《网络安全法》十大要点解读界面新闻 JMedia
所谓个人信息包括两类,一类是姓名、住址等基本信息;另一类是账户、密码等交易类信息。随着互联网应用的普及和人们对互联网的依赖,互联网的安全问题也日益凸显。恶意程序、各类钓鱼和欺诈继续保持高速增长,同时黑客攻击和大规模的个人信息泄露事件频发,与各种网络攻击大幅增长相伴的,是大量网民个人信息的泄露与财产损失的不断增加。据中国电子商务研究中心(100EC.CN)此前对1000位用户在线调查显示,21.7%的用户曾因网购、论坛、微信等遭遇过信息泄露,并且11.2%的用户接到过疑似的诈骗电话;56.8%的用户表示对互联网信息安全担忧,并会对需要填写个人信息的互联网游戏,注册等保留一定的戒心,而仍有43.2%的用户认为互联网信息泄露与个人无关,不太关注。据中国电子商务研究中心(100EC.CN)监测诸多案例获悉,绝大多数新型的网络骗术都与个人信息的泄漏有关,他们或者是充分利用已经窃取到的受害者个人信息实施网络诈骗,或者就是以受害者的个人信息为网络诈骗的攻击目标,个人信息的非法交易也恰恰是造成网络诈骗犯罪泛滥的根本原因。《网络安全法》的颁布,其立法本意是要在我国领域内推广安全可控的产品和服务。安全可控包含着三方面的意思,首先,在于产品的安全可控,即禁止网络服务提供者通过网络非法控制和操纵用户设备,损害用户对设备和系统的控制权;其次,在于数据的自主可控,即禁止网络服务提供者利用提供产品或服务的便利条件非法获取用户重要数据,损害用户对自己数据的控制权;第三,在于用户的选择可控,即禁止服务提供者利用用户对其产品和服务的依赖性,限制用户选择使用其他产品和服务,损害用户的网络安全和利益。要点一:网络空间主权原则制度。《网络安全法》前所未有的提出了网络空间主权概念,丰富了我国享有的主权范围,其将网络空间主权视为是我国国家主权在网络空间中的自然延伸和表现。将网络空间的概念上升为国家主权,更有利于保障我国合法网络权益不受他国或国外组织的侵害。一切在我国网络空间领域内非法入侵、窃取、破坏计算机及其他服务设备或提供相关技术的行为,都将被视作是侵害我国国家主权的行为。要点三:实名认证制度。《网络安全法》规定了网络服务经营者、提供者及其他主体在与用户签订协议或者确认提供服务时应当采取实名认证制度,包括但不限于网络接入、域名注册、入网手续办理、为用户提供信息发布、即时通讯等服务。实务中,这一制度灵活性及可操作性较强,可采取前台匿名,后台实名的方式进行。但是,实名认证的工作必须落实到位,若不实行网络实名制的,则最高可对平台处以50万元的罚款。要点四:关键信息基础设施运营者采购网络产品、服务的安全审查制度。《网络安全法》对提高我国关键信息基础设施安全可控水平提出了相关法律要求,并配套相继出台了《网络产品和服务安全审查办法(试行)》(该《办法》与《网络安全法》均于2017年6月1日起生效),明确了关系国家安全的网络和信息系统采购的重要网络产品和服务,对网络产品和服务的安全性、可控性应当经过网络安全审查。涉及国家安全、军事领域等产品及服务的采购,若可能影响国家安全的,应当经过国家安全审查。要点七:境外数据传输审查评估制度。本地存储的数据若确属需要数据转移出境的,需要同时满足以下条件:1、经过安全评估认为不会危害国家安全和社会公共利益的;2、经个人信息主体同意的。另外,该制度还规定了一些法律拟制的情况,比如拨打国际电话、发送国际电子邮件、通过互联网跨境购物以及其他个人主动行为,均可视为已经取得了个人信息主体同意。要点八:个人信息保护制度。《网络安全法》在如何更好的对个人信息进行保护这一问题上有了相当大的突破。它确立了网络运营者在收集、使用个人信息过程中的合法、正当、必要原则。形式上,进一步要求通过公开收集、使用规则,明示收集、使用信息的目的、方式和范围,经被收集者同意后方可收集和使用数据。另一方面,《网络安全法》加大了对网络诈骗等不法行为的打击力度,特别对网络诈骗严厉打击的相关内容,切中了个人信息泄露乱象的要害,充分体现了保护公民合法权利的立法原则。要点九:个人信息流通制度。针对目前个人信息非法买卖、非法分享的社会乱象,《网络安全法》给出了一记重拳。