2021年国家网络安全宣传周11日于西安市拉开帷幕,将在全国范围内持续开展至10月17日。10月14日,2021年国家网络安全宣传周法治主题日活动在西安高新区举行,本次活动以“共建网络安全、共享网络文明”为主题,主要解读《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规。关于网络安全,今天我们来谈谈与每个人休戚相关的个人信息安全与保护问题。
1、你的个人信息已经被泄露了!
你是否在生活中经常碰到这些令你倍感舒适而又困惑的经历:
当你经过数次奔波选中了一套房子,付完款欢天喜地地收到房子钥匙的时候,恰好就有一个装修公司的电话打了进来;
当你在网络上搜索了关于公务员考试招录信息后,立马就有某培训公司的“小姐姐”要给你发一些考试资料;
当你的爱车“不幸”地发生事故正准备考虑去哪修理时,修理厂的“小哥哥”很及时地就出现在了你的面前;
当你家里洗衣液用完了打开某宝APP的时候,你第一个看到的恰好就是你经常用的那个牌子的……
令你舒适的是“刚想睡觉就有人给送来了枕头”,令你困惑的是“他们是怎么知道的呢?”。是的,你的个人信息也许已经被泄露了。
2、法律如何保护个人信息?
当前,个人信息是数据泄露的重灾区,个人信息泄露引发的网络身份盗窃往往会导致金融诈骗、信用欺诈等后果出现,成为黑客的重点关照对象,也是暗网销售的主要数据类型。那么,国家在法律层面是如何保护个人信息的呢?
首先,在立法层面形成了保护个人信息的法律体系。2017年6月1日起施行的《网络安全法》从保障网络安全,维护网络空间权、社会公共利益、保护公民、法人和其他组织合法权益,促进经济社会信息化的角度,对单位和个人的合法用网要求,对网络运营者的信息安全保护义务,对网络产品、服务提供者的禁止性行为等进行规范,规范了网络行为,净化和网络空间。
《网络安全法》第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第四十一条
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和用户的约定,处理其保存的个人信息。
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
2021年9月1日施行的《数据安全法》致力于规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,从宏观层面对包括个人信息在内的数据的收集、处理、保存、记录、使用等进行了规定,进一步保障了个人信息处理法的安全。
《数据安全法》第二十七条
开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
第二十九条
开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时报告用户并向有关主管部门报告。
第三十二条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
即将在2021年11月1日起施行的《个人信息保护法》将是全世界最严格的个人信息保护法律,从微观角度对个人信息保护进行了详细的规范,包括个人信息的处理规则、个人在个人信息处理活动中的权利、个人信息处理者的义务,以及国家机关处理个人信息的特别规定。特别是规定禁止运营搜索引擎、电商网站、资讯网站、社交软件的互联网公司滥用平台采集到的个人浏览记录及消费信息,将从根本上防止大数据杀熟、网约司机考核和乘客差异收费等不公现象。
《个人信息保护法》第十条
任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
第五十七条第一款 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
其次,《民法典》人格权编专设“隐私权和个人信息保护”一章,将隐私权和个人信息上升为人格权进行保护
,对个人信息的内涵、处理的原则进行了规定,针对对国家机关或其他法定机构及人员处理个人信息也规定了相应的保护义务,使个人信息在民事领域中也得到了有效的保护。
《民法典》第一百一十一条
自然人的个人信息受法律保护,任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
第一千零三十七条 自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现信息处理者违反法律、行政法规的规定或者约定处理个人信息的,有权请求信息处理者及时删除。
再者,对于恶意泄露个人信息导致个人的生活受到打扰、经济遭受损失,《刑法》规定了拒不履行信息网络安全管理义务罪、侵犯公民个人信息罪,对网络管理者不履行法定的信息网络安全管理义务和非法获取并买卖个人信息获利等严重侵犯个人信息的行为进行打击,在刑法层面保障了个人信息的保护。
《刑法》第二百八十六条之一
网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改下,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致命违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯罪前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,按照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的处罚。
第二百五十三条之一
违反国家有关规定,向他人出售或者提供公司个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
可见,我国在法律层面在各个层级、各个领域形成了全方位保护个人信息的体系,将会使个人信息使用更加安全、高效、便捷。
