2016年11月7日,《網絡安全法》(以下亦稱“新法”)通過,并將于2017年6月1日起正式施行。本次新法作為一部保障網絡安全的基礎性法律,引起社會各界的廣泛關注和討論,三次審議稿中包括關鍵信息基礎設施、個人信息跨境傳輸等重要概念界定、對安全保護義務的規定等內容也經歷了數次修改調整。
本文一方面從保護客體、適用范圍、適用主體承擔的義務等方面對新法進行解讀,試圖為互聯網相關企業,也是對此次新法最為關注的一類企業提出建議。另一方面,文末也提出了企業將需要怎樣的專業法律合規服務來幫助自己做預先風險自測,以應對新法實施后帶來的重大變化。
一、兩種重要信息一、兩種重要信息 作為一部網絡安全相關的基礎性法律,《網絡安全法》從兩個維度來解決“保護什么”的問題:一是從社會公共利益的角度,保護對國家安全和社會公共利益產生影響的內容,本法中較為重要,也是引起關注最多的就是關鍵信息基礎設施;一是從公民和社會組織的角度,保護個人信息。新法也用較長的條文篇幅圍繞著上述內容的保護進行了規定。
(一)關鍵信息基礎設施(Critical Information Infrastructures,即“CII”)
“關鍵信息基礎設施”是此次新法出臺后最受關注的事項之一。在《網絡安全法(草案)》三版審議稿中,對“關鍵信息基礎設施”的界定也屢次修改。
| 《中華人民共和國網絡安全法(草案)》第一次審議稿
|
《中華人民共和國網絡安全法(草案)》第二次審議稿
|
《中華人民共和國網絡安全法》正式頒布版本
|
| 提供公共通信、廣播電視傳輸等服務的基礎信息網絡,能源、交通、水利、金融等重要行業和供電、供水、供氣、醫療衛生、社會保障等公共服務領域的重要信息系統,軍事網絡,設區的市級以上國家機關等政務網絡,用戶數量眾多的網絡服務提供者所有或者管理的網絡和系統。
|
一旦遭到遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全,國計民生,公共利益的關鍵信息基礎設施。
|
公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施。
|
| 關鍵信息基礎設施安全保護辦法由國務院制定。
|
關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
|
關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
|
最終正式出臺的《網絡安全法》結合第一次和第二次審議稿,以列舉行業領域加可能導致后果兩個方面對關鍵信息基礎設施做出了界定。
在《網絡安全法》正式出臺前,中央網絡安全和信息化領導小組辦公室發布了一份《國家網絡安全檢查操作指南》(“《操作指南》”),對如何確定CII的步驟做出了說明:
首先,確定本地區、本部門、本行業的關鍵業務是什么,是涉及能源、金融還是交通、市政等領域;
其次,確定了關鍵業務后,再確定支持關鍵業務的信息系統或工業控制系統是什么,形成CII候選清單。例如,支持電力行業火電企業的發電機組控制系統、管理信息系統;支持市政供水水廠的生產控制系統、供水管網監控系統等;
最后,根據關鍵業務對信息系統或工業控制系統的依賴程度,以及信息系統發生網絡安全事件后可能造成的損失認定是否屬于關鍵信息基礎設施。而這個認定過程的具體標準也可以參考該操作指南。
相比于《網絡安全法》的原則性規定,《操作指南》更具有指向性和操作性,對CII范圍的確定更有參考價值。但最終CII的具體范圍和保護辦法仍將以國務院等部門另行確定的規則為準。具體標準的制定是否會參考該指南雖然仍不能確定,但指南中所確立的CII三步確認法很可能在今后的新規中體現。
(二)個人信息
個人信息定義:
| 《網絡安全法》
|
以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。
|
| 《電信和互聯網用戶個人信息保護規定》(“《保護規定》 ”)
|
電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。 |
《網絡安全法》和《保護規定》將能夠識別自然人身份的信息定義為個人信息,也就是說,只要一個信息能夠單獨或者結合“定位”到該自然人,都屬于個人信息。
用戶使用服務的時間、地點等內容是否屬于《網絡安全法》個人信息范疇而受到規制值得商榷。
