保护个人信息

——《网络安全法》讲稿之一：个人信息保护篇

重庆隆腾律师事务所主任  杨永龙

十二届全国人大常委会第二十四次会议于2016年11月7日上午以1 5 4票赞成、1票弃权，表决通过了《中华人民共和国网络安全法》，该法自2017年6月1日起施行。这是我国网络领域的基础性法律，明确加强对个人信息保护，打击网络诈骗。

一、徐玉玉惨案

徐玉玉( 18岁)，一个善良孝顺的山东临沂的花季女孩，她的年轻生命永远定格在了2016年8月21日，刚刚接到南京邮电大学录取通知书的她，被诈骗分子通过电信网络骗走了9900元的学费，因伤心欲绝，郁结于心，自责过度，不幸离世。

徐玉玉的遭遇引起社会的广泛同情，广大人民群众对电信网络诈骗这一肆虐横行的社会毒瘤深恶痛绝。公安机关迅速行动、严格执法、在短时间内侦破案件，将诈骗团伙犯罪嫌疑人抓捕归案。主犯陈文辉判处无期徒行，其他六人也依法受到了严惩。

二、规范个人信息收集行为

【背景】中国互联网协会发布的《2016中国网民权益保护调查报告》显示，从2015年下半年到今年上半年的一年间，我国网民因诈骗信息、个人信息泄露等遭受的经济损失高达915亿元，人均133元。

网络诈骗的源头，首先在于收集个人信息门槛很低。北京数字认证股份有限公司总经理詹榜华认为，网上购物、发邮件、买房、求学等行为会不经意“出卖”自己的姓名、身份证号、电话、住址等个人信息。网络诈骗的发生，一般会经历个人信息被收集、遭泄露、被买卖、最后被不法分子实施诈骗等环节。

【法律规定】第四十条  网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

第四十一条  网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

【律师解读】网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意;对收集的用户信息严格保密，法律确定了“被遗忘权”，即网络运营者收集了我的信息，我有权要求他删除或者是更正；法律强调了收集个人信息的边界，“不得收集与其提供的服务无关的个人信息”，比如地图导软件需要用户的物理位置，这是功能性要求，可以满足；但如果要用户提供姓名和身份证号，就属于不必要了。

三、斩断个人信息买卖的利益链

【背景】一个网名叫 “信息”的网友抖露: 自己有几十万条此类信息，新生儿信息包含生日和家长电话，北京地区的一块钱一条，济南市五毛钱一条。

【法律规定】第四十二条第一款  网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意，不得向他人提供个人信息。

第四十四条  任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

【律师解读】未经同意提供、出售个人信息违法。有利可图，有买就有卖，要堵住这个漏洞，只能依靠法律。《网络安全法》对个人信息保护提出了专业的要求， 加大了保护力度。

四、个人信息被泄露的补救措施

【背景】刚登记房屋业主信息，各种租房、装修等电话随即而至；网上平台购买机票、商品，下单付款后就收到改签、取消等诈骗短信。各类网络电信骚扰、诈骗，令人不堪其扰，防不胜防。

【法律规定】第四十二条第二款  网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

【律师解读】政府部门与市场机构一旦出现安全漏洞或者“内鬼”盗取，容易造成大量个人信息泄露。不少人在对个人信息已泄露毫不知情状态下，听到不法分子准确说出其姓名、住址等个人信息，就极易听信被骗。《网络安全法》首次明确个人信息数据泄露通知制度，使当前个人信息泄露无法彻底杜绝的情况下，能够通过告知可能受到影响的用户，增强用户对相关诈骗行为的警惕性。这也将倒逼相关机构提高网络安全防护能力，降低个人信息泄露风险。

五、对网络诈骗的溯源追责

【背景】2016年1至9月，全国公安机关共破获电信网络诈骗案件7.7万起，查处违法犯罪人员4.3万名，同比上升2.3倍，收缴赃款、赃物价值人民币23.4亿元，为群众避免损失47.5亿元。

一位基层公安办案人员介绍，网络电信诈骗犯罪成本低，团伙老板租一个小办公室，准备几台电话和电脑，花几百元买来个人资料，雇几个业务员，就能实施诈骗。在实践中，电信诈骗类案件常会出现涉案金额大、认定金额低的情况，难以做到罪刑相等。

【法律规定】第64条  网络运营者、 网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

【律师解读】对网络运营者的违法行为的重罚甚至吊销执照。《网络安全法》强调了网络运营者等维护个人信息安全的“主体责任”，除了罚款，停业整顿、关闭网站、吊销执照构的威慑力更大。

六、伟人的讲话

“网络空间是亿万民众共同的精神家园。网络空间天朗气清、生态良好，符合人民利益。网络空间乌烟瘴气、生态恶化，不符合人民利益。谁都不愿生活在一个充斥者虚假、诈骗、攻击、谩骂、恐怖、色情、暴力的空间。互联网不是法外之地。利用网络鼓吹推翻国家政权，煽动宗教极端主义，宣扬民族分裂思想，教唆暴力恐怖活动，等等，这样的行为要坚决制止和打击，决不能任其大行其道。利用网络进行欺诈活动，散布色情材料，进行人身攻击，兜售非法物品，等等，这样的言行也要坚决管控，决不能任其大行其道。没有哪个国家会允许这样的行为泛滥开来。我们要本着对社会负责、对人民负责的态度，依法加强网络空间治理，加强网络内容建设，做强网上正面宣传，培育积极健康、向上向善的网络文化，用社会主义核心价值观和人类优秀文明成果滋养人心、滋养社会，做到正能量充沛、主旋律高昂，为广大网民特别是青少年营造一个风清气正的网络空间。”

——摘自习近平 《在网络安全和信息化工作座谈会上的讲话》