6月1日起，《中華人民共和國網絡安全法》正式施行，作為我國網絡安全治理領域的基礎性立法，首次在法律層面規定了個人信息保護的基本原則，明確指出，收集適用信息應經用戶明示同意，不得收集無關信息，不得向他人提供個人信息，經過處理無法識別特定個人且不能復原的除外，不得非法出售個人信息。

解讀《網絡安全法》 分析互聯網信息泄露來龍去脈

84%網民遭遇信息泄露 你中獎了嗎？

所謂個人信息包括兩類，一類是姓名、住址等基本信息；另一類是賬戶、密碼等交易類信息。隨著互聯網應用的普及和人們對互聯網的依賴，互聯網的安全問題也日益凸顯。惡意程序、各類釣魚和欺詐繼續保持高速增長，同時黑客攻擊和大規模的個人信息泄露事件頻發，與各種網絡攻擊大幅增長相伴的，是大量網民個人信息的泄露與財產損失的不斷增加。

而在電商領域，由于用戶在各大電商網站注冊、購物導致的個人信息泄露事件時有發生，據“中國電子商務投訴與維權公共平臺”受理的來自全國各地用戶投訴案例顯示，包括小紅書、達令、當當網、攜程在內的多家電商平臺用戶投訴比較集中，反映這些平臺個人信息泄露問題較為突出。

據中國電子商務研究中心(100EC.CN)此前對1000位用戶在線調查顯示，21.7%的用戶曾因網購、論壇、微信等遭遇過信息泄露，并且11.2%的用戶接到過疑似的詐騙電話；56.8%的用戶表示對互聯網信息安全擔憂，并會對需要填寫個人信息的互聯網游戲，注冊等保留一定的戒心，而仍有43.2%的用戶認為互聯網信息泄露與個人無關，不太關注。

據中國電子商務投訴與維權公共服務平臺近年來接到的類似用戶投訴案例表明，近年來互聯網/電商行業“泄密”事件頻頻出現，其重大典型的包括：5173中國網絡服務網數次被“盜錢”、當當網多次用戶賬戶遭盜刷、“1號店”員工內外勾結泄露客戶信息、支付寶漏洞致用戶信息泄露、如家、七天開房信息泄密、騰訊7000多萬QQ群遭泄露、攜程技術漏洞導致用戶個人信息、銀行卡信息等泄露、微信朋友圈小游戲竊取用戶信息、快遞單販賣成“灰色產業鏈”、小米“泄密門”800萬用戶信息泄露、13萬12306用戶信息外泄事件等。

另據中國互聯網協會《中國網民權益保護調查報告2016》顯示，近一年的時間，國內6.88億網民因垃圾短信、詐騙信息、個人信息泄露等造成的經濟損失估算達915億元。54%的網民認為個人信息泄露情況嚴重，84%的網民曾親身感受到因個人信息泄露帶來的不良影響。

據中國電子商務研究中心(100EC.CN)監測諸多案例獲悉，絕大多數新型的網絡騙術都與個人信息的泄漏有關，他們或者是充分利用已經竊取到的受害者個人信息實施網絡詐騙，或者就是以受害者的個人信息為網絡詐騙的攻擊目標，個人信息的非法交易也恰恰是造成網絡詐騙犯罪泛濫的根本原因。

《網絡安全法》帶來的十大要點

中國電子商務研究中心特約研究員、上海漢盛律師事務所高級合伙人李旻律師認為：《網絡安全法》有十大要點。

《網絡安全法》的頒布，其立法本意是要在我國領域內推廣“安全可控”的產品和服務。“安全可控”包含著三方面的意思，首先，在于“產品的安全可控”，即禁止網絡服務提供者通過網絡非法控制和操縱用戶設備，損害用戶對設備和系統的控制權；其次，在于“數據的自主可控”，即禁止網絡服務提供者利用提供產品或服務的便利條件非法獲取用戶重要數據，損害用戶對自己數據的控制權；第三，在于“用戶的選擇可控”，即禁止服務提供者利用用戶對其產品和服務的依賴性，限制用戶選擇使用其他產品和服務，損害用戶的網絡安全和利益。