雖然《網絡安全法》和《保護規定》中對個人信息均有明確定義,但從表述范圍來看,《保護規定》界定的個人信息似乎更為寬泛。除了能夠識別自然人身份的信息屬于個人信息外,《保護規定》還將用戶使用服務的時間、地點等信息也納入個人信息范疇,未經用戶書面許可,不得收集和使用。用戶使用服務的時間、地點等數據成為越來越多的網絡服務提供者關注的領域,對這類信息收集和使用的合法性也一直受到廣泛爭議和質疑。
而本次《網絡安全法》并未將上述信息數據納入個人信息范疇,雖然在條款中規定“網絡運營者不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息”。但《保護規定》從效力層級上僅屬于部門規章。從上述規定可以看出,新法對個人信息界定的側重點在于一種或者幾種信息是否能定位到這個人,而無論這種信息是以什么方式呈現。如果通過信息無法判斷是某個具體的人使用了產品、服務,很可能就不屬于新法意義下要保護的個人信息,有時這種信息甚至是可以通過合法的公開渠道查詢,那么對這種信息的收集使用也就不受限制。不過,在無法識別自然人身份的情況下,用戶使用服務的時間、地點等信息是否受到《網絡安全法》規制仍值得商榷,并有待監管機關進一步明確。
此外,可以明確的一點是,無論是《保護規定》還是《網絡安全法》,其目的并不在于完全禁止對個人數據的收集、使用。企業基于大數據的利用發掘產品服務,創新商業模式正是政府監管部門支持鼓勵的行為。法律的目的在于保護用戶個人隱私和合法權益,規制和禁止非法銷售、收集或濫用個人信息數據的違法行為。因此,無論是可以識別自然人身份的信息,還是用戶使用服務時間、地點的信息,應當經過用戶合法授權并依法收集、使用和提供。
二、
四種重要主體(網絡運營者、CII運營者、網絡產品服務提供者、任何個人和組織)
本次《網絡安全法》中的網絡運營者是指網絡的所有者、管理者和網絡服務提供者,這一界定范圍十分廣泛,幾乎將涉及網絡產品服務的主體都納入其中,只要“在中華人民共和國境內建設、運營、維護和使用網絡,以及網絡安全的監督管理”,都適用《網絡安全法》。而不區分外資企業或內資企業,也不區分提供的產品服務是否收費。
關鍵信息基礎設施運營者(CII運營者)、網絡產品、服務提供者以及其他個人和組織是《網絡安全法》規范的另外三個重要主體,雖然條款中并沒有對該等主體做出明確定義。但從網絡運營者的界定范圍來看,這三類主體的范圍與網絡運營者之間均有交叉和重疊(各類主體之間的關系如下圖)。特別是CII運營者應屬于廣義網絡運營者的一部分,因此,除了承擔網絡運營者需要負擔的義務外,因涉及國計民生、國家安全和公共利益,法律為其規定了更嚴格的安全保護義務和標準。除此之外,即使沒有提供網絡產品、服務的個人和組織,新法也對其使用網絡服務、獲取個人信息等行為設置了規范。
三、
五類重要義務
新法用大量條文篇幅為網絡運營者等主體規定了各類網絡安全義務,也是第一次以法律的形式提出了很多具有前瞻性的概念,為各主體設置了強制性規范。各類運營主體、其他個人和組織的規范總結為以下五種重要義務,不同主體可以自行“對號入座”。
但需要說明的是,因各主體之間存在上圖所示的交叉和包含關系,在承擔義務方面也會存在重疊,但為突出各主體承擔的主要義務,本部分仍按照四種主體類型進行了區分。
(一)
報告義務
| |
網絡運營者
|
CII運營者
|
網絡產品、服務提供者
|
備注
|
| 報
告
義
務
|
在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并向主管部門報告。
在發現其用戶發布、傳輸違法違規信息情況下立即處置并向主管部門報告。
收集的個人信息泄露、毀損、丟失等情況下向主管部門報告。
|
將每年對其網絡安全性和潛在風險的檢測評估情況和改進措施報送相關負責部門。
|
網絡產品、服務存在安全缺陷、漏洞等風險時采取補救措施并向主管部門報告。
電子信息發送服務提供者和應用軟件下載服務提供者在知道其用戶設置惡意程序,發布、傳輸違法違規信息的情況下采取處置措施,保存記錄并向主管部門報告。
|
審議稿第三稿將電子信息發送服務提供者和應用軟件下載服務提供者在“發現”后的處置報告義務,修改為“知道”,對服務提供者規定的義務更加嚴格。
|
(二)
安全保護、管理義務
| |
網絡運營者
|
CII運營者
|
網絡產品、服務提供者
|
個人和組織
|
| 安全管理、 保護義務
|
網絡運營者為用戶辦理網絡接入、域名注冊服務,辦理固定電話、移動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得為其提供相關服務。
制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;
