2016年12月27日,经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布《国家网络空间安全战略》(以下简称《战略》),提出捍卫网络空间主权、维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作等9项任务。
新京报记者获悉,《战略》历时两年多制定,是指导未来十年国家网络安全工作的纲领性文件。此外,国家网信办将出台网络安全审查的具体指南。
一、国家网络安全9大战略任务
1. 坚定捍卫网络空间主权
根据宪法和法律法规管理我国主权范围内的网络活动,保护我国信息设施和信息资源安全,采取包括经济、行政、科技、法律、外交、军事等一切措施,坚定不移地维护我国网络空间主权。坚决反对通过网络颠覆我国国家政权、破坏我国国家主权的一切行为。
2. 坚决维护国家安全
防范、制止和依法惩治任何利用网络进行叛国、分裂国家、煽动叛乱、颠覆或者煽动颠覆人民民主专政政权的行为;防范、制止和依法惩治利用网络进行窃取、泄露国家秘密等危害国家安全的行为;防范、制止和依法惩治境外势力利用网络进行渗透、破坏、颠覆、分裂活动。
3. 保护关键信息基础设施
建立实施网络安全审查制度,加强供应链安全管理,对党政机关、重点行业采购使用的重要信息技术产品和服务开展安全审查,提高产品和服务的安全性和可控性,防止产品服务提供者和其他组织利用信息技术优势实施不正当竞争或损害用户利益。
4. 加强网络文化建设
坚决打击谣言、淫秽、暴力、迷信、邪教等违法有害信息在网络空间传播蔓延。提高青少年网络文明素养,加强对未成年人上网保护,通过政府、社会组织、社区、学校、家庭等方面的共同努力,为青少年健康成长创造良好的网络环境。
5. 打击网络恐怖和违法犯罪
加强网络反恐、反间谍、反窃密能力建设,严厉打击网络恐怖和网络间谍活动。
严厉打击网络诈骗、网络盗窃、贩枪贩毒、侵害公民个人信息、传播淫秽色情、黑客攻击、侵犯知识产权等违法犯罪行为。
6. 完善网络治理体系
健全网络安全法律法规体系,制定出台网络安全法、未成年人网络保护条例等法律法规,明确社会各方面的责任和义务,明确网络安全管理要求。加快对现行法律的修订和解释,使之适用于网络空间。
7. 夯实网络安全基础
实施“互联网+”行动,大力发展网络经济。实施国家大数据战略,建立大数据安全管理制度,支持大数据、云计算等新一代信息技术创新和应用。优化市场环境,鼓励网络安全企业做大做强,为保障国家网络安全夯实产业基础。
8. 提升网络空间防护能力
网络空间是国家主权的新疆域。建设与我国国际地位相称、与网络强国相适应的网络空间防护力量,大力发展网络安全防御手段,及时发现和抵御网络入侵,铸造维护国家网络安全的坚强后盾。
9. 强化网络空间国际合作
加强对发展中国家和落后地区互联网技术普及和基础设施建设的支持援助,努力弥合数字鸿沟。推动“一带一路”建设,提高国际通信互联互通水平,畅通信息丝绸之路。搭建世界互联网大会等全球互联网共享共治平台,共同推动互联网健康发展。通过积极有效的国际合作,建立多边、民主、透明的国际互联网治理体系,共同构建和平、安全、开放、合作、有序的网络空间。 摘自《国家网络空间安全战略》
二、焦点1:保护公民信息 免费不能免责
《战略》指出,网络欺诈、黑客攻击、侵犯知识产权、滥用个人信息等不法行为大量存在,一些组织肆意窃取用户信息、交易数据、位置信息以及企业商业秘密,严重损害国家、企业和个人利益,影响社会和谐稳定。
国家网信办网络安全协调局局长赵泽良表示,保护个人信息,首先要把有关个人信息保护的法律落实到企业和机构。《网络安全法》规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
赵泽良说,法律明确,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。此外,网络运营者不得收集与其提供的服务无关的个人信息。
他说,很多企业和机构都高度重视个人信息保护工作,但是确实存在重视不够的情况。比如,在网上下载安装APP时,有一些服务条款会让用户选择同意。在这种情况下,用户不同意也得同意,否则无法安装。
赵泽良说,这些需要用户同意的条款是否贯彻了法律要求?很多时候并没有。一些服务条款内存在企业超范围采集个人信息的情况。对此,企业应该按照法律的要求尽快纠正。
他强调,不能因为用户选择了“同意”,企业就可以放松个人信息保护或者不承担责任。此外,一些企业认为他们提供软件是免费的,就可以不承担责任,这是不对的。
值得注意的是,在保护公民个人信息方面,政府机构和企业所承担的责任是一样的。
赵泽良对新京报记者表示,除了企业要承担起保护个人信息的责任,政府部门和机构对收集到的个人信息同样要加强保护。在个人信息保护方面,法律对政府和企业的要求是一样的。
三、焦点2:正制定有关数据出境评估办法
《战略》提出,采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏。《网络安全法》也明确,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。
“重要数据境内存储”这一政策是否会影响到信息自由流动?
对此,赵泽良表示,加强个人信息和重要信息的保护,已经成为各国的共识。基于这种认识,我国立法明确,除非确实必要,个人信息和重要数据不应流出境外。
他说,我们难以保证信息和数据流出到境外后的安全,这一规定为了维护国家安全和个人信息,信息流动应该建立规则之上。
赵泽良强调,《网络安全法》同时规定,因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
他透露,目前国家网信办正在按照法律要求制定有关数据出境的评估办法,这个办法将对数据出境做出明确的要求。将来在评估信息能否出境的时候,要充分考虑目的地是否有能力、有诚意来确保我们的数据信息安全。
《网络安全法》要求,对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
四川大学网络空间安全研究院特聘副研究员洪延青表示,在关键信息基础设施的判定标准上,与网络运营者是属于民营或国营公司,国内或国际公司的身份无关,仅取决于它承担的功能及一旦功能破坏或丧失,或者数据泄露后可能造成的后果。
他举例称,比如网约车平台或者电商平台掌握了上千万甚至上亿用户的个人信息或支付信息,一旦泄露就会影响到社会公众利益,这就算作关键信息基础设施。
四、焦点3:不是对任何产品和服务都审查
2014年5月,国家互联网信息办公室宣布,为维护国家网络安全、保障中国用户合法利益,中国将推出网络安全审查制度。
今年11月7日,第十二届全国人大常委会第二十四次会议表决通过《网络安全法》,明确了关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
《战略》提出,建立实施网络安全审查制度,加强供应链安全管理,对党政机关、重点行业采购使用的重要信息技术产品和服务开展安全审查,提高产品和服务的安全性和可控性,防止产品服务提供者和其他组织利用信息技术优势实施不正当竞争或损害用户利益。
赵泽良表示,网络安全审查不是普世性的,不是对任何产品和服务都进行审查,只是针对关系到国家安全和国计民生的信息技术产品和服务进行审查。
他表示,将来会就哪些产品需要审查,按照哪些办法来审查出台网络安全审查的具体指南。目前该工作已经启动。
此前,赵泽良曾表示,目前为党政机关提供云计算服务的企业,已进行了网络安全审查。