《网络空间安全法律法规》课件第5章.pptx

资源描述

1、第5章网络空间安全个人信息保护法律法规第第5章章网络空间安全个人网络空间安全个人信息保护信息保护法律法规法律法规 5.1 网络安全法中对个人信息的保护网络安全法中对个人信息的保护解读解读 5.2 全国人民代表大会常务委员会关于加强全国人民代表大会常务委员会关于加强网络网络信息信息保护的决定保护的决定解读解读 5.3 两高关于办理侵犯公民个人信息刑事两高关于办理侵犯公民个人信息刑事案件案件适用适用法律若干问题的解释法律若干问题的解释解读解读 5.4 民法及相关司法解释中关于公民个人民法及相关司法解释中关于公民个人信息信息保护法保护法律规定律规定解读解读 5.5 其他个人信息相关法律其他个人信

2、息相关法律解读解读 5.6 案例分析案例分析第5章网络空间安全个人信息保护法律法规5.1 5.1 网络安全法中对个人信息的保护网络安全法中对个人信息的保护解读解读中华人民共和国网络安全法中华人民共和国网络安全法(节选节选)(2016(2016年年1111月月7 7日第十二届全国人民代表大会常务委员会第二日第十二届全国人民代表大会常务委员会第二十四次会议通过十四次会议通过)第三章第三章网络运行安全网络运行安全第一节第一节一般一般规定规定第二十二条网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立

3、即采取补救措施,按照规定及时告知用户并向有关主管部门报告。第5章网络空间安全个人信息保护法律法规【重点法条解读重点法条解读】本条第三款规定了网络产品、网络服务提供者收集用户信息应当遵守的规则,明确了只要涉及收集用户信息的,均须获得用户的同意。但对于用户个人信息和非个人信息设置了不同程度的规则要求。涉及用户个人信息的收集行为还须遵守个人信息保护的相关规定。从现行的法律,行政法规的规定来看,该规定包括必要原则、目的明确原则,以及更高的透明度要求、更高的安全保障义务要求等。第5章网络空间安全个人信息保护法律法规此外,需要注意的是,在网络安全法颁布之前,无论是全国人民代表大会常务委员会关于加强网络

4、信息保护的决定还是消费者权益保护法、征信业管理条例,乃至之后颁布的民法总则等均强调的是对于个人信息的收集需要获得数据主体的同意,而并未要求非个人信息的收集行为也须获得数据主体的同意。因此,本条第三款实际在很大程度上提高了对于用户信息收集行为的要求。第5章网络空间安全个人信息保护法律法规【法律法规衔接问题】网络安全法第四章专门规定了网络运营者的用户信息保护义务,但其义务主体为网络运营者,并不能完全覆盖网络产品和网络服务的提供者。随着越来越多的网络产品和服务具有收集用户信息的功能,也为用户信息安全带来了风险,因此,有必要对网络产品、服务提供者收集用户信息的行为加以规范。本条第三款规定的网络产品和

5、服务提供者的用户信息保护规则,与第四章网络运营者的用户信息保护规定共同为用户信息提供了更为全面的保护。第5章网络空间安全个人信息保护法律法规此外,除了网络安全法,全国人民代表大会常务委员会关于加强网络信息保护的决定、民法总则、消费者权益保护法、刑法、广告法、测绘法、公共图书馆法、最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释、征信业管理条例、地图管理条例等法律、行政法规中均有涉及个人信息保护的相关规定。网络安全法中的个人信息保护规定与上述法律法规中个人信息保护相关规定一起共同构建了我国个人信息保护制度的基本框架和体系。第5章网络空间安全个人信息保护法律法

6、规第二十四条网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。第5章网络空间安全个人信息保护法律法规【重点法条解读重点法条解读】本条是关于网络真实身份管理的规定。随着信息时代的到来,网络在社会生产和生活中占据着日趋重要的地位。网络空间中的行为对现实社会中的个人或组织也会产生影响,因此,需要对之加以规范,

