隨著《網絡安全法》正式施行日期的臨近,國家互聯網信息辦公室(國家網信辦)負責人近日就法律中涉及網絡技術服務的關鍵內容進行了權威解讀,為相關企業和從業者提供了清晰指引。
一、明確網絡運營者安全義務,夯實技術防護基礎
負責人指出,《網絡安全法》的核心之一是明確了網絡運營者的安全保護義務。法律要求網絡運營者按照網絡安全等級保護制度的要求,履行安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。這要求所有提供網絡技術服務的機構,無論規模大小,都必須將安全措施內置于技術設計、開發、部署和運維的全過程,建立健全內部安全管理制度和操作規程,并采取防范計算機病毒、網絡攻擊、網絡侵入等危害網絡安全行為的技術措施。
二、強化關鍵信息基礎設施保護,技術支撐是重中之重
針對公共通信、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域的關鍵信息基礎設施,《網絡安全法》規定了更為嚴格的保護要求。負責人強調,為這些設施提供技術服務的單位,責任尤為重大。法律要求關鍵信息基礎設施的運營者應當設置專門安全管理機構和負責人,定期對從業人員進行網絡安全教育、技術培訓和技能考核,并對重要系統和數據庫進行容災備份。技術服務機構需提供符合要求的、高可靠性的安全產品與服務,協助運營者落實監測預警、應急響應和安全評估機制。
三、規范數據安全管理,技術服務須守牢數據生命線
數據安全是網絡安全的基石。負責人詳解了法律在數據保護方面的規定:網絡運營者收集、使用個人信息,必須遵循合法、正當、必要的原則,公開收集、使用規則,明示目的、方式和范圍,并征得被收集者同意。法律建立了重要數據境內存儲制度,要求關鍵信息基礎設施的運營者在境內運營中收集和產生的個人信息和重要數據應當在境內存儲。這意味著,提供云服務、數據存儲、處理和分析等技術服務的廠商,必須確保其技術架構和業務流程能夠滿足數據本地化存儲與安全傳輸的合規要求,并采取加密、脫敏等技術手段保障數據全生命周期安全。
四、建立網絡安全監測預警與應急處置機制,技術服務能力面臨新考驗
《網絡安全法》要求國家建立網絡安全監測預警和信息通報制度。負責人表示,這需要強大的技術平臺和能力作為支撐。網絡運營者,特別是網絡技術服務提供者,有義務按照規定,及時向主管部門報告網絡安全事件和風險,并配合開展調查處置。法律還賦予了有關部門在特定情況下,可以要求運營者采取技術措施和其他必要措施,阻斷攻擊、消除隱患。這就要求技術服務提供者不僅自身要有強大的安全監測和應急響應技術能力,其提供的產品或服務也要便于與國家層面的預警通報體系對接,并能支持快速、有效的應急技術處置。
五、促進安全技術發展與人才培養,構建良性生態
負責人最后指出,法律不僅設定義務,也鼓勵支持網絡安全技術的研究開發和應用,推廣安全可信的網絡產品和服務。國家支持企業和高等院校、職業學校等開展網絡安全相關教育與培訓,通過多種方式培養網絡安全人才。這對于網絡技術服務產業而言是重大利好。技術企業應積極投入安全技術創新,研發自主可控的安全產品,同時加強與院校合作,共同培養既懂技術又懂法律的復合型人才,為法律的全面有效實施和我國網絡安全整體水平的提升提供堅實的技術與人才保障。
****
國家網信辦負責人的此番解讀,為網絡技術服務行業在《網絡安全法》框架下的發展指明了方向。合規已不是選擇題,而是生存發展的前提。相關企業應盡快對照法律要求,全面審視和提升自身的技術架構、產品服務、內部管理和人才儲備,將安全理念深度融入技術血脈,方能行穩致遠,在保障國家網絡空間安全的贏得更廣闊的市場未來。