的國務(wù)院147號令第九條的規(guī)定，對于信息系統(tǒng)實行分等級進(jìn)行安全保護(hù)的這種措施。那么非常重要的一點(diǎn)就是有關(guān)于等保的實施實際上公安部已經(jīng)采取了相應(yīng)的措施，包括要制定一系列修訂相應(yīng)的等保系列標(biāo)準(zhǔn)，包括2008年信息安全等級保護(hù)的基本要求，還有信息安全等級保護(hù)的頂級指南規(guī)范，這個指南規(guī)范已經(jīng)修訂了相應(yīng)的名稱，這些修訂實際上是基于多方面的考量，那么主要是三個方面。

第一個方面就是有關(guān)于安全，內(nèi)涵的一個變化。那么就是說從傳統(tǒng)的，早期的我們強(qiáng)調(diào)信息數(shù)據(jù)的安全，發(fā)展到這種信息系統(tǒng)保障安全以及目前強(qiáng)調(diào)的網(wǎng)絡(luò)空間安全，實際上這個安全內(nèi)涵有一個變化，對于等保的系列標(biāo)準(zhǔn)修訂是有一個需求。第二個方面就是IT系統(tǒng)的重要性不斷的提升，IT系統(tǒng)重要性目前逐步在國家安全，社會民生等等領(lǐng)域重要性逐漸凸顯，也對這個修訂有了巨大的需求。第三個層面就是有關(guān)于網(wǎng)絡(luò)安全責(zé)任的變化，我們比如說像云計算，在云計算服的背景下，提供了虛擬計算資源，使得傳統(tǒng)的這種服務(wù)，運(yùn)營和管理的服務(wù)商單一責(zé)任向這種云服務(wù)商，和云租戶分擔(dān)責(zé)任的這種情況進(jìn)行轉(zhuǎn)化。那么在這種情況下也為我們國家的等級保護(hù)工作帶來了更大的挑戰(zhàn)，尤其是定級工作。在這個背景下實際上也是對我們國家等保系列標(biāo)準(zhǔn)修訂有一個強(qiáng)烈的需求。

那么對于具體的安全保護(hù)遵從義務(wù)，實際上我們可以看到是包括四個方面來落實等級保護(hù)制度的要求，那么第一個方面就是要求我們企業(yè)要采取相應(yīng)的組織措施，那么包括要制定企業(yè)內(nèi)部的內(nèi)控制度，以及落實安全責(zé)任，網(wǎng)絡(luò)安全責(zé)任到人，第二個方面就是要采取相應(yīng)的技術(shù)措施，來防范網(wǎng)絡(luò)攻擊和入侵，以及防范網(wǎng)絡(luò)代碼，安裝防病毒軟件，安裝身份認(rèn)證系統(tǒng)，安裝入侵監(jiān)測系統(tǒng)以及風(fēng)險審計系統(tǒng)等等，保障我們安全。第三個方面就是有關(guān)于數(shù)據(jù)安全的要求，要求我們網(wǎng)絡(luò)運(yùn)營者要采取數(shù)據(jù)分類的方式，同時要對重要數(shù)據(jù)進(jìn)行備份，并且對正在傳輸和儲存的這些數(shù)據(jù)進(jìn)行一個加密的保護(hù)。最后一個方面就是要求我們的企業(yè)采用檢測技術(shù)持續(xù)監(jiān)測有關(guān)于網(wǎng)絡(luò)運(yùn)營的狀態(tài)，以及網(wǎng)絡(luò)安全事件，同時對日志要求有一個數(shù)據(jù)存留的要求，要求存留六個月，這個實際上也是對國外立法的一個參考。

