網絡安全問題引發社會公共利益和個人財產受損的案例層出不窮,于是通過立法手段解決問題便成了社會各界人士的深切希冀。自從十二屆全國人民代表大會常務委員會將制定網絡安全領域立法列入工作計劃以來,出臺一部網絡安全的專門法已是眾望所歸。2016年11月7日,全國人大常委會表決通過《中華人民共和國網絡安全法》(簡稱“網絡安全法”),網絡安全領域終于迎來了第一步框架性法律。
購物信息莫名泄露
河北省石家莊的劉女士在“雙11”期間遇到了一件令人不快的事情。和所有喜愛網上購物的人一樣,劉女士在11月11日于國美在線購買手機,付款當天晚上就有自稱是國美售后服務的人員聯系她。
“對方指出我的訂單付款人和收貨人不是同一人,準確說出了我的姓名和手機號甚至收貨地址,說訂單付款的鏈接失效了,需要申請退款,然后按照他給的鏈接重新付款”,劉女士這樣告訴《經濟》記者。
她表示,手機訂單付款人是本人,但因為工作時間問題,收貨人的信息填的丈夫。一般來說,這很正常,很多人網絡購物的時候,付款人和收貨人信息都不同,這也正是它方便所在。
看到劉女士保持警惕,對方又指出這個單子因為技術問題失效了,還是需要退款后重新交易。劉女士對《經濟》記者表示,因為擔心支付賬號被盜取,根本沒有相信對方的話,也沒有打開鏈接。“幸虧我有心理準備,因為之前有同事因為類似的套路被騙了幾千元錢,結果財物兩失,完全由自己承擔損失。”
劉女士的謹慎防止了個人財產損失的發生。不過,消費者因網購信息被泄露進而遭遇財產損失后的責任承擔,似乎一直是個不清不楚的問題。
“網購涉及很多環節,不管是國美在線這樣的商家自營官網,還是淘寶、京東這樣的網購平臺,每一個消費者的購物過程,實際上都受到不同層面的多重保護”,資深互聯網分析師馬繼華在接受《經濟》記者采訪時這樣說。
以淘寶為例,早在多年前,淘寶交易平臺就對數據庫、交易信息在加密技術上做了很充足的準備。因此馬繼華認為,網購過程中個人信息被泄露時,往往平臺數據庫被攻破或者黑客攔截交易信息的可能性并不大,而第三方如何竊取信息,只有通過公安機關調查才能得出結論。
而網絡信息泄露追責難,不僅難在責任落實上,也難在追查上。“退一步說,查出來是誰、通過什么方式竊取信息的,網絡運營商本身是否應該承擔責任呢,這又是另外一個問題。”畢竟,第三方能夠成功拿到信息,是不是就證明了網購平臺或者網絡運營者在信息保護上沒能盡到充足的義務。而在有些情況下,也不排除平臺內部員工參與盜取消費者個人信息的可能。
對此,網絡安全法在第四章中針對網絡運營者的責任進行了集中規定。按照該法,網絡運營者,即網絡所有者、管理者和網絡服務提供者,應建立健全用戶信息保護制度,合法使用個人信息,不經被收集者同意不能向他人提供個人信息,且應當采取技術措施和其他必要措施保證收集到的信息安全。若在上述問題上存在過錯,網絡運營者應依法承擔責任。
運營者需未雨綢繆
對于每一個消費者而言,明確網絡運營者的義務與責任絕對是個好消息,但對于企業來說,會不會無形中加重經營負擔呢?
