解讀《網絡安全法》 分析網際網路資訊洩露來龍去脈

6月1日起，《中華人民共和國網絡安全法》正式施行，作為我國網絡安全治理領域的基礎性立法，首次在法律層面規定了個人資訊保護的基本原則，明确指出，收集适用資訊應經使用者明示同意，不得收集無關資訊，不得向他人提供個人資訊，經過處理無法識别特定個人且不能複原的除外，不得非法出售個人資訊。

解讀《網絡安全法》 分析網際網路資訊洩露來龍去脈

84%網民遭遇資訊洩露 你中獎了嗎？

所謂個人資訊包括兩類，一類是姓名、住址等基本資訊；另一類是賬戶、密碼等交易類資訊。随着網際網路應用的普及和人們對網際網路的依賴，網際網路的安全問題也日益凸顯。惡意程式、各類釣魚和欺詐繼續保持高速增長，同時黑客攻擊和大規模的個人資訊洩露事件頻發，與各種網絡攻擊大幅增長相伴的，是大量網民個人資訊的洩露與财産損失的不斷增加。

而在電商領域，由于使用者在各大電商網站注冊、購物導緻的個人資訊洩露事件時有發生，據“中國電子商務投訴與維權公共平台”受理的來自全國各地使用者投訴案例顯示，包括小紅書、達令、當當網、攜程在内的多家電商平台使用者投訴比較集中，反映這些平台個人資訊洩露問題較為突出。

據中國電子商務研究中心(100ec.cn)此前對1000位使用者線上調查顯示，21.7%的使用者曾因網購、論壇、微信等遭遇過資訊洩露，并且11.2%的使用者接到過疑似的詐騙電話；56.8%的使用者表示對網際網路資訊安全擔憂，并會對需要填寫個人資訊的網際網路遊戲，注冊等保留一定的戒心，而仍有43.2%的使用者認為網際網路資訊洩露與個人無關，不太關注。

據中國電子商務投訴與維權公共服務平台近年來接到的類似使用者投訴案例表明，近年來網際網路/電商行業“洩密”事件頻頻出現，其重大典型的包括：5173中國網絡服務網數次被“盜錢”、當當網多次使用者賬戶遭盜刷、“1号店”員工内外勾結洩露客戶資訊、支付寶漏洞緻使用者資訊洩露、如家、七天開房資訊洩密、騰訊7000多萬qq群遭洩露、攜程技術漏洞導緻使用者個人資訊、銀行卡資訊等洩露、微信朋友圈小遊戲竊取使用者資訊、快遞單販賣成“灰色産業鍊”、小米“洩密門”800萬使用者資訊洩露、13萬12306使用者資訊外洩事件等。

另據中國網際網路協會《中國網民權益保護調查報告2016》顯示，近一年的時間，國内6.88億網民因垃圾短信、詐騙資訊、個人資訊洩露等造成的經濟損失估算達915億元。54%的網民認為個人資訊洩露情況嚴重，84%的網民曾親身感受到因個人資訊洩露帶來的不良影響。

據中國電子商務研究中心(100ec.cn)監測諸多案例獲悉，絕大多數新型的網絡騙術都與個人資訊的洩漏有關，他們或者是充分利用已經竊取到的受害者個人資訊實施網絡詐騙，或者就是以受害者的個人資訊為網絡詐騙的攻擊目标，個人資訊的非法交易也恰恰是造成網絡詐騙犯罪泛濫的根本原因。

《網絡安全法》帶來的十大要點

中國電子商務研究中心特約研究員、上海漢盛律師事務所進階合夥人李旻律師認為：《網絡安全法》有十大要點。

《網絡安全法》的頒布，其立法本意是要在我國領域内推廣“安全可控”的産品和服務。“安全可控”包含着三方面的意思，首先，在于“産品的安全可控”，即禁止網絡服務提供者通過網絡非法控制和操縱使用者裝置，損害使用者對裝置和系統的控制權；其次，在于“資料的自主可控”，即禁止網絡服務提供者利用提供産品或服務的便利條件非法擷取使用者重要資料，損害使用者對自己資料的控制權；第三，在于“使用者的選擇可控”，即禁止服務提供者利用使用者對其産品和服務的依賴性，限制使用者選擇使用其他産品和服務，損害使用者的網絡安全和利益。

