《网络安全法》拟设删除权和数据泄露通知制度
草案引入删除权和数据泄露通知制度
网络安全法有望深度保障个人信息安全
再过几天,《网络安全法》(草案)(以下简称“草案”)即将结束面向社会公开征求意见的程序。作为我国网络安全领域的一部重要法案,不少人将它的发布视作一个里程碑。7章68条中,涵盖了网络设备设施安全、网络运行安全、网络数据安全、网络信息安全等多方面内容,力度之大、范围之广前所未有。
特别值得注意的是,公民个人信息保护的相关内容在草案中得到强调,个人信息安全有望获得更有力的法律保障。
因网络个人信息泄露一年损失超800亿元
公众对个人信息安全的重视,源自一个个惨痛的教训。
2014年3月,众多媒体曝出携程网“信用卡泄密门”。漏洞报告平台乌云网发布消息称,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。但同时,因为保存支付日志的服务器未作较严格的基线安全配置,存在漏洞,导致所有支付过程中的调试信息可被骇客任意读取。
这些可能被窃取的信息包括持卡人姓名、身份证号、银行卡号、银行卡CVV码等,危害可想而知,这让不少用户心头一紧。
类似的情况还发生在去年12月,中国铁路客服中心12306网站发生信息泄露,大量用户数据在互联网上疯传,包括用户账号、明文密码、身份证号码、电子邮箱等。而早在几年前,更有媒体曝出不少酒店开房记录被流出。著名的“3Q”大战更是引起国人对个人信息安全的关注。
一些数据对这一担忧也有所印证。7月22日,在北京召开的中国网民权益保护论坛上,中国互联网协会12321网络不良与垃圾信息举报受理中心发布了《中国网民权益保护调查报告(2015)》(以下简称“《报告》”)。《报告》显示,在权益认知方面,网民普遍认为,在网络上,隐私权是最重要的权益,其次是选择权和知情权。近一年来,网民因个人信息泄露、垃圾信息、诈骗信息等现象导致的总体损失约805亿元。
此外,《报告》还指出,网民被泄露的个人信息涵盖的范围也非常广。78.2%的网民个人身份信息被泄露过,包括网民的姓名、学历、家庭住址、身份证号及工作单位等;63.4%的网民个人网上活动信息被泄露过,包括通话记录、网购记录、网站浏览痕迹、IP地址、软件使用痕迹及地理位置等。
82.3%的网民表示亲身感受到了个人信息被泄露对日常生活造成的影响。
“像骚扰电话、垃圾短信、垃圾邮件……这样的东西太多了,几乎每天都在发生。”北京邮电大学国际学院院长李欲晓说,“取证麻烦,维权又难,老百姓往往只能忍着。”
在李欲晓看来,个人信息泄露问题如此严重,原因是多方面的。“比如一些机构、企业在采集个人信息时范围过宽,一旦发生泄露,情况就会比较严重。”此外,网络服务提供者在个人信息保护的技术方面也存在问题,如果系统达不到很强的保护能力,就会出现泄露问题。再者,用户个人也缺少自我保护意识,对互联网传播信息的广泛性不够重视,在申请一些服务时缺少保护意识,留下一些个人信息成了后患。
针对泄露个人信息发生的违法犯罪行为,李欲晓认为,处罚力度也不够,同时,相关立法和管理也还不完善。“尽管也出现过因贩卖个人信息触犯刑法而被处罚的情况,但整体来讲,打击的力度还比较弱。”李欲晓说,这就造成一些人为获得丰厚回报铤而走险,“我国互联网发展如此之快,立法必须跟上。”
互联网高速发展急需专门法护航
近年来,各国网络安全领域的立法也呈集中爆发之势。中国信息通信研究院副院长刘多介绍说,形式上大致可分为“统一立法”和“分散立法”两种。
“一些国家虽然没有统一的网络安全法,但是有国家层级的网络安全战略,如韩国、英国。”刘多介绍,美国国会多年来也一直试图制定网络安全法,出台了多个相关法案。日本2014年11月出台的《网络安全基本法》是统一立法的典型代表,欧盟出台的《网络和信息安全指令》(草案)也是在网络安全领域的统一立法。
