標籤:

網路安全法正式執行,會對個人或組織造成什麼影響?

12-27

今天收到的簡訊,這是提醒還是警告?曾經聽說有網友在該法(草案)出台前投過票,只能投贊成票,無法投反對票,該法的正式執行會給互聯網造成什麼影響,還能在網上聊聊敏感話題嗎?是進步還是藥丸?

《網路安全法》前幾天正式生效施行,嘶吼整理了這項法規會對大家生活造成的影響。

下面是我們的理解:

====================================

經歷兩年時間的立法過程後,《網路安全法》終於在今天正式生效。

兩年前我讀過發布的第一版草案,和草案相比,現在的正式版在細節上精確了不少,比如關鍵信息基礎設施的範圍、個人信息保護的範圍和不同場景、違反的處罰金額等等。但它仍然是一部不完整的法律,因為有許多沒有定義、含糊的地方。

網信辦網路安全協調局負責人在昨天答記者問說,《網路安全法》的配套法規制度標準還在抓緊制定中,包括關鍵信息基礎設施保護辦法、個人信息和重要數據出境安全評估辦法、網路關鍵設備、網路安全專用產品目錄和個人信息安全規範等等。

目前來看,已生效的《網路安全法》會帶來什麼變化呢?第一個變化可能是實名,中國互聯網上的每一個可發布信息的角落,只有驗證了你是誰後才能提供服務。

幾乎所有網站都需要你提供身份信息

網路運營者為用戶辦理網路接入、域名註冊服務,辦理固定電話、行動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網路運營者不得為其提供相關服務。

「真實身份信息」,一般指姓名+身份證號,目前有一些網站用手機號作為身份信息,不確定這樣的做法是否行得通,雖然按相關規定手機號確實是實名的。

《網路安全法》第四十一條規定了企業不得收集與提供服務無關的個人信息,但按上面這條的意思,真實身份信息是任何一家國內經營企業可以且有必要收集的

我對自己身份證號的隱私已經不抱任何希望。

你需要時刻關注網上的個人身份信息

個人發現網路運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網路運營者刪除其個人信息;發現網路運營者收集、存儲的其個人信息有錯誤的,有權要求網路運營者予以更正。網路運營者應當採取措施予以刪除或者更正。

這裡邊暗含一個安全細分市場——身份安全。國外比較成熟,有廠商提供專門的身份信用監控服務,對接徵信、稅務、銀行等各類機構,一旦發現有異動(主要是盜用),會向用戶發出警告

每當國外有大企業發生數據泄漏,都會向受害用戶贈送一兩年的身份信用監控服務,以此作為賠償。

考慮到國內的大環境,預測可能在三到五年內會出現類似企業。

你的個人信息被泄漏,企業應該通知你

網路運營者應當採取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。

「及時告知用戶」,是社交網站上發個公告就行,還是定向髮網站私信、郵件才行?這裡恐怕有不少操作空間。

比如招商銀行前幾天爆出伺服器緩存bug,把A用戶的敏感信息泄漏給了B、C用戶,請問招行僅僅隨便發個微博,是否盡到法律義務呢?如果B、C用戶告知A用戶,下回再出現這事A用戶有可能起訴成功嗎?

繼續追問,用戶被泄漏個人敏感信息,僅僅通知是否足夠呢?什麼樣的泄漏案件,用戶可以起訴要求賠償呢?

所有企業都需要更多的審核人員

網路運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,採取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告。
任何個人和組織發送的電子信息、提供的應用軟體,不得設置惡意程序,不得含有法律、行政法規禁止發布或者傳輸的信息。電子信息發送服務提供者和應用軟體下載服務提供者,應當履行安全管理義務,知道其用戶有前款規定行為的,應當停止提供服務,採取消除等處置措施,保存有關記錄,並向有關主管部門報告。

「法律、行政法規禁止發布或者傳輸的信息」是一個黑盒,包括且不限於黃賭毒、反政府、敏感事件、非法組織等辭彙。

一般來說,BAT大廠服務出現相關信息的討論,事中積極屏蔽就行。小公司會直接拔網線,小几率公司會死亡。

所以招審核人員是很有必要的,也有可能是租用審核服務。

所有企業都需要一個安全頭銜

國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
……
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;

這個頭銜的擁有者,最開始可能是創始人、第一個程序員,而非安全技術員。

網路安全等級保護制度後續可能會有新的要求,因此安全頭銜的人需要對相關信息持續保持關注。

所有企業都應該向政府坦誠

在整篇法規中,「向有關主管部門報告」出現過6次,包括

發現產品、服務存在缺陷或漏洞
發生危害網路安全的事件
發生或者可能發生個人信息泄露、毀損、丟失的情況
發現法律、行政法規禁止發布或者傳輸的信息
發現用戶發送的電子信息、提供的應用軟體設置惡意程序,或者含有法律、行政法規禁止發布或者傳輸的信息
(第6次是處罰條文)

