团队原创 | 网络安全事件频发，从运营者角度解读《公共互联网网络安

盟盟说“法”


大数据法律研究团队与首席数据官联盟共同推出的法律专栏——盟盟说“法”。盟盟说“法”将主要针对互联网以及大数据行业企业，推出系列原创文章，将最新大数据法律研究成果深入浅出的呈现给大家，盟盟说“法”将会在每周一或周四的首席数据官联盟公众号和大家见面，敬请关注。

图片来自网络

作者：吴丹君 周天一 北京观韬中茂（上海）律师事务所



11月22日消息，Uber发布声明，承认2016年曾遭黑客攻击并导致数据大规模泄露，根据这份声明，两名黑客通过第三方云服务对Uber实施了攻击，获取了5700万名用户数据，包括司机的姓名和驾照号码，用户的姓名、邮箱和手机号。事发后，据Uber方面透露，其向黑客支付了10万美元“赎金”，以换取黑客删除手中的数据，此后Uber对此事保持沉默，直到发布声明，目前看来，这一事件曝光后，Uber将深陷各国机构调查，面临巨大压力。11月23日，工信部发布《公共互联网网络安全突发事件应急预案》（以下称“《公共应急预案》”），针对网络安全突发事件具体分级、预警监测、应急处置等方面做了详尽的规定，这是自今年1月份国家网信办发布《国家网络安全事件应急预案》（以下称“《国家应急预案》”）以及《网络安全法》（以下称“《网安法》”）出台后又一针对网络安全事件的规范性文件。关于网络安全事件应急处置的机制正在不断更新完善，也给网络运营者提供了有力的指引。
 
《公共应急预案》条文解读



规制主体
《公共应急预案》明确规定其适用于面向社会提供服务的基础电信企业、域名注册管理和服务机构、互联网企业（含工业互联网平台企业）发生网络安全突发事件的应对工作。根据《电信条例》规定，基础电信业务，是指提供公共网络基础设施、公共数据传送和基本话音通信服务的业务，因此，基础电信企业即从事上述业务的相关企业法人，诸如移动、联通、电信等电信业务运营商均包括在内。今年8月份发布的《互联网域名管理办法》在附则中明确了域名注册管理和服务机构的定义，前者指依法获得许可并承担顶级域名运行和管理工作的机构；后者指依法获得许可、受理域名注册申请并完成域名在顶级域名数据库中注册的机构，简言之，只要是在我国境内从事域名运行管理和办理域名注册的机构，都要受到《公共应急预案》的规制。6月份出台的《网安法》将网络运营者定义为网络的所有者、管理者和网络服务提供者，无论是基础电信企业、域名注册管理和服务机构还是互联网企业均为网络运营者。
 
事件分级
《公共应急预案》将公共互联网网络安全突发事件根据其影响范围和危害程度分为四级：特别重大事件、重大事件、较大事件、一般事件。导致全国范围内大量互联网用户无法上网、国家顶级域名系统解析效率大幅下降、一亿以上互联网用户信息泄露、网络病毒在全国范围大面积爆发或其他造成或可能造成特别重大危害或影响的网络安全事件为特别重大事件。导致多个省大量互联网用户无法正常上网、全国范围有影响力的网站或平台访问出现严重异常、大型域名解析系统访问出现严重异常、一千万以上互联网用户信息泄露、网络病毒在多个省范围内大面积爆发或其他造成或可能造成重大危害或影响的网络安全事件为重大事件。导致一个省内大量互联网用户无法正常上网、在省内有影响力的网站或平台访问出现严重异常、一百万以上互联网用户信息泄露、网络病毒在一个省范围内大面积爆发或其他造成或可能造成较大危害或影响的网络安全事件为较大事件。一个地市大量互联网用户无法正常上网、十万以上互联网用户信息泄露或其他造成或可能造成一般危害或影响的网络安全事件为一般事件。此外，《公共应急预案》还根据事件危害程度划分了预警等级，分别通过红色、橙色、黄色和蓝色对应特别重大、重大、较大和一般网络安全突发事件。


对比今年年初国家网信办发布的《国家应急预案》有关事件分级的内容，《公共应急预案》主要针对的是人为网络攻击行为以及其他需要电信主管部门采取应急处置措施予以应对的网络中断、系统瘫痪、数据泄露、病毒传播等网络安全事件，鉴于上述网络安全隐患通常可被基础电信企业、域名注册管理和服务机构以及互联网企业提前监测预警，相关网络运营者应当及时完善监测预警机制，履行特定义务。
 
