《公安机关互联网安全监督检查规定》解读

2018年9月30日,公安部发布了《公安机关互联网安全监督检查规定》(”检查规定”),该检查规定曾在2018年4月公开征求意见,并将于2018年11月1日正式生效。

尽管新规颁布,并不是从“0”到“1”,公安部门对网络安全进行检查是早已有之。早在1994年公安部门就有《计算机信息系统安全保护条例》,而在网络安全领域也一直都是重要的监管部门。在2011年CSDN数据泄漏事件中,北京警方就以CSDN未履行等级保护义务而处以警告处罚。《网络安全法》生效后的大量执法案件里,公安部门也一直都是重要的执法力量。 继续阅读《公安机关互联网安全监督检查规定》解读

法律合规视角下的等级保护条例

一、重装上阵

近日,公安部发布了《网络安全等级保护条例(征求意见稿)》(简称“保护条例”),等级保护制度的更新可谓是“千呼万唤始出来”。自从2017年6月《网络安全法》生效以来,各种配套法规不完善一直为各方所诟病,而等级保护制度作为《网络安全法》中的核心制度之一,更是迫切需要尽快完善。

等级保护制度可谓历史悠久,早在1994年国务院颁布的《计算机信息系统安全保护条例》中就规定计算机信息系统实行安全等级保护,随后有多部法规、国家标准对信息安全进行了规定。因此,等级保护虽然需要完善,但并不是一片空白。在《网络安全法》生效后,就有大量因未履行等级保护义务而受到处罚执法案例。

《网络安全法》生效前等级保护是指“信息安全”等级保护,直到2013年开始《网络安全法》提上议事日程,“网络安全”等级保护才取代了信息安全等级保护。从“信息”到“网络”的转变,从侧面反映出保护对象从硬件中的信息拓展至信息的载体。

在保护条例中,最为重要的主体是“网络运营者”,也是《网络安全法》中的常见概念。因为“网络”的范围是如此之宽泛,导致几乎所有的企事业单位都可以被划入网络运营者的范畴,故等级保护制度有必要得到所有单位的重视。

在保护条例中,对《网络安全法》中部分义务进行了扩张,比如安全技术措施在《网络安全法》中只是要求关键信息基础设施运营者承担同步规划、同步建设、同步使用的义务,在保护条例中将该义务扩张至所有的网络运营者。虽然同步进行安全保护是应有之意,但保护条例如此规定仍有越位的嫌疑。 继续阅读法律合规视角下的等级保护条例