暫時還不明確「有關主管部門」有哪些,但可以預想到,確定之後他們恐怕比工商部門還要忙了。

《網路安全法》賦予了「國家網信部門和有關部門依法履行網路信息安全監督管理職責」,在全文中,「有關主管部門責令」出現過12次。

粗淺理解,網信部門將和工商稅務、消防部門一樣,擁有隨時抽查企業的權利。互聯網小企業們要上心咯。

今年3月,人大會議發言人傅瑩透露,政府今年將開展網路安全法執法檢查,關注的重點之一就是加強個人信息保護。

大家都在等待大法實施後第一個案例。

嗯,這就是所謂的前車之鑒,截圖裡已經有了回答者和相應信息,我就不放鏈接了,雖然下面標註了禁止轉載,,,,
但是,這個回答好切題啊,不搬過來真是可惜了。

作者:夏之冰雪
寫於2017年5月31日這個特殊的日子

首先謝邀。。

最近參與並聽取了網路安全法相關的報告、律師解讀,以及著手推進企業內部實施相關措施。這段時間,對於網路安全法,我個人最大的感受就是 ———— 第一次覺得法律距離我們如此之近。

以前,大家可能覺得守法很簡單,做個好公民很容易,只要不做「違背良心」的事就肯定不會犯法,也不需要拿著法律條款逐條解讀,生活很簡單。而對於我們做技術的人而言,特別是具有黑客精神的這群人,也一直堅信科技改變世界,技術是單純的、亦是無辜的。其實,這是一種對法律錯誤的解讀,特別是當網路安全法實施之後,我們技術人員更應該具備法律意識,這也是我寫這篇文章的目的。

  • 相關介紹

網路安全法全稱

《中華人民共和國網路安全法》

安全法形成過程

2015年6月,十二屆全國人大常委會第十五次會議對網路安全法草案進行了首次審議。

2016年6月,十二屆全國人大常委會第二十一次會議對網路安全法草案進行了第二次審議。

2016年11月7日,十二屆全國人大常委會第二十四次會議,進行了第三次審議,會議以154票贊成、1票棄權,表決通過了網路安全法。

內容目錄

網路安全法共有7章79條

第一章 總則

第二章 網路安全支持與促進

第三章 網路運行安全

第四章 網路信息安全

第五章 監測預警與應急處置

第六章 法律責任

第七章 附則

生效日期

第十二屆全國人大會常務委員會第二十四次會議通過《中華人民共和國網路安全法》,習近平主席簽署第五十三號主席令,予以正式公布。《網路安全法》包括總則、網路安全支持與促進、網路運行安全、一般規定、關鍵信息基礎設施的運行安全、網路信息安全、監測預警與應急處置、法律責任、附則等七大章,自2017年6月1日起施行。在我國境內建設、運營、維護和使用網路,以及網路安全的監督管理,適用該法。

  • 背景介紹

網路安全法從草案到通過,僅用時一年半,而生效時間也只有半年,整個過程的速度如此之快。要知道,正常一個國家的法律,從制定到實施要經歷很長一段時間進行敲定,有人可能會擔心這門法律制定是否健全、完善。其實,網路安全法的制定經過了三次審議,充分說明了制定的縝密性。之所以快,是因為我們國家當前的網路形勢已經到了非常緊迫的階段,國內外的網路安全隱患也已經到了必須通過法律來進行解決的關鍵時刻。

我們還需要關注一些其它方面的背景,才能更好的理解我們國家為何設立這門法律。不要只站在白帽子、或者黑客個人的利益角度看待,這種思考是片面的,甚至會導致對安全法消極的理解。在這裡,再給出幾個關鍵時間點:

  • 2013年6月,前中情局(CIA)職員愛德華·斯諾登將兩份絕密資料交給英國《衛報》和美國《華盛頓郵報》,並告之媒體何時發表。
  • 2013年6月5日,英國《衛報》先扔出了第一顆輿論炸彈:美國國家安全局有一項代號為"稜鏡"的秘密項目,要求電信巨頭威瑞森公司必須每天上交數百萬用戶的通話記錄。
  • 2013年6月6日,美國《華盛頓郵報》披露稱,過去6年間,美國國家安全局和聯邦調查局通過進入微軟、谷歌、蘋果、雅虎等九大網路巨頭的伺服器,監控美國公民的電子郵件、聊天記錄、視頻及照片等秘密資料。之後的事情大家應該基本都清楚了,包括美國針對中國進行大規模網路進攻,把中國領導人和華為公司列為目標,攻擊商務部、外交部、銀行和電信公司等,對部分中國企業進行攻擊和監聽。為了追蹤中國軍方,美國國家安全局入侵了中國兩家大型移動通信網路公司。
  • 2013年8月的7日和8日,國家主席習近平和美國總統奧巴馬在美國舉行「莊園會晤」,「習奧會」的重點之一便是網路安全問題。
  • 2014年2月27日,中央網信辦————中央網路安全和信息化領導小組,正式成立。

通過這一組時間來看,我個人認為,斯諾登事件是推進我國網路安全至關重要的一個節點,也是網路安全法推進的一個重要原因。

另外,中央網信辦和國家網信辦是有區別的,中央網信辦更加強調網路安全:

