网络安全法“保护伞”
《网络安全法》通过
利剑 漫画 徐骏 作
十二届全国人大常委会第二十四次会议7日上午经表决,通过了《中华人民共和国网络安全法》。这是我国网络领域的基础性法律,明确加强对个人信息保护,打击网络诈骗。该法自2017年6月1日起施行。
据了解,网络安全法的出台先后经过了全国人大常委会的三次审议。2015年6月,十二届全国人大常委会第十五次会议对网络安全法草案进行了首次审议。今年6月,十二届全国人大常委会第二十一次会议对网络安全法草案进行了第二次审议。此次召开的十二届全国人大常委会第二十四次会议又进行了第三次审议。11月7日,会议以154票赞成、1票弃权,表决通过了网络安全法。
全国人大常委会法工委经济法室副主任杨合庆在当日举行的新闻发布会上介绍,网络安全法共有7章79条,内容上有6方面突出亮点:第一,明确了网络空间主权的原则;第二,明确了网络产品和服务提供者的安全义务;第三,明确了网络运营者的安全义务;第四,进一步完善了个人信息保护规则;第五,建立了关键信息基础设施安全保护制度;第六,确立了关键信息基础设施重要数据跨境传输的规则。
六大看点 作为我国网络安全领域的基础性法律,网络安全法从首次审议到最终通过,一直备受各界关注。这部法有哪些亮点?记者一一梳理。
看点1:不得出售个人信息 根据中国互联网协会发布的《2016中国网民权益保护调查报告》,84%的网民曾亲身感受到由于个人信息泄露带来的不良影响。从2015年下半年到今年上半年的一年间,我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失高达915亿元。近年来,警方查获曝光的大量案件显示,公民个人信息的泄露、收集、转卖,已经形成了完整的黑色产业链。
网络安全法作出专门规定:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息,并规定了相应法律责任。
中国传媒大学网络法与知识产权研究中心主任王四新表示,网络安全法作为网络领域的基础性法律聚焦个人信息泄露,不仅明确了网络产品服务提供者、运营者的责任,而且严厉打击出售贩卖个人信息的行为,对于保护公众个人信息安全,将起到积极作用。
看点2:严厉打击网络诈骗 个人信息的泄露是网络诈骗泛滥的重要原因。诈骗分子通过非法手段获取个人信息,包括姓名、电话、家庭住址等详细信息后,再实施精准诈骗,令人防不胜防。今年以来舆论关注的山东两名大学生遭电信诈骗死亡案、清华大学教授遭电信诈骗案,都是因为信息泄露之后的精准诈骗造成。
除了严防个人信息泄露,网络安全法针对层出不穷的新型网络诈骗犯罪还规定:任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布与实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
中国政法大学传播法研究中心副主任朱巍表示,无论网络诈骗花样如何翻新,都是通过即时聊天工具、搜索平台、网络发布平台、电子邮件等渠道实施和传播的。这些规定,不仅对诈骗个人和组织起到震慑作用,更明确了互联网企业不可推卸的责任。
看点3:以法律形式明确网络实名制 垃圾评论充斥论坛,一言不合就恶意辱骂,更有甚者唯恐天下不乱传播制造谣言一段时间以来,种种乱象充斥着虚拟的网络空间。随着网络实名制概念的提出,有人拍手称快,也有人表示担忧。
网络安全法以法律的形式对网络实名制作出规定:网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
王四新表示,网络是虚拟的,但使用网络的人是真实的。事实上,现在很多网络平台都开始实行前台资源、后台实名的原则,让每个人使用互联网时,既有隐私,也增强责任意识和自我约束。这一规定能否落到实处的关键在于,网络服务提供商要落实主体责任,加强审核把关。
看点4:重点保护关键信息基础设施 物理隔离防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取这些信息基础设施的安全隐患,不出问题则已,一出就可能导致交通中断、金融紊乱、电力瘫痪等问题,具有很大的破坏性和杀伤力。
网络安全法专门单列一节,对关键信息基础设施的运行安全进行明确规定,指出国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施实行重点保护。
