关于中华人民共和国网络安全法(草案)的建议及意见

原创 2015年07月08日 23:28:20

 

网络安全法(草案)全文:

http://www.npc.gov.cn/npc/xinwen/lfgz/flca/2015-07/06/content_1940614.htm

 

建议一:

第三章 网络运行安全,第一节 一般规定,第十七条:“防止网络数据泄露或者被窃取、篡改”。

建议改为:“防止网络数据泄露、损坏、丢失或者被窃取、篡改”。

理由:

1、      网络数据除了泄露被第三方滥用以外,还有可能被恶意程序、人为误操作、人为破坏行为导致数据损坏而不可用,因此,网络数据的所有者或者管理者应采取相应技术、管理措施,避免数据损坏。

2、      另一方面,由于管理不善、第三方恶意行为等,导致归档数据、备份数据在法律规定的有效时间范围内遗失、丢失、损坏而导致数据不可用,因此,网络数据的所有者或者管理者应该采取相应的技术、管理措施,避免数据丢失风险。

 

建议二:

第三章 网络运行安全,第一节 一般规定,第十八条:“网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期间内,不得终止提供安全维护。”

请全国人大考虑如下情形:

1、         网络产品包括了各种网络应用系统,例如单位门户网站系统、人力资源管理、OA系统、财务软件等,此类网络产品一般由独立软件提供商开发,可能使用Java、PHP等语言,运行在操作系统之上。此类独立软件提供商对应用业务非常熟悉,但可能对网络安全缺乏相关技术储备、人员及设备等,因此,将安全维护责任完全由网络产品提供者承担,恐怕在实际操作过程中不容易实施。可考虑由网络产品提供商和网络产品提供商指定的第三方共同承担安全维护责任。

2、         请明确的规定出安全维护周期,例如3年,并定义安全维护周期计算方法,如网络产品上线、面向公众试用、使用方同意投入试用等节点;而不应用使用方验收后开始计算,防止在网络产品实际上线运行后,网络安全责任无法落实的情形。

3、         “在规定或者当事人约定的期间内,不得终止提供安全维护。”在这一表述中,请考虑如果使用方不向网络产品、服务提供方按时支付足额费用,在双方合同中一般会约定合同解除,终止提供安全维护;那么,按照合同法,网络产品、服务的提供方合理、合法的不提供安全维护;而按照本法,则违法,如此一来,合同法和本法相冲突,势必影响法律尊严,而且容易造成纠纷,不利于使用方和提供方双方的利益。

 

建议三:

第三章 网络运行安全,第一节 一般规定,第二十一条:“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”

建议改为:

1、“网络运营者应当制定网络安全事件应急预案”建议修改为:“网络运营者应当制定网络安全事件应急预案并定期演练”。理由为:应急预案制定后,由于发生大型安全事件及灾难恢复的几率较小(如灾难恢复,如近期的携程网服务中断事件),应急预案涉及的部门、人员较多,在不熟练的情况下,会大大延迟网络服务的恢复,造成恶劣影响,因此建议网络运营者定期演练,提高应急处理能力。

2、“及时处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险”建议修改为“及时处置链路中断、电力中断、设施损坏、设备损坏、系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险”;理由:网络基础设施损坏同样会导致严重的网络安全事件,如最近2次阿里巴巴接入光纤被挖断,导致大面积断网事件。

 

建议四:

第三章 网络运行安全,第二节 关键信息基础设施的运行安全,第二十五条:“国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统”。建议将教育列入公共服务领域。理由为:

1、慕课的大规模普及,学校大量使用网络应用开展教学活动,边远地区利用基于网络的远程教育系统教学;

2、各种在线培训机构、学校开展基于互联网和移动互联网的教育、培训活动。

 

建议五:

第三章 网络运行安全,第二节 关键信息基础设施的运行安全,第二十八条:“(三)对重要系统和数据库进行容灾备份”,建议修改为:“(三)对重要系统和数据进行容灾备份”。去掉“库”字。理由:“数据库”即可以指数据集合,又可以指结构化数据管理系统,如人大金仓、武汉达梦等,区别于非结构化数据,如网页、图片等文件数据,因此,用“数据库”一词可能造成误解。

 

建议六:

第四章 网络信息安全,第三十七条“公民发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。”

请全国人大考虑如下情形:

1、         公民发现了网络运营者滥用了其个人信息,要求立即删除,而网络运营者据不改正,那么公民应该怎么办?报警、调解、起诉?此事应该定义为民事纠纷还是刑事案件?这里定义非常模糊,一旦公民的权益受到损害,不知道该怎么办。请明确监管主体,或者在第六章法律责任中明确网络运营者的责任及赔偿额度。

2、         违反法律不受惩罚,会损害法律尊严。

 

建议七:

第六章 法律责任

建议对违反第一章至第五章任意条款的主体进行惩罚,而不是单列一个法律责任章,否则,在实际操作过程中,各主体只会执行法律责任这章涉及的条款,其他条款不会执行,即使违法,本法也不能进行处罚,大大损害法律尊严。如果只是指导性意见,以文件形式下发可能会好些。因此,在第一章至第五章中不出现“应、应该、应有”等模糊表述。

 

建议增加对违反三十六条的网络运营者进行严惩、重罚。

 

建议八:

未对当前反应强烈的电信诈骗案、伪基站、钓鱼网站等网络安全事件中运营商的责任、义务、处罚作出界定。中国每年的电信诈骗约损失1000亿元,如果网络安全法没有涉及到,可能是一种无法弥补的遗憾。

 

欢迎探讨备份/恢复、容灾、虚拟化相关的各种技术、产品、方案。加QQ群:185466074

或扫描二维码加入。


相关文章推荐

中华人民共和国网络安全法

[中华人民共和国网络安全法]发布时间:2017-06-01 来源:政策法规司 来源
  • sogubi
  • sogubi
  • 2017年06月01日 14:08
  • 147

中华人民共和国网络安全法 「正文及解读」

政策全文 目录 第一章 总 则 第二章 网络安全支持与促进 第三章 网络运行安全 第一节 一般规定 第二节 关键信息基础设施的运行安全 第四章 网络信息安全 第五章 监测预...
  • pygain
  • pygain
  • 2016年12月13日 09:17
  • 643

《网络安全法》出台_让被攻击者投诉有门!

原文链接 从上周五(5月12日)开始,一场名为NSA “永恒之蓝” 的勒索蠕虫病毒迅速席卷了全球,中国的互联网用户未能幸免。据相关数据显示,国内被感染的组织和机构已经覆盖了几...

6月1日《网络安全法》出台_让被攻击者投诉有门!

从上周五(5月12日)开始,一场名为NSA “永恒之蓝” 的勒索蠕虫病毒迅速席卷了全球,中国的互联网用户未能幸免。据相关数据显示,国内被感染的组织和机构已经覆盖了几乎所有地区和行业,影响范围遍布高校、...
  • Gamay
  • Gamay
  • 2017年06月01日 14:02
  • 616

6月1日《网络安全法》出台_让被攻击者投诉有门!

从上周五(5月12日)开始,一场名为NSA “永恒之蓝” 的勒索蠕虫病毒迅速席卷了全球,中国的互联网用户未能幸免。据相关数据显示,国内被感染的组织和机构已经覆盖了几乎所有地区和行业,影响范围遍布高校、...

网络安全法通过30天后京东数据库泄露,这是巧合?

国内数据安全总是要爆大新闻啊! 12月10日,有媒体曝出京东12GB的个人信息数据被疯狂转卖销售,包含用户名、密码、邮箱、QQ号、电话号码和身份证号等多个维度,多达数千万条,一些地下渠道开始对数据进...

《网络安全法》将于6月1日实施

十二届全国人大常委会第二十四次会议于2016年11月7日表决通过了《中华人民共和国网络安全法》(以下简称《网络安全法》),并于2017年6月1日实施。...

网络安全法解读

  • 2017年04月27日 16:47
  • 9.29MB
  • 下载

《网络安全法》已经实施了,那么你的网站准备好了吗?

在网络安全格局国家化的大背景下,6月1日,我国《中华人民共和国网络安全法》终于正式施行了。虽然立法历程可谓一波三折,而且相比别的国家也着实不算早,但总算还是为未来的信息安全开了一个好头。...

网络安全法将在六一正式实施,我该如何继续爱你?

网络安全法将在六一正式实施,我该如何继续爱你? 《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,现予公布,自20...
  • wodafa
  • wodafa
  • 2017年05月26日 13:37
  • 519
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:关于中华人民共和国网络安全法(草案)的建议及意见
举报原因:
原因补充:

(最多只允许输入30个字)