规定了未经被收集者同意,网络运营者不得泄露、篡改、毁损其收集的个人信息的义务。但是,经过处理无法识别特定个人且不能复原的不在此列。这样的规定即杜绝了个人信息数据被非法滥用,又不影响网络经营者及管理者由于自身企业发展需要所面临的大数据分析问题。要点十:网络通信管制制度。网络通信管制制度的确立目的是在发生重大事件的情况下,通过赋予政府行政介入的权力,牺牲部分通信自由权,来维护国家安全和社会公共秩序的制度。该做法是国际通行做法,例如在发生暴恐事件中,可切断不法分子的通联渠道,避免事态进一步恶化,保障用户的合法权益,维护社会稳定。但是这种管制影响是比较大的,因此《网络安全法》严谨地规定实施临时网络管制,需要经过国务院决定或者批准。一般来说,网络通信管制制度的实施是短时性的,一旦事件处置结束,政府会立即恢复正常通信,以尽可能小的对个人通信带来不便。2、如何权衡安全与发展之间的关系,将是未来该法实施的重大挑战,我国互联网产业能够在国际上实现跨越式发展,实现弯道超车,确实因为前二十年相对宽松的监管环境,而今《网络安全法》实施必然会产生安全与发展的矛盾,如何寻找切好点,真正实现互联网安全的法治,需要一个长的周期去观察。3、呼吁强调执法问题,任何立法的最终价值体现在执法层面,如何顺应民意,在监管上实现高超的技术,利用互联网的特色,将是一个不断考量人性的弱点的历程,需要每个网民关注。这么多的个人信息,究竟是如何泄露的?中国电子商务研究中心特约研究员、上海市信息安全行业协会专委会副主任张威认为,在线旅游网站平台上的用户数据泄露主要有以下几种方式:1)黑客利用平台存在的安全漏洞入侵网站,盗取用户数据库;网站内部工作人员倒卖用户信息;2)通过撞库攻击,窃取用户数据;3)利用钓鱼攻击窃取用户信息;通过木马、病毒窃取用户隐私信息。对于社交网络的个人信息泄露,张威表示现在对于社交网络的个人信息获取确实比较泛滥,利用人性的热点实现一些不道德的目的,很多人也因此上当受骗,最近协会碰到比较多的问题。这种危害广大网民了解较少,从而不太注意,防范意识比较差。一种是采集信息诈骗,类似此前朋友圈刷屏幕的星座性格测试这样的形式。通过看似有意思的互动活动,采集用户的真实信息,这些真实信息会和手机的IP和串号进行绑定,再通过针对性的策划进行诈骗。还有一种是假冒微信群或qq群对特定人群进行欺骗。最近上海的某家上市公司就碰到这种手法的社交欺诈,公司财务某日被拉进一个公司工作交流的微信群,群里都是公司员工(中国电子商务投诉与维权公共服务平台注明:实际为骗子马甲),在讨论日常的工作,突然有个他老板头像的人在群里跟他说有个项目需要他马上打款169万,让他去操作,因为真实性很高,所以他立即向指定账户进行了操作,到最后才发现上当受骗了,因为那个群里除了他,其实其他人都是骗子,核心在于给他营造了一种场景。而中国电子商务研究中心生活服务O2O部助理分析师陈礼腾表达了他对共享充电宝这一新型模式出现信息泄露的看法,利用共享充电宝盗取连接手机上的信息,从理论上说是可行的,这一安全隐患也确实存在。虽然还没有实际案例,但以前有媒体报道,有人借用别人的充电宝导致信息泄露,因此这一风险不容忽视。一般来说,共享充电宝企业不至于主动在向消费者提供的共享充电宝上安装窃取手机信息的装置,对企业来说,这种行为风险太大。但是在共享充电宝的3种模式中,除了类似小电这种固定的模式,其他两种模式的共享充电宝都处于相对开放状态,谁都可以借了带走。这就有一个隐患,即不法分子可能先借来充电宝,然后拆开,在里面安装上那种特殊的芯片,再还回去,等着充电宝被下一个消费者借走,当其开始使用时,就可以植入木马了。共享充电宝应该和共享单车一样,有特殊的设计要求,比如采用全封闭的防拆设计,避免被不法分子打开改装,或者一旦被打开过,借用充电宝的消费者就能发现,从而避免使用。陈礼腾表示:就目前看来,虽然共享充电宝融资不断,但对于这种单一服务的未来发展还不能作出乐观评价。随着信息价值越来越重要以及消费者对信息安全的重视,如果不能处理好该风险,势必会对其发展产生负面影响。