首先是《数据安全法》,《数据安全法》是为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定的法律。
对于互联网企业而言,数据是至关重要的生产要素。在过去,由于相关的法律法规还并不健全,很多时候数据对于企业来说,就像是无主的资源,取之不尽用之不竭,大家爱怎么取就怎么取、爱怎么用就怎么用。然而,随着《数据安全法》的正式实施,这个野蛮生长的时代马上就要走到终点了。
《数据安全法》生效之后,将与《网络安全法》和即将实施的《个人信息保护法》一起,全面构筑中国信息及数据安全领域的法律框架。《数据安全法》将给过去那些随意采集用户数据、滥用数据的企业带上紧箍咒,让行业更加健康、更加规范的发展。
说完《数据安全法》,接下来我们再来说说《关键信息基础设施安全保护条例》,所谓关键信息基础设施,指的是包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等等重要行业和领域,换句话说,一切和国计民生密切相关的单位都是关键信息基础设施,这些单位一旦发生网络攻击,遭到破坏、丧失功能或者数据泄露,就可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统。
因此,保障关键信息基础设施的安全,对于维护国家网络安全、网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益都具有十分重大的意义。
值得业界注意的是,《条例》特别提出要求实施“一把手负责制”,运营者需建立健全网络安全保护制度和责任制,实行“一把手负责制”,明确运营者主要负责人负总责,保障人财物投入。“一把手”负责制,就是指相关的政府、企事业单位的一号领导要对全局性、关键性、重要性的工作负总责。可想而知,在这样的高压下,网络安全必将在企事业单位信息化建设和数字化转型中占据更高的话语权和地位。
最后一个是《网络产品安全漏洞管理规定》,《网络产品安全漏洞管理规定》是为了规范网络产品安全漏洞发现、报告、修补、发布等行为,防范网络安全风险,根据《中华人民共和国网络安全法》制定的规定,由工信部、网信办、公安部三部门联合印发。
网络安全漏洞是网络产品和服务在生命周期中无意或有意产生的,有可能被利用的缺陷或薄弱点。网络安全漏洞是大量网络安全事件、网络违法犯罪活动发生的罪魁祸首,具有防不胜防的特点。即使是再严格的测试也无法根除网络安全漏洞。因此,建立行之有效的网络安全漏洞管理机制成为面对潜在网络安全漏洞的最佳策略。
对于广大白帽子们来说,网络安全漏洞既是挣得漏洞奖励的绝佳途径之外,事实上也是一块烫手的山芋。网络安全漏洞的发掘与报送都存在较高的法律风险,白帽子稍有不慎就会触及法律的“红线”——《刑法》第285条非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪。各大媒体报道的“白帽子”因对网站进行未授权扫描而引发网站故障,最终被公安机关抓捕的案件不在少数。
而此次发布的《网络产品安全漏洞管理规定》第9条为安全漏洞收集平台与“白帽子”群体划出了行为红线,也让漏洞发布行为的边界更为清晰。此后,漏洞的发布将会被严格限制。尤其是在网络安全漏洞可以被视为一种“战略资产”的背景下,未公开的安全漏洞不得向境外组织和个人提供,避免用于威胁我国的网络安全。
在罚则方面,《网络产品安全漏洞管理规定》为违法漏洞平台与“白帽子”们准备了责令改正、警告、机构最高10万元罚款、责任个人最高5万元罚款、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等一系列处罚手段。
随着《网络产品安全漏洞管理规定》正式施行,网络安全行业将迎来更清晰的规范体系,而漏洞收集平台和白帽子也将在承担更大的社会责任的同时,发挥出更大的社会价值。
京公网安备 11010802033237号
