公安部网安局 卢雪娜
随着我国信息化建设的飞速发展、大数据战略的快速推进,移动互联网逐步覆盖社会绝大多数行业和领域,逐步渗透到生产生活的方方面面,各类移动互联网应用百花齐放,在助力社会服务效率提升,助推数字经济全面加速发展的同时,也带来了一系列安全问题。特别是滥采滥用个人信息的问题日益突出,侵犯公民个人信息的违法犯罪快速增多,损害公民合法权益,破坏网络公共秩序,极大地影响了人民群众的上网安全,成为社会高度关注的一个话题。
今年1月,中央网信办、工信部、公安部、市场监管总局等四部门决定,自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。为积极回应群众关切,顺利完成专项工作,有效提升我国个人信息保护的水平,笔者认为,App企业和监管部门应通力合作,从以下三个方面入手,共防、共治、共享,清理整治网络乱象,共同营造风清气朗的网络空间。
一、做好新技术新应用上线运行安全评估
2018年11月,国家互联网信息办公室与公安部联合印发《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,对违法有害信息高发频发、社会反响强烈的互联网信息服务,提出了上线前开展安全评估的监管要求,并明确此类安全评估不属于信息服务上线运行的行政许可,由企业自主开展。
据此,有关App运营者应按要求开展安全评估工作,并将评估报告提交网信部门和公安机关审查。在App专项治理工作期间,两部门将根据审查情况,依照各自职责每月开展监督检查,督促企业整改安全隐患,依法查处违法违规行为,以有效防止App应用“不装刹车就上线”和“带病运行”。
除了具有舆论属性或社会动员能力的App之外,其他App运营者在新服务上线之前也应组织开展安全风险评估,评估防范措施的有效性。App分发平台要加强对拟上架App的安全评估,对于预发布、预安装的App,要从业务合法合规审核和安全技术检测两方面开展工作,有效防止App应用被用于违法犯罪活动。
二、依法落实网络与信息安全责任义务
依照我国现行法律规范,App运营者应当依法落实以下网络与信息安全责任义务。
(一)依法收集、使用、保护、提供公民个人信息
依照相关法律规范,App企业收集、使用公民个人信息,应遵循以下“四原则”:一是收集、使用个人信息必须遵循合法、正当、必要的原则,规则公开透明,并经被收集者同意。二是不得收集与所提供服务无关的个人信息,不得违法收集个人信息,不得超范围收集个人信息。三是应当采取技术措施和其他必要措施,防止所收集的个人信息泄露、篡改、毁损、丢失。四是未经被收集者同意,不得向他人提供个人信息,但是,经过处理无法识别特定个人且不能复原的除外。App运营者应当主动落实相关责任,及时发现整改违规行为,对违反相关规定且不采取工作措施的,有关主管部门将依法采取App下架、暂停或关闭服务、吊销证照、社会公开等行政处罚措施。App涉嫌从事非法获取、非法出售或者非法提供公民个人信息违法犯罪活动的,公安机关将依法作出没收违法所得、罚款等行政处罚。构成侵犯公民个人信息犯罪的,公安机关将依法立案侦查。
(二)依法建立并落实网络与信息安全管理制度和安全保护技术措施
一是落实网络实名制,依法查验用户真实身份信息,对拒不提供真实身份信息的用户,App运营者不得为其提供相关服务;对没有运营者信息的App,不得在App分发平台上架推广。二是落实日志信息记录和留存制度,依照我国相关行政法规和标准要求,记录并留存网络日志。三是防范、发现、处置违法有害信息,App运营者要加强用户信息发布管理,在发现法律法规禁止发布、传输的信息或者接到公安机关等部门的处置要求后,应立即停止传输、采取消除等处置措施,保存有关记录,并向有关主管部门报告。四是在服务开通三十日内,依法向公安机关办理备案手续。五是App分发平台要建立完善违法有害App下架处置机制,对平台上设置恶意程序、含有禁止发布或者传输的信息的App,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。违反相关规定的,有关主管部门将依法采取行政处罚措施。
(三)防范、发现、处置所提供的网络服务被用于实施违法犯罪
一是App运营者提供的服务,或者是App分发平台提供的应用程序,不得用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全的活动。二是App运营者要建立人防和技防相结合的安全审核制度,强化违法有害信息和活动、违法违规商品的监测发现和处置,避免其提供的服务被用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动,或者被用于发布涉及违法犯罪活动的信息。三是App运营者应健全安全管理制度、采取网络安全技术保护措施,有效防止所提供的服务为犯罪活动提供互联网接入、服务器托管、网络存储、通讯传输等四类技术支持,或者提供广告推广、支付结算等帮助。违反有关规定的,公安机关将依法采取行政处罚措施,并会同有关部门落实好“网络安全管理和网络运营关键岗位”行业禁入的要求。构成犯罪的,将依法追究刑事责任。