中国信息安全研究院副院长左晓栋表示,信息化的深入推进,使关键信息基础设施成为社会运转的神经系统。保障这些关键信息系统的安全,不仅仅是保护经济安全,更是保护社会安全、公共安全乃至国家安全。保护国家关键信息基础设施是国际惯例,此次以法律的形式予以明确和强调,非常及时而且必要。
看点5:惩治攻击破坏我国关键信息基础设施的境外组织和个人 2014年国家网信办曾披露数据显示,我国一直是网络攻击的受害国,每个月有1万多个网站被篡改,80%的政府网站受到过攻击,这些网络攻击主要来自美国。
网络安全法规定,境外的个人或者组织从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该个人或者组织采取冻结财产或者其他必要的制裁措施。
左晓栋表示,网络空间的主权不仅包括对我国自己的关键信息基础设施进行保护的权利,同时包括抵御外来侵犯的权利。当今世界各国纷纷采取各种措施防范自己的网络空间不受外来侵犯,采取一切手段包括军事手段保护其信息基础设施的安全。网络安全法作出这一规定,不仅符合国际惯例,而且表明了我们维护国家网络主权的坚强决心。
看点6:重大突发事件可采取网络通信管制 现实社会中,出现重大突发事件,为确保应急处置、维护国家和公众安全,有关部门往往会采取交通管制等措施。网络空间也不例外。
网络安全法中,对建立网络安全监测预警与应急处置制度专门列出一章作出规定,明确了发生网络安全事件时,有关部门需要采取的措施。特别规定:因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。
左晓栋认为,在当前全社会都普遍使用信息技术的情况下,网络通信管制作为重大突发事件管制措施中的一种,重要性越来越突出。
比如在暴恐事件中,恐怖分子越来越多地通过网络进行组织、策划、勾连、活动,这个时候可能就要对网络通信进行管制。但是这种管制影响是比较大的,因此网络安全法规定实施临时网络管制要经过国务院决定或者批准,这是非常严谨的。
遏制网络诈骗四大焦点 如何避免徐玉玉悲剧的发生? 全国人大常委会7日表决通过网络安全法。三审稿特别增加了惩治网络诈骗的有关规定。
今年以来,徐玉玉案等一系列电信网络诈骗案引发社会广泛关注。网络安全法如何从立法层面上回应公众关切,遏制网络诈骗的蔓延?
焦点1:如何规范个人信息收集行为? 保护用户权益并确立边界 ■法律规定 网络安全法第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
■背景 中国互联网协会发布的《2016中国网民权益保护调查报告》显示,从2015年下半年到今年上半年的一年间,我国网民因诈骗信息、个人信息泄露等遭受的经济损失高达915亿元,人均133元。
网络诈骗的源头,首先是收集个人信息门槛很低。北京数字认证股份有限公司总经理詹榜华认为,网上购物、发邮件、买房、求学等行为会不经意出卖自己的姓名、身份证号、电话、住址等个人信息。网络诈骗的发生,一般会经历个人信息被收集、遭泄露、被买卖、最后被不法分子实施诈骗等环节。
■专家解读 中国社科院法学所研究员周汉华说,新出台的网络安全法强调网络运营者要对收集的用户信息严格保密。一定程度上确定了被遗忘权,也就是说网络运营者收集了我的信息,我有权要求他删除或者是更正,这是很大的一个进步。
中国信息安全研究院副院长左晓栋说,法律中的一个亮点是强调了收集个人信息的边界,不得收集与其提供的服务无关的个人信息,比如地图导航软件需要用户的物理位置,这是功能性要求,可以满足;但如果要用户提供姓名和身份证号,就属于不必要了。
焦点2:如何斩断信息买卖利益链? 未经同意提供、出售个人信息违法 ■法律规定 第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。
第四十四条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
■背景 11月6日,记者通过聊天软件添加了网名叫信息的网友,他的个人签名里写着出售全国孕妇、新生儿联系方式,线上线下销售利器,详谈。记者提出购买一些新生儿的信息,信息表示,自己有几十万条此类信息,新生儿信息包含生日和家长电话,北京地区的一块钱一条,济南市五毛钱一条。
