2015年6月,第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網絡安全法(草案)》(簡稱“《草案》”),如今,社會各界對《草案》的討論如火如荼,安華金和CEO劉曉韜近期接受賽迪網采訪,就該草案進行研究與解讀。
安華金和CEO劉曉韜認為:網絡安全法更多的是一個綱領性文件,不是一個細則,要具體落地還需要若干的細則出現,比如:等級劃分標準、技術規范、測評標準、信息分類等,只有這些細則出臺后才具備可實施性。
同時劉總表示,網絡安全法的出臺具有十分重要的意義。
首先,網絡安全法使得互聯網的安全由無法可依走向有法可依。我國以前有分級保護標準、等級保護標準,分級保護標準主要用于涉密系統中的信息防泄露,等級保護標準主要用于政府、央企等對國家和社會具有影響系統的安全防護,但對于互聯網上一直是一個相對空白的地方。因此這兩年發生在互聯網上的信息泄露事件很多,規模也越來越大,網絡安全法的出臺非常有利于互聯網走向規范化。
其次,《草案》對網絡安全、特別是互聯網安全明確了主管單位,這個主管單位目前看主要是網信辦。分級保護的主管單位是保密局,等級保護的主管單位是公安部,網絡防護以前沒有明確的主管機構,現在則有了明確的主管負責機構。
另外,《草案》對公民信息防護有了明確的責任界定和處罰措施。以前,網絡上的事件發生了,公民信息泄露了,大家熱鬧一陣就過去了,責任方沒有明確的處罰,因此大家也無所謂。此次《草案》明確規定泄露就會有相關的處罰措施,包括經濟上的處罰措施。
《草案》還對國家或相關機構對網絡、互聯網的監控給予了正面的明確的合法地位。以前我們國家有若干個部門都在對互聯網信息進行監控和分析,但存在一些爭論,這些爭論隨著網絡安全法的明確將有了法律上的定論。
不過,劉總表示《草案》中同時存在一些潛在的問題。
(1)要迅速地出臺細則,才具備真正的落地性。比如網絡等級的劃分標準、不同標準的安全要求差別、由什么樣的機構檢查基礎設施提供者的安全性是否達標等等。
(2)對于公民信息泄露的經濟處罰,對大規模群體信息泄密情況不具備約束性。法案能夠明確非法所得的不超過10倍,不能明確的不超過50萬,這對于大規模的群體信息泄露不具備約束性,實際上需懲罰的是主動進行信息泄露或黑客行為者,而不是網絡運營者。對于網絡運營者沒有盡到公民信息保護責任的,實際上更應該按照對公民造成的損失來進行罰款。“而且要將這種懲罰提升到一個讓網絡經營者很痛的地步他們才會真正在意,對于現在動則幾億、幾十億的融資,50萬實在是個不起眼的數字。”而在國外一些對個人信息保護力度較大的國家,稍大一些的信息泄露事件,對于企業的影響很容易達到千萬或上億美金。
(3)對于網絡范疇的定義過于寬泛,《草案》中的原文是“網絡,是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的網絡和系統。”這樣的表述涵蓋了所有的私有網絡和家庭網絡,這將幾乎使所有的信息行為都處在了法律的界定范圍內,缺乏實際的可操作性。建議這個范疇定義在公有網絡,可能更為恰當。
網絡安全法草案的頒布,對于信息安全產業領域具有重要和積極的意義,安華金和作為專業的數據庫安全廠商,會繼續履行自己的責任,為滿足用戶需求,創造更具市場競爭力的數據庫安全產品及方案。
產品咨詢:4000 258 365 
