Open Source is a great idea and it has changed the world!
Open Source forever ....
While you do not know attack, how can you know about defense? (未知攻,焉知防?)
Do BAD things .... for the RIGHT reasons -- OWASP ZAP
It is easier to port a shell than a shell script. -- Larry Wall
Most of you are familiar with the virtues of a programmer. There are three, of course: laziness, impatience, and hubris. -- Larry Wall
为天地立心, 为生民立命, 为往圣继绝学, 为万世开太平。 -- 王炜
Tuesday, March 19, 2019
中華人民共和國網絡安全法精選
二零一六年十一月七日通過,並於二零一七年六月一日施行的「中華人民共和國網絡安全法」(下稱「網絡安全法」),一共有七十九條,涵蓋範圍甚廣,由國家至人民,由商業到關鍵基礎設施,由我國至國際都有講述。
以下精選一些與我們 (人民) 有關的條例講述一下,從而了解「網絡安全法」要求網絡使用者的義務和責任。其餘的條文是有關網絡產品、服務提供者和關鍵基礎設施部門在「網絡安全法」的責任和義務,有關法例的理念和罰則亦有提及。以下條文是原文照錄。
第十二條 - 網絡活動參與者的權利和義務
國家保護公民、法人和其他組織依法使用網絡的權利,促進網絡接入普及,提升網絡服務水平,為社會提供安全、便利的網絡服務,保障網絡信息依法有序自由流動。
任何個人和組織使用網絡應當遵守憲法法律,遵守公共秩序,尊重社會公德,不得危害網絡安全,不得利用網絡從事危害國家安全、榮譽和利益,煽動顛覆國家政權、推翻社會主義制度,煽動分裂國家、破壞國家統一,宣揚恐怖主義、極端主義,宣揚民族仇恨、民族歧視, 傳播暴力、淫褻色情訊息,編造、 傳播虛假信息擾亂經濟秩序和社會秩序,以及侵害他人名譽、私隱、知識產權和其他合法權益等活動。
第二十條 - 網絡安全人才培養
國家支持企業和高等學校、職業學校等教育培訓機構開展網絡安全相關教育與培訓, 採取多種方式培養網絡安全人才,促進網絡安全人才交流。
第二十二條 - 網絡產品和服務提供者的安全義務
網絡產品、服務應當符合相關國家標準的強制性要求。網絡產品、服務的提供者不得設置惡意程序;發現其網絡產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。
網絡產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。
網絡產品、服務具有收集用戶信息功能的,其提供者應向用戶明示並取得同意;涉及用戶個人信息的,還應遵守本法和有關法律、行政法規關於個人信息保護的規定。
第二十七條 - 禁止危害網絡安全的行為
任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動;不得提供專門用於從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具;明知他人從事危害網絡安全的活動的,不得為其提供技術支持、廣告推廣、支持結算等幫助。
第二十八條 - 網絡運營者的技術支持和協助義務
網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。
第三十條 - 執法訊息用途限制
網信部門和有關部門在履行網絡安全保護職責中獲取的信息,只能用於維護網絡安全的需要,不得用於其他用途。
第四十一條 - 個人信息收集使用規則
網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集,使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。
網絡運營者不得收集與其提供的服務無關的個信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
第四十二條 - 網絡運營者的個人信息保護義務
網絡運營者不得洩露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。
網絡運營者應當採取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息洩露、毀損、掉失。在發生或者可能發生個人信息洩露、損毀、掉失的情況時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。
第四十六條 - 禁止利用網絡從事與違法犯罪相關的活動
任何個人和組織應當對其使用網絡的行為負責,不得設立用於實施詐騙,傳授犯罪方法,制作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通訊群組,不得利用網絡發佈涉及實施詐騙,制作或者銷售違禁物品、管制物品及其他違法犯罪活動的信息。
第四十七條 - 網絡運營者處理違法信息的義務
網絡運營者應當加強對其用戶發佈的信息的管理,發現法律、行政法規禁止發佈或者傳輸的信息的,應當立即停止傳輸該信息,採取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告。
第四十八條 - 電子信息和應用軟件的信息安全要求及其提供者處置違法信息的義務
任何個人和組織發送的電子信息、提供的應用軟件,不得設置惡意程序,不得含有法律、行政法規禁止發佈或者傳輸的信息。
電子信息發送服務提供者和應用軟件下載服務提供者,應當履行安全管理義務,知道其用戶有前款規定行為的,應當停止提供服務,採取消除等處置措施,保存有關記錄,並向有關主管部門報告。
第六十三、六十四、六十七、七十四及七十五條是講述有關罰則,這裡不便詳細描述。
「網絡安全法」涵蓋的範圍甚廣,包括個人信息收集處理,個人私隱處理,網絡犯罪等行為,以及網絡產品不可以有惡意程序等都有包含。可見此「網絡安全法」是非常文明和先進,而且撰寫此法例的人員具有高度的電腦知識。
本文只講述對我們人民息息相關的條文,至於其他條文請參閱「網絡安全法」。最後,本文是参考「中華人民共和國網絡安全法」實用版一書。
Samiux
OSCE OSCP OSWP
二零一九年三月十九日,中國香港