本月初 (2016年11月7日),《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议通过,该法律共7章79条,将于2017年6月1日起施行。网络安全法自从提案以来,就一直备受关注,尤其是该法律草案中明文规定中国官方可以在紧急状态下切断互联网连接。
除了“紧急断网”之外,网络安全法还针对用户实名制、公民隐私搜集以及个人信息删除权等问题做了规定,在距离该法正式施行还有七个月左右的时间里,我们来重点看一下普通网民依照该法律对互联网公司的服务享有什么权力。
国家网络可信身份战略
第二十四条网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
网络安全法中规定的“用户实名制”,实际上是我国网络可信身份战略的一部分。需要指出的是,我国施行的“用户实名制”,是基于户籍注册和公民身份证的信息,也就是带有芯片和指纹识别的强制性身份系统,而目前国际上包括澳大利亚、加拿大、新西兰、英国和美国在内的一些国家的公民,均公开反对强制性的指纹信息识别身份系统,美国“斯诺登事件”和NSA丑闻的历史证明,强制性的公民数字身份识别系统,是大规模窃听和监控的必要前提。
公民的数字身份信息不仅供政府使用,也会在经济生活中提供给企业,同时加大了数据泄漏和身份盗用的风险。必须承认,我国实施网络可信身份战略,在享受监管便利的同时,也带来了极大的挑战。
信息搜集需征得用户事先同意
第四十一条网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络安全法第四十一条明文规定,网络运营者要“公开收集、使用规则”,特别是要“经被收集者同意”。在日常生活使用互联网服务的场景中,往往是我们普通用户进行“授权”的操作步骤,让网络运营者可以“顺理成章地”对个人隐私信息进行搜集。但是在很多情况下,比如虎嗅不久前《下一次“授权”支付宝前,你也许需要再考虑下》的这篇文章,就清楚论述了这种“授权”操作的设计对用户利益的损害:
用户在点击授权之前,会打开那个"电信运营商数据查询服务协议"么?
用户在点击授权之前,会意识到这个把"电信运营商"挂在前面的服务协议,其实是由一家叫做"数立信息"的公司提供的么?
用户在点击授权之前,会把服务协议翻到最后,看到签约地是浙江杭州市,发生纠纷先协商,然后再到被告所在地人民法院裁判么?
用户在点击授权之前,会意识到把客服密码交出去的情况下,给自己带来的风险么?
你会把钥匙交给一个陌生人么?用户真的是在了解所有情况和风险之后,把服务密码交给支付宝的吗?更何况,你其实是把密码交给了数立信息。
在这个事情中,运营商是不是也要承担一定责任呢?
在企业的法律合规团队面前,普通的用户个体毫无疑问处于弱势地位,网络安全法虽然从原则上保障了用户有权拒绝运营商搜集数据的行为,但是在实际情况中——至少从网络服务的产品设计上——用户能够做的选择仍旧有限。
用户有权要求企业删除搜集的个人隐私信息
第四十三条个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
有法律界人士表示,网络安全法也是一部公民个人网络权益保护法。第四十三条是这一点最集中的体现,该条文明确规定:用户有权要求运营者删除其个人信息。用户对互联网企业搜集的个人信息拥有删除权。也就是说,企业拥有的用户数据,怎么用,要用户同意,否则用户完全有权利依法要求企业删除。
用户数据是这个互联网时代最有价值的东西,马云说未来是数据时代,马化腾说数据是信息能源。用户数据到底是怎么用的?用在哪些地方?这里还有太多问题等待媒体为公众去揭露、曝光。