在中国电子商务研究中心主任曹磊看来,用户信息泄露有多种可能性途径,互联网信息泄露隐形风险重重。现在很多网民拥有多个账号,注册时网站一般都需要填写一些个人信息,如常见的账号、密码、邮箱等,有的网站甚至要实名认证。1、内部倒卖。内部员工倒卖订单数据分为两种情况,一种是内部员工行为,另一种则是黑产打入的行为。先说内部员工行为,一个小型商家对员工的录用,可想而之是个什么情况:不在乎学历,不在乎背景,只要有点经验即可,而且待遇也比较低,员工流动也大,因此面对一些诱惑,很容易去倒卖数据,卖了几批数据后就跑路换个其他公司接着做。还有一种是黑产打入,黑产直接派一些人去应聘,然后拿数据,也是干一阵就跑。2、木马病毒。商家的员工有时候会接待一些声称有大订单的人物,订单包括多种需求,所以会需要员工接收订单文件,又或者发给员工一个链接,而木马病毒就在这里了。木马和病毒会潜伏下来监控员工电脑操作,获取订单软件系统信息的帐号密码。3、三方工具后门。在线销售会需要一些系统的支撑,比如仓库管理、订单管理、面单打印等,市面上也有各种公司提供这一类软件,这种软件水平也参差不齐。有的直接就是黑产这种人开发的,目的就是窃取订单信息。还有的属于安全能力薄弱,有一些漏洞可以被利用,但是单一的某个软件漏洞还不够可怕,现在很多公司为商家提供一揽子服务,订单系统的服务器都在云上,一旦突破就是一个大群体订单泄露。5、无线与监听问题。很多公司都用的是小型家用无线路由器,这种路由器一是默认密码不修改,二是自身有漏洞。这样黑客就可以采用DNS中间人、网络监听流量等手段获取网络流量信息。这种情况下,改系统密码、上云服务其实都没有用处,但最重要的问题是难以发现。2、木马病毒。主要是手机端的比较突出。2014年下半年,我们发现接近70%的订单信息泄露是手机用户,调研受害用户发现在手机上确实存在安卓远控类软件,但种类十分繁多。建议在APP上增加了一些安全的功能,对其中一些数据做了特殊加密,对启动环境进行了判断。但是,通常用户不会理解这里的四类问题,第一反应就是将责任归于电商平台。会产生投诉,甚者会产生司法纠纷。所以对用户的投诉处理要慎重对待,某些特殊用户可能要先行赔偿,出现危机要有公关处理。1、内部倒卖。有倒卖系统数据的,但更多的是倒卖物流面单,倒卖物流订单的特点是地域化比较集中,通常是某个门店,所以很容易归类发现。而且主要集中在一些代理加盟的物流点,管理比较松散。对物流公司的泄露,一是宣传教育,二是专项打击,配合公安几轮打下来,他们就会引以为鉴。这里有一个判断因子,有些情况下,订单还没有到物流侧,用户就接到了诈骗电话,所以在调查的时候要问清楚。1、内部员工作案。一个电商的业务系统,能够接触到用户订单的人实在太多,从客服到技术,到数据平台,前端等都有机会接触。内部员工的管控相对比较容易,一个是匿名化处理,所谓匿名化处理,就是对关键用户信息进行匿名或模糊处理,即使员工接触到也无法联系对方,或必须通过系统联系对方。再一个是操作监控,如果要偷拿订单信息,必然是批量化,而不是个别单一订单,从统计上就可以做一些规则预警。还有一个是加强警示教育,一旦发现,从重处理绝不姑息。内部员工作案的几率比较低,但一旦出事就是大事,所以这部分能够在自己掌控的地方要处理好。2、外包员工。外包员工的作案大家在媒体上也屡见不鲜,外包的应用系统开发、基础架构的维护、客服是这里需要重点看的问题。安全部门要介入外包管理,从最开始的立项就要保证外包无法接触到敏感数据。对外包除了在立项阶段,还进行现场调研,确定外包公司的环境能够满足我们对安全的要求,并且不定期抽查。3、自身的系统漏洞。一是主要漏洞:防扫号、SQL注入、越权/遍历问题、搜索引擎爬取,对这一类漏洞的防范,就看企业的基本功了,生产新上线的系统有没有经过代码审计、渗透和扫描。主站问题往往都比较重视,但有很多后台支撑系统,各种问题五花八门,当企业做大以后,后台支撑系统出的问题不比主站少,这就要清理回收支撑系统,该放在内网的收到内网,该关的关,该改的改。若盗号者是利用技术手段从电商平台上盗取数据,获得相关账号密码,则需要进一步考虑电商平台在数据保密层面上技术保护水平是否足够高,有无明显漏洞;若一些初学者黑客也可以攻破平台的安全保护措施,可以认为平台没有给予与其规模相匹配的保护,这样的情况下可以认为平台存在漏洞,需要承担责任。