如今,社会各界对《中华人民共和国网络安全法(草案)》(简称“《草案》”)的讨论如火如荼,安华金和CEO刘晓韬在接受赛迪网采访时对《草案》进行了如下解读。
网络安全法更多的是一个纲领性文件,不是一个细则,要具体落地还需要若干的细则出现,比如:等级划分标准、技术规范、测评标准、信息分类等,只有这些细则出台后才具备可实施性。
刘晓韬认为网络安全法的出台具有十分重要的意义。
首先,网络安全法使得互联网的安全由无法可依走向有法可依。我国以前有分级保护标准、等级保护标准,分级保护标准主要用于涉密系统中的信息防泄露,等级保护标准主要用于政府、央企等对国家和社会具有影响系统的安全防护,但对于互联网上一直是一个相对空白的地方。因此这两年发生在互联网上的信息泄露事件很多,规模也越来越大,网络安全法的出台非常有利于互联网走向规范化。
其次,《草案》对网络安全、特别是互联网安全明确了主管单位,这个主管单位目前看主要是网信办。分级保护的主管单位是保密局,等级保护的主管单位是公安部,网络防护以前没有明确的主管机构,现在则有了明确的主管负责机构。
另外,《草案》对公民信息防护有了明确的责任界定和处罚措施。以前,网络上的事件发生了,公民信息泄露了,大家热闹一阵就过去了,责任方没有明确的处罚,因此大家也无所谓。此次《草案》明确规定泄露就会有相关的处罚措施,包括经济上的处罚措施。
《草案》还对国家或相关机构对网络、互联网的监控给予了正面的明确的合法地位。以前我们国家有若干个部门都在对互联网信息进行监控和分析,但存在一些争论,这些争论随着网络安全法的明确将有了法律上的定论。
不过,刘晓韬表示《草案》中还存在一些潜在的问题。
(1)要迅速地出台细则,才具备真正的落地性。比如网络等级的划分标准、不同标准的安全要求差别、由什么样的机构检查基础设施提供者的安全性是否达标等等。
(2)对于公民信息泄露的经济处罚,能够明确非法所得的不超过10倍,不能明确的不超过50万,这对于大规模的群体信息泄露不具备约束性,这实际上惩罚的是主动信息泄露或黑客行为者,而不是网络运营者。对于网络运营者没有尽到公民信息保护责任的,实际上更应该按照对公民造成的损失来进行罚款。“而且要将这种惩罚提升到一个让网络经营者很痛的地步他们才会真正在意,对于现在动则几亿、几十亿的融资,50万实在是个不起眼的数字。”而在国外一些对个人信息保护力度较大的国家,稍大一些的信息泄露事件,对于企业的影响很容易达到千万或上亿美金。
(3)对于网络范畴的定义过于宽泛,《草案》中的原文是“网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的网络和系统。”这样的表述涵盖了所有的私有网络和家庭网络,这将几乎使所有的信息行为都处在了法律的界定范围内,缺乏实际的可操作性。建议这个范畴定义在公有网络,可能更为恰当。