那么對于相應(yīng)違反不履行相關(guān)義務(wù)的規(guī)定，也做了相應(yīng)的責(zé)任。實際上也是落實我們網(wǎng)絡(luò)實名制的要求，這個在我們網(wǎng)安法第24條有明確的規(guī)定對于網(wǎng)絡(luò)實名制，實際上我們國家在2012年的全國人大常委會關(guān)于加強(qiáng)網(wǎng)絡(luò)安全保護(hù)管理當(dāng)中已經(jīng)加強(qiáng)了。在電話用戶真實信息登記規(guī)定和2015年網(wǎng)信辦，不良網(wǎng)用戶等管理當(dāng)中，也是要求對用戶進(jìn)行實名登記管理，同時非常重要的是在反恐法中規(guī)定了基于反恐要求，要求我們的電信互聯(lián)網(wǎng)金融等等這些服務(wù)提供者來對用戶進(jìn)行真實身份認(rèn)證的要求，都是已經(jīng)落實了實名制的要求，網(wǎng)安法實際上是從基本法的層面又強(qiáng)調(diào)，并原則性的規(guī)定網(wǎng)絡(luò)實名制具體的要求。

第三個層面實際上是有關(guān)于我們企業(yè)進(jìn)行網(wǎng)絡(luò)安全監(jiān)測預(yù)警機(jī)制建立的要求，這要求實際上是基于網(wǎng)絡(luò)安全風(fēng)險控制的一個需求，所建立的一個機(jī)制，實際上包括監(jiān)測預(yù)警處置三個階段，那么在網(wǎng)絡(luò)安全檢測階段要求，我們企業(yè)有關(guān)于網(wǎng)絡(luò)安全信息的收集，分析，攻防演練，漏洞挖掘等等，那么在發(fā)現(xiàn)有關(guān)于網(wǎng)絡(luò)安全信息以及網(wǎng)絡(luò)安全事件可能發(fā)生的情況下，包括采取相應(yīng)的網(wǎng)絡(luò)安全信息通報，并向社會發(fā)布相應(yīng)的預(yù)警信息，同時網(wǎng)絡(luò)安全主管部門，同時要相應(yīng)的企業(yè)的法律代表人進(jìn)行約談，要求提出一些整改的要求，來滿足網(wǎng)絡(luò)安全保障的一些需求。最后就是處置階段，要求我們企業(yè)盡快的啟動應(yīng)急預(yù)案，并且我們的計算機(jī)應(yīng)急響應(yīng)小組盡快作出應(yīng)急效應(yīng)和恢復(fù)同時也要求有一種對境外攻擊進(jìn)行反治的能力。

情報來源以及企業(yè)正式的行業(yè)組織，以及商業(yè)伙伴，還有公開的一些來源，以及提供商業(yè)情報服務(wù)的來源來獲取有關(guān)于網(wǎng)絡(luò)威脅信息，網(wǎng)絡(luò)安全信息監(jiān)測的過程當(dāng)中，收集的這些信息的來源。那么有關(guān)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)實際上也是有具體的要求，在網(wǎng)安法當(dāng)中25條明確要求要制定應(yīng)急預(yù)案，那么應(yīng)急預(yù)案的制定，實際上應(yīng)當(dāng)包括以下幾個方面，我們從圖中可以看到，實際上要設(shè)計有關(guān)網(wǎng)絡(luò)安全事件應(yīng)急管理的方針政策和工作原則，還有組織機(jī)構(gòu)，職責(zé)以及相應(yīng)人員的溝通與協(xié)調(diào)方式，以及應(yīng)當(dāng)采取的應(yīng)急行動和保障措施等等，甚至包括事后恢復(fù)與重建措施，并且要求建立相應(yīng)的操作手冊來明確應(yīng)急過程中的關(guān)鍵狀態(tài)和溝通報告的內(nèi)容。那么制定應(yīng)急預(yù)案的過程中，實際上我們也基于以下的考量，包括我們的業(yè)務(wù)分類，業(yè)務(wù)風(fēng)險的等級，技術(shù)的現(xiàn)狀以及優(yōu)先考慮對社會，用戶和內(nèi)部管理最大的事件。同時要求進(jìn)行定期和不定期的應(yīng)急演練來檢驗我們應(yīng)急預(yù)案的可操作性以及它的科學(xué)性，合理性，有效性。

