关于重视计算机信息安全和个人信息保护,完善立法加强监管的提案

关于重视计算机信息安全和个人信息保护，完善立法加

强监管的提案

摘要：全国政协十一届四次会议提案第1894号

_________________________________________________________________________

_

案 由:关于重视计算机信息安全和个人信息保护，完善立法加强监管的提案 审查意见：建议国务院交由工业信息部,公安部办理 提 案 人：侯欣一,张穹,刘白驹,李君如 主 题 词：计算机,信息,安全,管理 提案形式：个人联名 内 容：

一、互联网信息服务产业发展迅猛，给信息安全提出了严峻的挑战

近十多年来我国互联网产业快速发展，已经应用深入到我国政治、经济和社会文化生活的各个领域。到2009年，我国互联网用户已达4.2亿，跃居世界第一。以阿里巴巴、腾讯、百度等为代表的中国互联网企业已成为具有国际影响的品牌。互联网产业的发展在拉动内需，促进就业，推动产业结构调整，缩小我国服务业与发达国家服务业发展差距方面发挥着重要的作用。同时不容回避的是互联网的出现也给信息安全和个人隐私的保护带来了极大的挑战。首先，网络信息技术便利了对个人的监控和搜索，个人在网络上的一举一动都可以随时被记录下来，这和前互联网时代形成了鲜明的对比。其次，大型电子数据库的出现使得搜集、整理、传输、加工信息变得更加便利，而且几乎可以永久保存，不断再现。这就使得一些商业公司具备了大规模收集个人和企业信息的技术条件，尤其是一些装机量庞大的客户端软件提供商，就掌握了数以亿计的个人在网络上留存的信息，如果不严格加以规范和监管，一旦其所收集的用户信息被泄露或滥用，后果不堪设想。

据报道，2010年元旦前夕，北京某网络安全公司根据用户举报，发现GoogleInc．(即谷歌公司)服务器上存在一个巨大的用户隐私信息数据包(通过谷歌搜索引擎可以搜索到)，经过该公司对隐私数据包的分析，确认该数据包来自一个域名为国内某装机量达数亿的安全产品提供商的官方服务器。这个事件明显暴露了我们在互联网个人信息保护上存在的巨大隐患，凸显立法和相关制度的缺失。

(一)计算机信息系统安全软件产品监管法规滞后

目前，与计算机信息系统安全有关的行政法规只有国务院在1994年颁布的《计算机信息系统安全保护条例》、1997年公安部依据该条例制定的《计算机信息系统安全专用产品检测和销售许可证管理办法》以及2009年工业与信息化产业部颁布的《软件产品管理办法》。《计算机信息系统安全保护条例》原则性授权有关部门制定互联网安全产品监管规范，但并未就如何监管做出实质性规定。《软件产品管理办法》虽然提及了软件的检测标准，但只是从鼓励软件产业发展的角度制定的具体规范。

实质上，目前我国监管防病毒产品的规范只有公安部的《计算机信息系统安全专

用产品检测和销售许可证管理办法》。但该管理办法颁布于10多年前，对计算机信息系统安全产品采取的是静态监管的方式，即安全产品在销售之前需要进行检测，但目前安全产品的升级、更新周期非常短暂，且大都通过互联网直接发售，并且很多企业都陆续推出了“云安全”技术。客观上，安全厂商已将重心从“产品”转向了“服务”，这种业务模式的变化使得安全厂商近乎完全脱离了原来的监管体系，静态的监管方式已根本无法满足对安全服务的全面动态监督需求。

(二)相关制度的缺失致使政府监管明显缺位，所谓的监管也只是流于形式，对企业没有任何威慑力

据了解，在前述泄密事件发生后第一时间工信部即接到了举报，但工信部因受其职责权限的限制，也只能要求该安全产品提供商加强信息保管措施，却不能采取任何处罚措施。如此的后果是个别厂商仍然可以肆意忌惮地收集和回传用户信息，这种状况如不能及时有效地被遏制，必然将会引发更为严重的社会公共事件。

