再過幾天，《網(wǎng)絡(luò)安全法》（草案）（以下簡稱“草案”）即將結(jié)束面向社會公開征求意見的程序。作為我國網(wǎng)絡(luò)安全領(lǐng)域的一部重要法案，不少人將它的發(fā)布視作一個里程碑。7章68條中，涵蓋了網(wǎng)絡(luò)設(shè)備設(shè)施安全、網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)數(shù)據(jù)安全、網(wǎng)絡(luò)信息安全等多方面內(nèi)容，力度之大、范圍之廣前所未有。

特別值得注意的是，公民個人信息保護(hù)的相關(guān)內(nèi)容在草案中得到強(qiáng)調(diào)，個人信息安全有望獲得更有力的法律保障。

因網(wǎng)絡(luò)個人信息泄露一年損失超800億元

公眾對個人信息安全的重視，源自一個個慘痛的教訓(xùn)。

2014年3月，眾多媒體曝出攜程網(wǎng)“信用卡泄密門”。漏洞報告平臺烏云網(wǎng)發(fā)布消息稱，攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能，使所有向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。但同時，因?yàn)楸４嬷Ц度罩镜姆?wù)器未作較嚴(yán)格的基線安全配置，存在漏洞，導(dǎo)致所有支付過程中的調(diào)試信息可被駭客任意讀取。

這些可能被竊取的信息包括持卡人姓名、身份證號、銀行卡號、銀行卡CVV碼等，危害可想而知，這讓不少用戶心頭一緊。

類似的情況還發(fā)生在去年12月，中國鐵路客服中心12306網(wǎng)站發(fā)生信息泄露，大量用戶數(shù)據(jù)在互聯(lián)網(wǎng)上瘋傳，包括用戶賬號、明文密碼、身份證號碼、電子郵箱等。而早在幾年前，更有媒體曝出不少酒店開房記錄被流出。著名的“3Q”大戰(zhàn)更是引起國人對個人信息安全的關(guān)注。

一些數(shù)據(jù)對這一擔(dān)憂也有所印證。7月22日，在北京召開的中國網(wǎng)民權(quán)益保護(hù)論壇上，中國互聯(lián)網(wǎng)協(xié)會12321網(wǎng)絡(luò)不良與垃圾信息舉報受理中心發(fā)布了《中國網(wǎng)民權(quán)益保護(hù)調(diào)查報告(2015)》(以下簡稱“《報告》”)。《報告》顯示，在權(quán)益認(rèn)知方面，網(wǎng)民普遍認(rèn)為，在網(wǎng)絡(luò)上，隱私權(quán)是最重要的權(quán)益，其次是選擇權(quán)和知情權(quán)。近一年來，網(wǎng)民因個人信息泄露、垃圾信息、詐騙信息等現(xiàn)象導(dǎo)致的總體損失約805億元。

此外，《報告》還指出，網(wǎng)民被泄露的個人信息涵蓋的范圍也非常廣。78.2%的網(wǎng)民個人身份信息被泄露過，包括網(wǎng)民的姓名、學(xué)歷、家庭住址、身份證號及工作單位等；63.4%的網(wǎng)民個人網(wǎng)上活動信息被泄露過，包括通話記錄、網(wǎng)購記錄、網(wǎng)站瀏覽痕跡、IP地址、軟件使用痕跡及地理位置等。

82.3%的網(wǎng)民表示親身感受到了個人信息被泄露對日常生活造成的影響。

“像騷擾電話、垃圾短信、垃圾郵件……這樣的東西太多了，幾乎每天都在發(fā)生。”北京郵電大學(xué)國際學(xué)院院長李欲曉說，“取證麻煩，維權(quán)又難，老百姓往往只能忍著。”

