最新历史版本 :网络信息保护决定草案 返回词条

　八项原则如何落地

　　汤浔芳

　　12月24日，十一届全国人大常委会第三十次会议听取了《加强网络信息保护的决定(草案)》的说明。据了解，草案在保护公民个人信息、治理垃圾电子信息、网络身份管理等方面做出了规定。

　　本报记者同时获悉，工信部联合其他部门起草的《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)将于2013年2月起实施。与从制度上进行监管的《草案》相比，该《指南》是从技术、信息系统上进行监管。

　　“此前，关于网络安全监管的呼声频频，这一次形成立法草案，表明大家对网络安全越来越关注。”知识产权专家、知名IT界律师赵占领告诉记者，自3Q大战以后，网络安全的问题就暴露出来；2011年12月，互联网用户信息泄漏事件再次将网络安全置于聚光灯下。

　　技术与制度双管齐下

　　今年11月5日正式发布的《指南》，对贯穿于收集、加工、转移和删除等四个环节的个人信息处理进行了详细规定。比如，在进行个人信息的收集时，“要采用个人信息主体易知悉的方式，向个人信息主体明确告知和警示”。在加工阶段，要“不违背收集阶段已告知的使用目的，或超出告知范围对个人信息进行加工。”在转移过程中，个人信息不被个人信息获得者之外的任何个人、组织和机构所获知。在删除阶段，个人信息主体有正当理由要求删除其个人信息时，及时删除个人信息。删除个人信息可能会影响执法机构调查取证时，采取适当的存储和屏蔽措施。

　　《指南》还提到了个人信息保护的“目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确”等8项原则，每一条原则都做了详细的解释。其中，“最少够用”的原则指“处理与处理目的有关的最少信息，达到处理目的后，在最短时间内删除个人信息”。

　　“《指南》中的公开告知、个人同意两个原则强调了个人的知情权。无论是哪个阶段，个人信息主体的权利要得到尊重。”赵占领说道。

　　“《指南》这个标准是一个整体性的技术标准，指导企业依照什么样的原则去处理个人信息。”据《指南》标准主要编制人、中国软件测评中心研究员刘陶介绍，目前，中国软件测评中心已经承接了发展和改革委员会的几个标准类项目，拟起草几个关于个人信息保护的执行条例。“接下来的几个标准，可以逐步将《指南》中的各项框架性标准进行完善。”

　　关于个人信息保护，在这次人大法案当中也有提及。《草案》规定，网络服务提供者为用户办理固定电话、移动终端等入网手续时，为用户提供信息发布服务，与用户签订协议时，要求用户提供真实的身份信息。未经电子信息接收者同意或者请求，不得向其手机或个人电子邮箱发送商业性的电子信息。

　　“人大法案是从制度上进行监管，《指南》是从技术、信息系统上提出监管。”刘陶告诉记者，这个标准是用来指导实施的，本身不具有法律效应。但是通过主管部门的推动，可以提高标准的贯彻和推动，以及执行。

　　安全的边界

　　在互联网上，无论是用户的即时通讯账号，还是社交网络账号，抑或邮箱密码，几乎都被“盗”过，每位互联网用户都处于“裸奔”的状态。

　　不仅如此，手机也已经成为新的个人信息泄漏的“重灾区”。一份来自奇虎360安全中心的《2011年中国手机安全状况报告》显示，2011年全年，安卓手机平台新增恶意软件及木马4722个，被感染人数超过498万人次，已经成为移动互联网安全攻防战的主战场。

　　除恶意扣费外，窃取用户隐私已经上升为手机木马的主要危害之一。一些木马会收集用户隐私信息、包括用户短信息、通话记录、所处位置，手机运行的程序等都会被上传到软件服务器中，甚至每按下一个键盘都会被秘密地记录。

　　个人信息泄漏已经形成了一条产业链，并具有泄密渠道多、范围广、程度深等特点。通过“挂马”、“抓鸡”、“洗信”等一系列专业的技术，和严密的流程配合，以及代理制度，越来越多的个人信息已经曝光。个人用户对自己的信息泄漏只能忍受，而无法做出任何反应。

