網路運營者是個人資訊保護的第一責任人

自2017年6月1日起，我國首部《網路安全法》正式施行，這是我國網信領域的重大事件。《網路安全法》是我國網路安全領域的基礎性法律，充分體現了資訊化發展與網路安全並重的安全發展觀，為全球網際網路的治理貢獻了中國智慧。

為保護公民個人資訊保安，防止公民個人資訊被竊取、洩露和非法使用，依法保障公民個人網路資訊有序安全流動，《網路安全法》第四章在全國人大常委會《關於加強網路資訊保護的決定》的基礎上用較大篇幅規定了公民個人資訊保護的基本法律制度，尤其突出了網路運營者對個人資訊保護的責任與義務。

近年來，一些網路運營者和其他商業機構對個人資訊的收集、使用、加工、傳輸，已經到了公開化、常態化、系統化階段，這些網路運營商掌握了海量的公民個人資訊，一旦洩露將造成惡劣的社會影響和嚴重後果。儘管有不少網路運營者是因為履行職責或者提供服務的需要獲取了公民的個人資訊，但是他們對公民個人資訊的收集、使用、加工、利用的程式仍有悖於《網路安全法》的相關規定，必須引起高度重視。

收集和使用公民個人資訊必須經使用者知情同意

《網路安全法》第四十一條規定，網路運營者收集、使用個人資訊，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用資訊的目的、方式和範圍，並經被收集者同意。網路運營者不得收集與其提供的服務無關的個人資訊，不得違反法律、行政法規的規定和雙方的約定收集、使用個人資訊，並應當依照法律、行政法規的規定和與使用者的約定，處理其儲存的個人資訊。上述條款應當重點關注四個方面：

首先，本條規定指涉的網路運營者包括兩大類，第一大類是電信業務經營者，其中包括三類經營者：基礎電信業務經營者、增值電信業務經營者和虛擬電信業務經營者；第二大類是網際網路資訊服務提供者，該類主體又分為兩類，一類是經營性網際網路資訊服務，是指通過網際網路向上網使用者有償提供資訊或者網頁製作等服務活動；另一類是非經營性網際網路資訊服務，是指通過網際網路向上網使用者無償提供具有公開性、共享性資訊的服務活動。

其次，網路運營者，無論是經營性或非經營性，收集、使用個人資訊時，應遵循“合法、正當、必要”原則，並在其經營或者服務的場所和網站公開其收集和使用個人資訊的規則，該規則包括但不限於使用資訊的目的、方式和範圍等。

再次，網路經營者收集和使用使用者個人資訊，必須經被收集者同意，並應以邀約和承諾的方式與被收集者訂立合同，明確約定收集、使用資訊的目的、方式、範圍、時限和採取的安全保護措施等，以及洩露、毀損、丟失使用者個人資訊的法律責任等；網路運營商單方面釋出的網路電子格式合同，合同的擬定者必須遵循公平原則，不得利用網路運營者的優勢地位侵害公民個人的資訊權利。筆者建議，應當按照《網路安全法》對網路運營者的要求，由國家網信部門牽頭統一制定《網路使用者個人資訊保護合同示範文字》，並根據發生的情況不斷地進行更新。

最後，網路運營者收集和使用公民個人資訊應當符合兩個條件，第一是依法，這裡的“法”主要指兩類：法律或行政法規；第二是收集和使用公民個人資訊，應當依據與公民個人訂立的合同，同時該資訊必須與網路運營者從事經營的服務相關聯，比如電信運營商在依法進行實名制登記時，依法對公民個人身份資訊的收集，如姓名、性別、年齡、家庭住址、電話號碼等身份資訊，如果電信運營商要求收集和處理公民個人的健康和基因資訊，就違反了“合法、正當、必要”原則。

個人對其資訊具有刪除權和更正權

《網路安全法》第四十三條規定，個人發現網路運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人資訊的，有權要求網路運營者刪除其個人資訊；發現網路運營者收集、儲存的其個人資訊有錯誤的，有權要求網路運營者予以更正。網路運營者應當採取措施予以刪除或者更正。

