近年來，我國信息泄露事件層出不窮，信息買賣日益猖獗，個人信息安全面臨嚴峻挑戰。2016年11月7日，《網絡安全法》正式出臺，對于加強個人信息保護，完善我國個人信息保護的法律體系具有重要意義。

一、 個人信息安全面臨嚴峻挑戰

(一)信息泄露事件頻頻發生

近年來，我國信息泄露事件屢見報端。2015年2月15日，桔子、錦江之星等7大酒店的數千萬條開房信息被泄露，涉及住戶的姓名、家庭地址、電話、郵箱乃至信用卡后四位等敏感信息;4月22日，30多個省市的社保系統、戶籍查詢系統等被曝存在高危漏洞，包括個人身份證、參保信息、財務、薪酬、房屋等敏感信息在內的5千多萬條社保用戶信息可能被泄;2015年8月，線上票務網站大麥網被曝存在安全漏洞，600余萬用戶賬號密碼遭到泄露在黑產論壇公開售賣。據《2015年第一季度網絡詐騙犯罪數據研究報告》顯示，中國公民已經泄漏的個人信息多達11.27億條。頻繁發生的信息泄露事件嚴重威脅個人信息安全。

(二)個人信息過度收集屢禁不止

在當前共享經濟模式下，信息資源就是財富。網絡運營商、平臺服務商等相關企業為了掌握更大市場主動權，會通過各種渠道搜集用戶個人隱私數據。一方面，企業以各種理由要求用戶提供手機號、姓名、生日、郵箱、地址等可能與服務不相關的隱私信息;另一方面，某些企業甚至會在用戶不知情的情況下，利用后臺權限讀取用戶通訊錄、通話記錄、GPS位置信息等。相關報道顯示，Win10系統會默認收集用戶的瀏覽網頁、所在的位置、在線購物信息甚至是輸入的文字等信息。2016年8月，央視財經匯總了102款涉及私自采集個人隱私數據的惡意APP名單，阿里、百度、騰訊三大互聯網巨頭旗下的APP赫然在列。在大數據、云計算等信息技術的支撐下，企業收集、保存、處理數據的成本大大降低，這意味著數據在當下和日后都可能被進一步使用，個人隱私泄露的威脅持續存在。

(三)個人信息非法買賣日益猖獗

在利益驅使下，一些不法分子大肆販賣個人信息，從傳統的工商、銀行、電信、醫療等部門向教育、快遞、電商等各行各業迅速蔓延，涉及社會公眾工作、生活的方方面面，甚至形成了龐大的“灰色”產業鏈，社會危害嚴重。2014年12月，130萬條考研報名數據被曝在網上打包銷售;某快遞公司近百萬條快遞單個人信息也曾在網絡上公開出售，網購者的物流信息、商品信息更是不法分子交易的“熱門商品”;2016年4月，濟南20萬兒童信息被打包出售，信息精確到家庭門牌號。愈演愈烈的個人信息非法買賣行為令廣大群眾在經濟、精神和名譽等方面遭受巨大損失。

(四)個人信息濫用助長惡意違法行為

大規模的信息泄露和信息非法買賣助長了短信騷擾、電話詐騙等惡意違法行為，我國的個人信息濫用已經成為一種社會公害。2016年第二季度，360獵網平臺共接到網絡詐騙舉報5509起，報案總金額高達4524.8萬元。據中國互聯網協會發布的《中國網民權益保護調查報告2016》顯示，84%的網民曾親身感受到由于個人信息泄露帶來的不良影響，37%的網民因網絡詐騙而遭受經濟損失，近一年我國網民因垃圾信息、詐騙信息、個人信息泄露等遭受的經濟損失高達915億元，人均損失133元。個人信息的濫用已嚴重侵犯和損害了用戶的個人隱私和財產安全。

二、 《網絡安全法》重點解決個人信息保護的痛點問題

(一)規范了相關網絡安全監管部門的責權范圍

《網絡安全法》第八條規定，國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定，在各自職責范圍內負責網絡安全保護和監督管理工作。這項規定有利于理順網絡安全管理體制，建立權責分明、運轉高效的網絡安全管理體制。根據該規定，中央網信辦為國家層面上的網絡安全協調機構，公安部、工信部等涉網部門職責分明，有助于推動相關部門共同保障個人信息安全。

(二)明確了個人信息保護相關主體的法律責任

《網絡安全法》規定，網絡運營商應當建立健全用戶信息保護制度，收集、使用個人信息必須符合合法、正當、必要的原則，目的明確的原則，知情同意的原則等;同時還規定了網絡運營商應遵守對收集信息的安全保密原則、公民信息境內存放原則、泄露報告制度等。對于關鍵信息基礎設施運營者，要求其遵守公民信息境內存放原則，確需向境外提供的信息，應進行相應的安全評估。對于網絡產品、服務的提供者，要求其收集個人信息時應向用戶明示并取得同意，還要遵守相關公民個人信息保護的規定。通過以上規定，進一步規范了網絡運營商、關鍵信息基礎設施運營者、網絡產品、服務的提供者等相關信息采集主體必須履行的法律責任，明確了個人信息的使用權邊界，有助于從源頭上遏制非法使用個人信息的行為。

(三)提高了個人對隱私信息的管控程度

《網絡安全法》規定，公民發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。通過引入了刪除權和更正制度，進一步提高了個人對隱私信息的管控程度。

(四)增強了針對侵犯個人信息權益行為的威懾

一方面，《網絡安全法》明確了對侵害公民個人信息行為的懲處措施。網絡運營者、網絡產品或服務提供者以及關鍵信息基礎設施運營者如未能依法保護公民個人信息，最高可被處以50萬元罰款，甚至面臨停業整頓、關閉網站、撤銷相關業務許可或吊銷營業執照的處罰，直接負責的主管人員和其他直接責任人員也會被處以最高十萬元的罰款。另一方面，《網絡安全法》客觀上增加了相關運營單位發生信息安全事件的成本。相關運營單位在發生或者可能發生信息泄露、毀損、丟失的情況時，應當立即采取補救措施，告知可能受到影響的用戶，并按照規定向有關主管部門報告。由于通知會產生很高的成本，發生泄露問題也會對企業聲譽產生極大影響，這就倒逼企業必須提高信息保護能力，確保不會出現用戶個人信息的泄露。

（作者：中國法學會法律信息部 賽迪 李建武）