新京报快讯(记者 王姝)28日上午,十三届全国人大常委会分组审议密码法草案时,部分委员关注到“APP收集个人信息”、“解码软件”、“网上支付安全”等互联网领域存在的问题。
委员张志军提出,“现在密码市场上很多解码软件,如WIFI解码软件等。密码的发展一方面需要研发,这属于盾;解码属于矛,是鼓励还是不鼓励?对市场上解码软件如何管理需要研究”。
委员王刚认为,密码法应对推动商用密码的应用或者强制应用作出规定,“这应该是这部法里不可缺少的一个内容”。他举例说,现在很多APP都在收集个人信息,要求权限,不给就用不了,“谁来管这个事?这样的APP企业至少应该使用商业密码,谁来管、谁来监督这个事都是非常重要的。作为密码法,我觉得应该在商用密码一节里规定一些必须使用的范围,比如除了重大基础设施以外,能不能增加涉及收集公民个人信息的应该使用商用密码?总的感觉,密码法制定得不错,但是好像缺了一点应用管理内容”。
“网上支付时使用账号密码存在的安全问题,违法如何界定?”委员白春礼说,网上支付时,用户为了记忆方便,一般设定短长度的数字密码,“这种密码容易泄露,有可能造成账户被窃;攻击者可以通过自动化工具对用户账户密码进行暴力破解,从而实现账号窃取,造成用户经济损失。近些年来以指纹、人脸、虹膜为代表的生物密码技术在身份认证和移动支付领域得到了广泛的应用,但涉及的人体生物特征安全性需要得到重视。人体生物特征是特别敏感的隐私信息,可能会在使用与存储的过程中泄露,并且一旦泄露无法撤销和更新,严重影响用户的数据隐私”。
白春礼建议,“行业主管部门应在生物密码相关领域加大技术投入,对形式多样的生物密码技术进行安全性分析,建立安全性检测标准,并对生物密码应用进行监管”。
列席会议的全国人大代表陈晓峰谈到,法律的规管范围应该也适用于已销售或者已提供后的改动,商家在推出软件升级前也必须通过认证或检测。“因为事实上,很多开发手机APP软件的公司往往在软件上架时安分守己,但之后的更新很多时候会加入其他未经检测的程序改动,令用户可能在不经意间堕入隐私外泄的陷阱”。
■声音:
委员李巍:这两天网民都在议论说,有了密码法,将来微信密码、手机密码、银行密码等都有了法律保障,只要别人窃取了,不管有没有结果都要承担相应的法律责任。实际上是不了解密码法的含义和内容。计算机登录、手机登录、微信登录、银行账号登录等等,这些都叫口令,可以说是个人最初级、最简单的身份认证,但不是密码法里所讲的密码。
密码法里的密码是使用特定的变换手段对信息进行加工处理、加密保护、安全认证或者检测的一系列产品、技术和服务。我认为现在的宣传还不到位,还要加大对密码的宣传教育。可否增加必要的名词解释,如核心密码、普通密码和商业密码?此外草案第4章法律责任对罚款基本上都是控制在30万元,为什么以30万元为界,是什么理由?建议再斟酌完善罚款数额。
新京报记者 王姝 见习编辑 丁天 校对 李项玲
文章来源:新京报