在数字化时代,网络安全、数据安全与个人信息保护已成为国家安全和社会治理的重要组成部分。以下梳理了网络安全领域六部核心法律法规的关键条文,为公众了解自身权益和义务提供权威参考。
作为我国网络安全领域的基础性法律,《网络安全法》确立了网络安全等级保护制度等基本框架。
网络运行安全义务:网络运营者需落实安全保护义务,包括制定内部安全管理制度、采取防范网络攻击的技术措施、留存网络日志不少于六个月、对重要数据进行备份和加密等。网络产品和服务提供者发现安全漏洞时,应立即采取补救措施并告知用户。
个人信息保护:网络运营者收集个人信息必须遵循合法、正当、必要原则,明示收集目的和范围并经用户同意,不得收集无关信息。发生个人信息泄露时,应立即采取补救措施并报告主管部门。个人有权要求网络运营者删除或更正错误信息。
关键信息基础设施保护:对公共通信、能源、金融等重要行业的关键信息基础设施实行重点保护,其运营者需设置专门安全管理机构,每年至少进行一次安全检测评估,境内收集的重要数据原则上需在境内存储。
2025 年修正草案进一步加大了处罚力度,对造成大量数据泄露等严重后果的行为,可处五十万元以上二百万元以下罚款。
该法构建了数据安全治理的基本框架,重点规范数据处理全流程安全。
数据分类分级制度:国家根据数据重要程度和危害风险实行分类分级保护,省级以上政府需确定本地区重要数据目录并重点保护。
数据安全责任:开展数据处理活动应当建立全流程安全管理制度,组织安全教育培训,采取技术措施保障数据安全。国家建立数据安全审查制度和风险评估机制,对影响国家安全的数据处理活动进行审查。
数据利用与发展:国家鼓励数据依法合理有效利用,建立健全数据交易管理制度,培育数据交易市场,同时支持数据安全技术研究和标准体系建设。
这部法律全面构建了个人信息保护的规则体系,明确了个人在信息处理活动中的各项权利。
处理原则:处理个人信息需遵循合法、正当、必要和诚信原则,具有明确合理目的,限于最小必要范围,不得过度收集信息。
个人同意规则:基于个人同意处理信息的,该同意需在充分知情前提下自愿作出,个人有权随时撤回同意,且撤回不影响之前处理活动的效力。
自动化决策规范:利用个人信息进行自动化决策时,应保证决策公平公正,进行信息推送时需提供不针对个人特征的选项或便捷的拒绝方式。在公共场所安装图像采集设备应设置显著标识,且只能用于维护公共安全。
个人权利保障:个人享有信息查阅、复制、更正、补充、删除等权利,处理者应提供便捷的权利行使方式。
该条例细化了关键信息基础设施的具体保护措施和责任机制。
范围界定:关键信息基础设施包括公共通信、能源、交通、金融、电子政务等重要行业和领域的网络设施、信息系统,一旦遭到破坏可能严重危害国家安全和公共利益。
运营者核心责任:主要负责人对安全保护负总责,需设置专门安全管理机构,对关键岗位人员进行安全背景审查,每年至少开展一次网络安全检测评估。采购网络产品和服务可能影响国家安全的,需通过安全审查并签订安全保密协议。
应急处置要求:发生重大网络安全事件时,运营者需立即报告主管部门和公安机关,特别重大事件需逐级上报至国家网信部门和国务院公安部门。
作为最新出台的重要法规,该条例对网络数据安全作出全面规范。
数据分级与重要数据保护:明确重要数据是指一旦泄露可能危害国家安全、经济运行的数据,网络数据处理者需识别和申报重要数据,每年度开展风险评估。
个人信息保护细化:要求网络平台设置易于操作的个性化推荐关闭选项,大型平台(处理 1000 万人以上个人信息)需每年度发布个人信息保护社会责任报告。
数据跨境流动:建立高效便利安全的数据跨境流动机制,明确网络数据处理者向境外提供数据的条件和安全评估要求。大型网络平台跨境提供数据需健全风险防范措施。
平台责任:禁止大型网络平台利用数据、算法和平台规则实施误导欺诈、不合理限制数据访问、差别待遇等行为。
针对政务应用安全作出专门规范,保障政务服务安全可靠。
安全建设要求:政务应用需落实 "三同步" 原则(同步规划、建设、使用),中央和地市级以上党政机关门户网站需符合网络安全等级保护第三级要求。
备案与标识管理:政务应用需完成开办审核和备案,移动应用程序应在备案平台分发,公众账号需加注专属网上标识。不得将用户注册使用特定互联网平台作为获取服务的前提条件。
数据安全管理:每年至少进行一次安全检测评估,留存运行日志不少于 1 年,对重要数据和个人信息进行重点保护,未经同意不得向第三方提供收集的信息。
以上法律法规共同构成了我国网络空间治理的法律体系,既为个人信息和数据安全提供保障,也为数字经济健康发展奠定法治基础。公众在享受数字化便利的同时,应增强安全意识,依法维护自身权益。