一些领导干部的新网络安全观还没有真正树立起来,还是处于“重建设,轻管理”“重使用,轻安全”的认知状态,如果这个根本问题不解决,网络信息安全就无从谈起。
全球已有90个国家制定了个人信息保护法律,而我国现在还没有专门针对个人信息保护的法律,下一届全国人大常委会应尽快将其列入立法议程,作为一类立法项目尽早立法。
2017年12月26日上午,十二届全国人大常委会第三十一次会议分组审议了全国人大常委会执法检查组关于检查《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称“一法一决定”)实施情况的报告。
报告提到,从检查情况看,各地在贯彻实施“一法一决定”、维护网络安全方面,还存在网络安全意识亟待增强、用户个人信息保护工作形势严峻、网络安全执法体制有待进一步理顺、网络安全人才短缺等问题。
对此,全国人大常委会组成人员建议,通过落实领导者和管理者责任、对个人信息泄露行为进行专项整治、在机构改革中解决“九龙治水”的管理问题、建立吸引人才的机制等措施,推进“一法一决定”各项制度全面落实,切实维护人民群众的切身利益。
应明确领导者和管理者责任
报告提到,不少地方政府和部门领导干部不能从国家安全的高度认识网络安全,没有把网络安全工作列入本级政府和部门工作的重要议程或者只是口头上重视,“说起来重要,干起来次要,忙起来不要”。
对此,一些委员认为,网络安全要抓好领导干部这个“关键少数”。
邓昌友委员参加了网络安全法执法检查以后,感到网络安全方面存在的最根本、深层次的问题,还是一些领导干部的网络安全意识不强。
“我们检查时发现,有的领导干部对‘一法一决定’根本就没有学习过,他们自己也公开承认还没学习过,听说我们要来检查,才赶快把网络安全法拿出来学了学。我们到一些网络运营单位、行政机关检查,看到墙上都贴着相关规定,柜子里也有相关文件,但是具体一查,那就是一张纸、一份文件,都没有落到实处,是做给执法检查组看的。”邓昌友说。
这让邓昌友感觉到,一些领导干部的新网络安全观还没有真正树立起来,还是处于“重建设,轻管理”“重使用,轻安全”的认知状态,如果这个根本问题不解决,网络信息安全就无从谈起。
窦树华委员指出,现在从保密办通报的一些网络泄密案件来看,原因大都是领导干部不懂网、网络安全意识薄弱造成的,一些中央机密文件、秘密文件一扫就上网了,造成了很多泄密事件,“所以,做好网络安全工作,要重点抓好领导干部‘关键少数’,自觉做到学网、懂网、用网,牢固树立网络安全意识,真抓真防,才能确保网络安全万无一失。”
列席会议的全国人大财政经济委员会副主任委员李学勇认为,在法律落实中要更加重视“人”的因素,网络安全法对相关部门、单位、企业的责任规定得比较明确,但有些责任还没有落实到具体人身上,包括领导者和管理者的责任,相关配套法规规章制定时需要进一步予以明确。
建议专项整治个人信息泄露行为
报告提到,检查发现,有的互联网公司和公共服务部门存储了大量公民个人信息,但安防技术严重滞后,容易被不法分子窃取和盗用。一些单位内控制度不完善或不落实,少数“内鬼”为牟取不法利益铤而走险,致使用户信息大批量泄露。当前在一些地方,利用网络非法采集、窃取、贩卖和利用用户信息已形成黑色产业链。从公安部门近期破获的案件看,用户信息泄露呈现渠道多、窃取违法行为成本低、追查难度大等特点,而且违法分子使用的手段不断升级,因用户信息泄露引发的“精准诈骗”案件增多,给人民群众财产安全造成严重危害。
侯义斌委员直言,现实中个人信息泄露问题十分严峻,网络用户个人信息的泄露和倒卖已经到了十分猖獗的程度,并且形成了各种各样的网络个人信息倒卖产业链,对全体公民的信息安全构成了严重威胁。
对此,侯义斌提出三点建议:国务院对网络个人信息的泄露和倒卖要像扫黄打非那样进行专项整治,尽快遏制这种疯狂的势头;在专项执法和专项整治中要把个人信息载体的平台或机构作为第一责任人,不论是“内鬼”还是“外鬼”导致的个人信息泄露,个人信息载体的平台或机构必须首先承担法律责任;全国人大常委会针对网络和公民个人信息安全问题成立工作组,专门研究网络与个人信息保护的专项立法和督查工作。
