网络安全法聚焦个人信息安全保护 “乌云”逐步肃清

历时两年三审之后，11月7日，十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法(以下简称《网络安全法》)，并将自2017年6月1日起施行，将全社会对网络安全的关注提到前所未有的新高度。

这部我国网络安全领域的基础性法律，在确立安全在整个信息系统建设中的核心和关键地位的同时，明确了基础设施安全和个人信息安全两个突出重点，对保护公众个人信息安全，将起到积极作用，而从企业自发重视网络安全上升到法律强制推行后，网络安全相关产业市场空间也将迎来加速增长。

聚焦个人信息安全保护

《网络安全法》聚焦个人信息泄露，明确网络产品服务提供者、运营者的责任，严厉打击出售贩卖个人信息的行为，对保护公众个人信息安全将起到积极作用。

个人信息的泄露是网络诈骗泛滥的重要原因，今年以来舆论关注的山东两名大学生遭电信诈骗死亡案、清华大学教授遭电信诈骗案，皆因个人信息泄露之后的精准诈骗造成。

警方近年查获曝光的大量案件显示，公民个人信息的泄露、收集、转卖，已经形成了完整的黑灰产业链。据中国互联网协会发布的《2016中国网民权益保护调查报告》显示，84%的网民曾亲身感受到由于个人信息泄露带来的不良影响。

对此，《网络安全法》作出专门规定：网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；网络运营者不得泄露、篡改、毁损其收集的个人信息；任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或非法向他人提供个人信息，并规定了相应法律责任。

除严防个人信息泄露，《网络安全法》针对层出不穷的新型网络诈骗犯罪还规定：任何个人和组织不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布与实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。

中国政法大学传播法研究中心副主任朱巍表示，无论网络诈骗花样如何翻新，都是通过即时聊天工具、搜索平台、网络发布平台、电子邮件等渠道实施和传播的。这些规定，不仅对诈骗个人和组织起到震慑作用，更明确了互联网企业不可推卸的责任。

“不得收集与其提供的服务无关的个人信息。”中国信息安全研究院副院长左晓栋表示，强调收集个人信息的边界是这部法律的亮点之一，比如地图导航软件需要用户的物理位置，这是功能性要求，可以满足，但如果要用户提供姓名和身份证号就属于不必要了。

左晓栋认为，网络安全法对个人信息保护提出了专业的要求，作为一个上位法，有助于今后制定相关管理条例和实施细则。而目前涉及电信网络诈骗的个人信息保护等问题还分散于刑法等法规中，专家建议考虑出台个人信息保护法，根治电信网络诈骗。

对关键信息基础设施重点保护

信息基础设施的安全隐患具有很大的破坏性和杀伤力，《网络安全法》在关键信息基础设施的运行安全、建立网络安全监测预警与应急处置制度等方面都作出了明确规定。

左晓栋表示，信息化的深入推进，使关键信息基础设施成为社会运转的神经系统。保护国家关键信息基础设施是国际惯例，此次以法律的形式予以明确和强调，非常及时而且必要。

2014年国家网信办曾披露的数据显示，我国一直是网络攻击的受害国，每月有1万多个网站被篡改，80%的政府网站受到过攻击。

左晓栋表示，网络空间的主权不仅包括对我国自己的关键信息基础设施进行保护的权利，同时包括抵御外来侵犯的权利。“当今世界各国纷纷采取各种措施防范自己的网络空间不受外来侵犯，采取一切手段包括军事手段保护其信息基础设施的安全。网络安全法作出这一规定，不仅符合国际惯例，也表明了我们维护国家网络主权的坚强决心。”

现实社会中，出现重大突发事件，为确保应急处置、维护国家和公众安全，有关部门往往会采取交通管制等措施，网络空间也不例外。

左晓栋认为，在当前全社会都普遍使用信息技术的情况下，网络通信管制作为重大突发事件管制措施中的一种，重要性越来越突出。在暴恐事件中，恐怖分子越来越多地通过网络进行组织、策划、勾连、活动，这个时候可能就要对网络通信进行管制。

《网络安全法》提出，因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。