引言：2017年6月1日，《网络安全法》正式实施，作为我国网络安全领域的首部基础性法律，内容十分丰富，奠定了中国网络安全保护和网络空间治理的基本框架，是引导我国网信事业沿着健康安全轨道运行的指南针，具有里程碑意义。《网络安全法》集中体现了网络空间各利益相关方普遍关心的问题，确定了网络建设、运营、维护和使用网络，以及网络安全监管等多项法律规范和制度，这些规范和制度相互影响、相互作用、相互协调，形成了一个维护网络空间安全的闭环系统。

为了配合《网络安全法》的宣传与贯彻，普及我国首部网络安全法，笔者将对《网络安全法》中的重要法律制度进行系列解读，本期解读：个人信息保护法律制度。

“信息”（Information）和“数据”（Data）是网络时代使用频率最高的两个词汇，经常被许多政府规范性文件，甚至法律视为同一概念。目前在各国的个人信息保护立法中，多数国家将“个人信息”视为“个人数据”。如欧盟《个人数据保护指令》第2条（a）规定，个人数据，指“与一个人身份已被识别或者身份可以识别的自然人（数据主体）相关的任何信息。”；法国《数据处理、数据文件及个人自由法》第2条第1款规定，个人数据，指“可以通过身份证号码、一项或多项个人特有因素被肢解或间接识别的自然人相关的任何信息”；德国《联邦数据保护法》第3节规定，个人数据，指“任何关于一个已识别的或者可识别的个人（数据主体）的私人或者具体状态的信息。”由此可见，以上国家立法中的所谓“个人数据”实质上是个人的“网络信息”或“电子信息”。

台湾学者朱柏松教授认为，数据乃是指一定事实或状态的存在或者记录，例如未经过处理的原始数值或文字即属之，其性质上属于客观、静态存在的问题；信息则系基于特定目标的，对数据加以整理，甚至建立档案，性质上属于主观且需要经动态数据处理的问题。笔者认为，网络法中的“个人数据”与“个人信息”有所不同，前者是附着在电子信息系统载体的客观事物记录，是未经过处理的个人原始记录，其不能脱离电子信息系统载体而独立存在，如个人体检在医院电子信息系统留下的原始记录；后者是指数据经过加工处理后，形成的具有使用价值的内容——信息，可以脱离电子信息载体而独立存在，如个人体检的电子数据经过医生的分析和系统的处理，形成的具有使用价值的体检报告，其存在的形式可以使电子状态，也可以是纸质状态。由此可以得出：个人信息＝个人数据＋分析处理。

个人信息保护立法的目的，在于保护具有使用价值的个人信息，而不是所有的个人数据。因此，我国《网络安全法》采用了“个人信息”的表述，并在《网络安全法》第七十六条（四）、（五）对“网络数据”和“个人信息”的含义进行了文意解释：“网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据”；“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

我国政府历来重视个人信息的保护，并通过相关立法予以规制。1982年，《宪法》明确规定：“中华人民共和国公民的通信自由和通信秘密受法律的保护，除因国家安全或者追究刑事犯罪的需要，由公安机关或检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密”；1997年12月16日公安部发布的《计算机信息网络国际联网安全保护管理办法》要求，相关人不得利用通信设施侵犯公民的通信自由和通信秘密；2009年，刑法修正案（七）规定，国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；2012年，新修订《居民身份证法》中，对国家机关、金融教育等特定机构泄露居民身份证上记载的个人信息的行为有规定了相应的处罚；2012年，《全国人民代表大会常务委员会关于加强网络信息保护的决定》要求，任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息；2013年，新修订的《消费者权益保护法》明确要求，经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息；2014年，《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》明确了利用信息网络侵害人身权益民事纠纷案件的类型，主要包括：利用信息网络侵害他人姓名权、名称权、名誉权、荣誉权、肖像权、隐私权等人身权益引起的纠纷案件；2015年，工信部出台《电信和互联网用户个人信息保护规定》，从规章的层面对电信业务经营者及互联网信息服务提供者的个人信息保护责任作了出了相关规定，明确要求“未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息”；2015年，刑法修正案（九）对“出售、非法提供公民个人信息罪”和“窃取、非法获取公民个人信息罪”进行了修改完善，扩大了犯罪主体的范围，并增加规定出售或者非法提供公民个人信息的犯罪；2016年，最高人民法院、最高人民检察院、公安部联合发布的《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》指出，向他人出售或者提供公民个人信息，窃取或者以其他方法非法获取公民个人信息，符合刑法第二百五十三条之一规定的，以侵犯公民个人信息罪追究刑事责任,使用非法获取的公民个人信息，同时实施电信网络诈骗犯罪行为，将实行“数罪并罚”；2016年，全国人大常委会公布的《民法总则》（草案）二审稿也明确了“公民个人信息受法律保护，强调任何组织和个人不得非法收集、利用、加工、传输个人信息，不得非法提供、公开或出售个人信息。”

近十几年，我国侵犯个人信息的违法犯罪案件逐年增加，据中国互联网协会发布的《2016中国网民权益保护调查报告》显示，84%的网民曾亲身感受到由于个人信息泄露带来的不良影响。虽然上述法律、法规、规章和司法解释对保护我国公民的个人信息，打击侵犯个人信息的违法犯罪行为起到了一定的遏制作用，但仍然缺乏系统性、规范性和全局性，无法应对司法实践中日益出现的各类新型侵犯个人信息和隐私的违法犯罪行为。为此，出台专门的《个人信息保护法》呼声日益强烈。在这样的背景下，为保护公民个人信息安全，防止公民个人信息被窃取、泄露和非法使用，依法保障公民个人网络信息有序安全的流动，《网络安全法》第四章在全国人大常委会《关于加强网络信息保护的决定》的基础上用较大的篇幅专章规定了公民个人信息保护的基本法律制度，尤其突出了网络运营商对个人信息保护的责任与义务，具有四大亮点：

