备受关注的网络安全法草案在十二届全国人大常委会第二十一次会议上迎来第二次审议。
《人民日报》报道称,草案二审稿进一步强化国家的责任和公民、组织的义务,加强关键信息基础设施保护,协同推进网络安全与发展,切实维护国家网络主权、安全和发展利益。
中国互联网协会互联网法治工作委员会委员丁道勤介绍,草案建立了关键信息基础设施安全保护的三大制度:关键信息基础设施运行安全保护制度、重要数据境内留存,以及网络产品和服务的安全审查制度。
相比于一审稿,草案在安全保护的主体、范围、措施等方面均进行了“扩容”。值得注意的是,草案二审稿在强调关键信息基础设施保护的同时,大量增加了数据安全保护的内容,并同时提出了对个人信息泄露的防护。
关键信息基础设施保护措施增加
我国面临的网络安全形势正日益严峻。6月22日举行的2016中国网络安全论坛上,工信部网络安全管理局副局长李学林介绍,“针对工业控制系统和重要信息系统的高级持续威胁等网络攻击愈演愈烈,应用软件、供应链、智能联网设备等安全问题开始显现。”
而在互联网用户层面,近日发布的《中国移动互联网发展状况及其安全报告(2016)》介绍,2005-2015年,移动互联网恶意程序数量逐年增加,特别到2012年之后,恶意程序数量呈现爆发式增长趋势。2015年新增的移动恶意程序数量超过147万,较2014年同期增长54.7%。
网络安全法草案力图从立法层面制定应对规范。草案一审之后,中国人民大学网络犯罪与安全研究中心推出了一份建议稿,其中明确提出建立11项网络安全基本制度。
研究中心秘书长谢君泽介绍,这些制度包括数据境内存储制度、关键数据加密备份制度、网络安全事件追溯制度、网络安全持续改进制度、网络信息公开制度、网络安全公私合作制度、网络安全国际合作制度等。
这些制度中的部分内容出现在草案二审稿中。比如,二审稿增加规定,国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
二审稿还增加规定,网络运营者留存网络日志不得少于6个月;网络运营者对有关部门依法实施的监督检查应当予以配合。
上述精神已体现在一些管理规范中。国家网信办6月28日发布移动互联网应用程序(APP)管理规定,就要求APP提供者记录用户日志信息,并保存60日。
6月27日,全国人大法律委员会副主任委员张海阳作草案修改情况汇报时称,拟增加多项促进网络安全和发展的支持措施,包括国家推进网络安全社会化服务体系建设,鼓励企业、机构开展网络安全认证、检测和风险评估等服务;支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平等。
重视数据安全和信息保护
对于关键信息基础设施中数据安全保护的重视,鲜明地体现在草案二审稿中。
“电信和互联网企业收集处理大量用户个人数据、生产运行数据、政务数据等重要数据,面临着很大的安全挑战。信息窃取、数据泄露等事件时有发生,网络数据安全和用户信息保护形势日趋严峻。”工信部网络安全管理局副局长李学林在2016中国网络安全论坛上说。
草案一审稿规定,关键信息基础设施中的“公民个人信息等重要数据”要境内留存,二审稿则改为“公民个人信息和重要业务数据”,这比一审稿的规定更加明确。
张海阳在6月27日作汇报时介绍,草案拟增加的促进网络安全和发展的支持措施还包括,国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。
对于草案鼓励的政府数据开放,一位要求匿名的工信部政策研究人员认为,“统一集中开放数据需要有关部门统筹组织建设网站,为了保障网站安全,要严禁未经授权的访问、上传和更改数据,并定期销毁原始数据。此外,还要综合运用技术手段对网站进行监控。”
二审稿还增加规定,国家网信部门和有关部门在关键信息基础设施保护中取得的信息,只能用于维护网络安全的需要,不得用于其他用途。
中央财经大学法学院副院长吴韬也认为,在不损害相关主体的合法权益和公共利益的前提下,政府持有的数据应当公开共享,不得有偿转让。
网络实名制确立之后,对个人信息的保护成为题中之义。丁道勤介绍,草案一审稿在坚持全国人大常委会《关于加强网络信息保护的决定》的基础上进一步完善了相关制度,主要包括个人信息收集规则,处理规则、信息泄露通知,删除更正权及不受窃取、非法获取、出售或非法提供权。
张海阳在6月27日作汇报时还指出,二审稿拟增加大数据应用必须对公民个人信息进行匿名化处理的规定,进一步明确公民个人信息使用规则。
在6月22日举行的2016中国网络安全论坛上,中国计算机学会计算机安全专委会副主任程琳介绍,“网络安全法草案公开征求意见后,有些部门对一些条款的看法不一致。”程琳建议,“如果大原则不影响,应该尽快出台,随着形势的发展,我们可以不断地完善和修缮。”
值得注意的是,国家安全领域的基础性法律《国家安全法》就是在二次审议后,马上在下一次全国人大常委会会议上三审通过。
程琳就在上述论坛上表示,今后可以根据《网络安全法》制定相关的专门法律,以解决目前存在的重大和紧迫问题,其中他就建议制定网络社会个人信息隐私保护法。
本文转自d1net(转载)