同時采取相應(yīng)的補(bǔ)救措施和報告，處置措施等等，這是我們前面都已經(jīng)談到過的。那么第四個方面實際上是有關(guān)于我們企業(yè)的技術(shù)協(xié)助，技術(shù)支持以及協(xié)助執(zhí)法的要求，那么在網(wǎng)安法的第28條做出了相關(guān)的規(guī)定，實際上這規(guī)定與我們國家的反恐法，已經(jīng)制定了反恐法，還有密碼法的一個草案征求意見稿，即將出臺的密碼法的相關(guān)規(guī)定，是形成了有效的銜接，實際上都是在基于維護(hù)國家安全和偵查犯罪的情況下，要求為公安機(jī)關(guān)和國家機(jī)關(guān)，要求相應(yīng)的網(wǎng)絡(luò)運(yùn)營者來提供相應(yīng)的技術(shù)支持和協(xié)助執(zhí)法的義務(wù)要求。最后一個方面有關(guān)于網(wǎng)絡(luò)運(yùn)營者的信息安全遵從義務(wù)，我們可以看到實際上有關(guān)于個人信息保護(hù)，用戶個人信息保護(hù)的一個義務(wù)，實際上有關(guān)于個人信息保護(hù)的相關(guān)規(guī)定，實際上我們國家最早在2000年的這個人大決定，一直到我們近期的兩高班和司法解釋都是做出了一些明確的要求。那么我們網(wǎng)絡(luò)安全法首次是以網(wǎng)絡(luò)安全基本法的層面來規(guī)定了有關(guān)于個人信息保護(hù)的一些具體的原則和要求。

那么我們可以看到，實際上在網(wǎng)安法當(dāng)中做出了明確的規(guī)定，其中在第四章的用戶信息安全當(dāng)中，有多條涉及到我們企業(yè)個人信息保護(hù)的義務(wù)，要求，首先是關(guān)于第44條禁止性的規(guī)定，同時包括以下幾個方面，第一就是對個人信息收集使用原則和要求，包括要合法，正當(dāng)必要的原則收集用戶的個人信息，同時要經(jīng)過用戶的同意，那么第二方面是要求對個人信息收集的用戶個人信息不得泄露，篡改和毀損，有可能涉及到個人信息泄露的情況下，要求企業(yè)應(yīng)當(dāng)立即采取相應(yīng)的措施同時應(yīng)當(dāng)向主管部門報告，同時應(yīng)當(dāng)向權(quán)利可能被侵犯，通知其權(quán)利可能被侵犯的情況。要求以同意為原則，但是經(jīng)過匿名化處理的這些個人信息不能識別特定個人的這些信息作為一個同意原則的例外。那么最后實際上也是賦予了我們信息主體的權(quán)利，包括刪除權(quán)和更正權(quán)，從而能夠保障信息主體的權(quán)利，那么從另一方面也是對我們企業(yè)提出了信息安全遵從的義務(wù)，就是在信息主體提出要求，刪除和更正情形時滿足要求的情況下，應(yīng)當(dāng)采取相應(yīng)的措施。

那么對于非法收集和使用用戶個人信息，網(wǎng)安法當(dāng)中也是規(guī)定了相應(yīng)的法律責(zé)任。那么我們看到有關(guān)于網(wǎng)絡(luò)運(yùn)營者的信息安全遵從的一個規(guī)則，我們看到第二個方面，第一個網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全保障義務(wù)，要求提供者不得設(shè)置惡意的程序，同時應(yīng)當(dāng)在約定的期限內(nèi)提供持續(xù)性的安全維護(hù)義務(wù)。第二個方面有關(guān)于網(wǎng)絡(luò)安全漏洞的一個告知義務(wù)，實際上是要求我們網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者在發(fā)現(xiàn)其產(chǎn)品和服務(wù)存在缺陷和漏洞的時候，應(yīng)當(dāng)盡快采取相應(yīng)的補(bǔ)救措施，并且向相應(yīng)的主管部門進(jìn)行一個風(fēng)險告知的規(guī)定。具體的要求實際上還會通過具體的配套法律法規(guī)來明確如何進(jìn)行漏洞，相應(yīng)的漏洞披露，漏洞報告的程序和流程。

