导致电信诈骗案件屡屡发生的原因之一,就是个人信息通过网络平台被泄露。面对严峻的网络安全形势,即将出台的《网络安全法》虽然在草案中仍存在诸多“软肋”,但值得期待。
9月19日,以“网络安全为人民,网络安全靠人民”为主题的第三届国家网络安全周在武汉开幕。与此同时,全国各地也展开了形式多样的网络安全教育活动。
层出不穷的信息安全事故和个人信息泄露,让广大网民对学习网络安全知识充满了动力,同时也对《网络安全法》充满期待。
同样期待《网络安全法》出台的,还有公安部网络安全保卫局总工程师郭启全。
“我们的法律来得太慢了!13年了,还没出来。”郭启全谈到,2003年国防部和公安部就在研究出台信息安全条例。
2015年7月,《网络安全法(草案)》首次面向公众征求意见,引发广泛关注。目前,《网络安全法(二审草案)》已通过全国人大审议并已于今年8月4日完成公开征求意见,有望在年内出台。
尽管公众对《网络安全法》的关注与期待甚高,然而中国人民大学网络犯罪与安全研究中心秘书长谢君泽告诉民主与法制社记者,单单一部《网络安全法》并不能从根本上解决网络安全与个人信息安全的问题。依靠法律手段有效保护公民隐私,我国还有很长一段路要走。
网络安全法重视保护公民隐私
对于《网络安全法》保护公民个人信息安全的意义,北京邮电大学国际学院院长李欲晓给予了高度评价。
“此前都没有这样深度保障个人信息安全的立法。”李欲晓认为,此次网络安全法明确了网络运营商、关键信息基础设施运营者、网络产品、服务的提供者等相关责任主体的法律责任,并有明确的处罚条款,是一大进步。
已经通过审议的《网络安全法(二审草案)》要求网络运营者建立健全用户信息保护制度;要求网络运营者收集、使用个人信息必须符合合法、正当、必要的原则,目的明确的原则,知情同意的原则等;同时还规定了对收集信息的安全保密原则、公民信息境内存放原则、泄露报告制度等。
草案还引入了删除权和更正制度,规定了任何个人和组织不得窃取或者以其他非法方式获取公民个人信息,不得出售或者非法向他人提供公民个人信息;同时还要求依法负有网络安全监督管理职责的部门,必须对在履行职责中知悉的公民个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供等。
针对删除权,草案规定,公民发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。
在罚则方面,草案也明确规定,如未能依法保护公民个人信息,网络运营者最高可被处以50万元罚款,甚至面临停业整顿、关闭网站、撤销相关业务许可或吊销营业执照的处罚。
草案规定,在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,告知可能受到影响的用户,并按照规定向有关主管部门报告。
“通知会产生很高的成本,发生泄露问题也会对企业声誉产生极大影响,这就倒逼企业必须提高信息保护能力,确保不会出现用户个人信息的泄露。”中国社会科学院法学研究所研究员周汉华认为,这也是一种有力的惩罚措施。
然而谢君泽认为这些规定还是远远不够的。
“整篇草案几乎都是政府授权性条款和企业、公民的义务性条款,都在描述政府如何管理,以及企业和个人如何配合政府管理,而对国家保护公民、法人和其他组织依法使用网络的权利、保护公民个人信息的权利的条款却只有第九条和第五十四条两项,有待于进一步完善和补充。”
谢君泽认为,上位法对保护公民信息权利的规定越具体,在建立个人网络信息安全的立法体系时才能避免部门立法冲突。
应构建系统网络空间法律体系
2012年12月28日,全国人大常委会通过了《关于加强网络信息保护的决定》,其中规定了网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循“合法、正当、必要”的原则。
在个人信息保护领域,它走在了《网络安全法》的前面。
在中央网络安全和信息化领导小组办公室网络安全协调局调研员张胜看来,我国网络信息安全的立法依旧面临诸多问题:立法体系不完善、立法结构单一、部门法有冲突等都阻碍了公民个人信息的保护。
张胜认为,我国现行的法律法规中,涉及网络安全的以部门规章居多,且在制定的规章中,纵向的统筹法律和横向的有机协调还不够,有的条款无法与传统的法律规则相协调。“例如网络安全与个人隐私保护之间的争议,至今还没解决。”
张胜认为,目前我国网络法律结构单一,难以适应信息技术发展的需要和日益严重的网络安全问题。网络安全保护实践的依据多为保护条例或管理办法,缺少系统规范网络行为的基本法律,如《网络安全法》《网络犯罪法》《电子信息个人出版法》《电子信息个人隐私法》等。
同时,这些条例或管理办法更多使用综合性基本性条款,缺少具体的取舍性条款,难以适应技术发展和越来越多的网络问题。
“我们还没有建立起对各种网络事件的应对机制,很多法律法规在可操作性上也还存在问题。”张胜表示。
“由于我国网络安全立法起步较晚,目前还存在着缺乏系统完善的法律、立法位阶较低、立法滞后、内容陈旧等多方面的问题。制定《网络安全法》对我国互联网安全问题做出全面的规定是十分有必要的。”中国人民公安大学法学院教授齐小力认为,应当在此基础上制定《个人信息保护法》等专门法律,修改完善现行法律关于网络安全的规定,注重国家立法和地方立法的配套,形成一个以《网络安全法》为基础的网络安全法律保障体系。
互联网行业监管
与规范有待加强
中国社会科学院新闻与传播研究所网络研究室副主任张化冰认为,行业组织一直在网络安全问题的解决上起到重要的推动作用,在中国和其他国家都是如此。
《网络安全法(二审草案)》规定,网络相关行业组织要指导会员依法加强网络安全保护,提高网络安全保护水平,促进行业健康发展。
“行业自律是美国对网络个人隐私权的主要保护方式,其中‘建议性的行业指引’主要由网络隐私权保护的自律组织发挥作用,参加该组织的成员必须承诺遵守有关行为指导准则。”张化冰认为,英国的互联网观察基金会(IWF)可以称为行业自律和法律监管结合的典范,英国的行业组织和政府有关部门通力合作,共同构建了有效的网络空间治理模式,值得我国学习和借鉴。
“行业自律是一种在法律监管之外的自下而上的方式。如果行业组织可以通过协作消弭网络空间的一些负面问题,这对构筑网络安全的意义不言而喻。”张化冰谈到,中国互联网协会、网络媒体论坛等自律组织及形式在我国早已存在,并一直伴随互联网的成长发展,而且先后通过《中国互联网行业自律公约》《版权自律公约》《博客服务自律公约》等,对维护网络空间秩序起到一定作用,这样的行业监管作用应当得到加强。
尽管由于我国的网络安全监管仍是以法律和政府监管为主,行业自律的角色并没有特别凸显。但是在《网络安全法(二审草案)》中规定:“有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。”
张化冰认为,这本身就是对行业组织作用的重视,但仍然需要有关行业组织不断落实和细化,真正将有关条款化为有实际作用的举措。
本文转自d1net(转载)