导语:交出你的身份信息,我们会“好好保护”它的。

经历两年时间的立法过程后,《网络安全法》终于在今天正式生效。

两年前我读过发布的第一版草案,和草案相比,现在的正式版在细节上精确了不少,比如关键信息基础设施的范围、个人信息保护的范围和不同场景、违反的处罚金额等等。但它仍然是一部不完整的法律,因为有许多没有定义、含糊的地方。

网信办网络安全协调局负责人在昨天答记者问说,《网络安全法》的配套法规制度标准还在抓紧制定中,包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法、网络关键设备、网络安全专用产品目录和个人信息安全规范等等。

目前来看,已生效的《网络安全法》会带来什么变化呢?第一个变化可能是实名,中国互联网上的每一个可发布信息的角落,只有验证了你是谁后才能提供服务。

几乎所有网站都需要你提供身份信息

网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。

“真实身份信息”,一般指姓名+身份证号,目前有一些网站用手机号作为身份信息,不确定这样的做法是否行得通,虽然按相关规定手机号确实是实名的。

《网络安全法》第四十一条规定了企业不得收集与提供服务无关的个人信息,但按上面这条的意思,真实身份信息是任何一家国内经营企业可以且有必要收集的

我对自己身份证号的隐私已经不抱任何希望。

你需要时刻关注网上的个人身份信息

个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

这里边暗含一个安全细分市场——身份安全。国外比较成熟,有厂商提供专门的身份信用监控服务,对接征信、税务、银行等各类机构,一旦发现有异动(主要是盗用),会向用户发出警告

每当国外有大企业发生数据泄漏,都会向受害用户赠送一两年的身份信用监控服务,以此作为赔偿。

考虑到国内的大环境,预测可能在三到五年内会出现类似企业。

你的个人信息被泄漏,企业应该通知你

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

“及时告知用户”,是社交网站上发个公告就行,还是定向发网站私信、邮件才行?这里恐怕有不少操作空间。

比如招商银行前几天爆出服务器缓存bug,把A用户的敏感信息泄漏给了B、C用户,请问招行仅仅随便发个微博,是否尽到法律义务呢?如果B、C用户告知A用户,下回再出现这事A用户有可能起诉成功吗?

继续追问,用户被泄漏个人敏感信息,仅仅通知是否足够呢?什么样的泄漏案件,用户可以起诉要求赔偿呢?

所有企业都需要更多的审核人员

网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。

任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。

“法律、行政法规禁止发布或者传输的信息”是一个黑盒,包括且不限于黄赌毒、反政府、敏感事件、非法组织等词汇。

一般来说,BAT大厂服务出现相关信息的讨论,事中积极屏蔽就行。小公司会直接拔网线,小几率公司会死亡。

所以招审核人员是很有必要的,也有可能是租用审核服务。

所有企业都需要一个安全头衔

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
  ……
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

这个头衔的拥有者,最开始可能是创始人、第一个程序员,而非安全技术员。

网络安全等级保护制度后续可能会有新的要求,因此安全头衔的人需要对相关信息持续保持关注。

所有企业都应该向政府坦诚

在整篇法规中,“向有关主管部门报告”出现过6次,包括

发现产品、服务存在缺陷或漏洞
发生危害网络安全的事件
发生或者可能发生个人信息泄露、毁损、丢失的情况
发现法律、行政法规禁止发布或者传输的信息
发现用户发送的电子信息、提供的应用软件设置恶意程序,或者含有法律、行政法规禁止发布或者传输的信息
(第6次是处罚条文)

暂时还不明确“有关主管部门”有哪些,但可以预想到,确定之后他们恐怕比工商部门还要忙了。

《网络安全法》赋予了“国家网信部门和有关部门依法履行网络信息安全监督管理职责”,在全文中,“有关主管部门责令”出现过12次。

粗浅理解,网信部门将和工商税务、消防部门一样,拥有随时抽查企业的权利。互联网小企业们要上心咯。

今年3月,人大会议发言人傅莹透露,政府今年将开展网络安全法执法检查,关注的重点之一就是加强个人信息保护。

大家都在等待大法实施后第一个案例。

源链接

Hacking more

...