网络安全筑法律新屏障
2016-12-21寇佳丽
寇佳丽
网络安全问题引发社会公共利益和个人财产受损的案例层出不穷,于是通过立法手段解决问题便成了社会各界人士的深切希冀。自从十二届全国人民代表大会常务委员会将制定网络安全领域立法列入工作计划以来,出台一部网络安全的专门法已是众望所归。2016年11月7日,全国人大常委会表决通过《中华人民共和国网络安全法》(简称“网络安全法”),网络安全领域终于迎来了第一步框架性法律。
购物信息莫名泄露
河北省石家庄的刘女士在“双11”期间遇到了一件令人不快的事情。和所有喜爱网上购物的人一样,刘女士在11月11日于国美在线购买手机,付款当天晚上就有自称是国美售后服务的人员联系她。
“对方指出我的订单付款人和收货人不是同一人,准确说出了我的姓名和手机号甚至收货地址,说订单付款的链接失效了,需要申请退款,然后按照他给的链接重新付款”,刘女士这样告诉《经济》记者。
她表示,手机订单付款人是本人,但因为工作时间问题,收货人的信息填的丈夫。一般来说,这很正常,很多人网络购物的时候,付款人和收货人信息都不同,这也正是它方便所在。
看到刘女士保持警惕,对方又指出这个单子因为技术问题失效了,还是需要退款后重新交易。刘女士对《经济》记者表示,因为担心支付账号被盗取,根本没有相信对方的话,也没有打开链接。“幸亏我有心理准备,因为之前有同事因为类似的套路被骗了几千元钱,结果财物两失,完全由自己承担损失。”
刘女士的谨慎防止了个人财产损失的发生。不过,消费者因网购信息被泄露进而遭遇财产损失后的责任承担,似乎一直是个不清不楚的问题。
“网购涉及很多环节,不管是国美在线这样的商家自营官网,还是淘宝、京东这样的网购平台,每一个消费者的购物过程,实际上都受到不同层面的多重保护”,资深互联网分析师马继华在接受《经济》记者采访时这样说。
以淘宝为例,早在多年前,淘宝交易平台就对数据库、交易信息在加密技术上做了很充足的准备。因此马继华认为,网购过程中个人信息被泄露时,往往平台数据库被攻破或者黑客拦截交易信息的可能性并不大,而第三方如何窃取信息,只有通过公安机关调查才能得出结论。
而网络信息泄露追责难,不仅难在责任落实上,也难在追查上。“退一步说,查出来是谁、通过什么方式窃取信息的,网络运营商本身是否应该承担责任呢,这又是另外一个问题。”毕竟,第三方能够成功拿到信息,是不是就证明了网购平台或者网络运营者在信息保护上没能尽到充足的义务。而在有些情况下,也不排除平台内部员工参与盗取消费者个人信息的可能。
对此,网络安全法在第四章中针对网络运营者的责任进行了集中规定。按照该法,网络运营者,即网络所有者、管理者和网络服务提供者,应建立健全用户信息保护制度,合法使用个人信息,不经被收集者同意不能向他人提供个人信息,且应当采取技术措施和其他必要措施保证收集到的信息安全。若在上述问题上存在过错,网络运营者应依法承担责任。
运营者需未雨绸缪
对于每一个消费者而言,明确网络运营者的义务与责任绝对是个好消息,但对于企业来说,会不会无形中加重经营负担呢?
