歷時兩年三審之后,11月7日,十二屆全國人大常委會第二十四次會議表決通過了《中華人民共和國網絡安全法(以下簡稱《網絡安全法》),并將自2017年6月1日起施行,將全社會對網絡安全的關注提到前所未有的新高度。
這部我國網絡安全領域的基礎性法律,在確立安全在整個信息系統建設中的核心和關鍵地位的同時,明確了基礎設施安全和個人信息安全兩個突出重點,對保護公眾個人信息安全,將起到積極作用,而從企業自發重視網絡安全上升到法律強制推行后,網絡安全相關產業市場空間也將迎來加速增長。
聚焦個人信息安全保護
《網絡安全法》聚焦個人信息泄露,明確網絡產品服務提供者、運營者的責任,嚴厲打擊出售販賣個人信息的行為,對保護公眾個人信息安全將起到積極作用。
個人信息的泄露是網絡詐騙泛濫的重要原因,今年以來輿論關注的山東兩名大學生遭電信詐騙死亡案、清華大學教授遭電信詐騙案,皆因個人信息泄露之后的精準詐騙造成。
警方近年查獲曝光的大量案件顯示,公民個人信息的泄露、收集、轉賣,已經形成了完整的黑灰產業鏈。據中國互聯網協會發布的《2016中國網民權益保護調查報告》顯示,84%的網民曾親身感受到由于個人信息泄露帶來的不良影響。
對此,《網絡安全法》作出專門規定:網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同意;網絡運營者不得泄露、篡改、毀損其收集的個人信息;任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或非法向他人提供個人信息,并規定了相應法律責任。
除嚴防個人信息泄露,《網絡安全法》針對層出不窮的新型網絡詐騙犯罪還規定:任何個人和組織不得設立用于實施詐騙,傳授犯罪方法,制作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通訊群組,不得利用網絡發布與實施詐騙,制作或者銷售違禁物品、管制物品以及其他違法犯罪活動的信息。
中國政法大學傳播法研究中心副主任朱巍表示,無論網絡詐騙花樣如何翻新,都是通過即時聊天工具、搜索平臺、網絡發布平臺、電子郵件等渠道實施和傳播的。這些規定,不僅對詐騙個人和組織起到震懾作用,更明確了互聯網企業不可推卸的責任。
“不得收集與其提供的服務無關的個人信息。”中國信息安全研究院副院長左曉棟表示,強調收集個人信息的邊界是這部法律的亮點之一,比如地圖導航軟件需要用戶的物理位置,這是功能性要求,可以滿足,但如果要用戶提供姓名和身份證號就屬于不必要了。
左曉棟認為,網絡安全法對個人信息保護提出了專業的要求,作為一個上位法,有助于今后制定相關管理條例和實施細則。而目前涉及電信網絡詐騙的個人信息保護等問題還分散于刑法等法規中,專家建議考慮出臺個人信息保護法,根治電信網絡詐騙。
對關鍵信息基礎設施重點保護
信息基礎設施的安全隱患具有很大的破壞性和殺傷力,《網絡安全法》在關鍵信息基礎設施的運行安全、建立網絡安全監測預警與應急處置制度等方面都作出了明確規定。
左曉棟表示,信息化的深入推進,使關鍵信息基礎設施成為社會運轉的神經系統。保護國家關鍵信息基礎設施是國際慣例,此次以法律的形式予以明確和強調,非常及時而且必要。
2014年國家網信辦曾披露的數據顯示,我國一直是網絡攻擊的受害國,每月有1萬多個網站被篡改,80%的政府網站受到過攻擊。
左曉棟表示,網絡空間的主權不僅包括對我國自己的關鍵信息基礎設施進行保護的權利,同時包括抵御外來侵犯的權利。“當今世界各國紛紛采取各種措施防范自己的網絡空間不受外來侵犯,采取一切手段包括軍事手段保護其信息基礎設施的安全。網絡安全法作出這一規定,不僅符合國際慣例,也表明了我們維護國家網絡主權的堅強決心。”
現實社會中,出現重大突發事件,為確保應急處置、維護國家和公眾安全,有關部門往往會采取交通管制等措施,網絡空間也不例外。
左曉棟認為,在當前全社會都普遍使用信息技術的情況下,網絡通信管制作為重大突發事件管制措施中的一種,重要性越來越突出。在暴恐事件中,恐怖分子越來越多地通過網絡進行組織、策劃、勾連、活動,這個時候可能就要對網絡通信進行管制。
《網絡安全法》提出,因維護國家安全和社會公共秩序,處置重大突發社會安全事件的需要,經國務院決定或者批準,可以在特定區域對網絡通信采取限制等臨時措施。
安全產業或將迎來高速增長
從企業自發重視到法律強制要求,在新技術變革以及政策強化的雙重驅動下,網絡安全產業將迎來高速增長。
作為我國領先的網絡安全基礎設施提供商,今年,中科曙光首次提出“安全大數據”概念,并率先推出了安全大數據相關解決方案,倡導構建以安全可控設備支撐的網絡設施安全,進一步確保網絡安全。
“這個法律的出臺是對技術和產品開發者的考驗,更是肅清‘網絡烏云’的重要標桿,對整個社會的信息化發展都具有促進作用,是中國互聯網發展的重要基石。”中科曙光總裁歷軍對科技日報記者說:“《網絡安全法》對當前我國網絡安全方面存在的熱點難點問題,都做出了明確規定,對減少網絡安全威脅、明確網絡安全管理標準、促進網絡安全技術和產品開發等都有重要意義。”
歷軍透露,曙光將以《網絡安全法》作為參考依據,向網絡安全領域大力投入研發資源。
國內相關產業迎來利好的同時,并不意味著國外的技術和標準將被限制。
國家互聯網信息辦公室網絡安全協調局局長趙澤良表示,現在的網絡安全問題已不局限于一個國家、一個地區的內部,它也不是哪一個國家所能單獨應對,網絡安全是各國面對的挑戰,我們需要各國共同合作、共同應對。從這個意義上講,《網絡安全法》也不是要限制國外的技術、產品,不是要搞貿易壁壘。
《網絡安全法》中提到推廣安全可信的技術產品,要開展網絡安全審查,也對我國的個人信息和重要數據的留存作出了規定。
“現在一些朋友特別是國外的朋友,只要我們一提安全可信、一提自主可控、安全可控,他們就認為‘安全可控、自主可控、安全可信’和貿易壁壘劃等號,這是一種誤解。”趙澤良表示,無論是自主可控、安全可控還是安全可信,基本含義是一致的,基本要求也是一致的,都不是要限制國外的技術和標準。