筆者認為，我國《網路安全法》中的“刪除權”實質上就類似於歐盟個人資料立法中表述的“被遺忘權（right to oblivion）”。2016年4月14日，歐洲議會投票通過了商討四年的《一般資料保護條例》。在這部堪稱史上最嚴格的資料保護條例中，歐盟對個人資訊保護及其監管達到了前所未有的高度，其中第17條第1款規定，被遺忘權和資訊資料刪除權指的是資訊資料主體享有網路服務提供者處理與其相關的個人資訊和避免這些個人資訊進行傳播的權利。

我國《網路安全法》規定的公民對其資訊的刪除權請求權主要有兩種情形，一是當事人發現網路運營商違反法律、行政法規或違反雙方的約定收集和使用其資訊；二是網路運營商所收集的個人資訊的特定目的已經消滅或雙方約定的期限已經屆滿，在這兩種情形下，當事人均有權要求網路運營商刪除和停止使用其個人資訊。公民對其錯誤資訊的更正權是指，當事人發現網路運營商收集、儲存的其個人資訊有錯誤或者有缺失的，有權要求其補充或更正。

《網路安全法》要求網路運營者必須建立相應的網路資訊保安投訴和舉報制度，並公佈投訴、舉報方式等資訊，及時受理並處理有關網路資訊保安的投訴和舉報。考慮到網路運營商主動刪除或更正其違法和違約收集個人資訊或主動糾正個人的錯誤資訊具有一定的成本，對此，《網路安全法》規定的“刪除權”或“更正權”制度基本上採用了“避風港”規則，即在網路運營商被通知前提下的“刪除”或“更正”。

網路運營者拒不履行管理義務將觸犯《刑法》

針對一些網路服務提供者不履行網路安全管理義務，造成嚴重後果的情況，2016年出臺的《刑法修正案（九）》專門設定了一個新的罪名“拒不履行資訊網路安全管理義務罪”，增加規定：網路服務提供者不履行網路安全管理義務，經監管部門通知採取改正措施而拒絕執行，致使違法資訊大量傳播的，致使使用者資訊洩露，造成嚴重後果的，或者致使刑事犯罪證據滅失的，嚴重妨害司法機關追究犯罪的，追究刑事責任。《刑法》第二百八十六條之一規定，網路服務提供者不履行法律、行政法規規定的資訊網路安全管理義務，經監管部門責令採取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，並處或者單處罰金：（一）致使違法資訊大量傳播的；（二）致使使用者資訊洩露，造成嚴重後果的；（三）致使刑事案件證據滅失，情節嚴重的；（四）有其他嚴重情節的。

2017年6月1日，最高人民法院和最高人民檢察院公佈的《關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》實施，“兩高解釋”第九條進一步明確，網路服務提供者拒不履行法律、行政法規規定的資訊網路安全管理義務，經監管部門責令採取改正措施而拒不改正，致使使用者的公民個人資訊洩露，造成嚴重後果的，應當依照《刑法》第二百八十六條之一的規定，以拒不履行資訊網路安全管理義務罪定罪處罰。

“兩高解釋”同時明確了對侵犯公民個人資訊犯罪的單位刑事責任，我國《刑法》對單位犯罪在絕大部分情況下采取兩罰制，一是對單位的罰金，二是對直接責任人的刑罰。“兩高解釋”在兩罰制中，對單位是判處罰金，判處罰金採取無限額罰金制，即對罰金的數額未作規定；對直接負責的主管人員和直接責任人員是判處刑罰。“兩高解釋”第七條規定，對單位觸犯《刑法》第二百五十三條之一規定之罪的，依照對相應自然人犯罪的定罪量刑標準，對直接負責的主管人員和其他直接責任人員定罪處罰，並對單位判處罰金。

本文轉自d1net（轉載）