要點一：網絡空間主權原則制度。《網絡安全法》前所未有的提出了網絡空間主權概念，豐富了我國享有的主權範圍，其将網絡空間主權視為是我國國家主權在網絡空間中的自然延伸和表現。将網絡空間的概念上升為國家主權，更有利于保障我國合法網絡權益不受他國或國外組織的侵害。一切在我國網絡空間領域内非法入侵、竊取、破壞計算機及其他服務裝置或提供相關技術的行為，都将被視作是侵害我國國家主權的行為。

要點二：網絡安全等級保護制度。《網絡安全法》确立的網絡安全等級保護制度将網絡安全分為五個等級，随着級别的增高，國家資訊安全監管部門介入的強度越大，以此對資訊系統安全保護起到監督和檢查。

要點三：實名認證制度。《網絡安全法》規定了網絡服務經營者、提供者及其他主體在與使用者簽訂協定或者确認提供服務時應當采取實名認證制度，包括但不限于網絡接入、域名注冊、入網手續辦理、為使用者提供資訊釋出、即時通訊等服務。實務中，這一制度靈活性及可操作性較強，可采取前台匿名，背景實名的方式進行。但是，實名認證的工作必須落實到位，若不實行網絡實名制的，則最高可對平台處以50萬元的罰款。

要點四：關鍵資訊基礎設施營運者采購網絡産品、服務的安全審查制度。《網絡安全法》對提高我國關鍵資訊基礎設施安全可控水準提出了相關法律要求，并配套相繼出台了《網絡産品和服務安全審查辦法(試行)》(該《辦法》與《網絡安全法》均于2017年6月1日起生效)，明确了關系國家安全的網絡和資訊系統采購的重要網絡産品和服務，對網絡産品和服務的安全性、可控性應當經過網絡安全審查。涉及國家安全、軍事領域等産品及服務的采購，若可能影響國家安全的，應當經過國家安全審查。

要點五：安全認證檢測制度。針對網絡關鍵裝置和網絡安全專用産品，《網絡安全法》規定應當按照相關國家标準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求後，方可銷售或者提供。

要點六：重要資料強制本地存儲制度。該制度主要調整的是關鍵資訊基礎設施營運者在搜集個人資訊重要資料的合法性問題，規定了需要強制在本地進行資料存儲。

要點七：境外資料傳輸審查評估制度。本地存儲的資料若确屬需要資料轉移出境的，需要同時滿足以下條件：1、經過安全評估認為不會危害國家安全和社會公共利益的；2、經個人資訊主體同意的。另外，該制度還規定了一些法律拟制的情況，比如撥打國際電話、發送國際電子郵件、通過網際網路跨境購物以及其他個人主動行為，均可視為已經取得了個人資訊主體同意。

要點八：個人資訊保護制度。《網絡安全法》在如何更好的對個人資訊進行保護這一問題上有了相當大的突破。它确立了網絡營運者在收集、使用個人資訊過程中的合法、正當、必要原則。形式上，進一步要求通過公開收集、使用規則，明示收集、使用資訊的目的、方式和範圍，經被收集者同意後方可收集和使用資料。另一方面，《網絡安全法》加大了對網絡詐騙等不法行為的打擊力度，特别對網絡詐騙嚴厲打擊的相關内容，切中了個人資訊洩露亂象的要害，充分展現了保護公民合法權利的立法原則。

要點九：個人資訊流通制度。針對目前個人資訊非法買賣、非法分享的社會亂象，《網絡安全法》給出了一記重拳。規定了未經被收集者同意，網絡營運者不得洩露、篡改、毀損其收集的個人資訊的義務。但是，經過處理無法識别特定個人且不能複原的不在此列。這樣的規定即杜絕了個人資訊資料被非法濫用，又不影響網絡經營者及管理者由于自身企業發展需要所面臨的大資料分析問題。

要點十：網絡通信管制制度。網絡通信管制制度的确立目的是在發生重大事件的情況下，通過賦予政府行政介入的權力，犧牲部分通信自由權，來維護國家安全和社會公共秩序的制度。該做法是國際通行做法，例如在發生暴恐事件中，可切斷不法分子的通聯管道，避免事态進一步惡化，保障使用者的合法權益，維護社會穩定。但是這種管制影響是比較大的，是以《網絡安全法》嚴謹地規定實施臨時網絡管制，需要經過國務院決定或者準許。一般來說，網絡通信管制制度的實施是短時性的，一旦事件處置結束，政府會立即恢複正常通信，以盡可能小的對個人通信帶來不便。

本文轉自d1net（轉載）