来源:人民日报 更新时间:2017-01-03 10:07 作者:佚名 责任编辑:
原标题:聚焦《国家网络空间安全战略》――
筑起个人信息安全防火墙
2016年以来,仅涉网的侵犯公民个人信息的案件,公安机关办理了1800多起,涉及犯罪嫌疑人达4200多人。公安部十一局副局长钟忠日前在国家网信办新闻发布会上介绍:“近年来国家治安形势在整体上是积极的,刑事案件的数量在下降,但是网络犯罪的案件数量是上升的。其中,涉及广大民众个人权益的网络诈骗、盗窃以及黑客攻击、黄赌毒等刑事犯罪、违法犯罪的案件增长比较快。”
伴随着互联网的发展,世界范围内侵害个人隐私、侵害知识产权等违法犯罪经常发生。网络监听、网络攻击、网络渗透、网络恐怖主义对国家安全构成了严重的危害,已成为影响国家经济社会发展和人民利益的重大战略问题。
2016年7月,中办、国办发布《国家信息化发展战略纲要》;11月7日十二届全国人大常委会第二十四次会议表决通过了《网络安全法》;12月27日,国家互联网信息办公室发布《国家网络空间安全战略》。
“《战略》是指导未来10年国家网络安全工作的纲领性文件,对推进网络强国的建设、维护国家网络安全意义重大。” 国家互联网信息办公室副主任王秀军介绍,《战略》提出依法治网、依法办网、依法上网,让互联网在法制轨道上健康运行,保护网络空间信息依法有序流动,保护个人隐私和知识产权。
企业必须把个人信息保护的责任落到实处
近期个人信息泄露的情况频发,也有一些政府数据库和大型企业的数据库遭到泄露,信息时代如何保障个人的信息安全?
“网络安全战略、网络安全法,都对个人信息保护提出了明确的要求。网络安全战略强调要维护公民在网络空间的合法权益,强调保护个人隐私,强调打击针对个人信息的违法犯罪行为;在网络安全法中,更是对个人信息保护做了比较多的具体规定。”国家互联网信息办公室网络安全协调局局长赵泽良介绍,把个人信息保护的法律要求落到实处,需要从多方面入手,要把有关个人信息保护的法律责任、法律要求落实到企业、机构。
“大家经常到网上下载一些免费的APP,安装时会有选项,服务条款、隐私协议,你同意吗?实际上不同意就安装不了,但这些服务条款和隐私协议是否符合法律要求,是否把法律有关个人信息保护的责任和义务都贯彻进去了呢?很多服务条款和隐私协议存在着授权企业超范围采集个人信息的情况,或者授权企业在没有十分必要的情况下和第三方共享个人信息的情况。”赵泽良举例介绍说,对这些情况,应该按照法律要求尽快加以纠正。不能因为个人选择了同意,企业就放松对个人信息的保护。
一些企业以为提供的软件是免费的,就无须承担这方面的责任,这是不正确的。无论软件是免费的还是有偿的,都必须把个人信息保护的法律责任落到实处。
信息的自由流动、数据的跨境传输,应建立在规则基础上
《网络安全法》提出,关键信息基础设施的运营者在中华人民共和国境内收集和产生的个人信息和重要数据应该在境内存储,这一要求是否会影响数据的自由流动和国际贸易呢?
信息直接影响个人隐私、个人在网上的财产安全,也影响国家经济安全乃至国家安全。所以加强个人信息保护,加强重要数据的保护,这已成为各国的共识,也是各国的普遍做法。因此,对个人信息、重要数据,除非确有必要,不应该流出境外。
针对这样做会不会影响信息的自由流动,赵泽良回应,信息的自由流动、数据的跨境传输,都应该是建立在协议的基础之上的。互联网是因为TCP/IP协议诞生的,互联网发展也是因为规则协议的发展而发展的,没有协议和规则就没有互联网。如果离开了规则,离开了法律要求,讨论数据、信息流动也就没有实际意义。
记者了解到,目前国家互联网信息办公室正在按照法律的要求制定有关数据出境的办法,将会对数据出境评估工作作出具体要求。
加强关键信息基础设施保护是重头戏
关键信息基础设施已经成为能源、金融、交通、通信的关键问题,成为国家的命脉。加强关键信息基础设施保护是网络安全工作的重头戏。
赵泽良说,理念上要从分而治之向总体防护调整。以前的网络安全工作,更多的是讲分清边界,分清系统保护的责任,谁主管、谁运行、谁负责。如今,网络广泛互联、深度融合、高度共享,对网络安全工作提出了新要求。我们强调关键信息基础设施保护,就是要强化顶层设计、战略统筹、综合施策,强调保护整体安全。
关键信息基础设施保护,也不是对现有网络安全制度、规定的否定,比如等级保护制度,它是网络安全工作的重要制度。但是无论是等级保护制度还是其他的制度,都应该根据形势的发展、任务的发展,不断地进行调整完善,以便在新的条件下发挥作用。
“限制国外技术和产品进入”是误读
《国家网络空间安全战略》提出了要推广使用安全可控产品的要求,网络安全法也有同样的规定,其目的是维护广大人民群众在网络空间的安全和利益,维护国家的网络安全,而非搞贸易保护,更不是限制国外技术和产品的进入。
推广安全可信的产品,是否要限制国外的技术和产品进入呢?赵泽良表示,并不是这样的。安全可控、自主可控,是倡导产品服务提供者不能利用提供产品服务的优势来非法获取用户的信息,或者说损害用户对信息的支配权;倡导产品服务提供者不能利用用户对产品服务的高度依赖而损害用户利益,搞不正当竞争。比如说停止必要的安全服务,强迫用户更新换代升级等等。
企业要把用户利益的保护、建立用户对产品服务的信心放到重要位置,不但要提供价廉物美的产品,还要提供安全放心的产品,这样市场空间会更大。