网络安全法草案引入删除权和数据泄露通知制度

　　再过几天，《网络安全法》即将结束面向社会公开征求意见的程序。作为我国网络安全领域的一部重要法案，不少人将它的发布视作一个里程碑。7章68条中，涵盖了网络设备设施安全、网络运行安全、网络数据安全、网络信息安全等多方面内容，力度之大、范围之广前所未有。

　　特别值得注意的是，公民个人信息保护的相关内容在草案中得到强调，个人信息安全有望获得更有力的法律保障。

　　因网络个人信息泄露一年损失超800亿元

　　公众对个人信息安全的重视，源自一个个惨痛的教训。

　　2014年3月，众多媒体曝出携程网“信用卡泄密门”。漏洞报告平台乌云网发布消息称，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。但同时，因为保存支付日志的服务器未作较严格的基线安全配置，存在漏洞，导致所有支付过程中的调试信息可被骇客任意读取。

　　这些可能被窃取的信息包括持卡人姓名、身份证号、银行卡号、银行卡CVV码等，危害可想而知，这让不少用户心头一紧。

　　类似的情况还发生在去年12月，中国铁路客服中心12306网站发生信息泄露，大量用户数据在互联网上疯传，包括用户账号、明文密码、身份证号码、电子邮箱等。而早在几年前，更有媒体曝出不少酒店开房记录被流出。著名的“3Q”大战更是引起国人对个人信息安全的关注。

　　一些数据对这一担忧也有所印证。7月22日，在北京召开的中国网民权益保护论坛上，中国互联网协会12321网络不良与垃圾信息举报受理中心发布了《中国网民权益保护调查报告》。《报告》显示，在权益认知方面，网民普遍认为，在网络上，隐私权是最重要的权益，其次是选择权和知情权。近一年来，网民因个人信息泄露、垃圾信息、诈骗信息等现象导致的总体损失约805亿元。

　　此外，《报告》还指出，网民被泄露的个人信息涵盖的范围也非常广。78.2%的网民个人身份信息被泄露过，包括网民的姓名、学历、家庭住址、身份证号及工作单位等；63.4%的网民个人网上活动信息被泄露过，包括通话记录、网购记录、网站浏览痕迹、IP地址、软件使用痕迹及地理位置等。

　　82.3%的网民表示亲身感受到了个人信息被泄露对日常生活造成的影响。

　　“像骚扰电话、垃圾短信、垃圾邮件……这样的东西太多了，几乎每天都在发生。”北京邮电大学国际学院院长李欲晓说，“取证麻烦，维权又难，老百姓往往只能忍着。”

　　在李欲晓看来，个人信息泄露问题如此严重，原因是多方面的。“比如一些机构、企业在采集个人信息时范围过宽，一旦发生泄露，情况就会比较严重。”此外，网络服务提供者在个人信息保护的技术方面也存在问题，如果系统达不到很强的保护能力，就会出现泄露问题。再者，用户个人也缺少自我保护意识，对互联网传播信息的广泛性不够重视，在申请一些服务时缺少保护意识，留下一些个人信息成了后患。

　　针对泄露个人信息发生的违法犯罪行为，李欲晓认为，处罚力度也不够，同时，相关立法和管理也还不完善。“尽管也出现过因贩卖个人信息触犯刑法而被处罚的情况，但整体来讲，打击的力度还比较弱。”李欲晓说，这就造成一些人为获得丰厚回报铤而走险，“我国互联网发展如此之快，立法必须跟上。”

　　互联网高速发展急需专门法护航

　　近年来，各国网络安全领域的立法也呈集中爆发之势。中国信息通信研究院副院长刘多介绍说，形式上大致可分为“统一立法”和“分散立法”两种。

　　“一些国家虽然没有统一的网络安全法，但是有国家层级的网络安全战略，如韩国、英国。”刘多介绍，美国国会多年来也一直试图制定网络安全法，出台了多个相关法案。日本2014年11月出台的《网络安全基本法》是统一立法的典型代表，欧盟出台的《网络和信息安全指令》也是在网络安全领域的统一立法。

　　“从立法内容上看，各国除了继续对提高网络安全技术水平、提高安全标准、加强安全教育等常规选项进行法律修订之外，还对网络监控和反恐、关键信息基础设施保护、数据留存等相关议题进行专题立法，整体上呈现出‘攻防并举’的立法思路。”刘多说。

　　她告诉中国青年报记者，我国也一向重视网络安全的立法工作。比如，在刑法修正案中增加了关于网络犯罪的条款，目前互联网领域层次较高的两部法律性文件——2000年颁布的《全国人大常委会关于维护网络安全的决定》和2012年颁布的《全国人大常委会关于加强网络信息保护的决定》——也都是针对网络安全的。此外，工信部、公安部也针对通信网络防护、互联网安全等出台了一些部门规章。

　　“但总体来看，这些立法层级较低，不能适应目前国际上网络安全的严峻形势和国内对网络安全日益重视的发展趋势。”刘多说。

　　工信部电子科学技术情报研究所总工尹丽波认为，条文分散、可操作性差也是现有法律法规存在的一个弊端。“很多都是散见在各个条文里，不够系统”。此外，她还指出，对管理部门、网络运营部门等主体的责任规定也不够明确，一旦发生问题就容易出现相互推诿的情况。

　　受访专家指出，如今，很多传统领域的基础设施都实现了信息化，如果网络风险失控，后果不堪设想。

　　“所以，还是需要一部统筹各方、起到统领性作用，而且层级较高的统一立法，对网络安全进行系统全面的规定。”刘多说。