规制主体的特定义务
关于规制主体应当履行的特定义务，《公共应急预案》分别从监测预警、应急处置、预防准备工作方面进行了规定。第一，对于监测预警，基础电信企业、域名注册管理和服务机构和互联网企业作为网络运营者应当根据《公共应急预案》分别履行主动义务和被动义务。主动义务，其一是指上述网络运营者应当对本单位网络和系统的运行状况进行密切监测，一旦发生网络安全突发事件，应当立即通过电话等方式向工信部网络安全应急办公室（以下称“部应急办”）和相关省（自治区、直辖市）通信管理局（以下称“各地信管局”）报告，不得迟报、谎报、瞒报、漏报；其二是指在日常运营中，上述网络运营者应当通过多种途径监测、收集漏洞、病毒、网络攻击最新动向等网络安全隐患和预警信息，对发生突发事件的可能性及其可能造成的影响进行分析评估，认为可能发生网络安全突发事件的，应当根据其事件等级分别报告部应急办或各地信管局。被动义务，是指网络安全突发事件预警发布后，相关网络运营者应当按照部应急办或各地信管局的要求根据预警等级分别采取必要措施，黄色或蓝色预警的，网络运营者应当及时收集、报告有关信息，加强网络安全风险监测，同时在各地信管局的组织下根据分析评估事态发展；红色或橙色预警的，在黄色或蓝色预警已有措施的基础上，网络运营者应当加强对重要网络、系统的安全防护，必要时实行24小时值班，保持人员通信联络畅通。


第二，对于应急处置，在网络安全突发事件发生后，首先，网络运营者在上报电信主管部门的同时，应当及时组织工作人员采取应急措施，履行先行处置义务，努力恢复网络和系统运行，并注意保存网络攻击、入侵或病毒的证据；其次，网络运营者还应当密切检测研判自身网络和系统受影响情况，跟踪网络安全事件动向，将相关信息及时上报；最后，对于红色或橙色预警，网络运营者还应根据部应急办或领导小组的要求，采取带宽紧急扩容、控制攻击源、过滤攻击流量、修补漏洞、查杀病毒、关闭端口、启用备份数据、暂时关闭相关系统等技术措施，涉及大规模用户信息泄露的，网络运营者还需要及时告知受影响的用户，并提供减轻危害的措施。
 
第三，对于预防准备工作，《公共应急预案》沿袭了《网安法》第五章的规定，将预防保护和应急演练的范围由关键信息基础设施运营者扩展至基础电信企业、域名机构、互联网企业这三类主体，进一步加强了相关网络运营者的安全保护义务。首先，网络运营者应当建立健全网络安全管理制度，采取网络安全防护技术措施，建设网络安全技术手段，定期进行网络安全检查和风险评估，及时消除隐患和风险。其次，网络运营者应当积极参与电信主管部门开展的应急演练，同时每年组织开展一次本单位网络安全应急演练并向电信主管部门报告。再次，定期向员工提供相关法律法规、应急预案基本知识的教育培训，提升自身网络安全突发事件应对能力。最后，构建单位自身的突发事件应急系统，在工信部完成建设统一的公共互联网网络安全应急指挥平台后及时进行对接，实现互联互通。
 
结语


《公共应急预案》的出台细化了现行《网安法》第五章关于监测预警与应急处置的已有规定，为基础电信企业、域名注册管理和服务机构以及互联网企业提供了具体的实施标准与指引。在应急处理方面，相关网络运营者应当在日常系统运营过程中密切监测可能出现的漏洞、病毒或网络攻击行为，一旦发现可能造成网络安全突发事件的，及时根据事件危害程度和影响范围分别上报部应急办和各地信管局，上报的同时采取技术手段进行先行处置并注意留存漏洞、病毒或网络攻击证据，之后根据主管部门指示落实必要措施，跟踪事件动态，涉及到具体用户的还应履行必要的告知义务。在内控方面，网络运营者应当切实做好预防准备工作，建立健全自身安全管理制度，消除风险隐患，及时根据电信主管部门要求或自行开展应急演练，定期为员工提供合规培训。《公共应急预案》的出台展现了我国应对网络安全事件的体系已经初步架构，网络运营者应当尽快根据《公共应急预案》要求完善合规政策，根据具体规定整改，并密切关注后续立法执法动态。
【本文为作者原创，如需转载请注明出处】











往期精彩回顾：（点击文字内容可直接跳转页面）
•  中国大数据解决方案TOP50及优秀案例TOP50评选
•  首席数据官联盟简介
•  2017《中国大数据企业排行榜》V4.0 发布

•  第一届大数据优秀案例评选发布
•  2016首席数据官联盟年会精彩回顾
•  史上最全大数据企业概览