关闭

关于中华人民共和国网络安全法(草案)的建议及意见

标签: 网络安全法建议意见网络安全
617人阅读 评论(0) 收藏 举报

 

网络安全法(草案)全文:

http://www.npc.gov.cn/npc/xinwen/lfgz/flca/2015-07/06/content_1940614.htm

 

建议一:

第三章 网络运行安全,第一节 一般规定,第十七条:“防止网络数据泄露或者被窃取、篡改”。

建议改为:“防止网络数据泄露、损坏、丢失或者被窃取、篡改”。

理由:

1、      网络数据除了泄露被第三方滥用以外,还有可能被恶意程序、人为误操作、人为破坏行为导致数据损坏而不可用,因此,网络数据的所有者或者管理者应采取相应技术、管理措施,避免数据损坏。

2、      另一方面,由于管理不善、第三方恶意行为等,导致归档数据、备份数据在法律规定的有效时间范围内遗失、丢失、损坏而导致数据不可用,因此,网络数据的所有者或者管理者应该采取相应的技术、管理措施,避免数据丢失风险。

 

建议二:

第三章 网络运行安全,第一节 一般规定,第十八条:“网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期间内,不得终止提供安全维护。”

请全国人大考虑如下情形:

1、         网络产品包括了各种网络应用系统,例如单位门户网站系统、人力资源管理、OA系统、财务软件等,此类网络产品一般由独立软件提供商开发,可能使用Java、PHP等语言,运行在操作系统之上。此类独立软件提供商对应用业务非常熟悉,但可能对网络安全缺乏相关技术储备、人员及设备等,因此,将安全维护责任完全由网络产品提供者承担,恐怕在实际操作过程中不容易实施。可考虑由网络产品提供商和网络产品提供商指定的第三方共同承担安全维护责任。

2、         请明确的规定出安全维护周期,例如3年,并定义安全维护周期计算方法,如网络产品上线、面向公众试用、使用方同意投入试用等节点;而不应用使用方验收后开始计算,防止在网络产品实际上线运行后,网络安全责任无法落实的情形。

3、         “在规定或者当事人约定的期间内,不得终止提供安全维护。”在这一表述中,请考虑如果使用方不向网络产品、服务提供方按时支付足额费用,在双方合同中一般会约定合同解除,终止提供安全维护;那么,按照合同法,网络产品、服务的提供方合理、合法的不提供安全维护;而按照本法,则违法,如此一来,合同法和本法相冲突,势必影响法律尊严,而且容易造成纠纷,不利于使用方和提供方双方的利益。

 

建议三:

第三章 网络运行安全,第一节 一般规定,第二十一条:“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”

建议改为:

1、“网络运营者应当制定网络安全事件应急预案”建议修改为:“网络运营者应当制定网络安全事件应急预案并定期演练”。理由为:应急预案制定后,由于发生大型安全事件及灾难恢复的几率较小(如灾难恢复,如近期的携程网服务中断事件),应急预案涉及的部门、人员较多,在不熟练的情况下,会大大延迟网络服务的恢复,造成恶劣影响,因此建议网络运营者定期演练,提高应急处理能力。

2、“及时处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险”建议修改为“及时处置链路中断、电力中断、设施损坏、设备损坏、系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险”;理由:网络基础设施损坏同样会导致严重的网络安全事件,如最近2次阿里巴巴接入光纤被挖断,导致大面积断网事件。

 

建议四:

第三章 网络运行安全,第二节 关键信息基础设施的运行安全,第二十五条:“国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统”。建议将教育列入公共服务领域。理由为:

1、慕课的大规模普及,学校大量使用网络应用开展教学活动,边远地区利用基于网络的远程教育系统教学;

2、各种在线培训机构、学校开展基于互联网和移动互联网的教育、培训活动。

 

建议五:

第三章 网络运行安全,第二节 关键信息基础设施的运行安全,第二十八条:“(三)对重要系统和数据库进行容灾备份”,建议修改为:“(三)对重要系统和数据进行容灾备份”。去掉“库”字。理由:“数据库”即可以指数据集合,又可以指结构化数据管理系统,如人大金仓、武汉达梦等,区别于非结构化数据,如网页、图片等文件数据,因此,用“数据库”一词可能造成误解。

 

建议六:

第四章 网络信息安全,第三十七条“公民发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。”

请全国人大考虑如下情形:

1、         公民发现了网络运营者滥用了其个人信息,要求立即删除,而网络运营者据不改正,那么公民应该怎么办?报警、调解、起诉?此事应该定义为民事纠纷还是刑事案件?这里定义非常模糊,一旦公民的权益受到损害,不知道该怎么办。请明确监管主体,或者在第六章法律责任中明确网络运营者的责任及赔偿额度。

2、         违反法律不受惩罚,会损害法律尊严。

 

建议七:

第六章 法律责任

建议对违反第一章至第五章任意条款的主体进行惩罚,而不是单列一个法律责任章,否则,在实际操作过程中,各主体只会执行法律责任这章涉及的条款,其他条款不会执行,即使违法,本法也不能进行处罚,大大损害法律尊严。如果只是指导性意见,以文件形式下发可能会好些。因此,在第一章至第五章中不出现“应、应该、应有”等模糊表述。

 

建议增加对违反三十六条的网络运营者进行严惩、重罚。

 

建议八:

未对当前反应强烈的电信诈骗案、伪基站、钓鱼网站等网络安全事件中运营商的责任、义务、处罚作出界定。中国每年的电信诈骗约损失1000亿元,如果网络安全法没有涉及到,可能是一种无法弥补的遗憾。

 

欢迎探讨备份/恢复、容灾、虚拟化相关的各种技术、产品、方案。加QQ群:185466074

或扫描二维码加入。


0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:4240次
    • 积分:130
    • 等级:
    • 排名:千里之外
    • 原创:9篇
    • 转载:0篇
    • 译文:0篇
    • 评论:0条
    文章存档