中央網信辦,著眼國家安全和長遠發展,統籌協調涉及經濟、政治、文化、社會及軍事等各個領域的網路安全和信息化重大問題,研究制定網路安全和信息化發展戰略、宏觀規劃和重大政策,推動國家網路安全和信息化法治建設,不斷增強安全保障能力。

國家網信辦,落實互聯網信息傳播方針政策和推動互聯網信息傳播法制建設,指導、協調、督促有關部門加強互聯網信息內容管理等。

因此,最近這些年國家在網路安全方面實施了一系列事情,就是要解決國內網路安全長期欠賬的問題,網路安全法標誌著網路空間法制化進程的實質性展開。

  • 基本要求

國家互聯網信息辦公室網路安全協調局局長趙澤良對網路安全法強調了三點————安全可控、自主可控、安全可信,值得我們每一個安全從業人員仔細研讀,這是網路安全法的最基本要求。

「安全可控、自主可控、安全可信」有三方面的要求:

第一,產品和服務提供者不應該利用提供產品和服務的便利條件來非法獲取用戶系統中的信息、用戶設備中自己的信息或者不應該損害用戶對自己信息的自主權、支配權。

第二,產品服務提供者不能利用提供產品和服務的便利條件來非法控制、非法操縱用戶的系統、用戶的設備,損害用戶對自己系統、設備的控制權。

第三,網路安全、網路產品和服務的提供者,不應該利用廣大用戶對產品和服務的依賴搞不正當競爭,謀取不正當利益。

  • 關鍵詞

網路安全法的實施,為何導致「百度網盤」、「百度貼吧」強制實施實名制?

直播平台在不涉及個人用戶數據泄露的前提下,是否還會觸犯其它網路安全法?

作為個人站長,我的網站出了問題,是否要承擔法律責任?

我就是個網路安全愛好者,不做任何利益相關的事情,我需要注意什麼?

我分享個安全工具,竟然會被判刑?

當我們有這麼多問題的時候,說明我們根本沒有仔細研究過這門法律。另外法律條款,會定義一些辭彙,如果不仔細研究這些辭彙,也會導致對安全法存在認知盲區。為了防止一些壞人、壞企業鑽空子,法律制定者是非常嚴謹的,避免產生法律的漏網之魚。

作為安全從業人員,不熟悉網路安全法,是對自己的不負責任表現。

這裡舉幾個例子:

1. 網路運營者

網路安全法出現次數最多的辭彙之一「網路運營者」,有14個條文規定了「網路運營者」的安全保護義務,用5個條文規定了「網路運營者」的法律責任。作為網路從業人員,理解「網路運營者」這個辭彙很重要,可以幫助我們理解我們是否是網路運營者、是否符合某個法律條文的要求、是否會觸犯某一法律條款等。

「網路運營者」指網路的所有者、管理者和網路服務提供者。這一定義範圍較廣,幾乎囊括了利用網路開展活動的各類主體,也就是說在我國境內提供或者利用通信網路、互聯網路等提供產品與服務的各類營利性與非營利性主體,都屬於《網路安全法》監管範圍。

通俗了講,不論你是企業還是個人,不論你是否涉及利益,都屬於網路運營者。對於那些個人站長,從明天起,請承擔起你的網路安全法律責任。

2. 未成年人

國家支持研究開發有利於未成年人健康成長的網路產品和服務,依法懲治利用網路從事危害未成年人身心健康的活動,為未成年人提供安全、健康的網路環境。

這段話我是摘自安全法第十三條,大家需要注意未成年人這個辭彙,也就是說如果你的網站有未成年人群體,你要額外承擔未成年人的網路健康責任。比如最近開始出現的藍鯨遊戲,就是針對未成年人心智還不健全而發起的網路暴力事件,作為網路運營者就有必要阻止這類事情發生。比如社交平台,比如搜索平台,比如內容發布平台,如果不及時處理,也可以被認為是違法。

3. 個人信息

網路安全法第76條,個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

注意這句話「包括但不限於」,措辭相當嚴謹,就是為了避免有人鑽空子。傳統的販賣個人信息肯定是犯罪的,而且數量巨大的話罪責很嚴重。新型的販賣個人信息,隨著安全法的出台,也變得有法可依,這條法律將會打擊那些「借著大數據的幌子」去傳播用戶信息的企業。

有一個信息值得關注————地理位置,如果回到十年前,這個信息可能不會被重視。而隨著科技發展,移動互聯網的普及,地理位置數據變得尤為重要。現在的定位水平,我們甚至可以精確到十米、二十米之內的人,但是大家有沒有發現,像微信附近的人,一般提示的都是一百米或者幾百米之內,這也是對用戶信息地理位置的一種保護。為什麼定位技術可以這麼精準,產品卻不這麼做?試想一個場景,A欠我錢,我窮的只剩斧頭了,如果我能得到A的地理位置,可能發生什麼?再比如,精準定位開通後,會不會有男性同胞半夜通過地理位置搜索異性?除了地理位置,未來會有更多不同類型數據被法律更加重視,可能包括指紋、人臉等等。

