移动业务安全专家

| 6月1日网络安全领域双法齐下
2017年6月1日,公众期待已久的《中华人民共和国网络安全法》正式施行。

而当IT圈在关注《网络安全法》的同时却往往没有注意到,《中华人民共和国刑法》关于“侵犯公民信息”的司法解释,也于6月1日正式生效。
《网络安全法》的处罚更多在于民事责任和治安管理处罚。但《刑法》则关注构成犯罪、需追究刑事责任的行为。
特别是对于单位涉及公民信息泄露且情节特别严重的,《刑法》将对单位法人及相关责任人处“三年以上七年以下的有期徒刑”,并处罚金。
只有当我们结合这两个新法律来分析,才会发现,“防止信息泄露”已经成为了企业必须要特别重视的工作。
t01f7805b9ba9c7ee7a| 指掌易解法

《网络安全法》第三章中有多项条文强调了网络数据保护的相关规定。其中,“第二十一条” 规定了网络运营者的责任,规定原文如下:

第二十一条

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
网络安全法对企业的安全资质、内部技术、安全制度等作了具体规定,对互联网企业的安全保障义务提出了更高要求。

网络安全法也要求网络服务提供者在开展业务、提供服务的同时保障网络安全,若达不到法律要求将无法开展服务,这将成为互联网企业发展的一个新的衡量标准和准入条件。该法实施以后,不具备法律要求的安全技术能力的企业,将要面临包括吊销证照在内的严厉处罚,甚至面临被淘汰的境地。
而其中“第三十一条”可谓《网络安全法》的一大亮点,要求建立关键信息基础设施安全保护制度,重点强调关键信息基础设施安全和网络诈骗的惩治。规定原文如下:

第三十一条

国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

关键信息基础设施作为金融、能源、电力、通信、交通等领域运行的神经中枢,与国计民生息息相关,是网络安全的重中之重。近年来,各国因关键信息基础设施被攻击而遭受重大损失的事件层出不穷。
当信息化建设从政治、军事逐渐渗透至民生、经济、工业、公共服务等领域,并担当重要基础设施角色,国家意识到,如果这些领域面临严重网络安全隐患,后果同样不堪设想。
而在相应的处罚条例中,也做了相当严厉的规定,规定原文如下:

第五十九条 

网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
第六十四条 
网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
在第四章网络信息部分中的四十二条,四十五条,分别从一般单位掌握的个人信息和国家单位掌握的个人信息两个角度如何保护进行了具体规定,规定原文如下:

第四十二条 

网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十五条 
依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。

对应的处罚虽然在本次网络安全法中没有体现,但在5月份,最高法对侵犯公民个人信息的刑法解释中做了特定阐述,规定原文如下:

第五条 

非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
第七条
单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。
第九条 
网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。


t01525325b07dde718e

| 既然防治数据泄露已经成为企业安全的重中之重。那该如何做好呢?指掌易有三个建议:

1.不仅要关注PC端防泄密,更要关注移动端防泄密。
近年移动互联网飞速崛起,智能手机已经成为办公和业务的新主体,也成为了数据防泄露的新战场。所以企业在制定安全策略时,不仅需要管住PC,更要管住移动端设备。传统PC可以通过网关、防火墙、外设接口和设备出入限制,有效实现数据防泄露;但在移动网络时代设备移动化、边界模糊化、数据云端化,需要专业的移动DLP技术实现管控。

2.不仅要防治国家和企业的数据泄露,也要保障个人隐私。
从网络安全法到刑法对侵犯公民信息的风向来看,个人信息的保护也成为了热点。所以,企业在制定信息防泄露方案时,不能再一刀切的对员工的个人信息进行收集和过滤。例如有些移动安全解决方案会把员工所有的手机上网数据进行记录和审计,这就明显侵犯了个人隐私。为了企业安全而去牺牲员工的个人安全,这种简单粗暴的方式不仅让员工抵触,还很可能一不小心就触犯了法律。
具体做法是将企业数据和个人数据进行区分,只对企业移动办公和业务的信息进行管理,具体做法可以是应用级VPN、数据隔离、虚拟化沙箱等等。通过技术在确保企业安全的前提下不侵犯个人隐私。

3.安全方案要能够适配所有终端。
和相对单一的PC操作系统和电脑品牌相比,中国的手机品牌繁多,安卓系统的安全策略也极为开放。而BYOD的环境下,员工会使用各种类型的手机使用企业APP、接入企业网络。所以一个成熟的移动防泄密方案要具备良好的兼容性,能对各种类型的系统和手机进行管理,对OA、企业级通信、多媒体和邮件等各种应用实现安全的保护。

t01aa9509f2370959a9 
今天,《网络安全法》和《中华人民共和国刑法》对侵犯公民信息的解读同时颁布,让安全、特别是信息泄露的重要性上升到了经营层面。
对于企业的IT和安全负责人来,这不仅意味着更多的机会,也是更大的责任和挑战。
作为移动办公安全的倡导者,指掌易科技正在同我们的合作伙伴一起,让企事业用户的移动化进程更高效、更安全、更可靠。

2017/06.01    北京时间