要點一：網絡空間主權原則制度。《網絡安全法》前所未有的提出了網絡空間主權概念，豐富了我國享有的主權范圍，其將網絡空間主權視為是我國國家主權在網絡空間中的自然延伸和表現。將網絡空間的概念上升為國家主權，更有利于保障我國合法網絡權益不受他國或國外組織的侵害。一切在我國網絡空間領域內非法入侵、竊取、破壞計算機及其他服務設備或提供相關技術的行為，都將被視作是侵害我國國家主權的行為。

要點二：網絡安全等級保護制度。《網絡安全法》確立的網絡安全等級保護制度將網絡安全分為五個等級，隨著級別的增高，國家信息安全監管部門介入的強度越大，以此對信息系統安全保護起到監督和檢查。

要點三：實名認證制度。《網絡安全法》規定了網絡服務經營者、提供者及其他主體在與用戶簽訂協議或者確認提供服務時應當采取實名認證制度，包括但不限于網絡接入、域名注冊、入網手續辦理、為用戶提供信息發布、即時通訊等服務。實務中，這一制度靈活性及可操作性較強，可采取前臺匿名，后臺實名的方式進行。但是，實名認證的工作必須落實到位，若不實行網絡實名制的，則最高可對平臺處以50萬元的罰款。

要點四：關鍵信息基礎設施運營者采購網絡產品、服務的安全審查制度。《網絡安全法》對提高我國關鍵信息基礎設施安全可控水平提出了相關法律要求，并配套相繼出臺了《網絡產品和服務安全審查辦法(試行)》(該《辦法》與《網絡安全法》均于2017年6月1日起生效)，明確了關系國家安全的網絡和信息系統采購的重要網絡產品和服務，對網絡產品和服務的安全性、可控性應當經過網絡安全審查。涉及國家安全、軍事領域等產品及服務的采購，若可能影響國家安全的，應當經過國家安全審查。

要點五：安全認證檢測制度。針對網絡關鍵設備和網絡安全專用產品，《網絡安全法》規定應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。

要點六：重要數據強制本地存儲制度。該制度主要調整的是關鍵信息基礎設施運營者在搜集個人信息重要數據的合法性問題，規定了需要強制在本地進行數據存儲。

要點七：境外數據傳輸審查評估制度。本地存儲的數據若確屬需要數據轉移出境的，需要同時滿足以下條件：1、經過安全評估認為不會危害國家安全和社會公共利益的；2、經個人信息主體同意的。另外，該制度還規定了一些法律擬制的情況，比如撥打國際電話、發送國際電子郵件、通過互聯網跨境購物以及其他個人主動行為，均可視為已經取得了個人信息主體同意。

要點八：個人信息保護制度。《網絡安全法》在如何更好的對個人信息進行保護這一問題上有了相當大的突破。它確立了網絡運營者在收集、使用個人信息過程中的合法、正當、必要原則。形式上，進一步要求通過公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，經被收集者同意后方可收集和使用數據。另一方面，《網絡安全法》加大了對網絡詐騙等不法行為的打擊力度，特別對網絡詐騙嚴厲打擊的相關內容，切中了個人信息泄露亂象的要害，充分體現了保護公民合法權利的立法原則。

要點九：個人信息流通制度。針對目前個人信息非法買賣、非法分享的社會亂象，《網絡安全法》給出了一記重拳。規定了未經被收集者同意，網絡運營者不得泄露、篡改、毀損其收集的個人信息的義務。但是，經過處理無法識別特定個人且不能復原的不在此列。這樣的規定即杜絕了個人信息數據被非法濫用，又不影響網絡經營者及管理者由于自身企業發展需要所面臨的大數據分析問題。

要點十：網絡通信管制制度。網絡通信管制制度的確立目的是在發生重大事件的情況下，通過賦予政府行政介入的權力，犧牲部分通信自由權，來維護國家安全和社會公共秩序的制度。該做法是國際通行做法，例如在發生暴恐事件中，可切斷不法分子的通聯渠道，避免事態進一步惡化，保障用戶的合法權益，維護社會穩定。但是這種管制影響是比較大的，因此《網絡安全法》嚴謹地規定實施臨時網絡管制，需要經過國務院決定或者批準。一般來說，網絡通信管制制度的實施是短時性的，一旦事件處置結束，政府會立即恢復正常通信，以盡可能小的對個人通信帶來不便。