从《网络安全法》看我国个人信息安全法律保护的途径

文/张珏芙蓉

从《网络安全法》看我国个人信息安全法律保护的途径

文/张珏芙蓉

随着全球经济以及信息技术的发展，当今世界已经迈入了互联网时代。而与此同时，网络安全作为互联网时代的重要组成部分，也逐渐进入公众的视野。其中，个人信息泄露问题的日渐恶化，对个人信息安全的法律保护也提出了更高的要求。因此，本文将通过分析当今互联网时代下我国个人信息安全的现状，并梳理个人信息安全所面临的挑战，进而回溯个人信息安全保护在法制上的演进发展；此外，通过研究刚出台的《网络安全法》，从而探究网络的个人信息安全保护的法律途径。在此基础上，对个人信息安全法律保护未来的发展趋势以及发展路径提出个人拙见。

网络安全 个人信息 法律 保护 途径

世界已经迈入了互联网时代，互联网技术的发展以及变革，使得网络安全日渐成为重大主题。在我国，网络空间的安全治理也逐渐成为国家治理体系和治理能力现代化的重要组成部分。2016年12月，国家互联网信息办公室发布了《国家网络空间安全战略》，这一战略表明，网络空间安全的发展业已成为国家治理的关键。

2016年，一系列的网络诈骗案的发生，如徐玉玉案等，引起了社会极大关注。网络安全如何在法律上遏制个人信息泄露和网络诈骗的蔓延，解决人民切身关注的问题，已经成为当下研究的重大课题。

在个人信息安全的概念中，不同的学说对个人信息的定义有着不同的阐释。本文采用的关于个人信息的定义，是2017年6月1日将实施的《网络安全法》第七十六条第（五）款的定义——以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

一、互联网时代个人信息安全现状

1．个人信息安全形势日益严峻。一方面，因为我国的网民数量逐年递增，使得个人信息复杂而多元，所以个人信息主体对个人信息的控制能力下降。中国互联网络信息中心（CNNIC）第39次《中国互联网络发展状况统计报告》显示，截至2016年12月，我国网民规模达7.31亿，普及率达到53.2%，全年共计新增网民4299万人。此外，据中国互联网协会发布的《2016中国网民权益保护调查报告》显示，84%的网民曾经切身感受过个人信息泄露所带来的不良影响。从2015年下半年到2016年上半年，我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失达915亿元。

而另一方面，由于个人信息的法律保护尚未形成治理体系，个人信息泄露便在这片灰色地带中有了可乘之机。当今时代，受“互联网+”的影响，基于网络信息技术的即时通信、社交网络、电子商务、互联网金融等已经成为网民的日常生活的重要组成部分。近几年来，通过警方查获曝光的大量网络安全案件显示，关于个人信息的泄露、收集和转卖，已经形成完整的黑色产业链。

在这条黑色的产业链中，侵犯个人信息安全的行为模式，主要是通过对个人信息的不合法收集、泄露，最后进行交易。而正是个人信息的泄露，侵害了个人信息主体的财产权益、人身权益等，造成不良影响。

2．个人信息保护的法律演进与现状。针对个人信息安全的保护，我国在网络安全方面也制定过不少的法律。

2000年，《全国人民代表大会常务委员会关于维护互联网安全的决定》通过，其中第四条规定，为了保护个人、法人和其他组织的人身、财产等合法权利，对有非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密行为，构成犯罪的，依照刑法有关规定追究刑事责任。

2009年，《侵权责任法》通过，其中第三十六条规定，网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。

2012年，《关于加强网络信息保护的决定》通过，其中对保护能够识别的个人信息、网络服务提供者获取、使用个人信息、加强对个人信息的保护以及主管机关的责任等方面，都做了明确规定。

2013 年 9 月 1 日，《电信和互联网用户个人信息保护规定》开始实施，其中对个人信息的定义、义务主体、个人信息收集的程序、使用目的、投诉机制的建立、安全保护措施、监督检查、法律责任等方面均做了较详细的规定。

2015年 11月1日，《刑法修正案（九）》施行，其中通过扩大犯罪主体的范围及扩充侵犯个人信息行为的范围，加强了对个人信息安全的保护。

以上可以看出，十几年来，我国对于个人信息安全的重视，使得相关个人信息保护的法律日趋完善。此外，无论在保护的技术手段上，还是安全意识上，也都有着显著的提高。但是，对于个人信息侵犯的民事案件和刑事案件，也呈现上升的态势。

二、《网络安全法》中个人信息保护条款探析

2016年11月7日，十二届全国人大常委会第二十四次会议上表决通过了《中华人民共和国网络安全法》（以下简称“网络安全法”）。该法将于2017年6月1日起开始实施。

