用户个人信息保护—泄露用户信息,网络运营者将受重罚
通过实名制最大程度的实现信息真实化、可靠化,是国家网络安全的一个重要基础。另一方面,实名制也是一把双刃剑,对于网络运营者来说,一旦收集的个人信息发生大批量的泄漏,将产生无法预期的数据安全风险。因此,在《网络安全法》中的“网络信息安全”章节相应规定了“网络运营者对个人信息保护的责任”条款,强化了个人信息保护。这部分条款,提出了个人信息保护的基本原则和要求,可以说是一部小型的“个人信息保护法”。主要规定了在网络信息安全特别是个人信息保护方面,网络运营者、任何个人和组织、网络安全监管人员必须承担的责任和义务,相应的也要承担法律责任。
【第40条】 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
【第41条】 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
解读:这两条的核心是用户信息保护。明确要求网络运营者必须建章立制,担负起用户信息“保管员”的职责,确保对所收集的用户信息在不泄露的前提下进行使用,同时强化了个人信息保护的知情同意和特定目的原则。确定了网络运营者收集个人信息必须遵循合法、正当、必要的原则,强调了个人信息收集过程中的透明度,和用户自主选择权,同时强调了信息采集者必须合法使用和保存个人信息。那些利用其“垄断地位”或“霸王条款”强制用户同意采集信息的网络运营者需要注意,再如此任性可就违法了。
【第42条】 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
解读:本条款也被称作“大数据条款”。在强调保护个人信息的同时,有建设性的提出了“经过处理无法识别特定个人且不能复原的”除外,为个人信息数据在使用、交换和交易过程的合法性提供了法律依据。要求网络运营者对用户个人信息数据进行匿名化处理,技术上就是通过采用数据脱敏产品或技术手段,将涉及个人隐私的敏感数据进行脱敏处理,保证脱敏后的数据不能再识别出特定个人,并且信息不可逆(不可通过技术手段复原)。
同时,本条款作为个人信息保护的核心内容,明确了网络运营者对个人信息保护的责任:有必要采取技术措施保护个人信息,确保其收集的个人信息安全,通过采用监控、审计等技术手段及时发现和记录异常行为,为主管部门进行追责和定责提供数据依据。
【第43条】 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
解读:本条款核心是法律明确赋予公民个人具有“删除权”和“更正权”。如果个人发现网络运营者不当使用个人信息,有权要求删除,有错误的有权要求其改正。特别要提醒网络运营者,有义务采取措施予以删除或更正,否则将面临后款第六十四条所明确的高额处罚。
【第44条】 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
【第45条】 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
解读:这两条的核心是不得非法获取、非法出售和提供个人信息。结合后款第六十四条所明确处罚标准,大大提高了违法成本,从处罚力度上对网络运营者起到震慑。同时规定了执法部门和执法人员必须履行的保密责任。
【适用法律责任】《网络安全法》第六章 第六十四条规定:网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。对于窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
引用自:http://www.zzpf.gov.cn/site/contents/8/437.html