网络运营者不得不当收集个人信息

    《中华人民共和国网络安全法（草案）》（以下简称“草案”）日前在中国人大网公布，公开向社会征求意见。

    为保护公民个人信息安全，草案规定，网络运营者不得收集与其提供的服务无关的公民个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用公民个人信息。

    草案设“监测预警与应急处置”专章，规定因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，国务院或者省、自治区、直辖市人民政府经国务院批准，可以在部分地区对网络通信采取限制等临时措施。

    据了解，刚刚结束的十二届全国人大常委会第十五次会议初次审议了草案，共7章68条。公众可在2015年8月5日前提出意见建议。

    □ 实行网络安全等级保护制度

    □ 对五大类网络系统重点保护

    网络主权是国家主权在网络空间的体现和延伸，“维护网络空间主权和国家安全”是网络安全立法的根本宗旨。为此，草案规定“在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法”。同时，按照安全与发展并重的原则，草案设“网络安全战略、规划与促进”专章。

    根据草案，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

    （一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

    （二）采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施；

    （三）采取记录、跟踪网络运行状态，监测、记录网络安全事件的技术措施，并按照规定留存网络日志；

    （四）采取数据分类、重要数据备份和加密等措施；

    （五）法律、行政法规规定的其他义务。

    草案还设“关键信息基础设施的运行安全”专节，规定对基础信息网络、重要行业和领域的重要信息系统、军事网络、设区的市级以上国家机关等政务网络、用户数量众多的网络服务提供者所有或者管理的网络和系统，实行重点保护。

    同时，根据草案，关键信息基础设施的运营者应当在境内存储公民个人信息等重要数据，确需在境外存储或者向境外提供的，应当按照规定进行安全评估。

    □ 网络产品和服务禁设恶意程序

    □ 运营者有处置违法信息的义务

    维护网络安全，首先要保障网络产品和服务的安全。草案明确规定，网络产品、服务应当符合相关国家标准、行业标准。网络产品、服务的提供者不得设置恶意程序；其产品、服务具有收集用户信息功能的，应当向用户明示并取得同意；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当及时向用户告知并采取补救措施。

    对于网络关键设备和网络安全专用产品，草案作出特殊规定，要求应当按照相关国家标准、行业标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售。

    2012年，全国人大常委会关于加强网络信息保护的决定对规范网络信息传播活动作了原则规定。此次草案进一步完善了相关管理制度。

    针对网络实名制，草案规定：网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布服务，应当在与用户签订协议或者确认提供服务时，要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

    草案还明确了网络运营者处置违法信息的义务，规定网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

    立法保障网络安全（背景）

    7月1日闭幕的十二届全国人大常委会第十五次会议，审议了网络安全法草案。从保障网络产品和服务安全，保障网络运行安全，保障网络数据安全，保障网络信息安全等方面进行了具体的制度设计。

    为防止公民个人信息被窃取、泄露和非法使用，草案在全国人大常委会关于加强网络信息保护的决定的基础上，进一步完善公民个人信息保护制度，规范网络信息传播活动。