左晓栋网络安全人才培养

① 什么是网络安全审查制度

简介编辑
据中国之声《全国新闻联播》报道，国家互联网信息办公室2014年05月22日宣布，为维护国家网络安全、保障中国用户合法利益，中国即将推出网络安全审查制度，关系国家安全和公共利益的系统使用的、重要信息技术产品和服务，应通过网络安全审查。

网络安全审查制度的出台，将成为维护国家网络安全最有效的法理依据，对于网络强国建设具有重大推动作用。

网络安全审查制度对进入中国市场的重要信息技术产品及提供者都将进行安全审查，重点是产品安全性和可控性，防止产品提供者借助提供产品之便，非法控制、干扰、中断用户系统，非法收集、存储、处理和利用用户有关信息。对于审查不合格的产品和服务，将不得在中国境内使用。

中国工程院院士倪光南说，在保障安全的同时，网络安全审查制度提高了外企入华门槛，也将成为我国遭遇不公平贸易待遇时的反制裁武器。[1]

2涉及内容编辑
国家互联网信息办公室有关负责人介绍说，所谓网络安全审查，就是对关系国家安全和社会稳定的信息系统中使用的信息技术产品与服务进行测试评估、检测分析、持续监督的过程。专家普遍认为，网络安全审查制度的出台恰逢其时，将大大推动我国网络强国建设。

完善网络安全保障体系

“没有网络安全就没有国家安全，网络已经成为继陆、海、空、天之外的国家第五大主权空间。如果网络安全出了问题，国家安全就没有保障，控制网络空间，就可以控制一个国家的经济命脉、政治导向和社会稳定。”中国工程院院士沈昌祥如此评价信息时代网络安全的重要性。

关于网络信息安全保障体系建设，我国早在2003年就提出了“积极防御，综合防范”的方针。然而，此前仅仅是针对网
络安全产品。中国信息安全研究院副院长左晓栋告诉《经济日报》记者：“从现在的网络安全角势看，仅对网络产品进行安全测评已远远不够，因为系统都是由网络
产品和服务搭建起来的，如果产品和服务的安全性得不到保障，网络安全就像沙滩上的城堡。”

正因如此，此次公布的网络安全审查制度，首次将“关系国家安全和公共利益的系统使用的重要信息技术产品和服务”纳入审查范围。专家表示，党、政、军等重要部门和交通、能源、金融等关键行业所使用的网络产品和服务将被首先纳入审查范围

② 信息采集如何使用明白账

隐私条款是用户了解企业如何采集收集个人信息的一个主要窗口，同时也是用户行使个人信息控制权的一个主渠道。北京大学互联网发展研究中心高级顾问洪延青说，互联网时代用户希望“我的信息我做主”，网络产品和服务企业收集了用户哪些信息、如何保存使用、如何转让等，必须给用户一本“明白账”。

10家参与评审的互联网企业还发布倡议书，表示将尊重用户知情权、控制权，遵守用户授权，强调用户信息安全等。同时这些企业表示，坚决杜绝与个人信息黑色产业链的任何交易及往来，积极配合监管机构监督检查，主动接受社会各方监督。

支付宝也增加了注销账号的功能，其服务协议中显示，用户连续12个月未使用支付宝登录名或支付宝认可的其他方式登录过，将被强制注销。我支付宝内还有钱，一年未登陆被注销了咋办。

