網(wǎng)絡(luò)安全法需明確細(xì)則 使其落地可實施
如今,社會各界對《中華人民共和國網(wǎng)絡(luò)安全法(草案)》(簡稱“《草案》”)的討論如火如荼,安華金和CEO劉曉韜在接受記者采訪時對《草案》進(jìn)行了如下解讀。
網(wǎng)絡(luò)安全法更多的是一個綱領(lǐng)性文件,不是一個細(xì)則,要具體落地還需要若干的細(xì)則出現(xiàn),比如:等級劃分標(biāo)準(zhǔn)、技術(shù)規(guī)范、測評標(biāo)準(zhǔn)、信息分類等,只有這些細(xì)則出臺后才具備可實施性。
劉曉韜認(rèn)為網(wǎng)絡(luò)安全法的出臺具有十分重要的意義。
首先,網(wǎng)絡(luò)安全法使得互聯(lián)網(wǎng)的安全由無法可依走向有法可依。我國以前有分級保護(hù)標(biāo)準(zhǔn)、等級保護(hù)標(biāo)準(zhǔn),分級保護(hù)標(biāo)準(zhǔn)主要用于涉密系統(tǒng)中的信息防泄露,等級保護(hù)標(biāo)準(zhǔn)主要用于政府、央企等對國家和社會具有影響系統(tǒng)的安全防護(hù),但對于互聯(lián)網(wǎng)上一直是一個相對空白的地方。因此這兩年發(fā)生在互聯(lián)網(wǎng)上的信息泄露事件很多,規(guī)模也越來越大,網(wǎng)絡(luò)安全法的出臺非常有利于互聯(lián)網(wǎng)走向規(guī)范化。
其次,《草案》對網(wǎng)絡(luò)安全、特別是互聯(lián)網(wǎng)安全明確了主管單位,這個主管單位目前看主要是網(wǎng)信辦。分級保護(hù)的主管單位是保密局,等級保護(hù)的主管單位是公安部,網(wǎng)絡(luò)防護(hù)以前沒有明確的主管機(jī)構(gòu),現(xiàn)在則有了明確的主管負(fù)責(zé)機(jī)構(gòu)。
另外,《草案》對公民信息防護(hù)有了明確的責(zé)任界定和處罰措施。以前,網(wǎng)絡(luò)上的事件發(fā)生了,公民信息泄露了,大家熱鬧一陣就過去了,責(zé)任方?jīng)]有明確的處罰,因此大家也無所謂。此次《草案》明確規(guī)定泄露就會有相關(guān)的處罰措施,包括經(jīng)濟(jì)上的處罰措施。
《草案》還對國家或相關(guān)機(jī)構(gòu)對網(wǎng)絡(luò)、互聯(lián)網(wǎng)的監(jiān)控給予了正面的明確的合法地位。以前我們國家有若干個部門都在對互聯(lián)網(wǎng)信息進(jìn)行監(jiān)控和分析,但存在一些爭論,這些爭論隨著網(wǎng)絡(luò)安全法的明確將有了法律上的定論。
不過,劉曉韜表示《草案》中還存在一些潛在的問題。
(1)要迅速地出臺細(xì)則,才具備真正的落地性。比如網(wǎng)絡(luò)等級的劃分標(biāo)準(zhǔn)、不同標(biāo)準(zhǔn)的安全要求差別、由什么樣的機(jī)構(gòu)檢查基礎(chǔ)設(shè)施提供者的安全性是否達(dá)標(biāo)等等。
(2)對于公民信息泄露的經(jīng)濟(jì)處罰,能夠明確非法所得的不超過10倍,不能明確的不超過50萬,這對于大規(guī)模的群體信息泄露不具備約束性,這實際上懲罰的是主動信息泄露或黑客行為者,而不是網(wǎng)絡(luò)運營者。對于網(wǎng)絡(luò)運營者沒有盡到公民信息保護(hù)責(zé)任的,實際上更應(yīng)該按照對公民造成的損失來進(jìn)行罰款?!岸乙獙⑦@種懲罰提升到一個讓網(wǎng)絡(luò)經(jīng)營者很痛的地步他們才會真正在意,對于現(xiàn)在動則幾億、幾十億的融資,50萬實在是個不起眼的數(shù)字?!倍趪庖恍€人信息保護(hù)力度較大的國家,稍大一些的信息泄露事件,對于企業(yè)的影響很容易達(dá)到千萬或上億美金。
(3)對于網(wǎng)絡(luò)范疇的定義過于寬泛,《草案》中的原文是“網(wǎng)絡(luò),是指由計算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲、傳輸、交換、處理的網(wǎng)絡(luò)和系統(tǒng)?!边@樣的表述涵蓋了所有的私有網(wǎng)絡(luò)和家庭網(wǎng)絡(luò),這將幾乎使所有的信息行為都處在了法律的界定范圍內(nèi),缺乏實際的可操作性。建議這個范疇定義在公有網(wǎng)絡(luò),可能更為恰當(dāng)。