随着网络信息技术的高速发展,网络空间规范治理与网络安全保障成为各国各地区高度重视的问题。习近平总书记指出:没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,2016年11月7日,《中华人民共和国网络安全法》(以下简称《网络安全法》)审议通过,并于2017年6月1日起正式施行。
施行五年以来,《网络安全法》确立的网络运行安全、网络信息安全等网络安全领域的基本制度,通过执法、立法和司法三个方面的工作得到充分贯彻落实和不断发展完善。到目前为止,我国已经构建起以《网络安全法》等法律为核心,包括《中华人民共和国数据安全法》(以下简称《数据安全法》)《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)《关键信息基础设施安全保护条例》《网络安全审查办法》等法律法规在内的科学合理完备的网络安全法律规范体系。
以网络信息安全为例,《网络安全法》确立了我国个人信息保护的体系框架和基本内容,如个人信息保护的基本原则、告知同意规则、网络运营者保护个人信息安全的义务、个人要求网络运营者删除或更正的权利等。在《网络安全法》等基础上,经过《中华人民共和国民法典》(以下简称《民法典》)、《个人信息保护法》等法律的充实和发展,最终建立了有中国特色的个人信息保护法律制度。
首先,《网络安全法》明确了网络运营者在收集、使用个人信息时应当遵循合法、正当、必要三项原则,同时确立个人信息处理中的知情同意规则,即网络运营者必须明示收集、使用信息的目的、方式和范围,并经被收集者同意。《网络安全法》将网络运营者处理个人信息的合法性根据明确为两类,即用户的同意或者有关法律、行政法规的规定。这些规定都为《民法典》《个人信息保护法》进一步规定个人信息处理的基本原则以及合法性根据提供了依据。例如,《民法典》第1035条规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理”。《个人信息保护法》第13条第1款第2-7项将《网络安全法》中的法律、行政法规的规定细化为六类情形,如“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”等。
其次,《网络安全法》明确了网络运营者对其收集的用户信息负有严格保密义务,并要求其建立健全用户信息保护制度。同时,该法明确规定了网络运营者对其收集的个人信息所负有的法定义务,包括:不得泄露、篡改、毁损收集的个人信息;未经被收集者同意,不得向他人提供个人信息;采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失;在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。此外,《网络安全法》还规定,网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。根据《网络安全法》对网络运营者应当保护用户信息的义务的规定,《个人信息保护法》专章(第5章)对个人信息处理者的义务作出了详细的规定,如:明确了应当采取哪些措施防止未经授权的访问以及个人信息泄露、篡改、丢失(第51条);定期进行合规审计的义务(第54条);在规定的情形下事前进行个人信息保护影响评估,并对处理情况进行记录的义务(第55-56条);发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者采取补救措施以及通知的义务(第57条)等。
再次,《网络安全法》明确了个人享有删除权与更正权,即个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。《民法典》与《个人信息保护法》在此基础上,将删除权和更正权扩展到所有的个人信息处理者,如《民法典》第1037条规定:“自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”《个人信息保护法》第47条则进一步明确了个人信息处理者应当主动删除个人信息的情形。
总之,《网络安全法》构建了我国网络安全法律规范体系的基本框架,此后颁布的《个人信息保护法》《数据安全法》等法律法规在此框架体系内,不断充实、完善和发展了我国网络安全法律规范体系,进一步筑牢了我国网络安全防线,提高了我国网络安全保障水平。
稿件来源:中国网信杂志