近年来,我国政府高度重视数据在经济新常态中推动国家现代化建设的基础性作用。中共中央办公厅、国务院办公厅于今年7月印发的《国家信息化发展战略纲要》明确指出,“信息资源日益成为重要的生产要素和社会财富。”在中央政府网站(http://www.gov.cn)的“政策”一栏中以“大数据”为关键词进行检索,一共返回556份国务院文件,覆盖各个领域。
在所有类型的数据中,个人信息由于明确指向或可识别出特定个人,被当做“皇冠上的明珠”。当下,信息革命的浪潮和全面铺开的数字化使得人们的生产生活越来越与互联网深度融合。在线下的各种场景逐渐搬到网上的同时,个人信息得以挣脱纸面的束缚,直接以比特的形式被海量地记录、传输、存储、使用等。经过数字化、网络化后,个人信息一方面继续保有“单独或者与其他信息结合识别”特定个人的能力,另一方面又能在现代计算和存储能力的支持下,价值得到进一步挖掘和释放。放眼全球,个人信息已成为今后数字经济中提升效率、支撑创新最重要的基本元素之一。
在全面拥抱个人信息数字化和网络化的同时,许多境内外的网络犯罪团伙已将目标瞄准了个人信息,窃取了数以亿计的个人信息,并形成了交易个人信息的地下黑产。他们利用个人信息与特定个人之间的紧密关系实施各种犯罪,例如以个人信息为基础的精准诈骗。除此之外,冒用个人网络身份更是直接造成了不可估量的经济损失。前段时间还发生了“徐玉玉案”等因个人信息泄漏而导致人身伤亡的惨剧。这些都给我们敲响了警钟。
个人信息的收集和使用与个人的权益息息相关,数字经济能否持续健康发展,在很大程度上取决于能不能在开发和利用个人信息的同时做到趋利避害。对此,《网络安全法》在第四章“网络信息安全”中用相当的篇幅对网络运营者处理个人信息的行为做出了规范,具体有以下五方面特点和创新:
一、系国内关于个人信息保护最为综合的权威规定
目前,我国尚未制定统一的个人信息保护法。在《网络安全法》出台之前,个人信息保护方面最主要的法律是2012年通过的全国人大常委会《关于加强网络信息保护的决定》和2013年通过的全国人大常委会《关于修改<中华人民共和国消费者权益保护法>的决定》,以及2009年通过的《刑法修正案(七)》和2015年通过的《刑法修正案(九)》。
《网络安全法》不仅继承了上述法律关于个人信息保护的主要条款内容,而且根据新的时代特征、发展需求和保护理念,创造性地增加了部分规定,例如最少够用原则(“网络运营者不得收集与其提供的服务无关的个人信息”)、个人信息共享的条件(“未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”)、个人的数据权利(“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正”)等。
二、明确个人信息保护的责任主体
《网络安全法》在“网络信息安全”这一章的开头,就明确提出了“谁收集,谁负责”的基本原则,将收集和使用个人信息的网络运营者,设定为个人信息保护的责任主体。法律规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”。按该条款的规定,无论是在防范内部人员倒卖个人信息,还是保障系统不被攻破导致信息泄露等方面,收集和使用个人信息的网络运营者都是第一责任主体。通过明确责任,一能避免个人信息泄露导致严重后果后“无人负责”的局面,二能倒逼网络运营者重视对其掌握的个人信息的保护工作。
三、和国际先进理念接轨
总的来说,《网络安全法》关于个人信息保护方面的规定,与现行国际规则及美欧个人信息保护方面的立法实现了理念上的接轨。
目前,全球公认的个人信息保护方面的主要法律文本有OECD隐私框架、APEC隐私框架、欧盟《通用数据保护条例》(General Data Protection Regulation)、欧美“隐私盾”协议(Privacy Shield)、美国“消费者隐私权法案(讨论稿)”(Consumer Privacy Bill of Rights Act of 2015)等。综合这些立法,可得出个人信息保护的主要原则,包括目的明确原则、同意和选择原则、最少够用原则、开放透明原则、质量保证原则、确保安全原则、主体参与原则、责任明确原则、披露限制原则等。
上述原则在《网络安全法》中均得到体现。例如,开放透明原则是指应以明确、易懂和合理的方式如实公示其收集或使用个人信息的目的、个人信息的收集和使用范围、个人信息安全保护措施等信息,接受公共监督。该原则具体化于《网络安全法》规定:网络运营者应“公开收集、使用规则,明示收集、使用信息的目的、方式和范围”。再如主体参与原则,相比国内现有的立法,《网络安全法》的一大亮点就是赋予个人在一定条件下要求删除和更正其个人信息的权利。
四、在个人信息保护和利用间实现平衡
在大数据和云计算的时代,包括个人信息在内的数据,只有充分地流动、共享、交易,才能实现集聚和规模效应,最大程度地发挥价值。但数据在流动、易手的同时,可能导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。如何实现两者的平衡是新时期个人信息保护的重要挑战之一。
对此,《网络安全法》首先在法律层面给予个人信息交易一定的空间,这是一个巨大的进步。《关于加强网络信息保护的决定》规定“不得出售”公民个人信息;而《网络安全法》规定“不得非法出售”公民个人信息,换句话说,按《网络安全法》的规定,在一定情形下是可以出售公民个人信息的,无疑给符合规定的个人信息交易开了绿灯,为我国大数据产业发展提供了空间。当然,交易的合规条件有待后续进一步的规定。
其次,《网络安全法》进一步规定了合法提供个人信息的情形,这也是一个重要的创新。法律规定,“未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”从条文理解,至少在两种情形中,可以合法对外提供个人信息:一是被收集者也就是个人的同意;二是将收集到的个人信息进行匿名化处理,使得无论是单独或者与其他信息相结合后,仍然无法识别特定个人且不能复原。
五、规定了个人信息安全事件发生后的强制告知和报告
《网络安全法》规定,“在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”。相比以往的法律规定,新增了个人信息安全事件发生后的强制告知和报告。
在全球范围看来,包括个人信息安全事件在内的网络安全事件的强制报告和告知,是近期的立法重点。许多国家和地区都注重通过强制对外报告和告知,进一步增强组织和机构的责任主体意识,敦促其认真对待保护个人信息的义务。在美国,联邦层面有健康保险携带和责任法案(HIPAA, Health Insurance Portability and Accountability Act)、金融业的格雷姆-里奇-比利雷法案(GLB Act, Gramm-Leach-Bliley Act)规定了数据安全事件强制告知和报告制度;此外,美国有47个州,以及哥伦比亚特区、关岛、波多黎各和美属维尔京群岛都通过了数据安全事件强制告知和报告法律。在欧盟,《通用数据保护条例》和欧盟网络信息安全指令(NIS Directive)也都规定了强制告知和报告的义务。此次,《网络安全法》吸纳了国外个人信息保护的先进经验。
2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上发表重要讲话,要求贯彻“以人民为中心”的思想,提出了“网络安全为人民、网络安全靠人民”的理念。《网络安全法》加强了对个人信息的保护,让人民安全地享用互联网带来的红利,是贯彻习近平总书记重要指示的具体体现。《网络安全法》的出台落实能够遏制个人信息滥用乱象,提升个人信息保护水平,最大程度地保障用户合法权益和社会公共利益。
(本文作者系数据保护与治理研究中心研究员)