在李欲曉看來，個人信息泄露問題如此嚴(yán)重，原因是多方面的。“比如一些機(jī)構(gòu)、企業(yè)在采集個人信息時范圍過寬，一旦發(fā)生泄露，情況就會比較嚴(yán)重。”此外，網(wǎng)絡(luò)服務(wù)提供者在個人信息保護(hù)的技術(shù)方面也存在問題，如果系統(tǒng)達(dá)不到很強(qiáng)的保護(hù)能力，就會出現(xiàn)泄露問題。再者，用戶個人也缺少自我保護(hù)意識，對互聯(lián)網(wǎng)傳播信息的廣泛性不夠重視，在申請一些服務(wù)時缺少保護(hù)意識，留下一些個人信息成了后患。

針對泄露個人信息發(fā)生的違法犯罪行為，李欲曉認(rèn)為，處罰力度也不夠，同時，相關(guān)立法和管理也還不完善。“盡管也出現(xiàn)過因販賣個人信息觸犯刑法而被處罰的情況，但整體來講，打擊的力度還比較弱。”李欲曉說，這就造成一些人為獲得豐厚回報鋌而走險，“我國互聯(lián)網(wǎng)發(fā)展如此之快，立法必須跟上。”

互聯(lián)網(wǎng)高速發(fā)展急需專門法護(hù)航

近年來，各國網(wǎng)絡(luò)安全領(lǐng)域的立法也呈集中爆發(fā)之勢。中國信息通信研究院副院長劉多介紹說，形式上大致可分為“統(tǒng)一立法”和“分散立法”兩種。

“一些國家雖然沒有統(tǒng)一的網(wǎng)絡(luò)安全法，但是有國家層級的網(wǎng)絡(luò)安全戰(zhàn)略，如韓國、英國。”劉多介紹，美國國會多年來也一直試圖制定網(wǎng)絡(luò)安全法，出臺了多個相關(guān)法案。日本2014年11月出臺的《網(wǎng)絡(luò)安全基本法》是統(tǒng)一立法的典型代表，歐盟出臺的《網(wǎng)絡(luò)和信息安全指令》（草案）也是在網(wǎng)絡(luò)安全領(lǐng)域的統(tǒng)一立法。

“從立法內(nèi)容上看，各國除了繼續(xù)對提高網(wǎng)絡(luò)安全技術(shù)水平、提高安全標(biāo)準(zhǔn)、加強(qiáng)安全教育等常規(guī)選項(xiàng)進(jìn)行法律修訂之外，還對網(wǎng)絡(luò)監(jiān)控和反恐、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、數(shù)據(jù)留存等相關(guān)議題進(jìn)行專題立法，整體上呈現(xiàn)出‘攻防并舉’的立法思路。”劉多說。

她告訴中國青年報記者，我國也一向重視網(wǎng)絡(luò)安全的立法工作。比如，在刑法修正案中增加了關(guān)于網(wǎng)絡(luò)犯罪的條款，目前互聯(lián)網(wǎng)領(lǐng)域?qū)哟屋^高的兩部法律性文件——2000年頒布的《全國人大常委會關(guān)于維護(hù)網(wǎng)絡(luò)安全的決定》和2012年頒布的《全國人大常委會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》——也都是針對網(wǎng)絡(luò)安全的。此外，工信部、公安部也針對通信網(wǎng)絡(luò)防護(hù)、互聯(lián)網(wǎng)安全等出臺了一些部門規(guī)章。

“但總體來看，這些立法層級較低，不能適應(yīng)目前國際上網(wǎng)絡(luò)安全的嚴(yán)峻形勢和國內(nèi)對網(wǎng)絡(luò)安全日益重視的發(fā)展趨勢。”劉多說。

工信部電子科學(xué)技術(shù)情報研究所總工尹麗波認(rèn)為，條文分散、可操作性差也是現(xiàn)有法律法規(guī)存在的一個弊端。“很多都是散見在各個條文里，不夠系統(tǒng)”。此外，她還指出，對管理部門、網(wǎng)絡(luò)運(yùn)營部門等主體的責(zé)任規(guī)定也不夠明確，一旦發(fā)生問題就容易出現(xiàn)相互推諉的情況。

受訪專家指出，如今，很多傳統(tǒng)領(lǐng)域的基礎(chǔ)設(shè)施都實(shí)現(xiàn)了信息化，如果網(wǎng)絡(luò)風(fēng)險失控，后果不堪設(shè)想。

