|
网络安全法实行在即,金融行业如何践行? 一、前言 近年,随着网络安全形势的日趋严峻,网络安全也逐步上升到国家层面,十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》(以下简称《网络安全法》),宣告了我国网络安全领域第一部基础性、框架性法律正式出台。《网络安全法》在网络空间主权、国家网络安全等级保护制度、关键信息基础设施保护、网络运营者、网络产品和服务提供者义务、保障网络信息安全,个人信息保护、关键信息基础设施重要数据跨境传输、监测预警与应急处置等方面做出明确规定。尤其需要注意的是,《网络安全法》特别强调了“关键信息基础设施”的概念,明确要求对信息基础设施实行重点保护,要求关键信息基础设施的运营者承担更进一步的保护义务。 近年来银行业金融机构是网络攻击的重灾区,尤其信息泄漏、黑客攻击呈高发态势,如影响全球金融业的“SWIFT惊天银行大劫案”、震惊全国的银行行长出售征信查询账号导致大量个人信息泄漏的“5·26侵犯公民个人信息案”等等,银行业及金融机构的网络安全态势非常严峻。《网络安全法》中明确指出银行业及金融机构是关键信息基础设施的运营者,一方面,突出了金融行业的战略地位和价值,另一方面,也明确了银行业金融机构做好自身网络安全工作的义务和责任。金融行业需要依据《网络安全法》的法律要求进行落地实施,有效提高金融行业整体的网络安全保护水平。 《网络安全法》对于加强互联网和网络安全方面的法律约束具有重要意义,对金融机构提出新的网络安全工作思路和要求。本文从安全法的总则至法律责任六个章节的重点条款解读银行业金融机构开展网络安全工作的方向和思路。 二、网络安全法“总则”遵守解读 重点法律条款: 第二条 在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。 第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。 县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。 第九条 网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。 第十条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。 第十一条 网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。 第十二条 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。 任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。 第十四条 任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。 有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。 解读 《网络安全法》虽然提出的是境内管辖,但网络通信一般是没有国境的,因此存在跨境业务的银行业金融机构需要优化网络安全内部管理,保证跨境业务同时满足国外、国内的双重监管。特别在通信内容领域,需要审慎分析信息在境内和境外的采集、使用和存储的合法性。 在网络安全管理的遵从性方面,银行业金融机构应全面落实《金融行业信息系统信息安全等级保护实施指引》的同时,还需进一步
|