③ 新出台的《网络安全法》对企业有哪些影响

随着互联网与实体经济、传统生产等的逐步融合，网络安全尤为关键。《中华人民共和国网络安全法》（以下简称：网络安全法）最近由全国人大常委会表决通过，于2017年6月1日起正式施行。这部备受关注的网络安全基础性法律的出台，将会对个人、企业等相关主体产生哪些影响？
对个人：个人信息受保护更加明确
目前，我国网络用户群体庞大。据中国互联网络信息中心《第38次中国互联网络发展状况统计报告》，截至2016年6月底，中国网民规模达7．1亿，互联网普及率达51．7％，其中手机网民规模达6．56亿，网络安全问题不可掉以轻心。那么，网络安全法的出台，将会给个人带来哪些影响？
网络安全法对保护个人信息有了明确规定，如“网络运营者不得泄露、篡改、毁损其收集的个人信息”“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息”等。
中国信息安全研究院副院长左晓栋指出，保护个人信息是当前网络工作中的重要方面，随着云计算、大数据时代的到来，越来越多的企业和机构拥有搜索个人信息的能力，个人信息的使用、交互、跨境传输越发频繁。虽然相关部门此前有一些政策法规，但总体比较分散、不成体系，正需要这样一部上位法。
360网络安全专家裴智勇指出，个人信息泄漏有多种原因，如网站存在安全漏洞，黑客或钓鱼网站的窃取，无良商家的盗卖等。第三方机构已披露的数据显示，2015年，中国网站因为安全漏洞可能泄漏的个人信息多达55．3亿条，其中包括大量的用户实名信息。
中国互联网协会“互联网＋”研究咨询中心副主任李易表示，未来网上聊天记录、邮件往来等，都可以作为证据进行留存取证，网络纠纷和安全问题更便于追溯。这对网民网上消费生活信心的极大提升。他打了个比方，如果个人用户在手机上下载并使用某个APP而导致个人信息泄露，过去没法投诉提供服务的应用商，但网络安全法提供了明确的法律依据，“这意味着以后涉及互联网领域的官司可能会越来越好打了。”
另一方面，网络安全法提出的“网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，应当要求用户提供真实身份信息”等规定，也以法律形式明确了“网络实名制”。这给遏制如今网络谣言肆意传播、网络暴力泛滥等乱象，提供了法治基础。
左晓栋认为，从打击犯罪、维护国家安全等角度看，这次提出的网络实名制比以往的电话实名制范围更广，且其“前台匿名、后台实名”的原则也充分保护个人隐私，如个人上网发帖子以后照样可以匿名或用网名，只是在涉及执法时后台能追踪调查到个人。
对企业：提高了准入门槛和运行安全能力要求
一旦互联网企业或系统出现问题乃至发生瘫痪，会造成重大损失。在业内专家看来，互联网发展到现阶段，需要设置门槛，不能再“野蛮生长”；这个门槛就是安全，而网络安全法正是“安全保障之门”。
中国政法大学传播法研究中心副主任朱巍指出，网络安全法对企业的安全资质、内部技术、制度等有了具体规定，要求网络服务提供者开展业务、提供服务的同时保障安全，若达不到要求无法进行服务。这将作为互联网企业发展的一个衡量标准。
同时，网络安全法也对互联网公司提出了更高要求。特别是，大型互联网公司现在已可被视为基础信息平台，如阿里、网络、腾讯等拥有数亿用户，这些企业应承担起相应的义务。李易认为，互联网企业必须有与其基础信息平台相匹配的技术能力，如应对黑客攻击、避免用户损失等。同时，也要有相关的法律条款，对大企业的“霸王条款”进行规制。
业内专家也提出，网络安全法中“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”等规定，也对在我国经营的国外互联网企业有了规范要求。
总的来说，网络安全法将提高互联网企业的市场准入门槛，对发展运行也提出了更高的要求。尤其，在法律规范下，不具备安全技术能力的中小企业，未来可能更容易被淘汰。
专家建议：具体规定仍待细化
网络安全法出台到具体落实，还有一段过渡时间。在不少专家看来，不少具体规定要“落地”，还有一些配套措施需要完善。
朱巍说，网络实名制问题，到现在还没有彻底落实，主要原因在技术上，是采用手机还是EID（网络电子身份证）等，方式仍未确定。另外，网站的主体责任问题目前仍未落实；仍未明确不同行业应遵循的具体标准；对于网站创建网民协议、搜集用户信息、用户知情权等的具体规定，也较缺乏。而且，现在很多互联网企业并不保存点对点的信息记录，一旦出现问题还是很难溯源。
朱巍认为，网络安全法“落地”，需要实施细则、个人数据保护法等其他法规的“配合”，网民协议制度、行业自律规范、技术能力等也都要跟上。
李易说，可以考虑推行评级系统，互联网企业要正常运营，网络安全评级或可信度需要达到一定的等级，“这也相当于一个准入标准。”
北京师范大学法学院教授、亚太网络法律研究中心主任刘德良表示，未来要处理好网络安全法与一些相关法律法规的关系，如民事侵权责任、个人信息保护、软硬件市场准入等相关法律法规，在保障网络安全的同时，避免在法律适用等环节出现问题。
互联网领域新生事物的快速发展，对监管部门提出了更高的要求。业内专家指出，强制要求备案，所有互联网企业域名解析、服务器托管需要相关认证等规定，都是对互联网企业创业的基本要求，尤其对于中小企业。左晓栋等表示，网路安全法到明年正式施行，还有几个月时间，相关部门当抓紧制定和完善相关细则规定，推动相关企业做好准备工作。

