1、网络安全法相关配套法律法规和规范性文件梳理中华人民共和国网络安全法(以下简称网络安全法)于 2017 年 6 月 1 日正式实施。网络安全法作为我国网络空间安全管理的基本法律,框架性地构建了许多法律制度和要求,重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施安全保护制度、网络安全审查、个人信息和重要数据保护制度、数据出境安全评估、网络关键设备和网络安全专用产品安全管理制度、网络安全事件应对制度等。为保障上述制度的有效实施,一方面,以国家互联网信息办公室(以下简称“网信办”)为主的监管部门制定了多项配套法规,进一步细化和明确了各项制度的具体要求、相关主体的职责以及监管部门的监
2、管方式;另一方面,全国信息安全标准化技术委员会(以下简称“信安标委”)同时制定并公开了一系列以信息安全技术为主的重要标准的征求意见稿,为网络运营者提供了非常具有操作性的合规指引。具体讲:1. 在互联网信息内容管理制度方面网信办颁布了互联网信息内容管理行政执法程序规定,并已经针对互联网新闻信息服务、互联网论坛社区服务、公众账户信息服务、群组信息服务、跟帖评论服务等制定了专门的管理规定或规范性文件,以期全方位多层次地保障互联网信息内容的安全和可控性;2. 在网络安全等级保护制度方面信安标委在原有的信息系统安全等级保护制度的基础之上,发布了包括网络安全等级保护实施指南、网络安全等级保护基本要求等在内
3、的多项标准文件的征求意见稿。考虑到现行的信息安全等级保护管理办法已不适用网络安全法的要求,新的网络安全等级保护管理办法也正在制定中;3. 在关键信息基础设施安全保护制度方面随着关键信息基础设施安全保护条例、信息安全技术 关键信息基础设施安全检查评估指南等征求意见稿的公布,关键信息基础设施运营者的安全保护义务得以进一步明确。但是关键信息基础设施的范围依旧有待制定中的关键信息基础设施识别指南进行进一步地明确;4. 在个人信息和重要数据保护制度方面其核心内容主要包括个人信息收集和使用过程中的安全规范以及个人信息和重要数据出境时的安全评估制度。其中,个人信息权作为一项民事权利,除网络安全法以外,在民法
4、总则、侵权责任法和刑法中同样也建立了相应的保护机制,各行业的特别法律法规对某些特殊的个人信息也提出了特殊的法律要求;5. 在网络产品和服务的管理制度方面以安全可控性为基本要求,网信办建立了全新的网络安全审查制度和网络关键设备和网络安全专用产品目录管理制度。实践中,企业在进行网络产品和服务的合规管理时,同时还应当考虑密码产品管理制度和公安部的计算机信息系统安全专用产品管理制度;6.网络安全事件管理制度本身是网络安全等级保护制度中的一部分为了加强对重点领域的管理,网信办、信安标委和行业主管部门等制定了更加针对性的管理要求和指引。本文以上述各项制度为类别,对截止目前已经公布和即将出台的网络安全法相关
5、的各项战略、法律法规、规范性文件及标准进行了梳理总结,供大家参考,表 1 为网络安全法及其配套法律法规和规范性文件汇总目录,表 2 为个人信息保护相关的重要法规及规范性文件汇总目录,表 3 为信息系统安全等级保护相关法规及重要国家标准汇总目录,表 4 为密码产品相关法规汇总目录。表 1:网络安全法及其配套法律法规和规范性文件汇总目录序号 文件名称 发报机构 生效时间 法律状态A.网络安全法及其配套法律和规范文件1. 基本法律和国家战略1.1 国家安全法 全国人大常委会 2015-7-1 现行有效1.2 网络安全法 全国人大常委会 2015-6-1 现行有效1.3全国人民代表大会常务委员会关于加
6、强网络信息保护的决定全国人大常委会 2012-12-28 现行有效1.4 国家网络空间安全战略国家互联网络信息办公室 2016-12-27现行有效1.5 网络空间安全合作战略外交部和国家互联网络信息办公室 2017-3-1现行有效2.互联网信息内容管理制度2.1互联网信息服务管理办法2011 修定)国务院 2011-1-8 现行有效2.2互联网信息内容管理行政执法程序规定国家互联网络信息办公室 2017-6-1现行有效2.3互联网新闻信息服务管理规定国家互联网络信息办公室 2017-6-1现行有效2.4互联网新闻信息服务许可管理实施细则国家互联网络信息办公室 2017-6-1现行有效2.5互联
7、网跟帖评论服务管理规定国家互联网络信息办公室 2017-10-1已发报,未生效2.6互联网论坛社区服务管理规定国家互联网络信息办公室 2017-10-1已发报,未生效2.7互联网群组信息服务管理规定国家互联网络信息办公室 2017-10-8已发报,未生效2.8互联网用户公众账号服务管理规定国家互联网络信息办公室 2017-10-8已发报,未生效3. 网络安全等级保护制度3.1信息安全技术 网络安全等级保护实施指南 (征求意见稿)全国信息安全标准优技术委员会 N/A正式版未发报,未生效3.2信息安全技术 网络安全等级保护测评过程指南 (征求意见稿)全国信息安全标准优技术委员会 N/A正式版未发报
