洪延青

當(dāng)下，信息革命的浪潮和全面鋪開的數(shù)字化使得人們的生產(chǎn)生活越來越與互聯(lián)網(wǎng)深度融合。在線下的各種場景逐漸搬到網(wǎng)上的同時，個人信息得以掙脫紙面的束縛，直接以比特的形式被海量地記錄、傳輸、存儲和使用。經(jīng)過數(shù)字化、網(wǎng)絡(luò)化后，個人信息一方面繼續(xù)保有“單獨(dú)或者與其他信息結(jié)合識別”特定個人的能力，另一方面又能在現(xiàn)代計(jì)算和存儲能力的支持下，價值得到進(jìn)一步挖掘和釋放。

在全面擁抱個人信息數(shù)字化和網(wǎng)絡(luò)化的同時，許多境內(nèi)外的網(wǎng)絡(luò)犯罪團(tuán)伙已將目標(biāo)瞄準(zhǔn)了個人信息，竊取了數(shù)以億計(jì)的個人信息，并形成了交易個人信息的地下黑產(chǎn)。他們利用個人信息與特定個人之間的緊密關(guān)系實(shí)施各種犯罪，例如以個人信息為基礎(chǔ)的精準(zhǔn)詐騙。除此之外，冒用個人網(wǎng)絡(luò)身份更是直接造成了不可估量的經(jīng)濟(jì)損失。

個人信息的收集和使用與個人的權(quán)益息息相關(guān)，數(shù)字經(jīng)濟(jì)能否持續(xù)健康發(fā)展，在很大程度上取決于能不能在開發(fā)和利用個人信息的同時做到趨利避害。對此，《網(wǎng)絡(luò)安全法》在第四章“網(wǎng)絡(luò)信息安全”中用相當(dāng)大的篇幅對網(wǎng)絡(luò)運(yùn)營者處理個人信息的行為做出了規(guī)范，具體有以下五方面特點(diǎn)和創(chuàng)新。

個人信息保護(hù)最為綜合的權(quán)威規(guī)定

目前，我國尚未制定統(tǒng)一的個人信息保護(hù)法。在《網(wǎng)絡(luò)安全法》出臺之前，個人信息保護(hù)方面最主要的法律是2012年通過的全國人大常委會《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》和2013年通過的全國人大常委會《關(guān)于修改<中華人民共和國消費(fèi)者權(quán)益保護(hù)法>的決定》，以及2009年通過的《刑法修正案（七）》和2015年通過的《刑法修正案（九）》。

《網(wǎng)絡(luò)安全法》不僅繼承了上述法律關(guān)于個人信息保護(hù)的主要條款內(nèi)容，而且根據(jù)新的時代特征、發(fā)展需求和保護(hù)理念，創(chuàng)造性地增加了部分規(guī)定，例如最少夠用原則（“網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個人信息”）、個人信息共享的條件（“未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外”）、個人的數(shù)據(jù)權(quán)利（“個人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除其個人信息；發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集、存儲的其個人信息有錯誤的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取措施予以刪除或者更正”）等。

明確個人信息保護(hù)的責(zé)任主體

《網(wǎng)絡(luò)安全法》在“網(wǎng)絡(luò)信息安全”這一章的開頭，就明確提出了“誰收集，誰負(fù)責(zé)”的基本原則，將收集和使用個人信息的網(wǎng)絡(luò)運(yùn)營者，設(shè)定為個人信息保護(hù)的責(zé)任主體。法律規(guī)定：“網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度?！卑丛摋l款的規(guī)定，無論是在防范內(nèi)部人員倒賣個人信息，還是保障系統(tǒng)不被攻破導(dǎo)致信息泄露等方面，收集和使用個人信息的網(wǎng)絡(luò)運(yùn)營者都是第一責(zé)任主體。通過明確責(zé)任，一能避免個人信息泄露導(dǎo)致嚴(yán)重后果后“無人負(fù)責(zé)”的局面，二能倒逼網(wǎng)絡(luò)運(yùn)營者重視對其掌握的個人信息的保護(hù)工作。