④ 网络时代如何保护个人信息不被滥用

短视频类APP，却一定要读取我的地理位置、通讯录，否则就不能使用。类似这样的APP“霸王条款”，在草案中被明令禁止。

草案第17条提出，个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。

专家认为，相较于一年多前国家网信办发布的《数据安全管理办法（征求意见稿）》中提出的类似条款，草案的权威性更高。“如果是跟APP核心功能无关的权限，草案明确规定，如果用户不同意，你是不能以用户不授权为由拒绝为其提供服务的。”APP专项治理工作组专家、中国电子技术标准化研究院信息安全研究中心测评实验室副主任何延哲表示，草案保障用户使用APP时充分的知情选择权，APP强制索权在法理层面将成为历史。

何延哲建议，对于部分APP厂商所提出的“用户个人信息授权与账户安全相关”的诉求，有关部门也需加快推进行业标准的制定，“有的APP为了保障用户账户安全，可能只需要三个信息要素，有的可能需要五个，这些也需要具体问题具体分析。”

公共场所随意采集人脸信息？不再允许！

在人脸识别技术日渐普及的当下，部分企业将人脸作为新的利益增长点，街巷、商场甚至小卖部中，都有他们安装的人脸信息采集设备。

草案提出，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显着的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供；取得个人单独同意或者法律、行政法规另有规定的除外。

“草案对于在公共场所采集人脸等身份特征信息做了进一步的规范，也就是说未来在公共场所，只要不是出于公共安全目的，任何机构不得随意采集人脸信息。”何延哲说，“个人图像”和“个人身份特征信息”是两个不同维度的个人信息，“个人图像”是不包含姓名、身份证号等其他关联信息的图像，但也存在识别出个人的可能。这意味着机构如非公共安全必需，即便是无意中采集了个人图像也不能用于识别个人身份，同时也要保证信息安全，不能对外提供和公开，以免他人用于识别个人身份。

个人信息授权可随时撤回，更加体现“以人为本”精神

草案提出，基于个人同意而进行的个人信息处理活动，个人有权撤回其同意。

“就像我们平时做出一个决定可以反悔一样，哪怕你是合规收集处理我的信息，但是现在我突然不想被你收集信息了，你就不能再继续收集了。”中国信息安全研究院副院长左晓栋认为，这一条款的设立与第17条相辅相成，进一步明确用户在撤回个人信息授权后使用产品和服务的权利。

同时，草案相关条款还提出，当个人撤回同意后，个人信息处理者应当删除个人信息。也就是说，当用户“撤回同意”后，相关机构不仅丧失了继续收集该用户个人信息的权限，同时也应根据草案的有关要求，适时删除其数据库中所留存的该用户的原始个人信息。

