网络服务提供者中的用户个人信息保护的立法思考

摘 要：毋庸置疑个人信息具有商业价值，网络服务提供者掌握的大量用户个人信息，其价值是无法计量的。随着互联网的普及和技术的不断发展，多种新兴媒体，高科技技术应用而生对人民带来便利但也对个人信息安全带来巨大考验。大数据时代的来临更是让个人的隐私一览无余，形同“裸奔”。一些人追求利益从各个渠道获取、盗用、非法利用用户个人信息。给用户带来直接或间接的损害。因此要加强网络服务提供者中用户个人信息的保护。本文以问题为导向，阐述网络服务提供者的范围，提出对用户个人信息立法保护存在的问题和建议，最后给出总结。

关键词：网络服务提供者;用户个人信息保护;立法保护

引言

2020年3月19日一微博用户爆料微博账号遭到泄露。3月21号工信部就新浪微博APP数据泄露问题开展约谈，并要求微博根据相关法律法规加大对个人信息的保护力度。数据泄露事件虽然不频发但每次泄露的数据范围广数量大，此次事件就牵扯了几亿用户。据新闻报道，2020年4月23日世卫组织发表声明表示本国约有450个世卫组织电子邮箱地址及密码被泄露。尽管我国早已重视对微博，淘宝，抖音等网络服务提供者的用户个人信息保护，出台了许多法律法规，进行了一系列的宣传教育并举办网络安全宣传周但在对个人信息的保护上还存在着许多问题。在立法上法律法规的数量虽然多但是过于分散，未成系统，而且出现各个规定之间衔接不足，各个部门法之间发生法条冲突的问题。相关规范原则性很强，但缺乏具体的规定，操作性弱致使在现实中对个人信息的保护出现的漏洞[1]，不仅使违法犯罪分子逃脱法律制裁，而且会让受害者投诉无门。

1  网络服务者用户个人信息保护概述

1.1  网络服务提供者的范围

随着科学技术水平的不断发展，互联网技术水平的不断提高，网络服务提供者的范围也在不断扩大。2014年10月25日最高人民法院新闻发布会公布了《解释》，该解释是针对涉及到信息网络的刑事犯罪所做出的。解释首先明确了犯罪主体是单位和自然人。网络服务提供者包括提供下列服务的单位和个人：（1），技术类服务。主要是指网络接入、域名注册解析等信息网络接入、计算、储存、传输服务。（2）、内容性服务。包括搜索引擎、网络支付、网络购物、网络游戏、网站建设以及新兴起的网络直播等。（3）、公共性服务。是指利用信息网络提供的电子政务、通信、能源、交通、水利、教育等公共服务。

本文所讲网络服务提供者仅仅指以营利为目的的企业。

1.2  用户个人信息立法保护的必要性

社会发展，人类进步缺少不了信息的流通。个人信息具有价值属性既人权价值和经济价值[2]让个人信息安全一直饱受挑战特别是在信息化的今天情况更加严重。用户个人信息泄露带来各种各样的危害。金钱损失和人格侮辱最为常见。所以对用户个人信息进行法律保护非常必要特别是从立法层面。这不仅会保护个人的合法权益，促进社会的稳定，利于法治国家的建设而且会规范网络环境，推动互联网的健康发展，促进市场经济的健康稳定发展。

2  网络服务提供者中用户个人信息保护立法现状

目前我国并没有统一的个人信息保护法，现有的与个人信息保护有关的法律法规多达200余部散见于各个部门法中。《刑法》、《民法总则》、《侵权责任法》、《网络安全法》等效力等级高的法律奠定了对个人信息保护的基本框架。《消费者权益保护法》《电子商务法》对各自领域内的个人信息的保护进行了规定。在互联网领域，工信部和国务院分别发布了《电信和互联网用户个人信息保护规定》和《征信业管理条例》来规范电信业务、互联网信息服务以及征信业务等领域中的个人信息利用行为。将于2020年10月1日实施的新版《信息安全技术·个人信息安全规范》对个人信息的收集、储存、使用等做出了明确表示。《全国人民代表大会常务委员会关于加强网络信息保护的决定》第一条、第三条、第七条、第八条、第十一条详细列明了对公民电子信息的保护。我国颁布了一系列的法律规范充分展现了国家对个人信息安全的重视，但从目前来看，我国针对用户个人信息的保护仍然存在着明显的问题，存有进一步完善的空间。

