隨著網絡信息技術的高速發(fā)展,網絡空間規(guī)范治理與網絡安全保障成為各國各地區(qū)高度重視的問題����。習近平總書記指出:沒有網絡安全就沒有國家安全,就沒有經濟社會穩(wěn)定運行,廣大人民群眾利益也難以得到保障��。為了保障網絡安全����,維護網絡空間主權和國家安全、社會公共利益�����,保護公民���、法人和其他組織的合法權益��,促進經濟社會信息化健康發(fā)展�,2016年11月7日�����,《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)審議通過���,并于2017年6月1日起正式施行���。
施行五年以來����,《網絡安全法》確立的網絡運行安全�����、網絡信息安全等網絡安全領域的基本制度�,通過執(zhí)法、立法和司法三個方面的工作得到充分貫徹落實和不斷發(fā)展完善���。到目前為止����,我國已經構建起以《網絡安全法》等法律為核心�����,包括《中華人民共和國數(shù)據安全法》(以下簡稱《數(shù)據安全法》)《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》等法律法規(guī)在內的科學合理完備的網絡安全法律規(guī)范體系�����。
以網絡信息安全為例�,《網絡安全法》確立了我國個人信息保護的體系框架和基本內容�,如個人信息保護的基本原則、告知同意規(guī)則、網絡運營者保護個人信息安全的義務�、個人要求網絡運營者刪除或更正的權利等。在《網絡安全法》等基礎上��,經過《中華人民共和國民法典》(以下簡稱《民法典》)����、《個人信息保護法》等法律的充實和發(fā)展,最終建立了有中國特色的個人信息保護法律制度���。
首先��,《網絡安全法》明確了網絡運營者在收集��、使用個人信息時應當遵循合法���、正當、必要三項原則��,同時確立個人信息處理中的知情同意規(guī)則�����,即網絡運營者必須明示收集���、使用信息的目的��、方式和范圍�����,并經被收集者同意����。《網絡安全法》將網絡運營者處理個人信息的合法性根據明確為兩類����,即用戶的同意或者有關法律、行政法規(guī)的規(guī)定���。這些規(guī)定都為《民法典》《個人信息保護法》進一步規(guī)定個人信息處理的基本原則以及合法性根據提供了依據�����。例如����,《民法典》第1035條規(guī)定:“處理個人信息的�����,應當遵循合法�、正當、必要原則����,不得過度處理”?!秱€人信息保護法》第13條第1款第2-7項將《網絡安全法》中的法律、行政法規(guī)的規(guī)定細化為六類情形�����,如“為公共利益實施新聞報道���、輿論監(jiān)督等行為����,在合理的范圍內處理個人信息”等�。
其次,《網絡安全法》明確了網絡運營者對其收集的用戶信息負有嚴格保密義務��,并要求其建立健全用戶信息保護制度����。同時����,該法明確規(guī)定了網絡運營者對其收集的個人信息所負有的法定義務����,包括:不得泄露、篡改�����、毀損收集的個人信息�����;未經被收集者同意�����,不得向他人提供個人信息��;采取技術措施和其他必要措施��,確保其收集的個人信息安全,防止信息泄露��、毀損�、丟失;在發(fā)生或者可能發(fā)生個人信息泄露��、毀損��、丟失的情況時����,應當立即采取補救措施�,按照規(guī)定及時告知用戶并向有關主管部門報告。此外�,《網絡安全法》還規(guī)定,網絡運營者應當加強對其用戶發(fā)布的信息的管理���,發(fā)現(xiàn)法律�、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?���,應當立即停止傳輸該信息,采取消除等處置措施����,防止信息擴散����,保存有關記錄��,并向有關主管部門報告����。根據《網絡安全法》對網絡運營者應當保護用戶信息的義務的規(guī)定,《個人信息保護法》專章(第5章)對個人信息處理者的義務作出了詳細的規(guī)定����,如:明確了應當采取哪些措施防止未經授權的訪問以及個人信息泄露、篡改�����、丟失(第51條)�����;定期進行合規(guī)審計的義務(第54條)�;在規(guī)定的情形下事前進行個人信息保護影響評估,并對處理情況進行記錄的義務(第55-56條)�;發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的��,個人信息處理者采取補救措施以及通知的義務(第57條)等�����。
再次�,《網絡安全法》明確了個人享有刪除權與更正權,即個人發(fā)現(xiàn)網絡運營者違反法律�、行政法規(guī)的規(guī)定或者雙方的約定收集����、使用其個人信息的,有權要求網絡運營者刪除其個人信息��;發(fā)現(xiàn)網絡運營者收集�、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正�。《民法典》與《個人信息保護法》在此基礎上��,將刪除權和更正權擴展到所有的個人信息處理者���,如《民法典》第1037條規(guī)定:“自然人可以依法向信息處理者查閱或者復制其個人信息�;發(fā)現(xiàn)信息有錯誤的,有權提出異議并請求及時采取更正等必要措施�。自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的���,有權請求信息處理者及時刪除����。”《個人信息保護法》第47條則進一步明確了個人信息處理者應當主動刪除個人信息的情形�����。
總之�,《網絡安全法》構建了我國網絡安全法律規(guī)范體系的基本框架,此后頒布的《個人信息保護法》《數(shù)據安全法》等法律法規(guī)在此框架體系內��,不斷充實���、完善和發(fā)展了我國網絡安全法律規(guī)范體系�����,進一步筑牢了我國網絡安全防線����,提高了我國網絡安全保障水平。
