问题:数字化快速发展带来便利的同时,个人信息过度收集、违规使用、泄露倒卖等问题仍时有发生,部分平台以“默认勾选”“一次授权长期使用”等方式弱化告知义务,一些机构安全投入不足、应急处置不及时,导致漏洞长期存在、攻击入侵风险积累。
与此同时,电信网络诈骗、黑灰产链条借助技术工具与推广、支付结算等环节形成分工协作,使网络安全风险呈现链条化、跨平台、跨区域特征。
网络安全已不仅是技术问题,更关系公共利益、经济秩序和社会治理安全。
原因:一是违法成本与收益不对等,部分主体在商业压力和流量竞争下忽视合规边界,把“多收集、多留存”当作提升运营效率的手段。
二是责任链条不够清晰,安全义务落实中存在“重业务、轻防护”的惯性,漏洞治理、日志留存、分级保护等措施落实不均衡。
三是外部攻击手段迭代快,黑产利用自动化工具、社工手段与隐蔽渠道提升渗透效率,甚至通过技术支持、广告引流、资金结算等“外围服务”扩大危害。
四是部分单位应急体系不完善,预案、演练和报告机制缺位,导致风险发现晚、处置慢、损失扩大。
影响:新修订法律从制度层面回应上述痛点,释放出“更严、更细、更可执行”的监管信号。
一方面,通过提高违法成本、加大处罚力度,倒逼网络运营者把安全投入作为刚性成本,促进安全能力建设从“被动补课”转向“主动防控”。
另一方面,针对关键信息基础设施运营者,强调必须履行法定安全义务,对不履责行为从严处理,有助于提升重要行业和关键系统的防护底座,增强对重大网络攻击、数据泄露事件的抵御能力。
对公众而言,法律强化了个人信息权益保护路径,明确个人对错误信息更正、对违规收集使用信息要求删除等权利,有利于增强个人维权可预期性,提升社会对数字服务的信任水平。
对市场而言,合规要求更加清晰,将推动平台优化最小必要收集、数据全生命周期管理与权限控制,促进行业竞争从“数据无序扩张”转向“合规与质量导向”。
对策:法律条款对“怎么做”给出更明确的底线与抓手。
其一,压实网络运营者安全保护义务,要求制定网络安全事件应急预案,针对系统漏洞、计算机病毒、网络攻击、网络侵入等风险及时处置;一旦发生危害网络安全事件,应立即启动预案、采取补救措施,并按规定报告。
这意味着平台与机构需要将风险识别、漏洞修复、日志监测、处置演练纳入常态化机制,实现可追溯、可验证、可复盘。
其二,对危害网络安全活动形成“行为禁止+工具管控+帮助规制”的组合治理:禁止非法侵入、干扰正常功能、窃取网络数据等行为;禁止提供专门用于侵入、干扰、防护措施破坏及窃取数据的程序与工具;对明知他人从事危害网络安全活动仍提供技术支持、广告推广、支付结算等帮助的行为予以禁止。
这一设计有利于斩断黑灰产“工具—流量—资金”的关键链路,提高违法实施成本。
其三,在个人信息保护方面强调严格保密与制度建设,明确处理个人信息须遵守相关法律规定,坚持合法、正当、必要原则,公开规则并明示目的、方式和范围,取得同意;不得收集与服务无关信息,不得违反约定收集使用;不得泄露、篡改、毁损,未经同意不得向他人提供,但对无法识别且不可复原的处理结果作出例外安排;发生或可能发生泄露、毁损、丢失时,应立即补救并告知用户、报告主管部门。
其四,进一步明确监管部门及工作人员的保密义务,强调在履职中知悉的个人信息、隐私和商业秘密必须严格保密,强化“监管者也要受约束”的制度闭环。
其五,法律责任条款将个人信息权益侵害、违规跨境存储或提供个人信息和重要数据等行为纳入依法处理处罚范围,有助于提升执法可操作性与震慑力。
前景:随着新修订法律落地,网络安全治理将进一步从“事后追责”走向“全链条预防”。
可以预期,企业合规体系与安全能力建设将加速升级:一方面,权限最小化、目的限定、分级分类管理、加密脱敏、访问审计与应急演练将成为基础配置;另一方面,平台在产品设计阶段将更强调“隐私保护默认设置”和“告知同意可理解”,以降低违规风险。
监管层面,围绕关键行业、重点平台与高风险场景的监督检查可能更趋常态化、精细化,推动形成多方共治格局。
长远看,依法加强网络空间秩序维护与个人信息保护,将为数字经济高质量发展夯实信任基础,也为社会治理现代化提供更可靠的安全支撑。
网络安全关乎国家安全和人民群众的切身利益。
新修订《网络安全法》的出台和实施,体现了我国在维护网络安全、保护个人信息方面的坚定决心和制度创新。
从提高违法成本到细化责任体系,从强化用户权利到完善监督机制,这一法律框架的完善必将引导和规范网络运营者的行为,为广大网民营造更加安全、可信的网络环境。
随着法律的正式施行,全社会应当形成共识,网络运营者、政府部门、用户和社会各界要各尽其责、密切配合,共同推进网络安全保护工作向更高水平发展。