12月24日上午,全国人大常委会执法检查组关于检查《网络安全法》、《关于加强网络信息保护的决定》实施情况的报告,提请十二届全国人大常委会第三十一次会议审议。全国人大常委会副委员长王胜俊作了报告。

“一部新制定的法律实施不满3个月即启动执法检查,这在全国人大常委会监督工作中尚属首次。”12月24日上午,全国人大常委会副委员长王胜俊如是说。

今年8月至10月,全国人大常委会执法检查组赴内蒙古、黑龙江、福建、河南、广东、重庆等6省区市进行了检查。此外,还委托12个省区市人大常委会对本行政区域的情况进行了检查。

关键信息基础设施

为了解网络运行情况,执法检查组委托中国信息安全测评中心对随机选取的120个关键信息基础设施(60个门户网站和60个业务系统)进行了远程渗透测试和漏洞扫描。

该中心出具的报告显示,本次远程测试的120个关键信息基础设施中,共存在30个安全漏洞,包括高危漏洞13个,其中某省级部门互联网监管综合平台存在越权上传、越权下载、越权删除文件等3个高危漏洞,严重威胁了系统及服务器安全,也存在严重的用户信息泄露风险。远程检测还发现,多个设区的市政府门户网站存在页面被篡改风险。

执法检查组现场抽查时发现,许多单位没有依照法律规定留存网络日志,这可能导致发生网络安全事件时无法及时进行追溯和处置;有的单位从未对重要信息系统进行风险评估,对可能面临的网络安全态势缺乏认知。

检查还发现,在许多单位,内网和专网安全建设没有引起足够重视,有的单位对内网系统未部署任何安全防护设施,长期不进行漏洞扫描,存在重大网络安全隐患。

管理部门

一些地方网络信息安全多头管理问题比较突出,但在发生信息泄露、滥用用户个人信息等信息安全事件后,用户又经常遇到投诉无门、部门之间推诿扯皮的问题。

执法检查组委托中国青年报社社会调查中心所做的“万人调查报告”显示,有18.9%的受访者反映,在遇到网络安全问题后,他们不知该向哪个部门举报和投诉,即使举报了也往往不予处理或者没有结果。

报告还指出,参加座谈的多数网络运营单位反映,行政执法过程中存在不同执法部门对同一单位、同一事项重复检查且检查标准不一等问题,不同法律实施主管机关采集的数据还不能实现“互联互通”,经常给网络运营商增加额外负担。

不少人认为,如果不能合理定位,准确厘清部门之间的职责,等级保护制度和关键信息基础设施保护制度落实过程中也会产生执法不协调问题。

王胜俊在报告中指出,网络安全工作涉及领域多、范围广、任务重、难度大,系统性、整体性、协同性很强。应对复杂的网络安全态势,必须做到统一谋划、统一部署、统一标准、统一推进。

报告建议,要不断完善网络执法协作机制,尽快健全适应网络特点的规范化执法体系。要落实网络安全法相关规定,强化网信部门的统筹协调职责,明确各职能部门的权责界限和接口,形成网信、工信、公安、保密等各部门协调联动机制,既要防止职能交叉、多头管理,又要避免执法推责、管理空白,不断提高执法效率,有效维护网络空间的安全。

“考虑到互联网跨区域性强、地域边界不明显的特点,要健全完善网络安全异地执法协作机制,实现区域之间执法联动。”报告还建议,要破除部门利益,打通数据和信息壁垒,减少重复建设,建立共享数据平台,切实做到不同部门收集的数据能够共享,提高网络安全防范能力。

个人信息犯罪

近两年,公安机关共侦破侵犯个人信息犯罪相关案件3700余起,抓获犯罪嫌疑人11000余名,2014年至2017年9月,全国法院共审理利用网络侵犯公民个人信息犯罪案件1529件。

执法检查组委托中国青年报社社会调查中心所做的“万人调查报告”显示,《网络安全法》、《关于加强网络信息保护的决定》关于用户个人信息保护的多项制度落实得并不理想:有52.1%的受访者认为,法律关于“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,必须明示收集、使用信息的目的、方式和范围”的规定执行得不好或者一般。

“万人调查报告”还显示,有49.6%的受访者曾遇到过度收集用户信息现象,其中18.3%的受访者经常遇到过度采集用户信息现象;有61.2%的人遇到过有关企业利用自己的优势地位强制收集、使用用户信息,如果不接受就不能使用该产品或接受服务的“霸王条款”。

此外,有52.5%的人认为执法部门保护用户信息的成效一般或者不好,不少人反映,在发现本人信息被泄露或者被滥用后,举报难、投诉难、立案难现象比较普遍。

“许多受访者反映,当前免费应用程序普遍存在过度收集用户信息、侵犯个人隐私问题,但几乎没有受到任何监管和依法惩处。”王胜俊在报告中指出,执法检查发现,有的互联网公司和公共服务部门存储了大量公民个人信息,但安防技术严重滞后,容易被不法分子窃取和盗用。

执法检查报告还披露,一些单位内控制度不完善或不落实,少数“内鬼”为牟取不法利益铤而走险,致使用户信息大批量泄露。当前在一些地方,利用网络非法采集、窃取、贩卖和利用用户信息已形成黑色产业链

王胜俊说,从公安部门近期破获的案件看,用户信息泄露呈现渠道多、窃取违法行为成本低、追查难度大等特点,而且违法分子使用的手段不断升级,因用户信息泄露引发的“精准诈骗”案件增多,给人民群众财产安全造成严重危害。

个人信息保护

针对个人信息保护形势严峻的现状,报告建议要认真研究用户实名制的范围和方式,坚决避免信息采集主体过多、实名登记事项过滥问题。各地区各单位对某一事项实施实名登记制度,应当有明确的法律依据,要改进实名信息采集方式,减少实名信息采集的内容。

报告建议,要加快个人信息保护法立法进程,通过专门立法,明确网络运营者收集用户信息的原则、程序,明确其对收集到的信息的保密和保护义务,不当使用、保护不力应当承担的责任,以及监督检查和评估措施。

报告还建议加大监督检查力度,建立第三方评估机制,督促网络运营和公共服务单位严格依法收集用户信息,建立健全内部管理制度,有效降低“内鬼”窃密风险。

针对执法检查中,不少人反映,在发现本人信息被泄露或被滥用后,举报难、投诉难、立案难的现象,报告建议,完善投诉受理机制,研究建立统一高效的用户信息安全事件投诉受理机制,为用户投诉、举报提供便利。

声明:本文来自网络犯罪工作坊,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。