案例中心

联系方式

  • 公司地址:

    天津市和平区张自忠路与多伦道交口合生财富大厦B座26层

  • 咨询电话:

    27315030-8011

  • 邮    编:

    300041

  • E-mail :

    jinlianlawfirm@163.com

津联文汇

《关于加强网络信息保护的决定》的解读

张周斌    律师 

为了保护网络信息安全,保障公民、法人和其他组织的合法权益,维护国家安全和社会公共利益,2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过了《关于加强网络信息保护的决定》(以下简称决定),该项立法是中国公民个人信息保护法律体系的重大突破。为了便于公司各相关部门对该决定的理解,现对该决定的制定背景、主要内容和行业影响等解读如下。

 

一、立法背景

近年来,随着互联网的快速发展,人们在享受高科技带来便利的同时,也饱受个人信息泄露之苦。为了遏制个人信息不当使用,自2000年以来,国家相关部门虽然陆续制定并出台了一系列针对互联网管理和维护的办法和规定。特别是2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”的罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但由于我国保护网络信息的立法体系尚不完备,相关规定也比较分散,可操作性差。必要的管理措施缺少上位法依据,与信息化发展和维护公民在网络活动中的合法权益的要求不相适应。因此,第十一届全国人大常委会于2012年12月28审议通过了《会关于加强网络信息保护的决定》。

决定明确了网民个人信息保护的责任主体,将“个人信息保护”从各部门法和部委规章中的零散规定首次提升到单独的“法律”规范层面。以法律的形式保护了公民个人以及法人的信息安全,确立了网络身份管理制度,明确网络服务提供者的义务和责任,并且赋予了政府主管部门必要的监管手段,重点解决了我国网络信息安全立法滞后的问题。对于切实保障公民在信息时代的隐私权等合法权益,迈出了重要的一步。该《决定》的出台至少有三点意义:一是保护个人隐私和生活安宁,保障公民和法人的合法权益。二是保护网络信息安全,维护国家安全和公共利益。三是规范网络活动,维护互联网的健康发展。

同时为了配合《决定》的实施,工信部于2012年11月份发布了《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称指南),成为我国首个关于个人信息保护的行业标准。

 

二、《决定》的主要内容

《决定》全文共十二条,用非常简明扼要的语言界定了公民个人电子信息的范围、公民个人电子信息保护的义务主体, 网络服务提供者和其他企事业单位在业务活动中收集、使用、保存公民个人电子信息应当遵循的原则,提出禁止未经接受者同意或请求,向其固定电话、移动电话或个人电子邮箱发送商业性电子信息,公民个人可以采取的救济手段以及违反规定的法律后果等,具体可以从该决定确立的四个基本制度层面来理解。

(一)保护公民个人电子信息制度

决定第一至四条确立了保护公民个人电子信息制度。具体是:

一、  国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。

任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。

内容说明:第一条第一款将“能够识别公民个人身份和涉及公民个人隐私的电子信息”纳入法律保护范围。此处所指公民个人信息,是指能够表明、证明公民个人身份的并且能够转换为电子信息的公民个人信息,即公民身份信息。

第二款严厉禁止买卖和非法交易公民个人信息的行为,相较于《刑法修正案(七)》,将法律适用主体由“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”扩大到“任何组织和个人”,适用范围更加广泛。

 

二、  网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。

网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。

内容说明:本条文明首先确了“网络服务提供者和其他企业事业单位”是网络信息保护的初始责任主体。因为其掌握大量的用户信息,只有坚守职业道德底线、恪守法律规定的义务,才能堵塞个人信息可能流失的渠道,防止网络侵权。

其次规定了收集公民个人信息,应当遵循“合法、正当、必要”三个原则,其中依据《指南》的规定,“必要”原则也被称为最少够用原则,其含义是指只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。同时第二款规定了网络服务提供者的义务,即在收集、使用公民个人电子信息中,需要向用户明示收集使用信息的目的、方式、范围,并公开其收集、使用规则。

需要注意的是,本条第一款中规定的网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息应征得被收集者同意,同时决定第六条又规定了用户在办理业务时应当提供真实的身份信息,这两者之间存在内在的逻辑关系,即如果用户不提供真实身份,网络服务提供者有权拒绝向用户提供服务。

三、 网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。

四、  网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。

内容说明:上述条文主要是对于“网络服务提供者和其他企业事业单位及其工作人员”设定了必须严格保密和发生信息泄露、毁损、丢失的情况时,采取补救措施等法定义务。

一是对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。

二是应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。

同时,对于保密责任的主体范围将第二条规定的“网络服务提供者和其他企业事业单位”扩大至“网络服务提供者和其他企业事业单位及其工作人员”对在履行职责中知悉的公民个人电子信息,也负有保密责任。

