原标题:资安周报第49期:中国第一部网络安全专法出炉,台湾的网络安全专法何在?
中国人大常委会日前通过网路安全法,不仅是中国第一部网路安全专法,内容中,不仅重视关键基础设施的安全性,也让网路实名制的要求,正式入法。
由中国政府最高的权力机关,也是最高立法机构「中华人民共和国第12届全国人民代表大会常务委员会」所通过的第一部网路安全专法:「中华人民共和国网路安全法」(简称网路安全法),已经于11月7日通过,并预计于明年6月1日正式实施。但是,台湾第一部网路安全专法「资讯安全管理法草案」才刚于11月中旬,由科技政委吴政忠进行最后的草案审查会议,希望能够以最快的速度,送交立法院进行院会一读并儘速付委审查,期盼可以在年底通过台湾的资安管理专法。
这种由政府透过立法的方式,明文规範网路安全的重要性,已经是一种国际趋势,不管是中国或是台湾,都不想置外于这样国际趋势当中。但是,因为中国已经是全球重要的经济体,加上许多新兴的网路服务都已经取得相当的进展,现在,中国推出这部网路安全专法后,对于中国业者和民众,以及其他想要进军中国的业者而言,将带来什幺样的影响呢?台湾又可以从这样的专法中,学习到哪些经验呢?
中国过往对于许多网路安全的规範,往往散落在各种的规章当中,但此次,透过人大常委会正式立法的方式将网路安全的重要性明文入法,也清楚印证,对于中国政府而言,网路安全议题已经从一般的政府政策高度,提升为国家等级的政策高度。身为中国邻近网路密切的台湾政府和民众而言,的确有必要进一步了解这部中国网路安全专法到底有哪些规範,是否会影响到包含台湾在内的政府和民众。
中国网路安全法的6大特色
首先,中国网路安全法开宗明义就提到,该法的基本原则就是要确保网路空间的自主权利,将该国的网路空间视为主权延伸的一环,如同领海、领土和领空一般,中国政府对于中国境内的网路空间,具有完全的控管权利。
网路安全法也强调,随着中国的资讯发展,安全已经是不可或缺的重要且基本元素,不仅要持续推动网路相关的基础建设,并鼓励网路技术的创新应用外,同时得要确保网路安全的保护能力,让中国的资讯发展可以在安全的基础下突飞猛进。
其次,在该法中,对于提供网路产品和服务的业者,以及是网路营运业者,中国政府都强制,相关业者必须同时承担起确保产品和服务安全,以及网路维运安全的责任。也就是说,相关业者必须採取各种必要措施确保相关产品和服务的安全性,也有义务,必须要协助政府防範各种网路犯罪,维持系统、资料的机密性、完整性和可用性。
举例而言,在相关的法律中也规定网路产品和服务业者,不可以在产品中放置恶意程式,也必须主动修补相关的资安漏洞和採取补救措施,并且依照规定向主管机关通报。
按照这样的标準,之前雄迈科技的网路摄影机机版,因为採用预设的帐号和密码,让网路摄影机成为骇客掌控的傀儡网路,也成为骇客发动全球DDoS(分散式阻断式攻击)的罪魁祸首之一。依照该法的规範,政府就可以要求雄迈科技进行产品的安全修补和补救。
另外,该法也规定,网路维运业者除了要制定相关的资安管理準则和有专人落实网路安全的保护责任外,像是使用防毒、入侵侦测防御等技术,监测并确保网路安全有其必要性,甚至于,还规定相关的日誌档(Log)保留必须超过6个月以上。
第三点,网路安全法让中国网路实名制的要求正式入法,不再有任何模糊的弹性空间。不过,网路安全法的实名制仍是维持「前台匿名」但「后台实名」的作法,维持表面上的匿名性,但是,不论是办理各种网路和电信服务,都一定要用户提供真实的身分证明后,才可以申请;如果用户没有提供真实身分证明,网路和电信业者则不可以提供相关的服务。
第四点,中国政府将关键基础设施正式纳入网路安全保护的範围,并应该採取包括监测、防御、处置等方式,来因应各种中国境内和境外的网路安全威胁。
网路安全法中明文指出,包括公共通信和资讯服务、能源、交通、水利、金融、公共服务和电子政务等重要行业和领域,一旦遭到破坏、丧失功能或资料外洩的话,都可能会危害国家安全和各种公共利益。
因此,政府对于这些关键基础设施不仅要做重点保护,对于负责关键基础设施的资安负责人也必须要做背景审查、定期演练,连相关单位所採购的网路产品和服务,都必须经过政府相关部门的审查。
第五点,中国许多的网路服务比台湾先进,许多网路业者原本就会蒐集使用者的各种个人资料做分析,不过,无法确认也无法规範这些网路业者,是否会贩卖使用者个资牟利,但可以确定的是,中国近年来的网路诈骗事件层出不穷,也有许多受骗案件屡屡传出。
因此,网路安全法中则明定,任何个人和组织都应该对其网路行为负责,不得用来诈骗、传授犯罪方法、製作或销售违禁和管制物品等,也不可以利用网路发布涉及上述诈骗等资讯。如果有违反规定者,除了关闭网站和拘留外,也会处罚1万元~50万元人民币罚款。
此外,也在网路安全法中规範网路营运业者,除了要符合使用目的且经使用者同意,才能蒐集个人资料外,也必须确保蒐集个人资讯的安全性,使用者本人也有权要求业者删除或更正个资资讯;同时明定,不得非法出售或非法向他人提供个资。
也清楚规定,只要是关键基础设施营运者,在中国境内营运所蒐集和产的个资,都应该储存在中国境内,若因为业务需要而必须做到跨境传输,则必须由有关当局进行安全评估,或依照其他相关法律规定进行。