(三)互联网信息安全立法缺位

计算机信息系统和互联网只是传统违法或犯罪行为得以实施的新的手段和方式，惩处这些违法、犯罪行为已经成为维护安全的迫切需要，但是针对网络新技术环下的信息安全保护方面的专门法律规范却一直没有出台。2010年3月十一届全国人大三次会议期间，有92名人大代表在3个议案中提出：鉴于网络信息安全问题日益突出，通过网络破坏信息系统，传播淫秽、色情、赌博、暴力等信息，窃取信息、名誉侵权等行为屡禁不止，严重扰乱社会秩序，影响国家信息安全，建议制定加快信息安全立法。

二、为了维护产业健康发展与信息安全，亟待对现行法律制度进行完善，健全对安全产品的监管

必须看到，目前发生在互联网安全行业的监管缺陷以及一再发生的网络泄密事件，损害的已不只是个别用户的利益，如果任由其蔓延，互联网行业将失去用户的信任，反过来对互联网产业的进一步发展构成制约。

有鉴于此，国家有关部门的及时介入，监管制度的完善，监督力度的加大，以及加大对个别企业恶性竞争行为的打击力度显得非常必要。此外，还应加快制定信息安全法律及配套制度，健全行政监督机制，并积极引导建立行业自律等，为中国互联网产业的健康发展创造一个良好的法制环境。具体建议如下：

(一)针对工信部的建议 1．依法查处违法行为

建议主动履行部门职责，及时对个别安全产品厂商无视法律规定造成用户信息泄露的企业进行调查和严厉处罚，明确提出整改措施；

2．建立诚信公示制度

建议建立企业诚信经营档案系统以及诚信信息的公示制度；积极配合相关部门做好计算机信息系统安全产品行业的市场准入管理。比如与工商行政管理机关一起建立计算机信息系统安全产品行业的企业诚信经营与行业声誉等信息管理机制，与公安部系统进行必要的衔接，为计算机信息系统安全产品行业的市场准入许可，提供参考条件，为安全软件企业与从业人员市场退出机制的建立完善提供支撑。

3．抓紧完善《信息安全条例》，争取早日出台。 (二)针对公安部的建议 1．完善产品的检测与管理机制

根据法律法规或有关授权规定，尽快完善计算机信息系统安全产品/服务、互联网安全产品／服务的管理规范，主要包括安全产品／服务的技术评测、评级机制，安全产品／服务的分类登商备案机制，安全产品／服务的重要信息披露机制，与信息安全密切相关的信息沟通机制，安全产品代码的管理机制等。

2．建立安全产品源代码备案制度

尽快建立安全产品源代码备案制度，设立专门监管委员会，负责安全产品信息(包括缺陷、漏洞等)、云查杀服务的病毒库、服务器指令的记录、披露，加强安全产品／服务的透明化和公平性；

3．建立行业管理规范与处理机制

尽快建立计算机信息系统安全产品／服务行业管理规范，产要包括建立安全厂商间纠纷的快速处理机制，安全厂商诚信档案与公示机制，加大对安全产品／服务的日常监督以及违法行为的行政处罚力度等。

(三)针对立法部门的建议

1．全国人大应尽快出台《个人信息保护法》，加强对个人信息保护

通过立法形式保障个人信息安全是国际通行做法，要在立法中明确谁有权搜集用户信息，安全软件产品和服务提供商在对个人和企业电脑提供安全防护和保障时如果不得不触碰到个人和企业在电脑中的数据和信息时应该遵循什么样的标准和要求，如何监管和谁来监管安全软件厂商收集个人和企业信息的行为，以及如何保障安全厂商收集的信息的安全和不被滥用等等。

2．国务院法制办应尽快修订《计算机信息系统安全保护条例》

明确计算机信息系统安全产品和服务的提供者行为规范，加大对违法行为的处罚力度增加违法成本，引入市场退出机制。明确规定尊重用户的选择权与知情权，未经用户同意不得收集和回传用户信息。

3．尽快修订《中华人民共和国治安管理处罚法》

通过修订《中华人民共和国治安管理处罚法》完善扰乱公共秩序的行为和处罚的相关规定。比如，在第二十九条中增加如下内容为第(五)项：违反国家规定干扰、屏蔽、阻碍、卸载用户的计算信息系统安全产品，影响计算机用户的信息系统安全的。

来源：中国政协网

本文来源：https://www.bwwdw.com/article/bdu6.html