文/張玨芙蓉

從《網(wǎng)絡安全法》看我國個人信息安全法律保護的途徑

文/張玨芙蓉

隨著全球經(jīng)濟以及信息技術的發(fā)展，當今世界已經(jīng)邁入了互聯(lián)網(wǎng)時代。而與此同時，網(wǎng)絡安全作為互聯(lián)網(wǎng)時代的重要組成部分，也逐漸進入公眾的視野。其中，個人信息泄露問題的日漸惡化，對個人信息安全的法律保護也提出了更高的要求。因此，本文將通過分析當今互聯(lián)網(wǎng)時代下我國個人信息安全的現(xiàn)狀，并梳理個人信息安全所面臨的挑戰(zhàn)，進而回溯個人信息安全保護在法制上的演進發(fā)展；此外，通過研究剛出臺的《網(wǎng)絡安全法》，從而探究網(wǎng)絡的個人信息安全保護的法律途徑。在此基礎上，對個人信息安全法律保護未來的發(fā)展趨勢以及發(fā)展路徑提出個人拙見。

網(wǎng)絡安全 個人信息 法律 保護 途徑

世界已經(jīng)邁入了互聯(lián)網(wǎng)時代，互聯(lián)網(wǎng)技術的發(fā)展以及變革，使得網(wǎng)絡安全日漸成為重大主題。在我國，網(wǎng)絡空間的安全治理也逐漸成為國家治理體系和治理能力現(xiàn)代化的重要組成部分。2016年12月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《國家網(wǎng)絡空間安全戰(zhàn)略》，這一戰(zhàn)略表明，網(wǎng)絡空間安全的發(fā)展業(yè)已成為國家治理的關鍵。

2016年，一系列的網(wǎng)絡詐騙案的發(fā)生，如徐玉玉案等，引起了社會極大關注。網(wǎng)絡安全如何在法律上遏制個人信息泄露和網(wǎng)絡詐騙的蔓延，解決人民切身關注的問題，已經(jīng)成為當下研究的重大課題。

在個人信息安全的概念中，不同的學說對個人信息的定義有著不同的闡釋。本文采用的關于個人信息的定義，是2017年6月1日將實施的《網(wǎng)絡安全法》第七十六條第（五）款的定義——以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

一、互聯(lián)網(wǎng)時代個人信息安全現(xiàn)狀

1．個人信息安全形勢日益嚴峻。一方面，因為我國的網(wǎng)民數(shù)量逐年遞增，使得個人信息復雜而多元，所以個人信息主體對個人信息的控制能力下降。中國互聯(lián)網(wǎng)絡信息中心（CNNIC）第39次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示，截至2016年12月，我國網(wǎng)民規(guī)模達7.31億，普及率達到53.2%，全年共計新增網(wǎng)民4299萬人。此外，據(jù)中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《2016中國網(wǎng)民權益保護調(diào)查報告》顯示，84%的網(wǎng)民曾經(jīng)切身感受過個人信息泄露所帶來的不良影響。從2015年下半年到2016年上半年，我國網(wǎng)民因垃圾信息、詐騙信息、個人信息泄露等遭受的經(jīng)濟損失達915億元。

而另一方面，由于個人信息的法律保護尚未形成治理體系，個人信息泄露便在這片灰色地帶中有了可乘之機。當今時代，受“互聯(lián)網(wǎng)+”的影響，基于網(wǎng)絡信息技術的即時通信、社交網(wǎng)絡、電子商務、互聯(lián)網(wǎng)金融等已經(jīng)成為網(wǎng)民的日常生活的重要組成部分。近幾年來，通過警方查獲曝光的大量網(wǎng)絡安全案件顯示，關于個人信息的泄露、收集和轉(zhuǎn)賣，已經(jīng)形成完整的黑色產(chǎn)業(yè)鏈。

在這條黑色的產(chǎn)業(yè)鏈中，侵犯個人信息安全的行為模式，主要是通過對個人信息的不合法收集、泄露，最后進行交易。而正是個人信息的泄露，侵害了個人信息主體的財產(chǎn)權益、人身權益等，造成不良影響。

