2016国家网络安全宣传周期间,来自武汉多所学校的中小学生参观、体验了网络安全博览会。图/本刊记者 潘树琼

  当下,信息革命的浪潮和全面铺开的数字化使得人们的生产生活越来越与互联网深度融合。在线下的各种场景逐渐搬到网上的同时,个人信息得以挣脱纸面的束缚,直接以比特的形式被海量地记录、传输、存储和使用。经过数字化、网络化后,个人信息一方面继续保有“单独或者与其他信息结合识别”特定个人的能力,另一方面又能在现代计算和存储能力的支持下,价值得到进一步挖掘和释放。

  在全面拥抱个人信息数字化和网络化的同时,许多境内外的网络犯罪团伙已将目标瞄准了个人信息,窃取了数以亿计的个人信息,并形成了交易个人信息的地下黑产。他们利用个人信息与特定个人之间的紧密关系实施各种犯罪,例如以个人信息为基础的精准诈骗。除此之外,冒用个人网络身份更是直接造成了不可估量的经济损失。

  个人信息的收集和使用与个人的权益息息相关,数字经济能否持续健康发展,在很大程度上取决于能不能在开发和利用个人信息的同时做到趋利避害。对此,《网络安全法》在第四章“网络信息安全”中用相当大的篇幅对网络运营者处理个人信息的行为做出了规范,具体有以下五方面特点和创新。

    个人信息保护最为综合的权威规定

  目前,我国尚未制定统一的个人信息保护法。在《网络安全法》出台之前,个人信息保护方面最主要的法律是2012年通过的全国人大常委会《关于加强网络信息保护的决定》和2013年通过的全国人大常委会《关于修改<中华人民共和国消费者权益保护法>的决定》,以及2009年通过的《刑法修正案(七)》和2015年通过的《刑法修正案(九)》。

  《网络安全法》不仅继承了上述法律关于个人信息保护的主要条款内容,而且根据新的时代特征、发展需求和保护理念,创造性地增加了部分规定,例如最少够用原则(“网络运营者不得收集与其提供的服务无关的个人信息”)、个人信息共享的条件(“未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”)、个人的数据权利(“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正”)等。

    明确个人信息保护的责任主体

  《网络安全法》在“网络信息安全”这一章的开头,就明确提出了“谁收集,谁负责”的基本原则,将收集和使用个人信息的网络运营者,设定为个人信息保护的责任主体。法律规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”按该条款的规定,无论是在防范内部人员倒卖个人信息,还是保障系统不被攻破导致信息泄露等方面,收集和使用个人信息的网络运营者都是第一责任主体。通过明确责任,一能避免个人信息泄露导致严重后果后“无人负责”的局面,二能倒逼网络运营者重视对其掌握的个人信息的保护工作。

    接轨国际先进理念

  目前,全球公认的个人信息保护方面的主要法律文本有OECD隐私框架、APEC隐私框架、欧盟《通用数据保护条例》、欧美“隐私盾”协议、美国“消费者隐私权法案(讨论稿)”等。综合这些立法,可得出个人信息保护的主要原则,包括目的明确原则、同意和选择原则、最少够用原则、开放透明原则、质量保证原则、确保安全原则、主体参与原则、责任明确原则、披露限制原则等。

  上述原则在《网络安全法》中均得到体现。例如,开放透明原则是指应以明确、易懂和合理的方式如实公示其收集或使用个人信息的目的、个人信息的收集和使用范围、个人信息安全保护措施等信息,接受公共监督。该原则具体化于《网络安全法》规定:网络运营者应“公开收集、使用规则,明示收集、使用信息的目的、方式和范围”。

    实现个人信息保护和利用的平衡

  在大数据和云计算时代,包括个人信息在内的数据,只有充分地流动、共享、交易,才能实现集聚和规模效应,最大程度地发挥价值。但数据在流动、易手的同时,可能导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。如何实现两者的平衡是新时期个人信息保护的重要挑战之一。

  对此,《网络安全法》首先在法律层面给予个人信息交易一定的空间,这是一个巨大的进步。《关于加强网络信息保护的决定》规定“不得出售”公民个人信息;而《网络安全法》规定“不得非法出售”公民个人信息,换句话说,按《网络安全法》的规定,在一定情形下是可以出售公民个人信息的,无疑给符合规定的个人信息交易开了绿灯,为我国大数据产业发展提供了空间。

  其次,《网络安全法》进一步规定了合法提供个人信息的情形,这也是一个重要的创新。法律规定,“未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”从条文理解,至少在两种情形中,可以合法对外提供个人信息:一是被收集者也就是个人的同意;二是将收集到的个人信息进行匿名化处理,使得无论是单独或者与其他信息相结合后,仍然无法识别特定个人且不能复原。

    新增个人信息强制告知和报告

  《网络安全法》规定,“在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”。相比以往的法律规定,新增了个人信息安全事件发生后的强制告知和报告。

  在全球范围看来,包括个人信息安全事件在内的网络安全事件的强制报告和告知,是近期的立法重点。许多国家和地区都注重通过强制对外报告和告知,进一步增强组织和机构的责任主体意识,敦促其认真对待保护个人信息的义务。在美国,联邦层面有健康保险携带和责任法案、金融业的格雷姆-里奇-比利雷法案,规定了数据安全事件强制告知和报告制度。在欧盟,《通用数据保护条例》和欧盟网络信息安全指令也都规定了强制告知和报告的义务。

  《网络安全法》加强了对个人信息的保护,让人民安全地享用互联网带来的红利,是贯彻习近平总书记重要指示的具体体现。《网络安全法》的出台落实能够遏制个人信息滥用乱象,提升个人信息保护水平,最大程度地保障用户合法权益和社会公共利益。(洪延青:四川大学网络空间安全研究院)