2016年11月7日,全国人大常委会审议通过了《中华人民共和国网络安全法》(“网络安全法”),该法将于2017年6月1日正式实施。一经发布,网络安全法即引起社会各界的广泛关注,“网络空间主权”、“网络安全等级保护”、“关键信息基础设施”等一系列概念顿时成为了社会讨论的热点话题。

而网络安全法的另外一大亮点是其中关于个人信息保护的相关条款。个人信息保护法的草案曾于2008年提交国务院立项审查,但此后立法进程即停滞不前。因此,在网络安全法出台之前,我国个人信息保护规则仅散见于多部不同的法律法规和规范性文件中,如《侵权责任法》、《刑法》、《治安管理处罚法》、《消费者权益保护法》和《全国人大常委会关于加强网络信息保护的决定》等。网络安全法的出台为个人信息保护制度开创了多个“首次”,尤为引人注目。

一、新标杆树立,开创四大“首次”

首次在法律层面确立了一般意义上“个人信息”的概念,成体系地在法律层面确定了个人信息保护的基本规则

网络安全法第七十六条规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。

“个人信息”及其他类似概念,如“个人电子信息”[1]、“个人金融信息”[2] 以往散见于不同的法规和规范性文件中。而网络安全法首次在法律层面确立了一般意义上的“个人信息”,进一步扩大了个人信息的保护范围。一方面,个人信息不再要求有特定的记录方式,即通过任何方式记录下来的信息都将被包括在内;另一方面,网络安全法中“个人信息”的概念强调可识别性,即使是通过与其他信息结合才能识别身份的信息,也属于网络安全法保护的个人信息。

首次明确了禁止向他人提供个人信息的例外情形

网络安全法规定,未经被收集者同意,不得向他人提供个人信息。而与此同时,网络安全法首次明确了上述禁止性规定的例外,即如果特定信息经过处理无法识别特定个人,并且不能复原,则不受上述限制。

根据此前的相关规定,收集个人信息均要求经个人同意方可进行,并未设置例外条款。事实上,由于经过处理无法识别特定个人且不能复原的信息很难指向特定个人,利用此类信息侵害个人合法权益的可能性也较小。因此,在国家鼓励和推动大数据产业发展的大背景下,网络安全法给予脱敏信息“豁免性”地位有利于保障利用脱敏信息进行数据挖掘及其他方面研究行为的合法性与积极性,推动数据产业的发展。

首次在法律层面规定特定个人信息的存储位置,维护国家信息安全

网络安全法对关键信息基础设施运营者的个人信息存储地点提出了特殊要求,要求在我国境内运营中收集和产生的个人信息和重要数据应当在我国境内存储。

目前,我国仅在某些特殊领域有对个人信息存储位置的要求。例如,根据中国人民银行的有关规定,在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行,银行业金融机构不得向境外提供境内个人金融信息。鉴于关键信息基础设施的认定尚无明确规定,该条款加大了企业存储个人信息过程中面临的潜在风险和不确定性。

首次在法律层面全面确立了违反个人信息保护规则的行政责任

根据网络安全法的规定,侵害个人信息相关权利时,将面临警告、没收违法所得、罚款、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证和吊销营业执照等法律责任。其中对直接责任人员的罚款数额可达十万元,对网络运营者的罚款数额更可高达一百万元。

此前,对违反个人信息保护规则的法律责任,具体的罚则散落于《全国人大常委会关于加强网络信息保护的决定》、《刑法》、《治安管理处罚法》、《消费者权益保护法》等各部独立法律法规及规范性文件之中。相较于此前的规定,网络安全法对违法行为的罚款力度明显提高;此外,与《全国人大常委会关于加强网络信息保护的决定》相比,网络安全法增加了对直接责任人员的罚款,并且明确了侵犯个人信息情节严重时的多种罚则,即新增了责令暂停相关业务、停业整顿以及吊销营业执照。

二、体系性归纳,收集个人信息“有规可循”

网络安全法第四章针对收集、使用个人信息做出的规定,将此前散落在多个法律法规中关于个人信息保护的一般规则进行了体系性的归纳。为便于大家理解,我们将这些规则整理如下。

