一����、背景
2020年2月25日�,一家為零售�����、餐飲等企業搭建微信小程序���,開發微信公眾號等服務的業內知名某公司(本文中稱“A公司”)[1]發布公告稱���,經調查����,公司 SaaS 業務生產環境和數據遭到本集團研發中心運維部一位核心運維員工人為破壞��,導致本公司當前暫時無法向客戶提供 SaaS產品。公司已於 2020年 2月 24 日向公安局報案����,該員工已經被刑事拘留。(本文中稱“A公司刪庫事件”)。[2]據相關報道��,事件造成A公司平台搭載的小程序全部宕機���,近300萬商家數據丟失。[3]飛來的刪庫橫禍��,給2019年剛上市的A公司帶來了巨大損失。3月5日����,A公司收盤價為4.91港元����,相較2月24日開盤價6.18港元�,股價大跌20%���,市值縮水約28億港元。內憂外患�����,目前暫不清楚A公司損失了多少客戶�����,但流失是不可避免的。[4]對於本次事件的賠償��,A公司表示��,公司管理層準備了1.5億元人民幣賠付撥備金��,其中公司承擔1億元��,管理層承擔5000萬元。[5]
shijishangjinnianlaiguoneiwaiyouyurenweiguyihuoguoshizaochengshujushanchudeshijianbingbushaojian�,suizheshujuyingyongchengduhezhongyaoxingdebuduantisheng���,qifashengdepinlvjiyingxiangyezaibuduanzengjia。A公司刪庫事件是近年來該類案件中影響最大�,造成損失最為嚴重的事件之一。
本文希望通過Agongsishankushijian�,duiwangluoanquandengjibaohuxiangguanzhidujiqiyiyidengjinxingjieshaohetantao�����,weiqiyeheguishishiwangluoyunxinganquanheshujuanquanbaohu����,tigongjiejuefangandecankao。
二����、 什麼是網絡安全等級保護���?
1���、 網絡安全等級保護製度的概念
網絡安全等級保護製度作為我國現行網絡安全領域的一項重要製度����,是指根據保護對象�����、受損害客體與侵害程度將網絡係統分為五級���,並針對第一級到第五級的網絡係統等級對象按照標準進行建設���、管理和監督的製度體係。涉及網絡安全等級劃分的概念可參照下圖。
等級 | 保護對象 | 受損害客體 | 侵害程度 |
第一級 | 一般網絡 | 公民����、法人和其他組織的合法權益 | 一般損害 |
第二級 | 公民�、法人和其他組織的合法權益 | 嚴重損害 |
社會秩序和公共利益 | 一般損害 |
第三級 | 重要網絡 | 公民��、法人和其他組織的合法權益 | 特別嚴重損害 |
社會秩序和公共利益 | 嚴重損害 |
國家安全 | 一般損害 |
第四級 | 特別重要網絡 | 社會秩序和公共利益 | 特別嚴重損害 |
國家安全 | 嚴重損害 |
第五級 | 極其重要網絡 | 國家安全 | 特別嚴重損害 |
2�、 網絡安全等級保護製度溯源
時間 | 製度沿革 |
1994年 | 《計算機信息係統安全保護條例》發布並實施�����,其中首次提出網絡等級保護的概念和要求。 |
1999年 | 強製性國家標準《計算機信息係統安全保護等級劃分準則》(GB17859)發布。 |
2003年 | 國家信息化領導小組發布《關於加強信息安全保障工作的意見》(中辦發[2003]27號)提出實行信息安全等級保護。 |
2007年 | 《信息安全等級保護管理辦法》公通字(2007)43號發布實施�,目前仍然有效。 |
2008-2012年 | 《信息係統安全等級保護指南》�����、《基本要求》���、《設計技術要求》����、《測評要求》等國家標準陸續發布並實施��,即所謂等保1.0標準。 |
2017年 | 《網絡安全法》正式實施。作為基礎性法律在第二十一條明確提出國家實行網絡安全等級保護製度。 |
2018年 | 發布《網絡安全等級保護條例》(征求意見稿)。所謂等保2.0開始啟動。 |
2019年 | 《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019 )����、《信息安全技術 網絡安全等級保護安全設計技術要求》(GB/T 25070-2019 )�、《信息安全技術 網絡安全等級保護測評要求》(GB/T 28448-2019 )正式實施�,標誌著等保2.0的時代正式到來。 |
3��、 網絡安全等級保護的主要義務內容
我國的網絡安全等級保護的義務總體可分為形式性義務和實體性義務。
