摘 要:《网络安全法》是我国网络安全治理方面的基本法, 该法关于个人信息的保护规则比以往相关法律、法规更系统、更全面, 不仅对网络运营者及其他主体保护用户个人信息的责任做出了更具体、更严格的规定, 也赋予了网络用户更广泛的的个人信息权, 对我国加强网络个人信息的保护具有重要的意义。但是该法中的个人信息保护规则仍有一些不足之处, 应当从明确公权力介入的程序性制度, 细化用户的个人信息保护权及相应的权利保障措施, 健全个人信息合理使用制度等方面予以完善。
关键词:网络安全法; 个人信息权; 个人信息保护;
一、《网络安全法》关于个人信息保护的基本规定
《网络安全法》是我国网络安全领域的基本法, 其内容包括网络安全支持与促进、网络安全运行、网络信息安全、监测预警与应急处置等关乎网络建设、运营、使用和维护等各个领域, 其中涉及个人信息保护的规则主要包括以下具体内容。
(一) 网络运营者收集、使用个人信息的基本原则
1.合法原则。网络运营者对个人信息的收集和使用应当严格依照法律进行, 其收集信息的范围、内容、程序以及使用、处理、保存信息的方式都不得违反法律、法规的相关规定。任何个人和组织也不得以窃取或任何其他非法方式获取个人信息、非法向他人提供个人信息。
2.正当原则。网络运营者对个人信息进行收集和使用的行为在现行法律法规没有相关具体规定的情形下, 应当符合正当性的原则, 即无论何种情形下, 网络运营者对个人信息的收集和使用应当具有维护网络安全、维护国家和社会公共利益、保护个人信息安全等方面的正当理由。
3.必要原则。网络运营者对个人信息的收集和使用应当严格限制在其提供网络产品和服务所必须的信息范围之内, 不得超出此范围收集无关的个人信息。
(二) 网络运营者的义务
1.制度建设义务。《网络安全法》第四十条规定:“网络运营者应当建立健全用户信息保护制度。”该条款明确规定了网络运营者的用户信息保护制度建设义务, 对网络运营者而言, 这类其自行制定的内部规章制度更符合运营者自身的行业特色和需求, 内容更细致, 具有比国家法律法规更强的操作性, 能为其日常经营活动中对网络用户个人信息的收集、使用和保护工作提供更加明确具体的规范性依据。
2.公示义务。根据《网络安全法》的规定, 网络运营者收集、使用个人信息, 应当公开收集、使用规则, 明示收集、使用信息的目的、方式和范围, 并征得被收集者同意。
3.信息安全维护义务。具体包括:
(1) 实施安全技术措施义务。网络运营者应当按照国家网络安全等级保护制度的要求, 积极采取防范网络病毒和非法网络攻击, 维护网络个人信息安全的技术措施。
(2) 信息保密义务。网络运营者应当对其收集和保存的个人信息严格保密, 不得随意泄露或擅自向他人提供。
(3) 信息保护义务。网络运营者应当确保网络用户个人信息的安全, 除自身不得擅自篡改、损毁用户个人信息外, 还应当采取一切必要措施, 确保用户个人信息不受他人非法侵害。
4.告知及报告义务。当发生信息安全事故, 导致用户个人信息可能或已经泄露、损毁、丢失时, 网络运营者应当及时告知网络用户, 并及时向有关主管部门报告。
(三) 网络用户的权利
1.知情权。网络用户有权知悉某种网络产品或服务是否具有收集用户信息的功能, 对于有收集信息功能的网络产品或服务, 网络用户还有权知悉网络运营者收集其个人信息的具体规则、目的、方式和范围。
2.许可权。网络用户有权决定是否同意网络运营者要求收集用户个人信息的请求, 有权要求网络运营者按照用户的要求收集、使用、处理和保存该信息。
3.删除权。网络用户发现网络运营者违法收集、使用其个人信息的, 有权要求网络运营者予以删除。
4.更正权。网络用户发现网络运营者收集、存储的个人信息有误的, 有权要求其予以更正。
5.监督权。网络用户有权对网络运营者及其他主体收集、使用其个人信息的行为进行监督, 一旦发现任何违法行为, 均可向国家有关部门举报。
(四) 法律责任
1.民事责任。违反《网络安全法》的规定, 侵害网络用户个人信息权, 给网络用户造成损害的, 应当依法承担民事责任。
2.行政责任。《网络安全法》规定的侵犯个人信息权的行政责任类型有警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证、吊销营业执照等。
3.刑事责任。违反《网络安全法》的规定, 侵害网络用户个人信息权, 构成犯罪的, 依法追究刑事责任。
二、《网络安全法》中的个人信息保护规则评价
(一) 立法的进步与突破
1.立法层级更高, 法律效力更强, 制度更系统
我国关于个人信息保护的法律规定散见于多部法律、法规和司法解释中, 其中最为典型的是全国人大常委会2012年颁布的《关于加强网络信息保护的决定》、工业和信息化部2013年颁布的《电信和互联网用户个人信息保护规定》、最高人民法院2014年颁布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等。虽然上述法律、法规及司法解释中对于个人信息的保护作出了较为详细和具体的规定, 但是无论是从立法层级上, 还是制度的系统性上, 都不尽人意, 无法适应信息网络社会的快速发展对个人信息保护立法的需求。而《网络安全法》的颁行适时地化解了这一矛盾。《网络安全法》是一部调整国家网络法律关系的基本法, 是我国网络安全和发展战略的重要基石, 在这样一部法律中用专章规定网络信息安全的基本规则, 不仅具有更强的法律效力, 也使得我国的个人信息保护制度更加系统和全面。
