《中华人民共和国网络安全法》(以下简称《网络安全法》)于2017年6月1日正式实施。《网络安全法》作为我国网络空间安全管理的基本法律,框架性地构建了许多法律制度和要求,重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施安全保护制度、网络安全审查、个人信息和重要数据保护制度、数据出境安全评估、网络关键设备和网络安全专用产品安全管理制度、网络安全事件应对制度等。
为保障上述制度的有效实施,一方面,以国家互联网信息办公室(以下简称“网信办”)为主的监管部门制定了多项配套法规,进一步细化和明确了各项制度的具体要求、相关主体的职责以及监管部门的监管方式;另一方面,全国信息安全标准化技术委员会(以下简称“信安标委”)同时制定并公开了一系列以信息安全技术为主的重要标准的征求意见稿,为网络运营者提供了非常具有操作性的合规指引。具体讲:
1. 在互联网信息内容管理制度方面
网信办颁布了《互联网信息内容管理行政执法程序规定》,并已经针对互联网新闻信息服务、互联网论坛社区服务、公众账户信息服务、群组信息服务、跟帖评论服务等制定了专门的管理规定或规范性文件,以期全方位多层次地保障互联网信息内容的安全和可控性;
2. 在网络安全等级保护制度方面
信安标委在原有的信息系统安全等级保护制度的基础之上,发布了包括《网络安全等级保护实施指南》、《网络安全等级保护基本要求》等在内的多项标准文件的征求意见稿。考虑到现行的《信息安全等级保护管理办法》已不适用《网络安全法》的要求,新的《网络安全等级保护管理办法》也正在制定中;
3. 在关键信息基础设施安全保护制度方面
随着《关键信息基础设施安全保护条例》、《信息安全技术 关键信息基础设施安全检查评估指南》等征求意见稿的公布,关键信息基础设施运营者的安全保护义务得以进一步明确。但是关键信息基础设施的范围依旧有待制定中的《关键信息基础设施识别指南》进行进一步地明确;
4. 在个人信息和重要数据保护制度方面
其核心内容主要包括个人信息收集和使用过程中的安全规范以及个人信息和重要数据出境时的安全评估制度。其中,个人信息权作为一项民事权利,除网络安全法以外,在民法总则、侵权责任法和刑法中同样也建立了相应的保护机制,各行业的特别法律法规对某些特殊的个人信息也提出了特殊的法律要求;
5. 在网络产品和服务的管理制度方面
以安全可控性为基本要求,网信办建立了全新的网络安全审查制度和网络关键设备和网络安全专用产品目录管理制度。实践中,企业在进行网络产品和服务的合规管理时,同时还应当考虑密码产品管理制度和公安部的计算机信息系统安全专用产品管理制度;
6.网络安全事件管理制度本身是网络安全等级保护制度中的一部分
为了加强对重点领域的管理,网信办、信安标委和行业主管部门等制定了更加针对性的管理要求和指引。
本文以上述各项制度为类别,对截止目前已经公布和即将出台的《网络安全法》相关的各项战略、法律法规、规范性文件及标准进行了梳理总结,供大家参考,表1为《网络安全法》及其配套法律法规和规范性文件汇总目录,表2为个人信息保护相关的重要法规及规范性文件汇总目录,表3为信息系统安全等级保护相关法规及重要国家标准汇总目录,表4为密码产品相关法规汇总目录。
表1:《网络安全法》及其配套法律法规和规范性文件汇总目录
序号 |
文件名称 |
发布机构 |
生效时间 |
法律状态 |
《网络安全法》及其配套规章和规范性文件 |
一. 基本法律和国家战略 |
1. |
《国家安全法》 |
全国人大常委会 |
2015-7-1 |
现行有效 |
2. |
《网络安全法》 |
全国人大常委会 |
2017-6-1 |
现行有效 |
3. |
《全国人民代表大会常务委员会关于加强网络信息保护的决定》 |
全国人大常委会 |
2012-12-28 |
现行有效 |
4. |
《国家网络空间安全战略》 |
国家互联网信息办公室 |
2016-12-27 |
现行有效 |
5. |
《网络空间国际合作战略》 |
外交部和国家互联网信息办公室 |
2017-3-1 |
现行有效 |
二. 互联网信息内容管理制度 |
1. |
《互联网信息服务管理办法(2011修订)》 |
国务院 |
2011-1-8 |
现行有效 |
2. |
《互联网信息内容管理行政执法程序规定》 |
国家互联网信息办公室 |
2017-6-1 |
现行有效 |
3. |
