尉永清：《网络安全法》加强个人信息保护 理清网络安全义务和责任

访谈嘉宾：山东警察学院二级教授尉永清(研究方向：网络安全保卫)

编者按：随着互联网与实体经济、传统生产等的逐步融合，网络安全显得尤为关键。《中华人民共和国网络安全法》于2017年6月1日起施行，这是我国第一部有关网络安全方面的法律，也是网络领域的基础性法律，明确加强对个人信息保护，打击网络诈骗，从多方位建立了保护个人信息的安全体系。理响中国特别邀请有关专家，为广大网友进行解读。

齐鲁网济南6月13日讯 (记者 彭飞 ) 以法奠基，方能固本。治网之道，法治为本。《网络安全法》的适时出台，为打击网络犯罪，尤其是保护个人信息，提供了重要的法律保障。理响中国特别邀请到山东警察学院二级教授尉永清(研究方向：网络安全保卫)，为我们解读《中华人民共和国网络安全法》的亮点及意义。

理响中国：作为我国网络安全领域的首部法律，《网络安全法》涵盖哪些内容，有哪些亮点，可否请您介绍一下？

尉永清：《网络安全法》的主要内容包括以下六条：明确了网络空间主权的原则；明确了网络产品和服务提供者的安全义务；明确了网络运营者的安全义务；进一步完善了个人信息保护规则；建立了关键信息基础设施安全保护制度；确立了关键信息基础设施重要数据跨境传输的规则。这构成了其主要内容。

6月1日开始施行的《网络安全法》也是亮点频出。主要有以下一些。

首先，明确了网络空间主权原则制度，也就是将网络空间主权视为是我国国家主权在网络空间中的自然延伸和表现。一切在我国网络空间领域内非法入侵、窃取、破坏计算机及其他服务设备或提供相关技术的行为，都将被视作是侵害我国国家主权的行为。

其次，首次在法律中明确了网络安全等级保护制度。《网络安全法》确立的网络安全等级保护制度将网络安全分为五个等级，随着级别的增高，国家信息安全监管部门介入的强度越大，以此对信息系统安全保护起到监督和检查。

第三，也是网友比较关心的实名认证制度。这一制度灵活性及可操作性较强，可采取前台匿名，后台实名的方式进行。同时，《网络安全法》规定，实名认证的工作必须落实到位，若不实行网络实名制的，则最高可对平台处以50万元的罚款。

第四，重要数据强制本地存储制度，法律中规定了需要强制在本地进行数据存储。对于境外数据传输，明确了审查评估制度，也即a、经过安全评估认为不会危害国家安全和社会公共利益的；b、经个人信息主体同意的。

第五，第三章中有多项条文强调了网络数据保护的相关规定。“第二十一条”规定了网络运营者的责任；“第三十一条”要求建立关键信息基础设施安全保护制度，重点强调关键信息基础设施安全和网络诈骗的惩治。

第六，提出国家鼓励关键信息基础设施以外的网络运营者，自愿参与关键信息基础设施保护体系。近年来，各国因关键信息基础设施被攻击而遭受重大损失的事件层出不穷，当信息化建设从政治、军事逐渐渗透至民生、经济、工业、公共服务等领域，并担当重要基础设施角色，如果这些领域面临严重网络安全隐患，后果同样不堪设想。因此，作出此项规定的意义也十分重大。

理响中国：移动互联网兴起之后，给网络安全带来了哪些挑战？可否请您结合研究领域为我们解读一下？

尉永清：这是个很好的问题，最近两年移动互联网发展迅速，物联网以及智能家居越来越普及，我们的周围出现越来越多的智能设备终端，这在给人们的生活带来便利的同时，也存在着一些网络安全隐患。近几年大家都看到，移动安全事件频频发生，非法分子的诈骗手段越来越多，层出不穷，用户的资金财产和隐私信息等面临着极大威胁。以手机APP为例来说，安全隐患主要存在于这几个环节：开发阶段的开发者安全意识薄弱、发布阶段应用市场审核不严、运营阶段应用盗版泛滥和监管阶段缺乏市场监管措施等环节的缺位。

