今天具有裏程碑意義的《中(zhōng)國人民共和國網絡安全法》正式生(shēng)效。從2014年中(zhōng)央網絡安全和信息化小(xiǎo)組成立之初就開(kāi)始研究和制定網絡安全和信息化發展戰略。2015年7月網絡安全法草案一(yī)審稿出台，2016年7月網絡安全法草案二審稿出台，同年11月網絡安全法草案三審稿完成并由十二屆全國人大(dà)常委會第二十四次會議表決通過，安全大(dà)法的出台爲我(wǒ)(wǒ)國信息化建設提供宏觀規劃和重大(dà)方針指向，推動國家網絡安全和信息化法治建設，不斷增強安全保障能力。

 網絡安全法适用除軍事網絡的安全保護相關單位和人以外(wài)的所有單位和個人，包括網絡運營者、主管單位、信息安全廠商(shāng)、硬件廠商(shāng)、集成商(shāng)等。基本涵蓋了所有從事IT類的單位、用戶、主管單位和個人。如果從合法合規的角度來分(fēn)類，整個網絡大(dà)全可以分(fēn)爲網絡安全、數據安全、管理安全三個維度，随着信息化的建設的發展，越來越多的單位和個人注重網絡安全、管理安全，而對數據安全的重要性、防護措施并不是很清晰，因此我(wǒ)(wǒ)們主要結合網絡安全法在數據安全方面的合法合規的政策解讀。

第二十一(yī)條：國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下(xià)列安全保護義務，保障網絡免受幹擾、破壞或者未經授權的訪問，防止網絡數據洩露或者被竊取、篡改：

第三款：采取監測、記錄網絡運行狀态、網絡安全事件的技術措施，并按照規定留存相關的網絡日志(zhì)不少于六個月。

解讀：應采取監控和審計類的技術或産品，對訪問網絡行爲、數據操作行爲進行持續監控和審計，可溯源、可控制，做到記錄事件；值得注意的是明确規定了日志(zhì)的存儲期限不低于6個月，對存儲時間做了規範性要求。

第四款：采取數據分(fēn)類、重要數據備份和加密等措施

解讀：對收集和存儲、使用的個人隐私信息或重要敏感信息，進行發現、分(fēn)類和監控，建立相應的方案防止數據被竊取、拖庫、重要信息非法入侵竊取。要采用相應防護措施實現系統重要敏感數據和重要業務數據，同時做好備份工(gōng)作，重要信息要有備份，同時備份的數據要有相應的保護措施，數據防護安全措施必須做到位。

第二十四條：網絡運營者爲用戶辦理網絡接入、域名注冊服務，辦理固定電(diàn)話(huà)、移動電(diàn)話(huà)等入網手續，或者爲用戶提供信息發布、即時通訊等服務，在與用戶簽訂協議或者确認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網絡運營者不得爲其提供相關服務。

解讀：個人信息實名制要求，核心是實名制；在電(diàn)信用戶實名制基礎上,規定了信息發布、即時通訊等服務的實名制要求，而爲了不影響用戶的個人隐私，實名制也是一(yī)把雙刃劍，對于網絡運營者來說，一(yī)旦收集的個人信息發生(shēng)大(dà)批量的洩漏，将産生(shēng)無法預期的數據安全風險；因此，網絡安全法個人信息實名制對網絡運營者提出了要求，事實上，目前有部分(fēn)個人用戶信息洩露的方式就通過網絡運營者管理不善造成的，安全法強化了個人信息保護。

第四十一(yī)條：網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開(kāi)收集、使用規則，明示收集、使用信息的目的、方式和範圍，并經被收集者同意。不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。

第二十二條第三款：網絡産品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意；涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。

解讀：四十一(yī)條和二十二強調網絡運營者收集使用個人信息的原則和目的，條款規定了個人信息保護的知(zhī)情同意和特定目的原則。強調必須在用戶知(zhī)曉并同意收集目的和使用範圍後，才能收集個人信息，保證了用戶的知(zhī)情權。企業要按此要求規範獲取個人信息的途徑和方式方法。

第四十二條：網絡運營者不得洩露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識别特定個人且不能複原的除外(wài)。

網絡運營者應當采取技術措施和其他必要措施，确保其收集的個人信息安全，防止信息洩露、毀損、丢失。在發生(shēng)或者可能發生(shēng)個人信息洩露、毀損、丢失的情況時，應當立即采取補救措施，按照規定及時告知(zhī)用戶并向有關主管部門報告。

解讀：本條款也被業内稱作“大(dà)數據條款”；強調網絡運營者要保護用戶個人信息，很多網絡運營者的用戶注冊信息成千上萬，如何确保這些信息不被竊取、洩露、而現在個人信息的洩露的方式可以由内部人員(yuán)造成、也可以是由業務漏洞造成的洩露，因此數據安全防護産品是一(yī)種手段。

第四十三條：個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者删除其個人信息；發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。網絡運營者應當采取措施予以删除或者更正 

解讀：本條款核心是法律明确賦予公民個人具有删除權和更正權；如果發現網絡運營者不當使用個人信息，有權要求删除，有錯誤的有權要求其改正。

第四十四條：任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息

解讀：核心是不得非法獲取、非法出售和提供個人信息，這一(yī)要求是毋庸置疑的。

這裏說到非法出售和提供，數據洩露的方式有很多種，有内部用戶爲了個人利益兜售用戶信息，而如果沒有相應的記錄過程，這種數據獲取方式往往是被看做是一(yī)種“合法操作”，對于一(yī)些越權訪問數據信息又(yòu)得不到權限控制。對外(wài)部人員(yuán)，更多的數據洩露方式往往是業務層面的一(yī)些漏洞被利用，因此應該有相應的數據防護産品來防範該類事情的發生(shēng)。

通過對網絡安全法的整體(tǐ)分(fēn)析，實際上可以從三個安全框架建設單位和個人的網絡，分(fēn)爲網絡層安全、數據層安全、規則制度建設安全。

網絡層安全：針對網絡層安全除了部署傳統網絡防火(huǒ)牆等外(wài)，應部署運維審計産品、做到設備訪問權限控制、合法合規、可記錄、可追溯、可審計等，推薦帕拉迪運維審計産品，産品成熟度和市場認可度高。

數據層安全：基于個人信息保護及數據安全保護，需要審計及記錄，對敏感數據、高危數據操作進行行爲判斷、事中(zhōng)阻斷。并且重要數據需要有容災備份，推薦帕拉迪科技數據審計、數據庫防火(huǒ)牆、NGDAP、NGWAF等。

規章制度建設安全：制定内部安全管理制度和操作規程，确定網絡安全負責人，落實網絡安全保護責任，網絡運營者應當制定網絡安全事件應急預案，定期對從業人員(yuán)進行網絡安全教育、技術培訓和技能考核。