第三個方面用戶信息保護(hù)義務(wù)和前面網(wǎng)絡(luò)運(yùn)營者的保護(hù)，實際上是基本一致，第四個方面實際上是在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的領(lǐng)域，國家安全審查的要求，另外一方面實際上是對我們網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者，也提出了安全保密義務(wù)的要求。那要求我們關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)的提供者與其簽訂安全保密協(xié)議。最后一個方面就有關(guān)于網(wǎng)絡(luò)安全設(shè)備和專用產(chǎn)品的一個認(rèn)證檢測。我們可以看到，前幾天實際上在網(wǎng)信辦已經(jīng)發(fā)布了一個公告，其中就對網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄做了一個列舉和明確，實際上就要求進(jìn)行國家強(qiáng)制認(rèn)證的要求。

那么最后一個方面我為大家分享有關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的信息安全遵從要求。那么關(guān)鍵信息基礎(chǔ)設(shè)施，對于國家安全，社會穩(wěn)定重要性是非常，大家都是有目共睹的，實際上關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施其中涉及到國家安全審查，數(shù)據(jù)本地化，傳輸?shù)囊恍﹩栴}，都引發(fā)了各界的關(guān)注和爭議，那么接下來我們具體來看一下有關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施的范圍和界定，那么在網(wǎng)安法第31條實際上是對關(guān)鍵信息基礎(chǔ)設(shè)施重要行業(yè)和領(lǐng)域作出了明確界定，同時也對關(guān)鍵系統(tǒng)的本質(zhì)內(nèi)涵做出了界定，其中規(guī)定是一旦遭到破壞，喪失功能或者數(shù)據(jù)泄露，嚴(yán)重危害國家安全，公共利益的關(guān)鍵設(shè)施，那么早前實際上根據(jù)國際電信聯(lián)盟的定義，我們從圖中可以看出，實際上關(guān)鍵信息基礎(chǔ)設(shè)施是指的關(guān)鍵信息基礎(chǔ)設(shè)施的一個信息系統(tǒng)。那么對于這個關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，在網(wǎng)安法中是做出了授權(quán)性的規(guī)定，是要求國務(wù)院另行指定來確定關(guān)鍵信息基礎(chǔ)設(shè)施的范圍和保護(hù)要求。實際上我們是分為三個步驟，這是根據(jù)國際的一個經(jīng)驗，首先是對關(guān)鍵行業(yè)的一個確認(rèn)，包括立法確認(rèn)和政府推動，實際上我們國家已經(jīng)明確有了一個列舉式的規(guī)定，美國實際上已經(jīng)明確了16個關(guān)鍵行業(yè)，在關(guān)鍵行業(yè)確認(rèn)之后應(yīng)當(dāng)確認(rèn)關(guān)鍵行業(yè)的關(guān)鍵服務(wù)，對關(guān)鍵服務(wù)的確認(rèn)實際上就對運(yùn)營商提出了要求，是國家推動的情況下，運(yùn)營商自己來識別有關(guān)于我們關(guān)鍵行業(yè)領(lǐng)域的一些關(guān)鍵服務(wù)進(jìn)行相應(yīng)的確認(rèn)和評估。那么最后就有關(guān)于關(guān)鍵服務(wù)的一些關(guān)鍵信息基礎(chǔ)設(shè)施的資產(chǎn)進(jìn)行一個確認(rèn)和義務(wù)相關(guān)的評估，從而最終來確定各個行業(yè)，各個關(guān)鍵行業(yè)的這些關(guān)鍵信息基礎(chǔ)設(shè)施的一個范圍。

