左曉棟網路安全人才培養

① 什麼是網路安全審查制度

簡介編輯
據中國之聲《全國新聞聯播》報道，國家互聯網信息辦公室2014年05月22日宣布，為維護國家網路安全、保障中國用戶合法利益，中國即將推出網路安全審查制度，關系國家安全和公共利益的系統使用的、重要信息技術產品和服務，應通過網路安全審查。

網路安全審查制度的出台，將成為維護國家網路安全最有效的法理依據，對於網路強國建設具有重大推動作用。

網路安全審查制度對進入中國市場的重要信息技術產品及提供者都將進行安全審查，重點是產品安全性和可控性，防止產品提供者藉助提供產品之便，非法控制、干擾、中斷用戶系統，非法收集、存儲、處理和利用用戶有關信息。對於審查不合格的產品和服務，將不得在中國境內使用。

中國工程院院士倪光南說，在保障安全的同時，網路安全審查制度提高了外企入華門檻，也將成為我國遭遇不公平貿易待遇時的反制裁武器。[1]

2涉及內容編輯
國家互聯網信息辦公室有關負責人介紹說，所謂網路安全審查，就是對關系國家安全和社會穩定的信息系統中使用的信息技術產品與服務進行測試評估、檢測分析、持續監督的過程。專家普遍認為，網路安全審查制度的出台恰逢其時，將大大推動我國網路強國建設。

完善網路安全保障體系

「沒有網路安全就沒有國家安全，網路已經成為繼陸、海、空、天之外的國家第五大主權空間。如果網路安全出了問題，國家安全就沒有保障，控制網路空間，就可以控制一個國家的經濟命脈、政治導向和社會穩定。」中國工程院院士沈昌祥如此評價信息時代網路安全的重要性。

關於網路信息安全保障體系建設，我國早在2003年就提出了「積極防禦，綜合防範」的方針。然而，此前僅僅是針對網
絡安全產品。中國信息安全研究院副院長左曉棟告訴《經濟日報》記者：「從現在的網路安全形勢看，僅對網路產品進行安全測評已遠遠不夠，因為系統都是由網路
產品和服務搭建起來的，如果產品和服務的安全性得不到保障，網路安全就像沙灘上的城堡。」

正因如此，此次公布的網路安全審查制度，首次將「關系國家安全和公共利益的系統使用的重要信息技術產品和服務」納入審查范圍。專家表示，黨、政、軍等重要部門和交通、能源、金融等關鍵行業所使用的網路產品和服務將被首先納入審查范圍

② 信息採集如何使用明白賬

隱私條款是用戶了解企業如何採集收集個人信息的一個主要窗口，同時也是用戶行使個人信息控制權的一個主渠道。北京大學互聯網發展研究中心高級顧問洪延青說，互聯網時代用戶希望「我的信息我做主」，網路產品和服務企業收集了用戶哪些信息、如何保存使用、如何轉讓等，必須給用戶一本「明白賬」。

10家參與評審的互聯網企業還發布倡議書，表示將尊重用戶知情權、控制權，遵守用戶授權，強調用戶信息安全等。同時這些企業表示，堅決杜絕與個人信息黑色產業鏈的任何交易及往來，積極配合監管機構監督檢查，主動接受社會各方監督。

支付寶也增加了注銷賬號的功能，其服務協議中顯示，用戶連續12個月未使用支付寶登錄名或支付寶認可的其他方式登錄過，將被強制注銷。我支付寶內還有錢，一年未登陸被注銷了咋辦。