此外，草案还要求，个人信息处理者在紧急情况下为保护自然人的生命健康和财产安全处理个人信息却无法及时向个人告知的，个人信息处理者应当在紧急情况消除后予以告知。“这一规定较好地平衡了各方面的权利。例如，在处置突发公共事件时，有时需要收集或调取个人信息，可能来不及告知个人信息主体，但相关机构在处置完毕后应当告知个人信息被收集人。”左晓栋说。

滥用个人信息企业还能“自罚三杯”吗？草案大大提高处罚标准

⑤ 《数据安全管理办法（征求意见稿）》发布 为个人数据安全加把锁

随便注册一个应用就要身份证号，推送来的广告好像会“读心”，大数据“杀熟”防不胜防，注销账号“难于上青天”……这些在个人数据保护中频频出现的难题有望迎刃而解。

国家互联网信息办公室日前发布《数据安全管理办法（征求意见稿）》（以下简称《办法》），对网络运营者在数据收集、处理使用、安全监督管理等方面提出了要求，为个人数据安全加上了一把锁。

为啥出台《办法》？这与当前日趋严峻的个人信息滥用和泄露的状况显然息息相关。根据官方对百款常用手机应用统计数据显示，其中相当一部分手机应用存在强制超范围索要权限情况，平均每个应用申请收集个人信息相关权限数有10项，但实际上用户不同意开启则APP无法安装或运行的权限数平均仅为3项。

来自“电子商务消费纠纷调解平台”的大数据同样显示，近年来包括天猫、淘宝、京东、苏宁易购、唯品会等电商平台，以及大众点评、网络糯米、携程等生活服务平台，均曾出现过用户信息泄露事件。仅在2018年，就多次出现用户个人信息泄露事件，比如圆通、顺丰十几亿条个人信息在暗网被出售，12306数百万条旅客信息在网上被出售等。

数据保护“有章可循”

在《办法》中，数据活动被界定为“利用网络开展数据收集、存储、传输、处理、使用等活动”。“与已经发布的《信息安全技术个人信息安全规范》和《互联网个人信息安全保护指南》相比，未来有可能作为部门规章发布的《办法》效力层级更高，既是大数据时代数据安全的刚需体现，也在为5G市场铺平国内数据处理合规化道路。”上海汉盛律师事务所高级合伙人李旻说。

北京观韬中茂（上海）律师事务所合伙人王渝伟也认为，与《网络安全法》相比，此次征求意见稿更为详尽，也有望为未来个人信息保护方面的法律提供参考。

此次《办法》中的“亮点”提法，也让个人数据保护有章可循。一方面，《办法》强调了用户的选择权，如其中明确要求“制定并公开个人信息收集使用规则”，且强调“如果收集使用规则包含在隐私政策中，应相对集中，明显提示，以方便阅读”，突出信息使用规则的重要性，以便个人信息主体享有充分选择权。此外还特别规定，对“网络产品核心业务功能运行的个人信息”以外的信息，网络运营者不得因个人信息主体未同意收集而拒绝提供核心业务功能服务。也就是说，网络运营者不能在数据索取上“漫天要价”。

“这实际上就是为了避免网络服务提供者为了收集数据采取胁迫或者误导行为。”中国 社会 科学院信息化研究中心秘书长姜奇平表示，信息采集的主导权和选择权必须交给消费者，这是信息服务的原则性问题。

另一方面，《办法》也进一步强调了对用户隐私的保护，《办法》要求“网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案”。根据《信息安全技术个人信息安全规范》，包括身份证信息、电话号码、邮箱地址、浏览记录、定位信息乃至个人指纹、声纹，这些都属于个人敏感信息。“通过国家强制力对隐私信息的收集使用予以限制，在隐私信息泄漏时亦有迹可循，以实现个人隐私信息的数据安全。”李旻说。