2．個人信息保護的法律演進與現(xiàn)狀。針對個人信息安全的保護，我國在網(wǎng)絡安全方面也制定過不少的法律。

2000年，《全國人民代表大會常務委員會關于維護互聯(lián)網(wǎng)安全的決定》通過，其中第四條規(guī)定，為了保護個人、法人和其他組織的人身、財產(chǎn)等合法權利，對有非法截獲、篡改、刪除他人電子郵件或者其他數(shù)據(jù)資料，侵犯公民通信自由和通信秘密行為，構成犯罪的，依照刑法有關規(guī)定追究刑事責任。

2009年，《侵權責任法》通過，其中第三十六條規(guī)定，網(wǎng)絡用戶、網(wǎng)絡服務提供者利用網(wǎng)絡侵害他人民事權益的，應當承擔侵權責任。

2012年，《關于加強網(wǎng)絡信息保護的決定》通過，其中對保護能夠識別的個人信息、網(wǎng)絡服務提供者獲取、使用個人信息、加強對個人信息的保護以及主管機關的責任等方面，都做了明確規(guī)定。

2013 年 9 月 1 日，《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》開始實施，其中對個人信息的定義、義務主體、個人信息收集的程序、使用目的、投訴機制的建立、安全保護措施、監(jiān)督檢查、法律責任等方面均做了較詳細的規(guī)定。

2015年 11月1日，《刑法修正案（九）》施行，其中通過擴大犯罪主體的范圍及擴充侵犯個人信息行為的范圍，加強了對個人信息安全的保護。

以上可以看出，十幾年來，我國對于個人信息安全的重視，使得相關個人信息保護的法律日趨完善。此外，無論在保護的技術手段上，還是安全意識上，也都有著顯著的提高。但是，對于個人信息侵犯的民事案件和刑事案件，也呈現(xiàn)上升的態(tài)勢。

二、《網(wǎng)絡安全法》中個人信息保護條款探析

2016年11月7日，十二屆全國人大常委會第二十四次會議上表決通過了《中華人民共和國網(wǎng)絡安全法》（以下簡稱“網(wǎng)絡安全法”）。該法將于2017年6月1日起開始實施。

網(wǎng)絡安全法被譽為互聯(lián)網(wǎng)安全領域的“基本大法”，共七章七十九條，其中明確加強了對個人信息安全的保護，并且打擊網(wǎng)絡詐騙。

在第四章《網(wǎng)絡信息安全》中，共有十大條款，分別從用戶信息保護制度的建立、網(wǎng)絡運營者收集、使用個人信息的程序、目的、保護措施、投訴和糾紛解決機制的建立等方面，都做了較為明確的規(guī)定。

1．首建系統(tǒng)性保護制度。過去，在網(wǎng)絡安全的領域，對個人信息保護的相關法律，零零散散，多來自于各項不同的法律條款。這些條款，有的過于書面而缺乏可執(zhí)行力，也有缺少明確的保護和規(guī)范。網(wǎng)絡安全法的出臺，則如同高屋建瓴，不僅更加注重了法律的可執(zhí)行性，也比以往的法律條款提出了更明確具體的措施，著重全方位立體地保護個人信息安全。

2．強化主體責任。關于如何處理網(wǎng)絡安全的兩個方面，打擊網(wǎng)絡詐騙、保護個人信息，同樣需要從兩個角度著手：一方面，通過加大打擊和處罰的力度；另一方面，通過對相關機構的聯(lián)動，使為網(wǎng)絡安全承擔共同的責任。

網(wǎng)絡安全法不僅僅明確了網(wǎng)絡運營者的責任：倫理責任、技術責任和制度責任，同時也強調(diào)政府部門在保障網(wǎng)絡安全、包括個人信息保護上的責任。第六十四條規(guī)定，網(wǎng)絡運營者、網(wǎng)絡產(chǎn)品或者服務的提供者侵害個人信息依法得到保護的權利的，可以由有關主管部門責令改正，還可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款；情節(jié)嚴重的，并可以責令暫停相關業(yè)務、停業(yè)整頓、關閉網(wǎng)站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照。

3．四大亮點與突破。一是通過對個人信息收集行為的規(guī)范，保護網(wǎng)民的信息權益。第四十條規(guī)定，任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。過去，在網(wǎng)絡上對個人信息的收集門檻過低，而這條規(guī)定一定程度上改善了這一現(xiàn)象。

