英国电信法规最高罚10%，网安法也大幅提升处罚，全球合规趋严？

今年10月，英国正式实施”最严“电信安全新法规，新法规是《2021电信（安全）法》的一部分，旨在更好地保护英国电信网络免受网络攻击。监管机构英国通信管理局（Ofcom）将承担监督和执行该法案和法规的新责任。

这次的电信安全框架是英国政府与国家网络安全中心和通信管理局（Ofcom）合作制定，适用于英国的公共电子通信网络和服务提供商。

根据新法规，如果提供商不遵守安全职责，Ofcom最高可对其处以营业额10%的罚款，如果持续违反此项法律，则提供商可能面临每日10万英镑的罚款（最高不超过1000万）。

英国数字、文化、媒体和体育部（DCMS）称，“新的电信安全法规将成为世界上最严格的法规之一”，它将帮助英国识别和解决英国当前和未来面临的风险，提高网络韧性。

很显然，新法规增加了英国电信运营商的责任和压力。在过往的网络扩张中，运营商经常背负着冗余的技术和债务负担，许多运营商甚至没有掌握其混合基础设施中的安全漏洞。下文将详述英国最新的电信安全框架的具体要求。

在英国出台“最强”电信安全新法规的同时，中国的《网络安全法》也迎来了首次修改。在《网络安全法》实施五年多的过程中，互联网信息基础设施快速发展，某些现实情况已经发生变化，因此法规做出与时俱进的修改十分有必要。两国的网络安全法案修改，也表明未来网络安全法规将不断与时俱进并日趋严格。

最新网络和服务保护框架

网络架构

新安全框架要求，电信和网络服务提供商了解网络架构安全妥协的风险，记录风险并采取行动降低风险。要求网络提供商能够识别安全风险，并在必要时在不依赖位于英国境外的人员、设备或存储数据的情况下运营网络，从而安全地维护为英国服务的网络。

保护数据和网络功能

新安全框架要求，保护网络管理工作站监控和降低传入网络或服务的信号风险。这意味着提供商需管理好SIM 卡、路由器或防火墙等设备，同时还需做好静态的数据加密。

保护监控或分析工具

新安全框架要求，保护实时监测或分析英国网络服务或信号内容的分析工具，以防止敌对国家行为者的安全损害。

英国政府提到，将安全和网络运营中心设在海外的风险很大，甚至某些地点的安全性无法保证，因此它建议网络服务提供者避开风险地点。

新安全框架要求，监控和分析英国网络和服务的安全能力提供者不得位于风险地点（法规中列出了高风险地点），这些风险地点也不得访问上述安全功能。

服务提供者需评估在英国境外执行安全分析的风险，以及在英国境外提供特权访问而导致的未经授权行为的风险。

监测和分析

该项目的是确保供应商保持对网络和服务访问的监督，以减少安全漏洞风险。

新安全框架要求，使用监控和分析工具来识别和记录对网络或服务中最敏感部分（安全关键功能）的访问。它要求保留至少13个月的与安全关键功能访问有关的日志。

供应链

新安全框架要求公共电信供应商与下级供应商订立安全合同，使用英国国家网络安全中心（NCSC）的供应商安全评估，形成适当的安全责任划分，以达到识别、披露和减少出现的安全漏洞风险的目的；它还要求供应商制定书面应急计划，规定在第三方供应中断的情况下将采取哪些措施。

防止未经授权的访问或干扰

新安全框架要求对特权账户进行有效管理，包括应用多因素身份验证和密码保护等措施；保护特定类型的凭据、安全地构建和使用管理账户。

网络修复

新安全框架要求，网络服务提供商需持有网络和服务信息副本，以便在发生安全漏洞时重建和维护运营。信息的副本必须保留在英国境内。它还建议供应商采取措施迅速恢复网络，和NCSC网络评估框架中现有地实践指南的交叉引用，以确保业务实践快速恢复。

