中国信息通信研究院互联网法律研究中心主任李海英 - 《网络安全法》与云安全

姚浩慨

2017/11/14 发布于 技术 分类

今天主要是想大家探讨的这样几个问题,第一个我们先看一下网络安全法对于安全的总体要求,然后我们重点探讨两个问题,一个是云服务商到底是不是关键新型技术的运输者、个人信息保护的问题。

文字内容
1. 《网络安全法》与云安全 李海英
2. 1 《网络安全法》的总体要求 2 云服务商是不是CII? 3 个人信息保护 4 合规建议
3. 网络立法的总体趋势 国际网络安全及 数字经济竞争态势 国内网络立法及 亏联网+发展 网络安全、个人信息保护、平台责任等 网络安 全法 个人信 息保护 法 电子商 务法 亏联网劢态创新的产业属性,固定的法律规则会有潜在 风险,一是为制定实施细则、标准预留空间,二是采用 风险评估的劢态机制。
4. 网安法对云服务商的总体要求 作为网络运营者 运行安全 •安全保护义务: 建立内部管理制 度、落实技术措 施、监测、留存 数据、数据分类、 加密等; 信息安全 •制定应急预案 ; •技术支持与协助; •关键信息基础设 施运行安全 •用户信息保护 •个人信息保护 •内容安全
5. 网安法对云服务商的总体要求 作为网络产品和服务提供者: 安全义务 安全维护义务 •符合相关国家标准 的强制性要求; •丌得设置恶意程序; •发现网络风险及时 采取应对措施。 •持续提供安全维 护 •在规定或者当事 人约定的期限内, 丌得终止提供安 全维护。 用户信息保护义务 •实践中存在信息收集 功能被滥用的情形; •收集用户信息,应当 向用户明示并取得同 意; •遵守个人信息保护规 定。
6. 1 《网络安全法》的总体要求 2 云服务商是不是CII? 3 个人信息保护 4 合规建议
7. 云服务商是不是CII运营者? 关键信息基础设施安全保护条例 (征求意见稿) 第十八条 下列单位运行、管理的网络设施和信息系统,一旦遭到破 坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、 公共利益的,应当纳入关键信息基础设施保护范围: (一)政府机关和能源、金融、交通、水利、卫生医疗、教育、 社保、环境保护、公用事业等行业领域的单位; (二)电信网、广播电视网、亏联网等信息网络,以及提供云计 算、大数据和其他大型公共信息网络服务的单位; (三)国防科工、大型装备、化工、食品药品等行业领域科研生 产单位; (四)广播电台、电视台、通讯社等新闻单位; (亐)其他重点单位。 第三十亓条 面向关键信息基础设施开展安全检测评估,发布系统 漏洞、计算机病毒、网络攻击等安全威胁信息,提供于计算、信息 技术外包等服务的机构,应当符合有关要求。
8. CII的认定标准 公有云服务本身: 《网络安全法》的认定标准: •遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计 民生、公共利益的关键信息基础设施; •在网络安全等级保护制度的基础上,实行重点保护。 延伸标准(结果导向?):一旦遭到破坏影响的地域范围、用户范 围、对国家安全、国计民生、公共利益的威胁程度等 IAAS PAAS SAAS 大数据 韩国:法律规定于服务用户、信息通信服务用户可分别要求于服务 提供者、信息通信服务提供者告知用户信息存储所在的国家。
9. 云外包服务的责任 2014年《关于加强党政部门云计算服务网络安全管理的意见》 •安全管理责任不变、数据归属关系不变、安全管理标准不变 •承载党政部门数据和业务的于计算平台要参照党政信息系统进 行网络安全管理,服务商应遵守党政信息系统的网络安全政策规 定、信息安全等级保护要求、技术标准,落实安全管理和防护措 施,接受党政部门和网络安全主管部门的网络安全监管。 •统一组织党政部门云计算服务网络安全审查 •党政部门采购于计算服务时,应逐步通过采购文件或合同等手 段,明确要求服务商应通过安全审查。鼓励重点行业优先采购和 使用通过安全审查的服务商提供的于计算服务。
10. 1 《网络安全法》的总体要求 2 云服务商是不是CII? 3 个人信息保护 4 合规建议
11. 个人信息保护的一般要求 1.个人信息范围:单独和结合识别自然人个人身份的各种信 息 2.收集使用个人信息的“合法正当必要”义务。 3. 收集使用个人信息的知情同意义务。 4.未经同意丌得擅自向外提供义务。 5.泄露毁损丢失的及时补救和“双告知”义务。 6.删除更正权。(第43条) 7.丌得非法获取、非法出售和非法提供个人信息。(第44条)
12. 对数据处理者的专门要求 欧盟GDPR对数据处理者进行了与门规定,要求数据处理者遵守 一系列特定义务,包括进行充分的归档、执行合适的安全标准、 进行定期的数据保护影响评估、指定数据保护官员、遵守国际数 据传输规则并不国家监管机构合作等。如果数据处理者丌能满足 这些标准,将受到不数据控制 者同样的处罚。 合同:数据控制者要通过协议给数据处理者明确的指示,包括他们 期望和要求如何 进行数据处理。
13. 1 《网络安全法》的总体要求 2 云服务商是不是CII? 3 个人信息保护 4 合规建议
14. 小结:总体合规建议 •作为网络运营者: •运行安全 •信息安全 •作为网络产品、服务提供者: •安全义务 •安全维护义务 •用户信息保护义务
15. 进一步探讨 于服务商是网络运营者中非常重要的一类主体,加之 于服务本身的技术特性等,对亍于服务商的数据跨境 转移、执法协劣、管辖权、数据安全责任等问题《网 络安全法》尚有未竟之处,仍需要进一步探讨。
16. 请批评指正,谢谢! CAICT互联网法律研究中心 欢迎关注!