當下,信息革命的浪潮和全面鋪開的數字化使得人們的生産生活越來越與互聯網深度融合。在線下的各種場景逐漸搬到網上的同時,個人信息得以掙脫紙面的束縛,直接以比特的形式被海量地記錄、傳輸、存儲和使用。經過數字化、網絡化後,個人信息一方面繼續保有“單獨或者與其他信息結合識别”特定個人的能力,另一方面又能在現代計算和存儲能力的支持下,價值得到進一步挖掘和釋放。
在全面擁抱個人信息數字化和網絡化的同時,許多境内外的網絡犯罪團夥已将目标瞄準了個人信息,竊取了數以億計的個人信息,并形成了交易個人信息的地下黑産。他們利用個人信息與特定個人之間的緊密關系實施各種犯罪,例如以個人信息為基礎的精準詐騙。除此之外,冒用個人網絡身份更是直接造成了不可估量的經濟損失。
個人信息的收集和使用與個人的權益息息相關,數字經濟能否持續健康發展,在很大程度上取決于能不能在開發和利用個人信息的同時做到趨利避害。對此,《網絡安全法》在第四章“網絡信息安全”中用相當大的篇幅對網絡運營者處理個人信息的行為做出了規範,具體有以下五方面特點和創新。
個人信息保護最為綜合的權威規定
目前,我國尚未制定統一的個人信息保護法。在《網絡安全法》出台之前,個人信息保護方面最主要的法律是2012年通過的全國人大常委會《關于加強網絡信息保護的決定》和2013年通過的全國人大常委會《關于修改<中華人民共和國消費者權益保護法>的決定》,以及2009年通過的《刑法修正案(七)》和2015年通過的《刑法修正案(九)》。
《網絡安全法》不僅繼承了上述法律關于個人信息保護的主要條款内容,而且根據新的時代特征、發展需求和保護理念,創造性地增加了部分規定,例如最少夠用原則(“網絡運營者不得收集與其提供的服務無關的個人信息”)、個人信息共享的條件(“未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識别特定個人且不能複原的除外”)、個人的數據權利(“個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者删除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當采取措施予以删除或者更正”)等。
明确個人信息保護的責任主體
《網絡安全法》在“網絡信息安全”這一章的開頭,就明确提出了“誰收集,誰負責”的基本原則,将收集和使用個人信息的網絡運營者,設定為個人信息保護的責任主體。法律規定:“網絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。”按該條款的規定,無論是在防範内部人員倒賣個人信息,還是保障系統不被攻破導緻信息洩露等方面,收集和使用個人信息的網絡運營者都是第一責任主體。通過明确責任,一能避免個人信息洩露導緻嚴重後果後“無人負責”的局面,二能倒逼網絡運營者重視對其掌握的個人信息的保護工作。2016國家網絡安全宣傳周期間,來自武漢多所學校的中小學生參觀、體驗了網絡安全博覽會。圖/本刊記者潘樹瓊接軌國際先進理念
目前,全球公認的個人信息保護方面的主要法律文本有OECD隐私框架、APEC隐私框架、歐盟《通用數據保護條例》、歐美“隐私盾”協議、美國“消費者隐私權法案(讨論稿)”等。綜合這些立法,可得出個人信息保護的主要原則,包括目的明确原則、同意和選擇原則、最少夠用原則、開放透明原則、質量保證原則、确保安全原則、主體參與原則、責任明确原則、披露限制原則等。
上述原則在《網絡安全法》中均得到體現。例如,開放透明原則是指應以明确、易懂和合理的方式如實公示其收集或使用個人信息的目的、個人信息的收集和使用範圍、個人信息安全保護措施等信息,接受公共監督。該原則具體化于《網絡安全法》規定:網絡運營者應“公開收集、使用規則,明示收集、使用信息的目的、方式和範圍”。
實現個人信息保護和利用的平衡
在大數據和雲計算時代,包括個人信息在内的數據,隻有充分地流動、共享、交易,才能實現集聚和規模效應,最大程度地發揮價值。但數據在流動、易手的同時,可能導緻個人信息主體及收集、使用個人信息的組織和機構喪失對個人信息的控制能力,造成個人信息擴散範圍和用途的不可控。如何實現兩者的平衡是新時期個人信息保護的重要挑戰之一。
對此,《網絡安全法》首先在法律層面給予個人信息交易一定的空間,這是一個巨大的進步。《關于加強網絡信息保護的決定》規定“不得出售”公民個人信息;而《網絡安全法》規定“不得非法出售”公民個人信息,換句話說,按《網絡安全法》的規定,在一定情形下是可以出售公民個人信息的,無疑給符合規定的個人信息交易開了綠燈,為我國大數據産業發展提供了空間。
其次,《網絡安全法》進一步規定了合法提供個人信息的情形,這也是一個重要的創新。法律規定,“未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識别特定個人且不能複原的除外。”從條文理解,至少在兩種情形中,可以合法對外提供個人信息:一是被收集者也就是個人的同意;二是将收集到的個人信息進行匿名化處理,使得無論是單獨或者與其他信息相結合後,仍然無法識别特定個人且不能複原。
新增個人信息強制告知和報告
《網絡安全法》規定,“在發生或者可能發生個人信息洩露、毀損、丢失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告”。相比以往的法律規定,新增了個人信息安全事件發生後的強制告知和報告。
在全球範圍看來,包括個人信息安全事件在内的網絡安全事件的強制報告和告知,是近期的立法重點。許多國家和地區都注重通過強制對外報告和告知,進一步增強組織和機構的責任主體意識,敦促其認真對待保護個人信息的義務。在美國,聯邦層面有健康保險攜帶和責任法案、金融業的格雷姆-裡奇-比利雷法案,規定了數據安全事件強制告知和報告制度。在歐盟,《通用數據保護條例》和歐盟網絡信息安全指令也都規定了強制告知和報告的義務。
《網絡安全法》加強了對個人信息的保護,讓人民安全地享用互聯網帶來的紅利,是貫徹習近平總書記重要指示的具體體現。《網絡安全法》的出台落實能夠遏制個人信息濫用亂象,提升個人信息保護水平,最大程度地保障用戶合法權益和社會公共利益。
(洪延青:四川大學網絡空間安全研究院)
《網絡安全法》規定,“在發生或者可能發生個人信息洩露、毀損、丢失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告”。相比以往的法律規定,新增了個人信息安全事件發生後的強制告知和報告。