網路安全法有望深度保障個人資訊安全
- 發佈時間:2015-07-31 07:54:00 來源:中國青年報 責任編輯:羅伯特
再過幾天,《網路安全法》(草案)(以下簡稱“草案”)即將結束面向社會公開徵求意見的程式。作為我國網路安全領域的一部重要法案,不少人將它的發佈視作一個里程碑。7章68條中,涵蓋了網路設備設施安全、網路運作安全、網路數據安全、網路資訊安全等多方面內容,力度之大、範圍之廣前所未有。
特別值得注意的是,公民個人資訊保護的相關內容在草案中得到強調,個人資訊安全有望獲得更有力的法律保障。
因網路個人資訊洩露一年損失超800億元
公眾對個人資訊安全的重視,源自一個個慘痛的教訓。
2014年3月,眾多媒體曝出攜程網“信用卡泄密門”。漏洞報告平臺烏雲網發佈消息稱,攜程將用於處理用戶支付的服務介面開啟了調試功能,使所有向銀行驗證持卡所有者介面傳輸的數據包均直接保存在本地伺服器。但同時,因為保存支付日誌的伺服器未作較嚴格的基線安全配置,存在漏洞,導致所有支付過程中的調試資訊可被駭客任意讀取。
這些可能被竊取的資訊包括持卡人姓名、身份證號、銀行卡號、銀行卡CVV碼等,危害可想而知,這讓不少用戶心頭一緊。
類似的情況還發生在去年12月,中國鐵路客服中心12306網站發生資訊洩露,大量用戶數據在網際網路上瘋傳,包括用戶賬號、明文密碼、身份證號碼、電子郵箱等。而早在幾年前,更有媒體曝出不少酒店開房記錄被流出。著名的“3Q”大戰更是引起國人對個人資訊安全的關注。
一些數據對這一擔憂也有所印證。7月22日,在北京召開的中國網民權益保護論壇上,中國網際網路協會12321網路不良與垃圾資訊舉報受理中心發佈了《中國網民權益保護調查報告(2015)》(以下簡稱“《報告》”)。《報告》顯示,在權益認知方面,網民普遍認為,在網路上,隱私權是最重要的權益,其次是選擇權和知情權。近一年來,網民因個人資訊洩露、垃圾資訊、詐騙資訊等現象導致的總體損失約805億元。
此外,《報告》還指出,網民被洩露的個人資訊涵蓋的範圍也非常廣。78.2%的網民個人身份資訊被洩露過,包括網民的姓名、學歷、家庭住址、身份證號及工作單位等;63.4%的網民個人網上活動資訊被洩露過,包括通話記錄、網購記錄、網站瀏覽痕跡、IP地址、軟體使用痕跡及地理位置等。
82.3%的網民表示親身感受到了個人資訊被洩露對日常生活造成的影響。
“像騷擾電話、垃圾短信、垃圾郵件……這樣的東西太多了,幾乎每天都在發生。”北京郵電大學國際學院院長李欲曉説,“取證麻煩,維權又難,老百姓往往只能忍著。”
在李欲曉看來,個人資訊洩露問題如此嚴重,原因是多方面的。“比如一些機構、企業在採集個人資訊時範圍過寬,一旦發生洩露,情況就會比較嚴重。”此外,網路服務提供者在個人資訊保護的技術方面也存在問題,如果系統達不到很強的保護能力,就會出現洩露問題。再者,用戶個人也缺少自我保護意識,對網際網路傳播資訊的廣泛性不夠重視,在申請一些服務時缺少保護意識,留下一些個人資訊成了後患。
針對洩露個人資訊發生的違法犯罪行為,李欲曉認為,處罰力度也不夠,同時,相關立法和管理也還不完善。“儘管也出現過因販賣個人資訊觸犯刑法而被處罰的情況,但整體來講,打擊的力度還比較弱。”李欲曉説,這就造成一些人為獲得豐厚回報鋌而走險,“我國網際網路發展如此之快,立法必須跟上。”
網際網路高速發展急需專門法護航
近年來,各國網路安全領域的立法也呈集中爆發之勢。中國資訊通信研究院副院長劉多介紹説,形式上大致可分為“統一立法”和“分散立法”兩種。
“一些國家雖然沒有統一的網路安全法,但是有國家層級的網路安全戰略,如南韓、英國。”劉多介紹,美國國會多年來也一直試圖制定網路安全法,出臺了多個相關法案。日本2014年11月出臺的《網路安全基本法》是統一立法的典型代表,歐盟出臺的《網路和資訊安全指令》(草案)也是在網路安全領域的統一立法。