二是通過將未經(jīng)同意而提供、出售個人信息的行為定性為違法，直接切斷買賣信息的產(chǎn)業(yè)鏈。第四十一條規(guī)定，網(wǎng)絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

三是建立個人信息泄露的通知制度，運營者必須告知并報告。第四十二條規(guī)定，網(wǎng)絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告。個人信息泄露的通知制度，是網(wǎng)絡安全法的一次創(chuàng)新之舉。這一制度，通過對個人信息主體的告知，不僅增強了網(wǎng)民的安全防范意識，也能夠促進對相關機構的監(jiān)督，從而減少個人信息泄露的頻率。

四是重視“被遺忘權”，明確了公民個人信息的刪除權和更正權制度。網(wǎng)絡安全法第四十三條規(guī)定，若個人用戶發(fā)現(xiàn)自己的個人信息被不當使用、收集，可以依據(jù)此條款要求及時刪除，以避免危害進一步擴大。這一權利的實施，意味著網(wǎng)民擁有對個人信息的實際控制權，是網(wǎng)絡安全的一大進步之處。

4．不足：可操作性不足導致用戶依然處于弱勢。雖然網(wǎng)絡安全法對于個人信息安全有著全方位的保護，涉及在主體的各個方面，以及信息的各個環(huán)節(jié)，但是在可操作性上，仍有不足之處，沒有規(guī)定具體情況下的具體細則。例如，網(wǎng)絡安全法第四十三條規(guī)定網(wǎng)民擁有“被遺忘權”，但是在某些具體的情形下，由于網(wǎng)絡技術手段的限制，網(wǎng)民難以取得相關的信息證據(jù)，無法通過明確具體的手段進行權利的保護。

三、未來法律保護的思考與建議

網(wǎng)絡安全法，仍然不能從根本上解決網(wǎng)絡安全的問題。如何遏制網(wǎng)絡詐騙，如何保障個人信息安全，人們?nèi)匀恍枰L久的探索與前進。而在對未來的網(wǎng)絡安全保護的發(fā)展趨勢上，筆者也有些許個人拙見。

在立法上，借鑒西方國家的立法經(jīng)驗，采用分別制定“網(wǎng)絡安全法”和“個人信息保護法”的立法模式。這一舉動將更加明確法律的側(cè)重點，網(wǎng)絡安全法更加宏觀，從國家角度的安全進行保護；而個人信息保護法更加微觀，著重個人的信息安全保護。

在行政上，通過制訂配套的行政法規(guī)，進一步明確法律條文的適用性，例如盡快出臺《網(wǎng)絡安全法實施細則》，在個人信息收集、管理、使用及相關法律責任方面進行具體的規(guī)定，確保個人信息保護制度的可操作性。

在執(zhí)行上，通過對相關執(zhí)法機構的整合，用法律的手段統(tǒng)一執(zhí)行部門，以避免執(zhí)法部門分散而導致執(zhí)行效率過低。與此同時，建立獎懲體系，對侵犯個人信息權利的個人和組織加大打擊力度，明確責任主體。

只有從法律制定、統(tǒng)一執(zhí)行、強化監(jiān)督等多方面，構建起立體協(xié)同、動態(tài)發(fā)展的個人信息安全保障體系，才能從根本上促進網(wǎng)絡安全的發(fā)展。

作者單位 中共青島市委黨校法學教研部

[1]李雅文．淺析《網(wǎng)絡安全法》中的個人信息保護條款[J]．中國電信業(yè)，2016(09)．

[2]王玥．我國網(wǎng)絡安全立法研究綜述[J]．信息安全研究，2016(09)．

[3]張素倫．網(wǎng)絡安全法及其與相關立法的銜接——我國《網(wǎng)絡安全法（草案）》介評[J]．財經(jīng)法學，2016(03)．

[4]張曉．個人信息保護法律體系亟待完善[J]．中國防偽報道，2016(10)．

[5]鄭偉．互聯(lián)網(wǎng)環(huán)境下個人信息安全保護相關法律問題簡析[J]．中國廣播，2013(05)．