01、背景
最近几年,随着网络安全行业的快速发展,国家对网络安全相关的法律法规的制定和发布也有着明显加快的趋势,但是作为网络安全从业者还是有很多人法律意识比较淡薄,或者缺乏对法律的基本敬畏之心,也因此导致了很多悲剧。
因为工作关系,笔者曾多次目睹了因为法律意识淡薄而导致的悲剧,其中有不少人在事发之后才明白过来自己的行为所带来的严重后果,但此时的忏悔却为时已晚,只能为自己的无知行为付出惨痛的代价。为了避免发生更多的悲剧,今天,就来和大家一起聊聊涉及到网络安全行业的基本法律知识,也希望能给广大网络安全从业者一些法律意识的启发。
02、我国的网络安全方向法律
我国的法律体系
我国有着严格的立法体系,目前的法律体系大体由在宪法统领下的宪法及宪法相关法、民商法、行政法、经济法、社会法、刑法、诉讼与非诉讼程序法等七个部分组成,其中包括法律、行政法规、地方性法规三个层次。
图1 中国法律体系
第一层级的法律由全国人大及其常委会制定的法律,通常以“中华人民共和国”开头,以“法”字结尾,如《中华人民共和国网络安全法》等。第二层级的行政法规,由国务院、各委员会、审计署等颁布和实施,一般会以“办法”、“条例”等结尾,如《网络安全审查办法》等。而第三层级的地方性法规由各省市自治区人大或者人大常委制定,多以“某某”地开头和以“条例”结尾。
宪法具有最高的法律效力,一切法律、行政法规、地方性法规等都不得同宪法相抵触。而在法律层级上,下位法不得与上位法相抵触,同位法之间具有同等效力,但需在各自的权限范围内施行。
网络安全方向的主管单位
2014年2月27日,中央网络安全和信息化领导小组宣告成立,意义重大。领导小组的成立意味着,明确了网络安全的发展成为我国的重要战略定位,会加强网络安全发展的顶层设计,并且有利于全面构建网络安全的防御体系,全面打造独立自主的网络安全产业生态体系。
我国在网络安全方面主要由中央网络安全和信息化委员会负责,办事机构为中央网络安全和信息化委员会办公室,也就是我们通常所说的国家网信办,其负责统筹协调各个领域的网络安全和信息化重大问题,制定实施国家网络安全和信息化发展战略、宏观规划和重大政策,不断增强安全保障能力。
网络安全方向的重点法律
近些年发布的网络安全方向的法律法规除了有我们熟知的《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法(草案)》等基础性法律外,不仅有针对专业细分领域的《中华人民共和国密码法》、《中华人民共和国电子签名法》等法律,还有针对特定人群保护的《儿童个人信息网络保护规定》等。
对网安人来说,除了上述基础性法律以及网络专业法律外,还需关注自己所处行业的网络安全相关法律法规。因为除了网信办外,管理各行各业的国家主管部门也均有部分网络安全管理的职责。各主管部门和单位结合了各行业特征,在发布的法律法规中均有网络安全相关条例、甚至专门制定了一些适用于行业方向的网络安全方面法律法规。例如公安部发布《公安机关互联网安全监督检查规定》、工业和信息化部发布的《公共互联网网络安全突发事件应急预案》、电信行业《中华人民共和国电信条例》内的第五章 电信安全、金融行业的《证券期货业信息安全保障管理办法》、邮政行业的《寄递服务用户个人信息安全管理规定》等等。
网络安全领域的立法趋势
我国在网络安全领域的立法有着明显呈加快的趋势,涉及网络安全内各种细分领域的法律法规不断的发布意见征询以及发布实施。2017年应该是网络安全法律领域内具有代表性的一年,因为在2017年的6月1日《中华人民共和国网络安全法》正式实施。《中华人民共和国网络安全法》属于网络安全领域的基本法,国家实施网络空间管辖的第一部法律,是网络安全法制体系的重要基础。《中华人民共和国网络安全法》的主要意义在于其规定了国家网络安全工作的基本原则、主要任务和重大指导的思想、理念,建立了具有全局性和基础性的一系列基本制度,为相关部门的在涉及网络安全领域的工作提供了法律依据,也明确了部门、企业和个人等的基本权利、义务和责任。
图2 中华人民共和国网络安全法
根据不完全统计,在《中华人民共和国网络安全法》发布后,基于或者引用《中华人民共和国网络安全法》的法律法规截止到目前已经有30多个,例如《儿童个人信息网络保护规定》、《网络信息内容生态治理规定》等,基本上已经涵盖了目前网络安全领域相关工作的各个方面,引导着网络安全行业朝向更加合法合规的方向发展。从各种法律法规的正式执行,到整个行业完成法律意识的普及以及全部合规措施的落实,其实还有着很长的一段路要走。
