“为了保护网民的信息安全，苹果要求年底前所有的app都要使用https；

为了保护网民的信息安全，网信办发布app管理规定，要求你用真实身份在各个不靠谱的app注册”；

“听网信办的肯定不会错，这个单位背景硬得狠，出了问题有法律给咱扛着。” 

鉴于看懂这些调侃需要一定的行业背景，我先翻译一下，就是安全资深人士觉得“不靠谱”。

（注：为了保护各位段子手的隐私，这里不带ID，如有疑问，请提供真实姓名手机号码及身份证号，在确认身份后给你补上版权说明。）

国家网信办今天发布了《移动互联网应用程序信息服务管理规定》，定于8月1日开始实施。本意是解决“少数应用程序被不法分子利用，传播暴力恐怖、淫秽色情及谣言等违法违规信息，有的还存在窃取隐私、恶意扣费、诱骗欺诈等损害用户合法权益的行为，社会反映强烈”的问题。同时提出六大义务，简单来说围绕两大块：

一是为了抓捕传播非法信息的违法分子，你们需要配合收集用户准确身份信息（ *** ID到真实身份的对应关系）；

 

二是你们在用户不明确同意的情况下，禁止收集敏感信息和捆绑安装。当从这两点来看，有没有问题？我认为是没有任何问题的，没毛病，切实解决老百姓的实际问题。既然没毛病，那么大家又在吐槽什么呢？

之前在很多次的采访中，记者都会让我提建议，如何解决现有互联网的网民安全问题。我的答案其实很无奈，没有办法根本上解决问题，只能通过类似注册马甲的方式减缓危害。去年我写了《糊涂比清醒更幸福》大意就是表述了这种无奈感。信息泄露问题无处不在，快递，送餐，电商，教育，买车买房贷款等等。你生活的各个方面都有可能被泄露了信息，所以，一些资深的安全技术人员在万不得已的情况下，不会用真实身份注册，跟财产相关的操作在隔离 *** 运行。另外一般都会选择对应不上真实身份的 *** 让自己淹没在大量泄漏的数据当中，因为针对性的攻击危害远比泛泛的攻击危害大得多，所以这种伪装无法不让信息泄漏，而是即使泄漏了你也不知道是我。

安全人员两大特性：

一是马甲特别多；

 

二是金融相关的 *** 操作特别少。

《规定》一出台，这种马甲的可能性就大大降低了。打击犯罪大家都支持，只不过为了打击万分之一的犯罪情况，顺带把网民被攻击的可能性放大了100倍。这种结果就是大家不愿意见到，但是这种结果基本上又是可以预料到的。

为什么这么说？如果如下几点国内的互联网形式具备了，那么我觉得风险就能减低：

• 企业方重视安全，在安全能力建设上持续投入，有专业的安全团队，以及每年的投入占比不能低于1%。

只有这样才能满足跟黑客对抗的最起码基础：做好业务系统的安全加固和防护；用户信息进行隔离存储和加密存储；有应急响应的能力。前期的无数次大企业漏洞披露和数据泄漏的血淋淋的事实都证明了：安全事故是无法杜绝的，在利益驱使下，黑客的力量产生的冲击力绝大多数企业根本无法抵抗。目前国内有超过5个专业安全技术人员的独立部门的企业都屈指可数，尤其是初创企业，在业务发展的初期太不可能投入安全了。而不投入就等于把数据送给了黑客。

• 严格立法要求企业对安全事故负责，尤其是跟隐私相关的数据泄露必须有惩罚和赔偿机制，并且执法必严。

只有这样才能将安全由表面工程落地到实处。不允许企业增加“黑客攻击导致的数据泄漏不承担责任”类似的霸王免责条款。同时，严格管束企业方对数据的利用情况，出一次事处罚一次。

• 严格立法定义黑客行为，加大黑产打击和处罚力度。

黑客一直猖獗的原因就在于产出高风险小， *** 的便利性可以让他们随时“活跃”于全球各地，跨越地域的执法成本很高，执法部门疲于拼命。相关部门投入很大，也产出了很多成绩，客观上来讲，跟黑产的发展成正比，你追我赶的形式一定时间内看不到本质上的变化。