网络运营者的基本义务
《中华人民共和国网络安全法》自2017年6月1日起施行,明确了各类网络运营者的责任。比如你开了一家电商网站,或者运营一个本地生活类App,只要收集用户手机号、地址甚至浏览记录,就属于法律意义上的网络运营者,必须履行相应的安全保护义务。
其中最核心的一条是“谁运营谁负责”。这意味着平台不能只顾拉新、促活,出了事就甩锅。必须采取技术措施防范病毒入侵、防止数据泄露,还要制定应急预案。一旦发生安全事件,得第一时间上报主管部门,不能藏着掖着。
个人信息处理的边界
很多人用App时都遇到过这种情况:刚搜完租房信息,马上接到装修公司的电话;注册个会员,却被要求授权通讯录、位置、相机权限。这种过度收集在《网络安全法》里是被明令禁止的。
法律规定,收集用户信息必须经过本人同意,且仅限于实现服务所必需的最小范围。比如一个手电筒App索要位置权限,显然不合理。如果企业违规获取或非法出售用户数据,轻则罚款,重则吊销许可,相关责任人还可能承担刑事责任。
关键信息基础设施保护
电力、交通、金融、通信这些行业一旦遭攻击,影响的是整个城市运转。因此,《网络安全法》专门对“关键信息基础设施”提出更高要求。运营这类系统的单位不仅要定期做安全检测,还得将重要数据境内存储,并接受国家专项检查。
举个例子,某地公交刷卡系统如果接入了全国联网结算平台,那就很可能被纳入重点监管范围。系统升级、外包开发、员工权限管理等环节都要留下操作日志,确保可追溯。
实名制不是走形式
现在注册账号基本都要身份证或手机验证,这背后就是《网络安全法》第24条的要求——网络服务提供者应当要求用户提供真实身份信息。未实名的用户,平台不得为其提供服务。
有些小平台为了冲量,默许批量注册虚假账号,这种做法风险极大。一旦被用于传播谣言、诈骗信息,平台本身也会被追责。去年就有社交平台因未落实实名制被约谈整改,暂停新用户注册一个月。
企业合规建议
中小企业在落实法规时不必追求大而全的安全体系。可以从几个具体动作入手:
- 梳理清楚自己收集了哪些用户数据
- 检查隐私政策是否明确告知用途
- 服务器是否设置了访问控制和日志审计
- 是否有应急响应流程
必要时可以参考国家标准《信息安全技术 个人信息安全规范》(GB/T 35273),里面给出了更细致的操作指引。
违法后果真不是吓唬人
某婚恋网站曾因未加密存储用户信息,导致数百万条资料在暗网兜售,最终被处以高额罚款,并责令全面整改。类似案例表明,监管正在从“提醒警告”转向“动真格”。
根据《网络安全法》,视情节严重程度,可处以警告、没收违法所得、停业整顿、关闭网站、吊销许可等处罚。构成犯罪的,依法追究刑责。对企业来说,一次重大数据泄露可能导致品牌声誉崩塌,客户大量流失。