那么目前實際上國務(wù)院的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例的拯救意見稿，還有有關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)要求，包括關(guān)鍵信息基礎(chǔ)設(shè)施確定指南，都已經(jīng)發(fā)布，對于范圍確定對企業(yè)來說有一個明確的指引作用。那么有關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的義務(wù)我們首先來看，就是安全保護(hù)義務(wù)，剛才我們也提到網(wǎng)絡(luò)運(yùn)營者也有一個網(wǎng)絡(luò)保護(hù)義務(wù)，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者實際上基于它的一個重要性，那么實際上是在網(wǎng)絡(luò)運(yùn)營者安全保護(hù)義務(wù)的基礎(chǔ)上，又施加了更重的保護(hù)義務(wù)，那么包括要設(shè)立首席信息安全官，要對相關(guān)的人進(jìn)行背景調(diào)查，對相關(guān)的人員進(jìn)行網(wǎng)絡(luò)安全意識培訓(xùn)和教育，同時經(jīng)過相應(yīng)的應(yīng)急演練，并且要建立相應(yīng)的備份的一個機(jī)制。那么第二個方面就是我們大家比較關(guān)注，而且比較有爭議的一個方面，就是有關(guān)于國家安全審查的一個規(guī)定，有關(guān)于國家安全審查的規(guī)定，實際上是在網(wǎng)安法的第35條做出了一個規(guī)定，要求是關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在采購網(wǎng)絡(luò)安全技術(shù)，產(chǎn)品和服務(wù)的過程中，應(yīng)當(dāng)接受國家安全審查，實際上目前網(wǎng)信辦已經(jīng)制定了審查辦法，涉及到審查的標(biāo)準(zhǔn)，程序，審查的一些主管機(jī)構(gòu)等等相關(guān)的內(nèi)容。那么實際上有關(guān)于國家安全審查的規(guī)定，在我們國家安全法的第59條，也是最早做出了一個規(guī)定，當(dāng)時這個國家安全審查設(shè)定的范圍比較廣泛，外資并購審查，還有一些關(guān)鍵的技術(shù)，同時也包括我們網(wǎng)絡(luò)信息技術(shù)產(chǎn)品，服務(wù)。

在網(wǎng)安法當(dāng)中實際上對網(wǎng)絡(luò)安全領(lǐng)域國家安全審查又做了進(jìn)一步的規(guī)定，在這個辦法當(dāng)中可以看到，實際上是實施國家與安全行業(yè)主管的機(jī)制，那么審查的內(nèi)容實際上包括產(chǎn)品和服務(wù)的安全性和可控性，那么涉及了供應(yīng)鏈和透明度，同時國家依法設(shè)定的過程中，也要求第三方機(jī)構(gòu)的服務(wù)。運(yùn)營者實際上也有一個安全保密的義務(wù)，對于使用未經(jīng)審查的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，以及未通過安全審查的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，網(wǎng)安法也是規(guī)定了一系列的責(zé)任，那么有關(guān)于審查辦法中的具體規(guī)定我們可以看出，實際上涉及國家安全審查的組織機(jī)構(gòu)，包括以下幾個方面，第一個我們可以看到是網(wǎng)絡(luò)安全審查委員會，實際上是作為國家安全審查的一個領(lǐng)導(dǎo)機(jī)構(gòu)。那么第二個機(jī)構(gòu)是網(wǎng)絡(luò)安全審查辦公室，實際上負(fù)責(zé)具體實施網(wǎng)絡(luò)安全審查的實施機(jī)構(gòu)，對于關(guān)鍵部門行業(yè)，比如金融，能源，電信各個部門的行業(yè)實施機(jī)構(gòu)，也組織開展本行業(yè)本領(lǐng)域的網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查的工作，那么同時在這個基礎(chǔ)上第三方機(jī)構(gòu)將提供相應(yīng)的，有關(guān)于安全審查的評價。

那么對于安全審查的一個流程，這個程序?qū)嶋H上從圖中也可以看出，在審查頒發(fā)施行當(dāng)中已經(jīng)明確要求了對于提出國家安全審查的一個情形，實際上這個圖是在基于征求意見稿的階段，那么只有一個變化就是我們提出申請的一個情況，取消了企業(yè)申請的情況，那么就是前三種情況包括，國家有關(guān)部門要求，還有全國性行業(yè)協(xié)會建立，以及市場反應(yīng)來向網(wǎng)絡(luò)安全審查辦公室來申請那么審查辦公室它要組織第三方機(jī)構(gòu)和網(wǎng)絡(luò)安全審查的專家委員會來進(jìn)行審查，反饋審查的結(jié)果，最終發(fā)布并在一定范圍內(nèi)來通報審查結(jié)果。

