周艳梅

摘 要：随着《民法总则》《网络安全法》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的正式实施，以及相关实施细则的制定和颁布，如何准确识别网络运营者所持有的用户个人信息、如何从技术手段与管理流程对用户个人信息进行有效防护、如何识别潜在的信息泄露风险，已成为网络运营者对个人隐私信息保护的重中之重。

关键词：网络安全法；个人信息安全

《中华人民共和国网络安全法》作为我国第一部关于网络安全的综合性法律，对企业、个人和机构的身份和行为都作出了新的法律概念和规定，这将对中国网络建设、运营、维护和使用产生深远影响。

一、网络信息安全的立法情况

新颁布的《民法总则》第110条明确：自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利；第111条明确：自然人的个人信息受法律保护；任何组织和个人需要获取他人个人信息的；应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息；不得非法买卖、提供或者公开他人个人信息。此外，《著作权法》及实施条例，也为网络空间内的知识产权保护提供了相应依据。

《民法总则》从规范层面明确对个人信息的保护，《著作权法》等则是从作品的法律要素、侵权行为的要件与法律责任等方面落实制度规范。

2017年6月1日《中华人民共和国网络安全法》（以下称《网安法》）正式实施，最高人民法院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下称《解释》）同日施行。还有继《网安法》出台后实施的《网络产品和服务安全审查办法（试行）》《互联网新闻信息服务管理规定》《互联网信息内容管理行政执法程序规定》。作为我国网络安全领域的基础性法律，《网安法》的正式施行对于维护我国网络安全及规范相关市场主体行为具有重大意义。

二、《网安法》对个人信息安全的法律保护机制

《网安法》从立法伊始就将个人信息保护列为需重点解决的问题之一，第四章“网络信息安全”专章规定了公民个人信息保护的基本法律制度，特别是其中“对个人信息立法保护”和“对网络诈骗严厉打击”的相关内容，切中个人信息泄露乱象的要害，充分体现了保护公民合法权利的立法原则，为今后保护个人信息、打击相关违法犯罪行为奠定了坚实的上位法基础。

《網安法》明确普通网络运营者，其收集和使用用户个人信息的相关原则，包括事前的明示同意原则，事中的公开、必要、合法合规合约原则，事后的妥善处理保管原则；明确任何个人和组织禁止非法获取、非法提供个人信息原则；明确相关监管部门及其工作人员的保密原则；个人信息的相对方拥有要求网络运行者删除和更正的权利。

此外，《网安法》开创性的新设对网络产品服务提供者的信息泄露、毁损、丢失时的告知和报告制度，关键信息基础设施运营者，应当遵守信息境内留存原则及安全评估原则。在处罚机制方面，对不同主体违反相关义务，分别规定了具体的罚则，初步形成了我国网络用户个人信息的保护链条。

尽管《网安法》对个人信息保护的各个主体、各个环节基本都有所涉及，但仅为原则性规定，可操作性稍显不足，需要后续的实施细则予以细化。相对于网络运营者来说，网络用户在个人信息保护方面仍处于弱势。

三、个人信息保护的相关司法解释

一直以来由于我国没有统一制定的个人信息保护法，个人信息保护的主要依据是2012年全国人大常委会颁布的《关于加强网络信息保护的决定》和2013年全国人大常委会颁布的《关于修改〈中华人民共和国消费者权益保护法〉的规定》，以及2009年通过的《刑法修正案（七）》和2015年通过的《刑法修正案（九）》。

最高人民法院的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》也将于2017年6月1日实施。

《解释》对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。相比于《网安法》，《解释》扩大了个人信息的认定范围，将个人信息的定义覆盖到“反映特定自然人活动情况的各种信息”，使得比如行踪轨迹信息等具有某种隐私或私密属性的信息类型也纳入到个人信息的范围中；《解释》明确了“提供”公民个人信息的含义，即“向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的”都属于提供公民个人信息的情形；扩大了非法利用信息网络罪的使用范围，将个人信息交易的网站、微信群、QQ群等形式也明确纳入刑法打击范围。

《解释》明确将非法提供经合法收集的公民个人信息的行为入罪。在提供公民个人信息之前，应取得被收集者的同意，或对信息进行匿名化处理。本条系以《网安法》第四十二条为基础。值得一提的是《解释》进一步明确对网络服务提供者履行个人信息安全保全义务的要求，即“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚”。

四、未来展望

随着《网安法》的正式实施，相关的配套规定尚待进一步完善，近期可能发布或生效的配套规定有：《个人信息和重要数据出境安全评估办法》（征求意见稿）、《重要数据识别指南》、《个人信息安全规范》等。

《网安法》的正式施行标志着我国网络空间领域的发展和现代化治理迈出了坚实的一步。但鉴于网络安全监管的敏感性和复杂性，《网安法》在设定总体框架的同时，在实际操作层面仍留下了一系列亟待进一步填补的空白，这些空白很可能将在很大程度上决定《网安法》今后的实际执行效果。《网安法》的运行势必对包括网络文化产业在内之相关行业的合法合规性提出更高要求，因此相关企业与投资机构应特别注意网络安全合规的要求，对网络文化产业的安全合规管理、资本进入、走向公开市场等事项予以特别关注。

参考文献：

[1]《民法总则》.

[2]《中华人民共和国网络安全法》.

[3]《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》.