8、,未生效3.3信息安全技术 网络安全等级保护测试评估技术指南 (征求意见稿)全国信息安全标准优技术委员会 N/A正式版未发报,未生效3.4信息安全技术 网络安全等级保护基本要求(第 1-5 部份)(征求意见稿)全国信息安全标准优技术委员会 N/A正式版未发报,未生效3.5信息安全技术 网络安全等级保护设计技术要求(第 1-5部份)(征求意见稿)全国信息安全标准优技术委员会 N/A正式版未发报,未生效3.6信息安全技术 网络安全等级保护测评要求(第 1-5 部份)(征求意见稿)全国信息安全标准优技术委员会 N/A正式版未发报,未生效4. 关键信息基础设施安全保护制度4.1关键信息基础设施安全保护
9、条例(征求意见稿)国家互联网络信息办公室 N/A正式版未发报,未生效4.2国家网络安全检查操作指南中央网络安全和信息化领导小组办公室、网络安全协调局2016-6-1 非法律文件4.3信息安全技术 关键信息基础设施安全检查评估指南(征求意见稿)全国信息安全标准优技术委员会 N/A正式版未发报,未生效4.4信息安全技术 关键信息基础设施安全保障评价指示体系(征求意见稿)全国信息安全标准优技术委员会 N/A正式版未发报,未生效4.5关键信息基础设施识别指南国家互联网络信息办公室、工信部、公安部门等部门N/A 制定中4.6信息安全技术 关键信息基础设施安全保护要求全国信息安全标准优技术委员会 N/A定
10、中5. 个人信息和重要数据保护制度5.1个人信息和重要数据出境安全评估办法(征求意见稿及修定稿)国家互联网络信息办公室 N/A正式版未发报,未生效5.2信息安全技术 数据出境安全评估指南(征求意见稿)全国信息安全标准优技术委员会 N/A正式版未发报,未生效5.3信息安全技术 个人信息安全规范(征求意见稿及报批稿)全国信息安全标准优技术委员会 N/A正式版未发报,未生效5.4信息安全技术 个人信去标识化指南(征求意见稿)全国信息安全标准优技术委员会 N/A正式版未发报,未生效5.5信息安全技术 公共及商用服务信息系统个人信息保护指南工业和信息化部 2013-2-1 现行有效6. 网络产品和服务管
11、理制度6.1网络产品和服务安全审查办法(试行)国家互联网络信息办公室 2017-6-1现行有效6.2关于发报网络关键设备和网络安全专用产品目录(第一批)的公告工业和信息化部、公安部、国家认证可监督管理委员会、国家互联网络信息办公室2017-6-1 现行有效6.3信息安全技术 网络产品和服务安全通用要求(征求意见稿)全国信息安全标准优技术委员会 N/A正式版未发报,未生效6.4信息安全技术 信息技术产品安全检测机构条件和行为准则(征求意见稿)全国信息安全标准优技术委员会 N/A正式版未发报,未生效6.5信息安全技术 信息技术产品安全可控评价指标(第 1-5部分)(征求意见稿)全国信息安全标准优技
12、术委员会 N/A正式版未发报,未生效7. 网络安全事件管理制度7.1国家网络安全事件应急预案 中央网络安全和信息化领导小组办公室 2017-1-10现行有效7.2工业控制系统信息安全事件应急管理工作指南工业和信息化部 2017-5-31 现行有效7.3信息安全技术 网络攻击定义及描述规范(征求意见稿)全国信息安全标准优技术委员会 N/A正式版未发报,未生效7.4信息安全技术 网络安全事件应急演练通用指南(征求意见稿全国信息安全标准优技术委员会 N/A正式版未发报,未生效7.5信息安全技术 网络安全威胁信息表达模型(征求意见稿)全国信息安全标准优技术委员会 N/A正式版未发报,未生效7.6信息安
13、全技术 网络安全漏洞发现与报告管理制度全国信息安全标准优技术委员会 N/A制定中表 2:个人信息保护相关的重要法规及规范性文件汇总目录序号 文件名称 发报机构 生效时间 法律状态1 民法总则第 111 条全国人民代表大会常务委员会 2017-10-1已发报,未生效2中华人民共和国侵权责任法第 2 条全国人民代表大会常务委员会 2017-7-1现行有效3形法修正案(七)、(九)第 17、28 条全国人民代表大会常务委员会 2017-11-1现行有效4关于办理侵犯公民个人信息刑事案件适用法律若午问题解最高人民法院、最高人民检察院 2017-10-10现行有效5最高人民法院关于审理利用信息网络侵害人
