《網路安全法》施行展望:誰會是第一個吃螃蟹的人?
經歷兩年時間的立法過程後,《網路安全法》終於在今天正式生效。
兩年前我讀過發布的第一版草案,和草案相比,現在的正式版在細節上精確了不少,比如關鍵信息基礎設施的範圍、個人信息保護的範圍和不同場景、違反的處罰金額等等。但它仍然是一部不完整的法律,因為有許多沒有定義、含糊的地方。
網信辦網路安全協調局負責人在昨天答記者問說,《網路安全法》的配套法規制度標準還在抓緊制定中,包括關鍵信息基礎設施保護辦法、個人信息和重要數據出境安全評估辦法、網路關鍵設備、網路安全專用產品目錄和個人信息安全規範等等。
目前來看,已生效的《網路安全法》會帶來什麼變化呢?第一個變化可能是實名,中國互聯網上的每一個可發布信息的角落,只有驗證了你是誰後才能提供服務。
幾乎所有網站都需要你提供身份信息
網路運營者為用戶辦理網路接入、域名註冊服務,辦理固定電話、行動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網路運營者不得為其提供相關服務。
「真實身份信息」,一般指姓名+身份證號,目前有一些網站用手機號作為身份信息,不確定這樣的做法是否行得通,雖然按相關規定手機號確實是實名的。
《網路安全法》第四十一條規定了企業不得收集與提供服務無關的個人信息,但按上面這條的意思,真實身份信息是任何一家國內經營企業可以且有必要收集的。
我對自己身份證號的隱私已經不抱任何希望。
你需要時刻關注網上的個人身份信息
個人發現網路運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網路運營者刪除其個人信息;發現網路運營者收集、存儲的其個人信息有錯誤的,有權要求網路運營者予以更正。網路運營者應當採取措施予以刪除或者更正。
這裡邊暗含一個安全細分市場——身份安全。國外比較成熟,有廠商提供專門的身份信用監控服務,對接徵信、稅務、銀行等各類機構,一旦發現有異動(主要是盜用),會向用戶發出警告。
每當國外有大企業發生數據泄漏,都會向受害用戶贈送一兩年的身份信用監控服務,以此作為賠償。
考慮到國內的大環境,預測可能在三到五年內會出現類似企業。
你的個人信息被泄漏,企業應該通知你
網路運營者應當採取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。
「及時告知用戶」,是社交網站上發個公告就行,還是定向髮網站私信、郵件才行?這裡恐怕有不少操作空間。
比如招商銀行前幾天爆出伺服器緩存bug,把A用戶的敏感信息泄漏給了B、C用戶,請問招行僅僅隨便發個微博,是否盡到法律義務呢?如果B、C用戶告知A用戶,下回再出現這事A用戶有可能起訴成功嗎?
繼續追問,用戶被泄漏個人敏感信息,僅僅通知是否足夠呢?什麼樣的泄漏案件,用戶可以起訴要求賠償呢?
所有企業都需要更多的審核人員
網路運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,採取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告。
任何個人和組織發送的電子信息、提供的應用軟體,不得設置惡意程序,不得含有法律、行政法規禁止發布或者傳輸的信息。電子信息發送服務提供者和應用軟體下載服務提供者,應當履行安全管理義務,知道其用戶有前款規定行為的,應當停止提供服務,採取消除等處置措施,保存有關記錄,並向有關主管部門報告。
「法律、行政法規禁止發布或者傳輸的信息」是一個黑盒,包括且不限於黃賭毒、反政府、敏感事件、非法組織等辭彙。
一般來說,BAT大廠服務出現相關信息的討論,事中積極屏蔽就行。小公司會直接拔網線,小几率公司會死亡。
所以招審核人員是很有必要的,也有可能是租用審核服務。
所有企業都需要一個安全頭銜
國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
……
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
這個頭銜的擁有者,最開始可能是創始人、第一個程序員,而非安全技術員。
網路安全等級保護制度後續可能會有新的要求,因此安全頭銜的人需要對相關信息持續保持關注。
所有企業都應該向政府坦誠
在整篇法規中,「向有關主管部門報告」出現過6次,包括
發現產品、服務存在缺陷或漏洞
發生危害網路安全的事件
發生或者可能發生個人信息泄露、毀損、丟失的情況
發現法律、行政法規禁止發布或者傳輸的信息
發現用戶發送的電子信息、提供的應用軟體設置惡意程序,或者含有法律、行政法規禁止發布或者傳輸的信息
(第6次是處罰條文)
暫時還不明確「有關主管部門」有哪些,但可以預想到,確定之後他們恐怕比工商部門還要忙了。
《網路安全法》賦予了「國家網信部門和有關部門依法履行網路信息安全監督管理職責」,在全文中,「有關主管部門責令」出現過12次。
粗淺理解,網信部門將和工商稅務、消防部門一樣,擁有隨時抽查企業的權利。互聯網小企業們要上心咯。
今年3月,人大會議發言人傅瑩透露,政府今年將開展網路安全法執法檢查,關注的重點之一就是加強個人信息保護。
大家都在等待大法實施後第一個案例。
點擊展開全文
※從誕生到鼎盛:扒扒殭屍網路的暗黑體制
※開發者親述:個人Chrome插件被黑之後,我的應急過程全記錄
※每月21000美元,你就可以得到影子經紀人組織放出的0day
※這個漏洞值7650美元,原因是你可以在任意Twitter賬戶上發小片兒
※如何通過SSH隧道實現 Windows Pass the Ticket攻擊?
TAG:嘶吼RoarTalk |
※「噓……我要給你建一個中國人無法監聽的安全網路!」
※《網路安全法》對我們的網路生活有哪些影響?
※網路安全到底是個什麼東西?是黑客搞的?
※《天行九歌》網路大電影要正式開拍,你看好哪個角色?
※關於網路安全,我們需要知道的是……
※你的網路安全嗎?
※那個號稱能讓中國斷網的「網路中立法案」是什麼鬼?
※天佑和五五開禁播了?網友:挺好的還我們一個純凈的網路環境
※網路安全第一課:珍愛自己,保護個人信息安全
※全網公認最好看的5大網路小說,《雪中悍刀行》墊底,第一部百看不厭!
※來打個賭,閃電網路到底行不行?
※夢話連篇的貓咪爆紅網路,網友:這又是要「成精」的節奏!
※網路不會為你的行為買單
※用AI監管網路言論,會是一個好辦法嗎?
※曾經出現在網路里的貓狗大戰,個個都是行家,快來看最後誰是贏家
※在這個時代,如何保護個人網路信息安全?
※這個小操作,讓政府郵件網路安全改進了一大步
※網路大咖公開懟吳亦凡:唱歌跟屎一樣,自稱「中國寫手第三名」!
※看看中美軍隊進行網路作戰的方式,讓一國從互聯網完全消失真的牛
※中牟一機關工作人員網路傳播暴恐音頻被行拘 國家安全日這些你要知道!