适用于网络行为的其他法律法规
能够约束到网络安全行业的法律法规并不是只有针对网络安全领域而制定的法律法规,虚拟的网络行为也是基于现实而存在的,所以很多我们熟知的一些法律法规的法理同样也适用于网络行为,例如《中华人民共和国刑法》、2021年1月1日施行的最新《中华人民共和国民法典》第六章 隐私权和个人信息保护等。作为安全从业者,很多人都或多或少的接触过黑灰产,知道其中的暴利,但一定要有正确的道德观以及基本的底线,要经得住诱惑,以免误入歧途。
在虚拟的网络中,利用系统漏洞进行非法转账或者盗取资金等的行为其本质还是属于盗窃行为,也可以直接以盗窃罪进行了判处,量刑最高可达十年以上有期徒刑或者无期徒刑,并处罚金或者没收财产。
网络虽然是虚拟的,但是在网络中人的行为规范依然需要遵守现实中国家相关的法律法规,这些违法犯罪行为并不会因为发生在网络中就不进行制裁,基本的法理适用于中国境内的任何地方,包括虚拟的网络中。
03、网安人需具备的法律意识
关注网络安全相法律的最新动态
作为网络安全从业者应该多学习法律知识,具备基本的法律意识,避免成为法盲。网络安全从业者除了需要关注自己的专业方向外,对涉及自己领域内的法律知识更加需要进行学习,例如基本的《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法(草案)》、《中华人民共和国数据安全法》等等。只有学习了最基本的网络安全法律知识,才会懂得什么是合法合规,才会知道如何去避免工作中遇到的法律风险。
能够获取到法律动态的渠道,除了我们日常关注的安全类网站、公众号外,还需关注官方渠道,例如中国人大网的立法栏目、网络安全和信息化委员办公室政策法规栏目等,详细的网络法律法规、司法解释、规范性和政策性文件均有最新的全文,建议各位安全从业者们定期访问学习,强烈建议务必针对重要的法律法规进行学习。
图3 中国人大网立法栏目
学会解读重要的网络安全法律法规
当有最新的网络安全相关法律法规进行发布时,需要学会对其条款进行解读和学习,例如最近公布的《中华人民共和国个人信息保护法(草案)》内就包含了很多重量级条款,非常值得研读。在其公布后迅速成了安全圈子里的热门话题,很多相关解析文章都重点说明了其中规定“违法行为最高可处营业额5%罚款”等条款,但是其中的重要内容其实远不止于此。
《中华人民共和国个人信息保护法(草案)》的适用范围不仅限于中国境内,在境外处理中国境内自然人信息也适用于本法。这也是为什么有人称此法律称为中国版GDPR的原因,法案中针对跨境传输数据提出了需要进行风险评估等明确的要求,若涉及提供跨境服务或者业务的,一定要学习此法律,以便在正式实施前提前进行合规风险评估。
《中华人民共和国个人信息保护法(草案)》
第三条 组织、个人在中华人民共和国境内处理自然人个人信息的活动, 适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动, 有下列情形之一的, 也适用本法:
(一) 以向境内自然人提供产品或者服务为目的;
(二) 为分析、评估境内自然人的行为;
(三) 法律、行政法规规定的其他情形。
《中华人民共和国个人信息保护法(草案)》内对个人的知情权、决定权、删除权等都做了细化的规定,例如除了再次明确处理个人信息需要获得个人的明确同意外,对处理不满十四周岁未成年人个人信息的, 还需要取得其监护人的同意。基于此规定,若产品和业务有可能涉及到未成年人个人信息的,必须要考虑获得监护人同意的设计。
另外,即使个人信息处理者获得了个人的同意,个人仍有权撤回其同意。除了个人信息为提供产品和服务所必须的外,个人处理者不得以个人撤回了其同意就拒绝提供产品或者服务。若个人撤回了其同意时,或者个人信息处理者停止提供产品和服务时,还需主动对信息进行删除。
《中华人民共和国个人信息保护法(草案)》
第十四条 处理个人信息的同意, 应当由个人在充分知情的前提下, 自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的, 从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的, 应当重新取得个人同意。