　　这项《草案》明确规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。”

　　“个人信息泄漏情况较为严重，直接由全国人大常委会立法进行规范，那么效力等级是最高的， 影响也会更大，个人信息保护的立法体系也更完善。”赵占领表示，目前，关于个人信息泄漏的案件，除了依据刑法修正案七追究刑事责任之外，也可以通过立法进行民事索赔，甚至进行行政处罚。如果《草案》获得通过，则以后诉讼能够以其作为法律依据。

　　此前，在个人信息保护上，由于专业性较弱、救济偏事后、立法不完备等原因，很难从根本上防范个人信息被非法利用的行为。而诸如刑法修正案(七)、侵权责任法乃至修改后的居民身份证法则操作性差。而个人信息保护法，虽然被寄予厚望，但是自2003年开始起草以来，却未能进入正式的立法程序。

　　《草案》中值得一提的是网络身份管理，这与自很早推行的实名制相关。“可以实行后台的身份管理办法”意味着，可以实行前台匿名、后台实名的管理。在后台“备注”为实名之后，在此前提下，用户可在前台用与实名对应的虚拟用户名发布信息。

　　“前台匿名、后台实名的方法对打击网络水军，并不一定能够起到太多的作用。微博推行实名注册，但并没有将实名认证贯彻执行。那些刷粉公司还是可以找到很多身份证号进行注册。”赵占领认为。

　　华南师范大学计算机学院副院长单志龙在接受本报记者采访时表示，保证实名制，需要建立起一套完善的机制。这首先需要一些独立的网站进行安全评级，通过网站管理、安全措施、安全投入、技术人员水平等来判断某个网站的安全级别。

　　对于拥有大量用户的企业来说，实行实名制的压力会更大。实名制需要的保障机制没有做到，那么就无法实名。论坛、微博等产品影响较大，并且经常处于舆论的风口浪尖，那么要求实名后，如果一旦泄漏，相应的企业根本无法担责。

　　在单志龙看来，企业需要尽好企业的责任，“互联网企业的信息越来越精确，对于企业来说，需要将自己企业的围墙建立起来”。

　　我国拟立法重点保护公民个人电子信息 未经接收人同意禁发商业短信

　　本报讯 昨天，十一届全国人大常委会第三十次会议审议了委员长会议提请审议的《全国人民代表大会常务委员会关于加强网络信息保护的决定(草案)》的议案。

　　全国人大常委会法工委副主任李飞就关于加强网络信息保护的决定草案作了说明。李飞说，近年来，随着我国信息化建设不断推进，信息技术广泛应用，信息网络快速普及。信息网络在促进经济发展、社会进步、科技创新的同时，也带来十分突出的信息安全问题；移动互联网、物联网、云计算等新的信息技术和移动终端的发展应用，给信息安全带来更为严峻的挑战。当前，随意收集、擅自使用、非法泄露甚至倒卖公民个人电子信息等违法活动大量发生，严重损害公民、法人和其他组织的合法权益。但从网络活动的现实来看，我国法律对各类企业事业单位收集、使用、处理公民个人电子信息，还缺乏统一明确的规范，迫切需要完善这方面的法律规定。为此，草案突出强调国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息，对网络服务提供者和其他企业事业单位收集、使用个人信息的规范及其保护个人电子信息的义务作出多项规定，政府有关部门及其工作人员对在履行职责中知悉的公民个人信息同样负有保密和保护义务。

　　此外，会议听取了关于证券投资基金法修订草案审议结果的报告、关于老年人权益保障法修订草案审议结果的报告、关于劳动合同法修正案草案审议结果的报告、关于旅游法草案修改情况的汇报。根据常委会此前的审议意见，并听取各方意见，法律委员会对上述草案分别作了修改，提请本次会议继续审议。