最后,在网路安全法中,也正式建立中国国家级的网路安全监测预警和资讯通报制度,更有甚者,如果爆发突发性的网路安全事件,也可以经国务院决定或批准,在特定区域对网路通信採取限制等临时措施。
对于这种限制通信措施的作法,也有外界认为,这是一种限制言论自由的手段,为了避免类似茉莉花革命、太阳花革命甚至是雨伞革命,有机会透过各种网路工具做消息散播,甚至对于执政当局造成一定程度的影响。
为了维持中国网路环境的安全性,中国政府也在该法中直接制定报马仔条款,强调「任何个人和组织有权对危害网路安全的行为向网信、电信、公安等部门举报;有关部门也应该对举报人资讯负有保密之责。」
台湾和中国同样重视关键基础设施的安全性
掌握中国网路安全法的立法精髓后,回头看看台湾的资安管理法的内容,两者最大的共通点就是同样关注关键基础设施的安全性,因为,政府部门都很清楚知道,不管哪一种关键基础设施面临安全威胁时,造成的影响,轻者影响社稷民生,重则影响国家安全,因此,政府部门都明文列管。
不过,台湾政府对于关键基础设施业者的纳管,主要是要求相关业者应该依照所提出的资通安全维护计画,进行相关的规画、执行、查核和矫正等PDCA的流程;但中国政府则清楚明订关键基础设施业者应该进行哪些重要的安全防护作为,连人员背景、採购和定期检测等作法,都已经清楚制订在网路安全法中。
同样的,中国和台湾政府也针对关键基础设施业者,明订负有通报应变的义务与规範通报应变的流程,并针对网路安全事件进行分级,依照危害程度、影响範围,进行相关的紧急应变通报和处理。
台湾的资安管理法在关键基础设施的防护上,与中国网路安全法都具有基本的防护精神,差别在于台湾关键基础设施业者资安防护的作法,有赖更细节的资安管理法施行细则和安全维护计画作为防护参考依据,不像中国网路安全法都已经清楚明订在该法中。
中国资安人员违法,终身不能从事资安工作
在罚则上,中国政府的罚则远远高于台湾规定,只要是违反网路安全法规定而给他人造成损害的,就必须承担民事赔偿责任;如果是情节比较严重的,也会有类似拘留的治安管理处罚;若是构成犯罪行为,则会追究刑事责任。进一步细看中国政府的罚则,多数也会直接处罚负责的主管人员或是直接的承办人员,相对台湾而言,中国政府对于资安防护人员有极高的规範要求。
甚至于,中国网路安全法中也明文规定,如果是受到治安管理处罚的资安人员,5年内都不能从事网路安全管理和网路营运关键系统的工作;若是受到刑事处罚的资安人员,更规定,终身都不能从事网路安全相关的工作。因为规定相当严格,也让中国负责资安相关工作的人员,都不敢恣意妄为。
美国和中国基本上,是世界上进行各种网路渗透、攻击数量最多的国家之一,双方都认为对方是该国网路安全最主要的攻击者,因此,早在2015年9月,中国国家主席习近平访问美国时,双方也同意就网路犯罪议题进行合作。根据资安专家的观察,当年中美双方对于网路犯罪议题有共识后,中国攻击美国的比例瞬间大减,而中国网路测试和攻击对象,则转移到俄罗斯。
也因为这样的「网军」已经是习以为常的攻击行动,中国政府也在网路安全法中明订,一旦有境外的组织或个人从事网路攻击、入侵、干扰或破坏中国网路基础设施活动并造成严重后果的话,中国政府对该组织或人员追究相关的法律责任,必要时,也会採取冻结财产或是其他必要的制裁措施。
虽然台湾长年是中国网军攻击和试探的标的,在资安管理法的规範上,并没有涉及相关的网路犯罪议题,对于为恶的网路骇客的处罚,主要是以刑法网路犯罪专章作为起诉的内容外,其他则不涉及网路安全相关的惩处。这也是台湾对于资安管理法的规範上,与中国有很大差异之处。
相关:
2016年,丁屋岭被评为闽西首批10大古村落,这里保留着客家山民最原始的生活状态。而最为奇特的是村内近千年来无蚊子生存。 丁屋岭坐落于世界客家首府...2016年,丁屋岭被评为闽西首批10大古村落,这里保留着客家山民最原
政府拟开放日本核灾区食品进口,部分民众忧心灾区食品恐危害健康。对此,成功大学毒物研究中心主任李俊璋表示,台湾的辐射检验标准世界最严,通过检验的食品风险极低,他认为政府应规范业者明确标示产品产地,让民众
来自中国的Android韧体遭爆有后门,擅自搜集手机及通联资讯
图片来源: Shanghai Adups Technology 美国专门提供企业行动资讯安全服务的Kryptowire本周二(11/15)指出,他们在多款Android手机上发现来自中国上海广升信息技术(Shanghai Adups Technology)的韧体空中(FOTA)更
▲大久保麻梨子闪电结婚,升格为台湾好媳妇。日籍女星大久保麻梨子,来台发展6年,曾经抱持不婚主义的她,今年生日男友Jerry约看夜景下跪求婚,9/8登记结婚,并于台、日本两地登记注册完成,闪电结婚的她,还取了个冠
来台发展的32岁日本女星大久保麻梨子今天宣布已成为台湾媳妇,还取个冠夫姓的中文名字“卢禹薇”,正式变成“卢太太”,婚后要先冲刺事业。来台湾发展6年的大久保麻梨子,曾获第48届金钟奖迷你剧集/电视电影女配角奖