根据我们的研究，我比较重点关注关于个人信息安全方面的问题，6月1日，《网络安全法》已正式实施，这也是我国网络领域的基本性法律。法律明确规定，“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息等个人信息50条以上的，即构成犯罪。对掌握公民个人信息的内部工作人员泄露公民个人信息将从重处理。”对此我们可以看到，贩卖50条个人信息可入罪，这可以说是一大亮点。

并且，我们需要注意到，6月1日《中华人民共和国网络安全法》正式施行的同时，《中华人民共和国刑法》关于“侵犯公民信息”的司法解释，也于6月1日正式生效，两者形成了很好的对应。从网络安全法到刑法对侵犯公民信息的风向来看，个人信息的保护成为了热点。企业在制定信息防泄露方案时，不能再一刀切的对员工的个人信息进行收集和过滤。比如，有些移动安全解决方案会把员工所有的手机上网数据进行记录和审计，这就明显侵犯了个人隐私，不仅让员工抵触，还很可能一不小心就触犯了法律。

理响中国：是的，广大网民最关注的就是网上个人信息的泄露，针对这个问题，《网络安全法》规定了相应法律责任，完善了个人信息保护规则，具体都是如何规定的呢?

尉永清：首先，我们要明确个人信息的涵义。个人信息包括两类，一类是基本信息包括姓名、住址等；另一类是交易类信息包括账户、密码等。《网络安全法》在法律层面规定了个人信息保护的基本原则，明确指出，收集适用信息应经用户明示同意，不得收集无关信息，不得向他人提供个人信息，经过处理无法识别特定个人且不能复原的除外，不得非法出售个人信息。

下面我主要通过两个制度来具体说一下。

第一个就是个人信息保护制度。《网络安全法》在如何更好的对个人信息进行保护这一问题上有了相当大的突破。它确立了网络运营者在收集、使用个人信息过程中的合法、正当、必要原则，经被收集者同意后方可收集和使用数据。另一方面，《网络安全法》加大了对新型电信网络诈骗等不法行为的打击力度，特别对网络诈骗严厉打击的相关内容，切中了个人信息泄露乱象的要害，充分体现了保护公民合法权利的立法原则。

第二个是个人信息流通制度。针对目前个人信息非法买卖、非法分享的社会乱象，《网络安全法》规定，未经被收集者同意，网络运营者不得泄露、篡改、毁损其收集的个人信息的义务。但是，经过处理无法识别特定个人且不能复原的不在此列。这样的规定杜绝了个人信息数据被非法滥用，又不影响网络经营者及管理者由于自身企业发展需要所面临的大数据分析问题。

理响中国：那么在这种重拳出击的情况下，《网络完全法》对通信运营商和企业的网络安全提出了哪些新的要求？

尉永清：这个问题也很关键。可以说，在这里我们需要特别重视实名认证制度。刚才也已经提过，《网络安全法》规定了网络服务经营者、提供者及其他主体在与用户签订协议或者确认提供服务时应当采取实名认证制度，包括但不限于网络接入、域名注册、入网手续办理、为用户提供信息发布、即时通讯等服务。同时法律规定，实名认证的工作必须落实到位，若不实行网络实名制的，则最高可对平台处以50万元的罚款。

在网络产品方面，《网络安全法》明确了关键信息基础设施运营者采购网络产品、服务的安全审查制度。《网络安全法》对提高我国关键信息基础设施安全可控水平提出了相关法律要求，并配套相继出台了《网络产品和服务安全审查办法（试行）》，明确了关系国家安全的网络和信息系统采购的重要网络产品和服务，对网络产品和服务的安全性、可控性应当经过网络安全审查。涉及国家安全、军事领域等产品及服务的采购，若可能影响国家安全的，应当经过国家安全审查。

另外，这里还有一个安全认证检测制度，那就是，针对网络关键设备和网络安全专用产品，《网络安全法》规定应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。