　　受国务院委托，国家工商总局局长周伯华作了关于商标法修正案草案的说明；国务院法制办主任宋大涵作了关于土地管理法修正案草案的说明。

　　举措

　　用户办入网手续应提供真实身份信息

　　据中国之声报道，加强网络信息保护的决定(草案)规定，用户办理入网手续，应提供真实身份信息。

　　当前，在一些侵害公民个人信息安全等违法犯罪的活动中，实施侵害行为的个人和网站身份信息没有登记或者虚假登记，导致违法活动成本低，取证、查处难，有必要加强网络用户身份管理。实行网络身份管理，是许多国家的通行做法。有关部门、地方和社会公众普遍要求通过立法完善这一制度。目前，我国电信企业和相关互联网信息服务提供者开始实行手机用户和发布网络信息的用户身份登记。因此，决定草案作出相应规定：网络服务提供者为用户办理固定电话、移动终端等入网手续，或者为用户提供信息发布服务，应当在与用户签订协议时，要求用户提供真实身份信息。

　　未经接收者同意禁止发送商业性信息

　　从网络活动的现实来看，我国法律对各类企业事业单位收集、使用、处理公民个人电子信息，还缺乏统一明确的规范。因此，决定草案明确：国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。

　　“任何组织和个人不得窃取，不得出售或者非法向他人提供公民个人电子信息。”

　　许多人每天都要收到大量推销商品或者服务的手机短信、电子邮件等，从国外情况看，一些国家已制定相关法律，对发送商业性电子信息的行为予以规范。为此，决定草案作出相应规定，未经电子信息接收者同意或者请求，不得向其手机或者个人电子邮箱发送商业性电子信息。

　　防个人信息受侵害将予公民举报控告权

　　李飞表示，为了维护公民个人信息安全、国家安全和社会公共利益，草案还赋予有关部门对网络活动进行监管的必要权力，同时明确网络服务提供者予以配合的法定义务，并对违反本决定行为的法律责任作了规定。

　　此外，草案还赋予公民必要的监督和举报、控告的权利，充分发挥社会监督作用，这是有效治理侵害个人信息安全等网络违法行为，维护公民合法权益的重要手段。

　　解读

　　网络个人信息保护迫在眉睫

　　“当事人因个人信息泄露而在经济、精神和名誉等方面蒙受损失的案件不胜枚举。”北京大学法学院教授湛中乐列出一组数据：根据相关报告，在过去的一年里网络犯罪使我国个人用户蒙受直接经济损失高达2890亿元，网络犯罪的受害人数超过2.57亿人，网络犯罪的受害者占网络比重高达75%，平均每一位网民受到直接经济损失达到1100元。

　　这组数据足以说明，虽然互联网的快速发展给我们现代生活带来了很多便捷，但个人注册信息的频繁泄露也带来很多安全隐患。

　　近年来各种网络运营商、企业和公共服务机构通过贩卖网络个人信息牟利，其中不仅涉及用户的姓名、年龄、住址、婚姻状况、联系方式等大量个人基本信息，还包括银行存款、投资状况等财产性信息。

　　个人信息泄露依法维权较难

　　湛中乐表示，网络个人信息属个人隐私部分，保护个人信息安全是个人应有的权利。个人信息泄漏可能危害到生命财产安全。

　　“在个人信息安全方面，涉及保护个人信息的法律大大小小虽有近40部、法规30多部、规章近200部，但专业性较弱、效力位阶较低，救济偏事后等因素导致难以从根本上防范个人信息被非法使用的行为。”湛中乐指出，尽管刑法修正案(七)、侵权责任法乃至修改后的居民身份证法等相关内容均有涉及对泄露公民个人信息行为的处罚规则，但相关规定条款过于分散，可操作性差。加之运营商和用户个人在专业技术、财产支持等方面的实力悬殊，即便发生信息泄露，用户个人在追究运营商民事责任的时候，也存在举证难、诉讼成本高、收益低等问题，当事人很难依法维权。

　　保护个人信息利于规范运行

　　湛中乐表示，目前我国互联网立法存在滞后问题，法律层次不高，主要是通过行政法规和部门规章进行管理。全国人大常委会关于加强网络信息保护决定(草案)是我国加强个人信息保护，打击信息领域的犯罪，切实维护公民的合法权益，确保网络安全的必然举措。