安全治理

新安全框架提出，指定董事会一级的责任（或同等的责任）来监督安全部门。新安全框架还规定了如何建立一个组织框架，从业务流程的角度管理安全事件。

安全审查

新安全框架提出，每年对网络和服务面临的风险进行安全审查，通过书面形式评估未来12个月内的安全漏洞总体风险。

补丁和更新

新安全框架要求，供应商快速修补漏洞并及时更新补丁，并最好在补丁出现的14天内修复新漏洞。

除了上述具体项目的要求，还包括对网络人员能力、渗透测试、网络协助等方面的要求。

分级管理电信服务提供商

英国政府建议将电信服务提供商分为三层，每层对应不同的合规要求和Ofcom监督级别：

一级提供商为提供公共网络和服务的超大型公司，其安全妥协将对网络和服务可用性产生最广泛的影响，同时它对经济和社会带来的影响最具破坏性。 二级提供商为提供网络和服务的中型公司，其安全妥协将对关键的国家基础设施（CNI）或区域可用性产生影响，并可能产生重大的安全、经济或社会影响。 三级提供商为市场上最小的公司（非微型实体）。虽然对其网络或服务的安全妥协可能会影响其客户，但如果这些网络和服务不涉及关键国家基础设施，则此类妥协不会显著影响国家或地区的可用性。

第一级和第二级供应商适用最新的安全框架，第三级供应商则可以选择采取与其网络和服务相关的措施。

考虑到实际操作中的复杂情况，如果A供应商是B供应商的第三方供应商，则A供应商的安全合规要求和监督要求与B供应商对应的层级保持一致。这一补充旨在防止较小的供应商导致不可挽回的安全事故，因为这些供应商本身可能不是一级供应商，但它向一级或二级供应商提供设备或服务。

对于供应商的分级依据，政府建议使用营业额（扣除销售回扣、增值税和其他与营业额直接相关的税款）作为指标。

目前，该新法规实施尚不足两个月，但行业专家指出，该法规将成为英国电信行业积极变革的催化剂。电信运营商将提高其对网络基础设施威胁的观察、评估和补救能力，以避免巨额罚款。

中国《网络安全法》迎来首次修改

无独有偶，在英国出台”最严“电信安全法规的同时，中国的《网络安全法》也迎来了实施五年以后的首次修改。

此次修改，拟调整违反网络安全法的行政处罚种类、幅度和从业禁止措施，大幅提高罚款金额；同时，拟完善关键信息基础设施运营者有关违法行为的行政处罚规定，新增网络信息安全其他违法行为的法律责任规定；还拟将原有关个人信息保护的法律责任修改为转致性规定。

《网络安全法》修改后改变了“一刀切”的处罚方式，按照网络运营者的规模实施处罚，同时着重增加了对网络信息安全责任人的处罚，规定了从业禁止措施。专家向媒体表示，“法律责任设定的多元化，有利于进一步夯实执法部门对于相关法律法规的实施能力。”

具体来说，修订后的《网络安全法》大幅提升处罚，与《个人信息保护法》的罚款力度看齐，对企业的罚款从最高100万元，提高到5000万元或上一年度营收的5%；对个人的罚款，从最高10万元，提高到100万元。

同时，将行政处罚的幅度，从两个增加到三个。从“一般违法行为”和“情节严重”的基础上，增加了“情节特别严重”处罚措施：罚款额度最高可达5千万或上一年度营业额5%，还可能被责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

另外，修订后的《网络安全法》还增加行政处罚的责任形式。对企业，新增“通报批评”的行政处罚形式。对个人，在从业禁止措施上，在此前规定的“禁止一定期限内禁止从事网络安全管理和网络运营关键”之外，增加了“一定期限内禁止担任相关企业的董事、监事、高级管理人员或从事网络安全管理和网络运营关键岗位的工作”。

这次修改也是帮助《网络安全法》与相关法律的衔接，因为前述法律于2017年实施，后续又陆续出台了相关《数据安全法》《个人信息保护法》等。对于这些法律中的一些重合地带该按照哪部法规执法，此次修改做出了示范，在完善网络安全法律体系上开创了新征程。

大趋势：网络安全监管收紧

在网络安全法律层面，中国和英国都走向逐渐收紧监管的趋势，其修改或增修背景也是当前越来越多元和复杂的网络威胁、网络攻击。

日趋严格的法规将迫使公司和负责人认真对待网络安全工作，保护网络基础设施，减少安全违规行为，规避安全威胁风险，保证网络和服务的安全性和可用性。

上述法案的修改不会是网络安全监管的终点，随着安全的发展，网络攻击也会随之发展。在进行中的5G时代，如何持续地保护网络安全，是个人、组织和国家的共同课题。

参考链接：

https://telecoms.com/opinion/how-the-uk-telecom-security-act-is-a-catalyst-for-positive-change/ https://www.gov.uk/government/consultations/proposal-for-new-telecoms-security-regulations-and-code-of-practice/telecoms-security-proposal-for-new-regulations-and-code-of-practice http://m.legalweekly.cn/fzzg/2022-09/22/content_8784335.html