方超强直言,在现实中很难有一个标准去判断什么叫做平台存在漏洞导致信息泄露,若消费者向法院投诉平台,平台只要举证证明其尽到了安全责任保护义务,就很难对平台进行追责。同时,对于消费者因为在不同电商平台使用相同的账号密码,以致遭到撞库盗号,所有账号密码一同被盗,造成自身重大损失,此类情形,应当由谁承担责任要视账号泄密的不同情况分而论之。而对于社交网络信息泄露,方超强认为社交网络信息泄露追溯案源难各地法院判例不一。社交网络信息泄露问题较为普遍,之前就代理过此类案件,也是财务被一个跟她老板一模一样的QQ诈骗了几十万,到目前刑事案件基本没进展。民事案件在处理过程中,各地法院判例不一,有以劳动争议判的,也有以一般民事财产损害判的,以劳动争议判的,员工承担责任一般不超过20%。这类欺诈案件实际办案过程确实很难,因为收款帐号都是马甲号,连帐号开户人自己也不知道。第一,网站用户信息泄露有多种可能性途径。现在许多APP、网站、公众号、小程序都需要用户注册账号后才能正常使用。因此,每个网民拥有多个账号是很平常的事情。在注册时,网站一般都需要填写一些个人信息,如常见的账号、密码、邮箱等,像一些电子商务、婚恋、交友网站等还需要实名认证,要求填写的信息更加详细。平台上的用户数据泄露主要有以下几种方式:黑客利用平台存在的安全漏洞入侵网站,盗取用户数据库;网站内部工作人员倒卖用户信息;通过撞库攻击,窃取用户数据;利用钓鱼攻击窃取用户信息;通过木马、病毒窃取用户隐私信息。第二,法律条文需细化,相关部门应适时介入。我国关于网络信息安全方面的法律条文不够明确,适用范围尚且不够精准,相关条文必须得到进一步细化、规范,以此更加公平公正地惩治网络信息安全事故的造成者,保护公民切身利益。此类信息泄露事件不适用不告不处理的的原则,相反,执法部门应主动积极介入案件调查,并对实施者进行追责处理。第三,信息安全无小事,用户必须增强信息保护意识。警惕要求重新输入账号信息,否则将停掉信用卡账号之类的邮件,不要回复或者点击邮件的链接,以免落入圈套。同时,避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒知识库和操作系统补丁,将敏感信息输入隐私保护,打开个人防火墙。网络银行时,选择使用网络凭证及约定账户方式进行转账交易,不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。不要在多个网站使用相同的注册账户名以及登录密码,防止网络黑客有意盗取,造成多个网站个人信息的连环失窃。第四,要求网站平台收集和使用用户信息应当遵循合法、正当、必要三原则。对收集到的用户信息应当采取安全保护措施,一旦发生泄密,必须及时采取补救措施,否则都可能面临行政处罚或者用户的诉讼。中国电子商务研究中心法律与权益部分析师姚建芳认为,保护个人信息,仅靠企业的技术手段远远不够,根据业界掌握的情况,很多互联网用户个人信息泄露事件都是一些企业内部员工泄露导致的,因此,企业加大对内部员工的管理、承接至关重要,还可以出台黑名单机制,各电商、互联网公司联网,一次犯罪、各家平台、乃至全行业永不录用!中国电子商务研究中心特约研究员、广州金鹏律师事务所合伙人詹朝霞(专家微信互动:jennyli1998)律师直言,可以毫不夸张地说,违法成本低,法律监管缺失是泄密事件再三出现的根源。按照美国的法律,企业发生一次信息泄露事件就可能被罚得倾家荡产。遏制公民个人信息泄露不是一个群体努力就可以完成的事情,需要企业、用户和政府部门多方联手。作为企业应该多方面的保护用户的个人信息,防范泄露风险,通过各种技术手段屏蔽互联网黑客,窃取用户个人信息,同时加强对企业内部员工的管理。对于用户来说,应该提高保护个人信息安全意识,不主动外泄个人信息,在互联网账户上尽量使用复杂的密码,不要使用相同账户和密码,这样相对比较安全。完备的法律是保障个人信息的有力武器,只有法制和技术携手,个人信息保护的防火墙才能越筑越牢。