7、否则网络空间可能成为违法犯罪行为的避风港。但碍于网络的虚拟性,现实世界中比较容易确认的行为主体问题在网络空间变得愈加困难。为将网络空间的行为与现实的法律关系制度进行对接,规范网络行为,预防、制裁网络犯罪,网络实名制应运而生。第5章网络空间安全个人信息保护法律法规在网络安全法颁布之前,我国已有一些规范对网络身份管理进行了规定。网络安全法在总结现行规范的基础上,从网络安全基本立法层面确立了网络身份管理制度。从本条的规定来看,需真实身份认证的主体为用户,这里的用户既包括自然人,也包括法人及其他组织。应当进行真实身份认证的业务包括:1.网络接入、域名注册服务;2.固定电话、移动电话等入网手续;3.信

8、息发布、即时通讯等服务。此外,需要注意的是,与2012年的人大决定的规定相比,在应当落实真实身份认证的业务中,网络安全法新增了“域名注册服务”、“即时通讯服务”。第5章网络空间安全个人信息保护法律法规网络安全法在总结现行规范的基础上,从网络安全基本立法层面确立了网络身份管理制度。从本条的规定来看,需真实身份认证的主体为用户,这里的用户既包括自然人,也包括法人及其他组织。应当进行真实身份认证的业务包括:1.网络接入、域名注册服务;2.固定电话、移动电话等入网手续;3.信息发布、即时通讯等服务。此外,需要注意的是,与2012年的人大决定的规定相比,在应当落实真实身份认证的业务中,网络安全法新增

9、了“域名注册服务”、“即时通讯服务”。第5章网络空间安全个人信息保护法律法规【法律法规衔接问题法律法规衔接问题】网络安全法颁布之后,为落实本条的规定,一些配套规范中对真实身份认证做出了规定。主要包括:2017年5月,网信办发布了互联网新闻信息服务管理规定。该规定于2017年6月1日起施行,明确了互联网新闻信息服务提供者为用户提供互联网新闻信息传播平台服务的,应当按照网络安全法的规定,要求用户提供真实身份信息;用户不提供真实身份信息的,不得为其提供相关服务。第5章网络空间安全个人信息保护法律法规2017年8月,工信部通过了互联网域名管理办法,2004年11月5日公布的中国互联网络域名管理办法

10、同时废止。该办法要求申请设立域名注册管理机构、域名注册服务机构的应当具有进行真实身份信息核验和用户个人信息保护的能力,并明确域名注册服务机构提供域名注册服务的,应当要求域名注册申请者提供域名持有者真实、准确、完整的身份信息等域名注册信息,并进行核验;信息不准确、不完整的,应当要求其予以补正。申请者不补正或者提供不真实的域名注册信息的,不得为其提供域名注册服务。第5章网络空间安全个人信息保护法律法规2017年8月,网信办通过了互联网跟帖评论服务管理规定,该规定明确跟帖评论服务提供者应当按照“后台实名、前台自愿”原则,对注册用户进行真实身份信息认证,不得向未认证真实身份信息的用户提供跟帖评论服务

11、。此外,2017年1月,国务院法制办公室公布了未成年人网络保护条例(送审稿)公开征求意见,其中明确规定了网络游戏服务提供者应当要求网络游戏用户提供真实身份信息进行注册,有效识别未成年人用户,并妥善保存用户注册信息。第5章网络空间安全个人信息保护法律法规第二第二节节关键信息基础设施的运行关键信息基础设施的运行安全安全第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。第5章网络空间安全个人信息保护法律法规【

