黄河连线专访丨左晓栋：日常生活中要特别注意个人信息保护

聚焦信息技术领域  为产业发声

导读

9月20日，“2017山西网络信息安全高峰论坛暨第二届工控安全高峰论坛” 在中国（太原）煤炭交易中心举行，会议主题延续了去年的“网络安全为人民 网络安全靠人民”。来自政府、企业、科研机构、高校、军区、行业组织等单位500余人出席论坛。中国信息安全研究院副院长左晓栋做题为《建立关键信息基础设施安全保障体系的若干思考》的演讲，会后，中国信息安全研究院副院长左晓栋接受了黄河连线的专访，以下为专访实录：

1.黄河连线：在我们的日常活动中，我们会遇到哪些网络安全的威胁？对此应该如何防范？

左晓栋：随着我们的生产、生活日益依赖网络，威胁无处不在。例如，我们在火车站、机场看到很多手机快速充电设备，但有的犯罪分子做了手脚，我们在用这些设备给手机充电的时候，很可能一些恶意程序就会安装到手机里。我们在公共场所常常看到一些免费的的无线热点，有的无线热点也是犯罪分子设置的，登录这些热点时，我们的个人信息可能就会失窃。再例如，大家已经习惯了扫码，例如扫码骑自行车、扫码购物等。但很多二维码是犯罪分子有意设置的，我们扫后登录的网站可能就是钓鱼网站。总之，我们在日常生活中一定要有安全防范意识，特别是要注意个人敏感信息的保护。比如说我们的手机丢了，手机丢了本身不是个问题，关键是手机里大量的个人信息怎么办？还有我们不用了的手机就随便弃置，里边有大量的个人信息也是可以被犯罪分子恢复的。

所以说我们在上网，在使用手机的过程中，一方面要注意上网环境安不安全，要分辨这个网站是不是一个钓鱼的网站；输入信息的时候，究竟是谁让我们输入的信息，信息又被谁拿走。另外，我们使用很多互联网服务时，要求我们提交很多个人信息。那么，互联网服务商是不是非常有必要留存这些信息？如果不留存会怎么样？留存以后，互联网服务商拿这些信息去干什么？心里要清楚。

2.黄河连线：《中华人民共和国网络安全法》（简称《网络安全法》）自今年6月1日实施以来，效果如何？

左晓栋：现在已经有多个地方，以《网络安全法》为武器，查处了违反网络安全法的事件，这个有很多，我总结了一下，大概有几个方面：

■一个是公安机关。公安机关根据《网络安全法》第二十一条的等级保护相关要求开展了执法，对一些单位进行了出发。例如有的单位没有留存日志，或者没有安装安全防护软件，这都是违反了法律的规定。

■另一个是网信部门。有的单位没有落实网络安全信息安全的责任，例如没有对自己的平台上发布的信息进行监管，没有及时处置违法信息，这就必须承担法律责任；

■     第三，地方的通管部门。最近媒体报道了广东省通信管理局的四个执法案例。其中，有的单位是没有落实实名制要求，有的单位是系统中存在漏洞并导致违法信息传播。

另外一个情况是，全国人大开展了《网络安全法》的执法检查。工作规划是，在6个地方亲自进行检查，另有12个地方则委托当地的人大进行执法检查。这是史无前例的，以往的执法检查都是相关法律在实施一年甚至更长时间后才开展，但《网络安全法》刚刚实施三个月就开展了执法检查，这确实反映出网络安全太重要了，《网络安全法》理应得到积极、严格的贯彻实施。

3.黄河连线：在《网络安全法》里有一条规定：“‘经过处理无法识别特定个人且不能复原的除外’，即匿名化后的信息不再属于个人信息。”您之前也说过，这为大数据应用留下了充分的空间，应该鼓励更多地使用匿名化措施。然而，现在很多社交软件要求实名制，这二者是否互相矛盾？

左晓栋：实名制主要是为了实现网络空间行为的可追溯。但实名制与个人信息保护并不矛盾。因为实名制实际上是要求后台实名，前台由用户自愿，可以进行匿名或使用网名。并不是说在我们在上网的时候，前台必须展示我们的真实信息。当然，这同时也对互联网服务商提出了要求，用户的实名信息在那里存着，服务商就必须要尽到对用户个人信息进行保护的义务。

另外，我们现在去银行或者电信营业厅办理业务，这个“实名制”是是要复印我们的身份证的，但在网上，我们放心把自己的身份证拍照交给互联网服务商吗？我觉得很多人都会不放心。因此，就互联网服务而言，“实名制”有很多种实现方式。总的说，应该寻求更加便利的、更加有利于保护用户隐私的方式。目前，多数互联网企业的实名制是通过验证用户手机实现的，这个是可以的。手机实名制已经实现了，有了这个前提条件，只要给手机发送验证码，用户验证通过，那用户的行为和手机号码就绑定了。软件后台存的是用户的手机号码，如果出了问题，执法机关可追溯，但是手机号码是谁的，运营商并不知道，这就能有效保护用户个人隐私。当然，这是其中方式之一，未来还有更多既能够实现实名制又能够保护用户个人隐私的方式。

4.黄河连线：现在我国的网络安全形势如何？应该如何防护？

左晓栋：现在境外攻击的数量呈现上升的趋势，攻击活动非常猖獗，而且很多都是针对我们的核心要害系统。特别是，近年来大量发现了APT攻击（指高级持续性攻击）的案例。攻击者通过很长时间、持续不懈的突破特定攻击目标，危害很大。因此，我们切实提高风险意识，保护关键信息基础设施，这既是保国家安全，也是保公共安全、个人安全。

一方面，我们要确保我们使用的产品和服务的安全。因为很多攻击实际上是通过产品里面预留的后门进来的，必须切断这样的攻击路径。另外一个要加强安全监测，总书记指出，要全天候全方位感知网络安全态势，不能“谁进来了不知道，是敌是友不知道，干了什么不知道”。此外，还要加强网络安全的对抗能力建设，形成攻防兼备网络安全威慑能力。

5.黄河连线：今天峰会的主题是“共建关键信息基础设施”安全生态，您觉得这个生态里有几环？大家应该怎么做？

左晓栋：这个我可以用总书记的原话来概括。总书记强调，要树立正确的网络安全观，因为“网络安全是共同的，不是孤立的”，要发挥政府、行业、社会、企业、个人等各个方面的作用，共同保障网络安全。“共建关键信息基础设施”安全生态当然也包含上述这些领域。例如，政府要加强指导，加强规范的引领，做好相关的管理和服务；行业组织既要加强自律也要加强互助；企业要履行主体责任；我们的产业界要为关键信息基础设施提供安全可信的产品。这个生态包含了各个方面，大家要共同努力，因为这是我们网络安全保护的重中之重。

黄河连线记者与左晓栋合影

声明：

黄河连线系太原九州连线文化传媒有限公司旗下品牌

本平台法律顾问为山西晋商律师事务所

黄河连线原创文章，转载请注明出处