(四)按要求依法为有关主管部门提供执法协助配合
我国法律明确规定,对网信、电信、公安等监管部门依法实施的监督检查,网络运营者应当予以配合。对公安机关、国家安全机关依法开展的维护国家安全、侦查犯罪以及防范调查恐怖活动,网络运营者应当提供技术支持与协助。2018年,为进一步规范公安机关监督检查行为,公安部制定出台了《公安机关互联网安全监督检查规定》。在App专项治理期间,公安机关将针对重点App运营者和App分发平台,特别是具有舆论属性或社会动员能力的App依法开展专项检查,督促指导企业健全完善管理责任制度,落实网络实名制,依法收集使用公民个人信息,依法整改安全风险和管理漏洞。对不能防控风险、不能履行法定责任的企业,公安机关将会同有关部门依法查处。对公安机关依法开展的监督检查,各App企业要依法予以配合。
在工作中,如果出现App企业拒不履行国家法律、行政法规中明确规定的网络安全管理义务,经监管部门责令整改而拒不整改,对网络秩序造成影响和危害,具有法定情形,构成犯罪的,公安机关将依据《刑法》第286条之一,以“拒不履行信息网络安全管理义务罪”依法追究刑事责任。
三、加强政企合作共同维护清朗网络空间
无论是政府部门,还是互联网企业和广大网络用户,都是网络社会的成员,应当目标一致、各司其责、齐心协力,共同维护网络秩序。
(一)监管部门应当依法履职,指导督促App企业落实安全管理的主体责任
针对公民个人信息被非法窃取、买卖、非法使用等突出问题,自2016 年以来,公安机关持续组织开展全国性的打击整治网络侵犯公民个人信息犯罪专项行动,捣毁了一批窃取、贩卖公民个人信息的公司、平台,摧毁了一批利用公民个人信息实施诈骗、盗窃、敲诈勒索等犯罪团伙组织体系,整治了一批违法收集、使用、提供公民个人信息的网络运营者,遏制了相关违法犯罪的高发势头。在今年启动的全国“净网2019”专项行动中,公安机关将按照“追源头、摧平台、断链条”的原则,继续加大对侵犯公民个人信息犯罪的打击力度,同时深入开展“一案双查”,会同有关部门,指导督促各App企业落实法定责任义务,依法查处不履行网络安全义务、为网络违法犯罪提供支持帮助的违法违规行为。
(二)App企业在完善企业内部网络安全责任制度、履行好法定责任的基础上,还应当主动作为,积极承担社会责任
一是要加强行业自律,积极参加并支持行业安全自律联盟,推动相关行业标准和规范的制定和完善,组织开展自查自纠,合法合规地开展大数据应用。二是要健全完善群众举报响应制度,及时受理处置群众举报或投诉,改善用户体验,为用户维护合法权益提供方便。三是要主动针对诈骗、淫秽色情、赌博、非法集资等群众反响强烈的违法犯罪信息和活动,及时提供风险预警,及时发现报告网络黑灰产线索,塑造良好的企业形象。
(三)政企协作,进一步推动完善个人信息保护的法律体系
目前,我国个人信息保护的法律框架已基本构建完成。从行政立法来看,《网络安全法》明确了网络运营者的个人信息保护原则,国家制定出台了《信息安全技术个人信息安全规范》,公安部正在研究制定《互联网个人信息安全保护指引》。从刑事立法来看,《刑法修正案(九)》中修订完善了“侵犯公民个人信息罪”,最高人民法院、最高人民检察院制定出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,但是,从整体架构上来看,在行政立法上还需要一个专门立法来规制个人信息保护工作。
对此,需要各监管部门与App企业加强合作,推动在国家立法中,进一步明确个人信息保护的整体原则,明确个人、企业、政府部门的保护责任,明确相应的违法行为,特别是要顺应大数据发展需求,规范对公民个人数据的采集、使用、加工、处理,确保数据主体对其数据采集、处置的知悉权和自主权,划清合法与非法的界限,划清罪与非罪的界限。
面对网络社会治理过程中出现的新情况、新问题,面对公民个人信息保护这样一个时代赋予的课题,公安机关愿与App企业一起,群策群力,有效落实法定责任义务,有效保障公民合法权益,共同推进我国网络安全的法律完善,共同维护网络空间秩序和网络安全。
(本文刊登于《中国信息安全》杂志2019年第3期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
