我国这一部分以保障用户信息安全为重心,通过设定网络运营者若干信息安全保障义务、用户享有特别保障权利、禁止窃取等非法针对信息活动以及对接触用户信息的管理机构设置特别保障义务多个方面建立保障体系。 首先,规定网络运营者负有多项信息安全保障义务。包括:(1)严格保密信息和健全信息保护制度。(2)合规收集和使用信息。即,应当遵循合法、正当、必要、公开、明示、用户同意的原则和要求,禁止超出服务范围收集、违反法律或者约定收集或使用,应当依照法律和约定处理其保存的信息。(3)妥当保全信息。包括:禁止泄露、篡改、毁损收集的个人信息;禁止未经同意向他人提供收集信息(应当采取技术等必要措施确保信息保全,发生泄露、毁损、丢失的信息安全事件应当立即补救并告知用户和向主管机构报告。不过,前两项保全规定不是绝对的,考虑到数据产业的发展,立法为合理加工数据和合法数据交易留下余地,第42条第1款最后一句立法表述为“但是,经过处理无法识别特定个人且不能复原的除外”。 其次,规定用户享有多项特殊保障权利,包括删除和更正权。对于运营者违法或者违约的收集、使用可以要求删除信息;发现运营者收集、存储信息错误可以要求更正。注意到是,这里的删除权与欧盟指令的遗忘权有相似之处,但并不相同,是有条件的即以运营者违法或违约为前提。此外,我们没有规定欧盟和其他国家的可携权。再次,禁止针对信息的非法活动。包括:任何组织不得以窃取或其他非法方式获得信息;不得非法出售或提供个人信息。这一规定在《网络安全法》属于不完整规定,其本身在法律责任部分并没有对应的特别责任规定,因此需要依据法律责任部分的第74条等转接规定,作为确立一种法定义务的基础规范而链接其他法律的适用。最后,设定管理机构和人员的尽职管理的保障义务。监管机构和人员对于知悉的信息严格保密,不得泄露、出售或非法提供。 (2)禁止信息管制保障。 《网络安全法》从第46条到50条建立了独特的禁止信息管制制度,涉及发布涉及违法犯罪活动的信息或者其他法律和行政法规禁止的信息的,受到这一制度管制。 首先,禁止发布涉及犯罪或者违法的有害信息,包括直接行为,也包括间接的行为。第46条规定禁止设立用于违法犯罪活动的网站、通讯组群,禁止利用网络发布涉及违法犯罪活动的信息。第48条规定,禁止利用应用软件或设置恶意程序发送禁止信息。 其次,规定网络经营者负有监管有害信息的义务。第47条规定网络运营者对有害信息有加强管理义务,发现情况应当立即停止传输,采取措施防止扩散,并且保存记录并报告。第49条规定网络运营者应当设置网络信息安全投诉、举报机制(包括建立制度,公布信息、及时受理和处理等要求,这既适用于用户信息保护,应该也适用于有害信息管制;同时应当配合有关部门的监督检查。 再次,规定管理机构依法监管和采取特殊措施的权力。I网信部门和相应机构依法履行监管,发现问题信息,应当要求运营者停止传输或采取消除等处置措施、保存有关记录;对于境外来源应当通知有关机构通过技术等必要措施阻断传播。应该说,这是非常强大的一种准司法权力。 6.网络安全监测预警与应急处置。 《网络安全法》第五章专章建立监测预警和应急处置制度。应该说,这一制度在国际上属于网络安全增强制度的范畴,已经成为应对网络安全问题的一种非常必要机制的共识要求。但是,对于应该如何建构(刚性还是柔性),以及是否得以赋予国家或政府单方面强大行动权力,则存在许多争议。欧盟和美国在此往往采取双管齐下:一方面,借助其他法律特别是国土安全法等,将其效用延伸到网络安全上来,因为网络上也有国土安全问题;另一方面,基于网络的架构的特殊性,除了对政府主导的网络可以直接立法强化其安全增强要求之外(例如美国《网络安全法》相关规定,包政府之间网络信息共享、国家应急响应、安全评估和报告、安全人事计划等),对于政府控制以外的网络空间,则或基于最大程度尊重商业经营自由和选择的考虑,或基于规则有效的考虑,转而寻求政府与企业共治,通过立法引导和建议,在此问题上引导建立信息共享、应急响应、企业安全人事等机制。 我国《网络安全法》立足强化政府管制作用,确立了我国网络安全管制中的两大特殊权力:监测预警权与应急处置权,赋予国家和政府在网络应急事项上的事先管理、事中管理的较大行动力。《网络安全法》在第5条原则宣示了这种立场及其目的所在:“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。”首先,建立网络安全预测预警机制。授权国家应建立预测预警和信息通报制度,并且授权由国家网信部门统筹协调此项机制;授权负责关键信息基础设施的部门也应当建立相应机制,包括建立健全制度和按规定报送监测预警信息。其次,建立网络安全应急处置机制。包括:网络安全事故风险评估和应急工作机制、政府在网络安全事故风险增大时的应对机制、建立网络安全事故发生应急处理机制。 我国上述网络安全预测预警和应急处置的权力,非常强大。省级以上部门在履职过程在发现风险或发生事故时,还可以约谈运营负责人和责令整改。政府部门对于导致发生突发事件和生产安全事故的网络安全事件,援引《突发事故应对法》、《安全生产法》等处置。经国务院决定或批准,为维护国家安全和社会公共利益,基于处置突发社会安全事件的需要,可以在特定区域对网络通讯采取限制等临时措施,这相当于一种准司法权力。 四、我国网络安全管制实施的限定因素 |