還有不少受訪者反映:1.在發現本人信息被泄露或被濫用后,舉報難、投訴難、立案難的現象普遍;2.當前免費應用程序過度收集用戶信息、侵犯個人隱私的現象普遍。
南都訊 12月24日,全國人大常委會副委員長王勝俊就《中華人民共和國網絡安全法》和《全國人民代表大會常務委員會關于加強網絡信息保護的決定》(以下簡稱“一法一決定”)的實施情況作報告。
全國人大常委會執法檢查組于今年8月至10月就“一法一決定”進行了執法檢查。這距離網絡安全法實施尚不滿3個月,在全國人大常委會監督工作中亦屬罕見。
據介紹,此次執法檢查采用民意調查、臨時抽查等新方法,發現了關鍵信息基礎設施運營安全防護不足、用戶個人信息保護制度落實不理想、網絡安全監管多頭管理問題突出等現象。
A
120個關鍵信息基礎設施
累計發現30個安全漏洞
中共中央總書記習近平曾在網絡安全與信息化工作座談會上指出,金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重,也是可能遭到重點攻擊的目標。
網安法第三章第二節“關鍵信息基礎設施的運行安全”,在我國立法中首次明確規定了關鍵信息基礎設施的定義和具體保護措施。目前全行業共確定了11590個關鍵網絡設施和重要信息系統。
但檢查組發現,許多關鍵信息基礎設施運營單位認為網絡攻擊只是小概率事件,不愿意在安全防護方面進行必要投入。不少地方政府和部門領導只是口頭上重視,“說起來重要,干起來次要,忙起來不要”。
檢查組委托中國信息安全測評中心隨機選取120個關鍵信息基礎設施進行了遠程滲透測試和漏洞掃描,累計發現30個安全漏洞,包括高危漏洞13個。其中,某省級部門互聯網監管綜合平臺的漏洞可越權上傳、越權下載、越權刪除文件,嚴重威脅了系統及服務器安全。多個設區的市政府門戶網站存在頁面被篡改風險。
網安法第三章第二十一條規定,網絡運營者應采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月。檢查組現場抽查時發現,許多單位沒有依法留存網絡日志。有些單位的內網系統沒有部署任何安全防護措施,長期不進行漏洞掃描,存在重大網絡安全隱患。
針對這些情況,檢查組提出,要加快《關鍵信息基礎設施安全保護條例》等配套法規的立法進程,對如何認定關鍵信息基礎設施等實踐中,大家反映難以把握的問題作出明確規定,并進一步明確相關部門的職責。
工業控制系統,是關鍵信息基礎設施的重要組成部分。近年的烏克蘭電網大停電、韓國核電站資料泄露等事件,都顯示了工控系統信息安全的重要性。反觀國內,工控系統國產化率仍然較低,存在安全隱患。
報告指出,有的省份的重要工控企業生產控制系統國產化率不足20%。一些重要工控企業對外國技術依賴嚴重,不僅生產控制系統由國外公司建設,配套的網絡及安全設備也采用外國產品并由外方人員操控,企業內部人員甚至不掌握管理權限。檢查組建議,大力推進國產化替代工程,逐步提高國產化率,提升關鍵信息基礎設施和網絡安全設備的自主可控能力。
B
免費A PP過度收集用戶信息
幾乎不受懲處
針對用戶個人信息保護工作的落實情況,檢查組委托中國青年報社社會調查中心,就“一法一決定”中與公眾關系密切的10個方面問題進行了民意調查,全國共有10370人參與。結果顯示,多項關于用戶個人信息保護的制度落實情況不理想。
根 據“ 萬 人 調 查 報 告”,49.6%的受訪者曾遇到過度收集用戶信息的現象,其中18 .3%經常遇到;61 .2%的人遇到過企業強制收集、使用用戶信息,如果不接受就不能使用該產品或接受服務的“霸王條款”。還有許多受訪者反映,免費應用程序普遍存在過度收集用戶信息、侵犯個人隱私的問題,但幾乎沒有受到任何監管或依法懲處。
此外,存儲了大量公民個人信息的互聯網公司和公共服務部門還存在安防技術嚴重滯后的問題。一些單位內控制度不完善或不落實,少數“內鬼”為謀取不法利益竊取、販賣用戶信息,也會導致大量信息泄露。
近兩年,公安部共偵破侵犯個人信息犯罪相關案件3700余起,抓獲犯罪嫌疑人110 0 0余名。報告指出,從破獲的案件看,用戶信息泄露呈現出渠道多、竊取違法行為成本低、追查難度大等特點,隨著違法分子使用的手段不斷升級,因用戶信息泄露引發的“精準詐騙”案件增多,造成嚴重危害。
對此,報告提出,要從六個方面著手進一步加大用戶個人信息保護力度。一要加快個人信息保護法的立法進程;二要加強安全防護;三要研究用戶實名制的范圍和方式,避免信息采集主體過多、實名登記事項過濫問題,實名登記制度應有明確的法律依據;四要加大監督檢查力度,建立第三方評估機制;五要進一步加大打擊違法犯罪活動的力度;六要完善投訴受理機制。
C
網安監管“九龍治水”
用戶“投訴無門”
據悉,為配合“一法一決定”的貫徹實施,國務院相關部門、國家互聯網信息辦公室、“兩高”相繼出臺了一系列配套法規、規章和政策文件。除了國家層面的重視,一些省份也積極響應,開展了相關工作。比如廣東省人大常委會出臺了《關于落實電信用戶真實身份信息登記制度的決定》,黑龍江省人大常委會制定了《工業信息安全管理條例》等。
盡管相關的配套法規正在逐步完善,但不少單位向檢查組反映,網絡安全法里的一些原則性規定讓他們感到難以把握,需要進一步細化和標準化。比如數據脫敏標準、企業間共享數據規則、關鍵信息基礎設施的認定標準和程序,以及關鍵信息基礎設施以外的網絡運營者的數據出境是否需要安全評估等問題,目前都尚無明確規定。
在網絡安全監管方面,“九龍治水”的現象仍然存在。多個網絡運營單位表示,不同執法部門對同一單位、同一事項重復檢查且檢查標準不一等問題,經常給他們增加額外負擔。而在發生信息安全事件后,監管部門之間又常出現互相推諉扯皮的問題。“萬人調查報告”顯示,18.9%的受訪者表示在遇到網絡安全問題后,經常遭遇投訴無門、得不到結果反饋的情況。
由此可見,網絡安全法的真正落地,還有賴于配套制度的完善。因此檢查組建議,要加快《關鍵信息基礎設施安全保護條例》、《網絡安全等級保護條例》的立法進程,進一步明確落實過程中各職能部門的權責界限和借口,既要防止職能交叉、多頭管理,又要避免執法推責、管理空白。
此外,網信、工信、公安等部門應盡快制定配套規章或者文件,細化法律中個人信息和重要數據出境安全評估、網絡數據管理、網絡安全監測預警和信息通報、網絡安全審查、網絡安全認證和安全檢測結果互認等制度,形成協調聯動機制,做到不同部門之間數據共享。
針對法律實施中的新情況新問題,應對此前已制定的一些行政法規和部門規章及時修改完善。同時,根據防范和打擊網絡違法犯罪的需要,加強互聯網刑事立法,研究制定網絡違法犯罪防治法,推動網絡違法犯罪行政處罰與刑事處罰的有效銜接。
京公網安備 11010502049343號