《互联新闻信息服务管理规定》 |
国家互联网信息办公室 |
2017-6-1 |
现行有效 |
4. |
《互联网新闻信息服务许可管理实施细则》 |
国家互联网信息办公室 |
2017-6-1 |
现行有效 |
5. |
《互联网跟帖评论服务管理规定》 |
国家互联网信息办公室 |
2017-10-1 |
已发布,未生效 |
6. |
《互联网论坛社区服务管理规定》 |
国家互联网信息办公室 |
2017-10-1 |
已发布,未生效 |
7. |
《互联网群组信息服务管理规定》 |
国家互联网信息办公室 |
2017-10-8 |
已发布,未生效 |
8. |
《互联网用户公众账号信息服务管理规定》 |
国家互联网信息办公室 |
2017-10-8 |
已发布,未生效 |
00001. 网络安全等级保护制度 |
1. |
《信息安全技术 网络安全等级保护实施指南(征求意见稿)》 |
全国信息安全标准化技术委员会 |
N/A |
正式版未发布,未生效 |
2. |
《信息安全技术 网络安全等级保护测评过程指南(征求意见稿)》 |
全国信息安全标准化技术委员会 |
N/A |
正式版未发布,未生效 |
3. |
《信息安全技术 网络安全等级保护测试评估技术指南(征求意见稿)》 |
全国信息安全标准化技术委员会 |
N/A |
正式版未发布,未生效 |
4. |
《信息安全技术 网络安全等级保护基本要求(第1-5部分)(征求意见稿)》 |
全国信息安全标准化技术委员会 |
N/A |
正式版未发布,未生效 |
5. |
《信息安全技术 网络安全等级保护设计技术要求(第1-5部分)(征求意见稿)》 |
全国信息安全标准化技术委员会 |
N/A |
正式版未发布,未生效 |
6. |
《信息安全技术 网络安全等级保护测评要求(第1-5部分)(征求意见稿)》 |
全国信息安全标准化技术委员会 |
N/A |
正式版未发布,未生效 |
三. 关键信息基础设施安全保护制度 |
1. |
《关键信息基础设施安全保护条例(征求意见稿)》 |
国家互联网信息办公室 |
N/A |
正式版未发布,未生效 |
2. |
《国家网络安全检查操作指南》 |
中央网络安全和信息化领导小组办公室、网络安全协调局 |
2016-6 |
非法律文件 |
3. |
《信息安全技术 关键信息基础设施安全检查评估指南(征求意见稿)》 |
全国信息安全标准化技术委员会 |
N/A |
正式版未发布,未生效 |
4. |
《信息安全技术 关键信息基础设施安全保障评价指标体系(征求意见稿)》 |
全国信息安全标准化技术委员会 |
N/A |
正式版未发布,未生效 |
5. |
《关键信息基础设施识别指南》 |
国家互联网信息办公室、工信部、公安部门等部门 |
N/A |
制定中 |
6. |
《信息安全技术 关键信息基础设施网络安全保护要求》 |
全国信息安全标准化技术委员会 |
N/A |
制定中 |
四. 个人信息和重要数据保护制度 |
1. |
《个人信息和重要数据出境安全评估办法(征求意见稿及修订稿)》 |
国家互联网信息办公室 |
N/A |
正式版未发布,未生效 |
2. |
《信息安全技术 数据出境安全评估指南(征求意见稿)》 |
全国信息安全标准化技术委员会 |
N/A |
正式版未发布,未生效 |
3. |
《信息安全技术 个人信息安全规范(征求意见稿及报批稿)》 |
全国信息安全标准化技术委员会 |
N/A |
正式版未发布,未生效 |
4. |
《信息安全技术 个人信息去标识化指南》(征求意见稿)》 |
全国信息安全标准化技术委员会 |
N/A |
正式版未发布,未生效 |
5. |
《信息安全技术 公共及商用服务信息系统个人信息保护指南》 |
工业和信息化部 |
2013-2-1 |
现行有效 |
五. 网络产品和服务管理制度 |
1. |
《网络产品和服务安全审查办法(试行)》 |
国家互联网信息办公室 |
2017-6-1 |
现行有效 |
2. |
关于发布《网络关键设备和网络安全专用产品目录(第一批)》的公告 |
工业和信息化部; 公安部; 国家认证认可监督管理委员会; 国家互联网信息办公室 |
2017-6-1 |
现行有效 |
3. |
《信息安全技术 网络产品和服务安全通用要求(征求意见稿)》 |
全国信息安全标准化技术委员会 |
N/A |
正式版未发布,未生效 |
