十二届全国人大常委会第二十四次会议7日上午经表决,通过了《中华人民共和国网络安全法》。这是我国网络领域的基础性法律,明确加强对个人信息保护,打击网络诈骗。该法自2017年6月1日起施行。三审稿特别增加了惩治网络诈骗的有关规定。今年以来,徐玉玉案等一系列电信网络诈骗案引发社会广泛关注。网络安全法如何从立法层面上回应公众关切,遏制网络诈骗的蔓延?记者采访了权威专家。
先后经过三次审议
据了解,网络安全法的出台先后经过了全国人大常委会的三次审议。2015年6月,十二届全国人大常委会第十五次会议对网络安全法草案进行了首次审议。今年6月,十二届全国人大常委会第二十一次会议对网络安全法草案进行了第二次审议。此次召开的十二届全国人大常委会第二十四次会议又进行了第三次审议。11月7日,会议以154票赞成、1票弃权,表决通过了网络安全法。
明确网络空间主权原则
全国人大常委会法工委经济法室副主任杨合庆在当日举行的新闻发布会上介绍,网络安全法共有7章79条,内容上有6方面突出亮点:第一,明确了网络空间主权的原则;第二,明确了网络产品和服务提供者的安全义务;第三,明确了网络运营者的安全义务;第四,进一步完善了个人信息保护规则;第五,建立了关键信息基础设施安全保护制度;第六,确立了关键信息基础设施重要数据跨境传输的规则。
不得非法出售个人信息
对当前我国网络安全方面存在的热点难点问题,该法都有明确规定。针对个人信息泄露问题,网络安全法规定:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。并规定了相应法律责任。
针对网络诈骗多发态势,网络安全法规定,任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。并规定了相应法律责任。
此外,网络安全法在关键信息基础设施的运行安全、建立网络安全监测预警与应急处置制度等方面都作出了明确规定。
■四大焦点
“四大重拳”遏制网络诈骗
焦点1
如何规范个人信息收集行为?保护用户权益并确立边界
法律规定
网络安全法第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
背景
中国互联网协会发布的《2016中国网民权益保护调查报告》显示,从2015年下半年到今年上半年的一年间,我国网民因诈骗信息、个人信息泄露等遭受的经济损失高达915亿元,人均133元。
“网络诈骗的源头,首先是收集个人信息门槛很低。”北京数字认证股份有限公司总经理詹榜华认为,网上购物、发邮件、买房、求学等行为会不经意“出卖”自己的姓名、身份证号、电话、住址等个人信息。网络诈骗的发生,一般会经历个人信息被收集、遭泄露、被买卖、最后被不法分子实施诈骗等环节。
专家解读
中国社科院法学所研究员周汉华说,新出台的网络安全法强调网络运营者要对收集的用户信息严格保密。“一定程度上确定了‘被遗忘权’,也就是说网络运营者收集了我的信息,我有权要求他删除或者是更正,这是很大的一个进步。”
中国信息安全研究院副院长左晓栋说,法律中的一个亮点是强调了收集个人信息的边界,“不得收集与其提供的服务无关的个人信息”,比如地图导航软件需要用户的地理位置,这是功能性要求,可以满足;但如果要用户提供姓名和身份证号,就属于不必要了。
焦点2
如何斩断信息买卖利益链?未经同意提供、出售个人信息违法
法律规定
第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。
第四十四条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
背景
11月6日,记者通过聊天软件添加了网名叫“信息”的网友,他的个人签名里写着“出售全国孕妇、新生儿联系方式,线上线下销售利器,详谈”。记者提出购买一些新生儿的信息,“信息”表示,自己有几十万条此类信息,新生儿信息包含生日和家长电话,北京地区的一块钱一条,济南市五毛钱一条。
专家解读
“有利可图,有买就有卖,要堵住这个漏洞,只能依靠法律。”左晓栋认为,网络安全法对个人信息保护提出了专业的要求,加大了保护力度。作为一个上位法,有助于今后制定相关管理条例和实施细则。
周汉华表示,针对徐玉玉案这类典型的电信网络诈骗案件,草案在三审时加入了不得设立用于实施诈骗等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗等内容。
焦点3
个人信息泄露如何补救?运营者要告知并报告
法律规定
第四十二条规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
背景
刚登记房屋业主信息,各种租房、装修等电话随即而至;网上平台购买机票、商品,下单付款后就收到改签、取消等诈骗短信。各类网络电信骚扰、诈骗,令人不堪其扰,防不胜防。
各类网络诈骗,尤其是精准诈骗,源头都是个人信息泄露。山东大学生徐玉玉被骗猝死案件中,不法分子作案是攻击山东高考网上报名信息系统,植入木马病毒,盗取大量考生报名信息。
专家解读
中科院信息工程研究所副所长荆继武说,政府部门与市场机构一旦出现安全漏洞或者“内鬼”盗取,容易造成大量个人信息泄露。不少人在对个人信息已泄露毫不知情状态下,听到不法分子准确说出其姓名、住址等个人信息,就极易听信被骗。
周汉华等专家表示,网络安全法中首次明确个人信息数据泄露通知制度,使当前个人信息泄露无法彻底杜绝的情况下,能够通过告知可能受到影响的用户,增强用户对相关诈骗行为的警惕性。这也将倒逼相关机构提高网络安全防护能力,降低个人信息泄露风险。
焦点4
如何对网络诈骗溯源追责?重罚甚至吊销执照
法律规定
第六十四条规定,网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
背景
今年1至9月,全国公安机关共破获电信网络诈骗案件7.7万起,查处违法犯罪人员4.3万名,同比上升2.3倍,收缴赃款、赃物价值人民币23.4亿元,为群众避免损失47.5亿元。
一位基层公安办案人员介绍,网络电信诈骗犯罪成本低,团伙老板租一个小办公室,准备几台电话和电脑,花几百元买来个人资料,雇几个业务员,就能实施诈骗。在实践中,电信诈骗类案件常会出现涉案金额大、认定金额低的情况,难以做到罪刑相等。
专家解读
中国人民大学法学院教授刘俊海表示,网络安全法对哪些网络行为应当受到处罚进行了规范,尤其是强调了网络运营者等维护个人信息安全的“主体责任”,除了罚款,关闭网站、吊销执照的威慑力更大。
专家建议,目前涉及电信网络诈骗的个人信息保护等问题还分散于刑法等法规中,建议考虑出台个人信息保护法,根治电信网络诈骗。
本文转自d1net(转载)