③ 新出台的《網路安全法》對企業有哪些影響

隨著互聯網與實體經濟、傳統生產等的逐步融合，網路安全尤為關鍵。《中華人民共和國網路安全法》（以下簡稱：網路安全法）最近由全國人大常委會表決通過，於2017年6月1日起正式施行。這部備受關注的網路安全基礎性法律的出台，將會對個人、企業等相關主體產生哪些影響？
對個人：個人信息受保護更加明確
目前，我國網路用戶群體龐大。據中國互聯網路信息中心《第38次中國互聯網路發展狀況統計報告》，截至2016年6月底，中國網民規模達7．1億，互聯網普及率達51．7％，其中手機網民規模達6．56億，網路安全問題不可掉以輕心。那麼，網路安全法的出台，將會給個人帶來哪些影響？
網路安全法對保護個人信息有了明確規定，如「網路運營者不得泄露、篡改、毀損其收集的個人信息」「任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息」等。
中國信息安全研究院副院長左曉棟指出，保護個人信息是當前網路工作中的重要方面，隨著雲計算、大數據時代的到來，越來越多的企業和機構擁有搜索個人信息的能力，個人信息的使用、交互、跨境傳輸越發頻繁。雖然相關部門此前有一些政策法規，但總體比較分散、不成體系，正需要這樣一部上位法。
360網路安全專家裴智勇指出，個人信息泄漏有多種原因，如網站存在安全漏洞，黑客或釣魚網站的竊取，無良商家的盜賣等。第三方機構已披露的數據顯示，2015年，中國網站因為安全漏洞可能泄漏的個人信息多達55．3億條，其中包括大量的用戶實名信息。
中國互聯網協會「互聯網＋」研究咨詢中心副主任李易表示，未來網上聊天記錄、郵件往來等，都可以作為證據進行留存取證，網路糾紛和安全問題更便於追溯。這對網民網上消費生活信心的極大提升。他打了個比方，如果個人用戶在手機上下載並使用某個APP而導致個人信息泄露，過去沒法投訴提供服務的應用商，但網路安全法提供了明確的法律依據，「這意味著以後涉及互聯網領域的官司可能會越來越好打了。」
另一方面，網路安全法提出的「網路運營者為用戶辦理網路接入、域名注冊服務，辦理固定電話、行動電話等入網手續，或者為用戶提供信息發布、即時通訊等服務，應當要求用戶提供真實身份信息」等規定，也以法律形式明確了「網路實名制」。這給遏制如今網路謠言肆意傳播、網路暴力泛濫等亂象，提供了法治基礎。
左曉棟認為，從打擊犯罪、維護國家安全等角度看，這次提出的網路實名制比以往的電話實名制范圍更廣，且其「前台匿名、後台實名」的原則也充分保護個人隱私，如個人上網發帖子以後照樣可以匿名或用網名，只是在涉及執法時後台能追蹤調查到個人。
對企業：提高了准入門檻和運行安全能力要求
一旦互聯網企業或系統出現問題乃至發生癱瘓，會造成重大損失。在業內專家看來，互聯網發展到現階段，需要設置門檻，不能再「野蠻生長」；這個門檻就是安全，而網路安全法正是「安全保障之門」。
中國政法大學傳播法研究中心副主任朱巍指出，網路安全法對企業的安全資質、內部技術、制度等有了具體規定，要求網路服務提供者開展業務、提供服務的同時保障安全，若達不到要求無法進行服務。這將作為互聯網企業發展的一個衡量標准。
同時，網路安全法也對互聯網公司提出了更高要求。特別是，大型互聯網公司現在已可被視為基礎信息平台，如阿里、網路、騰訊等擁有數億用戶，這些企業應承擔起相應的義務。李易認為，互聯網企業必須有與其基礎信息平台相匹配的技術能力，如應對黑客攻擊、避免用戶損失等。同時，也要有相關的法律條款，對大企業的「霸王條款」進行規制。
業內專家也提出，網路安全法中「關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲」等規定，也對在我國經營的國外互聯網企業有了規范要求。
總的來說，網路安全法將提高互聯網企業的市場准入門檻，對發展運行也提出了更高的要求。尤其，在法律規范下，不具備安全技術能力的中小企業，未來可能更容易被淘汰。
專家建議：具體規定仍待細化
網路安全法出台到具體落實，還有一段過渡時間。在不少專家看來，不少具體規定要「落地」，還有一些配套措施需要完善。
朱巍說，網路實名制問題，到現在還沒有徹底落實，主要原因在技術上，是採用手機還是EID（網路電子身份證）等，方式仍未確定。另外，網站的主體責任問題目前仍未落實；仍未明確不同行業應遵循的具體標准；對於網站創建網民協議、搜集用戶信息、用戶知情權等的具體規定，也較缺乏。而且，現在很多互聯網企業並不保存點對點的信息記錄，一旦出現問題還是很難溯源。
朱巍認為，網路安全法「落地」，需要實施細則、個人數據保護法等其他法規的「配合」，網民協議制度、行業自律規范、技術能力等也都要跟上。
李易說，可以考慮推行評級系統，互聯網企業要正常運營，網路安全評級或可信度需要達到一定的等級，「這也相當於一個准入標准。」
北京師范大學法學院教授、亞太網路法律研究中心主任劉德良表示，未來要處理好網路安全法與一些相關法律法規的關系，如民事侵權責任、個人信息保護、軟硬體市場准入等相關法律法規，在保障網路安全的同時，避免在法律適用等環節出現問題。
互聯網領域新生事物的快速發展，對監管部門提出了更高的要求。業內專家指出，強制要求備案，所有互聯網企業域名解析、伺服器託管需要相關認證等規定，都是對互聯網企業創業的基本要求，尤其對於中小企業。左曉棟等表示，網路安全法到明年正式施行，還有幾個月時間，相關部門當抓緊制定和完善相關細則規定，推動相關企業做好准備工作。