12、重点法条解读重点法条解读】本条是关于数据本地化和数据出境安全评估的规定。随着信息化水平的提高,关键信息基础设施中存储着大量的关涉国家安全、国计民生、公共利益的个人信息和重要数据。为降低个人信息和重要数据的安全风险,同时也为执法、司法等需要,本条规定了关键信息基础设施的运营者在中国境内运营和产生的个人信息和重要数据原则上均应在中国境内存储。但要求相关数据境内存储并不意味着绝对禁止数据出境。本条确立了数据出境安全评估制度。因业务需要,确需向境外提供的,符合相关的安全评估要求后,可以出境。本条还明确了数据出境评估办法由国家网信部门会同有关部门制定。此外,本条也为数据出境的规范留下了较大的空间,明确了

13、其他法律和行政法规可对此做出特殊规定,为本条与现行其他规范的衔接及未来相关规范的出台预留了接口。第5章网络空间安全个人信息保护法律法规【难点问题解析难点问题解析】如何理解“业务需要,确需向境外提供”以及如何进行安全评估?2017年4月11日,国家互联网信息办公室发布了个人信息和重要数据出境安全评估办法(征求意见稿)。根据该征求意见稿的规定,不仅是关键信息基础设施的个人信息和重要数据出境需要进行评估,其他的网络运营者涉及个人信息和重要数据出境的,也需要进行安全评估;且针对个人信息,除数据出境具有必要性外,还需要获得信息主体的同意。但该意见稿将安全评估方式划分为自评估和主管部门评估两种,对于未达

14、到一定数量的个人信息,以及不涉及特定领域的重要数据出境,仅需网络运营者自行评估即可。对于达到一定量级的个人信息以及特定领域的重要数据,以及涉及关键信息基础设施中的个人信息和重要数据出境的,必须由相关主管部门组织评估,安全评估符合条件才可出境。第5章网络空间安全个人信息保护法律法规2017年5月27日,全国信息安全标准化委员会公布了信息安全技术数据出境安全评估指南(草案),对于数据出境的评估流程和评估要点等做了进一步的细化规定,明确所有数据的出境均应当满足合法正当且风险可控的要求,并对个人信息出境和重要数据出境的评估要点分别加以明确。其中,该草案对于“因业务需要,却需向境外提供”做出了细化的

15、指引,即满足数据出境的最小化原则向境外传输的数据应与出境目的相关的业务功能有直接关联。直接关联是指没有该信息的参与,相应功能无法实现;向境外自动传输的数据频率应是与数据出境目的相关的业务功能所必需的最低频率;向境外传输的数据数量应是与数据出境目的相关的业务功能所必需的最低数量。2017年8月25日,信息安全技术数据出境安全评估指南(征求意见稿)发布,对重要数据的概念、行业主管部门的评估工作等进行了修改,增强了数据跨境和本地化遵从的可操作性。第5章网络空间安全个人信息保护法律法规【法律法规衔接问题法律法规衔接问题】本条规定了关键信息基础设施中的个人信息和重要数据出境的一般规则,但也明确了“法律

16、、行政法规另有规定的,依照其规定”,为本条与现行其他规范的衔接及未来相关规范的出台预留了接口。从现行规范来看,数据本地化和数据出境相关规定主要散见于各部门规章和部门规范性文件中,例如,2011年中国人民银行发布的中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知明确规定“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。第5章网络空间安全个人信息保护法律法规第四第四章章网络信息安全网络信息安全第四十条网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。【重点法条解读】本条规定了用户信息保护制度。随着信息技术的发展,信息,尤其是个人信息的收集、使

17、用现象愈加普遍,随之而来的隐私保护问题、数据歧视问题、信息泄露问题也带来了诸多隐患。在此背景下,为保护用户信息,亟需对信息的收集处理行为加以规范。本条明确了网络运营者应建立用户信息保护制度。此处的“用户”既包括自然人,也包括法人及其他组织。“用户信息”也不限于个人信息。但由于个人信息保护面临的问题更为突出,用户信息保护制度的重点仍在于保护个人信息。第5章网络空间安全个人信息保护法律法规第四十一条网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律

