中国首部关于网络安全的基础性法律出台了。7日闭幕的第十二届全国人大常委会第二十四次会议以154票赞成、1票弃权,表决通过网络安全法。该法共7章79条,将于明年6月1日起实施。个人信息保护、临时限网措施等写入法律。
作为我国网络领域的基础性法律,网络安全法将个人信息保护列入,既是维护网络安全的题中之义,也是对当前个人网络信息安全严峻现实的直接回应。
今年以来,全国先后发生多起引发广泛关注的电信诈骗事件,将个人网络信息安全的问题推向公共视野,对个人信息保护的立法进程起到了“加速器”的作用。不只是网络安全法,前不久提请全国人大审议的民法总则草案二审稿中也首次加入了个人信息的内容,规定“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息”。
如果说民法总则草案中的相关规定,为个人信息保护奠定了原则,那么,此次网络安全法中的相关规定,显然更趋向于指导个人信息保护的实际操作。最具代表性的一点是,其中规定“网络运营者不得收集与其提供的服务无关的个人信息”,这其实框定和明确了网络运营商收集个人信息的边界,简而言之即是“非必要不得收集”。此一条款不仅是对网络信息服务商提出了警示,对于个人的网络使用习惯也是一种提醒——应有意识避免超出必要的信息提供。
至于网络运营者对个人信息的“使用权”,网络安全法明确了网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。这针对的其实是时下有关于个人信息的贩卖问题。但这一条款在现实中如何避免出现操作上的模糊地带,仍需要在实践中加以完善。如,当前由于个人信息使用的广泛性,到底如何确定个人信息是经由哪个网络运营商、以什么途径泄露、个人维权又如何取证等等现实问题,都不容回避。
特别值得一提的是,该法还明确了在发生或者可能发生信息泄露、毁损、丢失的情况时,网络运营商应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。这种补救措施,在当前仍显得非常罕见。事实上,在徐玉玉案中,其个人的高考信息,就是被犯罪嫌疑人通过对山东高考网报名信息系统植入木马病毒的方式予以盗取。法律明确要求网络运营商在特定情形下有补救义务,值得期待,但如何确保补救的高效,还有待观察。
当然,对于公众所关心的,若个人或组织通过网络运营平台发布和泄露个人信息,网络运营方是否要承担相应的连带责任,网络安全法并未作出明确规定,这未免稍有遗憾。
互联网 时代,个人信息保护的漏洞与风险被进一步放大,加强个人信息保护的重心,其实已经转移到网络。一部重视个人信息保护的网络安全法的出台,恰是对此的积极补漏。但也要清醒认识到,这远不应是个人信息保护的全部,网络安全保护法也无力去弥补所有的个人信息保护漏洞。一方面,它毕竟侧重的是网络安全,而非针对个人信息保护的专门性法规;另一方面,当前涉及个人信息保护的法律条款仍多散见于相关法规中,在权威和效力上都有待提升。因此,借助于民法总则草案和网络安全法对个人信息保护的介入,最值得期待的,还是《个人信息保护法》能够尽快出台。