形式性義務即按照法律法規的有關規定�����,網絡運營者實施網絡安全等級保護的具體步驟和工作流程��,具體包括係統定級��、備案���、安全建設和整改��、等級測評和監督檢查等主要規定動作�,以及按照等保2.0標準新增的包括安全檢測���、通報預警�、案事件調查���、數據防護���、災難備份��、應急處理���、風feng險xian評ping估gu等deng工gong作zuo內nei容rong。形xing式shi性xing義yi務wu是shi實shi施shi網wang絡luo等deng級ji保bao護hu的de外wai在zai形xing式shi��,也ye是shi監jian管guan部bu門men判pan斷duan和he檢jian查zha企qi業ye是shi否fou實shi施shi了le網wang絡luo安an全quan等deng級ji保bao護hu的de主zhu要yao標biao準zhun。
實體性義務是實施網絡安全等級保護的具體要求�����,依照《網絡安全法》第21條的規定��,包括製定內部安全管理製度和操作規程���,確定網絡安全負責人�����,落實網絡安全保護責任����;采取防範計算機病毒和網絡攻擊���、網絡侵入等危害網絡安全行為的技術措施��;采取監測�����、記錄網絡運行狀態���、網絡安全事件的技術措施��,並按照規定留存相關的網絡日誌不少於六個月�����;采取數據分類�����、重要數據備份和加密等措施�����;法律���、行政法規規定的其他義務。2018年6月發布的《網絡安全等級保護條例》(征求意見稿)jinyibuzhenduibutongwangluoanquandengjideqingkuang�����,qufenleyibananquanbaohuyiwuheteshuanquanbaohuyiwu。suirangaitiaolidaomuqianrengweigongbuzhengshiban��,danqineirongtixianlejianguanbumendelifayitu�,qizhonghenduoneirongyebeizhengshifabubingshishidexiangguanguojiabiaozhunsuocaina�����,duiyuqiyekaizhanwangluoanquandengjibaohudeheguigongzuoyouzhongdacankaoyiyi。shejiyiwudedatineirongkeyicanjianxiabiao。
網絡安全等級 | 一般安全保護義務 | 特殊安全保護義務 |
第一��、二級 | ¨責任人員的確定 ¨製定管理製度規範 ¨采取技術措施 ¨留存網絡日誌 ¨保護數據/個人信息安全 ¨安全事件報告對應 | 無 |
第三級以上 | ¨組織機製的確立 ¨特定人員的安全審查和安全管理 ¨製定並落實網絡安全總體規劃和整體安全防護策略 ¨落實監測預警和動態分析 ¨落實重要網絡設施等保護措施 ¨定期等級測評 |
三�、 為什麼實施網絡安全等級保護�?
1����、 法律法規的要求
如前所述���,《網絡安全法》及其他相關法律法規中已經明確規定了實施網絡安全等級保護的要求以及違反時的責任。以A公司刪庫事件為例��,如果A公司沒有實施網絡安全等級保護�,包括上述形式性義務和實質性義務�����,則A公司違反了法律法規的明確要求����,有可能因為刪庫事件承擔以下法律責任。
(1) 刑事責任
《刑法修正案》(九)第28條tiao增zeng設she了le拒ju不bu履lv行xing信xin息xi網wang絡luo安an全quan管guan理li義yi務wu罪zui��,如ru果guo公gong司si存cun在zai不bu履lv行xing按an照zhao網wang絡luo安an全quan等deng級ji保bao護hu製zhi度du要yao求qiu的de安an全quan保bao護hu義yi務wu���,且qie曾zeng經jing監jian管guan部bu門men責ze令ling采cai取qu改gai正zheng措cuo施shi而er拒ju不bu改gai正zheng���,並bing有you嚴yan重zhong情qing節jie�����,有you可ke能neng構gou成cheng該gai條tiao規gui定ding的de犯fan罪zui行xing為wei�,被bei追zhui究jiu刑xing事shi責ze任ren。此ci時shi�,公gong司si可ke能neng會hui被bei判pan處chu罰fa金jin�,並bing對dui公gong司si直zhi接jie負fu責ze的de主zhu管guan人ren員yuan和he其qi他ta直zhi接jie責ze任ren人ren員yuan處chu三san年nian以yi下xia有you期qi徒tu刑xing�����、拘役或者管製���,並處或者單處罰金。
(2) 行政責任
由於A公司刪庫事件已經造成了導致危害網絡安全的嚴重後果��,主管部門可以依據《網絡安全法》第59條的規定����,對A公司處一萬元以上十萬元以下罰款��,並對Agongsizhijiefuzedezhuguanrenyuanchuwuqianyuanyishangwuwanyuanyixiafakuan。shijishanggonganbumenyijingjiangwangluoyunyingzheshifoulvxingwangluoanquandengjibaohuyiwu�,zuoweishejiwangluoanquanyunxingzhuangkuangrichangjianzhahezhuanxiangjianzhadezhongdianneirongzhiyi。qiyeyouyuweiluoshiwangluoanquandengjibaohuzhidu���,weicaiquyouxiaojishufanghucuoshidengwenti���,beiyifachufadeanlilvjianbuxian。
