吳昱 鄧科方 劉斌 撫州市煙草專賣局（公司） 撫州市 344000

0 前言

互聯(lián)網科技的迅猛發(fā)展推動了我國網絡的普及率和普及面迅速提高，基于網絡的創(chuàng)新蓬勃發(fā)展，越拉越多的業(yè)務正在互聯(lián)網化，網絡已經深度融入到經濟社會生活的方方面面。與此同時，個人信息泄露、網絡詐騙、網絡攻擊等安全事件頻發(fā)，加強網絡安全管理對維護我國網絡整體安全就顯得十分必要。

針對我國網絡安全形勢的新變化，我國于2016年11月7日出臺了《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）。這部法律將近些年來一些成熟的好做法通過條文形式法律化，同時為未來的制度創(chuàng)新做了指導性原則，為加強我國的網絡安全管理、化解網絡風險、保障網絡健康運行提供了切實可行的法律保障。

1 《網絡安全法》概述

《網絡安全法》于2017年6月1日起正式實施，全文共7章79條，明確了網絡空間主權維護、網絡安全與信息化發(fā)展并重、網絡安全綜合治理、網絡安全重點保護四項原則，建立了國家網信部門、電信、公安等部門依法履行安全保護和監(jiān)督管理的管理體制，確立（或重申）了網絡安全等級保護、網絡產品和服務管理、網絡實名、個人信息保護、網絡信息和應用管理、關鍵信息基礎設施保護(含國家安全審查、個人信息和重要數據境內存儲)、監(jiān)測預警和應急處置七大制度，規(guī)定了執(zhí)法協(xié)助、危害行為規(guī)制、責任追究三大要求，形成了網絡自身保護與網絡服務保護相結合、網絡技術安全與內容安全相結合、網絡生命周期管控與網絡供應鏈條管控相結合、教育查處和信用懲戒相結合的制度體系。

《網絡安全法》是我國第一部全面規(guī)范網絡空間安全管理方面問題的基礎性法律，從宏觀層面明確了網絡安全同國土安全、經濟安全等一道屬于國家安全的重要組成部分，從微觀層面規(guī)定了網絡使用者（即使用網絡的個人和組織）、網絡運營者（即網絡的所有者、管理者和網絡服務提供者）、網絡產品提供者（即網絡關鍵設備和網絡安全專用產品生產商）和網絡監(jiān)管者（即國家網信部門、電信、公安等部門）等對象必須履行的責任和義務。

2 《網絡安全法》帶來的影響

《網絡安全法》是我國在網絡安全管理方面的基本法，體現(xiàn)了國家加大網絡安全管理的決心，為組織和個人安全、合法使用網絡提供了法律支持，對各組織的網絡管理帶來深厚的影響。

2.1 適用范圍寬廣

我國各組織（包括國家機關和企事業(yè)單位，以下同）的信息化建設始于上世紀九十年代，經過這么多年的持續(xù)建設，已基本完成了網絡化改造。雖然各家的信息化網絡的類型規(guī)模、受眾范圍、服務內容千差萬別，但按照《網絡安全法》第二條“在中華人民共和國境內建設、運營、維護和使用網絡，以及網絡安全的監(jiān)督管理，適用本法?！敝?guī)定，只要是在我國境內利用計算機網絡（無論是內部網還是互聯(lián)網）從事活動的組織，都要受到該部法的約束，都要遵守法律規(guī)定的權利和義務。

對于各組織而言，受到《網絡安全法》的約束是雙重的，一方面各組織本身作為一個對象（網絡運營者）要承擔相應的網絡管理職責，另一方面各組織的內部人員作為一個用戶（網絡使用者）要承擔相應的網絡使用職責。而作為各組織（包括國家機關和企事業(yè)單位）的主要管理人員及信息化從業(yè)人員（尤其是網管員）兼具二者之責，承擔不履行法律規(guī)定的責任與義務時受到的處罰會比個人用戶的要更加細化，也更加嚴重。

2.2 安全觀念轉變

長期以來，很多組織重點關注的往往只是信息安全或者說是信息內容的安全性，對于網絡安全缺乏足夠的重視，雖說網絡安全衍生于信息安全，二者有一定的共通點，但在涵蓋范圍、管理模式、技術手段上還是有著較大的差異?！毒W絡安全法》明確地將信息安全提升為網絡安全，就是為了促進全員的安全觀由信息安全向網絡安全轉變。