第十五条 个人信息处理者知道或者应当知道其处理的个人信息为不满十四周岁未成年人个人信息的, 应当取得其监护人的同意。
第十六条 基于个人同意而进行的个人信息处理活动, 个人有权撤回其同意。
第十七条 个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由, 拒绝提供产品或者服务; 处理个人信息属于提供产品或者服务所必需的除外。
第四十七条 有下列情形之一的, 个人信息处理者应当主动或者根据个人的请求, 删除个人信息:
(一) 约定的保存期限已届满或者处理目的已实现;
(二) 个人信息处理者停止提供产品或者服务;
(三) 个人撤回同意;
(四) 个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五) 法律、行政法规规定的其他情形。
《中华人民共和国个人信息保护法(草案)》在知情权和决定权方面,若在处理个人信息的过程中涉及到第三方公司的,不再只是企业间行为,还需要保持处理信息的透明度,需向个人告知第三方的身份、联系方式、处理目的等信息,并且还需要取得个人的单独同意。在委托第三方进行信息处理之前,个人信息处理者还需要进行风险评估,并且明确要求风险评估报告和记录必须保存至少三年。
这条规定将对有外包业务的公司带来很大的约束,个人将拥有对信息的完整知情权和决定权,避免信息被过度的处理和转移。
《中华人民共和国个人信息保护法(草案)》
第二十四条 个人信息处理者向第三方提供其处理的个人信息的, 应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类, 并取得个人的单独同意。接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第三方变更原先的处理目的、处理方式的, 应当依照本法规定重新向个人告知并取得其同意。
个人信息处理者向第三方提供匿名化信息的, 第三方不得利用技术等手段重新识别个人身份。
《中华人民共和国个人信息保护法(草案)》中对基于个人信息进行的大数据分析行为也做了很多约束性规定。法案中将利用个人信息对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等, 通过计算机程序自动分析、评估并进行决策的活动称为自动化决策。
个人同样拥有自动化决策的知情权和决定权。个人信息处理者在进行个人信息的大数据分析前,需要先进行风险评估,并且保存风险评估报告以及处理情况记录不少于三年。在进行大数据分析时,需要保证决策的透明度和结果的公平合理,另外还需向个人提供不针对个人特征的功能选项。若个人认为其权限受损,被“大数据杀熟”,可以要求个人信息处理者进行说明,并且有权拒绝其权益仅来自自动化决策的结果。
《中华人民共和国个人信息保护法(草案)》
第二十五条 利用个人信息进行自动化决策, 应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的, 有权要求个人信息处理者予以说明, 并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。通过自动化决策方式进行商业营销、信息推送, 应当同时提供不针对其个人特征的选项。
《中华人民共和国个人信息保护法(草案)》除了对信息的授权、处理等行为进行了明确的规定外,还要求建立明确的保护制度、审计制度等,并且个人信息泄露事件的处理也有着非常明确的要求。而对不遵守此法律规定的,除了最高可处上一年度营业额百分之五的罚款外,还可以处以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照等处罚。对直接负责的主管人员和其他直接责任人员可以处十万元以上一百万元以下罚款。另外,若个人信息处理侵害到个人信息权益的,还需对个人进行赔偿,可以按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任。
《中华人民共和国个人信息保护法(草案)》