3  用户个人信息立法保護存在不足

3.1  缺乏统一的专门性立法。

我国现有的个人信息保护的法律条款过于分散、繁杂、内容相对原则性、针对性和可操作性差，各个规定之间的协调性不足。而且对个人信息定义和范围没有统一的规定、缺乏统一的操作标准。急需制定专门性立法。

3.2  现行个人信息法律规范有待修改。

其一、法律规范内容的滞后性。例如，刑法二百五十三条规定的侵犯公民个人信息犯罪，规定了提供、出售、窃取或者其他方法非法获取等行为手段，但是如今在数字时代、侵害个人信息的方式日趋复杂化和多样化。非法盗用、非法破坏等行为都可以严重侵害用户的个人信息，损害其合法权益，破坏社会秩序。在对情节严重的司法解释中并没有将犯罪主体的性质纳入到情节严重标准的考量中。其二、法律缺乏对个人信息保护的民事保护。《民法总则》第一百一十一条禁止了组织和个人对他人个人信息的非法收集、使用加工、传输买卖提供或者公开。在《侵权责任法》中对隐私权的保护间接体现了对个人信息的保护。虽然第三十六条规定了网络服务提供者的侵权责任但调整的对象和范围太过狭窄。无论是《民法总则》、《侵权责任法》还是民法典人格权编草案，均缺乏对侵害个人信息民事责任的具体规定。例如，在《民法典草案》中，尽管有八个条文来规定个人信息保护，可涉及民事责任的却只有两条。其三、法律条款内容相对原则性，可操作性差。例如《网络安全法》中规定了网络运营者的诚实信用义务，收集使用个人信息应当遵循合法、正当、必要的原则。虽然从五十九条到七十五条规定了法律责任，但是由于缺乏明确具体的解释和范围划定，在实践中行政主体对网络服务提供者是否承担责任，承担怎样的责任出现选择上的困难。第二十二条中的及时告知和报告义务缺乏对“及时”的认定。但是如何认定“及时”呢？此次微博数据泄露3月4日就有暗网用户发布一则5.38亿微博用户绑定手机数据并在暗网出售，这些数据是在2019年中左右被抓取的。3月18日晚一名微博用户爆料自己的手机号已经通过微博数据库泄露，随后被新浪微博CEO证实，但有的微博用户在被证实后的一个月后才发现，笔者认为这完全超过了及时的范畴。

3.3  对网络服务提供者等主体监督管理机制不完善。

其一、市场经济主体特别是网络服务提供者掌握着大量的用户个人信息是信息犯罪行为的源头之一，对网络服务提供者等的监管应该贯彻在对个人信息的保护的全过程，但是在现行的行政法律体系中，我国仅仅有些原则性条款，不仅没有确立统一的监管主体，而且存在权限不明，程序缺失的问题[3]。其二、由于我国目前并没有专门的个人信息保护立法，对网络服务提供者收集、利用、损害个人信息的行为并没有详细的操作性强的基础规范。现有法律规范对网络服务提供者等的规定存在漏洞，这使得部分主体对个人信息保护工作的动力不足、重视不足、甚至是漠视用户权益，钻法律漏洞逃避法律追究。

3.4  对用户个人信息保护的法律救济体系尚不完善。

其一、虽然对个人信息遭受损害可以根据法律规定要求对方承担刑事责任、民事责任、行政责任但在实务操作中那些未达到刑事标准但却遭受损失的平等主体之间的个人信息侵害由于违法犯罪分子的反侦查能力和高超的计算机技术、信息经过多次流转使得普通的受害人难以提供证据证明自己的个人信息遭受损害。多数人选择忍气吞声放弃诉讼维权。无法通过私力救济挽回损失。其二、现行法律规范中对于信息业者的违法行为处罚力度小。例如对微博数据泄露事件或类似的行为仅仅是约谈。对网络服务提供者之前没有进到安全保护义务的行为，没有纳入到对现行为（未尽到安全保护义务）的惩罚的衡量之中，对在信息中存在着某些平台出现，数据泄漏问题被约谈后，又再次出现相同的问题，用户的个人信息又无可避免的，又一次遭受了破坏。