切記,個人信息,不只代表個人輸入的信息,還包括其他因個人行為產生的數據,比如我們的購買記錄、我們的徵信分值(芝麻信用)、我們的通訊錄、我們的健康狀況數據。

  • 企業注意

安全法表面上還沒有正式實施,但是早已暗流涌動。不僅是安全從業人員,甚至是企業以及企業員工(程序員),都要重視網路安全法。

這不是開玩笑、危言聳聽,網路安全法的出台,就是配合全國接下來開始整頓各類問題和懲治犯罪。以前對於一些數據販賣、網路安全破壞等事情,各地實施困難,主要原因就是沒有明確的嚴懲標準,或者無法可依,導致最終處理的都比較輕,或者簡單警告一下。這也導致了白帽子白天白,晚上卻肆無忌憚的黑,企業無視警告繼續搜集用戶信息,就是因為懲罰太輕。

現在不同了,說一個事,5天前就聽說了警方會針對數據亂象出手,全面整頓。已經有超過十家公司開始被調查,包括估值在幾十億級別的企業,高層被帶走去詢問。更多事情在這裡我也不方便透漏,總之作為企業,是時候思考我們的業務是否不符合網路安全法的要求,如果是儘快改!風雨欲來,莫要事不關己。

可參考一篇新聞:

數據第一股神話將破滅?市值從21億變7億,高管也被抓了

還有其它事件,也在發生,未來會更多:

三款來電攔截APP被指泄露用戶信息 獵豹暫停相關功能

作為企業不侵犯用戶隱私、不販賣用戶數據、不提供網路犯罪平台,就可以了么?

換做以前,可能是,換做現在,當然不是!

  • 第二十一條,網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改。
  • 第二十三條,網路關鍵設備和網路安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後,方可銷售或者提供。
  • 第二十五條,網路運營者應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。

等等,看看這些法律條款,明確指出企業需要承擔的責任,對什麼樣的企業影響巨大?我覺得,對那些高估值的、數據為核心的企業,但是卻不重視安全的企業,會有非常大的影響。一旦出現黑客攻擊、竊取用戶數據。以前,作為企業,可能只是發個聲明說被黑客攻擊了,就萬事大吉了。現在,如果你們企業沒有做好安全防護、沒有制定應急響應、沒有在企業內部進行定期安全培訓、沒有對關鍵設備進行安全檢測就上線,那麼你們企業就要承擔法律責任了。

作為企業,是時候查缺補漏了,把這些年欠下的安全債都補上。在這裡,我給幾個建議:

1. 對於沒用能力對外做SRC(安全應急響應中心)的,可以編寫相關應急預案文檔,放在公司內網中,一定要有文檔可查。就算出了事,警方調查,文檔也能說明你們企業確實在做應急響應。

2. 企業和當地公安局要有良好的溝通渠道,可以將當地公安局、網信辦的電話記錄在文檔中,確保發生嚴重事情時,可以第一時間向有關部門彙報。

3. 建立安全部門,無論大小,都比沒有強。

4. 國家定義的網路安全規範,最好都在企業內部形成文檔落地,比如計算機等級保護、信息安全等級保護、網路安全法條款等。

5. 企業要定期開展網路安全的普及,注意是定期,每次進行網路安全普及,一定要有據可查,比如郵件。確保別人來查的時候,你可以拿著郵件給人家看,我們企業確實每個季度都在做。

6. 推行企業安全年檢以及關鍵設備和數據的安全保護。

總之,企業要有安全部門、安全制度、安全規範,且有據可查。

另外,網路安全法的一些條款,勢必會導致某些行業重新被定義,相關企業請提前做好被顛覆的準備,不做深入展開,僅舉一個例子:

網路安全法第二十七條,明知他人從事危害網路安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。波及到的互聯網企業包括廣告聯盟、第三方支付平台。

  • 安全從業人員注意

今天在朋友圈無意看到這句調侃————網路安全從業者「喜迎」六一兒童節!

是的,網路安全法和我們切身利益相關,我們是靠安全吃飯的一群人,總覺得以後的日子不好過、不好混飯了。比如:

1. 靠自學成為安全人員的,未來會越來越少,因為沒了曾經的、不受管制的環境。

2. 出現一個0 day漏洞,我們很難再去快速找個「線上」靶場練習了。

3. 不能再靠肆意挖洞養家糊口了。

4. 學校網站,網路安全最為薄弱的地方,是時候say goodbye了。

5. 滲透測試,卻不能拿數據,得不到管理員密碼,我怎麼往深了挖?