第六十二条 违反本法规定处理个人信息, 或者处理个人信息未按照规定采取必要的安全保护措施的, 由履行个人信息保护职责的部门责令改正, 没收违法所得, 给予警告; 拒不改正的,并处一百万元以下罚款; 对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为, 情节严重的, 由履行个人信息保护职责的部门责令改正, 没收违法所得, 并处五千万元以下或者上一年度营业额百分之五以下罚款, 并可以责令暂停相关业务、 停业整顿、 通报有关主管部门吊销相关业务许可或者吊销营业执照; 对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
第六十五条 因个人信息处理活动侵害个人信息权益的, 按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任; 个人因此受到的损失和个人信息处理者因此获得的利益难以确定的, 由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的, 可以减轻或者免除责任。
非常值得一提的是,在《中华人民共和国个人信息保护法(草案)》中,上述的很多条款不仅对个人和企业有效,对国家机关同样有效,并且设置了专门的章节对国家机关处理个人信息做了特别规定,这也体现了国家对个人信息保护的决心。由于篇幅有限,此处不再赘述,其深意请自行学习。
关注网络安全法律法规对工作的影响
每一个网络安全相关法律法规的出台都会对网络安全行业带来影响,在促进网络安全行业健康发展的同时,也会对曾经不合理的行为进行约束。但现在整个网络安全行业的安全从业者的法律意识普及还是欠缺的,其中最具有争议的就是从事渗透测试的个人白帽子。早期的白帽子,很多人都是草根出身,因为彼时并没正规的教育,很多人都是从各类论坛、学习群甚至是认师帮带开始学习网络安全知识,导致安全行业从业人员鱼龙混杂,整个行业充斥着江湖气息。现如今,很多高校都设立网络安全相关的专业,而曾经的很多白帽子都被各家大厂、甚至监管部门所收编,整个安全行业都在逐步走向正规化,从业人员素质也有了明显的提高。现在,很多怀有安全情怀的白帽子在工作、学习之余活跃在各家众测平台和各家SRC,而法律法规对这些安全平台和白帽子挖洞的行为也都有了具体的限制。
于2019年6月18日开始公开征询意见的《网络安全漏洞管理规定(征求意见稿)》中对于漏洞的发现、上报、管理等都有了明确的规定。
《网络安全漏洞管理规定(征求意见稿)》
第三条 网络产品、服务提供者和网络运营者发现或获知其网络产品、服务、系统存在漏洞后,应当遵守以下规定:
(一)立即对漏洞进行验证,对相关网络产品应当在90日内采取漏洞修补或防范措施,对相关网络服务或系统应当在10日内采取漏洞修补或防范措施;
(二)需要用户或相关技术合作方采取漏洞修补或防范措施的,应当在对相关网络产品、服务、系统采取漏洞修补或防范措施后5日内,将漏洞风险及用户或相关技术合作方需采取的修补或防范措施向社会发布或通过客服等方式告知所有可能受影响的用户和相关技术合作方,提供必要的技术支持,并向工业和信息化部网络安全威胁信息共享平台报送相关漏洞情况。
上述条款对于漏洞的验证、修复和公开有着精确到天数等细节的规定:
1、漏洞的验证只能由网络产品、服务提供者和网络运营者进行,第三方的企业和个人是无权进行的,喜欢拿1day刷SRC的白帽子要注意了。
2、网络产品需要在90天内提供漏洞修补和防范措施,而网络服务提供者需要在10日内采取漏洞修补或防范措施,各家提供互联网服务的甲方爸爸要注意漏洞修复时间了。
3、漏洞风险除了需要向社会发布或通过客服等方式告知所有可能受影响的用户和相关技术合作方外,还必须要向工业和信息化部网络安全威胁信息共享平台进行报告。
《网络安全漏洞管理规定(征求意见稿)》
第六条 第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞信息,应当遵循必要、真实、客观、有利于防范和应对网络安全风险的原则,并遵守以下规定:
(一)不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息;