中国信息安全研究院副院长左晓栋表示，只有能对隐私信息的收集者追根溯源，才能从源头保护个人数据安全。

解决方法直面“痛点”

“《办法》对于近年来层出不穷的网络数据安全问题予以细化，针对新型数据安全管理的规定能及时填补因 社会 发展导致的法律漏洞，具有前瞻性。”李旻说。

从《办法》的具体规定来看，不少一直困扰用户的“痛点”被明确点名，比如刚订了一张机票，马上各个应用就开始推荐目的地相关信息，这种利用用户浏览 历史 ，通过定向推送获得广告收入的“精准广告”，让不少用户觉得毫无隐私。对此，《办法》明确规定，要求利用用户数据和算法推送新闻信息、商业广告需显着标明“定推”字样, 并为用户拒绝接受定向推送信息提供选择权，“用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息”。

“广告主采集用户的信息难度会增加，但这也是全球范围内的大趋势，各个主要国家的相关法规，也都在强调保护消费者的个人数据隐私。”网络广告平台Marteker创始人冯祺表示。

再比如，针对账号注销难，账号注销后个人信息消除难，《办法》也特别提出，要保护用户的“被遗忘权”。《办法》强调，“收集使用规则应突出个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法”。“网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时，应当在合理时间和代价范围内予以查询、更正、删除或注销账号。”

“突出‘被遗忘权’保护也是办法的一个亮点。‘被遗忘’是消费者的合理诉求。”左晓栋说。

在北京亿达（上海）律师事务所律师董毅智看来，“被遗忘权”仍需进一步细化，“比如，在用户注销账户后，网络经营者对于已经散发出去的信息如何处理？用户是否有权要求网络经营者对已经散发出去的信息予以删除或者负责？”

此外，包括“网络爬虫”访问收集流量不得超过网站日均流量的三分之一，限制“大数据杀熟”等歧视性推送行为，明确数据安全责任人的任职要求，要求提供数据安全责任人的姓名及联系方式等，《办法》中的相关规定，为个人数据保护中的一系列热点问题提供了解决方案。

“互联网行业头部企业的天然主导性，导致行业内部缺乏竞争，基于用户对平台服务的信任而建立起的黏性，不能成为某些平台实行差别定价、数据反复买卖的底气。从这个角度来讲，《办法》对同行业、跨行业之间企业联手利用用户信息的合规性提出了新要求。”董毅智表示。

⑥ 网络安全审查制度的涉及内容

国家互联网信息办公室有关负责人介绍说，所谓网络安全审查，就是对关系国家安全和社会稳定的信息系统中使用的信息技术产品与服务进行测试评估、检测分析、持续监督的过程。专家普遍认为，网络安全审查制度的出台恰逢其时，将大大推动我国网络强国建设。
完善网络安全保障体系
“没有网络安全就没有国家安全，网络已经成为继陆、海、空、天之外的国家第五大主权空间。如果网络安全出了问题，国家安全就没有保障，控制网络空间，就可以控制一个国家的经济命脉、政治导向和社会稳定。”中国工程院院士沈昌祥如此评价信息时代网络安全的重要性。
关于网络信息安全保障体系建设，我国早在2003年就提出了“积极防御，综合防范”的方针。然而，此前仅仅是针对网络安全产品。中国信息安全研究院副院长左晓栋告诉《经济日报》记者：“从现在的网络安全角势看，仅对网络产品进行安全测评已远远不够，因为系统都是由网络产品和服务搭建起来的，如果产品和服务的安全性得不到保障，网络安全就像沙滩上的城堡。”
正因如此，此次公布的网络安全审查制度，首次将“关系国家安全和公共利益的系统使用的重要信息技术产品和服务”纳入审查范围。专家表示，党、政、军等重要部门和交通、能源、金融等关键行业所使用的网络产品和服务将被首先纳入审查范围。