“誰收集，誰負責”撐起個人信息“保護傘”

除了明確公民個人信息范圍，劃定“情節嚴重”標準等，網絡安全法還明確了企業在網絡信息安全的責任：“網絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。”

同時，兩高《解釋》也規定，網絡服務提供者拒不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴重后果的，應當依照拒不履行信息網絡安全管理義務罪，追究其刑事責任。

在福建元一律師事務所律師郭承恩看來，確立“誰收集、誰負責”的基本原則，這將有效約束公民個人信息采集主體審慎使用公民個人信息，進而在信息采集源頭建立“防護欄”。

公開報道顯示，２０１６年，全國公安機關共偵破網絡侵犯公民個人信息案件數量２１００多起，查獲被侵害的公民個人信息５００多億條，抓獲犯罪嫌疑人５０００多人，其中屬于各行業內部人員的達４５０多人。

業界人士指出，侵犯公民個人信息犯罪中，直接販賣者只是鏈條的重要一環，卻不是問題的全部，其背后是一些手機應用暗藏風險隱患，一些企業個別“內鬼”興風作浪，一些互聯網公司安全防范不足、信息管理粗放等“業內”問題。

華東地區一家互聯網公司網絡安全負責人宋宏宇說，企業的安全“缺口”是信息安全的重點，過去企業安全意識薄弱，精力更多投到產品上，導致企業安全“生態”不好。明確了企業的責任后，如果企業在安全防范上沒有按照法律規定去做，過去用戶數據泄露就只是發個聲明了事的，現在要承擔明確的法律責任。

為切實加大對行業“內鬼”參與公民個人信息泄露案件的懲治力度，《解釋》還明確在認定“情節嚴重”時，對行業“內鬼”泄露信息的數量、數額標準都要減半計算，入罪門檻更加嚴格。

個人信息的系統化保護還待構建

隨著信息化建設的推進，信息資源成為重要的生產要素和社會財富。宋宏宇等人認為，網絡安全法和兩高《解釋》向公眾傳遞一個信號：信息很重要，法律已經開始保護了。

不過，李承蔚也表示，有法可依只是促進個人信息保護的第一步，是否落實到位，還需要相關部門相互聯動，做到有法必依，執法必嚴。

此外，個人信息保護硬件和軟件整體環境的改變也還需要一個連鎖的遞進過程。李承蔚表示，侵犯個人信息已成社會公害，還需市場和社會共治：一方面，提高行業的透明度，防止個人信息被過度采集、不當加工和非法使用，防范對個人隱私和商業秘密的侵害；另一方面，依靠行業的自律，通過建立全面、細致、先進技術手段的行業標準和企業自律規范，構建一個良性競爭環境，避免劣幣驅逐良幣現象。

宋宏宇等專家強調，信息的安全保障需要合作，法律法規出臺了，隨后的溝通和管理也要跟上，需建立一個更好的協同聯絡平臺，幫助有關部門、企業間協調溝通，避免過去出問題了企業自己閉門造車處理的情況。

還有業內人士指出，發揮個人信息保護立法的基礎性作用，管理部門也要跟上技術發展的腳步，及時出臺標準規范引導企業合法合規的數據需求，既要斬斷非法利益鏈條，也要依托行業發展不斷提升信息數據的保障能力。