“为了自身信息系统的安全而建立技术系统、配备相关人力资源对于企业的投入客观上确实造成了一定成本压力,但这种压力不应该看成负担,而是看作未雨绸缪才更合理”,盈科律师事务所股权合伙人叶庚清律师这样对《经济》记者强调。
中国互联网的发展从1987年9月20日钱天白教授发出第一封E-mail开始,仅在30年的时间里就发展到如今规模,用户的贡献不可不说。叶庚清指出,对于互联网企业价值的评估很大程度上取决于其用户数量,而其核心财富也重点体现在用户信息上。任何组织、单位、个人都不会漠视自身财富安全,包括信息安全,因此网络运营者应该就个人信息保护付出心血,“包括我自己接触的一些互联网企业,并不会对这件事产生心理抵触”,叶庚清这样说。
他还对记者透露,网络安全法是高票通过的,说明它本身已得到广泛的社会拥护。这部法律不仅把个人信息保护提到了全新高度,契合了当前的网络安全形势,同时又可以促使公众提高对自身信息安全的重视程度。不过他也认为,网络安全法作为框架性法律,具有纲领性质,个人信息不会单纯因一部法律就获得足够重视,“一定需要配套的制度与措施”。
这一点,从新法本身也能看到。网络安全法多处提到“有关部门”、“行业组织”,可见立法机构也深知网络安全不是一部基本法就可以保障的。不同行业、不同领域与机构,有必要结合自身情况设置更加细化的网络安全机制与制度,形成完整的社会型网络安全综合体系。
所谓“三军未动,粮草先行”。网络安全法的公布时间为2016年11月7日,但生效时间在2017年6月1日。尽管很多法律的实施都需要给社会一个了解和熟悉的过程,但此次新法生效时间的确较长,不仅为网络运营者提供了内部整改的机会,也为相关部门出台配套措施、配备相关人员、制定相应制度预留了时间。
网络安全举足轻重
值得注意的是,网络安全法在第五章中多次提到“网络安全事件”。尽管其在第七章第七十六条中对“网络安全”的概念给出了法律界定,同时明确了网络安全法所指称的网络并非仅包括互联网,也包括电信网络、单位内部网络等各种数据、信息存储系统,却并没有就“网络安全事件”进一步给出定义。
《经济》记者查阅资料发现,目前国内并不存在一个单独、专门的“网络安全事件”概念。而一般情况下,基于网络系统稳定、网络信息安全及保密发生的具有较大影响力的事件,或者可能导致网络系统不稳定、网络信息数据不安全的破坏事件,都可以看作网络安全事件。
以上述理解为基础,今年发生的山东准大学生因电信诈骗致死、清华大学教授被骗卖房款、央视3·15晚会曝光的WIFI安全漏洞以及OpenSSL“水牢漏洞”都属于这个范围,产生了较大影响力,或造成了较严重后果。
可以说,新法出台,对社会而言是一种规则,对国家而言是一种保障。
“国家首次以法律规范的形式对网络信息和数据,尤其是私人信息做出制度保护,是前所未有的,这说明网络空间已经继海、陆、空、天后成为了国家的第五疆域,新法的颁布也体现了国家对网络安全的高度重视,是一种国家层面的战略部署”,西安电子科技大学网络与信息安全学院副教授杨超这样对《经济》记者分析。
就在今年10月下旬,美国发生了一起规模极大的互联网瘫痪事故,多个城市的主要网站被攻击,包括推特、亚马逊、Paypal等在内的大量知名网站数小时内无法正常访问。媒体证实,美国东海岸多个城市,波士顿、纽约、洛杉矶等的互联网全面宕机。
杨超指出,类似上述大规模的互联网事故几乎每年都会在不同地区、国家发生,没有严重后果自然算作万幸,可不少事故实际上伴随人为因素,如果一个国家不具备足够充分的网络保护体系,民众和社会就随时面临着巨大风险。
抛开大型安全事件,网络信息泄露问题早就到了不治不行的地步。2015年开始,我国互联网信息泄露问题就逐渐演变成高发态势,据《2015年网络诈骗犯罪数据研究报告》显示,仅2011年至2014年年底已公开并证实的被泄露中国公民的个人信息就多达11.27亿条。其中,2015年最为严重的信息泄露事件当属同年4月份曝光的全国超过30个省份的社保系统高危漏洞,导致千万人的社保信息“走光”,对国家和社会造成严重影响和危害。
在2016年11月中旬召开的第三届世界互联网大会上,360公司董事长周鸿祎也指出,在整个社会都构架于互联网之上的时代,“没有网络安全就没有国家安全”。杨超则告诉《经济》记者,网络安全早已成为国家安全战略的重要部分,它需要政府、企业和整个社会的努力。