理论教育 网络运营者的信息保护法律指南

网络运营者的信息保护法律指南

时间:2023-08-16 理论教育 版权反馈
【摘要】:根据《网络安全法》的上述要求,拟设想提供给网络运营者的公民信息保护的法律服务方案:(一)计划与信息搜集确认服务企业是否属于《网络安全法》适用对象,是否具备“网络运营者”的条件?(二)差异和合规分析基于第一步信息搜集的初步结果,帮助服务企业评估现有业务与系统操作是否能够满足《网络安全法》中的硬性要求,如下文所述。

网络运营者的信息保护法律指南

根据《网络安全法》的上述要求,拟设想提供给网络运营者的公民信息保护的法律服务方案:

(一)计划与信息搜集

确认服务企业是否属于《网络安全法》适用对象,是否具备“网络运营者”的条件?

确认服务企业是否或即将搜集、存储、处理、使用信息?

确认企业拥有的或者正在使用的信息系统是否属于关键信息基础设施?

以上三问如果是,建议企业应先尽快盘点已搜集、存储、处理、使用的信息类型、信息对应的载体、内部访问、处理、分析、使用这些信息对应的人员岗位、存储这些信息的信息系统情况(例如系统后台数据库物理位置等)、这些信息是否会被内部人员或者系统后台接口的方式披露、传输给外部第三方?

(二)差异和合规分析

基于第一步信息搜集的初步结果,帮助服务企业评估现有业务与系统操作是否能够满足《网络安全法》中的硬性要求,如下文所述。

评估项目:搜集、使用、存储、销毁、第三方、关键信息基础设施。(www.daowen.com)

评估问题:搜集个人信息时是否已经完全履行了告知和同意的手续?告知声明和同意手续是否已经涵盖应告知和应同意的必要内容?是否授权超出岗位职责的工作人员能够访问、查询或修改他人的个人信息?存储个人信息的物理位置和存储介质是否安全?是否在适当位置、安全可控、采取安全保护措施和漏洞风险提示?个人信息的存放载体(纸张或电子介质)是否有可销毁的安全防护措施?销毁后还能否通过可控技术措施进行复原?如有,复原的程序如何设定?该程序是否安全、加密可控?数据传输给第三方的过程中是否有要求采取加密等安全防护措施?采取安全防护措施所传输的条件需要哪一些,如何设定?

如果相关信息系统被界定为关键信息基础设施,还应根据《网络安全法》的要求,开展以下工作:设定专门安全管理的机构与网络安全人员,并对安全人员进行背景调查,须具备法定条件;设定定期安全培训和教育的机制,定期实施;设定定期容灾备份的机制,定期实施;设定网络安全定期演练的机制,定期实施;如需采购网络产品与服务,可能影响国家安全,按照程序交由国家安全部门进行审查;采购网络产品与服务须签订相应的安全保密合同;建立每年至少一次安全检测评估制度,每年定期实施等。

对于关键信息基础设施的范围国家尚未有实施条例界定,则在实践中应当及时动态关注国家颁布的目录,并定期向监管机构或行业组织例如各省市网信办、银监会、保监会等组织进行持续咨询沟通,确认网络运营者保有的相关基础设施是否属于关键信息基础设施。

(三)整改与行动

根据第二步分析出的结果,综合考量其不符合法律规定的影响程度、整改成本等调整方案,提出整改策略、整改计划与具体执行方案,服务企业也可用替代性的程序或方式用来满足法律的刚需。

(四)持续改进

基于服务企业的管理、业务、信息系统等软件的不断更新变化,其在信息搜集、存储、处理、使用的范围和生命周期的管理方式等方面也将逐渐产生变化。因此法律实务中需要帮助企业建立一套可持续的、完整的信息保护管理战略、框架。企业治理层包括目标战略、治理组织;管理层包括岗位职责、信息保护流程、信息保护教育培训、信息保护评估与改进机制等维度完善企业信息保护的框架。从而不仅实现某个时间点上的合法合规,更要实现可持续性的合规,并最终使企业利用自身制度获得自我更新、管理。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