理响中国：中国是一个网络大国，也是面临网络安全威胁最严重的国家之一。这部法律对于我国网络安全的建设和发展将起到哪些关键作用？

尉永清：《中华人民共和国网络安全法》的正式实施，顺应了国家需要、形势发展和人民期盼，是贯彻中央全面依法治国战略部署、落实习近平总书记重要讲话精神的重要举措，也是党的十八大以来我国互联网治理模式转变和治理能力提升的一个缩影，从此我国的网络安全工作有了基础性的法律框架。

具体的作用和意义我从几个方面来谈：

第一，《网络安全法》明确了网络安全原则。这里面有这样几个：1、网络空间主权原则，以法律形式表明我国在国际社会维护网络主权的原则和主张，是我国网络空间主权对内最高管辖权的具体体现。 2、网络安全与信息化发展并重原则。要推进网络基础设施建设，鼓励网络技术创新和应用，又要建立健全网络安全保障体系，提高网络安全保护能力。3、共同治理的原则。要采取措施鼓励全社会共同参与，政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作。

第二，《网络安全法》提出网络安全战略和网络空间治理目标。法律规定我国致力于“推动构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系。”这是我国第一次通过国家法律的形式向世界宣示网络空间治理目标，明确表达了我国的网络空间治理诉求，提高了我国网络治理公共政策的透明度，有利于提升我国对网络空间的国际话语权和规则制定权，促成网络空间国际规则的出台。

第三，《网络安全法》致力于加强对个人信息的保护。为保障网络信息依法有序自由流动，保护公民个人信息安全，防止公民个人信息被窃取、泄露和非法使用，该法用较大的篇幅专章规定了公民个人信息保护的基本法律制度，提出个人信息保护的基本原则和要求，并规定了相应法律责任。比如，网络运营者收集、使用个人信息必须符合合法、正当、必要原则；网络运营商收集、使用公民个人信息的目的明确原则和知情同意原则；公民个人信息的删除权和更正权制度；网络安全监督管理机构及其工作人员对公民个人信息、隐私和商业秘密的保密制度；任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

第四，《网络安全法》专门强调保障关键信息基础设施的运行安全。网络运行安全是网络安全的重心，关键信息基础设施安全则是重中之重，与国家安全和社会公共利益息息相关。法律的第三章强调要保障关键信息基础设施的运行安全，提出在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护，明确关键信息基础设施的运营者负有更多的安全保护义务，并配以国家安全审查、重要数据强制本地存储等法律措施，确保关键信息基础设施的运行安全。还建立了关键信息基础设施安全保护制度，确立了关键信息基础设施重要数据跨境传输的原则。

第五，理清网络安全义务和责任，加大违法惩处力度。《网络安全法》对网络运营者等主体的法律义务和责任做了全面规定，明确网络产品和服务提供者、网络运营商的安全义务，包括守法，遵守社会公德、商业道德，诚实信用，网络安全保护，接受监督和承担社会责任等方面的义务，并在“网络运行安全”、“网络信息安全”、“监测预警与应急处置”等章节中进一步明确、细化，在“法律责任”中提高了违法行为的处罚标准，加大了违法惩处力度。

第六，将监测预警与应急处置措施制度化、法制化。对建立网络安全监测预警与应急处置制度专门列出一章作出规定，比如，国家建立网络安全监测预警和信息通报制度，建立网络安全风险评估和应急工作机制，制定网络安全事件应急预案并定期演练。明确了发生网络安全事件时，有关部门需要采取的措施，特别规定重大突发事件可采取“网络通信管制”。这为建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制提供了法律依据，为深化网络安全防护体系,实现全天候全方位感知网络安全态势提供了法律保障。

嘉宾简介：尉永清，山东警察学院二级教授。主要研究方向网络安全保卫。山东省科技进步一等奖获得者，山东省有突出贡献的中青年专家，山东省优秀警察，山东省教学名师。

想爆料？请登录《阳光连线》（ http://minsheng.iqilu.com/）、拨打新闻热线0531-66661234或96678，或登录齐鲁网官方微博（@齐鲁网）提供新闻线索。齐鲁网广告热线0531-81695052，诚邀合作伙伴。