全国人大常委会执法检查组发现,我国网络安全基础建设总体薄弱,一些重要工控企业对外国技术依赖严重,有省份重要工控企业的生产控制系统国产化率不足20%,要大力推进国产化替代。此外,我国用户个人信息保护工作形势严峻。 24日,十二届全国人大常委会第三十一次会议举行全体会议,听取全国人大常委会执法检查组关于检查《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》实施情况的报告。 随机抽查 全国人大常委会2012年12月审议通过《全国人民代表大会常务委员会关于加强网络信息保护的决定》, 2016 年11 月审议通过 《中华人民共和国网络安全法》(下称 “一法一决定 ”)。 据2017年监督工作计划,全国人大常委会执法检查组于2017年8月至10月对 “一法一决定”的实施情况进行了检查。 全国人大常委会副委员长王胜俊表示,《网络安全法》是今年6月1日开始施行的。一部新制定的法律实施不满3个月即启动执法检查,这在全国人大常委会监督工作中尚属首次。 据悉,这次执法检查在方式方法上作了一些新的尝试:请第三方专业机构和专家参与,并随机抽查。 9月上旬至10月中旬,检查组在实地检查的6个省 (区、市)各选取20个重要信息系统,委托中国信息安全测评中心进行漏洞扫描和模拟攻击,并就所检测系统的网络安全情况出具专业检测报告。 检查组还委托中国青年报社社会调查中心就 “一法一决定” 中与公众关系密切的10个方面的问题,在全国31个省 (区、市 ) 进 行 了 民 意 调 查 , 出具了调 查报告。共有10370人参与这次调查。 “各检查小组均按检查方案要求,随机选取若干关键信息基础设施运营单位,在不打招呼的情况下进行临时抽 查。6个检查小组共对13个单位进行了随机抽查。远程检测的120个重要信息系统也均由执法检查组随机选取,在运营单位不 知情的情况下完成检测。 ”王胜俊说。 一些重要工控企业对外国技术依赖严重 执法检查组认为,从检查情况看,各地在贯彻实施 “一法一决定”、维护网络安全方面还存在一些困难和问题,网络安全基础建设总体薄弱 。 不少地方政府和部门领导干部不能从国家安全的高度认识网络安全,没有把网络安全工作列入本级政府和部门工作重要议程,或者只是 口头上重视,“说起来重要,干起来次要,忙起来不要”。 不少关系国计民生的关键信息基础设施运营单位没有按照法律规定对重要数据进行异地容灾备份,而仅仅采取了一些简单的数据备份措施,有的甚至尚未进行过容灾备份,不能有效应对重大网络安全风险。在有些省份,多数重要信息系统未按法律要求进行异地容灾备份。 此外,重要工业控制企业的设备和控制系统国产化程度有待提高。 “一些重要工控企业对外国技术依赖严重,不仅生产控制系统由国外公司建设,配套的网络及安全设备也采用国外产品,网络及安全设备的配置由外方人员操控,企业内部人员甚至不掌握安全设备配置和管理权限。在有的省份,重要工控企业的生产控制系统国产化率不足20%。”王胜俊称。 执法检查组建议,要大力推进国产化替代工程。加大技术研发力度,逐步提高重要工业企业信息控制系统的国产化率,提升关键信息基础设施和网络安全设备的自主可控能力。 为了解网络运行情况,执法检查组委托中国信息安全测评中心对随机选取的120个关键信息基础设施 (60个门户网站和60 个业务系统)进行了远程渗透测试和漏洞扫描。 该中心出具的报告显示,本次远程测试的120个关键信息基础设施中,共存在30个安全漏洞,包括高危漏洞13个,其中某省级部门互联网监管综合平台存在越权上传、越权下载、越权删除文件等3个高危漏洞,严重威胁了系统及服务器安全,也存在严重的用户信息泄露风险。远程检测还发现,多个设区的市政府门户网站存在页面被篡改风险。 单位 “内鬼”牟取不法利益,致用户信息大量泄露 网络时代,个人信息无处“躲藏”。执法检查组认为,我国用户个人信息保护工作形势严峻。 “万人调查报告”显示,“一法一决定”关于用户个人信息保护的多项制度落实得并不理想:有49.6%的受访者曾遇到过度收集用户信息现象,其中18.3%的受访者经常遇到过度采集用户信息现象;有61.2%的人遇到过有关企业利用自己的优势地位强制收集、使用用户信息,如果不接受就不能使用该产品或接受服务的 “霸王条款”;不少人反映,在发现本人信息被泄露或者被滥用后,举报难、投诉难、立案难现象比较普遍。 许多受访者反映,当前免费应用程序普遍存在过度收集用户信息、侵犯个人隐私问题,但几乎没有受到任何监管和依法惩处。检查发现,有的互联网公司和公共服务部门存储了大量公民个人信息,但安防技术严重滞后,容易被不法分子窃取和盗用。 执法检查组认为,一些单位内控制度不完善或不落实,少数 “内鬼”为牟取不法利益铤而走险,致使用户信息大批量泄露。当前在一些地方,利用网络非法采集、窃取、贩卖和利用用户信息已形成黑色产业链。从公安部门近期破获的案件看,用户信息泄露呈现渠道多、窃取违法行为成本低、追查难度大等特点,而且违法分子使用的手段不断升级,因用户信息泄露引发的 “精准诈骗”案件增多,给人民群众财产安全造成严重危害。 针对这方面问题,执法检查组建议,要进一步加大用户个人信息保护力度,加快个人信息保护法立法进程。通过专门立法,明确网络运营者收集用户信息的原则、程序,明确其对收集到的信息的保密和保护义务,不当使用、保护不力应当承担的责任,以及监督检查和评估措施。 “要认真研究用户实名制的范围和方式,坚决避免信息采集主体过多、实名登记事项过滥问题。各地区各单位对某一事项实施实名登记制度,应当有明确的法律依据。要改进实名信息采集方式,减少实名信息采集的内容。”王胜俊说。