④ 網路時代如何保護個人信息不被濫用

短視頻類APP，卻一定要讀取我的地理位置、通訊錄，否則就不能使用。類似這樣的APP「霸王條款」，在草案中被明令禁止。

草案第17條提出，個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由，拒絕提供產品或者服務；處理個人信息屬於提供產品或者服務所必需的除外。

專家認為，相較於一年多前國家網信辦發布的《數據安全管理辦法（徵求意見稿）》中提出的類似條款，草案的權威性更高。「如果是跟APP核心功能無關的許可權，草案明確規定，如果用戶不同意，你是不能以用戶不授權為由拒絕為其提供服務的。」APP專項治理工作組專家、中國電子技術標准化研究院信息安全研究中心測評實驗室副主任何延哲表示，草案保障用戶使用APP時充分的知情選擇權，APP強制索權在法理層面將成為歷史。

何延哲建議，對於部分APP廠商所提出的「用戶個人信息授權與賬戶安全相關」的訴求，有關部門也需加快推進行業標準的制定，「有的APP為了保障用戶賬戶安全，可能只需要三個信息要素，有的可能需要五個，這些也需要具體問題具體分析。」

公共場所隨意採集人臉信息？不再允許！

在人臉識別技術日漸普及的當下，部分企業將人臉作為新的利益增長點，街巷、商場甚至小賣部中，都有他們安裝的人臉信息採集設備。

草案提出，在公共場所安裝圖像採集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，並設置顯著的提示標識。所收集的個人圖像、個人身份特徵信息只能用於維護公共安全的目的，不得公開或者向他人提供；取得個人單獨同意或者法律、行政法規另有規定的除外。

「草案對於在公共場所採集人臉等身份特徵信息做了進一步的規范，也就是說未來在公共場所，只要不是出於公共安全目的，任何機構不得隨意採集人臉信息。」何延哲說，「個人圖像」和「個人身份特徵信息」是兩個不同維度的個人信息，「個人圖像」是不包含姓名、身份證號等其他關聯信息的圖像，但也存在識別出個人的可能。這意味著機構如非公共安全必需，即便是無意中採集了個人圖像也不能用於識別個人身份，同時也要保證信息安全，不能對外提供和公開，以免他人用於識別個人身份。

個人信息授權可隨時撤回，更加體現「以人為本」精神

草案提出，基於個人同意而進行的個人信息處理活動，個人有權撤回其同意。

「就像我們平時做出一個決定可以反悔一樣，哪怕你是合規收集處理我的信息，但是現在我突然不想被你收集信息了，你就不能再繼續收集了。」中國信息安全研究院副院長左曉棟認為，這一條款的設立與第17條相輔相成，進一步明確用戶在撤回個人信息授權後使用產品和服務的權利。

同時，草案相關條款還提出，當個人撤回同意後，個人信息處理者應當刪除個人信息。也就是說，當用戶「撤回同意」後，相關機構不僅喪失了繼續收集該用戶個人信息的許可權，同時也應根據草案的有關要求，適時刪除其資料庫中所留存的該用戶的原始個人信息。