　　湛中乐认为，全国人大常委会的这一举措将对互联网时代的生活意义重大，有利于保护网民隐私和维护网络的健康发展，不仅是我国网络发展的一大进步，更为我国网络的规范运行奠定了基础。

　　他指出，全国人大常委会关于加强网络信息保护决定草案，对于提高立法层级和权威性至关重要，标志着公民个人信息保护有了强大的法律后盾，是我国网络安全制度化建设历程上的重要举措。

　　加强信息保护法条可操作性

　　“在网络上，保护公民权益免受非法侵害、保障国家安全是一项系统工程，不是单靠一部法律、法规就可以完成的。”湛中乐对于新制定的决定草案抱以期望，他认为，由于现有的法律规则存在立法滞后、法律层次不高、专业性和权威性不足等问题，在保护公民个人信息方面缺乏实际可操作性。希望此次出台的《加强网络信息保护的决定》(草案)在可操作性方面能有较大的改善。

　　湛中乐认为，要想从根本上解决个人信息泄露的问题还需要不断完善相关的网络法律法规，建立健全相应的配套制度。政府部门要依法履行职责、有效管理网络，做到执法必严。网络运营商、信息服务商等各类互联网企业要履行法律职责和社会责任。公民在网上行使权利的同时，也要履行相应义务，对自己的言行负责，遵守法律法规。

　　网站回应

　　>>新浪

　　新浪官方回应称，新浪会积极响应政府部门各项规定和要求，推进相关工作，全面加强对用户信息的保护。此前，新浪在推动微博管理上已经做了大量的工作，积累了一定的经验。新浪微博名人、机构等认证用户数已超过90万，草根网友则可申请认证成为“达人”用户，目前“达人”草根用户已超500万。手机绑定微博实现实名制的比例也超过50%。

　　>>搜狐

　　搜狐方面表示，公民个人隐私保护、信息安全，事关公民正常生活、合法利益，至关重要。通过立法加强网络安全监管，有助于保护公民个人隐私和信息，保障公民正常网络生活秩序，同时，将进一步维护整个互联网行业持续健康发展。搜狐将严格遵守国家相关法律法规，一如既往保护网民隐私和身份信息安全，为中国互联网行业的健康发展贡献力量。

　　>>腾讯

　　腾讯表示，将会遵照政府法规的规定，做好相关法规的实施工作。

　　腾讯电商方面称，一直都非常重视用户个人电子信息的保护，并且依托腾讯公司的安全保护措施保护用户的账号安全。具体来说主要有两个方面：第一，不会主动收集用户的信息；第二，用户在腾讯电商平台进行交易的账户信息全部储存在保护区域，设置了多层权限控制，并且账号密码等敏感信息采用加密存储。

　　>>即刻搜索

　　人民网旗下即刻搜索方面表示，实行网络身份管理，是许多国家的通行做法。公安机关在破获一些侵害公民个人信息安全等违法案件中，网络管理信息发挥很大作用。在制定执行政策的过程中要把握“度”的原则，既要有效精准打击违法犯罪活动，也要保护网民参与网络互动的积极性，保证网民话语权、监督权的实现。即刻搜索对涉及违法、个人隐私、侵权类的信息，申诉人有明确权益证明和侵害说明的，会酌情给予刊登声明、删除信息等保护措施。

　　>>京东商城

　　京东商城表示，非常支持十一届全国人大常委会第三十次会议审议的关于加强网络信息保护的决定草案。目前，互联网对社会发展的方方面面都产生了重要影响，越来越多的老百姓在互联网进行着沟通、购物、交易等多项日常行为，但正因为如此，互联网也成为了诈骗、盗号、造谣等多种犯罪行为的温床。作为一家大型的网络零售商，京东商城认为网络安全体系和相关法制法律体系的建设显得非常必要，这对于打击网络犯罪、维护网络秩序、保护老百姓安全等都具有非常积极的意义，互联网企业也能在和谐、健康的网络市场环境中取得更好的发展。

