为了配合《网络安全法》的宣传与贯彻,普及我国首部网络安全法,笔者将对《网络安全法》中的重要法律制度进行系列解读,本期解读:个人信息保护法律制度。
台湾学者朱柏松教授认为,数据乃是指一定事实或状态的存在或者记录,例如未经过处理的原始数值或文字即属之,其性质上属于客观、静态存在的问题;信息则系基于特定目标的,对数据加以整理,甚至建立档案,性质上属于主观且需要经动态数据处理的问题。笔者认为,网络法中的“个人数据”与“个人信息”有所不同,前者是附着在电子信息系统载体的客观事物记录,是未经过处理的个人原始记录,其不能脱离电子信息系统载体而独立存在,如个人体检在医院电子信息系统留下的原始记录;后者是指数据经过加工处理后,形成的具有使用价值的内容——信息,可以脱离电子信息载体而独立存在,如个人体检的电子数据经过医生的分析和系统的处理,形成的具有使用价值的体检报告,其存在的形式可以使电子状态,也可以是纸质状态。由此可以得出:个人信息=个人数据+分析处理。
近十几年,我国侵犯个人信息的违法犯罪案件逐年增加,据中国互联网协会发布的《2016中国网民权益保护调查报告》显示,84%的网民曾亲身感受到由于个人信息泄露带来的不良影响。虽然上述法律、法规、规章和司法解释对保护我国公民的个人信息,打击侵犯个人信息的违法犯罪行为起到了一定的遏制作用,但仍然缺乏系统性、规范性和全局性,无法应对司法实践中日益出现的各类新型侵犯个人信息和隐私的违法犯罪行为。为此,出台专门的《个人信息保护法》呼声日益强烈。在这样的背景下,为保护公民个人信息安全,防止公民个人信息被窃取、泄露和非法使用,依法保障公民个人网络信息有序安全的流动,《网络安全法》第四章在全国人大常委会《关于加强网络信息保护的决定》的基础上用较大的篇幅专章规定了公民个人信息保护的基本法律制度,尤其突出了网络运营商对个人信息保护的责任与义务,具有四大亮点:
2.泄露、损坏、丢失个人信息的告知和报告制度。《网络安全法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
该条为网络运营者设定了两项禁止性规定,一是不得泄露、篡改、毁损其收集的个人信息;二是未经被收集者同意,不得向他人提供个人信息。更重要的是确定了,发生或者可能发生个人信息泄露、毁损、丢失的情况下应当采取的补救、告知和报告制度。这两项禁止性规定对网络经营者而言会产生两项巨大的成本,一是声誉的损害,二是财务的损失,因此网络运营者必须采取“事先防范、事中控制和事后救济”三位一体的防护措施,关键是“事先防范”措施,确保不发生用户个人信息大面积泄露的事件。
3.个人对其信息的删除权和更正权制度。《网络安全法》第四十三条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
我国《网络安全法》规定的公民对其信息的删除权请求权主要有两种情形,一是当事人发现网络运营商违反法律、行政法规或违反双方的约定收集和使用其信息;二是网络运营商所收集的个人信息的特定目的已经消灭或双方约定的期限已经届满,在这两种情形下,当事人均有权要求网络运营商删除和停止使用其个人信息。公民对其错误信息的更正权是指,当事人发现网络运营商收集、存储的其个人信息有错误或者有缺失的,有权要求其补充或更正。
《网络安全法》要求网络运营者必须建立相应的网络信息安全投诉和举报制度,并公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。考虑到网络运营商主动删除或更正其违法和违约收集个人信息或主动纠正个人的错误信息具有一定的成本,对此《网络安全法》规定的“删除权”或“更正权”制度基本上采用了“避风港”规则,即在网络运营商被通知前提下的“删除”或“更正”——“通知-删除或更正”,这是《网络安全法》对网络运营商的一种宽容和保护,目的是为我国互联网产业的发展提供一个宽松的“避风港”环境,从而促进我国网信事业的健康快速发展。
4.网络安全监督管理机构及其工作人员对公民个人信息、隐私和商业秘密的保密制度。《网络安全法》第四十五条规定,依法负有网络安全监督管理职责的部门及其工作人员,对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。该条重点强调了对个人信息私权的保护。
从法律属性看,公民个人信息的保护应当严格区分“个人信息权”与“个人隐私权”。王利明教授认为,个人信息权和隐私权都是人格权,但两者之间仍然存在区别。隐私权是一种精神性的人格权,而个人信息权在性质上属于一种集人格利益与财产利益于一体的综合性权利。从精神性人格权的属性研究,“隐私”是与公共利益、群众利益无关的,为当事人不愿意他人知道或他人不便知道的私人信息,当事人不愿意他人干涉或他人不便干涉的私人活动,当事人不愿意他人侵入或他人不便侵入的私人空间。
长期以来,我国的民事立法上一直没有把隐私权作为一项独立的基本的公民权利来加以直接保护,将公民隐私权归入名誉权中进行间接保护,因此导致我国公民个人隐私权的保护一直未能得到有效重视。事实上,名誉权与隐私权是两种完全不同的概念,两项权利应该是并列关系而不是包含关系。笔者认为,当前和未来一段时期我国个人信息安全保护边界的基本要义是在确保基本个人人格权和隐私权不受非法侵害的基础上,促进个人信息资源在“合法、正当、必要”法定原则的基础上进行合情、合理、合法的开发和利用。