此外，草案還要求，個人信息處理者在緊急情況下為保護自然人的生命健康和財產安全處理個人信息卻無法及時向個人告知的，個人信息處理者應當在緊急情況消除後予以告知。「這一規定較好地平衡了各方面的權利。例如，在處置突發公共事件時，有時需要收集或調取個人信息，可能來不及告知個人信息主體，但相關機構在處置完畢後應當告知個人信息被收集人。」左曉棟說。

濫用個人信息企業還能「自罰三杯」嗎？草案大大提高處罰標准

⑤ 《數據安全管理辦法（徵求意見稿）》發布 為個人數據安全加把鎖

隨便注冊一個應用就要身份證號，推送來的廣告好像會「讀心」，大數據「殺熟」防不勝防，注銷賬號「難於上青天」……這些在個人數據保護中頻頻出現的難題有望迎刃而解。

國家互聯網信息辦公室日前發布《數據安全管理辦法（徵求意見稿）》（以下簡稱《辦法》），對網路運營者在數據收集、處理使用、安全監督管理等方面提出了要求，為個人數據安全加上了一把鎖。

為啥出台《辦法》？這與當前日趨嚴峻的個人信息濫用和泄露的狀況顯然息息相關。根據官方對百款常用手機應用統計數據顯示，其中相當一部分手機應用存在強制超范圍索要許可權情況，平均每個應用申請收集個人信息相關許可權數有10項，但實際上用戶不同意開啟則APP無法安裝或運行的許可權數平均僅為3項。

來自「電子商務消費糾紛調解平台」的大數據同樣顯示，近年來包括天貓、淘寶、京東、蘇寧易購、唯品會等電商平台，以及大眾點評、網路糯米、攜程等生活服務平台，均曾出現過用戶信息泄露事件。僅在2018年，就多次出現用戶個人信息泄露事件，比如圓通、順豐十幾億條個人信息在暗網被出售，12306數百萬條旅客信息在網上被出售等。

數據保護「有章可循」

在《辦法》中，數據活動被界定為「利用網路開展數據收集、存儲、傳輸、處理、使用等活動」。「與已經發布的《信息安全技術個人信息安全規范》和《互聯網個人信息安全保護指南》相比，未來有可能作為部門規章發布的《辦法》效力層級更高，既是大數據時代數據安全的剛需體現，也在為5G市場鋪平國內數據處理合規化道路。」上海漢盛律師事務所高級合夥人李旻說。

北京觀韜中茂（上海）律師事務所合夥人王渝偉也認為，與《網路安全法》相比，此次徵求意見稿更為詳盡，也有望為未來個人信息保護方面的法律提供參考。

此次《辦法》中的「亮點」提法，也讓個人數據保護有章可循。一方面，《辦法》強調了用戶的選擇權，如其中明確要求「制定並公開個人信息收集使用規則」，且強調「如果收集使用規則包含在隱私政策中，應相對集中，明顯提示，以方便閱讀」，突出信息使用規則的重要性，以便個人信息主體享有充分選擇權。此外還特別規定，對「網路產品核心業務功能運行的個人信息」以外的信息，網路運營者不得因個人信息主體未同意收集而拒絕提供核心業務功能服務。也就是說，網路運營者不能在數據索取上「漫天要價」。

「這實際上就是為了避免網路服務提供者為了收集數據採取脅迫或者誤導行為。」中國 社會 科學院信息化研究中心秘書長姜奇平表示，信息採集的主導權和選擇權必須交給消費者，這是信息服務的原則性問題。

另一方面，《辦法》也進一步強調了對用戶隱私的保護，《辦法》要求「網路運營者以經營為目的收集重要數據或個人敏感信息的，應向所在地網信部門備案」。根據《信息安全技術個人信息安全規范》，包括身份證信息、電話號碼、郵箱地址、瀏覽記錄、定位信息乃至個人指紋、聲紋，這些都屬於個人敏感信息。「通過國家強制力對隱私信息的收集使用予以限制，在隱私信息泄漏時亦有跡可循，以實現個人隱私信息的數據安全。」李旻說。