4. |
《信息安全技术 信息技术产品安全检测机构条件和行为准则(征求意见稿)》 |
全国信息安全标准化技术委员会 |
N/A |
正式版未发布,未生效 |
5. |
《信息安全技术 信息技术产品安全可控评价指标(第1-5部分)(征求意见稿)》 |
全国信息安全标准化技术委员会 |
N/A |
正式版未发布,未生效 |
六. 网络安全事件管理制度 |
1 |
《国家网络安全事件应急预案》 |
中央网络安全和信息化领导小组办公室 |
2017-1-10 |
现行有效 |
2 |
《工业控制系统信息安全事件应急管理工作指南》 |
工业和信息化部 |
2017-5-31 |
现行有效 |
3 |
《信息安全技术 网络攻击定义及描述规范(征求意见稿)》 |
全国信息安全标准化技术委员会 |
N/A |
正式版未发布,未生效 |
4 |
《信息安全技术 网络安全事件应急演练通用指南(征求意见稿)》 |
全国信息安全标准化技术委员会 |
N/A |
正式版未发布,未生效 |
5 |
《信息安全技术 网络安全威胁信息表达模型(征求意见稿)》 |
全国信息安全标准化技术委员会 |
N/A |
正式版未发布,未生效 |
6 |
《信息安全技术 网络安全漏洞发现与报告管理制度》 |
全国信息安全标准化技术委员会 |
N/A |
制定中 |
表2:个人信息保护相关的重要法规及规范性文件汇总目录
序号 |
文件名称 |
发布机构 |
生效时间 |
法律状态 |
1. |
《民法总则》第111条 |
全国人民代表大会常务委员会 |
2017-10-1 |
已发布,未生效 |
2. |
《中华人民共和国侵权责任法》第2条 |
全国人民代表大会常务委员会 |
2010-7-1 |
现行有效 |
3. |
《刑法修正案(七)、(九)》第17,28条 |
全国人民代表大会常务委员会 |
2015-11-1 |
现行有效 |
4. |
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》 |
最高人民法院; 最高人民检察院 |
2017-6-1 |
现行有效 |
5. |
《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》 |
最高人民法院 |
2014-10-10 |
现行有效 |
6. |
《中华人民共和国反恐怖主义法》第21,86条 |
全国人民代表大会常务委员会 |
2016-1-1 |
现行有效 |
7. |
《中华人民共和国消费者权益保护法》第14条,第29条,第50条,第56条 |
全国人民代表大会常务委员会 |
2014-3-15 |
现行有效 |
8. |
《中华人民共和国居民身份证法》(2011年修订) |
全国人民代表大会常务委员会 |
2012-1-1 |
现行有效 |
9. |
《电信和互联网用户个人信息保护规定》 |
工业和信息化部 |
2013-9-1 |
现行有效 |
10. |
《互联网用户账号名称管理规定》 |
中国互联网络信息中心 |
2015-3-1 |
现行有效 |
11. |
《通信短信息服务管理规定》 |
工业和信息化部 |
2015-6-30 |
现行有效 |
12. |
《寄递服务用户个人信息安全管理规定》 |
国家邮政局 |
2014-3-26 |
现行有效 |
13. |
《中华人民共和国测绘法》(2017修订) |
全国人民代表大会常务委员会 |
2017-7-1 |
现行有效 |
14. |
《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》 |
中国人民银行 |
2011-1-21 |
现行有效 |
15. |
《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》 |
中国人民银行 |
2012-3-27 |
现行有效 |
16. |
《征信业管理条例》 |
国务院 |
2013-3-15 |
现行有效 |
17. |
《网络预约出租汽车经营服务管理暂行办法》 |
交通运输部、工业和信息化部、公安部、商务部、工商总局、质检总局、国家网信办 |
2016-11-1 |
现行有效 |
18. |
《规范互联网信息服务市场秩序若干规定》 |
工业和信息化部 |
2012-3-15 |
现行有效 |