1.收集和使用公民个人信息必须遵循合法、正当、必要原则，且目的必须明确并经用户的知情同意。《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。上述条款应当重点关注四个方面：

一是本条规制的网络运营者包括两大类，第一大类是电信业务经营者，其中包括三类经营者：基础电信业务经营者、增值电信业务经营者和虚拟电信业务经营者；第二大类是互联网信息服务提供者，该类主体又分为两类，一类是经营性互联网信息服务，是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动；另一类是非经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动；

二是网络运营者，无论是经营性或非经营性，收集、使用个人信息时，应遵循“合法、正当、必要”原则，并在其经营或者服务的场所和网站公开其收集和使用个人信息的规则，该规则包括但不限于使用信息的目的、方式和范围等；三是网络经营者收集和使用用户的个人信息，应当以邀约和承诺的方式与个人订立合同，如果是网络运营商单方面发布的电子格式合同，合同的拟定者必须遵循公平原则，不得利用网络运营者的优势地侵害公民个人的信息权利；

四是网络运营者收集和使用公民个人信息应当符合两条件，第一是依法，这里的“法”主要指两类：法律或行政法规，第二是收集和使用公民人信息，应当依据与公民个人订立的合同，同时该信息必须与网络运营者从事经营的服务相关联，比如电信运营商在依法进行实名制登记时，依法对公民个人身份信息的收集，如姓名、性别、年龄、家庭住址、电话号码等身份信息，如果电信运营商要求收集和处理公民个人的健康和基因信息，就违反了“合法、正当、必要”原则。

2.泄露、损坏、丢失个人信息的告知和报告制度。《网络安全法》第四十二条规定，网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

该条为网络运营者设定了两项禁止性规定，一是不得泄露、篡改、毁损其收集的个人信息；二是未经被收集者同意，不得向他人提供个人信息。更重要的是确定了，发生或者可能发生个人信息泄露、毁损、丢失的情况下应当采取的补救、告知和报告制度。这两项禁止性规定对网络经营者而言会产生两项巨大的成本，一是声誉的损害，二是财务的损失，因此网络运营者必须采取“事先防范、事中控制和事后救济”三位一体的防护措施，关键是“事先防范”措施，确保不发生用户个人信息大面积泄露的事件。

3.个人对其信息的删除权和更正权制度。《网络安全法》第四十三条规定，个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

笔者认为，我国《网络安全法》中的“删除权”实质上就类似于欧盟个人数据立法中表述的“被遗忘权”（right to oblivion）。2016年4月14日，欧洲议会投票通过了商讨了四年的《一般数据保护条例》。在这部堪称史上最严格的数据保护条例中，欧盟对个人信息保护及其监管达到了前所未有的高度，其中第17条第1款规定，被遗忘权和信息数据删除权指的是信息数据主体享有网络服务提供者处理与其相关的个人信息和避免这些个人信息进行传播的权利。（参见：EU General Data Protection Regulation）

我国《网络安全法》规定的公民对其信息的删除权请求权主要有两种情形，一是当事人发现网络运营商违反法律、行政法规或违反双方的约定收集和使用其信息；二是网络运营商所收集的个人信息的特定目的已经消灭或双方约定的期限已经届满，在这两种情形下，当事人均有权要求网络运营商删除和停止使用其个人信息。公民对其错误信息的更正权是指，当事人发现网络运营商收集、存储的其个人信息有错误或者有缺失的，有权要求其补充或更正。

《网络安全法》要求网络运营者必须建立相应的网络信息安全投诉和举报制度，并公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。考虑到网络运营商主动删除或更正其违法和违约收集个人信息或主动纠正个人的错误信息具有一定的成本，对此《网络安全法》规定的“删除权”或“更正权”制度基本上采用了“避风港”规则，即在网络运营商被通知前提下的“删除”或“更正”——“通知-删除或更正”，这是《网络安全法》对网络运营商的一种宽容和保护，目的是为我国互联网产业的发展提供一个宽松的 “避风港”环境，从而促进我国网信事业的健康快速发展。

4.网络安全监督管理机构及其工作人员对公民个人信息、隐私和商业秘密的保密制度。《网络安全法》第四十五条规定，依法负有网络安全监督管理职责的部门及其工作人员，对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。该条重点强调了对个人信息私权的保护。

从法律属性看，公民个人信息的保护应当严格区分“个人信息权”与“个人隐私权”。王利明教授认为，个人信息权和隐私权都是人格权，但两者之间仍然存在区别。隐私权是一种精神性的人格权，而个人信息权在性质上属于一种集人格利益与财产利益于一体的综合性权利。从精神性人格权的属性研究，“隐私”是与公共利益、群众利益无关的，为当事人不愿意他人知道或他人不便知道的私人信息，当事人不愿意他人干涉或他人不便干涉的私人活动，当事人不愿意他人侵入或他人不便侵入的私人空间。

长期以来，我国的民事立法上一直没有把隐私权作为一项独立的基本的公民权利来加以直接保护，将公民隐私权归入名誉权中进行间接保护，因此导致我国公民个人隐私权的保护一直未能得到有效重视。事实上，名誉权与隐私权是两种完全不同的概念,两项权利应该是并列关系而不是包含关系。笔者认为，当前和未来一段时期我国个人信息安全保护边界的基本要义是在确保基本个人人格权和隐私权不受非法侵害的基础上，促进个人信息资源在“合法、正当、必要”法定原则的基础上进行合情、合理、合法的开发和利用。