這些問題,我個人認為確實是存在的,但是不代表網路安全法對安全從業者就是不利的。

我們要站在發展的角度看,如果只是停留在過去的角度,任何一種改變,都能找到一堆不利的點,因為我們習慣了過去的習慣。從長遠出發,網路安全法的出台,可以解決或者推進很多事情。

1. 凈化網路安全空間

很多優秀的安全從業者是自學成才,但是不可否認,在這種不受管制的網路下,有一部分自學者走的是歪路,甚至成為了腳本小子,隨便拿個黑客寫的惡意程序,竊取用戶信息、盜刷銀行卡等等。安全法的作用就是遏制這類髒亂差的網路環境,避免沒有約束性的學習網路安全。在這裡給i春秋打個廣告,網路安全法的出台,對i春秋而言是個重大利好,因為i春秋提供了乾淨的安全學習平台。

2. 曾經的烏雲

烏雲的關閉令很多白帽子心痛,烏雲是一家有態度的安全平台,當初「袁煒挖漏洞被抓」事件,很多白帽子為此氣憤、喊冤。試想,從企業安全、從國家安全形度出發,他的行為是否涉及竊取數據?烏雲平台對於漏洞,不論企業是否處理,經過一段時間就公開,是否會導致企業產生安全隱患?

網路安全法的出台,就是要明確這些事情是否合法、明確法律界限。你說是為了測試,所以下載了數據,這個誰又說得清?網路安全需要有明確性,比白帽子的情懷更重要,說不清的事,真的出了問題,情懷是解決不了問題的。

總之,我們做安全測試、挖洞、開發安全工具、分享滲透經驗、傳播數據(社工庫),都要守法。

對於安全從業者,安全法是一種約束,但更是一種理性、健康發展的一個標準。從明天起,小作坊式的白帽子會越來越少,有組織有紀律的安全團隊會越來越多,而在國際網路空間安全複雜的背景下,我們國家更需要後者。

tips:國外的一些網路空間不在網路安全法範圍內,靶場這種東西。。。

  • 大數據下的困惑

有一個不成文的結論,除了金融領域,黑客更喜歡攻擊大數據公司,這不難理解,現在是數據為王的時代。2016年9月12日-14日,由中華人民共和國工業和信息化部批准的國際大數據產業博覽會在北京舉行,特別提到共享大數據已是大勢所趨。

網路安全法第四十四條,任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。

一邊是共享,另一邊是法律約束,看起來很矛盾,很多人對此表示困惑。第四十四條不能單獨拿來理解,請再看:

網路安全法第四十一條,網路運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。

注意這三個詞「合法、正當、必要」,國家沒有說不讓你使用數據,沒有說不許拿用戶數據做事情,企業是可以分析用戶數據的,但是不能用來非法出售、非法竊取、非法提供而已。在這方面,美國法律應該更加健全了,如果仔細研究,你會發現美國也沒有嚴格限制使用用戶數據,為什麼?

因為互聯網大國只有兩個國家,美國和我們中國,如果說中國和美國在互聯網裡被形容成國家,那麼其他國家就算是互聯網國家,規模上也頂多算是城市。對於發展規模如此龐大的中美,過度限制數據使用,勢必導致互聯網發展受到制約。因此,兩國都是知道的,使用用戶數據有風險,但是兩國的法律依舊同樣放開了這個口。

所以我認為不矛盾,企業依舊可以利用數據、共享數據,不過我們需要在使用過程中進行注意,圍繞「合法、正當、必要」進行數據使用。

用戶在某商城上搜索了比基尼,之後在公司瀏覽其它網站時,彈出了此商城的比基尼廣告,用戶覺得很害羞,這算竊取用戶數據了么?

不算,企業在使用用戶數據做產品推廣。

共享單車,芝麻信用分達到600以上,免租金,是否涉及泄露用戶數據或者出售用戶數據?

不涉及,該行為是在用戶點擊授權同意時,才進行提供,且沒有額外提供其他用戶數據。

脈脈和新浪進行合作,在用戶同意第三方登錄的前提下,脈脈收集新浪用戶數據並與手機通訊錄匹配,是否違法?

違法,違背了「合法、正當、必要」原則,具體內容不在這裡展開,有興趣的可以上網搜一下,這個官司是我國大數據第一案。隨著網路安全法的出台,會有更多的大數據案發生,法律會保護我們公民的隱私。

再說個重點,網路安全法第四十二條,網路運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。

對於大數據分析,如果我們企業能做到數據和用戶關係分離,那麼也將不違背信息保護。

tips:

1. 瀏覽器開啟隱私模式,搜索比基尼,安全低調。

2. 或者,搜索比基尼後,瘋狂搜索zippo之類的關鍵詞,彰顯紳士魅力。

  • 實名制

不知道大家有沒有注意到,百度網盤、百度貼吧要求用戶實名制,這個就是因為網路安全法出台:

根據即將於6月1日正式施行的《中華人民共和國網路安全法》第二十四條的規定要求,日前,百度網盤、百度貼吧等產品相繼宣布實行實名制認證。

網路安全法第二十四條,網路運營者為用戶辦理網路接入、域名註冊服務,辦理固定電話、行動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網路運營者不得為其提供相關服務。

那天看到一個朋友登陸百度網盤,直接彈出實名認證提醒,朋友看都沒看就關閉了。我就問他,你知道么,如果不實名的話,馬上就不能用了。朋友表示沒有注意過,而且很反感實名,怕自己信息被泄露出去。從這件事情,我引申出幾點:

1. 朋友還沒有意識到實名制將會影響到自己在互聯網的使用。

2. 朋友對實名制存在反感,在自我權衡下,很可能因為實名制而放棄某款產品。

3. 過去發生了太多起信息泄露,用戶對互聯網的信任感較低。

前不久和新華社的記者聊天時聊到這個話題,他問了我幾個問題,國家在出台實名制等制度保證網路安全的同時,如何消除網民的擔憂,如何保護個人信息不泄露方面,如何保障網民的行為自由度(如言論自由、評論自由等)?