规则类型

规则内容

基本原则

网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。

信息收集

  • 公开收集、使用规则;
  • 明示收集、使用信息的目的、方式和范围;
  • 需要取得被收集者的同意。

信息使用

使用范围

网络运营者对于个人信息应当严格保密,其不得向他人提供个人信息。特定信息经过处理无法识别特定个人且不能复原的除外。

使用方式

网络经营者应当采取技术措施和其他必要措施确保其收集的个人信息的安全性,避免信息的泄露、篡改和毁损。

信息处理

依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

三、高位法确认,维护个人权利“有法可依”

在确立个人信息保护基本规则的基础之上,网络安全法更在若干方面进一步拓展了个人信息的权利范围,为公民的个人信息提供了更为全面的保护。

拓展公民知情权

网络安全法第二十二和第四十二条规定,在发生或可能发生信息的泄露、篡改和毁损,或发现其网络产品、服务存在安全缺陷、漏洞等风险时,网络运营者或者网络产品、服务提供者应当及时告知客户。

因此,企业在开展业务的过程中如需收集、使用个人信息,不仅应当告知信息收集和使用的规则、目的、方式和范围,更需注意在发生或可能发生潜在危机时及时履行告知客户的法定义务,以便客户采取应对措施、降低潜在损失。这就要求企业完善内部危机应对机制,更为密切地关注信息安全,以便在突发情况下及时、有效地做出应对。

明确泄露信息删除权

网络安全法第四十三条规定,网络运营者收集、使用个人信息违反法律规定或双方约定的,个人有权要求删除。也就是说,个人不仅在网络运营者违法收集信息的情况下有权要求删除相关信息,还可以网络运营者违反双方约定为由要求删除信息。

实际上,网络安全法对删除权的确定与收集使用信息需遵循的正当性、必要性原则一脉相承——无论是违反法律规定,还是违反双方约定的收集使用信息的范围和期限,即意味着企业失去了留存使用信息的合理理由,依法应当删除相关信息。因此,从合规角度,企业在制定与用户的合同条款时需对有关收集使用信息的合同约定内容予以充分关注,从企业内部制度设计的角度降低潜在风险。

确立错误信息更正权

网络安全法第四十三条规定,网络运营者收集、存储的个人信息有错误的,个人有权要求予以更正。

此前,我国仅在个别领域对此种权利有明确规定,例如《个人信用信息基础数据库管理暂行办法》曾规定个人有权向征信管理部门就错误信用信息提出异议。[3]此次,网络安全法则从更广泛的意义上赋予了个人信息主体更正错误信息的权利。

四、拭目以待,企业合规依然“任重道远”

鉴于网络安全法中有关个人信息保护规则的适用主体为网络经营者,而网络安全法中“网络经营者”[4] 与“网络” [5]的概念都极为宽泛,在没有进一步具体规定的情况下,很难将某一特定类型的经营者排除在适用范围之外。换言之,网络安全法在法律层面规制个人信息保护的主体范围达到了前所未有的广度。

网络安全法首次成体系地从法律层面对个人信息保护制度的相关规则进行了梳理和确认,并强化了法律责任,为企业收集、使用个人信息提出了更高的要求。而部分规定的具体操作规程尚待明晰和完善,也为企业建立健全内部的信息安全管理机制带来了新的挑战。此外,网络安全法并未明确依法承担保护个人信息职权的监管机构,这在一定程度上也增大了执法的不确定性。

从合规经营的角度,企业应对个人信息保护给予充分重视,制定和完善企业与用户、以及与第三方就个人信息收集使用签订的合同文本及其他相关政策,并密切关注相关立法的发展以确保企业经营合规性。值得注意的是,中央网信办网络安全协调局局长日前表示���为更好地保护个人信息,中央网信办正在着手制定个人信息收集规范标准。可以预见,企业未来在收集使用个人信息过程中将面临着日趋严格的法律规制。我们将与企业一同密切关注个人信息保护立法与执法的发展。

作者:宁宣凤(合伙人)、尹冉冉(合伙人)、卫凌波(律师助理)、黎辉辉(律师助理)