网络运营者是个人信息保护的第一责任人

自2017年6月1日起,我国首部《网络安全法》正式施行,这是我国网信领域的重大事件。《网络安全法》是我国网络安全领域的基础性法律,充分体现了信息化发展与网络安全并重的安全发展观,为全球互联网的治理贡献了中国智慧。

为保护公民个人信息安全,防止公民个人信息被窃取、泄露和非法使用,依法保障公民个人网络信息有序安全流动,《网络安全法》第四章在全国人大常委会《关于加强网络信息保护的决定》的基础上用较大篇幅规定了公民个人信息保护的基本法律制度,尤其突出了网络运营者对个人信息保护的责任与义务。

近年来,一些网络运营者和其他商业机构对个人信息的收集、使用、加工、传输,已经到了公开化、常态化、系统化阶段,这些网络运营商掌握了海量的公民个人信息,一旦泄露将造成恶劣的社会影响和严重后果。尽管有不少网络运营者是因为履行职责或者提供服务的需要获取了公民的个人信息,但是他们对公民个人信息的收集、使用、加工、利用的程序仍有悖于《网络安全法》的相关规定,必须引起高度重视。

收集和使用公民个人信息必须经用户知情同意

《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。上述条款应当重点关注四个方面:

首先,本条规定指涉的网络运营者包括两大类,第一大类是电信业务经营者,其中包括三类经营者:基础电信业务经营者、增值电信业务经营者和虚拟电信业务经营者;第二大类是互联网信息服务提供者,该类主体又分为两类,一类是经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动;另一类是非经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。

其次,网络运营者,无论是经营性或非经营性,收集、使用个人信息时,应遵循“合法、正当、必要”原则,并在其经营或者服务的场所和网站公开其收集和使用个人信息的规则,该规则包括但不限于使用信息的目的、方式和范围等。

再次,网络经营者收集和使用用户个人信息,必须经被收集者同意,并应以邀约和承诺的方式与被收集者订立合同,明确约定收集、使用信息的目的、方式、范围、时限和采取的安全保护措施等,以及泄露、毁损、丢失用户个人信息的法律责任等;网络运营商单方面发布的网络电子格式合同,合同的拟定者必须遵循公平原则,不得利用网络运营者的优势地位侵害公民个人的信息权利。笔者建议,应当按照《网络安全法》对网络运营者的要求,由国家网信部门牵头统一制定《网络用户个人信息保护合同示范文本》,并根据发生的情况不断地进行更新。

最后,网络运营者收集和使用公民个人信息应当符合两个条件,第一是依法,这里的“法”主要指两类:法律或行政法规;第二是收集和使用公民个人信息,应当依据与公民个人订立的合同,同时该信息必须与网络运营者从事经营的服务相关联,比如电信运营商在依法进行实名制登记时,依法对公民个人身份信息的收集,如姓名、性别、年龄、家庭住址、电话号码等身份信息,如果电信运营商要求收集和处理公民个人的健康和基因信息,就违反了“合法、正当、必要”原则。

个人对其信息具有删除权和更正权

《网络安全法》第四十三条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

笔者认为,我国《网络安全法》中的“删除权”实质上就类似于欧盟个人数据立法中表述的“被遗忘权(right to oblivion)”。2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护条例》。在这部堪称史上最严格的数据保护条例中,欧盟对个人信息保护及其监管达到了前所未有的高度,其中第17条第1款规定,被遗忘权和信息数据删除权指的是信息数据主体享有网络服务提供者处理与其相关的个人信息和避免这些个人信息进行传播的权利。

我国《网络安全法》规定的公民对其信息的删除权请求权主要有两种情形,一是当事人发现网络运营商违反法律、行政法规或违反双方的约定收集和使用其信息;二是网络运营商所收集的个人信息的特定目的已经消灭或双方约定的期限已经届满,在这两种情形下,当事人均有权要求网络运营商删除和停止使用其个人信息。公民对其错误信息的更正权是指,当事人发现网络运营商收集、存储的其个人信息有错误或者有缺失的,有权要求其补充或更正。

《网络安全法》要求网络运营者必须建立相应的网络信息安全投诉和举报制度,并公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。考虑到网络运营商主动删除或更正其违法和违约收集个人信息或主动纠正个人的错误信息具有一定的成本,对此,《网络安全法》规定的“删除权”或“更正权”制度基本上采用了“避风港”规则,即在网络运营商被通知前提下的“删除”或“更正”。

网络运营者拒不履行管理义务将触犯《刑法》

针对一些网络服务提供者不履行网络安全管理义务,造成严重后果的情况,2016年出台的《刑法修正案(九)》专门设定了一个新的罪名“拒不履行信息网络安全管理义务罪”,增加规定:网络服务提供者不履行网络安全管理义务,经监管部门通知采取改正措施而拒绝执行,致使违法信息大量传播的,致使用户信息泄露,造成严重后果的,或者致使刑事犯罪证据灭失的,严重妨害司法机关追究犯罪的,追究刑事责任。《刑法》第二百八十六条之一规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。

2017年6月1日,最高人民法院和最高人民检察院公布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》实施,“两高解释”第九条进一步明确,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照《刑法》第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。

“两高解释”同时明确了对侵犯公民个人信息犯罪的单位刑事责任,我国《刑法》对单位犯罪在绝大部分情况下采取两罚制,一是对单位的罚金,二是对直接责任人的刑罚。“两高解释”在两罚制中,对单位是判处罚金,判处罚金采取无限额罚金制,即对罚金的数额未作规定;对直接负责的主管人员和直接责任人员是判处刑罚。“两高解释”第七条规定,对单位触犯《刑法》第二百五十三条之一规定之罪的,依照对相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。

本文转自d1net(转载)