很可能,不止一個人有這樣的困惑,特別是言論自由上,大家持反對意見的可能更多,會認為實名制,就是讓大家閉嘴。這個和某些白帽子看待網路安全法一樣,是片面的。為什麼要實名制?就要從不實名制目前有哪些問題出發來思考,還是那句話,任何改變都會影響現在的習慣,但是我們思考要全面。

目前非實名制情況下:

1. 一人註冊多個賬號在網路上編造是非發表同一種言論進行混淆視聽。

2. 網路大量的大馬甲、小馬甲,導致網路的信任度極低。

3. 我國存在不少道德素質差的網民,非實名制提供了言語攻擊、網路暴力、人肉搜索的溫床。

4. 網民辨識度低,易被謠言、迷信等蠱惑,而警方很難追查源頭。

5. 色情傳播、社工庫傳播、盜版傳播難以根治,違法成本極低。

6. 等等。。。

實名制,有利於對散布謠言的壞分子進行直接打擊,遏制各類惡意註冊。遏制虛假信息傳播、暴力及色情等違法內容傳播,對詐騙、犯罪、倒賣信息等進行制約,最大限度的提升網路道德水平,保護辨識度低的網民不受蠱惑。實名制可以迅速定位從而減少網路暴力事件的發生,讓公民提升自身社會責任意識。

還有一點不知道是否敏感,就是我們國家是典型的國家監管,我們國家一直以來都是依靠監管來維護國家安定團結,長治久安。

希望網路安全法的出台,可以提升企業的安全責任、提升公民的社會責任,讓我們不再有徐玉玉事件、網路暴力事件、鳥巢領錢騙局等。

  • 福利

網路安全法的出台,標誌著國家對安全的重視,那麼必然結果就是————安全從業人員的福利。

1. 招聘!

安全招聘需求將會加大,對於沒有安全部門的會建立安全部門,對於安全不夠規範的企業,會通過招聘完善安全團隊,並最終強化企業安全建設。

2. 工資!

安全從業人員要開始承擔起法律責任,既然要承擔風險,公司就要多提供工資了。就算你們公司沒有做,別著急,這個趨勢不可阻擋,未來安全從業者工資勢必會整體提升。

3. 資源!

隨著安全的重視,以i春秋為首的各類安全學習、安全分享平台更加壯大,安全資源會越來越豐富。(不好意思,最後打了個廣告)

這裡有個短視頻可以快速了解:【網路管理者必知】2分鐘了解新出台的《網路安全法》 - 阿里雲大學

一句話來說,就是對我們小老百姓沒什麼影響,但是對一些產業而言,會達到升級的作用,畢竟信息越來越全,真實,而且豐富,不升級自己的產業鏈,還好意思做黑產?


——正文開始——


《中華人民共和國網路安全法》將在6月1日起正式施行。

嗯,這其實是件與我們有些關係的事。

以前我們總說互聯網是片自由的港灣,沒有人知道屏幕的另一端是不是一條狗在跟你交談,更不知道那個騙了不知道多少錢的跟你視頻聊天的「美女」是不是披著一頂假髮,也不知道還有多少鍵盤俠企圖發表反動言論。

可以說,這是片法外之地。

現在好了,安全法施行之後,啥都是實名制:想註冊郵箱?驗證一下手機。想用手機?請登記你的真實個人信息。一連串下來,你在網路上的不正當行為,都是可被追責的。

舉個例子,在知乎上看到的一則消息:

出處:https://www.zhihu.com/question/58719943/answer/176827358

這樣的事情還少么?隨隨便便一個公眾號、一則微博不經驗證發一則駭人聽聞的消息,就可以達到一傳十十傳百的效果,然後搞得人心惶惶,無辜的人因此遭殃。

好在最後真相大白(店家的生意也肯定影響不小),兩位大媽沒匿名沒用洋蔥沒翻牆,發布了這樣的消息……被拘留了5天。

但是還有多少還在滿天飛的謠言呢?

現在好了,造謠傳謠是犯法,買賣個人信息也犯法,網路服務都要確保實名制,對於違法犯罪活動來說,成本陡增。

——但是,單單看實名制這條法律法規的背後,卻隱藏著另一個問題:個人信息還是越來越值錢,而且會越來越全面。就像以後快遞也將全面實行實名制,保證了收發人信息的真實有效性,無形中就是帶來了更詳細的個人信息、人際關係鏈條,獲取到這些信息,就能更有效地實施詐騙、犯罪活動了。

當然, 網路服務實名制之下,對信息買賣、內鬼偷竊信息這樣的行為也是有了相應的處罰懲治條例,問題是:其中帶來利益遠高於入罪後果,如何確保讓這些蠢蠢欲動的人能望而生畏?想必還需要更行之有效的手段。

對於我們這些安分守己的小網民而言,做到不傳謠,不造謠,不聽不信詐騙信息,那麼生活依舊沒什麼大的改變。

我想題主擔心的就是……如果飆車了,會不會被請去喝茶。這個嘛……可以很不負責任地告訴你,確實有某些童鞋在校園網裡下簧片後收到陌生電話口頭警告。

可是實際上,就算是查水表,也不會查飆車的老司機的,畢竟……大家都是司機嘛。 讀書人的事,能算飆車嗎?

