《网络安全法》十大亮点解读 如何避免信息泄露？

　　6月1日起，《中华人民共和国网络安全法》正式施行，作为我国网络安全治理领域的基础性立法，首次在法律层面规定了个人信息保护的基本原则，明确指出，收集适用信息应经用户明示同意，不得收集无关信息，不得向他人提供个人信息，经过处理无法识别特定个人且不能复原的除外，不得非法出售个人信息。

　　所谓个人信息包括两类，一类是姓名、住址等基本信息;另一类是账户、密码等交易类信息。随着互联网应用的普及和人们对互联网的依赖，互联网的安全问题也日益凸显。恶意程序、各类钓鱼和欺诈继续保持高速增长，同时黑客攻击和大规模的个人信息泄露事件频发，与各种网络攻击大幅增长相伴的，是大量网民个人信息的泄露与财产损失的不断增加。

　　据中国电子商务研究中心(100EC.CN)此前对1000位用户在线调查显示，21.7%的用户曾因网购、论坛、微信等遭遇过信息泄露，并且11.2%的用户接到过疑似的诈骗电话;56.8%的用户表示对互联网信息安全担忧，并会对需要填写个人信息的互联网游戏，注册等保留一定的戒心，而仍有43.2%的用户认为互联网信息泄露与个人无关，不太关注。

　　中国电子商务研究中心特约研究员、上海汉盛律师事务所高级合伙人李旻律师认为：《网络安全法》的颁布其立法本意是要在我国领域内推广“安全可控”的产品和服务。“安全可控”包含着三方面的意思，首先，在于“产品的安全可控”，即禁止网络服务提供者通过网络非法控制和操纵用户设备，损害用户对设备和系统的控制权;其次，在于“数据的自主可控”，即禁止网络服务提供者利用提供产品或服务的便利条件非法获取用户重要数据，损害用户对自己数据的控制权;第三，在于“用户的选择可控”，即禁止服务提供者利用用户对其产品和服务的依赖性，限制用户选择使用其他产品和服务，损害用户的网络安全和利益。

　　亮点一：网络空间主权原则制度。《网络安全法》前所未有的提出了网络空间主权概念，丰富了我国享有的主权范围，其将网络空间主权视为是我国国家主权在网络空间中的自然延伸和表现。将网络空间的概念上升为国家主权，更有利于保障我国合法网络权益不受他国或国外组织的侵害。一切在我国网络空间领域内非法入侵、窃取、破坏计算机及其他服务设备或提供相关技术的行为，都将被视作是侵害我国国家主权的行为。

　　亮点二：网络安全等级保护制度。《网络安全法》确立的网络安全等级保护制度将网络安全分为五个等级，随着级别的增高，国家信息安全监管部门介入的强度越大，以此对信息系统安全保护起到监督和检查。

　　亮点三：实名认证制度。《网络安全法》规定了网络服务经营者、提供者及其他主体在与用户签订协议或者确认提供服务时应当采取实名认证制度，包括但不限于网络接入、域名注册、入网手续办理、为用户提供信息发布、即时通讯等服务。实务中，这一制度灵活性及可操作性较强，可采取前台匿名，后台实名的方式进行。但是，实名认证的工作必须落实到位，若不实行网络实名制的，则最高可对平台处以50万元的罚款。

　　亮点四：关键信息基础设施运营者采购网络产品、服务的安全审查制度。《网络安全法》对提高我国关键信息基础设施安全可控水平提出了相关法律要求，并配套相继出台了《网络产品和服务安全审查办法(试行)》(该《办法》与《网络安全法》均于2017年6月1日起生效)，明确了关系国家安全的网络和信息系统采购的重要网络产品和服务，对网络产品和服务的安全性、可控性应当经过网络安全审查。涉及国家安全、军事领域等产品及服务的采购，若可能影响国家安全的，应当经过国家安全审查。

　　亮点五：安全认证检测制度。针对网络关键设备和网络安全专用产品，《网络安全法》规定应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。

　　亮点六：重要数据强制本地存储制度。该制度主要调整的是关键信息基础设施运营者在搜集个人信息重要数据的合法性问题，规定了需要强制在本地进行数据存储。

　　亮点七：境外数据传输审查评估制度。本地存储的数据若确属需要数据转移出境的，需要同时满足以下条件：1、经过安全评估认为不会危害国家安全和社会公共利益的;2、经个人信息主体同意的。另外，该制度还规定了一些法律拟制的情况，比如拨打国际电话、发送国际电子邮件、通过互联网跨境购物以及其他个人主动行为，均可视为已经取得了个人信息主体同意。