■专家解读 有利可图,有买就有卖,要堵住这个漏洞,只能依靠法律。左晓栋认为,网络安全法对个人信息保护提出了专业的要求,加大了保护力度。作为一个上位法,有助于今后制定相关管理条例和实施细则。
周汉华表示,针对徐玉玉案这类典型的电信网络诈骗案件,草案在三审时加入了不得设立用于实施诈骗等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗等内容。
焦点3:个人信息泄露如何补救? 运营者要告知并报告 ■法律规定 第四十二条规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
■背景 刚登记房屋业主信息,各种租房、装修等电话随即而至;网上平台购买机票、商品,下单付款后就收到改签、取消等诈骗短信。各类网络电信骚扰、诈骗,令人不堪其扰,防不胜防。
各类网络诈骗,尤其是精准诈骗,源头都是个人信息泄露。山东大学生徐玉玉被骗猝死案件中,不法分子作案是攻击山东高考网上报名信息系统,植入木马病毒,盗取大量考生报名信息。
■专家解读 中科院信息工程研究所副所长荆继武说,政府部门与市场机构一旦出现安全漏洞或者内鬼盗取,容易造成大量个人信息泄露。不少人在对个人信息已泄露毫不知情状态下,听到不法分子准确说出其姓名、住址等个人信息,就极易听信被骗。
周汉华等专家表示,网络安全法中首次明确个人信息数据泄露通知制度,使当前个人信息泄露无法彻底杜绝的情况下,能够通过告知可能受到影响的用户,增强用户对相关诈骗行为的警惕性。这也将倒逼相关机构提高网络安全防护能力,降低个人信息泄露风险。
焦点4:如何对网络诈骗溯源追责? 重罚甚至吊销执照 ■法律规定 第六十四条规定,网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
■背景 今年1至9月,全国公安机关共破获电信网络诈骗案件7.7万起,查处违法犯罪人员4.3万名,同比上升2.3倍,收缴赃款、赃物价值人民币23.4亿元,为群众避免损失47.5亿元。
一位基层公安办案人员介绍,网络电信诈骗犯罪成本低,团伙老板租一个小办公室,准备几台电话和电脑,花几百元买来个人资料,雇几个业务员,就能实施诈骗。在实践中,电信诈骗类案件常会出现涉案金额大、认定金额低的情况,难以做到罪刑相等。
■专家解读 中国人民大学法学院教授刘俊海表示,网络安全法对哪些网络行为应当受到处罚进行了规范,尤其是强调了网络运营者等维护个人信息安全的主体责任,除了罚款,关闭网站、吊销执照的威慑力更大。
专家建议,目前涉及电信网络诈骗的个人信息保护等问题还分散于刑法等法规中,建议考虑出台个人信息保护法,根治电信网络诈骗。(综合新华社报道 本版图片均为新华社发)
评论 网络安全法是护身符非紧箍咒 十二届全国人大常委会第二十四次会议7日表决通过《中华人民共和国网络安全法》,在保护个人信息、治理网络诈骗、保护关键信息基础设施、网络实名制等方面作出明确规定,并划出了网络世界里不可触碰的红线。网络安全法的根本目的是构建良好网络秩序,保护公民、法人和其他组织的合法权益,是护身符而非紧箍咒。
我国有7亿多网民。在网络空间里,缺乏法规和秩序而造成的问题层出不穷。没有网络安全就没有国家安全,没有网络安全网民的合法权益也难以保障。网络空间的清朗,必须用法律来保障。网络安全法正是为公众普遍关注的一系列网络安全问题,勾画了基本的制度框架。
此次立法,网络通信管制网络实名制等规定也引起了人们热议。也有人认为,网络应是自由的世界。其实,自由是秩序的目的,秩序是自由的保障。这些规定恰恰体现了自由和秩序的辩证统一。网络安全法规定,只有在因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要时,才会采取限网措施,为的是保障国家和公众的安全。网络实名制也是为了防范网络诈骗,清理用网络传播黄赌毒等信息,让公民在网络上更谨慎、更负责任。
搭建完善的网络安全保护制度,明确政府企业和个体各方的权利和义务,只会给在网络世界里的违法犯罪行为加以限制,让广大网民的合法权益获得更好保护。因此,网络安全法不是紧箍咒,而是护身符。只要遵循规则,把守秩序化为习惯,不踩法律红线,就能享受到法律所保护的自由空间。