按照網絡安全等級保護制度的要求,履行21條規定的安全保護義務,包括但不限于制定安全制度和操作規則,確定網絡安全負責人;采取技術措施等。 建立網絡信息安全投訴、舉報制度,公布投訴、舉報方式等信息,及時受理并處理有關網絡信息安全的投訴和舉報。
|
除履行網絡運營者承擔的安全保護義務外,仍須承擔34條規定的安全保護義務。
|
網絡產品、服務應當符合相關國家標準的強制性要求。網絡產品、服務的提供者不得設置惡意程序。
網絡產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。
|
任何個人和組織使用網絡應當遵守法律和道德規范,不得危害網絡安全,損害公共利益和他人合法權益。
任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動;不得提供專門用于上述危害網絡安全活動的程序、工具;明知他人從事危害網絡安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。
任何個人和組織發送的電子信息、提供的應用軟件,不得設置惡意程序,不得含有法律、行政法規禁止發布或者傳輸的信息。
|
(三)
安全評估審查義務
| |
網絡運營者
|
CII運營者
|
網絡產品、服務提供者
|
| 安全評估、
審查義務
|
/
|
采購網絡產品和服務,可能影響國家安全的,應當通過國家安全審查。
在中國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當依法進行安全評估。
自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估。
|
/ |
(四)
保密義務
| |
網絡運營者
|
CII運營者
|
網絡產品、服務提供者
|
| 保密義務
|
應對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。
|
關鍵信息基礎設施的運營者采購網絡產品和服務,應當按照規定與提供者簽訂安全保密協議,明確安全和保密義務與責任。
|
/ |
(五)
信息規范收集、使用的義務
| |
網絡運營者
|
CII運營者
|
網絡產品、服務提供者
|
個人和組織
|
| 信息規范收集、 使用義務
|
不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。
應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。
不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。
|
在中國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當依法進行安全評估。
|
網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。
|
任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。
任何個人和組織不得設立用于實施詐騙,傳授犯罪方法,制作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通訊群組,不得利用網絡發布涉及實施詐騙,制作或者銷售違禁物品、管制物品以及其他違法犯罪活動的信息。 |
四、
六個待明確的
“
新規
”
本次《網絡安全法》是一部基礎性的安全保障法律,很多條文僅做出原則性規定,而并沒有對問題的解決提供具體指導思路,可操作性不強。因此,在實際操作中如何落實操作各項原則性保護辦法和制度就需要各主管部門另行制定實施細則、指引或相關產品目錄等規范性文件。從《網絡安全法》的表述來看,接下來將出臺的“新規”主要有以下幾個:
1、
網絡產品和服務安全審查辦法
國家互聯網信息辦公室于2017年2月4日發布《網絡產品和服務安全審查辦法》征求意見稿,該征求意見稿明確了關系國家安全和公共利益的信息系統使用的重要網絡產品和服務,應當經過網絡安全審查。國家網信辦聘請專家成立網絡安全審查委員會,并認證第三方安全審查機構,進行第三方安全評價工作。但需要注意的是,該征求意見稿不僅僅是針對CII運營者采購網絡產品服務而言,而是所有可能對公共利益產生影響的網絡產品、服務都需要進行審查。
審查重點為網絡產品、服務安全性、可控性。具體包括:
● 產品和服務被非法控制、干擾和中斷運行的風險;
● 產品及關鍵部件研發、交付、技術支持過程中的風險;