《網絡安全法》還將現(xiàn)行有效的網絡安全監(jiān)管體制法制化，明確了網信部門與其他相關網絡監(jiān)管部門在網絡安全保護和監(jiān)督管理工作上的職責分工，規(guī)定了國家相關部門要對網絡運營者在網絡安全保護工作上進行必要的檢查。只要在檢查中發(fā)現(xiàn)網絡運營者存在不履行法律規(guī)定的安全保護義務的問題，不管當時是不是出現(xiàn)了網絡安全事故，都會被視同為違法，會要受到法律處罰。反而言之，如果嚴格執(zhí)行了法律規(guī)定的安全保護制度和安全保護義務，那么即使是發(fā)生了網絡安全事故，也會受到法律的保護。這就徹底改變了長久以來“不出事就是安全”的安全評判標準。

2.3 管理對象明確

《網絡安全法》的立法宗旨就是為了保障網絡安全，做為網絡的所有者、管理者和網絡服務提供者的網絡運營者是確保網絡安全的主體，為此約束網絡運營者的法律責任和義務較為詳細、全面。

按照《網絡安全法》規(guī)定，只要建有信息網絡的組織就屬于網絡運營者，就有保護信息基礎設施的義務，就有應用網絡安全技術的責任，就有加強網絡安全管理的要求，就有實施網絡安全等級保護制度的必要。

2.4 數據保護強化

針對個人信息泄露、網絡詐騙犯罪等現(xiàn)象，《網絡安全法》從“個人信息、用戶信息和商業(yè)秘密”三個方面規(guī)定加強數據保護的責任和義務，規(guī)范這些數據（特別是個人信息）的收集、使用和管理規(guī)范和責任，將各組織單純的“數據安全”擴展到范圍更廣的“個人隱私保護”。

任何一個信息系統(tǒng)內都會存儲各類數據，這些數據有從使用者處采集到的，有通過數據交換得到的，有自身運算解析后產生的，也有歷史存積遺留下來的。而這些數據的管理責任屬于該信息系統(tǒng)的使用者和擁有者，因此對于任何一個擁有信息系統(tǒng)的組織，都需要按照《網絡安全法》相關條款之規(guī)定嚴格數據收集規(guī)程，規(guī)范數據操作流程，強化數據保護措施。

3 《網絡安全法》應對措施

《網絡安全法》出臺后，國家肯定還會繼續(xù)推出相應的實施細則，進一步明確國家對網絡安全管理的要求和措施。只要在我國境內的各組織，都有依法加強內部網絡管理的責任和要求，因此要積極采取措施來落實《網絡安全法》在組織內部的實施。

3.1 加強普法宣傳教育工作

當前各組織都建有大小不一的網絡，由于人員水平等客觀因素使得組織內部潛存著違反《網絡安全法》的隱患，需要加強《網絡安全法》的宣傳教育，做到全員知曉、人人明白，才有益于增強員工網絡安全意識，提高員工網絡安全知識水平，進而才能消除隱患，規(guī)避風險。

3.2 合規(guī)修訂內部規(guī)章制度

各組織在進行信息化建設過程中，都會制定相應的信息化管理制度。這些制度基本上是先于《網絡安全法》之前出臺的，所以存在不足之處在所難免。按照法律合規(guī)性要求，對組織內部的規(guī)章制度對照法條進行修訂和完善，并嚴格監(jiān)督執(zhí)行，有益于進一步增強內部安全管理，提高網絡和信息安全。

3.3 依法調整網絡安全管理工作

《網絡安全法》從網絡產品和服務安全、網絡運行安全、網絡數據安全、網絡信息傳播安全和網絡安全監(jiān)測等方面來指導和規(guī)范網絡運營者的網絡安全管理工作。各組織都要按照法條對自身的網絡安全管理工作進行梳理，查漏補缺，改進提高，做到“遵法、守法、依法”工作，避免法律風險。

3.4 合理定義個人信息數據性質

依照《網絡安全法》第七十六條第五款“（五）個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！敝?guī)定，當前各組織內的信息系統(tǒng)中都不同程度地存儲有各類個人信息。此類個人信息根據所屬的信息系統(tǒng)的等級不同，重要性程度也不盡相同，對于不夠“機密”級別的可將其歸類為“敏感信息”加以管理。

4 結束語

網絡安全始終遵循兩大規(guī)則，一是“防護技術永遠滯后于攻擊手段”，二是“安全狀態(tài)決定于應用狀態(tài)”。這兩大規(guī)則告訴我們，任何安全設施都不可能一勞永逸，只要外部環(huán)境變化了，應用環(huán)境變化了，所有防護措施都會大打折扣。所以，我們所做的每一項工作都不可能一勞永逸地保證“不出事”。

因此，對照《網絡安全法》中的法律義務和國家有關規(guī)定，堅持“整體、集成、主動”的網絡安全觀念，按照《網絡安全法》中的安全要求，強化網絡安全管理工作，定能有效確保網絡安全。

[1]《中華人民共和國網絡安全法》，http://www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm

[2]陳啟安,滕達,申強 網絡空間安全技術基礎

[3]齊愛琴 網絡安全原理與案例分析