14、身权益民事纠纷案件适用法律若干问题的规定最高人民法院 2014-10-10 现行有效6中华人民共和国反恐布主义法第 21、86 条全国人民代表大会常务委员会 2016-1-1现行有效7中华人民共和国消费者权益保护法第 14、第 29、第 50、第56 条全国人民代表大会常务委员会 2014-3-15现行有效8中华人民共和国居民身份证法(2011 年修定)全国人民代表大会常务委员会 2012-1-1现行有效9电信和互联网用户个人信息保护规定工业和信息化部 2013-9-1 现行有效10互联网用户账号名称管理规定中国互联网信中心 2015-3-1 现行有效11 通信短信信息服务管理规定 工业和信息
15、化部 2015-6-30 现行有效12寄递服务用户个人信安全管理规定国家邮政局 2014-3-26 现行有效13中华人民共和国测绘法(2017 年修定)全国人民代表大会常务委员会 2017-7-1现行有效14中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知中国人民银行 2011-1-21 现行有效15中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知中国人民银行 2012-3-27 现行有效16 征信业管理条例 国务院 2013-3-15 现行有效17网络预约出租汽车经营服务管理暂行办法交通运输部、工业和信息化部、公安部、商务部、工商总局、质检总局、国家网信办2016
16、-11-1 现行有效18规范互联网信息服务市场秩序若干规定工业和信息化部 2012-3-15 现行有效19中华人民共和国旅游法(2016 年修定)第 52 条全国人民代表大会常务委员会 2016-11-7现行有效20 电子商务法(草案)全国人民代表大会常务委员会 N/A正式版未发报,未生效表 3:信息系统安全等级保护相关法规及重要国家标准汇总目录序号 文件名称 发报机构 生效时间 法律状态1中华人民共和国计算机信息系统安全保护条例国务院 2011-1-8 现行有效2信息安全等级保护管理办法 公安部、国家保密局、国家密码管理局 2007-6-22现行有效3计算机信息系统安全专用产品检测和销售许可
17、证管理办法 公安部 1997-12-12 现行有效4GAT 708-2007 信息安全技术-信息系统安全等级保护体系框架公安部 2007-10-1 现行有效5GAT 708-2008 信息安全技术-信息系统安全等级保护基本模型公安部 2007-10-1 现行有效6GB 17859-1999 计算机信息系统安全保护等级划分淮则公安部 2011-1-1 现行有效7GBT 20269-2006 信息安全技术信息系统安全管理要求全国信息安全标准化技术委员会 2006-12-1现行有效8GBT 20270-2006 信息安全技术网络基础安全管理要求全国信息安全标准化技术委员会 2006-12-1现行有效
18、9GBT 20271-2006 信息安全技术信息系统通用安全技术要求全国信息安全标准化技术委员会 2006-12-1现行有效10GBT 20282-2006 信息安全技术信息系统安全工程管理要求全国信息安全标准化技术委员会 2006-12-1现行有效11GBT 21052-2007 信息安全技术信息安全系统物理安全技术要求全国信息安全标准化技术委员会 2008-1-1现行有效12GBT 22239-2008 信息系统安全等级保护基本要求全国信息安全标准化技术委员会 2008-1-1现行有效13GBT 25058-2010 信息安全技术信息系统安全等级保护实施指南全国信息安全标准化技术委员会 2
19、011-2-1现行有效14GBT 22240-2008 信息安全保护等级定级指南全国信息安全标准化技术委员会 2008-11-1现行有效15GBT 25070-2010 信息安全技术信息系统安全等级保护安全设计技术要求全国信息安全标准化技术委员会 2011-2-1现行有效表 4:密码产品相关法规汇总目录序号 文件名称 发报机构 生效时间 法律状态1中华人民共和国密码法(征求意见稿)国家密码管理局 N/A 现行有效2 商用密码管理条例 国务院 1999-10-7 现行有效3 商用密码管科研管理规定 国家密码管理局 2006-1-1 现行有效4商用密码产品生产管理规定国家密码管理局 2006-1-1 现行有效5商用密码产品销售管理规定国家密码管理局 2006-1-1 现行有效6商用密码产品使用管理规定国家密码管理局 2007-5-1 现行有效7境外组织和个人在华使用密码产品管理办法国家密码管理局 2007-5-1 现行有效8信息安全等级保护商用密码管理办法国家密码管理局 2008-1-1 现行有效9信息安全等级保护商用密码管理办法实施意见国家密码管理局 2009-12-15 现行有效10信息安全等级保护商用密码技术实施要求国家密码管理局 2009-12-15 现行有效
