有关网络安全,我们一般更多地想到的是国家安全、国家利益。其实,确保网络安全也是保护公民个人的网络权益。从《网络安全法》的具体内容看,其对于公民个人网络权益的保护明显加强,这集中体现在对公民个人信息保护制度的完善上。
一、扩展了个人信息保护的范围
《网络安全法(草案)》(以下简称“草案二审稿”)第二十一条规定,“网络产品、服务……收集公民个人信息的,应当遵守本法和有关法律、行政法规关于公民个人信息保护的规定”。正式公布的《网络安全法》将“收集公民个人信息”改为“涉及公民个人信息”,即“网络产品、服务…… 涉及用户个人信息的,应当遵守本法和有关法律、行政法规关于公民个人信息保护的规定”。一个词的改动,极大地扩展了公民个人信息的保护范围。比如,特定手机软件也许不会将个人通讯录信息收集起来,但是其会实时调取个人通讯录信息进行相关数据分析、完成特定任务(比如骚扰电话识别)。在这种情况下,虽然还没有达到收集个人信息的程度,但由于其对用户个人信息具有实时读取功能,也必须征求消费者本人同意,并且具备相关的安全措施,以确保用户个人信息的安全。
二、强化了服务商在用户信息泄露后的告知义务
草案二审稿规定,“在发生或者可能发生公民个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,告知可能受到影响的用户,并按照规定向有关主管部门报告”。《网络安全法》将“告知可能受到影响的用户”改为“按照规定及时告知 用户并向有关主管部门报告”,涵盖了在特定条件下扩大到更大范围用户的情况,强化相关服务商在信息泄露后的告知义务。我们知道,一些互联网服务商在自己互联网服务发生大规模信息泄露侵犯消费者权益的时候,往往不愿意及时告知消费者真实信息,如果仅仅规定其告知“可能受到影响的用户”,可能会出现一些服务商玩弄文字游戏,人为缩小“可能受到影响的用户”的情况。《网络安全法》明确要求服务商在信息泄露时要按照规定及时告知用户,避免了可能出现的隐而不报的情况。
三、完善了互联网个人信息删除更正制度
草案二审稿规定,“公民在发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正”。《网络安全法》在之后增加了一句话,“网络运营者应当采取措施予以删除或者更正”。根据全国人大法工委颁布的《立法技术规范》的规定,“应当”是指设定法律义务。因此,该法明确地为网络运营者设定了一项法律义务,即当个人在发现网络运营者收集、存储的其个人信息有错误且要求删除更正时,网络运营者有义务根据实际情况予以删除、更正,这就完善了互联网个人信息删除更正制度,从另一个侧面强化了对公民个人信息的保护。
综上所述,《网络安全法》也是一部公民个人网络权益保护法。网络安全不是抽象的安全,是公民个人网络权益的集中体现。只有建立保护公民个人网络权益的网络安全法,才是真正有生命力的法律。
(作者:张效羽 国家行政学院法学部副教授)