今天(12月24日),全国人大常委会副委员长王胜俊就《中华人民共和国网络安全法》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称“一法一决定”)的实施情况作报告。
全国人大常委会执法检查组于今年8月至10月就“一法一决定”进行了执法检查。这距离网络安全法实施尚不满3个月,在全国人大常委会监督工作中亦属罕见。
据介绍,此次执法检查采用民意调查、临时抽查等新方法,发现了关键信息基础设施运营安全防护不足、用户个人信息保护制度落实不理想、网络安全监管多头管理问题突出等现象。
1
120个关键信息基础设施存30个安全漏洞
中共中央总书记习近平曾在网络安全与信息化工作座谈会上指出,金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。
网安法第三章第二节“关键信息基础设施的运行安全”,在我国立法中首次明确规定了关键信息基础设施的定义和具体保护措施。目前全行业共确定了11590个关键网络设施和重要信息系统。
但检查组发现,许多关键信息基础设施运营单位认为网络攻击只是小概率事件,不愿意在安全防护方面进行必要投入。不少地方政府和部门领导只是口头上重视,“说起来重要,干起来次要,忙起来不要”。
检查组委托中国信息安全测评中心随机选取120个关键信息基础设施进行了远程渗透测试和漏洞扫描,累计发现30个安全漏洞,包括高危漏洞13个。其中,某省级部门互联网监管综合平台的漏洞可越权上传、越权下载、越权删除文件,严重威胁了系统及服务器安全。多个设区的市政府门户网站存在页面被篡改风险。
网安法第三章第二十一条规定,网络运营者应采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。检查组现场抽查时发现,许多单位没有依法留存网络日志。有些单位的内网系统没有部署任何安全防护措施,长期不进行漏洞扫描,存在重大网络安全隐患。
针对这些情况,检查组提出,要加快《关键信息基础设施安全保护条例》等配套法规的立法进程,对如何认定关键信息基础设施等实践中,大家反映难以把握的问题作出明确规定,并进一步明确相关部门的职责。
工业控制系统,是关键信息基础设施的重要组成部分。近年的乌克兰电网大停电、韩国核电站资料泄露等事件,都显示了工控系统信息安全的重要性。反观国内,工控系统国产化率仍然较低,存在安全隐患。
报告指出,有的省份的重要工控企业生产控制系统国产化率不足20%。一些重要工控企业对外国技术依赖严重,不仅生产控制系统由国外公司建设,配套的网络及安全设备也采用外国产品并由外方人员操控,企业内部人员甚至不掌握管理权限。检查组建议,大力推进国产化替代工程,逐步提高国产化率,提升关键信息基础设施和网络安全设备的自主可控能力。
2
免费APP过度收集用户信息几乎不受惩处
针对用户个人信息保护工作的落实情况,检查组委托中国青年报社社会调查中心,就“一法一决定”中与公众关系密切的10个方面的问题进行了民意调查,全国共有10370人参与。结果显示,多项关于用户个人信息保护的制度落实情况不理想。
根据“万人调查报告”:
49.6%的受访者曾遇到过度收集用户信息的现象,其中18.3%经常遇到;
61.2%的人遇到过企业强制收集、使用用户信息,如果不接受就不能使用该产品或接受服务的“霸王条款”。
还有许多受访者反映,免费应用程序普遍存在过度收集用户信息、侵犯个人隐私的问题,但几乎没有受到任何监管或依法惩处。
此外,存储了大量公民个人信息的互联网公司和公共服务部门还存在安防技术严重滞后的问题。一些单位内控制度不完善或不落实,少数“内鬼”为谋取不法利益窃取、贩卖用户信息,也会导致大量信息泄露。
近两年,公安部共侦破侵犯个人信息犯罪相关案件3700余起,抓获犯罪嫌疑人11000余名。报告指出,从破获的案件看,用户信息泄露呈现出渠道多、窃取违法行为成本低、追查难度大等特点,随着违法分子使用的手段不断升级,因用户信息泄露引发的“精准诈骗”案件增多,造成严重危害。
对此,报告提出,要从六个方面着手进一步加大用户个人信息保护力度。一要加快个人信息保护法的立法进程;二要加强安全防护;三要研究用户实名制的范围和方式,避免信息采集主体过多、实名登记事项过滥问题,实名登记制度应有明确的法律依据;四要加大监督检查力度,建立第三方评估机制;五要进一步加大打击违法犯罪活动的力度;六要完善投诉受理机制。
3
网安监管部门推诿扯皮,用户“投诉无门”
据悉,为配合“一法一决定”的贯彻实施,国务院相关部门、国家互联网信息办公室、“两高”相继出台了一系列配套法规、规章和政策文件。除了国家层面的重视,一些省份也积极响应,开展了相关工作。比如广东省人大常委会出台了《关于落实电信用户真实身份信息登记制度的决定》,黑龙江省人大常委会制定了《工业信息安全管理条例》等。
尽管相关的配套法规正在逐步完善,但不少单位向检查组反映,网络安全法里的一些原则性规定让他们感到难以把握,需要进一步细化和标准化。比如数据脱敏标准、企业间共享数据规则、关键信息基础设施的认定标准和程序,以及关键信息基础设施以外的网络运营者的数据出境是否需要安全评估等问题,目前都尚无明确规定 。
在网络安全监管方面,“九龙治水”的现象仍然存在。多个网络运营单位表示,不同执法部门对同一单位、同一事项重复检查且检查标准不一等问题,经常给他们增加额外负担。而在发生信息安全事件后,监管部门之间又常出现互相推诿扯皮的问题。“万人调查报告”显示,18.9%的受访者表示在遇到网络安全问题后,经常遭遇投诉无门、得不到结果反馈的情况。
由此可见,网络安全法的真正“落地”,还有赖于配套制度的完善。因此检查组建议,要加快《关键信息基础设施安全保护条例》、《网络安全等级保护条例》的立法进程,进一步明确落实过程中各职能部门的权责界限和借口,既要防止职能交叉、多头管理,又要避免执法推责、管理空白。
此外,网信、工信、公安等部门应尽快制定配套规章或者文件,细化法律中个人信息和重要数据出境安全评估、网络数据管理、网络安全监测预警和信息通报、网络安全审查、网络安全认证和安全检测结果互认等制度,形成协调联动机制,做到不同部门之间数据共享。
针对法律实施中的新情况新问题,应对此前已制定的一些行政法规和部门规章及时修改完善。同时,根据防范和打击网络违法犯罪的需要,加强互联网刑事立法,研究制定网络违法犯罪防治法,推动网络违法犯罪行政处罚与刑事处罚的有效衔接。
|