近几年,我国网络安全法治建设和实施取得了显著的成效,但仍然存在不少问题需要系统研究和解决,笔者认为以下八个方面的问题是当前网络安全法治领域面临的主要问题,应当引起国家有关部门的高度重视,并迫切需要得到解决。
《网络安全法》执法主体需要进一步理顺
根据《网络安全法》的规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作。具体而言,网络安全法的行政执法部门主要有国家网信办、工业和信息化部(以下简称“工信部”)、公安部、国家保密局、国家密码管理局以及各行业主管部门等。其中,最主要的执法机构为国家网信办、工信部和公安部。
可以看出,以上行政执法主体间存在着权责不清、交叉执法的现象。正如2017年12月全国人大常委会执法检查组关于检查“一法一决定”实施情况的报告中指出的,“网络安全监管‘九龙治水’”现象仍然存在。
企业的网络安全监测预警与应急处置能力亟须提升
当前,网络攻击已成为企业损失的主要原因之一,针对企业用户的网络攻击方式呈多样化发展。2017年,全球有高达86%的公司曾经历至少一次以上的网络攻击,企业网络资源遭窃风险首度超越有形资产。2017年,除了WannaCry勒索病毒之外,企业用户还面临钓鱼邮件APT攻击、DNS劫持、软件供应链攻击三大安全威胁。然而,目前许多企业的网络安全应急预案主要侧重于设备设施障碍的排除,对于如何提升和强化企业在应对网络攻击、信息泄露等网络空间突发事件的体系和能力上亟须加强。
侵犯公民个人信息的违法行为依然严峻
根据全国人大常委会执法检查组“万人调查报告”显示,用户个人信息保护的多项制度落实并不理想:有52.1%的受访者认为,法律关于“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,必须明示收集、使用信息的目的、方式和范围”的规定执行得不好或者一般;有49.6%的受访者曾遇到过度收集用户信息现象,其中18.3%的受访者经常遇到过度采集用户信息现象;有61.2%的人遇到过有关企业利用自己的优势地位强制收集、使用用户信息,如果不接受就不能使用该产品或接受服务的“霸王条款”;有52.5%的人认为执法部门保护用户信息的成效一般或者不好,不少人反映,在发现本人信息被泄露或者被滥用后,举报难、投诉难、立案难现象比较普遍。
2017年,侵犯公民个人信息犯罪仍处于高发态势,犯罪涉案利益链条长,团伙内外勾结,犯罪手法逐步升级且更趋隐蔽,受害群体已覆盖各行各业、各个年龄阶段,给人民群众造成了巨大的财产损失和精神恐慌,已经成为严重侵害公民人身权利的社会公害。特别是一些网络运营者和其他商业机构视《网络安全法》对个人信息保护的规定而不顾,继续非法对个人信息的收集、使用、加工、传输,这些行为已经到了公开化、常态化、系统化阶段,虽然有不少网络运营者出于履行职责或者提供服务的目的,需要获取公民的个人信息,但这些网络运营商掌握了海量的公民个人信息,存在严重滥用和保护措施不力的问题,一旦泄露将会造成恶劣的社会影响和严重的危害后果。
工业控制系统信息安全保护需要强化
近年来,随着中国制造全面推进,工业数字化、网络化、智能化加快发展,我国工控安全面临安全漏洞不断增多、安全威胁加速渗透、攻击手段复杂多样等新挑战。然而,我国工业控制系统信息安全保护的专门立法缺失,亟须强化和提升工业企业工控安全防护能力,促进工业信息安全产业发展,加快我国工控安全保障体系的网络法治建设。
互联网金融风险与创新之间的关系有待明晰
当前,全国各地对互联网金融领域进行大规模的专项整治,一定程度上给互联网金融领域蒙上了一层阴影。笔者认为,在对互联网金融领域进行整治的基础上,应当明晰互联网金融风险与创新之间的关系,即整治各类互联网金融专项行动,其目的不是扼杀互联网金融,而是为了扭转互联网金融某些业态偏离正确创新方向的局面,遏制互联网金融风险案件高发频发势头,提高投资者风险防范意识,建立和完善适应互联网金融发展特点的监管长效机制,实现规范与发展并举、创新与防范风险并重,最终达到促进互联网金融健康可持续发展的目的。
《网络安全法》配套规定有待完善
《网络安全法》多项条款只是原则性规定,真正形成我国的网络安全法律体系还有赖于配套的法律法规和相关制度的逐步完善。比如,网络安全行为规范、数据集中和共享机制、数据脱敏规则和标准、企业间数据共享规则、工业数字控制系统安全、公共数据资源开放、电子身份认证技术规范、网络安全事件应急预案协同机制、向社会发布网络安全信息程序、网络运营者之间在网络安全方面的合作机制、网络管制规范等,仍然需要有关法规规章和相关制度予以明确。
未成年人网络保护法规亟须完善
为了保障未成年人网络空间安全,保护未成年人合法网络权益,促进未成年人健康成长, 2017年1月6日,国务院法制办公室公布了《未成年人网络保护条例(送审稿)》(简称:“送审稿”),并公开征求意见。“送审稿”在“预防和干预”网络运营商提供的网络产品给社会和未成年人带来的风险和负面影响的评价有待明确,尤其是要预防和干预不健康的网络游戏给未成年人带来的侵害。
数字经济领域的立法相对滞后
目前,全球22%的GDP与涵盖技能和资本的数字经济紧密相关,中国的数字经济占GDP比重达三成。数字经济不应仅仅理解为数字产业本身,其包括两大领域:一是数字产业化;二是产业数字化,在数字产业化领域,我国已经走在世界的前列,相关法律法规和制度相继出台。但是在产业数字化领域,尤其在传统产业与数字技术融合中的安全问题,仍然动力不足。如何利用数字技术改造提升传统产业、培育壮大新兴产业,亟须构建适应新技术、新产业、新业态、新模式发展的系列数字经济法律制度。