　　青年学生

　　北京电影学院大二学生李申

　　更关心如何落地实行

　　最近我一直在关注关于网络信息保护草案出台的消息，一方面因为最近舆论的关注，一方面因为我们每个人都离不开网络。

　　最近清华辩论赛决赛的题目就是网络管理利弊分析，有一方举例现有的人人网等网站已经在实名方面有一定成功经验，另一方举例表达了一些担忧。

　　网络信息的泄露在我的身边却有着切实的体会，比如我认识一个“技术宅”男生，因为喜欢一名女生，就能在网络上通过各种搜索，将这名女生从高一到大学的所有生活碎片查找出来，进行组合分析，就几乎能推断出她这段时候的人生。这种“人肉搜索”一方面这几年有利于查出贪腐官员，一方面也泄露了良民隐私，这个平衡把握很重要。

　　另外，我认为每个人也应该在上网时注意保护自己，比如有很多人喜欢自拍，随意注册网络信息，都是很容易泄露自己的信息的。我一般只在自己信任的网站注册，但这也纯粹靠自己的感觉，存在一定风险。

　　所以我觉得一方面要有法律的出台，使得保护网络隐私有法可依；另一方面也要从技术上寻找解决这个问题的办法。

　　有了保护网络隐私的法律非常好，我更关心接下来该如何落地实行，究竟由哪个部门负责执法、监管？出现了信息泄露，造成公民损失，该怎么样进行赔偿？只有这些实际操作的办法都落实了，这部法律才能真正见效。

　　清华大学博士生胡侃

　　网络管理与言论自由不冲突

　　这个法律的出台我是举双手支持的。因为听说过很多因为网络信息泄露被人骚扰的事情，甚至有人利用此违法犯罪。前一段时间还有新闻说有人利用淘宝信息，将受害人骗出门。从我本人来说，也经常接到一些垃圾邮件，甚至还有人冒充歌华公司说我欠费或者冒充我的熟人要借钱。我想这些信息估计都是通过网络泄露出去的，让人不堪其扰。

　　对于网络信息管理，我现在还记得我在清华，经历过高校BBS实名登录网站引起的风波。当时同学们将BBS当成获取资讯的平台，也当成情绪发泄的平台，所以变化后有很大的冲突，也有过阵痛。但是多年发展下来，大家也已经接受并习惯了网络管理，我觉得当代青年要对自己说的每一句话负责，坚持自己认为的真理，网络管理并没有与言论自由冲突。如今大家都已经能接受这种管理方式。

　　怎样能在网络管理的同时保护网民的个人信息，法律的出台就非常有必要。首先它使一切执法有了法律的依据。但是有了法律，怎么样才能让违法分子真正震慑，我觉得接下来需要抓一批典型，公开审判处理，以儆效尤。目前那么多人的网络信息泄露，我认为不是一两人所为，一定是有专门的组织在背后操作，公安部门应该掌握信息，予以坚决取缔。

　　网友反馈

　　某IT企业白领职员汤蕾

　　每个网民都是信息泄露受害者

　　我的网龄有12年了，可以说也饱受个人信息泄露的骚扰。在网络刚刚风靡的时候，每个人只要简单注册一个账号就可以上网，并不存在网络泄露的问题，但是这几年网络泄露已经不算是新闻了，可以说每个网民都是其受害者。

　　我发现只要网友们愿意，你生活的方方面面都能被“裸露”在网络上，不仅是个人的生活，甚至是自己的证件号码、银行卡号、工作单位、家庭住址等等。保护网络信息的法律，早就应该有。我现在关心的是法律执行的力度大不大，是不是真的可以揪出背后扰乱网络秩序的人。比如说我最困扰的垃圾邮件和垃圾短信，如果发送这样的邮件和短信，能获得怎么样的处罚？处罚力度是不是不如泄露带来的利益，会不会让人还是宁愿铤而走险？