中國信息安全研究院副院長左曉棟表示，只有能對隱私信息的收集者追根溯源，才能從源頭保護個人數據安全。

解決方法直面「痛點」

「《辦法》對於近年來層出不窮的網路數據安全問題予以細化，針對新型數據安全管理的規定能及時填補因 社會 發展導致的法律漏洞，具有前瞻性。」李旻說。

從《辦法》的具體規定來看，不少一直困擾用戶的「痛點」被明確點名，比如剛訂了一張機票，馬上各個應用就開始推薦目的地相關信息，這種利用用戶瀏覽 歷史 ，通過定向推送獲得廣告收入的「精準廣告」，讓不少用戶覺得毫無隱私。對此，《辦法》明確規定，要求利用用戶數據和演算法推送新聞信息、商業廣告需顯著標明「定推」字樣, 並為用戶拒絕接受定向推送信息提供選擇權，「用戶選擇停止接收定向推送信息時，應當停止推送，並刪除已經收集的設備識別碼等用戶數據和個人信息」。

「廣告主採集用戶的信息難度會增加，但這也是全球范圍內的大趨勢，各個主要國家的相關法規，也都在強調保護消費者的個人數據隱私。」網路廣告平台Marteker創始人馮祺表示。

再比如，針對賬號注銷難，賬號注銷後個人信息消除難，《辦法》也特別提出，要保護用戶的「被遺忘權」。《辦法》強調，「收集使用規則應突出個人信息主體撤銷同意，以及查詢、更正、刪除個人信息的途徑和方法」。「網路運營者收到有關個人信息查詢、更正、刪除以及用戶注銷賬號請求時，應當在合理時間和代價范圍內予以查詢、更正、刪除或注銷賬號。」

「突出『被遺忘權』保護也是辦法的一個亮點。『被遺忘』是消費者的合理訴求。」左曉棟說。

在北京億達（上海）律師事務所律師董毅智看來，「被遺忘權」仍需進一步細化，「比如，在用戶注銷賬戶後，網路經營者對於已經散發出去的信息如何處理？用戶是否有權要求網路經營者對已經散發出去的信息予以刪除或者負責？」

此外，包括「網路爬蟲」訪問收集流量不得超過網站日均流量的三分之一，限制「大數據殺熟」等歧視性推送行為，明確數據安全責任人的任職要求，要求提供數據安全責任人的姓名及聯系方式等，《辦法》中的相關規定，為個人數據保護中的一系列熱點問題提供了解決方案。

「互聯網行業頭部企業的天然主導性，導致行業內部缺乏競爭，基於用戶對平台服務的信任而建立起的黏性，不能成為某些平台實行差別定價、數據反復買賣的底氣。從這個角度來講，《辦法》對同行業、跨行業之間企業聯手利用用戶信息的合規性提出了新要求。」董毅智表示。

⑥ 網路安全審查制度的涉及內容

國家互聯網信息辦公室有關負責人介紹說，所謂網路安全審查，就是對關系國家安全和社會穩定的信息系統中使用的信息技術產品與服務進行測試評估、檢測分析、持續監督的過程。專家普遍認為，網路安全審查制度的出台恰逢其時，將大大推動我國網路強國建設。
完善網路安全保障體系
「沒有網路安全就沒有國家安全，網路已經成為繼陸、海、空、天之外的國家第五大主權空間。如果網路安全出了問題，國家安全就沒有保障，控制網路空間，就可以控制一個國家的經濟命脈、政治導向和社會穩定。」中國工程院院士沈昌祥如此評價信息時代網路安全的重要性。
關於網路信息安全保障體系建設，我國早在2003年就提出了「積極防禦，綜合防範」的方針。然而，此前僅僅是針對網路安全產品。中國信息安全研究院副院長左曉棟告訴《經濟日報》記者：「從現在的網路安全形勢看，僅對網路產品進行安全測評已遠遠不夠，因為系統都是由網路產品和服務搭建起來的，如果產品和服務的安全性得不到保障，網路安全就像沙灘上的城堡。」
正因如此，此次公布的網路安全審查制度，首次將「關系國家安全和公共利益的系統使用的重要信息技術產品和服務」納入審查范圍。專家表示，黨、政、軍等重要部門和交通、能源、金融等關鍵行業所使用的網路產品和服務將被首先納入審查范圍。