說到《網路安全法》執行後造成的影響,我覺得沒有什麼比處罰案例更具說服力的了。自6月1日頒布以來,幾個月時間,廣東、山西、重慶、江蘇、四川五省已分別產出首例處罰案例。

對企業來講,《網路安全法》第二十一條重點強調了網路安全等級保護制度,強調了採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月。如果不留意,很容易對企業的正常運營產生影響。

說實話,《網路安全法》這一明確量級的法規推出,最實質的影響就是:會對網路運營者在安全審計類產品的選擇帶來不小的變化。為什麼這樣說呢?我將從以下四個方面進行說明。

1. 《網安法》要求對網路運行狀態和網路安全事件進行記錄監測,目前業內安全設備大多可以做到,但大多存儲空間有限,因此,網路日誌需要有第三方平台來進行存儲;

2. 同時,《網安法》的規定使《互聯網安全保護技術措施規定》(即公安部令第82號)中要求存儲網路出口日誌90天變更為留存相關網路日誌6個月。需留存日誌的周期變長、設備數量變多,對第三方平台的存儲容量挑戰加大;

3. 網路運營者在購買設備時,通常會選擇兩個及以上品牌,配合《網路安全法》對安全審計產品的新要求,兼容多家品牌、支持多種協議、並能統一成標準化的日誌採集,也是網路運營者的迫切需求;

4. 由於需要留存的相關日誌條目達數億級別,因此查詢時也對資料庫能力有更高的要求,傳統資料庫過千萬日誌查詢幾個小時的速度,嚴重影響到網路運營者的工作效率,需要查詢速度更快的資料庫以及底層技術支撐的日誌產品。

但每個企業、機構還是要根據自身的實際需求來選擇產品,比如業務場景、實現功能、資金預算等。不過以目前的市場發展潮流來看,產品與產品之間的「兼容性」已成為企業、機構考慮的重要因素。另外,選取的供應商資質也很重要。首先,一定要滿足中國網路安全法律下的條條框框。既然是在中國,而且涉及網路安全等敏感領域,建議還是優先考慮民族企業比較靠譜。其次,網路和數據已經成為現代企業的命脈,因此相關產品技術一定要過硬,盡量選擇較大的有實力的企業。

網路安全法的實施,維護的是國家的安全,帶來的變化最終的受益者還是老百姓與每一家合法經營的企業,更多、更明確的規則,也是為了更好地維護網路時代的生態環境。

推薦:

如何看待近期頒布的「網路安全法」草案?

https://www.zhihu.com/question/32027428/answer/215885841

來源:互聯網(部分編輯)
另一個問題跟你這個問題類似,《網路安全法》作為網路安全的基本法,對網路安全的定位和目標、管理體制機制、監督管理等基本問題作出明確規定。其確立了網路空間主權、網路安全與信息化發展並重、共同治理等基本原則;提出制定網路安全戰略,明確網路空間治理目標,提高了我國網路安全政策的透明度;進一步明確了政府各部門的職責許可權,完善了網路安全監管體制;強化了網路運行安全,重點保護關鍵信息基礎設施;完善了網路安全義務和責任,加大了違法懲處力度,等等。

經過近些年的發展,部分部門單位已經初步建成以等級保護、監測預警、風險評估、應急響應和信息通報等為基礎的網路安全立體防護體系,同時必須要清醒地認識到網路安全形勢依然複雜嚴峻,切實將網路安全工作上升到政治高度,從以網路安全促進知識產權事業發展的角度出發,高度重視網路安全工作。知識產權事業的發展離不開網路安全的保駕護航。

網路安全法中提到的「網路運營者」雖然沒有明確定義,只要是網路的所有者、管理者和網路服務提供者均可屬於網路運營者範疇,也就是說可能涉及全行業的機構、單位、企業、公司等在構建信息系統時都要依據等級保護要求來實施。這必將引領一波等級保護信息安全測評和建設的大潮,為各個網路安全設備提供商帶來機會。部分網路安全公司在網路安全有著多年的深厚積累,結合對等級保護的理解和領先技術,應該會是受益者。

《網路安全法》強化了網路運行安全,重點保護關鍵信息基礎設施,《網路安全法》第三章用了近三分之一的篇幅規範網路運行安全,特彆強調要保障關鍵信息基礎設施的運行安全。關鍵信息基礎設施是指那些一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的系統和設施。網路運行安全是網路安全的重心,關鍵信息基礎設施安全則是重中之重,與國家安全和社會公共利益息息相關。為此,《網路安全法》強調在網路安全等級保護制度的基礎上,對關鍵信息基礎設施實行重點保護,明確關鍵信息基礎設施的運營者負有更多的安全保護義務,並配以國家安全審查、重要數據強制本地存儲等法律措施,確保關鍵信息基礎設施的運行安全。