 

(二)网络身份管理制度

六、网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。

内容说明:第六条规定了用户办理网站接入等服务过程中要求用户提供真实身份信息,这一实名制度所涉及的领域包括了电话实名、网络互动平台的后台实名以及网站实名。

从文义理解,本条文虽然没有直接规定用户使用互联网接入服务应当实名、域名和IP注册实名等内容,但是对网络服务提供者设定了法定义务,即签订协议或者提供服务时,要求用户的真实身份信息,可能直接导致实名注册制度在婚恋网站、博客、微博等为用户提供信息发布服务的“网络服务提供者”中强制推行。

 

(三)垃圾电子信息管理制度

七、任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。

内容说明:该条是针对“语音广告”、“垃圾短信”、“垃圾邮件” 的等一系列垃圾电子信息管理的规定。而认定是否为垃圾电子信息的条件有两个:一为未经接收者同意或者请求;二为此信息为商业性电子信息。

所谓商业性电子信息应当分为两大类,一类是来自网上的“垃圾信息”,包括网络广告、骚扰信息、垃圾邮件、“水军”信息、“钓鱼”信息等;另一类是因网上个人信息被非法窃取、出售或转让,导致现实中的人被侵扰的信息,包括骚扰短信、推销广告、诈骗信息、电话骚扰等。依据该条文的规定,仅对于商业性电子信息,需要信息接受者同意或者请求,而对于例如:具有公益性质的信息、应急信息、系统服务信息等非商业性电子信息的发送,不需经接收者同意。

 

(四)加强相关部门监管制度

五、网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。

内容说明:第五条规定了网络服务提供者应当对用户所发布信息进行监管的义务,规定如发现禁止传播的相关信息,则应将证据保存并向有关主管部门报告,在监管源头为个人信息设立了一道保护屏障。

对于本条中“法律、法规禁止发布或者传输的信息”范畴并没有进一步列举和说明,在实践中,应当依照国家现行的互联网管理方面的法律、法规及相关政策性通知进行界定。

八、公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。

九、任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为,有权向有关主管部门举报、控告;接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼。

内容说明:上述八、九条明确规定了公民在收到商业晶电子信息骚扰和个人信息收到侵害的救济权利,在在推动网站履行社会责任方面具有很强的可操作性。

(1)针对当前广大网民和手机用户反应强烈的垃圾邮件和垃圾短信问题,规定要求网络服务提供者删除有关信息或者采取其他必要措施予以制止的权利。因此,公民一旦发现自己受到侵害,可以直接与网络服务提供者交涉,要求制止侵害,防范可能产生的更严重、范围更广泛的损害后果。

(2)向有关主管部门举报、控告的权利。任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为,有权向有关主管部门举报、控告;接到举报、控告的部门应当依法及时处理。规定所指的有关主管部门,既包括网络服务提供者的行业主管部门,也包括政府监管部门,还包括享有执法权的工商、公安、安全机关等。

(3)依法提起诉讼的权利。公民维护自身网络信息安全权益,除了自力救济、行政救济手段外,还可以通过司法渠道保护自己的权利不受侵犯。因此,公民也可以选择向人民法院提起诉讼这种司法救济手段,来维护自身合法权利,惩罚违法者。

十、有关主管部门应当在各自职权范围内依法履行职责,采取技术措施和其他必要措施,防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。有关主管部门依法履行职责时,网络服务提供者应当予以配合,提供技术支持。

国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。

内容说明:本条是对主管部门履行职责方面的要求。因为作为在互联网管理中发挥主导作用的政府及其有关部门,负有依法维护公民权益、公共利益和国家安全的法定职责。如国家通信管理部门负责互联网行业管理,包括对中国境内互联网域名、IP地址等互联网基础资源的管理;国家新闻、出版、教育、卫生等部门,对“从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务”实行许可制度;公安、安全机关等国家执法部门,负责互联网安全监督管理,依法查处和打击各类网络违法犯罪活动

十一、对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。

内容说明:该条明确违法者应承担的法律责任。依照我国现行互联网管理方面的法律法规及《侵权责任法》的相关规定,违反本决定的具体法律后果有:

(1)对违反本决定行为的给予警告、罚款、没收违法所得、吊销许可证或者取消备案,关闭网站、禁止有关责任人员从事网络服务业务,记入社会信用档案并予以公布等行政处罚。违法性质严重的,给予治安行政处罚,追究刑事和民事责任。

