用实际行动响应《网络安全法》:数据宝开展2018第二季度《网络安全法》培训研讨活动
《网络安全法》实施一周年之际,数据宝法务部面向全体员工开展2018第二季度《网络安全法》培训研讨活动。数据宝是首个省部共建国有数据资产运营增值服务商,国有资本参股、政府监管扶持、市场化运作,拥有大数据资产交易资质。作为国家部委机构、央企数据产品流通的审核员、监督员、服务员,数据宝要求每一位员工响应《网络安全法》,在业务开展过程中主动识别并制止违法行为,并帮助合作伙伴落实《网络安全法》的各项要求。
互联网的蓬勃发展,促进了居民生活改善、产业革新、国家竞争力增强,在以互联网为基础的共享经济、移动支付、大数据等领域,中国已处于世界领先地位。然而,在享受互联网带来红利的同时,以公民隐私泄露、网络非法入侵等为代表的网络安全事件也愈演愈烈,据统计,2015年互联网应急中心共接到境内网络安全事件126424起,同比增长128%。为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,全国人大于2016年11月7日发布《网络安全法》,2017年6月1日起正式实行。
《网络安全法》重要条款解读
首先,法务部同事对《网络安全法》的重要条款进行了解读。
对于网络实名制问题,《网络安全法》第二十四条进行了规定:
网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
近年来,在利益驱动下,网络上的各种违法行为泛滥,虚假信息、网络恐怖主义、制黄传黄、网络诈骗活动趋于多变、隐蔽,网络上各种有害信息仍然较为普遍。《网络安全法》要求网络运营者在提供服务前必须取得用户的真实身份信息,其目的便是消除不法分子匿名化犯罪的侥幸心理、整肃网络环境,塑造风清气正的网络空间。
对于不落实网络实名制的企业,《网络安全法》第六十一条给出了罚则:未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。可见,违反实名制条款的成本很高。
对于数据收集和授权使用问题,《网络安全法》第四十一条进行了规定:
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
第一,网络运营者在收集个人信息时,不仅需要告知被收集者其信息将被收集,而且需要获得被收集者的同意、使其知晓该数据的用途,即应遵从知情同意原则。
第二,网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量,即应遵从正当必要原则。
对于数据安全问题,《网络安全法》第四十二条进行了规定:
网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
据不完全统计,国内个人信息泄露数达55.3亿条左右,平均每人就有4条信息泄露。个人信息包括姓名、身份证件号码、联系方式、住址、财产状况、行踪轨迹等敏感信息,一旦落入“数据黑产”之手被用于非法途径,其破坏力难以想象。《网络安全法》第四十二条的安全保密条款,提出“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息”,直指非法收集、缓存、倒卖个人信息的“数据黑产”。
“经过处理无法识别特定个人且不能复原”,具体是指将涉及个人隐私的敏感数据进行脱敏处理,保证脱敏后的数据不能再识别出特定个人,并且信息不可逆。数据脱敏排除了个人信息泄露的风险,为大数据行业的产品加工明确了方向。
对于侵害个人隐私信息行为的处罚,《网络安全法》第六十四条进行了规定:
侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
《网络安全法》作为网络领域的基础性法律,聚焦个人信息泄露,不仅明确了网络产品服务提供者、运营者的责任,而且严厉打击出售贩卖个人信息的行为。除经济处罚外,对违法情节严重的企业,还会采取“暂停业务、关闭网站、吊销执照”等手段,处罚更重、威慑力更强。
与《网络安全法》相呼应,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息等个人敏感信息五十条以上的,即构成犯罪,处三年以下有期徒刑或者拘役。
强监管下,企业必须主动做到合法合规。只有做到在用户知情同意的前提下,选择合法的渠道取得数据、在合理的范围内使用数据、确保数据使用过程中的安全保密,方能稳健可持续发展。
数据宝以实际行动响应《网络安全法》
随后,各位员工对数据宝如何落实《网络安全法》的各项要求进行了深入学习。
第一,数据宝具备大数据资产交易资质,提供合法的国有数据增值服务。
数据宝是首个省部共建国有数据资产运营增值服务商,国有资本参股,政府监管扶持,市场化运营,拥有大数据资产交易资质。股东方包括:国家工业信息安全研究中心(又称:工业和信息化部电子第一研究所)的全资子公司、中科院中科创星(产业基金)、贵州省贵安新区(产业基金)。
数据资源主要来自104家央企,120个国家部委局直属机构,335个地市州盟,前1000家重点国企科研院所,所有数据源均是国家部委的一手合法权威数据资源,为国家部委机构、央企充当数据产品流通的审核员、监督员、服务员的角色。
第二,数据宝“三真实验证”杜绝数据非法使用。在与客户取得合作之前,数据宝要求客户进行“三真实验证”:
第一,验证真实的企业,将非法企业一律拒之门外;
第二,验证真实的应用场景,对于非法的、不合格的应用场景一律不予服务,对于超出应用场景的数据需求一律不予支持;
第三,验证真实的用户授权,对于未取得用户授权的企业一经发现立刻吊销其数据宝会员资格。通过“三真实验证”,数据宝做到《网络安全法》所要求的“知情同意”和“正当必要”。
第三,数据宝独创“堡垒机+全程加密”确保数据安全,绝不缓存、买卖数据。
数据宝采用“堡垒机”技术,在国有数据机房搭建新的堡垒机环境,确保国有数据安全和脱敏脱密;
传输过程采用“HTTPS+MD5签名认证+对称加密”,本地与云端联动,实时进行全生命周期检测,彻底杜绝数据泄露、数据篡改、数据损毁等情况发生;
不缓存一条数据,坚决不做数据“死库”、不买卖数据,而是以API接口的形式提供验证、评分等数据服务。通过以上手段,数据宝做到《网络安全法》所要求的“安全保密”、“数据脱敏”。目前,数据宝已获得ISO27001信息安全管理体系认证。
第四,数据宝响应《网络安全法》,帮助企业开展电子身份认证,实现网络实名制。
《网络安全法》第二十四条指出:“支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。”数据宝对接公安大数据、运营商大数据、银联大数据等一手国有数据,通过实名认证、手机要素验证、银联要素验证等身份鉴定类API接口,提供电子身份认证。
在取得用户授权的前提下,在数据安全技术的支持与保护下,将企业提交的用户数据与国有数据作比对,比对后不输出国有数据,只输出用户提交的信息与国家部委、地方政府、央企等存档的国有数据是否一致的结果,如信息一致则认证成功。
通过电子身份认证,数据宝以低成本、高效率、自动化、合法合规的形式,帮助企业快速实现了网络实名制。
培训结束,各位员工收获良多。大家表示:正是因为《网络安全法》对“数据黑产”进行了严厉打击,对企业收集、储存、使用数据的行为进行了有力规范,以数据宝为代表的合法国有数据资产运营增值服务商才迎来了发展的春天。公司明确规定:要遵从《网络安全法》,把数据安全作为一切业务开展的前提,积极落实《网络安全法》的各项要求。我们每一位员工将始终以《网络安全法》为准绳,脚踏实地做业务,在确保数据安全的基础上进一步挖掘国有数据价值,推动数据宝及合作伙伴又好又快发展,为促进大数据产业的健康发展贡献力量!
贵公网安备 52990002000007号
