#每日三件事,第729天#
《网络安全法》有非常重要的三大部分,分别是第三章网络运行安全、第三章网络信息安全和第五章监测预警与应急处置。其实在整个信息系统的生命周期中,特别需要关注的也就是这三个部分。在法律合规下,履行法律义务,落实网络安全。
网络运行安全分为一般规定和关键信息基础设施安全运行两部分。在网络系统的整个生命周期中,保障系统安全可靠运行。
第二十二条规定:网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
网络产品、服务提供者的安全义务:
网络产品和服务应当符合相关国家标准的强制性要求。国家颁布了很多产品和服务的标准,国标是对重要产品等需要在全国范围内统一适用的技术要求。对与尚未制定国家标准的网络产品和服务,按照产品质量法的规定,也必须符合保障人体健康和人身、财产安全的要求。
不得设置恶意程序。恶意程序是专门编写的用于实施网络攻击或者窃取数据等行为的程序。包括在软件中滞留后门。认为设置的后门程序是很难被发现的,危害是是最大的。恶意程序对于网络安全和网络运营者的合法权益带来了严重损害,必须予以禁止,并且让其担负法律责任。
发现网络风险及时采取应对措施。通过聘请第三方安全服务机构对网络系统进行风险评估、漏洞扫描、渗透测试,都可以发现潜在的风险。关键是有些网络运营者抱有侥幸心理,对网络安全风险置之不理,总觉得网络攻击离自己很远、黑客不会关注自己的网络系统。的确,有风险不简单一定会导致安全事故。这是个概率大小的问题。随着自动化攻击手段日趋完善,对某些高危漏洞的利用已经可以使用脚步程序实现自动化攻击。任何侥幸心理都会被现实无情的击碎。
另外,网络产品、服务提供者还有自己的安全维护义务。也就是说,在约定的维护期内,必须得为用户提供安全维护服务,不能以各种理由拒绝。有些服务商会以产品年代久远为由、或者产品已经更新换代,而拒绝对其产品提供安全维护,将客户的信息系统暴露于威胁之中。
最后,就是对信息的保护义务。如果产品或者服务收集用户信息,必须向用户明示并取得同意。很多软件产品的用户服务协议真的是又臭又长,你更不没有、也不可能看完这些晦涩难懂的协议。想要关闭微信广告,据说要在协议中点击10多次,而且位置特别隐蔽,一般人根本就找不到。收集用户信息不明示的情况也比比皆是。
如果收集个人信息的话,必须要遵守网络安全法的其他条款。非常明确的一点就是“合法、正当、必要”。小区搞个人脸识别的门禁,到底好不好呢?采集人脸可以“合法、正当”,但并不是“必要的”,进门可以通过除人脸识别外的很多方式。
网友评论