在《網路安全法》第19條的指引下,應該會由各級人民政府及其有關部門深入組織開展經常性的網路安全宣傳教育,並指導、督促有關單位做好網路安全宣傳教育工作,而大眾傳播媒介也應當有針對性地面向社會進行網路安全宣傳教育。
另一方面,需要國家根據《網路安全法》第20條的規定進一步支持企業和高等學校、職業學校等教育培訓機構開展網路安全相關教育與培訓,採取多種方式培養網路安全人才,促進網路安全人才交流。
《網路安全法》第21條指出:「國家實行網路安全等級保護制度。」也就是說網路運營者如果不按照等級保護來構建信息系統的話,則屬於違法。雖然執行等級保護並不一定100%杜絕網路攻擊,但是,也能從很大程度上阻擋絕大多數中低級的攻擊和入侵行為,即使無法阻擋,也能夠將其攻擊過程中留下的蛛絲馬跡通過日誌設備記錄下來。

《網路安全法》第69條的明文規範,網路運營者違反該法規定,有下列行為之一的,可能追究行政責任:(1)不按照有關部門的要求對法律、行政法規禁止發布或者傳輸的信息,採取停止傳輸、消除等處置措施的;(2)拒絕、阻礙有關部門依法實施的監督檢查的;(3)拒不向公安機關、國家安全機關提供技術支持和協助的。

《網路安全法》完善了網路安全義務和責任,加大了違法懲處力度,《網路安全法》將原來散見於各種法規、規章中的規定上升到人大法律層面,對網路運營者等主體的法律義務和責任做了全面規定,包括守法義務,遵守社會公德、商業道德義務,誠實信用義務,網路安全保護義務,接受監督義務,承擔社會責任等,並在「網路運行安全」、「網路信息安全」、「監測預警與應急處置」等章節中進一步明確、細化。在「法律責任」中則提高了違法行為的處罰標準,加大了處罰力度。

1.我是無所謂,或者我根本就沒權利表達我是不是無所謂,真要被跨省,就是分分鐘的事情。

2.ZF「有關部門」有沒有能力對我的個人信息保護,或者說,由於不可名狀的原因泄露了我的個人信息,那麼我該怎麼維權,這是必須要跟進的。

3.我日常水貼,開車是不是會被跨,這點有點擔心。

其實從法律的角度來看是好的,但是怎麼執行有問題,不是說什麼老大哥之類的事情,而是首先匿名對於很多人來說是剛需,根據現在的國內狀況,實名制後信息泄露是必然事件,這會導致兩個狀況,一,小公司生存困難,因為用戶除了必須的功能,不會冒著泄露的風險去嘗試小公司的產品。二,需求在這,對於很多公司來說守法成本過高,無力守法便只能違法,最終地下化,參考美國禁酒令導致的私酒黑幫,最終可能會形成中國式的暗網

以政府部門低下的信息安全水平,
黑產的狂歡

瀉藥

感謝政府,轉戰reddit學英文

以前詐騙簡訊只知道你是個人,現在啥都知道了

就來發泄一下。

我是個海外黨。最近在B站當野生字幕菌。

剛才發著發著彈幕,突然不能發了。

因為我沒綁定手機,假如不綁定就不能發彈幕。

可我國內手機收不到驗證簡訊啊……

所以作為一個普通人,還是受到了影響的。

更新:現在又能發了

現在所謂的實名制很不科學,導致很多重複的驗證,驗證的信息保管也存在問題,每個機構,每個公司都自成一套機制,一旦信息泄露並不能有效追責泄露源。一方面又說要防止詐騙要保護個人隱私,一方面在網上各個平台收集實名驗證存在泄露風險。

使天下之人,不敢言而敢怒;獨夫之心,日益驕固。戍卒叫,函谷舉;楚人一炬,可憐焦土!

ISP篡改http包體變成公然違法了

然而還不是一樣沒人管

倒是不會反對實名制綁定手機、郵箱之類的

就一個問題,怎麼防止經常性的發送推廣郵件、推廣簡訊

綁定了手機號,意味著我們是不是要強迫性的接收商家的騷擾

個人信息更容易被獲取了。

所以為什麼這群流氓都要手機而不是身份證號???
去*****的綁手機

如果真的嚴格執行,要有足夠的安全能力
首先很多地方的政府部門要受罰
萬年不更新的網站,漏成篩子的伺服器

推薦閱讀:

我們的手機號是如何泄露的?
關於校園網監控的問題?
回憶專用小馬甲是如何在這個信息時代保全自己的隱私的?
如何流暢的使用谷歌?
現在有哪些可以不用手機號就能註冊的郵箱?

TAG:互聯網 | 網路安全 | 互聯網隱私 | 互聯網輿論 |