《网络安全法》筑牢个人信息保护的法律防线

作者:赛迪 李建武 来源:理论网
2016-11-20 09:16:40

作者:中国法学会法律信息部 赛迪 李建武

近年来,我国信息泄露事件层出不穷,信息买卖日益猖獗,个人信息安全面临严峻挑战。2016年11月7日,《网络安全法》正式出台,对于加强个人信息保护,完善我国个人信息保护的法律体系具有重要意义。

一、个人信息安全面临严峻挑战

(一)信息泄露事件频频发生

近年来,我国信息泄露事件屡见报端。2015年2月15日,桔子、锦江之星等7大酒店的数千万条开房信息被泄露,涉及住户的姓名、家庭地址、电话、邮箱乃至信用卡后四位等敏感信息;4月22日,30多个省市的社保系统、户籍查询系统等被曝存在高危漏洞,包括个人身份证、参保信息、财务、薪酬、房屋等敏感信息在内的5千多万条社保用户信息可能被泄;2015年8月,线上票务网站大麦网被曝存在安全漏洞,600余万用户账号密码遭到泄露在黑产论坛公开售卖。据《2015年第一季度网络诈骗犯罪数据研究报告》显示,中国公民已经泄漏的个人信息多达11.27亿条。频繁发生的信息泄露事件严重威胁个人信息安全。

(二)个人信息过度收集屡禁不止

在当前共享经济模式下,信息资源就是财富。网络运营商、平台服务商等相关企业为了掌握更大市场主动权,会通过各种渠道搜集用户个人隐私数据。一方面,企业以各种理由要求用户提供手机号、姓名、生日、邮箱、地址等可能与服务不相关的隐私信息;另一方面,某些企业甚至会在用户不知情的情况下,利用后台权限读取用户通讯录、通话记录、GPS位置信息等。相关报道显示,Win10系统会默认收集用户的浏览网页、所在的位置、在线购物信息甚至是输入的文字等信息。2016年8月,央视财经汇总了102款涉及私自采集个人隐私数据的恶意APP名单,阿里、百度、腾讯三大互联网巨头旗下的APP赫然在列。在大数据、云计算等信息技术的支撑下,企业收集、保存、处理数据的成本大大降低,这意味着数据在当下和日后都可能被进一步使用,个人隐私泄露的威胁持续存在。

(三)个人信息非法买卖日益猖獗

在利益驱使下,一些不法分子大肆贩卖个人信息,从传统的工商、银行、电信、医疗等部门向教育、快递、电商等各行各业迅速蔓延,涉及社会公众工作、生活的方方面面,甚至形成了庞大的“灰色”产业链,社会危害严重。2014年12月,130万条考研报名数据被曝在网上打包销售;某快递公司近百万条快递单个人信息也曾在网络上公开出售,网购者的物流信息、商品信息更是不法分子交易的“热门商品”;2016年4月,济南20万儿童信息被打包出售,信息精确到家庭门牌号。愈演愈烈的个人信息非法买卖行为令广大群众在经济、精神和名誉等方面遭受巨大损失。

(四)个人信息滥用助长恶意违法行为

大规模的信息泄露和信息非法买卖助长了短信骚扰、电话诈骗等恶意违法行为,我国的个人信息滥用已经成为一种社会公害。2016年第二季度,360猎网平台共接到网络诈骗举报5509起,报案总金额高达4524.8万元。据中国互联网协会发布的《中国网民权益保护调查报告2016》显示,84%的网民曾亲身感受到由于个人信息泄露带来的不良影响,37%的网民因网络诈骗而遭受经济损失,近一年我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失高达915亿元,人均损失133元。个人信息的滥用已严重侵犯和损害了用户的个人隐私和财产安全。

二、《网络安全法》重点解决个人信息保护的痛点问题

(一)规范了相关网络安全监管部门的责权范围

《网络安全法》第八条规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。这项规定有利于理顺网络安全管理体制,建立权责分明、运转高效的网络安全管理体制。根据该规定,中央网信办为国家层面上的网络安全协调机构,公安部、工信部等涉网部门职责分明,有助于推动相关部门共同保障个人信息安全。

(二)明确了个人信息保护相关主体的法律责任

《网络安全法》规定,网络运营商应当建立健全用户信息保护制度,收集、使用个人信息必须符合合法、正当、必要的原则,目的明确的原则,知情同意的原则等;同时还规定了网络运营商应遵守对收集信息的安全保密原则、公民信息境内存放原则、泄露报告制度等。对于关键信息基础设施运营者,要求其遵守公民信息境内存放原则,确需向境外提供的信息,应进行相应的安全评估。对于网络产品、服务的提供者,要求其收集个人信息时应向用户明示并取得同意,还要遵守相关公民个人信息保护的规定。通过以上规定,进一步规范了网络运营商、关键信息基础设施运营者、网络产品、服务的提供者等相关信息采集主体必须履行的法律责任,明确了个人信息的使用权边界,有助于从源头上遏制非法使用个人信息的行为。

(三)提高了个人对隐私信息的管控程度

《网络安全法》规定,公民发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。通过引入了删除权和更正制度,进一步提高了个人对隐私信息的管控程度。

(四)增强了针对侵犯个人信息权益行为的威慑

一方面,《网络安全法》明确了对侵害公民个人信息行为的惩处措施。网络运营者、网络产品或服务提供者以及关键信息基础设施运营者如未能依法保护公民个人信息,最高可被处以50万元罚款,甚至面临停业整顿、关闭网站、撤销相关业务许可或吊销营业执照的处罚,直接负责的主管人员和其他直接责任人员也会被处以最高十万元的罚款。另一方面,《网络安全法》客观上增加了相关运营单位发生信息安全事件的成本。相关运营单位在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,告知可能受到影响的用户,并按照规定向有关主管部门报告。由于通知会产生很高的成本,发生泄露问题也会对企业声誉产生极大影响,这就倒逼企业必须提高信息保护能力,确保不会出现用户个人信息的泄露。