接軌國際先進(jìn)理念

目前，全球公認(rèn)的個人信息保護(hù)方面的主要法律文本有OECD隱私框架、APEC隱私框架、歐盟《通用數(shù)據(jù)保護(hù)條例》、歐美“隱私盾”協(xié)議、美國“消費(fèi)者隱私權(quán)法案（討論稿）”等。綜合這些立法，可得出個人信息保護(hù)的主要原則，包括目的明確原則、同意和選擇原則、最少夠用原則、開放透明原則、質(zhì)量保證原則、確保安全原則、主體參與原則、責(zé)任明確原則、披露限制原則等。

上述原則在《網(wǎng)絡(luò)安全法》中均得到體現(xiàn)。例如，開放透明原則是指應(yīng)以明確、易懂和合理的方式如實(shí)公示其收集或使用個人信息的目的、個人信息的收集和使用范圍、個人信息安全保護(hù)措施等信息，接受公共監(jiān)督。該原則具體化于《網(wǎng)絡(luò)安全法》規(guī)定：網(wǎng)絡(luò)運(yùn)營者應(yīng)“公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍”。

實(shí)現(xiàn)個人信息保護(hù)和利用的平衡

在大數(shù)據(jù)和云計(jì)算時代，包括個人信息在內(nèi)的數(shù)據(jù)，只有充分地流動、共享、交易，才能實(shí)現(xiàn)集聚和規(guī)模效應(yīng)，最大程度地發(fā)揮價值。但數(shù)據(jù)在流動、易手的同時，可能導(dǎo)致個人信息主體及收集、使用個人信息的組織和機(jī)構(gòu)喪失對個人信息的控制能力，造成個人信息擴(kuò)散范圍和用途的不可控。如何實(shí)現(xiàn)兩者的平衡是新時期個人信息保護(hù)的重要挑戰(zhàn)之一。

對此，《網(wǎng)絡(luò)安全法》首先在法律層面給予個人信息交易一定的空間，這是一個巨大的進(jìn)步?！蛾P(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》規(guī)定“不得出售”公民個人信息；而《網(wǎng)絡(luò)安全法》規(guī)定“不得非法出售”公民個人信息，換句話說，按《網(wǎng)絡(luò)安全法》的規(guī)定，在一定情形下是可以出售公民個人信息的，無疑給符合規(guī)定的個人信息交易開了綠燈，為我國大數(shù)據(jù)產(chǎn)業(yè)發(fā)展提供了空間。

其次，《網(wǎng)絡(luò)安全法》進(jìn)一步規(guī)定了合法提供個人信息的情形，這也是一個重要的創(chuàng)新。法律規(guī)定，“未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外?！睆臈l文理解，至少在兩種情形中，可以合法對外提供個人信息：一是被收集者也就是個人的同意；二是將收集到的個人信息進(jìn)行匿名化處理，使得無論是單獨(dú)或者與其他信息相結(jié)合后，仍然無法識別特定個人且不能復(fù)原。

新增個人信息強(qiáng)制告知和報告

《網(wǎng)絡(luò)安全法》規(guī)定，“在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告”。相比以往的法律規(guī)定，新增了個人信息安全事件發(fā)生后的強(qiáng)制告知和報告。

在全球范圍看來，包括個人信息安全事件在內(nèi)的網(wǎng)絡(luò)安全事件的強(qiáng)制報告和告知，是近期的立法重點(diǎn)。許多國家和地區(qū)都注重通過強(qiáng)制對外報告和告知，進(jìn)一步增強(qiáng)組織和機(jī)構(gòu)的責(zé)任主體意識，敦促其認(rèn)真對待保護(hù)個人信息的義務(wù)。在美國，聯(lián)邦層面有健康保險攜帶和責(zé)任法案、金融業(yè)的格雷姆-里奇-比利雷法案，規(guī)定了數(shù)據(jù)安全事件強(qiáng)制告知和報告制度。在歐盟，《通用數(shù)據(jù)保護(hù)條例》和歐盟網(wǎng)絡(luò)信息安全指令也都規(guī)定了強(qiáng)制告知和報告的義務(wù)。

《網(wǎng)絡(luò)安全法》加強(qiáng)了對個人信息的保護(hù)，讓人民安全地享用互聯(lián)網(wǎng)帶來的紅利，是貫徹習(xí)近平總書記重要指示的具體體現(xiàn)。《網(wǎng)絡(luò)安全法》的出臺落實(shí)能夠遏制個人信息濫用亂象，提升個人信息保護(hù)水平，最大程度地保障用戶合法權(quán)益和社會公共利益。