“網絡安全為人民”的實在舉措

——評《網絡安全法》關于個人信息保護的有關規定

近年來，我國政府高度重視數據在經濟新常態中推動國家現代化建設的基礎性作用。中共中央辦公廳、國務院辦公廳于今年7月印發的《國家信息化發展戰略綱要》明確指出，“信息資源日益成為重要的生產要素和社會財富。”在中央政府網站（http://www.gov.cn）的“政策”一欄中以“大數據”為關鍵詞進行檢索，一共返回556份國務院文件，覆蓋各個領域。

在所有類型的數據中，個人信息由于明確指向或可識別出特定個人，被當做“皇冠上的明珠”。當下，信息革命的浪潮和全面鋪開的數字化使得人們的生產生活越來越與互聯網深度融合。在線下的各種場景逐漸搬到網上的同時，個人信息得以掙脫紙面的束縛，直接以比特的形式被海量地記錄、傳輸、存儲、使用等。經過數字化、網絡化后，個人信息一方面繼續保有“單獨或者與其他信息結合識別”特定個人的能力，另一方面又能在現代計算和存儲能力的支持下，價值得到進一步挖掘和釋放。放眼全球，個人信息已成為今后數字經濟中提升效率、支撐創新最重要的基本元素之一。

在全面擁抱個人信息數字化和網絡化的同時，許多境內外的網絡犯罪團伙已將目標瞄準了個人信息，竊取了數以億計的個人信息，并形成了交易個人信息的地下黑產。他們利用個人信息與特定個人之間的緊密關系實施各種犯罪，例如以個人信息為基礎的精準詐騙。除此之外，冒用個人網絡身份更是直接造成了不可估量的經濟損失。前段時間還發生了“徐玉玉案”等因個人信息泄漏而導致人身傷亡的慘劇。這些都給我們敲響了警鐘。

個人信息的收集和使用與個人的權益息息相關，數字經濟能否持續健康發展，在很大程度上取決于能不能在開發和利用個人信息的同時做到趨利避害。對此，《網絡安全法》在第四章“網絡信息安全”中用相當的篇幅對網絡運營者處理個人信息的行為做出了規范，具體有以下五方面特點和創新：

一、系國內關于個人信息保護最為綜合的權威規定

目前，我國尚未制定統一的個人信息保護法。在《網絡安全法》出臺之前，個人信息保護方面最主要的法律是2012年通過的全國人大常委會《關于加強網絡信息保護的決定》和2013年通過的全國人大常委會《關于修改<中華人民共和國消費者權益保護法>的決定》，以及2009年通過的《刑法修正案（七）》和2015年通過的《刑法修正案（九）》。

《網絡安全法》不僅繼承了上述法律關于個人信息保護的主要條款內容，而且根據新的時代特征、發展需求和保護理念，創造性地增加了部分規定，例如最少夠用原則（“網絡運營者不得收集與其提供的服務無關的個人信息”）、個人信息共享的條件（“未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外”）、個人的數據權利（“個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息；發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正”）等。

二、明確個人信息保護的責任主體

《網絡安全法》在“網絡信息安全”這一章的開頭，就明確提出了“誰收集，誰負責”的基本原則，將收集和使用個人信息的網絡運營者，設定為個人信息保護的責任主體。法律規定：“網絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度”。按該條款的規定，無論是在防范內部人員倒賣個人信息，還是保障系統不被攻破導致信息泄露等方面，收集和使用個人信息的網絡運營者都是第一責任主體。通過明確責任，一能避免個人信息泄露導致嚴重后果后“無人負責”的局面，二能倒逼網絡運營者重視對其掌握的個人信息的保護工作。

