2018年6月1日是《网络安全法》实施一周年。在互联网已经成为社会运行基础的今天,人民群众的生活时时刻刻都与网络息息相关。因此,《网络安全法》的颁布意义重大,它就像一道坚实的屏障,保护着国家与人民的网络信息安全。
《网络安全法》的颁布,不仅给我带来了激励,还有很多的启发,对于360和整个网络安全行业,在用户信息保护方面,也进一步提供了指导方向。
2017年9月17日,2017年网络安全博览会暨网络安全成就展现场,360公司展台的网络安全概念车吸引了不少观众驻足。 图/本刊记者 潘树琼 摄
政策完善:制订用户信息保护“三原则”
在今年召开的第十三届全国人民代表大会第一次会议上,我很荣幸地以一名政协委员的身份提交了一份关于用户数据信息保护的提案。而这份提案正是基于《网络安全法》中关于网络信息安全部分而提出的。
在互联网大数据时代,面对众多互联网服务商,用户作为个体的存在,已经变得非常透明。只要用户使用互联网服务,无论是聊天、搜索,还是看视频、阅读,都会产生实时的、海量的用户行为数据反馈给互联网服务商。正因为如此,才有了“网民都在给互联网公司打工”的形象说法。在此背景下,互联网服务商所拥有的用户数据信息的泄露、被盗用风险和隐患开始显现。
我们都知道有个著名的机器人三原则,大家希望能够借此防止机器人攻击人类等安全问题。因此我认为,在大数据时代,为防止互联网企业对用户数据信息的滥用,依法加强对用户数据信息的保护,也应该有一套“三原则”来对用户数据信息保护进行更清晰的定义。所以我在《关于用户隐私信息保护“三原则”的提案》中,建议进一步完善《网络安全法》,对用户数据保护进行更清晰的定义,制订用户隐私信息保护“三原则”。
第一,明确用户数据信息是用户个人资产。国家应尽快立法明确用户使用互联网公司软硬件产品、服务产生的数据信息,是属于用户的个人资产。一直以来,一些互联网公司认为这些数据是其公司资产,想怎么用就怎么用,从而造成了用户数据信息的滥用。这些用户数据信息虽然存储在互联网公司的云端服务器上,但只是用户暂时托管,它应该明确地属于用户。如用户不再使用互联网公司的服务,用户有权利要求互联网公司、互联网公司也有责任把相关数据从服务器上删除。
第二,保障用户对数据信息使用的知情权、选择权。不论互联网公司给用户提供的是免费服务还是收费服务,两者之间都存在契约关系。用户是互联网公司的消费者,应该保障用户对企业使用其数据信息的知情权、选择权。互联网公司是如何收集数据、收集哪些数据以及如何使用数据必须予以告知。同时也要保障用户的选择权,即用户有权选择接受或拒绝互联网公司的收集、使用数据信息的行为。
第三,明确互联网公司保护用户数据信息安全的责任。用户与互联网公司存在服务契约关系,互联网公司有义务、有责任保护用户数据信息安全。万物互联时代,无论智能硬件还是传统网络应用服务,都会收集、产生很多用户数据信息,企业在存储、传输这些数据过程中,稍有不慎,就会造成大量用户数据信息泄露。作为给用户提供服务的互联网公司,需要提升自己的网络安全能力,保证安全存储、安全传输,确保用户数据不被泄露甚至窃取。国家应该尽快立法明确互联网公司在用户数据信息保护方面的义务与责任,确保用户数据信息的安全性。
警企协同:构建优质的网络安全环境
光说不练假把式,不仅仅是我个人,整个360公司也在保护个人信息安全的前线发挥着我们特有的技术能力和作用。现在都在倡导军民融合,警企协同,作为技术型企业,360一直以来都通过提供数据服务、技术支持、专家协助等方式,与各地警方保持密切合作,在打击网络电信诈骗、整治骚扰信息等工作中协同作战,一起努力构建优质的网络安全环境,保护人民大众的数据信息安全。
2018年5月,360的安全专家们就协同深圳市警方,参与了第六次打击整治骚扰信息专项行动。360手机卫士在近两个月的时间内,为深圳市警方提供标记“骚扰”电话号码共3218个。同时,还向警方实时同步“骚扰”电话号码被标记总次数、标记时间等关键性信息,使得警方能够第一时间调查取证、锁定诈骗嫌疑人,为本次集中行动的成功展开奠定了坚实基础。
360目前已经构建了骚扰诈骗电话库,并与运营商和公安机关通力配合,利用大数据技术,协同合作打击电信骚扰诈骗。同时,我们也积极履行信息安全企业的责任与义务,定期向公众发布手机安全状况报告,深入各地中小学及居民社区,以公开课、社区活动等形式普及信息安全知识,从源头防范电信诈骗案件的发生。
行业风口:用户信息保护成全球关注焦点
在我国《网络安全法》颁布实施近一年之后,欧洲联盟也颁布了一个关于用户信息保护的条例,即现在广为人知的GDPR,全称是《通用数据保护条例》。显然,关于用户信息保护,在中国之后,已经成为全球关注的焦点。
《网络安全法》颁布实施后,与其相关联的政策相继出台,对各个传统行业与互联网行业都造成不小的影响,这将极大地刺激与促进安全行业创业创新机会,未来网络隐私保护将成为安全投资的风口,这对于整个行业来说都是利好信息。
在用户的数据信息保护越来越高的今天,在国家和政府都在关注用户数据信息保护的大环境下,一定程度上在推动整个行业的发展。而网络安全行业发展的风口开始,对于进一步提升网络安全行业对用户信息的保护能力,是非常有利的。 以美国今年举办的全球最大的网络安全行业会议RSAC为例,这个大会上每年都会有一个“创新沙箱”的比赛,很多参赛的创业公司都是非常关注行业风向的。今年的比赛冠军是一家叫BigID的公司,他们的产品就是有关用户数据信息保护的。除此之外,在今年的RSAC上,我也看到了很多有关用户数据信息保护的产品与服务。
在大安全时代,用户信息保护面临的威胁与挑战相比计算机时代、移动互联网时代,其实是威胁更多、挑战更大。以往可能用户信息只是在计算机、手机中,数据信息的维度也较少,但随着IOT的发展,智能设备收集的用户信息维度越来越多,数据量级也越来越大,泄露的途径也越来越多。
因此,在用户信息保护上,不仅仅是政府层面,也不仅仅是一家网络安全厂商就可以解决的问题,需要整个网络安全行业形成一个大产业,大家形成大合作,才能更好地解决问题,提供更好的解决方案。
在《网络安全法》实施一周年之际,我们看到,不仅仅是中国,在全球范围内,有越来越多的网络安全方向上的创新产品与服务出现,这些创新产品与服务,这些创业企业,将会进一步推动用户信息的保护工作取得更好成效。
“没有网络安全就没有国家安全”,《网络安全法》的出台,从立法上对网络安全工作给予肯定和支持,从法律上可以更好地打击犯罪,但相比起发达国家我们仍然有很长的路要走。随着互联网技术进一步发展,法律法规的完善与执行任重而道远。完善大数据时代的隐私保护机制,建立完备的数据保护体系,未来还需政府、社会组织、企业、用户共同努力,这也是我们最需要关注的新课题。(周鸿祎:360集团董事长兼CEO)
PC版