(3) 民事責任
除了A公司基於與用戶之間的合同約定���,可能承擔合同違約的民事賠償責任之外。由於《網絡安全法》第21條明確規定網絡運營者應當按照網絡安全等級保護製度的要求���,履行下列安全保護義務。同時該法第74條規定���,違反本法規定����,給他人造成損害的��,依法承擔民事責任。因此���,由於A公司刪庫事件遭受損失的第三人可以依據合同或法律規定要求A公司承擔民事賠償的責任。
綜上所述����,實施網絡安全等級保護的義務是法律法規的強製性要求�����,依法實施是防範法律風險的必然選擇。
2��、 保證網絡運行安全的有效途徑
實施網絡安全等級保護的目的和目標是保障網絡免受幹擾�、破壞或者未經授權的訪問���,防止網絡數據泄露或者被竊取�、篡改。為此��,在《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)中�����,針對不同安全等級的保護對象提出了基本要求���,其中從範圍對象上����,既包括針對基礎信息網絡的安全通用要求����,也包括針對雲計算�����、移動互聯網絡���、物聯網���、工業控製係統等的安全擴展要求。從要求內容上���,既包括安全物理環境�、安全通信網絡��、安全區域邊界����、安全計算環境���、安全管理中心等技術要求��,也包括安全管理製度�����、安全管理機構���、安全管理人員��、安全建設管理��、安(an)全(quan)運(yun)維(wei)管(guan)理(li)等(deng)管(guan)理(li)要(yao)求(qiu)。同(tong)時(shi)�����,網(wang)絡(luo)安(an)全(quan)等(deng)級(ji)保(bao)護(hu)的(de)形(xing)式(shi)性(xing)義(yi)務(wu)的(de)履(lv)行(xing)��,例(li)如(ru)根(gen)據(ju)定(ding)級(ji)或(huo)等(deng)級(ji)測(ce)評(ping)的(de)結(jie)果(guo)進(jin)行(xing)網(wang)絡(luo)安(an)全(quan)建(jian)設(she)和(he)整(zheng)改(gai)等(deng)�����,也(ye)是(shi)保(bao)證(zheng)企(qi)業(ye)有(you)針(zhen)對(dui)性(xing)地(di)實(shi)施(shi)和(he)改(gai)善(shan)網(wang)絡(luo)運(yun)行(xing)安(an)全(quan)管(guan)理(li)的(de)有(you)效(xiao)方(fang)式(shi)和(he)手(shou)段(duan)。
A公司刪庫事件至少暴露了A公司在數據備份方式�、重要數據操作權限設定��、安全事件的應對措施���、anquanyunweiguanlidengfangmiancunzaineibuguanlidequexian。wangluoanquandengjibaohuzhiduweiqiyetigongleyouxiaodeguanligongju�����,mingqueleqiyeheguidebianjie���,tongshianzhaowangluoanquandengjibaohuzhidudeyaoqiu���,qieshilvxinganquanbaohuyiwu�����,yezhengshifaxian�、改善企業內部管理缺陷��,真正保證網絡運行安全的有效途徑。
3����、 規避風險���,提高企業價值
如前所述����,A公gong司si刪shan庫ku事shi件jian已yi經jing極ji大da的de損sun害hai了le公gong司si的de價jia值zhi��,造zao成cheng了le公gong司si股gu東dong在zai內nei利li益yi相xiang關guan者zhe的de重zhong大da損sun失shi。隨sui著zhe網wang絡luo安an全quan及ji數shu據ju重zhong要yao性xing的de日ri益yi凸tu顯xian�,數shu據ju合he規gui越yue來lai越yue被bei廣guang泛fan關guan注zhu。上shang市shi公gong司si或huo擬ni上shang市shi公gong司si由you於yu數shu據ju合he規gui相xiang關guan問wen題ti蒙meng受shou損sun失shi或huo者zhe影ying響xiangIPO審批的例子也屢屢見諸報端。