《网络安全法》施行展望：谁会是第一个吃螃蟹的人？

两年前我读过发布的第一版草案，和草案相比，现在的正式版在细节上精确了不少，比如关键信息基础设施的范围、个人信息保护的范围和不同场景、违反的处罚金额等等。但它仍然是一部不完整的法律，因为有许多没有定义、含糊的地方。

网信办网络安全协调局负责人在昨天答记者问说，《网络安全法》的配套法规制度标准还在抓紧制定中，包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法、网络关键设备、网络安全专用产品目录和个人信息安全规范等等。

目前来看，已生效的《网络安全法》会带来什么变化呢？第一个变化可能是实名，中国互联网上的每一个可发布信息的角落，只有验证了你是谁后才能提供服务。

几乎所有网站都需要你提供身份信息

网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

“真实身份信息”，一般指姓名+身份证号，目前有一些网站用手机号作为身份信息，不确定这样的做法是否行得通，虽然按相关规定手机号确实是实名的。

《网络安全法》第四十一条规定了企业不得收集与提供服务无关的个人信息，但按上面这条的意思，真实身份信息是任何一家国内经营企业可以且有必要收集的。

我对自己身份证号的隐私已经不抱任何希望。

你需要时刻关注网上的个人身份信息

个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

这里边暗含一个安全细分市场——身份安全。国外比较成熟，有厂商提供专门的身份信用监控服务，对接征信、税务、银行等各类机构，一旦发现有异动（主要是盗用），会向用户发出警告。

每当国外有大企业发生数据泄漏，都会向受害用户赠送一两年的身份信用监控服务，以此作为赔偿。

考虑到国内的大环境，预测可能在三到五年内会出现类似企业。

你的个人信息被泄漏，企业应该通知你

网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

“及时告知用户”，是社交网站上发个公告就行，还是定向发网站私信、邮件才行？这里恐怕有不少操作空间。

比如招商银行前几天爆出服务器缓存bug，把A用户的敏感信息泄漏给了B、C用户，请问招行仅仅随便发个微博，是否尽到法律义务呢？如果B、C用户告知A用户，下回再出现这事A用户有可能起诉成功吗？

继续追问，用户被泄漏个人敏感信息，仅仅通知是否足够呢？什么样的泄漏案件，用户可以起诉要求赔偿呢？

所有企业都需要更多的审核人员

网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，保存有关记录，并向有关主管部门报告。

“法律、行政法规禁止发布或者传输的信息”是一个黑盒，包括且不限于黄赌毒、反政府、敏感事件、非法组织等词汇。

一般来说，BAT大厂服务出现相关信息的讨论，事中积极屏蔽就行。小公司会直接拔网线，小几率公司会死亡。

所以招审核人员是很有必要的，也有可能是租用审核服务。

所有企业都需要一个安全头衔

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
  ……
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

这个头衔的拥有者，最开始可能是创始人、第一个程序员，而非安全技术员。

网络安全等级保护制度后续可能会有新的要求，因此安全头衔的人需要对相关信息持续保持关注。

所有企业都应该向政府坦诚

在整篇法规中，“向有关主管部门报告”出现过6次，包括

发现产品、服务存在缺陷或漏洞
发生危害网络安全的事件
发生或者可能发生个人信息泄露、毁损、丢失的情况
发现法律、行政法规禁止发布或者传输的信息
发现用户发送的电子信息、提供的应用软件设置恶意程序，或者含有法律、行政法规禁止发布或者传输的信息
（第6次是处罚条文）

暂时还不明确“有关主管部门”有哪些，但可以预想到，确定之后他们恐怕比工商部门还要忙了。

《网络安全法》赋予了“国家网信部门和有关部门依法履行网络信息安全监督管理职责”，在全文中，“有关主管部门责令”出现过12次。

粗浅理解，网信部门将和工商税务、消防部门一样，拥有随时抽查企业的权利。互联网小企业们要上心咯。

今年3月，人大会议发言人傅莹透露，政府今年将开展网络安全法执法检查，关注的重点之一就是加强个人信息保护。

大家都在等待大法实施后第一个案例。