“从立法内容上看,各国除了继续对提高网络安全技术水平、提高安全标准、加强安全教育等常规选项进行法律修订之外,还对网络监控和反恐、关键信息基础设施保护、数据留存等相关议题进行专题立法,整体上呈现出‘攻防并举’的立法思路。”刘多说。
她告诉中国青年报记者,我国也一向重视网络安全的立法工作。比如,在刑法修正案中增加了关于网络犯罪的条款,目前互联网领域层次较高的两部法律性文件——2000年颁布的《全国人大常委会关于维护网络安全的决定》和2012年颁布的《全国人大常委会关于加强网络信息保护的决定》——也都是针对网络安全的。此外,工信部、公安部也针对通信网络防护、互联网安全等出台了一些部门规章。
“但总体来看,这些立法层级较低,不能适应目前国际上网络安全的严峻形势和国内对网络安全日益重视的发展趋势。”刘多说。
工信部电子科学技术情报研究所总工尹丽波认为,条文分散、可操作性差也是现有法律法规存在的一个弊端。“很多都是散见在各个条文里,不够系统”。此外,她还指出,对管理部门、网络运营部门等主体的责任规定也不够明确,一旦发生问题就容易出现相互推诿的情况。
受访专家指出,如今,很多传统领域的基础设施都实现了信息化,如果网络风险失控,后果不堪设想。
“所以,还是需要一部统筹各方、起到统领性作用,而且层级较高的统一立法,对网络安全进行系统全面的规定。”刘多说。
草案引入删除权和数据泄露通知制度是亮点
7月6日,中国人大网公布了草案全文,这部备受瞩目的法案终于和公众见面了。
“亮点很多。”刘多说,比如草案提出将维护网络空间主权作为立法目的之一;引入“关键信息基础设施”的概念,并对关键信息基础设施保护制定了一整套制度体系;还将监测预警和应急处置作为维护网络安全的重要内容专章进行了规定等。
草案规定了个人信息保护的相关内容,刘多认为,这也是此次草案的亮点之一。
据她介绍,这方面内容包括要求网络运营者建立健全用户信息保护制度;要求网络运营者收集、使用个人信息必须符合合法、正当、必要的原则,目的明确的原则,知情同意的原则等;同时还规定了对收集信息的安全保密原则,泄露报告制度等。
此外,刘多说,草案还引入了删除权和更正制度,规定了任何个人和组织不得窃取或者以其他非法方式获取公民个人信息,不得出售或者非法向他人提供公民个人信息;同时还要求依法负有网络安全监督管理职责的部门,必须对在履行职责中知悉的公民个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供等。
针对删除权,草案规定,公民发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。
在罚则方面,草案也明确规定,如未能依法保护公民个人信息,网络运营者最高可被处以50万元罚款,甚至面临停业整顿、关闭网站、撤销相关业务许可或吊销营业执照的处罚。
“此前都没有这样深度保障个人信息安全的立法。”李欲晓认为,此次网络安全法明确了网络运营商、关键信息基础设施运营者、网络产品、服务的提供者等相关责任主体的法律责任,并有明确的处罚条例,是一大进步。
草案规定,在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,告知可能受到影响的用户,并按照规定向有关主管部门报告。在中国社会科学院法学研究所研究员周汉华看来,这也是一种有力的惩罚措施。“通知会产生很高的成本,发生泄露问题也会对企业声誉产生极大影响,这就倒逼企业必须提高信息保护能力,确保不会出现用户个人信息的泄露。”
在周汉华看来,草案对个人信息保护的强调,会对当下广泛存在的个人信息泄露问题有所改善。但他表示,未来还应该制定专门的个人信息保护法,让法律更好地发挥作用。
几位受访专家也期待,网络安全法的出台只是第一步,未来还应该逐步建立一整套完善的网络安全法律体系。“互联网影响着每个人的生活,只有健全的法律,才能让每个人在虚拟世界也有安全感。”尹丽波说,“现在,只是一个开始。”
记者 李林
(原题:《网络安全法》草案引入删除权和数据泄露通知制度)