● 產品和服務提供者利用提供產品和服務的便利條件非法收集、存儲、處理、利用用戶相關信息的風險;
● 產品和服務提供者利用用戶對產品和服務的依賴,實施不正當競爭或損害用戶利益的風險;
【條文鏈接】:
第三十五條關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。
2、
網絡安全等級保護制度
新法中屢次提及的網絡安全等級保護制度的具體內容目前仍沒有明確。有觀點認為,新法中的網絡安全等級保護制度可能與我國已經通過相關法規確立的兩項網絡安全等級保護制度(即“計算機信息系統安全等級保護制度”和“通信網絡安全分級保護制度”)在涉及網絡及其安全的限度內有所交叉或重疊。但現在仍無法判斷新法中的等級保護制度是在已有制度基礎上進行吸收、整合,還是重新構建。
無論如何,網絡安全等級保護制度對于網絡運營者而言具有重要的指示規范作用,因為從新法規定來看,網絡運營者的安全保護義務將基于網絡安全等級保護制度來確定,這意味著不同等級的網絡運營者所肩負的安全保護義務是不同的。
【條文鏈接】:
第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行...安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。
第三十一條國家對...關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。
3、
網絡關鍵設備和網絡安全專用產品目錄
今后對網絡關鍵設備和網絡安全專用產品將實行“清單管理”,由相關主管部門制定產品目錄,凡是出現在目錄中的設備、產品都需要進行安全認證和檢測才能夠銷售或提供。需要注意的是,審議稿第二稿中,僅對“銷售”網絡關鍵設備和網絡安全專用產品進行規制,但最終稿中將范圍擴大到“銷售或提供”。因此,即使免費提供目錄中的設備、產品,也需要完成認證和檢測。
【條文鏈接】:
第二十三條網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求后,方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄,并推動安全認證和安全檢測結果互認,避免重復認證、檢測。
4、關鍵信息基礎設施的具體范圍和安全保護辦法
目前《網絡安全法》對CII的原則性定義較為寬泛,可操作性不強。因涉及國家安全和社會公共利益,各部門將根據行業特征分別制定并實施對關鍵信息基礎設施的安全保護和安全規劃。前文所述的《操作指南》中關于CII的認定方法也很可能成為各部門在實際操作中的借鑒和指引。
【條文鏈接】:
第三十一條關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
第三十二條按照國務院規定的職責分工,負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業、本領域的關鍵信息基礎設施安全規劃,指導和監督關鍵信息基礎設施運行安全保護工作。
5、
個人信息跨境傳輸的安全評估辦法
因涉及國家安全和公共利益,未來CII運營者中國境內運營中收集和產生的個人信息、重要數據跨境傳輸將受到限制。本次新法并沒有明確重要數據的含義,在第三次審議稿中更是將“重要業務數據”(important business data)修改為“重要數據”(important data),限制傳輸的數據范圍更大。由此,對企業產生的影響也就更大,甚至可能阻礙企業業務的開展和與境外的合作。但本次新法并沒有完全禁止數據跨境傳輸,在因業務需要而確需向境外提供的情況下,經過安全評估后可以進行數據的跨境提供。雖然監管部門將進一步制定安全評估辦法,但最終哪些信息是因業務需要提供而須經過評估的標準仍十分模糊,監管部門對此有較大的裁量權。
【條文鏈接】:
第三十七條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。
6、安全監測預警和應急處置制度
新法第五章明確了國家將建立安全監測預警機制和應急處置機制。未來企業的網絡安全保護工作會面臨更嚴格的監管,受到主管部門和社會的監督。主管部門將根據風險事件的特點或違反安全保護義務行為可能帶來的損害對安全事件進行分級,并向社會預警通報,采取其他相應的應急措施。而一旦因發生安全事件被采取信息通報、分級等措施,將可能對企業聲譽、社會評價、信用記錄等方面帶來不良的影響。
【條文鏈接】:
第五十一條國家建立網絡安全監測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分析和通報工作,按照規定統一發布網絡安全監測預警信息。
第五十二條負責關鍵信息基礎設施安全保護工作的部門,應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度,并按照規定報送網絡安全監測預警信息。
第五十三條國家網信部門協調有關部門建立健全網絡安全風險評估和應急工作機制,制定網絡安全事件應急預案,并定期組織演練。負責關鍵信息基礎設施安全保護工作的部門應當制定本行業、本領域的網絡安全事件應急預案,并定期組織演練。網絡安全事件應急預案應當按照事件發生后的危害程度、影響范圍等因素對網絡安全事件進行分級,并規定相應的應急處置措施。
五、
對企業如何履行安全保護義務的建議
本次《網絡安全法》的出臺給互聯網相關企業從各方面都帶來不小的影響,企業今后將要在網絡安全保護和管理等方面承擔更多的義務和責任。企業需梳理并
需要做
以下幾件的事情:
1、完善安全管理制度。采取有效技術措施和網絡安全防護設備保障網絡安全、穩定運行,能有效應對網絡安全事件,具體而言:
● 無線網絡接入的加密和分級授權;
● 內部電子郵箱等通訊軟件的安全管理;
● 技術部門外部采購行為的規范審查;
● 對系統及硬件供應商、服務商的資質審查、存檔記錄;
● 系統定期升級、維護;
● 加強信息數據管理,對重要數據做備份、存檔、加密等處理。
2、建立審核監控制度,具體而言:
● 審核監控制度須能夠有效監控網絡系統,及時發現漏洞和信息泄露等風險;
● 審核監控制度須具備“信息過濾”功能,保證網絡服務提供者不會收集與其提供的服務無關的信息,尤其是涉及國家秘密、個人隱私等重要敏感信息;
● 審核監控制度需要解決如何能有效發現、鑒別用戶上傳、傳輸內容的問題,以便及時處置;
● 審核監控制度需要解決如何有效應對用戶的刪除/更正請求的問題。
3、建立信息標記及回溯制度,使用信息數據地圖以識別存儲介質的位置以及追蹤數據信息的流轉路徑,為企業進行網絡安全評估、信息數據存儲傳輸、敏感信息過濾等提供幫助。
4、定期進行安全檢查和評估,被認定為CII運營者的每年必須進行一次評估。
5、建立報告制度。及時報告系統漏洞、信息泄露等風險事件。
6、建立保密制度。依法簽署保密協議,并采取設置安全系統,物理隔離區域等手段對個人信息、重要數據進行保密。
7、建立安全責任制度。本次新法明確規定,在企業違反網絡安全保護義務情形下,可對直接負責的主管人員或責任人員企業內部安全保護管理工作分工明確,制度健全。依法對安全負責人及關鍵崗位人員選任并實施安全審查,定期對從業人員培訓、教育和考核。
8、加強對外包服務的風控。涉及網絡信息安全的服務外包時,在協議中明確約定外包服務商的行為規范和風險事件發生時的責任承擔。
9、 完善投訴舉報制度。公示暢通的投訴舉報渠道,并及時處理相關投訴舉報。
六、
企業在網絡安全領域需要什么樣的專業法律合規服務
1、 盡職調查
以新法和國家安全審查相關指引為基礎,并結合本文第五部分建議的措施對企業的網絡安全義務履行是否符合法律要求,各項制度建立是否健全進行核查,并從合法性、安全性、保密性等方面對企業安全制度建設是否合規進行盡職調查。
2、人員訪談
與安全責任人、關鍵崗位從業人員以及可能對安全審查結果產生影響的人員進行訪談,了解相關崗位的設置,并對人員選任審查、職責分工、授權權限、培訓考核情況等方面進行審查。在很多情況下,人員訪談也屬于盡職調查的重要組成部分,貫穿盡職調查的過程中完成。
3、提供制度建設建議,幫助企業完善安全保護管理制度
在上述盡職調查的基礎上,與企業聘請的安全評估機構、技術專家等第三方機構以及企業技術部門充分溝通,幫助企業建立和完善安全審核制度、報告制度、保密制度等網絡安全保護管理制度和流程,作為企業的日常管理制度的一部分。
4、起草、審核協議和相關法律文件
幫助企業起草、審核:
● 與網絡產品、服務提供者之間的合作協議、保密協議;
● 與外包服務商之間的合作協議、保密協議;
● 網絡產品服務相關的用戶協議,平臺協議,特別是其中的隱私保護及通知政策、個人信息授權許可條款,保密條款等。
5、及時更新網絡安全相關法規和指引
本文中已經闡述了在新法出臺后可能出臺的六個新規,而面對網絡安全監管這一新概念,各個主管部門也在摸索中前進,今后關于網絡安全保護的具體實施辦法必將有更多的規范性文件和指引。企業須及時解讀新規內容,對企業的網絡安全保護管理制度進行更新,使其符合主管部門的要求。
網上投稿
滬公網安備 31010402007129號