18、、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。第5章网络空间安全个人信息保护法律法规【重点法条解读重点法条解读】本条规定了网络运营者收集使用个人信息的基本原则。本条采用了国际上个人信息保护规范的通行做法,规定了个人信息收集使用的基本原则包括:合法正当原则、必要原则、公开原则、知情同意原则、目的明确原则及目的限制原则等。第5章网络空间安全个人信息保护法律法规其中,合法正当原则是指个人信息收集使用的方式、目的应当基于正当的目的,符合法律法规的规定;必要原则是指网络运营者应仅收集与其提供的服务相关的、必要的个人信息,不得收集与

19、服务无关的个人信息。公开原则是指网络运营者应当公开其个人信息收集使用的规则,并明示其收集、使用信息的目的、方式和范围;知情同意原则是指网络运营者收集使用个人信息时,应当确保信息主体的知情权,并征得数据主体的同意,未经同意,不得收集处理个人信息。目的明确原则是指网络运营者收集使用个人信息应具有具体的处理目的。目的限制原则是指网络运营者不得违反双方约定收集使用信息,未获得信息主体的授权,不得改变个人信息的处理目的。第5章网络空间安全个人信息保护法律法规【难点问题解析难点问题解析】知情同意原则如何落实?知情同意原则是个人信息保护的重要机制,也是目前国际上的通行做法。欧盟2018年实施的一般数据保护

20、条例、OECD1980年颁布的关于隐私保护与个人数据跨界流通的指导方针等均将数据主体的“同意”作为个人信息处理重要的合法性基础。但与国际上的通行做法略有不同的是,本条将数据主体的同意作为个人信息处理的唯一的合法性基础,未规定任何例外的情形。因此,知情同意原则在我国个人信息保护框架中显得尤为重要。第5章网络空间安全个人信息保护法律法规但是,从目前的立法来看,我国对于知情同意原则的规定相对抽象,缺乏可操作性。何为有效的告知,何为有效的同意缺乏明确的指引。加之技术及数据处理场景的复杂性,在具体的个人信息处理场景中应如何切实有效地落实知情同意原则不仅面临着法律适用难题,在有些场景中也面临着技术难题。

21、在实践中,网络运营商的告知是否属于有效的告知,征得数据主体的同意是否属于有效的同意,需要根据告知的时间、告知的内容、告知的方式,征求同意的内容、方式,以及收集使用的个人信息的类型、敏感性程度、信息所面临的安全风险等级等因素综合考量。第5章网络空间安全个人信息保护法律法规【法律法规衔接问题法律法规衔接问题】关于知情同意原则,全国人民代表大会常务委员会关于加强网络信息保护的决定、消费者权益保护法、最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释、征信业管理条例、地图管理条例、电信和互联网用户个人信息保护规定中均做出了与本条类似的规定。第5章网络空间安全个人信息

22、保护法律法规需要注意的是,2014年施行的最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定第十二条对个人信息的公开行为做出了规定。该规定与本条规定有很大的不同。该条明确了网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料等个人隐私和其他个人信息,造成他人损害的应当承担侵权责任,但规定了以下例外:(1)经自然人书面同意且在约定范围内公开;(2)为促进社会公共利益且在必要范围内;(3)学校、科研机构等基于公共利益为学术研究或者统计的目的,经自然人书面同意,且公开的方式不足以识别特定自然人;(4)自然人自行在网络上公开的信息或者其他已合法公开的

23、个人信息;(5)以合法渠道获取的个人信息;(6)法律或者行政法规另有规定。从该条来看,除了获得数据主体的同意之外,个人信息的公开行为至少还有其四项合法性基础。但鉴于网络安全法的位阶高于该司法解释,目前,关于同意规则的规定,仍应当适用本条的规定。第5章网络空间安全个人信息保护法律法规第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施

