(文 / 老孙)
高项倒计时冲刺特辑 Day 29 | 付费
字数约 10000,阅读大约需 20 分钟
一、开场:法律法规这碗饭,为什么必须吃?
各位老铁,今天老孙跟你聊一个很多人不愿意碰、但绝对不能不碰的话题——法律法规。
我知道,一提到"法"字,很多同学的第一反应是:太枯燥了,全是条文,背不住。第二反应是:考得少吧?不如把时间花在十大管理上。
错。大错特错。
老孙先给你算一笔"性价比账":
近三年真题统计:网络安全法、数据安全法、个人信息保护法三部法律的选择题,每年稳定出4-6分。2024年上半年考了5分,下半年考了4分,2025年上半年考了6分。
投入产出比:十大管理你要啃几百页教材,才能拿到对应的分数。但法律法规这三部法,你只要花一个晚上认真看完这篇文章,记住核心条款和关键数字,4-6分就是你的了。
这叫什么?这叫"低投入、高确定性、稳产出"的得分池。
你去问任何一个过了高项的前辈,他都会告诉你:法律法规的分,是最容易拿的"送分题"——前提是你得知道考什么。
好,废话不多说。今天这篇文章,老孙带你一次性搞定三部法律,从此法律法规不丢分。
上面这张图,就是三法在整个法律体系中的位置关系。你可以这样理解:《国家安全法》是爷爷辈,管的是整体国家安全框架。三部法律是"三兄弟",各有分工,互相配合,共同守护数据安全。
二、一个类比打通三法:小区物业的"三道防线"
在正式讲条文之前,老孙先用一个贯穿全文的类比帮你建立直觉。
假设你住在一个智能化小区,小区有智能门禁、监控摄像头、业主App、物业管理系统。
-
《网络安全法》 管的是:这个小区的网络基础设施安全不安全?门禁系统会不会被黑客入侵?监控会不会被人远程控制?物业的服务器会不会瘫痪?——关注的是"网络"本身的安全。
-
《数据安全法》 管的是:小区收集的所有数据安全不安全?业主的房产信息会不会泄露?物业的财务数据有没有分级保护?如果物业公司把数据卖给境外的房产中介,谁来管?——关注的是"数据"的安全治理。
-
《个人信息保护法》 管的是:小区App收集了你的个人信息,这些信息处理得合不合规?物业有没有经过你的同意?你能不能要求物业删除你的人脸数据?——关注的是"个人"的权益保护。
一句话总结:网安法管"网",数安法管"数据",个保法管"人"。
这个类比记住了,考试时遇到三法相关的题目,先判断题目说的是网络设施的问题、数据治理的问题、还是个人权利的问题,就能快速锁定对应的法律。
三、《网络安全法》:三兄弟中的"大哥"
3.1 基本身份卡
| 项目 | 内容 |
|---|---|
| 全称 | 《中华人民共和国网络安全法》 |
| 施行日期 | 2017年6月1日 |
| 地位 | 我国第一部全面规范网络空间安全管理的基础性法律 |
| 主管部门 | 国家网信部门负责统筹协调 |
| 适用范围 | 在中国境内建设、运营、维护和使用网络,以及网络安全的监督管理 |
3.2 立法目的(考试爱考"是为了...")
网络安全法的制定是为了:
- 保障网络安全
- 维护网络空间主权和国家安全、社会公共利益
- 保护公民、法人和其他组织的合法权益
- 促进经济社会信息化健康发展
速记口诀:安全 + 主权 + 权益 + 发展 = "安主权发"(谐音"安住全发"——安全住下来,全面发展)。
3.3 核心制度一览
下面逐个拆解。
3.4 制度一:网络安全等级保护(重点中的重点)
这是什么? 国家对网络实行安全等级保护制度。网络运营者应当按照等级保护制度的要求,履行安全保护义务。
为什么重要? 因为等保2.0(网络安全等级保护2.0)的法律依据就是《网络安全法》第21条。考试经常问"等级保护制度的法律依据是哪部法律",答案就是网络安全法。
等级保护五个等级(从低到高):
| 等级 | 名称 | 受保护对象 | 损害程度描述 |
|---|---|---|---|
| 第一级 | 用户自主保护级 | 公民、法人和其他组织的合法权益 | 损害,但不损害国家安全、社会秩序和公共利益 |
| 第二级 | 系统审计保护级 | 公民、法人和其他组织的合法权益;社会秩序和公共利益 | 严重损害合法权益,或损害社会秩序和公共利益,但不损害国家安全 |
| 第三级 | 安全标记保护级 | 社会秩序和公共利益;国家安全 | 严重损害社会秩序和公共利益,或损害国家安全 |
| 第四级 | 结构化保护级 | 社会秩序和公共利益;国家安全 | 特别严重损害社会秩序和公共利益,或严重损害国家安全 |
| 第五级 | 访问验证保护级 | 国家安全 | 特别严重损害国家安全 |
速记技巧:等级越高,保护对象从"个人"逐渐上升到"国家",损害程度从"一般损害"升级到"特别严重损害"。
等级保护的核心要求(网络运营者必须做到的):
- 制定内部安全管理制度和操作规程
- 确定网络安全负责人
- 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施
- 采取监测、记录网络运行状态、网络安全事件的技术措施,并保留相关网络日志不少于六个月
- 采取数据分类、重要数据备份和加密等措施
考试重点数字:网络日志留存不少于 6个月。这个数字几乎年年考。
类比理解:等级保护就像小区的安保等级。普通住宅小区可能只需要一个保安大爷(第一级),中档社区配门禁和摄像头(第二级),高档别墅区得配24小时巡逻加红外监控加访客登记系统(第三级),政府大院得有武装保卫加多重身份认证(第四级),军事基地那就是最高级别的全方位防护(第五级)。等级越高,安保措施越严格,投入越大。
等保2.0 vs 等保1.0:很多同学会问这两者有啥区别。简单来说,等保1.0时代只管"信息系统",等保2.0把保护范围扩大到了"网络"——包括云计算、物联网、移动互联、工业控制系统等新技术场景都纳入了等级保护。而等保2.0的法律依据就是2017年施行的《网络安全法》。
3.5 制度二:关键信息基础设施保护(CII)
什么是关键信息基础设施(CII)? 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的网络设施和信息系统。
一句话理解:一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的基础设施。
CII的运营者有哪些额外义务?(在一般网络运营者义务之外)