違反數據合規要求�,及/或(huo)企(qi)業(ye)運(yun)營(ying)過(guo)程(cheng)中(zhong)人(ren)為(wei)的(de)或(huo)者(zhe)非(fei)人(ren)為(wei)地(di)操(cao)作(zuo)性(xing)因(yin)素(su)等(deng)給(gei)企(qi)業(ye)網(wang)絡(luo)安(an)全(quan)運(yun)行(xing)帶(dai)來(lai)的(de)不(bu)確(que)定(ding)性(xing)�,已(yi)經(jing)成(cheng)為(wei)影(ying)響(xiang)企(qi)業(ye)價(jia)值(zhi)的(de)重(zhong)要(yao)因(yin)素(su)之(zhi)一(yi)。而(er)按(an)照(zhao)網(wang)絡(luo)安(an)全(quan)等(deng)級(ji)保(bao)護(hu)製(zhi)度(du)的(de)要(yao)求(qiu)履(lv)行(xing)安(an)全(quan)保(bao)護(hu)義(yi)務(wu)�����,將(jiang)在(zai)很(hen)大(da)程(cheng)度(du)上(shang)降(jiang)低(di)該(gai)種(zhong)不(bu)確(que)定(ding)性(xing)即(ji)風(feng)險(xian)發(fa)生(sheng)的(de)可(ke)能(neng)性(xing)。同(tong)時(shi)�����,采(cai)取(qu)有(you)效(xiao)措(cuo)施(shi)保(bao)證(zheng)網(wang)絡(luo)運(yun)行(xing)和(he)數(shu)據(ju)的(de)安(an)全(quan)�����,也(ye)是(shi)數(shu)據(ju)資(zi)源(yuan)有(you)效(xiao)利(li)用(yong)的(de)重(zhong)要(yao)保(bao)證(zheng)。不(bu)確(que)定(ding)性(xing)風(feng)險(xian)的(de)規(gui)避(bi)和(he)資(zi)源(yuan)有(you)效(xiao)利(li)用(yong)的(de)保(bao)障(zhang)����,都(dou)有(you)利(li)於(yu)實(shi)質(zhi)性(xing)提(ti)升(sheng)企(qi)業(ye)價(jia)值(zhi)。
四��、 結語
網(wang)絡(luo)無(wu)處(chu)不(bu)在(zai)�,幾(ji)乎(hu)所(suo)有(you)企(qi)業(ye)的(de)運(yun)營(ying)都(dou)離(li)不(bu)開(kai)網(wang)絡(luo)的(de)利(li)用(yong)和(he)數(shu)據(ju)的(de)處(chu)理(li)。由(you)於(yu)技(ji)術(shu)和(he)應(ying)用(yong)的(de)日(ri)新(xin)月(yue)異(yi)����,愈(yu)發(fa)使(shi)得(de)網(wang)絡(luo)運(yun)行(xing)和(he)數(shu)據(ju)安(an)全(quan)的(de)相(xiang)關(guan)風(feng)險(xian)發(fa)生(sheng)機(ji)率(lv)增(zeng)加(jia)����,而(er)發(fa)生(sheng)風(feng)險(xian)時(shi)的(de)後(hou)果(guo)也(ye)越(yue)來(lai)越(yue)嚴(yan)重(zhong)。A公gong司si刪shan庫ku事shi件jian再zai次ci為wei我wo們men敲qiao響xiang了le警jing鍾zhong。希xi望wang企qi業ye未wei雨yu綢chou繆mou�,及ji早zao按an照zhao網wang絡luo安an全quan等deng級ji保bao護hu的de要yao求qiu實shi施shi安an全quan保bao護hu義yi務wu�����,保bao障zhang企qi業ye的de安an全quan和he有you效xiao運yun營ying。
[1] 從目前公開的信息�����,我們無法掌握A公司實施網絡安全等級保護等的具體情況。為便於讀者理解�����,本文僅以A公司刪庫事件為例提出話題��,並非對A公司運營�����、實施及後果等做任何針對性評價。本文除引用公開公告和報道用於事實陳述之外����,皆以A公司代稱。
[2] 來源:https://cdn2.weimob.com/saas/@assets/saas-fe-group-web-stc/pdf/cn/c2013.pdf(最後訪問時間2020年3月18日)
[3] “微盟刪庫事件折射出多重管理機製缺失” https://t.cj.sina.com.cn/articles/view/1708813312/65da6c0002000lm44?from=tech(最後訪問時間2020年3月18日)
[4] “21世紀商業評論:拿出1.5億賠付商家�,微盟能否走出刪庫陰影��?” http://www.21cbr.com/article/83257.html(最後訪問時間2020年3月18日)
[5] “微盟因刪庫事件賠付1.5億元” http://it.people.com.cn/n1/2020/0303/c1009-31613827.html(最後訪問時間2020年3月18日)
