《网络安全法》来了，你们公司的安保措施真的达标吗？

5月12日，全球爆发了永恒之蓝勒索病毒感染事件，有将近100多个国家受到感染。此次病毒感染事件突发性强、波及面广，在全球范围内引起巨大恐慌。这次影响巨大的网络安全事件，再次将网络安全的难题放到了公众的面前。

今天（2017年6月1日）开始正式实施的《中华人民共和国网络安全法》（以下简称《网络安全法》），把过往零散在各个法律、法规和文件中的条文系统地形成一部法律，唤醒了公众的网络安全意识，并且更加有力的保障了网络安全。那么，这一法条究竟是什么来头？对企业会产生哪些影响？别着急，我们看看专业律师怎么说。

《网络安全法》的立法背景

2015年6月，第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法（草案）》。2015年7月6日至2015年8月5日，该草案面向社会公开征求意见。

2016年6月，第十二届全国人大常委会第二十一次会议对草案二次审议稿进行了审议，随后将《中华人民共和国网络安全法（草案二次审议稿）》面向社会公开征求意见。10月31日，网络安全法草案三次审议稿提请全国人大常委会审议。11月7日，全国人大常委会表决通过了《中华人民共和国网络安全法》（以下简称《网络安全法》）。时隔半年后，2017年6月1日，《网络安全法》正式实施。

快速get《网络安全法》三大重点

《网络安全法》重点涉及了三个方面： 1.用户信息保护、2. 网络运营者的安全义务、3.关键信息基础设施保护。

一、用户信息保护得到重视

《网络安全法》不仅重视个人信息安全的保护，在同日施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》司法解释也明确指出，向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法规定的“提供公民个人信息”。

对于刑法相关规定中“情节严重”的认定标准，此次司法解释明确规定了十种情形，包括非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；非法获取、出售或者提供前两项规定以外的公民个人信息五千条以上的；违法所得五千元以上的等等。

在《网络安全法》以及相关配套的的法律法规和司法解释的保护下，个人信息的保护更加完善，侵犯个人信息有了更加明确的量刑惩罚。

TIPS：

随着《网络安全法》及相关配套的法律法规和司法解释实施后，以用户敏感信息牟利的行为有了量刑标准，也就意味着，一旦企业坐实了窃取用户信息牟利的罪行，很可能被处以刑事处罚。

因此，企业保护用户信息的意识应当增强，尤其是在选择第三方互联网信息服务机构时，尽量选择安全等保级别高、技术资质得到认可的平台，否则，一旦发生信息泄露，企业可能承担相应责任。

例如，选择电子合同服务商时，就应当选择法大大这种获得公安部等级保护测评三级（银行级别安保等级）、通过ISO27001安全认证的企业，这样一来，合同管理、存储更安心，也更安全。

二、网络运营者的安全义务有了明确规定

值得一提的是，《网络安全法》的第二十一条明确提出了网络运营者应当遵守的安全义务。根据条款规定，所有提供信息服务的网络运营者，包括第三方服务平台、线上信息中介平台等等都应当按照网络安全等级保护制度的要求，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

具体义务有：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。

另外，根据第二十二条规定，互联网企业的网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

作为网络产品、服务的提供者，应当为其产品、服务持续提供安全维护，在规定或者当事人约定的期限内，也不得终止提供安全维护。网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

TIPS：

网络产品、服务的提供者的义务得到明确规定后，相关企业应当通过规范合理的制度、先进有效的技术抵御网络风险，严守用户敏感信息安全。

例如，和法大大一样建立严密的运维机制抵御各类不可预知的网络风险，并通过区块链技术、PDF技术等严守用户敏感信息，24小时无休监控系统动态，从而更好地履行相应的安全义务。

三、关键信息基础设施保护得到加强

“关键信息基础设施保护”是首次出现在我国的法律法规中的概念。关于何为“关键信息基础设施”，《网络安全法》第31条也做出了明确的解释：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键设施。

对于这样一批“关键信息基础设施”，国家将在网络安全等级保护制度的基础上，实行重点保护。而关键设施的具体范围和安全保护办法由国务院制定。关键信息基础设施的运营者有着更高的安全义务，所以社会各界对自身是否属于关键信息基础设施有着一定的疑虑。

此外，《网络安全法》的一些条文也值得我们关注，例如第十二条，本条中禁止利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，这些都是老生常谈。

但是禁止从事编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益更多地是针对现在网络社会中的网络暴力问题作出了相应的规定。然而《网络安全法》并没有在此明确或增加对这些网络暴力的惩罚。

比如说利用网络侵害他人名誉、隐私的情况很常见，但是要以诽谤罪或者侮辱罪进行惩罚的话的，立案门槛比较高，有些时候难以保护受害者的权益。而《网络安全法》第二十四条和第六十一条则再次加大了网络运营者的实名制的义务，从各个方面推进网络、通信领域的实名制。在这个电信诈骗频繁的时代，实名制的推进将有助于解决这个问题。

TIPS：

《网络安全法》着重提及了关键信息的基础设施保护，这意味着，国家将增强对相关设施的保护，为网络发展营造更好的环境。另外，实名制认证将会成为网络运营中不可或缺的环节，选择一个严格采取实名认证的网络运营商，也将享有更有保障的服务。

例如，选择经过严格身份认证（eID系统、CA证书等手段）的法大大，能够有效地保障用户真实身份，规避因为网络身份冒充带来不必要的纠纷。