“所以，還是需要一部統(tǒng)籌各方、起到統(tǒng)領(lǐng)性作用，而且層級較高的統(tǒng)一立法，對網(wǎng)絡(luò)安全進(jìn)行系統(tǒng)全面的規(guī)定。”劉多說。

草案引入刪除權(quán)和數(shù)據(jù)泄露通知制度是亮點(diǎn)

7月6日，中國人大網(wǎng)公布了草案全文，這部備受矚目的法案終于和公眾見面了。

“亮點(diǎn)很多。”劉多說，比如草案提出將維護(hù)網(wǎng)絡(luò)空間主權(quán)作為立法目的之一；引入“關(guān)鍵信息基礎(chǔ)設(shè)施”的概念，并對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制定了一整套制度體系；還將監(jiān)測預(yù)警和應(yīng)急處置作為維護(hù)網(wǎng)絡(luò)安全的重要內(nèi)容專章進(jìn)行了規(guī)定等。

草案規(guī)定了個人信息保護(hù)的相關(guān)內(nèi)容，劉多認(rèn)為，這也是此次草案的亮點(diǎn)之一。

據(jù)她介紹，這方面內(nèi)容包括要求網(wǎng)絡(luò)運(yùn)營者建立健全用戶信息保護(hù)制度；要求網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息必須符合合法、正當(dāng)、必要的原則，目的明確的原則，知情同意的原則等；同時還規(guī)定了對收集信息的安全保密原則，泄露報告制度等。

此外，劉多說，草案還引入了刪除權(quán)和更正制度，規(guī)定了任何個人和組織不得竊取或者以其他非法方式獲取公民個人信息，不得出售或者非法向他人提供公民個人信息；同時還要求依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門，必須對在履行職責(zé)中知悉的公民個人信息、隱私和商業(yè)秘密嚴(yán)格保密，不得泄露、出售或者非法向他人提供等。

針對刪除權(quán)，草案規(guī)定，公民發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除其個人信息；發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集、存儲的其個人信息有錯誤的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正。

在罰則方面，草案也明確規(guī)定，如未能依法保護(hù)公民個人信息，網(wǎng)絡(luò)運(yùn)營者最高可被處以50萬元罰款，甚至面臨停業(yè)整頓、關(guān)閉網(wǎng)站、撤銷相關(guān)業(yè)務(wù)許可或吊銷營業(yè)執(zhí)照的處罰。

“此前都沒有這樣深度保障個人信息安全的立法。”李欲曉認(rèn)為，此次網(wǎng)絡(luò)安全法明確了網(wǎng)絡(luò)運(yùn)營商、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者等相關(guān)責(zé)任主體的法律責(zé)任，并有明確的處罰條例，是一大進(jìn)步。

草案規(guī)定，在發(fā)生或者可能發(fā)生信息泄露、毀損、丟失的情況時，應(yīng)當(dāng)立即采取補(bǔ)救措施，告知可能受到影響的用戶，并按照規(guī)定向有關(guān)主管部門報告。在中國社會科學(xué)院法學(xué)研究所研究員周漢華看來，這也是一種有力的懲罰措施。“通知會產(chǎn)生很高的成本，發(fā)生泄露問題也會對企業(yè)聲譽(yù)產(chǎn)生極大影響，這就倒逼企業(yè)必須提高信息保護(hù)能力，確保不會出現(xiàn)用戶個人信息的泄露。”

在周漢華看來，草案對個人信息保護(hù)的強(qiáng)調(diào)，會對當(dāng)下廣泛存在的個人信息泄露問題有所改善。但他表示，未來還應(yīng)該制定專門的個人信息保護(hù)法，讓法律更好地發(fā)揮作用。

幾位受訪專家也期待，網(wǎng)絡(luò)安全法的出臺只是第一步，未來還應(yīng)該逐步建立一整套完善的網(wǎng)絡(luò)安全法律體系。“互聯(lián)網(wǎng)影響著每個人的生活，只有健全的法律，才能讓每個人在虛擬世界也有安全感。”尹麗波說，“現(xiàn)在，只是一個開始。”