自2017年6月1日起,我国首部《网络安全法》正式施行,这是我国网信领域的重大事件。《网络安全法》是我国网络安全领域的基础性法律,充分体现了信息化发展与网络安全并重的安全发展观,为全球互联网的治理贡献了中国智慧。
为保护公民个人信息安全,防止公民个人信息被窃取、泄露和非法使用,依法保障公民个人网络信息有序安全流动,《网络安全法》第四章在全国人大常委会《关于加强网络信息保护的决定》的基础上用较大篇幅规定了公民个人信息保护的基本法律制度,尤其突出了网络运营者对个人信息保护的责任与义务。
近年来,一些网络运营者和其他商业机构对个人信息的收集、使用、加工、传输,已经到了公开化、常态化、系统化阶段,这些网络运营商掌握了海量的公民个人信息,一旦泄露将造成恶劣的社会影响和严重后果。尽管有不少网络运营者是因为履行职责或者提供服务的需要获取了公民的个人信息,但是他们对公民个人信息的收集、使用、加工、利用的程序仍有悖于《网络安全法》的相关规定,必须引起高度重视。
收集和使用公民个人信息必须经用户知情同意
《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。上述条款应当重点关注四个方面:
首先,本条规定指涉的网络运营者包括两大类,第一大类是电信业务经营者,其中包括三类经营者:基础电信业务经营者、增值电信业务经营者和虚拟电信业务经营者;第二大类是互联网信息服务提供者,该类主体又分为两类,一类是经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动;另一类是非经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。
其次,网络运营者,无论是经营性或非经营性,收集、使用个人信息时,应遵循“合法、正当、必要”原则,并在其经营或者服务的场所和网站公开其收集和使用个人信息的规则,该规则包括但不限于使用信息的目的、方式和范围等。
再次,网络经营者收集和使用用户个人信息,必须经被收集者同意,并应以邀约和承诺的方式与被收集者订立合同,明确约定收集、使用信息的目的、方式、范围、时限和采取的安全保护措施等,以及泄露、毁损、丢失用户个人信息的法律责任等;网络运营商单方面发布的网络电子格式合同,合同的拟定者必须遵循公平原则,不得利用网络运营者的优势地位侵害公民个人的信息权利。笔者建议,应当按照《网络安全法》对网络运营者的要求,由国家网信部门牵头统一制定《网络用户个人信息保护合同示范文本》,并根据发生的情况不断地进行更新。
最后,网络运营者收集和使用公民个人信息应当符合两个条件,第一是依法,这里的“法”主要指两类:法律或行政法规;第二是收集和使用公民个人信息,应当依据与公民个人订立的合同,同时该信息必须与网络运营者从事经营的服务相关联,比如电信运营商在依法进行实名制登记时,依法对公民个人身份信息的收集,如姓名、性别、年龄、家庭住址、电话号码等身份信息,如果电信运营商要求收集和处理公民个人的健康和基因信息,就违反了“合法、正当、必要”原则。
个人对其信息具有删除权和更正权
《网络安全法》第四十三条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
笔者认为,我国《网络安全法》中的“删除权”实质上就类似于欧盟个人数据立法中表述的“被遗忘权(right to oblivion)”。2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护条例》。在这部堪称史上最严格的数据保护条例中,欧盟对个人信息保护及其监管达到了前所未有的高度,其中第17条第1款规定,被遗忘权和信息数据删除权指的是信息数据主体享有网络服务提供者处理与其相关的个人信息和避免这些个人信息进行传播的权利。
我国《网络安全法》规定的公民对其信息的删除权请求权主要有两种情形,一是当事人发现网络运营商违反法律、行政法规或违反双方的约定收集和使用其信息;二是网络运营商所收集的个人信息的特定目的已经消灭或双方约定的期限已经届满,在这两种情形下,当事人均有权要求网络运营商删除和停止使用其个人信息。公民对其错误信息的更正权是指,当事人发现网络运营商收集、存储的其个人信息有错误或者有缺失的,有权要求其补充或更正。
《网络安全法》要求网络运营者必须建立相应的网络信息安全投诉和举报制度,并公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。考虑到网络运营商主动删除或更正其违法和违约收集个人信息或主动纠正个人的错误信息具有一定的成本,对此,《网络安全法》规定的“删除权”或“更正权”制度基本上采用了“避风港”规则,即在网络运营商被通知前提下的“删除”或“更正”。
网络运营者拒不履行管理义务将触犯《刑法》
针对一些网络服务提供者不履行网络安全管理义务,造成严重后果的情况,2016年出台的《刑法修正案(九)》专门设定了一个新的罪名“拒不履行信息网络安全管理义务罪”,增加规定:网络服务提供者不履行网络安全管理义务,经监管部门通知采取改正措施而拒绝执行,致使违法信息大量传播的,致使用户信息泄露,造成严重后果的,或者致使刑事犯罪证据灭失的,严重妨害司法机关追究犯罪的,追究刑事责任。《刑法》第二百八十六条之一规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。
2017年6月1日,最高人民法院和最高人民检察院公布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》实施,“两高解释”第九条进一步明确,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照《刑法》第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
“两高解释”同时明确了对侵犯公民个人信息犯罪的单位刑事责任,我国《刑法》对单位犯罪在绝大部分情况下采取两罚制,一是对单位的罚金,二是对直接责任人的刑罚。“两高解释”在两罚制中,对单位是判处罚金,判处罚金采取无限额罚金制,即对罚金的数额未作规定;对直接负责的主管人员和直接责任人员是判处刑罚。“两高解释”第七条规定,对单位触犯《刑法》第二百五十三条之一规定之罪的,依照对相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。