網絡安全法有望深度保障個人信息安全

　　再過幾天，《網絡安全法》(草案)(以下簡稱“草案”)即將結束面向社會公開征求意見的程序。作為我國網絡安全領域的一部重要法案，不少人將它的發布視作一個里程碑。7章68條中，涵蓋了網絡設備設施安全、網絡運行安全、網絡數據安全、網絡信息安全等多方面內容，力度之大、范圍之廣前所未有。

　　特別值得注意的是，公民個人信息保護的相關內容在草案中得到強調，個人信息安全有望獲得更有力的法律保障。

　　因網絡個人信息泄露一年損失超800億元

　　公眾對個人信息安全的重視，源自一個個慘痛的教訓。

　　2014年3月，眾多媒體曝出攜程網“信用卡泄密門”。漏洞報告平臺烏云網發布消息稱，攜程將用于處理用戶支付的服務接口開啟了調試功能，使所有向銀行驗證持卡所有者接口傳輸的數據包均直接保存在本地服務器。但同時，因為保存支付日志的服務器未作較嚴格的基線安全配置，存在漏洞，導致所有支付過程中的調試信息可被駭客任意讀取。

　　這些可能被竊取的信息包括持卡人姓名、身份證號、銀行卡號、銀行卡CVV碼等，危害可想而知，這讓不少用戶心頭一緊。

　　類似的情況還發生在去年12月，中國鐵路客服中心12306網站發生信息泄露，大量用戶數據在互聯網上瘋傳，包括用戶賬號、明文密碼、身份證號碼、電子郵箱等。而早在幾年前，更有媒體曝出不少酒店開房記錄被流出。著名的“3Q”大戰更是引起國人對個人信息安全的關注。

　　一些數據對這一擔憂也有所印證。7月22日，在北京召開的中國網民權益保護論壇上，中國互聯網協會12321網絡不良與垃圾信息舉報受理中心發布了《中國網民權益保護調查報告(2015)》(以下簡稱“《報告》”)。《報告》顯示，在權益認知方面，網民普遍認為，在網絡上，隱私權是最重要的權益，其次是選擇權和知情權。近一年來，網民因個人信息泄露、垃圾信息、詐騙信息等現象導致的總體損失約805億元。

　　此外，《報告》還指出，網民被泄露的個人信息涵蓋的范圍也非常廣。78.2%的網民個人身份信息被泄露過，包括網民的姓名、學歷、家庭住址、身份證號及工作單位等；63.4%的網民個人網上活動信息被泄露過，包括通話記錄、網購記錄、網站瀏覽痕跡、IP地址、軟件使用痕跡及地理位置等。

82. 3%的網民表示親身感受到了個人信息被泄露對日常生活造成的影響。

　　“像騷擾電話、垃圾短信、垃圾郵件……這樣的東西太多了，幾乎每天都在發生。”北京郵電大學國際學院院長李欲曉說，“取證麻煩，維權又難，老百姓往往只能忍著。”

　　在李欲曉看來，個人信息泄露問題如此嚴重，原因是多方面的。“比如一些機構、企業在采集個人信息時范圍過寬，一旦發生泄露，情況就會比較嚴重。”此外，網絡服務提供者在個人信息保護的技術方面也存在問題，如果系統達不到很強的保護能力，就會出現泄露問題。再者，用戶個人也缺少自我保護意識，對互聯網傳播信息的廣泛性不夠重視，在申請一些服務時缺少保護意識，留下一些個人信息成了后患。

　　針對泄露個人信息發生的違法犯罪行為，李欲曉認為，處罰力度也不夠，同時，相關立法和管理也還不完善。“盡管也出現過因販賣個人信息觸犯刑法而被處罰的情況，但整體來講，打擊的力度還比較弱。”李欲曉說，這就造成一些人為獲得豐厚回報鋌而走險，“我國互聯網發展如此之快，立法必須跟上。”

　　互聯網高速發展急需專門法護航

　　近年來，各國網絡安全領域的立法也呈集中爆發之勢。中國信息通信研究院副院長劉多介紹說，形式上大致可分為“統一立法”和“分散立法”兩種。

　　“一些國家雖然沒有統一的網絡安全法，但是有國家層級的網絡安全戰略，如韓國、英國。”劉多介紹，美國國會多年來也一直試圖制定網絡安全法，出臺了多個相關法案。日本2014年11月出臺的《網絡安全基本法》是統一立法的典型代表，歐盟出臺的《網絡和信息安全指令》(草案)也是在網絡安全領域的統一立法。