最后同時也告知網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供商相應(yīng)的評價結(jié)果，然后通過第三方來提供相應(yīng)的評價。這個就有關(guān)于我們國家目前的網(wǎng)絡(luò)安全審查的一些具體的程序要求。那么第三個方面是有關(guān)于數(shù)據(jù)本地化與跨境傳輸?shù)囊?，實際上在網(wǎng)安法第37條做出了明確的規(guī)定，在網(wǎng)信辦已經(jīng)發(fā)布的個人信息和重要數(shù)據(jù)出境安全評估辦法征求意見稿當(dāng)中也有規(guī)定，我們網(wǎng)安法實際上強(qiáng)調(diào)的安全與發(fā)展的這個關(guān)系，數(shù)據(jù)本地化是一個原則性的規(guī)定，跨境流動是基于業(yè)務(wù)需要，確實需要向境外提供的必要性的情況的一個例外規(guī)定，但是應(yīng)當(dāng)經(jīng)過安全評估，那么評估的內(nèi)容以及不得出境具體的規(guī)定，實際上在征求意見稿當(dāng)中都做出了具體的規(guī)定，那么實際上從征求意見稿當(dāng)中可以看出，采用了行業(yè)自評估，首先是自評估，然后同時是行業(yè)主管評估的兩種模式相結(jié)合，他們也刪掉了在之前版本當(dāng)中，第三方評估的一個要求。對于違反相應(yīng)規(guī)定的，網(wǎng)安法也要求承擔(dān)相應(yīng)的法律責(zé)任。

那么實際上我們可以看到，有關(guān)于數(shù)據(jù)出境安全評估指南，征求意見稿已經(jīng)發(fā)布了涉及到具體的評估流程，評估要點(diǎn)等等，這個大家都可以再具體的查詢，那么有關(guān)于關(guān)鍵信息基礎(chǔ)信息運(yùn)營者定期安全監(jiān)測評估的要求，實際上也是在我們國家網(wǎng)安法第38條做出了具體的規(guī)定，包括自評和第三方評估相結(jié)合的模式，對安全性和可能存在的風(fēng)險進(jìn)行一年，至少一次的這種監(jiān)測評估，同時要求企業(yè)將檢測結(jié)果和改進(jìn)措施報送有關(guān)的部門，同時也對第26條風(fēng)險評估形成了條文之間的銜接。那么最后一個方面就是網(wǎng)絡(luò)安全信息共享的規(guī)定，實際上這個也是美國2015年底已經(jīng)通過了網(wǎng)絡(luò)信息安全共享法案，明確表明了網(wǎng)絡(luò)信息安全共享，尤其強(qiáng)調(diào)政府與企業(yè)之間的網(wǎng)絡(luò)安全信息共享的重要性，涉及到共享的信息范圍，包括一些事件威脅漏洞的信息，態(tài)勢感知信息，最佳實踐信息，戰(zhàn)略分析信息等等，實際上在我們國家已經(jīng)明確要求建立政府和企業(yè)之間的這種網(wǎng)絡(luò)安全信息共享機(jī)制，那么目前包括兩種方式，一種立法的強(qiáng)制，一種通過合同協(xié)議進(jìn)行一個建立，我們認(rèn)為在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，應(yīng)當(dāng)通過立法強(qiáng)制的手段，保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全。

那么對于網(wǎng)絡(luò)安全信息共享的具體規(guī)定，網(wǎng)安法當(dāng)中實際上還不是一個強(qiáng)制性的規(guī)定，但是在未來的技術(shù)發(fā)展趨勢情況下，為了實現(xiàn)國家整體層面的這種網(wǎng)絡(luò)安全態(tài)勢感知的能力，對于共享的要求也應(yīng)當(dāng)是我們企業(yè)所應(yīng)當(dāng)關(guān)注和應(yīng)當(dāng)重點(diǎn)考慮的。那么以上就是我今天給大家分享的內(nèi)容，我的報告到此結(jié)束，謝謝大家。