时间: 2024-10-23 17:28:32

网络运营者是个人信息保护的第一责任人的相关文章

加强消费者个人信息保护意义重大

个人信息被誉为21世纪最富有价值的资源.具体而言,个人信息对自然人具有社会交往价值,对公权力主体具有管理价值,对企业等私主体具有商业价值.然而,在信息商业化过程中,信息失控已成为不争的事实.伴随着电子商务的普及,消费者成为个人信息泄露的主要受害群体.伴随信息泄露而至的垃圾短信.骚扰电话.精准诈骗日益威胁着人们的隐私.财产甚至生命安全:同时,消费者个人信息泄露还容易破坏市场秩序.制约经济发展,滋长各类犯罪.危害社会稳定,甚至引发公共安全及国家安全危机.因此,保护个人信息安全对于更好协调个人信息保护

一批新规6月起实施:网络安全法加强个人信息保护

网络安全法加强个人信息保护 <中华人民共和国网络安全法>将于2017年6月1日起施行,这是我国网络领域的基础性法律,明确加强了对个人信息的保护,打击网络诈骗. 网络安全法共有7章79条,其中针对个人信息泄露问题规定:网络产品.服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意:网络运营者不得泄露.篡改.毁损其收集的个人信息:任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息. 此外,网络安全法对网络诈骗.在关键信息基础设施的运行安全.建立网络

关于境内企业承接服务外包业务信息保护的若干规定

[发布单位]商务部 工业和信息化部[发布文号]商务部 工业和信息化部令 2009年第13号[发布日期]2009-12-28[实施日期]2010-02-01   <关于境内企业承接服务外包业务信息保护的若干规定>已于2009年10月22日经中华人民共和国商务部第29次部务会议和工业和信息化部审议通过,现予公布,自2010年2月1日起施行.    部长 陈德铭部长 李毅中二〇〇九年十二月二十八日----------------------------------------------------

政府安全资讯精选 2017年第五期 各国加强隐私和个人信息保护

[全球政策趋势] 印度最高法院裁定宪法保障公民隐私权  点击查看原文 概要:日前,印度最高法院作出历史性的判定,宣布宪法将保障印度公民的隐私权.该项决定可能会限制政府推广生物识别ID数据库Aadhaar计划.批评者称Aadhaar可能侵犯公民隐私权.并且,由于印度没有综合隐私保护法,公民在遇到数据泄漏情况时很难依法维权. 点评:印度最高法院的决定后,企业需要更加重视数据安全和用户隐私,尤其是与Aadhaar系统关联的产品和服务.例如,WhatsApp目前在印度用户量高达1.6亿,WhatsApp

【干货】史蕾:大数据征信时代的个人信息保护

嘉宾介绍: 史蕾:1998年毕业于复旦大学国际经济法专业,现柏杨云天(北京)企业咨询有限公司,合伙人.曾就职于纳斯达克B2B上市公司环球资源(NDSDAQ:GSOL)和奇虎360法务部. 密切关注大数据企业和大数据产品的创新性业务实践,为多家大数据公司产品合规分析.用户协议拟定.个人数据保护和隐私政策的制定.股权激励项目提供专项咨询意见. 讲座全文: 各位嘉宾下午好,首先感谢韩院长和清华大数据研究中心给我提供这次机会,也感谢微路演梁总的推荐.今天下午我带来的题目是<大数据征信时代的个人信息保护>

网络安全法实施 个人信息保护立法还需做什么?

我国对于个人信息的保护越来越严格.从6月1日起,最高人民法院.最高人民检察院联合发布的<关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释>(以下简称"两高司法解释")实施. 网络安全法也于6月1日起实施,对保护个人信息作出了规定:网络运营者不得泄露.篡改.毁损其收集的个人信息,未经被收集者同意也不得向他人提供个人信息.任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息. 即将从10月1日起实施的民法总则首次从民事基本法律层面提

网络安全法实施 个人信息保护立法还需做什么

我国对于个人信息的保护越来越严格.从6月1日起,最高人民法院.最高人民检察院联合发布的<关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释>(以下简称"两高司法解释")实施. 网络安全法也于6月1日起实施,对保护个人信息作出了规定:网络运营者不得泄露.篡改.毁损其收集的个人信息,未经被收集者同意也不得向他人提供个人信息.任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息. 即将从10月1日起实施的民法总则首次从民事基本法律层面提

信息保护:你的敏感信息正在被泄露、滥用

科技日报11月20日消息,我们的背后不知道有多少窥视的眼睛,身份.位置.银行账号--各种个人敏感信息正被各形各色的采集者获取,滥用.泄露的风险无处不在.大数据时代,个人信息保护正遭受严峻的挑战. 你放心把自己的钥匙交给陌生人吗? 在不久前支付宝的一次升级中,用户可以提供更多信息用以提升芝麻信用值.当中国移动员工宁宇发现支付宝希望客户提供客服密码,授权给芝麻信用使用时提出了质疑:"把你的客服密码告诉支付宝,就等于把自己家的钥匙交了出去,你放心么?" 我国电信运营商都要求客户设置客服密码,

大数据时代个人信息保护的新思路

随着全球范围内大数据产业的全面推进,公民隐私及个人信息保护问题也日益凸显,传统个人信息保护框架在大数据时代遭遇严峻冲击,如何寻求个人信息的合理及有效保护成为各国普遍面临的难题.个人信息不仅承载着个人权益,也在很大程度上牵涉到商业机密.企业信誉.国家安全与信息主权,因此,应妥善协调产业发展与个人信息保护,积极探索顺应时代特征的新思路,构建安全.信任的大数据产业环境. 一.大数据时代个人信息保护的新挑战 大数据时代,个人信息保护面临前所未有的新挑战.首先,随着移动互联网的普及和智能穿戴等物联网设备的