(二)不得刻意夸大漏洞的危害和风险;
(三)不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具;
(四)应当同步发布漏洞修补或防范措施。
上述条款有着针对第三方组织和个人,也就是安全类平台以及白帽子公开漏洞详情的详细规定:
1、第三方组织和个人,在网络产品、服务提供者和网络运营者完成漏洞修复和未发布修复措施前不得公开漏洞信息,喜欢炫技的小年轻们要注意了。
2、第三方组织和个人不得发布和提供从事危害网络安全活动的方法、程序和工具,不仅仅是不可以提供漏洞利用工具,连利用方法都不行,乐于“分享“的大佬们要注意了。
从上述摘录的部分条款中不难看出国家对网络安全方向的管控,不仅仅是填补法律空白这么简单,也逐渐朝着精细化、专业化方向的进行管控,而且在不断完善中。以前从事渗透测试的灰色地带也因为这些法律法规的征询和实施而改变,渗透测试也逐渐完成了正规职业的转变。
渗透测试工程师这个职业也因为法律法规而变成了官方认定职业。2020年7月6日,人社部联合国家市场监管总局、国家统计局发布的9个新职业中就包括了信息安全测试员。其任务中就有“利用渗透工具对评测目标进行深度测试,验证安全漏洞引发的网络与系统安全隐患“等描述,明确了渗透测试等安全测试行为属于合法职业。
网安人必须坚守的职业底线
由于安全行业的特殊性,很多安全从业者在工作中都会或多或少的会接触到一些法律的黑色、灰色地带,或许是无意,又或许是由于工作而身不由己,但不管是哪种原因,都建议安全从业者们运用法律知识保护自己,因为这些都是随时都可能爆炸的雷。法律法规存在的意义不仅仅只是监管,它同样也可以成为保护我们的强有力的后盾。
知法守法,避免侥幸心理。很多安全从业者在工作中,都能接触到组织和公司的很多核心数据和权限,所以安全从业者的自律性要求很高。例如,在进行渗透测试时,一定要有明确的授权协议,而这份协议其实正是我们的保护盾牌。在没有授权的情况下,绝对不可以触碰这些核心数据和权限,尤其是在不明确业务边界和责任边界的前提下,不可以突破原有的系统权限和数据权限。而在项目授权范围内,接触到的数据和权限,需要遵照事先的协议进行保密或者清除,千万不可以抱有“乐于分享”之心进行未经授权的发布。
做好自己,避免误入歧途。不少安全从业者在工作中,曾经遇到过被公司或者领导要求从事一些不合规的工作,若缺乏必要的法律知识,很有可能就会陷入其中。安全从业者应对守住自己的初心,对不合理的工作说NO,守住我们作为安全从业者的底线。
04、总结
在未来,我国在网络安全领域的法制只会越来越健全,对网络安全行业的法律法规的约束也会越来越多,这些都是网络安全行业的发展所必须要经历的过程。作为安全从业者,我们要做的是要更好、更快的适应这些变化,学习相关的法律知识,培养正确的职业观和道德观,用合法合规的工作推动整个网络安全行业更加健康而又快速的发展。
作者简介
马辰,中通快递高级信息安全工程师,中通安全运营部负责人。致力于甲方信息安全体系的建设,关于甲方信息安全建设的话题欢迎添加微信(Misaki_MaChen)相互交流。
相关参考
1、解读:中央成立网络安全和信息化领导小组:
http://mobile.people.com.cn/n/2014/0306/c183175-24542800.html
2、中华人民共和国网络安全法:
http://www.cac.gov.cn/2016-11/07/c_1119867116.htm
3、探讨《网络安全法》出台的重大意义:
http://www.cac.gov.cn/2016-11/07/c_1119866702.htm
4、《网络安全法》配套行政法规、部门规章和规范性文件汇总:
https://metc.scau.edu.cn/2020/0116/c7323a218693/page.htm
5、中国人大网立法栏目:
http://www.npc.gov.cn/npc/c183/list.shtml
6、网络安全和信息化委员办公室政策法规栏目
http://www.cac.gov.cn/zcfg/fl/A090901index_1.htm
声明:本文来自中通安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。