19. |
《中华人民共和国旅游法(2016年修订)》第52条 |
全国人民代表大会常务委员会 |
2016-11-7 |
现行有效 |
20. |
《电子商务法(草案)》 |
全国人民代表大会常务委员会 |
N/A |
正式版未发布,未生效 |
表3:信息系统安全等级保护相关法规及重要国家标准汇总目录
序号 |
文件名称 |
发布机构 |
生效时间 |
法律状态 |
1. |
《中华人民共和国计算机信息系统安全保护条例》 |
国务院 |
2011-1-8 |
现行有效 |
2. |
《信息安全等级保护管理办法》 |
公安部; 国家保密局; 国家密码管理局 |
2007-6-22 |
现行有效 |
3. |
《计算机信息系统安全专用产品检测和销售许可证管理办法》 |
公安部 |
1997-12-12 |
现行有效 |
4. |
《GAT 708-2007 信息安全技术-信息系统安全等级保护体系框架》 |
公安部 |
2007-10-1 |
现行有效 |
5. |
《GAT 709-2007 信息安全技术信息系统安全等级保护基本模型》 |
公安部 |
2007-10-1 |
现行有效 |
6. |
《GB 17859-1999 计算机信息系统安全保护等级划分准则》 |
公安部 |
2011-1-1 |
现行有效 |
7. |
《GBT 20269-2006 信息安全技术 信息系统安全管理要求》 |
全国信息安全标准化技术委员会 |
2006-12-1 |
现行有效 |
8. |
《GBT 20270-2006 信息安全技术 网络基础安全技术要求》 |
全国信息安全标准化技术委员会 |
2006-12-1 |
现行有效 |
9. |
《GBT 20271-2006 信息安全技术 信息系统通用安全技术要求》 |
全国信息安全标准化技术委员会 |
2006-12-1 |
现行有效 |
10. |
《GBT 20282-2006 信息安全技术-信息系统安全工程管理要求》 |
全国信息安全标准化技术委员会 |
2006-12-1 |
现行有效 |
11. |
《GBT 21052-2007 信息安全技术信息系统物理安全技术要求》 |
全国信息安全标准化技术委员会 |
2008-1-1 |
现行有效 |
12. |
《GBT 22239-2008 信息系统安全 等级保护基本要求》 |
全国信息安全标准化技术委员会 |
2008-11-1 |
现行有效 |
13. |
《GBT 25058-2010 信息安全技术 信息系统安全等级保护实施指南》 |
全国信息安全标准化技术委员会 |
2011-2-1 |
现行有效 |
14. |
《GBT 22240-2008 信息系统安全保护等级定级指南》 |
全国信息安全标准化技术委员会 |
2008-11-1 |
现行有效 |
15. |
《GBT 25070 2010 信息安全技术 信息系统等级保护安全设计技术要求》 |
全国信息安全标准化技术委员会 |
2011-2-1 |
现行有效 |
表4:密码产品相关法规汇总目录
序号 |
文件名称 |
发布机构 |
生效时间 |
法律状态 |
1. |
《中华人民共和国密码法(征求意见稿)》 |
国家密码管理局 |
N/A |
正式版未发布,未生效 |
2. |
《商用密码管理条例》 |
国务院 |
1999-10-7 |
现行有效 |
3. |
《商用密码科研管理规定》 |
国家密码管理局 |
2006-1-1 |
现行有效 |
4. |
《商用密码产品生产管理规定》 |
国家密码管理局 |
2006-1-1 |
现行有效 |
5. |
《商用密码产品销售管理规定》 |
国家密码管理局 |
2006-1-1 |
现行有效 |
6. |
《商用密码产品使用管理规定》 |
国家密码管理局 |
2007-5 -1 |
现行有效 |
7. |
《境外组织和个人在华使用密码产品管理办法》 |
国家密码管理局 |
2007-5 -1 |
现行有效 |
8. |
《信息安全等级保护商用密码管理办法》 |
国家密码管理局 |
2008-1-1 |
现行有效 |
9. |
《信息安全等级保护商用密码管理办法实施意见》 |
国家密码管理局 |
2009-12-15 |
现行有效 |
10. |
《信息安全等级保护商用密码技术实施要求》 |
国家密码管理局 |
2009-12-15 |
现行有效 |