　　案例

　　■案例1

　　180余网上倒卖信息公司被端

　　近年来，利用互联网为媒介买卖个人信息类违法犯罪日益突出，互联网上非法买卖公民个人信息行为猖獗，由此衍生的网络诈骗、非法调查公司、绑架等犯罪案件层出不穷。为此，北京警方对买卖公民个人信息类犯罪展开打击行动。通过调查梳理，共搜集到涉案信息20万余条，从中发现、锁定出售公民个人信息的涉案源头、中间商等重点涉案人员16名，非法调查类公司180余个。

　　2012年4月20日10时，北京警方组织多警种开展统一抓捕行动，一举打掉买卖公民个人信息源头5个、中间商13个、非法调查类公司153家；抓获涉案人员201人，其中刑事拘留98人，取保候审1人。另起获大量GPS定位器、手机屏蔽器、密拍密录设备等作案工具；扣押服务器2台、台式计算机175台、笔记本电脑67台、手机182部。

　　■案例2

　　男子假身份婚恋网上交友骗财

　　2012年5月中旬，北京警方接到事主报案：2011年事主付某在某婚恋网发布征婚信息，一自称“吴晗”的男子发邮件称与其交友，并留下联系QQ私聊，后以各种理由骗取事主人民币35000元。2012年6月，北京警方赶赴湖北省荆州市将犯罪嫌疑人杜某抓获。经讯问，杜某对使用假身份诈骗事主付某的犯罪事实供认不讳。杜某因涉嫌诈骗罪被朝阳分局刑事拘留。

　　■案例3

　　网站遭入侵泄露用户数据

　　2011年12月22日，北京警方接到CSDN公司报案，称其公司服务器被入侵，核心数据遭到泄露。市公安局网安总队于2012年2月4日在浙江温州将嫌疑人曾某抓获。经初步审讯，该男子对2010年4月利用CSDN网站漏洞，非法侵入服务器获取用户数据的犯罪事实供认不讳，曾某还交代曾经入侵过某充值平台及某股票系统的犯罪事实。

　　事件发生后，北京警方对CSDN网站开展了调查，发现其未落实国家信息安全等级保护制度，安全管理制度和技术保护措施落实不到位是造成用户信息泄露的主要原因。市公安局向CSDN网运营公司提出了具体整改要求，并依法对北京创新乐知信息技术有限公司做出行政警告处罚。这是我国落实信息安全等级保护制度以来的首例“罚单”。

　　他山之石

　　德国立法保护信息安全

　　德国在保护个人信息方面的立法已有几十年历史，相关法律对互联网等领域中个人数据的使用做出了明确规定，还提出设立专职信息保护人员的建议，较好地维护了德国社会的信息安全。

　　1970年，德国黑森州就出台数据保护法。1977年，德联邦层面的数据保护法生效。现行的《联邦数据保护法》于2009年修改并生效，约束范围包括互联网等电子通信领域，旨在防止因个人信息泄露导致的侵犯隐私行为。

　　这部法律对个人数据的合法获取、处理和使用情况做出明确规定。按照规定，信息所有人有权获知自己哪些个人信息被记录、被谁获取、用于何种目的；私营组织在记录信息前必须将这一情况告知信息所有人；出于广告目的而获取、处理、使用个人信息，必须经信息所有人书面同意；如果信息有误，信息处理方有义务将其更正；非法获取或不再需要的信息必须删除；如果某人因非法或不当获取、处理、使用个人信息而对信息所有人造成伤害，此人应为此承担责任。

　　如果违反法律规定，将被处以5万至30万欧元罚款；如因违法获利，罚款应超出获利金额。

　　《联邦数据保护法》呼吁公立和私营组织设立专职信息保护人员。在政府内部，这部法律要求设立“联邦数据保护与信息自由专员”，监督政府机构在保护个人数据方面的行为。“联邦数据保护与信息自由专员”由联邦议院选举产生，办公室设在德国内政部。如果有人认为政府机构在收集、处理或使用自己的信息时侵犯了自己的权利，可以向数据保护专员办公室投诉。

　　京华时报 记者 孙乾 李斌 周逸梅 综合新华社央广 本报制图 杨佳宁