“從立法內容上看,各國除了繼續對提高網路安全技術水準、提高安全標準、加強安全教育等常規選項進行法律修訂之外,還對網路監控和反恐、關鍵資訊基礎設施保護、數據留存等相關議題進行專題立法,整體上呈現出‘攻防並舉’的立法思路。”劉多説。
她告訴中國青年報記者,我國也一向重視網路安全的立法工作。比如,在刑法修正案中增加了關於網路犯罪的條款,目前網際網路領域層次較高的兩部法律性文件——2000年頒布的《全國人大常委會關於維護網路安全的決定》和2012年頒布的《全國人大常委會關於加強網路資訊保護的決定》——也都是針對網路安全的。此外,工信部、公安部也針對通信網路防護、網際網路安全等出臺了一些部門規章。
“但總體來看,這些立法層級較低,不能適應目前國際上網路安全的嚴峻形勢和國內對網路安全日益重視的發展趨勢。”劉多説。
工信部電子科學技術情報研究所總工尹麗波認為,條文分散、可操作性差也是現有法律法規存在的一個弊端。“很多都是散見在各個條文裏,不夠系統”。此外,她還指出,對管理部門、網路運營部門等主體的責任規定也不夠明確,一旦發生問題就容易出現相互推諉的情況。
受訪專家指出,如今,很多傳統領域的基礎設施都實現了資訊化,如果網路風險失控,後果不堪設想。
“所以,還是需要一部統籌各方、起到統領性作用,而且層級較高的統一立法,對網路安全進行系統全面的規定。”劉多説。
草案引入刪除權和數據洩露通知制度是亮點
7月6日,中國人大網公佈了草案全文,這部備受矚目的法案終於和公眾見面了。
“亮點很多。”劉多説,比如草案提出將維護網路空間主權作為立法目的之一;引入“關鍵資訊基礎設施”的概念,並對關鍵資訊基礎設施保護制定了一整套制度體系;還將監測預警和應急處置作為維護網路安全的重要內容專章進行了規定等。
草案規定了個人資訊保護的相關內容,劉多認為,這也是此次草案的亮點之一。
據她介紹,這方面內容包括要求網路運營者建立健全用戶資訊保護制度;要求網路運營者收集、使用個人資訊必須符合合法、正當、必要的原則,目的明確的原則,知情同意的原則等;同時還規定了對收集資訊的安全保密原則,洩露報告制度等。
此外,劉多説,草案還引入了刪除權和更正制度,規定了任何個人和組織不得竊取或者以其他非法方式獲取公民個人資訊,不得出售或者非法向他人提供公民個人資訊;同時還要求依法負有網路安全監督管理職責的部門,必須對在履行職責中知悉的公民個人資訊、隱私和商業秘密嚴格保密,不得洩露、出售或者非法向他人提供等。
針對刪除權,草案規定,公民發現網路運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人資訊的,有權要求網路運營者刪除其個人資訊;發現網路運營者收集、存儲的其個人資訊有錯誤的,有權要求網路運營者予以更正。
在罰則方面,草案也明確規定,如未能依法保護公民個人資訊,網路運營者最高可被處以50萬元罰款,甚至面臨停業整頓、關閉網站、撤銷相關業務許可或吊銷營業執照的處罰。
“此前都沒有這樣深度保障個人資訊安全的立法。”李欲曉認為,此次網路安全法明確了網路運營商、關鍵資訊基礎設施運營者、網路産品、服務的提供者等相關責任主體的法律責任,並有明確的處罰條例,是一大進步。
草案規定,在發生或者可能發生資訊洩露、毀損、丟失的情況時,應當立即採取補救措施,告知可能受到影響的用戶,並按照規定向有關主管部門報告。在中國社會科學院法學研究所研究員周漢華看來,這也是一種有力的懲罰措施。“通知會産生很高的成本,發生洩露問題也會對企業聲譽産生極大影響,這就倒逼企業必須提高資訊保護能力,確保不會出現用戶個人資訊的洩露。”
在周漢華看來,草案對個人資訊保護的強調,會對當下廣泛存在的個人資訊洩露問題有所改善。但他表示,未來還應該制定專門的個人資訊保護法,讓法律更好地發揮作用。
幾位受訪專家也期待,網路安全法的出臺只是第一步,未來還應該逐步建立一整套完善的網路安全法律體系。“網際網路影響著每個人的生活,只有健全的法律,才能讓每個人在虛擬世界也有安全感。”尹麗波説,“現在,只是一個開始。”
本報北京7月30日電