“為了自身信息系統的安全而建立技術系統、配備相關人力資源對于企業的投入客觀上確實造成了一定成本壓力,但這種壓力不應該看成負擔,而是看作未雨綢繆才更合理”,盈科律師事務所股權合伙人葉庚清律師這樣對《經濟》記者強調。
中國互聯網的發展從1987年9月20日錢天白教授發出第一封E-mail開始,僅在30年的時間里就發展到如今規模,用戶的貢獻不可不說。葉庚清指出,對于互聯網企業價值的評估很大程度上取決于其用戶數量,而其核心財富也重點體現在用戶信息上。任何組織、單位、個人都不會漠視自身財富安全,包括信息安全,因此網絡運營者應該就個人信息保護付出心血,“包括我自己接觸的一些互聯網企業,并不會對這件事產生心理抵觸”,葉庚清這樣說。
他還對記者透露,網絡安全法是高票通過的,說明它本身已得到廣泛的社會擁護。這部法律不僅把個人信息保護提到了全新高度,契合了當前的網絡安全形勢,同時又可以促使公眾提高對自身信息安全的重視程度。不過他也認為,網絡安全法作為框架性法律,具有綱領性質,個人信息不會單純因一部法律就獲得足夠重視,“一定需要配套的制度與措施”。
這一點,從新法本身也能看到。網絡安全法多處提到“有關部門”、“行業組織”,可見立法機構也深知網絡安全不是一部基本法就可以保障的。不同行業、不同領域與機構,有必要結合自身情況設置更加細化的網絡安全機制與制度,形成完整的社會型網絡安全綜合體系。
所謂“三軍未動,糧草先行”。網絡安全法的公布時間為2016年11月7日,但生效時間在2017年6月1日。盡管很多法律的實施都需要給社會一個了解和熟悉的過程,但此次新法生效時間的確較長,不僅為網絡運營者提供了內部整改的機會,也為相關部門出臺配套措施、配備相關人員、制定相應制度預留了時間。
網絡安全舉足輕重
值得注意的是,網絡安全法在第五章中多次提到“網絡安全事件”。盡管其在第七章第七十六條中對“網絡安全”的概念給出了法律界定,同時明確了網絡安全法所指稱的網絡并非僅包括互聯網,也包括電信網絡、單位內部網絡等各種數據、信息存儲系統,卻并沒有就“網絡安全事件”進一步給出定義。
《經濟》記者查閱資料發現,目前國內并不存在一個單獨、專門的“網絡安全事件”概念。而一般情況下,基于網絡系統穩定、網絡信息安全及保密發生的具有較大影響力的事件,或者可能導致網絡系統不穩定、網絡信息數據不安全的破壞事件,都可以看作網絡安全事件。
以上述理解為基礎,今年發生的山東準大學生因電信詐騙致死、清華大學教授被騙賣房款、央視3·15晚會曝光的WIFI安全漏洞以及OpenSSL“水牢漏洞”都屬于這個范圍,產生了較大影響力,或造成了較嚴重后果。
可以說,新法出臺,對社會而言是一種規則,對國家而言是一種保障。
“國家首次以法律規范的形式對網絡信息和數據,尤其是私人信息做出制度保護,是前所未有的,這說明網絡空間已經繼海、陸、空、天后成為了國家的第五疆域,新法的頒布也體現了國家對網絡安全的高度重視,是一種國家層面的戰略部署”,西安電子科技大學網絡與信息安全學院副教授楊超這樣對《經濟》記者分析。
就在今年10月下旬,美國發生了一起規模極大的互聯網癱瘓事故,多個城市的主要網站被攻擊,包括推特、亞馬遜、Paypal等在內的大量知名網站數小時內無法正常訪問。媒體證實,美國東海岸多個城市,波士頓、紐約、洛杉磯等的互聯網全面宕機。
楊超指出,類似上述大規模的互聯網事故幾乎每年都會在不同地區、國家發生,沒有嚴重后果自然算作萬幸,可不少事故實際上伴隨人為因素,如果一個國家不具備足夠充分的網絡保護體系,民眾和社會就隨時面臨著巨大風險。
拋開大型安全事件,網絡信息泄露問題早就到了不治不行的地步。2015年開始,我國互聯網信息泄露問題就逐漸演變成高發態勢,據《2015年網絡詐騙犯罪數據研究報告》顯示,僅2011年至2014年年底已公開并證實的被泄露中國公民的個人信息就多達11.27億條。其中,2015年最為嚴重的信息泄露事件當屬同年4月份曝光的全國超過30個省份的社保系統高危漏洞,導致千萬人的社保信息“走光”,對國家和社會造成嚴重影響和危害。
在2016年11月中旬召開的第三屆世界互聯網大會上,360公司董事長周鴻祎也指出,在整個社會都構架于互聯網之上的時代,“沒有網絡安全就沒有國家安全”。楊超則告訴《經濟》記者,網絡安全早已成為國家安全戰略的重要部分,它需要政府、企業和整個社會的努力。
京公網安備 11010502049343號