24、,按照规定及时告知用户并向有关主管部门报告。第5章网络空间安全个人信息保护法律法规【重点法条解读重点法条解读】本条规定了个人信息的公开规则以及网络运营者的安全保障义务。1.个人信息的公开规则个人信息的公开规则本条并未采用“公开”个人信息的表述,而是用“提供”。这里的“提供”宜理解为包括向特定对象的共享行为,向不特定公众的披露行为;包括数据控制者在继续持有个人信息基础上向第三方的传输行为,以及数据控制者不再保有个人信息而向第三方的转让行为。根据本条的规定,网络运营者向他人提供个人信息的,应当获得信息主体的同意。但随之而来的但书,又做出了例外的规定,即对个人信息进行匿名化处理,达到无法识别特定个

25、人且不能复原的程度的不受前述规则的约束。第5章网络空间安全个人信息保护法律法规2.网络运营者的安全保障义务网络运营者的安全保障义务随着网络运营者收集使用个人信息的行为日益普遍,网络运营者掌握着大量的个人信息。仅仅依靠信息主体自身的安全意识和自我行为并不能保障这些信息的安全,防范信息的滥用给信息主体带来的风险。因此,对于网络运营者安全保障义务的规定显得尤为必要。除本条外,民法总则、消费者权益保护法等诸多法律法规均对网络运营者的信息安全保障义务做出了规定。根据本条的规定,网络运营者的安全保障义务包括:1)保障信息的完整性、保密性和可用性义务网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收

26、集者同意,不得向他人提供个人信息。采取技术措施和其他必要措施,保障信息安全。第5章网络空间安全个人信息保护法律法规2)采取补救措施义务在发生或可能发生信息安全事件时,网络运营者采取补救措施对于预防事件的发生或者防止损失的扩大具有非常重要的作用。消费者权益保护法、电信和互联网用户个人信息保护规定等均对此做出了规定。第5章网络空间安全个人信息保护法律法规3)通知和报告义务根据本条的规定,在发生或者可能发生个人信息泄露、毁损、丢失的情况时,网络运营者除了应当向有关主管机构报告外,还应当告知用户。我国现行规范中,有诸多规范对向有关主管机构的报告义务做出了规定。例如2011年修订的计算机信息系统安全

27、保护条例第十四条规定,对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。2013年工信部颁布的电信和互联网用户个人信息保护规定第十四条规定,电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告。第5章网络空间安全个人信息保护法律法规【难点问题解析难点问题解析】匿名化处理有哪些困难?关于匿名化问题,本条第一款的但书规定将匿名化了的个人信息排除在个人信息公开规则的使用范围之外。由此可见,立法者有意从制度设计层面为大数据的

28、应用留下可行性空间,以取得个人信息保护和公众利益之间的平衡。这也符合国际上的通行做法。欧盟的一般数据保护条例就明确将匿名化的数据作为个人信息保护规则适用的例外。但是,随着信息技术的发展,曾经被匿名化了的信息可能面临着被重新识别的风险,绝对的匿名化实难实现。因此,对于经匿名处理的个人信息仍需要置于特定场景和技术环境中加以动态、持续地评估和认定,以确定是否属于本条所规定的“无法识别特定个人且不能复原的”信息。第5章网络空间安全个人信息保护法律法规第四十三条个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的

29、其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。第5章网络空间安全个人信息保护法律法规【重点法条解读重点法条解读】本条是关于个人信息删除权和更正权的规定。赋予信息主体个人信息删除权和更正权是个人信息保护领域中个人参与原则的要求。个人参与原则是指个人信息的控制者或处理者在收集处理个人信息时应向个人信息主体提供访问、更正、删除其个人信息的渠道或途径。作为个人信息保护重要国际规范,OECD1980年颁布的关于隐私保护与个人数据跨界流通的指导方针规定的个人信息保护八大基本原则中就包括个人参与原则。根据本条的规定,数据主体有权更正个人信息的情形为:网络运营者收集