网络安全法被誉为互联网安全领域的“基本大法”，共七章七十九条，其中明确加强了对个人信息安全的保护，并且打击网络诈骗。

在第四章《网络信息安全》中，共有十大条款，分别从用户信息保护制度的建立、网络运营者收集、使用个人信息的程序、目的、保护措施、投诉和纠纷解决机制的建立等方面，都做了较为明确的规定。

1．首建系统性保护制度。过去，在网络安全的领域，对个人信息保护的相关法律，零零散散，多来自于各项不同的法律条款。这些条款，有的过于书面而缺乏可执行力，也有缺少明确的保护和规范。网络安全法的出台，则如同高屋建瓴，不仅更加注重了法律的可执行性，也比以往的法律条款提出了更明确具体的措施，着重全方位立体地保护个人信息安全。

2．强化主体责任。关于如何处理网络安全的两个方面，打击网络诈骗、保护个人信息，同样需要从两个角度着手：一方面，通过加大打击和处罚的力度；另一方面，通过对相关机构的联动，使为网络安全承担共同的责任。

网络安全法不仅仅明确了网络运营者的责任：伦理责任、技术责任和制度责任，同时也强调政府部门在保障网络安全、包括个人信息保护上的责任。第六十四条规定，网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的，可以由有关主管部门责令改正，还可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

3．四大亮点与突破。一是通过对个人信息收集行为的规范，保护网民的信息权益。第四十条规定，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。过去，在网络上对个人信息的收集门槛过低，而这条规定一定程度上改善了这一现象。

二是通过将未经同意而提供、出售个人信息的行为定性为违法，直接切断买卖信息的产业链。第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

三是建立个人信息泄露的通知制度，运营者必须告知并报告。第四十二条规定，网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。个人信息泄露的通知制度，是网络安全法的一次创新之举。这一制度，通过对个人信息主体的告知，不仅增强了网民的安全防范意识，也能够促进对相关机构的监督，从而减少个人信息泄露的频率。

四是重视“被遗忘权”，明确了公民个人信息的删除权和更正权制度。网络安全法第四十三条规定，若个人用户发现自己的个人信息被不当使用、收集，可以依据此条款要求及时删除，以避免危害进一步扩大。这一权利的实施，意味着网民拥有对个人信息的实际控制权，是网络安全的一大进步之处。

4．不足：可操作性不足导致用户依然处于弱势。虽然网络安全法对于个人信息安全有着全方位的保护，涉及在主体的各个方面，以及信息的各个环节，但是在可操作性上，仍有不足之处，没有规定具体情况下的具体细则。例如，网络安全法第四十三条规定网民拥有“被遗忘权”，但是在某些具体的情形下，由于网络技术手段的限制，网民难以取得相关的信息证据，无法通过明确具体的手段进行权利的保护。

三、未来法律保护的思考与建议

网络安全法，仍然不能从根本上解决网络安全的问题。如何遏制网络诈骗，如何保障个人信息安全，人们仍然需要长久的探索与前进。而在对未来的网络安全保护的发展趋势上，笔者也有些许个人拙见。

在立法上，借鉴西方国家的立法经验，采用分别制定“网络安全法”和“个人信息保护法”的立法模式。这一举动将更加明确法律的侧重点，网络安全法更加宏观，从国家角度的安全进行保护；而个人信息保护法更加微观，着重个人的信息安全保护。

在行政上，通过制订配套的行政法规，进一步明确法律条文的适用性，例如尽快出台《网络安全法实施细则》，在个人信息收集、管理、使用及相关法律责任方面进行具体的规定，确保个人信息保护制度的可操作性。

在执行上，通过对相关执法机构的整合，用法律的手段统一执行部门，以避免执法部门分散而导致执行效率过低。与此同时，建立奖惩体系，对侵犯个人信息权利的个人和组织加大打击力度，明确责任主体。

只有从法律制定、统一执行、强化监督等多方面，构建起立体协同、动态发展的个人信息安全保障体系，才能从根本上促进网络安全的发展。

作者单位 中共青岛市委党校法学教研部

[1]李雅文．浅析《网络安全法》中的个人信息保护条款[J]．中国电信业，2016(09)．

[2]王玥．我国网络安全立法研究综述[J]．信息安全研究，2016(09)．

[3]张素伦．网络安全法及其与相关立法的衔接——我国《网络安全法（草案）》介评[J]．财经法学，2016(03)．

[4]张晓．个人信息保护法律体系亟待完善[J]．中国防伪报道，2016(10)．

[5]郑伟．互联网环境下个人信息安全保护相关法律问题简析[J]．中国广播，2013(05)．