(2)对于违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的,可视违法情节,依据《治安管理处罚法》规定,处以十日以下拘留。对故意窃取、泄露个人信息的行为,或者对计算机信息系统实施非法控制,构成犯罪的,依据刑法规定,可视犯罪情节,处七年以下有期徒刑或者拘役,并处或者单处罚金。

(3)网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。依照《侵权责任法》规定,网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后,未及时采取必要措施的,对损害的扩大部分承担连带责任。网络服务提供者明知存在侵害,未采取必要措施的,承担连带责任。

 

三、该决定对于电信行业的影响

《决定》的出台进一步明确了组织和个人在网络信息保护中的权利、义务及责任,为运营商网络信息保护工作的开展提供了切实可行的法律依据与坚强有力的法律支撑。为用户提供健康网络环境,是电信运营商的责任。该决定的实施对于个人信息保护、监管方面将有利于推动三个创新:

一是有利于推动信息保护机制创新。《决定》明确了网络信息泄露和垃圾短信传播各环节的法律责任和义务,必将促进建立跨企业、跨行业的协同处置机制,形成统一监管和保护的信息安全保障机制。

二是有利于推动信息安全技术创新。《决定》有力地推动了电信运营商在“垃圾短信治理、电子商务平台、防恶意网络攻击”等信息安全领域的技术创新和推广应用。

三是有利于推动信息业务服务创新。《决定》不仅提出了对各类信息收集、使用主体的明确规定和要求,也明确了“公民有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止”等监督权,这有利于推动电信运营商提供更加安全的信息业务和服务。

作为电信运营商,如何在相关领域与社会各界展开广泛合作,如何更好地依法维护用户合法权益,如何创造健康、文明、和谐的网络环境,是公司当前必须要思考的问题。我们认为可以从以下几个方面努力:

首先,应树立起保护用户信息安全的第一责任人意识。纵观近期所发生的多起公民隐私信息泄露事件,有不少运营商的员工参与其中,这不仅反映出这些员工法律意识的淡漠,更反映出其极度缺乏用户信息安全保护的意识。因此,强化运营商员工用户信息安全保护的意识教育,刻不容缓。

其次,应建立规范的用户隐私信息收集管理使用,以及和安全保护监督审核机制。用户的隐私泄露,除了运营商员工缺乏相应的用户信息安全意识外,更重要的还在于,运营商目前尚未建立起一套规范的用户信息安全分类管理,和安全保护监督审核机制。为了更好地向用户提供网络服务,向用户征集必要的信息无可厚非,但征集信息是否超出工作需要,并且如何使用和存储保护这些信息方面,并没有明确的规定。《决定》第二条中最突出的概念就是“明示”、“公开”,并要征得“同意”。以往电信运营商在个人客户办理业务时,经常收集一些非必要信息。为满足《决定》要求电信运营商需裁减收集信息内容并明确告知客户如何使用。这也在另一方面杜绝了客户提供虚假个人信息,以至于由于无法有效识别而造成个人信息保障缺失。因此,建立规范的用户隐私信息分类分级管理机制,以及用户信息安全监督审核机制,是运营商当前最为迫切的任务。

最后,商应投入必要的资源,以具备信息安全违法行为的识别和纠正能力。正如《决定》中所提到的,主管和执法部门在履行保护用户信息安全职责时,网络服务提供者应提供相应的技术支持。电信运营商向执法部门提供技术支持,显然必须具备相应的基础设施条件,和拥有相应的技术支撑团队。在这方面,随着近年来电信运营商对网络信息安全的重视,以及网络运营管理水平的不断提升,电信运营商已经基本具备了配合执法和违法行为纠正的能力。

当前条件下,运营商现在所要做的,是将这种能力系统化和常态化,以对接信息安全执法部门的执法;同时在为用户服务的过程中,向用户提供普遍化和差异化的信息安全服务,这不仅是是运营商的责任,更能够为运营商带来安全增值服务收益。综上所述,人大的《决定》要落到实处,电信运营商不仅要强化信息安全保护的意识,更要建立起规范的用户信息使用和安全保护分类监督审核机制,并投入必要的资源。只有这样,才能够真正遏制住网络信息安全违法蔓延的势头。


Copyright © 2015-2020天津津联律师事务所 .All Rights Reserved
公司地址:天津市和平区张自忠路与多伦道交口合生财富大厦B座26层   备案/许可证编号为:津ICP备17001275号-1   津公网安备 12010302001431号
邮编:300041 咨询电话 : 27315030-8011 15022411686 Email:jinlianlawfirm@163.com 技术支持:津联律师网络部