30、、存储的其个人信息有误。数据主体有权删除个人信息的情形包括:第5章网络空间安全个人信息保护法律法规(1)网络运营者违反法律、行政法规的规定收集使用个人信息。目前,我国没有统一的个人信息保护法,对于个人信息收集使用行为的规定散见于各法律规范中。综合现行相关规定来看,“违反法律、行政法规的规定收集使用个人信息”主要是指违反合法正当必要原则、知情同意原则、目的限制原则等个人信息收集使用原则,以及未履行安全保障义务等。此外,有些规范也对信息主体有权行使删除权的情形作出了规定。例如征信业管理条例第十六条规定,征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除

31、。第5章网络空间安全个人信息保护法律法规(2)网络运营者违反双方约定收集使用个人信息。欧盟2016年通过的一般数据保护条例第十七条规定了“被遗忘权”。根据该条的规定,数据主体有权要求数据控制者在以下情况下删除其个人数据:(1)基于收集、处理目的,数据不再必要;(2)用户撤回同意,且继续处理该数据没有其他正当理由;(3)用户反对处理其个人数据,且继续处理该数据没有其他正当理由,或出于直接营销目的处理个人数据,用户表示反对;(4)非法处理个人数据;(5)为遵守企业在欧盟或成员国法律规定的义务,必须删除该数据;(6)为提供信息社会服务,经其监护人同意而处理儿童个人数据。需要注意的是,本条规定的删除

32、权与欧盟法上的被遗忘权并不相同。我国并没有赋予信息主体以同意撤回权,也没有欧盟法中类似的反对权。仅在网络运营者违法或违约处理个人信息时,信息主体才享有删除权。第5章网络空间安全个人信息保护法律法规第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。【重点法条解读】本条属于禁止性规定。规制的主体既包括网络运营者也包括其他任何个人或组织。为保护个人信息,本条明令禁止的行为包括:非法获取个人信息、非法出售个人信息、非法提供个人信息。第5章网络空间安全个人信息保护法律法规“非法获取个人信息”是指窃取或者以其他非法方式获取。根据2017年施行的最

33、高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释(以下简称两高解释)的规定,“以其他方法非法获取公民个人信息”是指违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的行为。典型的非法获取个人信息的行为包括,公权力机关没有合法的法律依据,或者违反法定程序或方式收集个人信息。私权主体未经信息主体的同意收集个人信息。“非法出售个人信息”是指违反国家规定,出售个人信息的行为。其中,“出售”是指以获利为目的将个人信息出卖给他人,表现为个人信息的有偿转让。第5章网络空间安全个人信息保护法律法规“非法提供个人信息”,

34、根据两高解释的规定,“非法提供个人信息”是指违反国家有关规定,向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的行为。这里的“提供”表现为对个人信息的无偿转让。第四十五条依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。第5章网络空间安全个人信息保护法律法规【重点法条解读】本条是关于特定人员保密义务的规定,规制的主体是负有网络安全监督管理职责的部门及其工作人员。需要注意的是,与第四十四条不同,本条要求负有网络安全监督管理职责的部门及其工作人员禁止的行为包括泄露、出售和非法提供个人

35、信息。但本条禁止的“出售”行为并不强调“非法性”,意味着对于负有网络安全监督管理职责的部门及其工作人员在履行职责中知悉的个人信息、隐私和商业秘密是绝对禁止出售的。即使该信息为合法所得或者已经获得了信息主体的同意,也不能出售。第5章网络空间安全个人信息保护法律法规【法律法规衔接问题法律法规衔接问题】我国诸多法律法规均规定了特定人员对于履行职责获知的个人信息、隐私、商业秘密负有保密义务。2009年施行的刑法修正案(七)增设了刑法第二百五十三条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪,明确“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履

36、行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金”。2015年刑法修正案(九)对刑法第二百五十三条之一作出修改完善,将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,并将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的行为列为从重处罚情节。第5章网络空间安全个人信息保护法律法规第四十九条网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。网络运营者对网信部门和有关部门依法实施的监督检查,应当