4  完善对网络服务提供者的用户个人信息法律保护的立法建议

4.1  出台《个人信息保护法》

加快制定通过专门性的法律，体现顶层设计，对个人信息的定义、范围、原则、权利保护和数据流通等基本内容进行明确规定，对量刑标准、处罚力度责任确立方面更加细致明确。注重该法与现行的关于信息保护的法律规范的相关规定的协调和衔接，形成相辅相成的关系。

4.2  健全现行用户个人信息保护的法律规范。

即使出台专门性立法，现行法律规范仍然尤其不可代替的作用，应该推进专门法律出台的同时健全现行的个人信息保护的法律规范。注重与时俱进，规定的具体性和可操作性。例如刑法二百五十三条将非法盗用、非法破坏等行为纳入到打击范围内，将犯罪主体性质，行为次数纳入到对情节严重的考量中。在《民法总则》明确个人信息的权利性质，分类保护。明确规定个人信息的民事责任。对《网络安全法》通过立法或司法解释“及时”等涉及到责任的抽象性性词语予以明确规定。

4.3  完善对网络服务提供者等的监督管理机制。

其一、术业有专攻，笔者建议在国家网信部门中设立专门的个人信息保护的监督机构，以立法的形式明确监管机构的责任与义务，明确监管程序、监管权限。制定操作性强的监管手段、监管方式标准落实行政监管工作。同时以国家网信部门为主导，推动新闻监督、社会监督的开展和运行。其二、首先制定并推行企业个人信息使用与保护的标准，注重实现两者之间的动态平衡。其次要想完善网络服务提供者用户个人信息保护制度必须要加强对自律机制的建设，以行业内普遍遵守的具有约束力的规范[4]。推动着用户个人信息的保护。至少要包括以下内容：（1）、以立法层面规定有关主体和龙头企业合作建立个人信息保护行业协会，以尽快出台个人信息保护行业规范。制定或引入统一的信息安全保护的标准包括风险评估、技术检测、应急处理、监督管理。定期引入第三方评测机构进行评估，并将结果向媒体和社会公布。（2）、规定企业的信息安全教育职责，要求其应该加强诚信和责任建设，将提高内部人员信息安全意识作为信息安全建设的重要内容，将普法教育作为重要内容之一。指引员工遵法守法。包括网络服务提供者的企业应当以建立信息安全文化为重要目标，培养员工养成良好的信息安全习惯。

4.4  完善法律救济体系。

其一、我國现行法律法规中严重忽视了对个人信息的民事保护，对民事责任的设定也并不能满足实际的民事侵害。举证难等问题让被害人难以通过诉讼获得赔偿。为解决上述问题笔者认为（1）、应该将个人信息权纳入到民法典中，明确对个人信息民事责任的具体规定。（2）、设立多层次的事后救济机制。公民在个人信息受到侵害后可以通过与对方协商、请求调解、投诉、申请仲裁、和向人民法院起诉的方式挽回损失。（3）、明确侵权责任法第三十六条的过错推定原则减轻受害者的举证压力[5]。其二、改变责任的承担力度，加大处罚力度，特别是行政处罚力度，以行政执法的常态化落实法律制度，通过依法严厉惩罚去逼迫网络服务者提供者合规运营。可以累计计算遭受行政处罚和约谈的次数，并将其纳入到下一次的行政行为的考量中。将处罚与信用挂钩。

5  结论

综上所述，在信息化时代网络服务提供者的用户个人信息保护面临诸多问题。我国应该根据实际情况尽快出台《个人信息保护法》给于个人信息系统全面的保护，注重修改现有的法律规范使各个规范协调一致和与《个人信息保护法》的衔接。完善监督管理和法律救济制度、加强执法力度，同时注重推动行业自律机制的建设，提高个人的信息保护意识。逐步建立健全个人信息保护系统。

参考文献

[1]吕啸.网络领域中个人信息安全的刑法保护研究[D].西北大学，2019.

[2]应佳志.互联网中个人信息保护的法律问题研究[D].中共中央党校，2018.

[3]赵宇.大数据背景下个人信息行政法保护研究[D].浙江工商大学，2020.

[4]吴铮.大数据时代我国个人信息法律保护现状及对策[J].淮南职业技术学院学报，2018，18（01）：141-143.

[5]单宝龙.网络环境下个人信息法律保护问题研究[D].江西财经大学，2019

作者简介：

王雨雪（1995年7月）女，汉，学历：硕士研究生，单位：石河子大学，研究方向：法律（非法学）硕士