　　“從立法內容上看，各國除了繼續對提高網絡安全技術水平、提高安全標準、加強安全教育等常規選項進行法律修訂之外，還對網絡監控和反恐、關鍵信息基礎設施保護、數據留存等相關議題進行專題立法，整體上呈現出‘攻防并舉’的立法思路。”劉多說。

　　她告訴中國青年報記者，我國也一向重視網絡安全的立法工作。比如，在刑法修正案中增加了關于網絡犯罪的條款，目前互聯網領域層次較高的兩部法律性文件——2000年頒布的《全國人大常委會關于維護網絡安全的決定》和2012年頒布的《全國人大常委會關于加強網絡信息保護的決定》——也都是針對網絡安全的。此外，工信部、公安部也針對通信網絡防護、互聯網安全等出臺了一些部門規章。

　　“但總體來看，這些立法層級較低，不能適應目前國際上網絡安全的嚴峻形勢和國內對網絡安全日益重視的發展趨勢。”劉多說。

　　工信部電子科學技術情報研究所總工尹麗波認為，條文分散、可操作性差也是現有法律法規存在的一個弊端。“很多都是散見在各個條文里，不夠系統”。此外，她還指出，對管理部門、網絡運營部門等主體的責任規定也不夠明確，一旦發生問題就容易出現相互推諉的情況。

　　受訪專家指出，如今，很多傳統領域的基礎設施都實現了信息化，如果網絡風險失控，后果不堪設想。

　　“所以，還是需要一部統籌各方、起到統領性作用，而且層級較高的統一立法，對網絡安全進行系統全面的規定。”劉多說。

　　草案引入刪除權和數據泄露通知制度是亮點

　　7月6日，中國人大網公布了草案全文，這部備受矚目的法案終于和公眾見面了。

　　“亮點很多。”劉多說，比如草案提出將維護網絡空間主權作為立法目的之一；引入“關鍵信息基礎設施”的概念，并對關鍵信息基礎設施保護制定了一整套制度體系；還將監測預警和應急處置作為維護網絡安全的重要內容專章進行了規定等。

　　草案規定了個人信息保護的相關內容，劉多認為，這也是此次草案的亮點之一。

　　據她介紹，這方面內容包括要求網絡運營者建立健全用戶信息保護制度；要求網絡運營者收集、使用個人信息必須符合合法、正當、必要的原則，目的明確的原則，知情同意的原則等；同時還規定了對收集信息的安全保密原則，泄露報告制度等。

　　此外，劉多說，草案還引入了刪除權和更正制度，規定了任何個人和組織不得竊取或者以其他非法方式獲取公民個人信息，不得出售或者非法向他人提供公民個人信息；同時還要求依法負有網絡安全監督管理職責的部門，必須對在履行職責中知悉的公民個人信息、隱私和商業秘密嚴格保密，不得泄露、出售或者非法向他人提供等。

　　針對刪除權，草案規定，公民發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息；發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。

　　在罰則方面，草案也明確規定，如未能依法保護公民個人信息，網絡運營者最高可被處以50萬元罰款，甚至面臨停業整頓、關閉網站、撤銷相關業務許可或吊銷營業執照的處罰。

　　“此前都沒有這樣深度保障個人信息安全的立法。”李欲曉認為，此次網絡安全法明確了網絡運營商、關鍵信息基礎設施運營者、網絡產品、服務的提供者等相關責任主體的法律責任，并有明確的處罰條例，是一大進步。

　　草案規定，在發生或者可能發生信息泄露、毀損、丟失的情況時，應當立即采取補救措施，告知可能受到影響的用戶，并按照規定向有關主管部門報告。在中國社會科學院法學研究所研究員周漢華看來，這也是一種有力的懲罰措施。“通知會產生很高的成本，發生泄露問題也會對企業聲譽產生極大影響，這就倒逼企業必須提高信息保護能力，確保不會出現用戶個人信息的泄露。”

　　在周漢華看來，草案對個人信息保護的強調，會對當下廣泛存在的個人信息泄露問題有所改善。但他表示，未來還應該制定專門的個人信息保護法，讓法律更好地發揮作用。

　　幾位受訪專家也期待，網絡安全法的出臺只是第一步，未來還應該逐步建立一整套完善的網絡安全法律體系。“互聯網影響著每個人的生活，只有健全的法律，才能讓每個人在虛擬世界也有安全感。”尹麗波說，“現在，只是一個開始。”