37、予以配合。【重点法条解读重点法条解读】本条是对用户投诉机制的规定。通过投诉机制,用户在发现自己的信息有误或被非法处理时可以及时向网络运营者反馈。投诉机制的建立是网络运营者履行个人信息保护义务的重要措施。第5章网络空间安全个人信息保护法律法规本条仅对用户投诉机制做了原则性的规定。本条之外,我国现行的其他规范中已有对用户个人信息投诉机制更为细化的规定。例如:2013年国务院颁布的征信业管理条例针对征信行业的异议和投诉机制专门规定了“异议和投诉”一章,明确了提起异议和投诉的条件,处理异议和投诉机构、处理期限、处理后果等。2013年工信部颁布的电信和互联网用户个人信息保护规定第十二条规定,电信业务经

38、营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。2018年5月1日生效实施的国家标准信息安全技术个人信息安全规范第7.12节规定,个人信息控制者应建立申诉管理机制,包括跟踪流程,并在合理的时间内对申诉进行响应。第5章网络空间安全个人信息保护法律法规第六十一条网络运营者违反本法第二十四条第一款规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、

39、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。第5章网络空间安全个人信息保护法律法规【重点法条解读重点法条解读】本条是对于违反网络真实身份管理的处罚规定。值得注意的是,2017年8月工信部颁布的互联网域名管理办法对于域名注册管理机构或者域名注册服务机构未执行真实身份认证要求也作出了处罚规定。明确域名注册管理机构或者域名注册服务机构未对域名注册信息的真实性、完整性进行核验的,由电信管理机构依据职权责令限期改正,并视情节轻重,处一万元以上三万元以下罚款,向社会公告。无论是罚款数额还是处罚方式均与本条规定并不相同。根据上位法优于下位

40、法的原则,违反实名制的行为处罚仍应适用本条的规定。第5章网络空间安全个人信息保护法律法规第六十四条网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个

41、人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。第5章网络空间安全个人信息保护法律法规【重点法条解读】本条是对违反个人信息保护规则的处罚规定。第一款规制的主体仅为网络运营者和网络产品及服务提供者。根据该款的规定,网络运营者、网络产品或者服务的提供者违反个人信息收集使用公开规则,未履行安全保障义务,或未保障信息主体的删除权和更正权的,有关主管部门应当对其进行处罚。处罚方式包括:责令改正、警告、没收违法所得、罚款、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。第二款规制的主体为任何组织或个人。规制的行为

42、为窃取或非法获取、非法出售或提供公民个人信息尚未构成犯罪的。处罚机构为公安机关,处罚方式包括:没收违法所得和罚款两种。第5章网络空间安全个人信息保护法律法规【法律法规衔接问题法律法规衔接问题】本条对于违反个人信息保护规范的行政责任做出了规定。除了行政责任外,违反个人信息保护规范的,还可能需要承担民事和刑事责任。民事责任方面,新修订的民法总则颁布之前,我国主要是通过隐私权、姓名权、名誉权等对个人信息提供保护,相关规定还可见于侵权责任法及相关司法解释文件中。新修订的民法总则虽然尚未明确个人信息权或者个人信息保护权这样的概念,但明确了隐私和个人信息的二元保护机制,意味着个人信息将可以独立于隐私权,

43、而直接作为民事上受保护的利益受到法律保护。侵犯个人信息的民事责任承担形式主要为:停止侵害、赔偿损失、赔礼道歉、消除影响、恢复名誉等。第5章网络空间安全个人信息保护法律法规刑事责任方面,2009年施行的刑法修正案(七)增设了刑法第二百五十三条之一,规定了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。2015年刑法修正案(九)将两罪合并为“侵犯公民个人信息罪”,并扩大适用范围,将犯罪主体由特殊主体改变为一般主体,并将最高刑期由三年提高至七年。2017年最高人民法院与最高人民检察院发布关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释进一步明确“侵犯公民个人信息罪”的构成要件。