　　亮点八：个人信息保护制度。《网络安全法》在如何更好的对个人信息进行保护这一问题上有了相当大的突破。它确立了网络运营者在收集、使用个人信息过程中的合法、正当、必要原则。形式上，进一步要求通过公开收集、使用规则，明示收集、使用信息的目的、方式和范围，经被收集者同意后方可收集和使用数据。另一方面，《网络安全法》加大了对网络诈骗等不法行为的打击力度，特别对网络诈骗严厉打击的相关内容，切中了个人信息泄露乱象的要害，充分体现了保护公民合法权利的立法原则。

　　亮点九：个人信息流通制度。针对目前个人信息非法买卖、非法分享的社会乱象，《网络安全法》给出了一记重拳。规定了未经被收集者同意，网络运营者不得泄露、篡改、毁损其收集的个人信息的义务。但是，经过处理无法识别特定个人且不能复原的不在此列。这样的规定即杜绝了个人信息数据被非法滥用，又不影响网络经营者及管理者由于自身企业发展需要所面临的大数据分析问题。

　　亮点十：网络通信管制制度。网络通信管制制度的确立目的是在发生重大事件的情况下，通过赋予政府行政介入的权力，牺牲部分通信自由权，来维护国家安全和社会公共秩序的制度。该做法是国际通行做法，例如在发生暴恐事件中，可切断不法分子的通联渠道，避免事态进一步恶化，保障用户的合法权益，维护社会稳定。但是这种管制影响是比较大的，因此《网络安全法》严谨地规定实施临时网络管制，需要经过国务院决定或者批准。一般来说，网络通信管制制度的实施是短时性的，一旦事件处置结束，政府会立即恢复正常通信，以尽可能小的对个人通信带来不便。

　　信息泄露带来的危害毋庸置疑，那么如何保护用户的个人信息安全，对此，中国电子商务研究中心主任曹磊给出了如下四点建议：

　　第一，网站用户信息泄露有多种可能性途径。现在许多APP、网站、公众号、小程序都需要用户注册账号后才能正常使用。因此，每个网民拥有多个账号是很平常的事情。在注册时，网站一般都需要填写一些个人信息，如常见的账号、密码、邮箱等，像一些电子商务、婚恋、交友网站等还需要实名认证，要求填写的信息更加详细。平台上的用户数据泄露主要有以下几种方式：黑客利用平台存在的安全漏洞入侵网站，盗取用户数据库;网站内部工作人员倒卖用户信息;通过撞库攻击，窃取用户数据;利用钓鱼攻击窃取用户信息;通过木马、病毒窃取用户隐私信息。

　　第二，法律条文需细化，相关部门应适时介入。我国关于网络信息安全方面的法律条文不够明确，适用范围尚且不够精准，相关条文必须得到进一步细化、规范，以此更加公平公正地惩治网络信息安全事故的造成者，保护公民切身利益。此类信息泄露事件不适用“不告不处理的”的原则，相反，执法部门应主动积极介入案件调查，并对实施者进行追责处理。

　　第三，信息安全无小事，用户必须增强信息保护意识。警惕要求重新输入账号信息，否则将停掉信用卡账号之类的邮件，不要回复或者点击邮件的链接，以免落入圈套。同时，避免开启来路不明的电子邮件及文件，安装杀毒软件并及时升级病毒知识库和操作系统补丁，将敏感信息输入隐私保护，打开个人防火墙。网络银行时，选择使用网络凭证及约定账户方式进行转账交易，不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。不要在多个网站使用相同的注册账户名以及登录密码，防止网络黑客有意盗取，造成多个网站个人信息的连环失窃。

　　第四，要求网站平台收集和使用用户信息应当遵循“合法、正当、必要”三原则。对收集到的用户信息应当采取安全保护措施，一旦发生泄密，必须及时采取补救措施，否则都可能面临行政处罚或者用户的诉讼。

　　中国电子商务研究中心法律与权益部分析师姚建芳认为，保护个人信息,仅靠企业的技术手段远远不够，根据业界掌握的情况，很多互联网用户个人信息泄露事件都是一些企业内部员工泄露导致的，因此，企业加大对内部员工的管理、承接至关重要，还可以出台“黑名单”机制，各电商、互联网公司联网，一次犯罪、各家平台、乃至全行业永不录用!