2.网络用户保护自身个人信息的权利更广泛
首先, 《网络安全法》首次对个人信息的概念进行了界定, 将自然人的姓名、出生日期、住址、电话、身份证号码、个人生物识别信息等以电子或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息全部囊括到个人信息范畴, 这种概括加列举的定义方式更有利于个人信息权的界定和保护。其次, 《网络安全法》首次赋予了用户个人信息的删除权和更正权。最后, 《网络安全法》首次明确规定了关键信息基础设施保护制度, 为个人信息安全的间接保护提供了基础性的技术保障。
3.网络运营者及其他主体保护用户个人信息的责任更具体、更严格
(1) 强化了网络运营者的主体责任。《网络安全法》首次规定了网络运营者在发生或可能发生网络信息安全事故时的通知责任;首次为个人信息的收集设定了边界, 对网络运营者设定了无关信息排除责任。
(2) 对国家公权力的介入进行了一定的限制。《网络安全法》将网络运营商提供技术支持和协助的对象限定为公安机关和国家安全机关, 前提限定为依法维护国家安全和侦查犯罪的活动。
(3) 加大了对侵犯个人信息违法行为的处罚力度。根据《网络安全法》第六十四条之规定, 网络运营者和网络产品、服务的提供者侵害个人信息权的, 罚款标准为违法所得一倍至十倍, 没有违法所得的, 罚款标准为一百万元以下。而此前工信部颁布的《电信和互联网用户个人信息保护规定》中罚款标准仅为一万元至三万元。
(二) 立法中存在的问题与不足
1.对公权力的介入缺乏必要的程序性控制制度, 无法从制度上确保这类公权力不被滥用。
2.用户的个人信息权内容虽然丰富, 但是相关规定过于原则, 配套的权利保障机制也不健全。
3.个人信息权的限制制度不够周全, 使得某些特殊情况下对个人信息的合理使用于法无据。
三、《网络安全法》中个人信息保护规则的完善之道
针对上述立法中存在的问题与不足之处, 可采用制定实施细则或司法解释的方式从以下方面予以完善。
(一) 明确公权力介入的程序性制度
网络安全立法既要体现网络社会的安全和秩序价值, 也要兼顾网络用户的自由和自愿价值。网络立法赋予公权力介入权是维护网络社会安全和秩序的必由之路。为了打击网络违法犯罪行为, 维护社会公共利益, 适当让渡网络用户的个人信息权是法益权衡的必然结果。但是这样的让渡必须是有限的, 如何在公共利益与个人私权之间达成平衡和协调, 正是立法需要审慎考量的问题。《网络安全法》赋予了公安机关和国家安全机关在维护国家安全和侦查犯罪时的要求协助权, 实现了维护网络最基本的安全与秩序的价值需求。但实践中侦查部门超过必要性限度要求网络运营商提供个人信息的现象普遍存在。因此有必要对这一权力的行使程序及具体的权限内容均作出相应的配套规定, 防止因其滥用导致的法益失衡。同时, 还应当对用户私权利因政府公权力滥用受到侵害时的救济程序作出相应的配套性安排, 只有这样, 才能实现公权与私权的利益平衡。
(二) 进一步细化用户的个人信息保护权及相应的权利保障措施
虽然《网络安全法》明确规定了用户享有个人信息收集和使用的许可权, 但实际上, 网络运营者都是采用格式合同的形式来获取用户的许可, 合同中的条款都是由网络运营商单方拟定, 个人信息的收集范围以及使用、储存和处理个人信息的方式等内容均是由网络运营者单方决定。对于这类网络格式合同, 用户实际上并没有修改的权利, 为了获取网络产品和网络服务, 用户往往只能以放弃个人信息权为代价, 从而使得该项法定的许可权沦为虚设。应当进一步细化网络用户许可权的行使程序, 同时明确规定网络运营者提供不公平格式合同的法律责任, 增加其违法成本, 以此保障用户许可权的正常有效行使。同时, 还应当加强社会信用机制的建设和行业自律机制的建设, 并赋予用户更多的维权渠道和救济途径, 通过多元化社会共治的方式保障用户的个人信息权。
(三) 建立健全个人信息合理使用制度
最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条规定了网络用户或网络提供者利用网络公开自然人个人信息侵权责任的几种除外情形, 如:为社会公共利益在必要范围内公开, 学校、科研机构等基于公共利益为学术研究或统计的目的公开, 对已合法公开的个人信息的公开等。而《网络安全法》中仅规定了一种例外情形, 即经过处理无法识别特定个人且不能复原的情形。相比之下, 《网络安全法》对个人信息的保护更加严格, 但是却难免与上述司法解释产生法律适用上的冲突, 并使得某些特殊情形下对个人信息的合理使用缺乏法律依据。应当比照该司法解释的规定适当扩大个人信息合理使用的范围, 同时对各项合理使用权的行使标准和程序作出具体明确的配套制度安排, 兼顾用户个人信息权和社会公共利益之间的平衡。
参考文献
[1]徐亚文.试析人权语境下的公民网络信息安全保护[J].广州大学学报 (社会科学版) , 2017 (5) .
[2]丁道勤.上天入地, 还是度权量利——<网络安全法> (草案) 述评[J].中国矿业大学学报 (社会科学版) , 2016 (3) .
[3]龙卫球.网络安全立法的几个重点问题[J].网络空间战略论坛, 2016 (6) .
[4]王春晖.<网络安全法>六大法律制度解析[J].南京邮电大学学报 (自然科学版) , 2017 (2) .
[5]刘黎明.<网络安全法 (草案) >评析[J].上海政法学院学报, 2016 (9) .