三、和國際先進理念接軌

總的來說，《網絡安全法》關于個人信息保護方面的規定，與現行國際規則及美歐個人信息保護方面的立法實現了理念上的接軌。

目前，全球公認的個人信息保護方面的主要法律文本有OECD隱私框架、APEC隱私框架、歐盟《通用數據保護條例》（General Data Protection Regulation）、歐美“隱私盾”協議（Privacy Shield）、美國“消費者隱私權法案（討論稿）”（Consumer Privacy Bill of Rights Act of 2015）等。綜合這些立法，可得出個人信息保護的主要原則，包括目的明確原則、同意和選擇原則、最少夠用原則、開放透明原則、質量保證原則、確保安全原則、主體參與原則、責任明確原則、披露限制原則等。

上述原則在《網絡安全法》中均得到體現。例如，開放透明原則是指應以明確、易懂和合理的方式如實公示其收集或使用個人信息的目的、個人信息的收集和使用范圍、個人信息安全保護措施等信息，接受公共監督。該原則具體化于《網絡安全法》規定：網絡運營者應“公開收集、使用規則，明示收集、使用信息的目的、方式和范圍”。再如主體參與原則，相比國內現有的立法，《網絡安全法》的一大亮點就是賦予個人在一定條件下要求刪除和更正其個人信息的權利。

四、在個人信息保護和利用間實現平衡

在大數據和云計算的時代，包括個人信息在內的數據，只有充分地流動、共享、交易，才能實現集聚和規模效應，最大程度地發揮價值。但數據在流動、易手的同時，可能導致個人信息主體及收集、使用個人信息的組織和機構喪失對個人信息的控制能力，造成個人信息擴散范圍和用途的不可控。如何實現兩者的平衡是新時期個人信息保護的重要挑戰之一。

對此，《網絡安全法》首先在法律層面給予個人信息交易一定的空間，這是一個巨大的進步。《關于加強網絡信息保護的決定》規定“不得出售”公民個人信息；而《網絡安全法》規定“不得非法出售”公民個人信息，換句話說，按《網絡安全法》的規定，在一定情形下是可以出售公民個人信息的，無疑給符合規定的個人信息交易開了綠燈，為我國大數據產業發展提供了空間。當然，交易的合規條件有待后續進一步的規定。

其次，《網絡安全法》進一步規定了合法提供個人信息的情形，這也是一個重要的創新。法律規定，“未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。”從條文理解，至少在兩種情形中，可以合法對外提供個人信息：一是被收集者也就是個人的同意；二是將收集到的個人信息進行匿名化處理，使得無論是單獨或者與其他信息相結合后，仍然無法識別特定個人且不能復原。

五、規定了個人信息安全事件發生后的強制告知和報告

《網絡安全法》規定，“在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告”。相比以往的法律規定，新增了個人信息安全事件發生后的強制告知和報告。

在全球范圍看來，包括個人信息安全事件在內的網絡安全事件的強制報告和告知，是近期的立法重點。許多國家和地區都注重通過強制對外報告和告知，進一步增強組織和機構的責任主體意識，敦促其認真對待保護個人信息的義務。在美國，聯邦層面有健康保險攜帶和責任法案（HIPAA, Health Insurance Portability and Accountability Act）、金融業的格雷姆-里奇-比利雷法案（GLB Act, Gramm-Leach-Bliley Act）規定了數據安全事件強制告知和報告制度；此外，美國有47個州，以及哥倫比亞特區、關島、波多黎各和美屬維爾京群島都通過了數據安全事件強制告知和報告法律。在歐盟，《通用數據保護條例》和歐盟網絡信息安全指令（NIS Directive）也都規定了強制告知和報告的義務。此次，《網絡安全法》吸納了國外個人信息保護的先進經驗。

2016年4月19日，習近平總書記在網絡安全和信息化工作座談會上發表重要講話，要求貫徹“以人民為中心”的思想，提出了“網絡安全為人民、網絡安全靠人民”的理念。《網絡安全法》加強了對個人信息的保護，讓人民安全地享用互聯網帶來的紅利，是貫徹習近平總書記重要指示的具體體現。《網絡安全法》的出臺落實能夠遏制個人信息濫用亂象，提升個人信息保護水平，最大程度地保障用戶合法權益和社會公共利益。（數據保護與治理研究中心研究員 洪延青）