《網路安全法》築牢個人資訊保護的法律防線

近年來，我國資訊洩露事件層出不窮，資訊買賣日益猖獗，個人資訊保安面臨嚴峻挑戰。2016年11月7日，《網路安全法》正式出臺，對於加強個人資訊保護，完善我國個人資訊保護的法律體系具有重要意義。

一、個人資訊保安面臨嚴峻挑戰

(一)資訊洩露事件頻頻發生

近年來，我國資訊洩露事件屢見報端。2015年2月15日，桔子、錦江之星等7大酒店的數千萬條開房資訊被洩露，涉及住戶的姓名、家庭地址、電話、郵箱乃至信用卡後四位等敏感資訊;4月22日，30多個省市的社保系統、戶籍查詢系統等被曝存在高危漏洞，包括個人身份證、參保資訊、財務、薪酬、房屋等敏感資訊在內的5千多萬條社保使用者資訊可能被洩;2015年8月，線上票務網站大麥網被曝存在安全漏洞，600餘萬使用者賬號密碼遭到洩露在黑產論壇公開售賣。據《2015年第一季度網路詐騙犯罪資料研究報告》顯示，中國公民已經洩漏的個人資訊多達11.27億條。頻繁發生的資訊洩露事件嚴重威脅個人資訊保安。

(二)個人資訊過度收集屢禁不止

在當前共享經濟模式下，資訊資源就是財富。網路運營商、平臺服務商等相關企業為了掌握更大市場主動權，會通過各種渠道蒐集使用者個人隱私資料。一方面，企業以各種理由要求使用者提供手機號、姓名、生日、郵箱、地址等可能與服務不相關的隱私資訊;另一方面，某些企業甚至會在使用者不知情的情況下，利用後臺許可權讀取使用者通訊錄、通話記錄、GPS位置資訊等。相關報導顯示，Win10系統會預設收集使用者的瀏覽網頁、所在的位置、線上購物資訊甚至是輸入的文字等資訊。2016年8月，央視財經彙總了102款涉及私自採集個人隱私資料的惡意APP名單，阿里、百度、騰訊三大網際網路巨頭旗下的APP赫然在列。在大資料、雲端計算等資訊科技的支撐下，企業收集、儲存、處理資料的成本大大降低，這意味著資料在當下和日後都可能被進一步使用，個人隱私洩露的威脅持續存在。

(三)個人資訊非法買賣日益猖獗

在利益驅使下，一些不法分子大肆販賣個人資訊，從傳統的工商、銀行、電信、醫療等部門向教育、快遞、電商等各行各業迅速蔓延，涉及社會公眾工作、生活的方方面面，甚至形成了龐大的“灰色”產業鏈，社會危害嚴重。2014年12月，130萬條考研報名資料被曝在網上打包銷售;某快遞公司近百萬條快遞單個人資訊也曾在網路上公開出售，網購者的物流資訊、商品資訊更是不法分子交易的“熱門商品”;2016年4月，濟南20萬兒童資訊被打包出售，資訊精確到家庭門牌號。愈演愈烈的個人資訊非法買賣行為令廣大群眾在經濟、精神和名譽等方面遭受巨大損失。

(四)個人資訊濫用助長惡意違法行為

大規模的資訊洩露和資訊非法買賣助長了簡訊騷擾、電話詐騙等惡意違法行為，我國的個人資訊濫用已經成為一種社會公害。2016年第二季度，360獵網平臺共接到網路詐騙舉報5509起，報案總金額高達4524.8萬元。據中國網際網路協會發布的《中國網民權益保護調查報告2016》顯示，84%的網民曾親身感受到由於個人資訊洩露帶來的不良影響，37%的網民因網路詐騙而遭受經濟損失，近一年我國網民因垃圾資訊、詐騙資訊、個人資訊洩露等遭受的經濟損失高達915億元，人均損失133元。個人資訊的濫用已嚴重侵犯和損害了使用者的個人隱私和財產安全。

二、《網路安全法》重點解決個人資訊保護的痛點問題

(一)規範了相關網路安全監管部門的責權範圍

《網路安全法》第八條規定，國家網信部門負責統籌協調網路安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定，在各自職責範圍內負責網路安全保護和監督管理工作。這項規定有利於理順網路安全管理體制，建立權責分明、運轉高效的網路安全管理體制。根據該規定，中央網信辦為國家層面上的網路安全協調機構，公安部、工信部等涉網部門職責分明，有助於推動相關部門共同保障個人資訊保安。

(二)明確了個人資訊保護相關主體的法律責任

《網路安全法》規定，網路運營商應當建立健全使用者資訊保護制度，收集、使用個人資訊必須符合合法、正當、必要的原則，目的明確的原則，知情同意的原則等;同時還規定了網路運營商應遵守對收集資訊的安全保密原則、公民資訊境記憶體放原則、洩露報告制度等。對於關鍵資訊基礎設施運營者，要求其遵守公民資訊境記憶體放原則，確需向境外提供的資訊，應進行相應的安全評估。對於網路產品、服務的提供者，要求其收集個人資訊時應向使用者明示並取得同意，還要遵守相關公民個人資訊保護的規定。通過以上規定，進一步規範了網路運營商、關鍵資訊基礎設施運營者、網路產品、服務的提供者等相關資訊採集主體必須履行的法律責任，明確了個人資訊的使用權邊界，有助於從源頭上遏制非法使用個人資訊的行為。

(三)提高了個人對隱私資訊的管控程度

《網路安全法》規定，公民發現網路運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人資訊的，有權要求網路運營者刪除其個人資訊;發現網路運營者收集、儲存的其個人資訊有錯誤的，有權要求網路運營者予以更正。通過引入了刪除權和更正制度，進一步提高了個人對隱私資訊的管控程度。

(四)增強了針對侵犯個人資訊權益行為的威懾

一方面，《網路安全法》明確了對侵害公民個人資訊行為的懲處措施。網路運營者、網路產品或服務提供者以及關鍵資訊基礎設施運營者如未能依法保護公民個人資訊，最高可被處以50萬元罰款，甚至面臨停業整頓、關閉網站、撤銷相關業務許可或吊銷營業執照的處罰，直接負責的主管人員和其他直接責任人員也會被處以最高十萬元的罰款。另一方面，《網路安全法》客觀上增加了相關運營單位發生資訊保安事件的成本。相關運營單位在發生或者可能發生資訊洩露、毀損、丟失的情況時，應當立即採取補救措施，告知可能受到影響的使用者，並按照規定向有關主管部門報告。由於通知會產生很高的成本，發生洩露問題也會對企業聲譽產生極大影響，這就倒逼企業必須提高資訊保護能力，確保不會出現使用者個人資訊的洩露。

本文轉自d1net（轉載）