导语:作为中国最大的两家互联网公司之一,腾讯实践《网络安全法》的复杂程度是普通公司的数十倍以上。
本文为嘶吼《聚焦网络安全法》专题系列文章之一。
《网络安全法》施行已有一个季度。
作为国内第一部网络安全领域的法律、网络安全管理的基础法律,这部法律在行业内有着标志性意义。它宣布国内互联网进入全面监管时代,无论从事互联网业务的企业或是个人,现在开始都有法可依、有法可查了。所有网络运营者,都需要了解、掌握、践行《网络安全法》的规定,以免有违法风险。
对于中小企业来说,主要是落实少数具体条文,比如建立安全人员/部门、安全制度、安全规范等,相对简单;但像腾讯、阿里巴巴等生态级公司,由于业务广泛且用户量巨大,牵涉条文多上好几倍,尽管立法过程它们和政府部门一直保持良好沟通,整体来说仍是一项庞大而艰巨的工程。
要逐一讲清楚,腾讯在每个条文上如何实践,显然不太可能。尤其是嘶吼这样的外部观察者,了解的信息可能有疏漏,也欢迎读者们在文章评论里指出。腾讯云安全专家对《网络安全法》解读划出了六大重点,我将以这六点作为主线来介绍。
推动网络安全等级保护制度
因为职责分工不同,国内三大最高监管机构对网安法的阐释侧重也有所不同。其中,公安部最核心的要素是网络安全等级保护制度,这项制度出台于2007年,现在正在完善2.0版本,公安部希望把等级保护制度打造成新时期国家网络安全的基础制度和国策。
对腾讯来说,落实等保制度主要分为三个方面。一是普通业务,按照等保要求建立起常规安全保护能力,这点不必多说;二是腾讯云,需通过云等保测评,才能为重要信息系统客户提供服务,他们已经获得了云等保四级资质;三是核心业务如QQ、微信等,属于具有全国影响的重要互联网平台,据相关人士透露可能会评为关键信息基础设施,受更严格的监管。
《关键信息基础设施安全保护条例》尚在制订中,等出台后展开评估才能确定。
加强个人信息保护
《网络安全法》要求网络运营者建立健全用户信息保护制度,对收集使用用户个人信息必须符合合法正当必要的原则、对收集信息的安全保密原则、公民信息境内存放原则、泄露报告制度等。
最近微信的两个案例很好体现了这一方面。8月初有手机厂商因读取用户聊天记录和腾讯发生争执,腾讯副总裁丁珂对媒体回应,微信不会读取、存储微信聊天记录,只有国家司法要求和多人群聊合规时,有能力会予以支持;8月下旬微信升级隐私保护协议,对收集、保管用户个人信息以及安全保障措施做出详细说明,只是过去曾使用的“点对点”技术不再提及,不清楚是什么原因。
数据跨境传输需要安全评估
《网络安全法》要求关键信息基础设施的个人信息和重要数据应当在国内存储,如需向境外提供,应进行安全评估。网信办在今年4月颁布《个人信息和重要数据出境安全评估办法(征求意见稿)》,把监管范围扩大至“网络运营者”。也就是说无论个人或企业,只要有个人信息和重要数据向境外传输,都需要进行安全评估,如数量较大(50万人以上、1000GB以上等),还需向监管单位报请组织评估。
这项办法对大企业的影响实在太大,颁布征求意见稿四天后,网信办网络安全协调局副局长胡啸在一个产业闭门沙龙上对其进行具体解释。他强调办法的法律效应(办法属于下位法,不过网安法里也有“行政法规可另行规定”的空间),并介绍安全评估三个重要维度:个人信息主体是否同意、是否可能影响国家安全和社会公共利益、监管单位是否允许。按照这个说法,企业在用户个人信息使用协议里声明出境授权即可规避风险。
但审批制可能会让海外业务发展受影响,这让腾讯头疼不已。沙龙与会嘉宾包括腾讯、阿里巴巴等公司的法务高层,腾讯法务人员在圆桌环节讲述他们面临的尴尬状况:在海外进行新业务需要先行报请安全评估,可能评估没下来(最长60天),业务的最佳推出时期已经过去;腾讯在全球建设网络基础设施,用户出国后个人数据经过海外基础设施,是否每项业务都需要报请安全评估…
腾讯和阿里巴巴希望网信办能对类似情况进行考虑,减少审批环节,目前不确定网信办是否会在最终稿中增加相关内容。
净化网络环境,遵守网络秩序
网安法第四十七条:网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
8月11日,广东网信办初查腾讯微信存在有用户传播暴力恐怖、虚假谣言、淫秽色情等危害国家安全、公共安全、社会秩序的信息,涉嫌违反《网络安全法》等法律法规未尽到管理义务,国家网信办指导进行立案调查。
嘶吼评论:腾讯审核员工数量什么时候超过业务员工呢?
快速响应,实施网络安全风险应急预案
虽然腾讯业务漏洞数不胜数,但TSRC的水准还是值得称赞,基本代表业内应急响应的最高水准。
腾讯安全曾经最早发现XcodeGhost风险、国内最早发现XShell后门,实力不言自明。大家如果有感兴趣的问题,可以留言给嘶吼,我找机会问问。
全面贯彻网络空间实名认证
个人信息方面还有一条,要求提供上网、发言服务的网络运营者需收集用户真实身份信息,因此QQ、微信现在需要和手机号绑定才能注册和使用,这也是网安法带来的改变之一。
为执法活动提供技术支持和协助
第四届网络安全宣传周上,嘶吼编辑向腾讯副总裁马斌问了下标题问题,他的回答比较官方,不过大家会发现里边许多话在上面都有体现:
在《网络安全法》征求意见稿的过程中,腾讯一直在这里面,我们跟国家网信办、工信部、立法机构从头至尾一直都在做,国家在这个层面要求还是非常高的。我本人出席过多次国家会议,国家其实对于整个《网络安全法》的执行还是有一定的要求,所以腾讯内部从上到下,包括我们自己的机构、腾讯其它的事业群以及相关机构,都在自己内部学习过,并且应用在工作当中。
马斌没有说具体细节,倒是腾讯反诈骗负责人李旭阳介绍了他们和公安、银行等多方合作的反诈骗智慧大脑,现场有展示其中四款产品——鹰眼智能反电话诈骗盒子、麒麟伪基站定位系统、神侦资金流查控系统、腾讯安全态势感知系统。
腾讯安全反诈骗实验室利用AI技术进行黑产对抗模式研究,研发出鹰眼、麒麟、神侦、神荼(反钓鱼)、神羊(情报分析)等十余款反诈骗产品,可以在诈骗事前、事中、事后的关键环节起到作用,目前他们已经和全国20多个城市合作部署反诈骗产品并协助破获诈骗案件。
最后
在网络安全宣传教育、网络安全人才培养、未成年人保护、安全监测预警等许多条文上,腾讯都有义务和作为,限于篇幅这里就不再提及,以后如果有相关话题再聊。