44、根据上述规定,侵犯公民个人信息,情节严重的,构成“侵犯公民个人信息罪”。此外,关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释特别强调,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,以拒不履行信息网络安全管理义务罪定罪处罚。第5章网络空间安全个人信息保护法律法规第六十六条关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊

45、销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。第5章网络空间安全个人信息保护法律法规第七第七章章附附则则第七十六条本法下列用语的含义:(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。【重点法条解读重点法条解读】本条通过概括加列举式的方式对个人信息做出了界定。网络安全法颁布之前,我国已有一些规范对个人信息的概念做出了界定,但本条首次从国家立法层面对“个人信息”的概念做出了明确定义。第5章网络空间安

46、全个人信息保护法律法规【难点问题解析】个人信息认定的难点在哪里?个人信息的认定一直以来是个人信息保护领域的重点和难点问题。从本条的规定来看,个人信息包括可单独识别自然人身份的个人信息和须与其他信息结合识别自然人身份的个人信息。但对于如何界定“可识别”一词的内涵没有明确指出,例如IP地址、cookie信息是否属于可识别的个人信息。此外,信息是否具有可识别性,与当时的环境和技术水平密切相关,在很多情况下,确定某项信息是否属于个人信息时,需要置于特定的场景中加以考量。第5章网络空间安全个人信息保护法律法规5.2 全国人民代表大会常务委员会关于加强网络全国人民代表大会常务委员会关于加强网络信息信息保

47、护的决定解读保护的决定解读全国人民代表大会常务委员会关于加强网络信息保护的决定(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)为了保护网络信息安全,保障公民、法人和其他组织的合法权益,维护国家安全和社会公共利益,特作如下决定:一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。第5章网络空间安全个人信息保护法律法规【重点法条解读重点法条解读】本条是对本决定的保护对象及禁止性行为的规定。根据本条的规定,本决定的保护对象为公民个人电子信息。本条并未明确提

48、及“个人信息”的概念,而是使用了“公民个人电子信息”的概念。进言之,本决定保护的对象仅限于以电子方式生成或存储的信息,而不包括其他方式生成或存储的信息。其次,关于“公民个人电子信息”的界定。本决定并未对该概念进行界定。但是从本条看出,“公民个人电子信息”包括公民个人信息和隐私信息。其中,公民个人信息强调信息的“可识别性”,识别的对象为“公民个人身份”。关于本决定中的“公民个人电子信息”与网络安全法中的“个人信息概念”的不同,可参考本书第5.1节网络安全法第七十六条的解读。第5章网络空间安全个人信息保护法律法规为保护个人信息,本条规定了三种禁止性行为:非法获取公民个人电子信息、出售公民个人电子

49、信息、非法提供公民个人电子信息。需要注意的是,在三种禁止行为中,对于公民个人电子信息的“获取”和“提供”行为均强调行为的非法性,但对于“出售”并不强调行为的非法性。之后颁布的网络安全法对此作了不同的规定。网络安全法中与本款规定对应的是第四十四条。该条规定“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”。可以看出,网络安全法并非“一刀切”的禁止所有出售个人信息的行为,而仅仅禁止非法出售的行为,为大数据产业的发展留下了空间。第5章网络空间安全个人信息保护法律法规二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法

50、、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。第5章网络空间安全个人信息保护法律法规【重点法条解读重点法条解读】本条是关于个人信息收集使用基本原则的规定。规范的主体为网络服务提供者和其他企事业单位。国家机关为执法、司法等活动所必须,收集使用个人信息的,不属于本条规制的范畴。根据本条的规定,个人信息收集使用的基本原则包括:合法正当原则、必要原则、公开原则、知情同意原则、目的明确原则、目的限制原则。第5章网络空间安全个人信息保护

展开阅读全文