吕薇委员认为,个人信息安全和隐私保护越来越成为社会治理的重要问题。然而,虽然各方面都在呼吁,但在处理上和管理上还是没有更好的办法。因此,要尽快制定个人信息安全保护标准和操作程序,在必要的时候出台个人信息安全保护法。
“要通过独立的第三方专业机构和协会,对掌握个人信息的运营单位或机构进行个人信息保护的资质审核与认证。比如,日本、欧洲都对掌握信息的企业进行第三方评估,评估完之后进行等级认证,这些企业在社会上就有了相应的信誉。我国在辽宁等地也有过认证。在当前的情况下,靠政府查是防不胜防的,所以应该发挥协会、社会和独立第三方的力量,先做起来,并逐步规范。”吕薇建议。
严以新委员建议,对个人信息保护进行专门立法。“全球已有90个国家制定了个人信息保护法律,而我国现在还没有专门针对个人信息保护的法律,下一届全国人大常委会应尽快将其列入立法议程,作为一类立法项目尽早立法。”
机构改革中解决“九龙治水”问题
报告指出,网络安全监管“九龙治水”现象仍然存在,权责不清、各自为战、执法推诿、效率低下等问题尚未有效解决,法律赋予网信部门的统筹协调职能履行不够顺畅。一些地方网络信息安全多头管理问题比较突出,但在发生信息泄露、滥用用户个人信息等信息安全事件后,用户又经常遇到投诉无门、部门之间推诿扯皮的问题。
“我们在调研中也注意到,很多人反映,他们的信息被泄露或被滥用后没法举报、没法投诉,立案也比较困难。针对这种情况,建议有关部门,特别是政法部门要结合执法检查提出的问题,进一步采取更加严厉的措施,加大对网络攻击、网络诈骗、网络违法犯罪活动的打击力度,特别是要切断网络犯罪的各种利益链条,真正落实法律保护公民个人信息的规定,使广大公民的合法权利不受侵害。”李盛霖委员建议。
谢旭人委员指出,网络安全工作涉及领域多、范围广、任务重、难度大,具有很高的系统性和协同性,加强职能部门协调配合工作十分重要,因此,要尽快健全适应网络特点的规范化执法体系,完善网络执法协作机制。
“要加强网信部门统筹协调职责,明确工信、公安等职能部门权责,形成网信、工信、公安等部门协调工作机制,切实解决网络安全管理中存在的‘九龙治水’、协调不够问题。同时,还要建立部门协调工作责任制,相关部门间要实现信息共享,对出现的问题共同研究分析,各司其责去解决,同时互相促进工作。”谢旭人说。
何晔晖委员指出,现在有很多负责网络安全的部门,每个部门都是各管一块,部门之间的联系、沟通、协调还存在很多问题,不能形成合力。“希望中央网信办尽快把这些部门统一协调起来,把现有的、本来就不是很充分的执法检查队伍建立起来,形成一个比较完善、多层次的监督管理部门,形成一个统一的网络安全监督检查体系。”
刘振伟委员直言,现在不少法律的实施都存在执法体制不顺的问题,网络安全监管也是如此,建议在机构改革中下决心推动解决报告中提到的问题。“没有法律制度,出了问题是法律滞后问题,理由可以是无法可依;有了法律制度,再出问题,就是法律实施问题。希望网络安全法执法检查之后的整改,能从理顺监管体制和权责着手。”
建立机制吸引和留住人才
报告显示,从检查的情况看,不管是经济发达地区还是相对落后地区,网络安全技术人才都比较匮乏,现有的网络运营单位技术人才多侧重于系统使用、操作维护,对网络安全风险的监控、应急处置和综合防护能力不足,难以适应保障网络安全的需要。
“我们到任何一地都发现,人才的缺乏是极其严重的,很多地方甚至一个单位根本就没有这样的网络安全人才。光买设备是没有用的,核心的东西还是要靠人才,人才对网络安全来说是非常关键的。希望教育部在网络安全人才培养方面加大力度,培养更多的高新人才才是安全的长远之道。”杨震委员说。
“我非常赞成加强网络安全学科建设,优化师资队伍结构,但比较传统式的学科培训人才,是需要一段时间的。社会上有不少可能学历不高但对网络认识更强的人,可以用较好的条件来聘用他们。对于聘用条件,不一定需要按照一般聘用的条件,要考虑特事特办。”范徐丽泰委员认为,必须要加快网络安全人才队伍建设。
吕薇认为,不仅要培养人才,而且要建立吸引人才、留住人才的机制。如果没有有效的机制,现在很多单位的网络安全人才干了几天学会了本事就被挖走了,结果一些政府网络安全机构变成了人才培养和储备库。“因此,我们不仅要培养人才,还要建立一个专业队伍的激励机制,能够使真正好的人才、顶尖的人才为我们服务。”