摘要：《网络安全法》第四章是网络信息安全。我们看网络信息安全一共是十一条，其中六条涉及个人信息安全保护，涉及互联网信息安全管理总的看，《网络安全法》不是以互联网信息内容管理为重点，而是侧重于网络信息技术的安全。大家要关注到。因为互联网信息内容管理我们国家已经有很多的法律法规、部门规章，而且现在也在不断的完善互联网信息内容管理的法律体系。但是互联网信息技术安全我们相关法律规定十分欠缺，因为这是这个法的重点。

尊敬的朱主任、汪教授、唐处长，各位领导、各位专家、各位同事大家上午好，感谢主办方的邀请给我一个机会跟大家共同讨论一下《网络安全法》的有关议题，我今天的报告是《网络安全法》与网络信息安全。实际上这是《网络安全法》里面第四章主要内容，也是一个具体内容，按照道理来讲应该是在后面安排，因为前面汪教授这些大专家从顶层，从全局上对我们法有更加精彩的解读，但是我事先跟主办方申请了一下，因为一会儿要出差，所以往前排，所以感谢主办方和各位专家的理解支持。

《网络安全法》第四章是网络信息安全。我们看网络信息安全一共是十一条，其中六条涉及个人信息安全保护，涉及互联网信息安全管理总的看，《网络安全法》不是以互联网信息内容管理为重点，而是侧重于网络信息技术的安全。我觉得这个特点很有意义，大家要关注到。因为互联网信息内容管理我们国家已经有很多的法律法规、部门规章，而且现在也在不断的完善互联网信息内容管理的法律体系。但是互联网信息技术安全我们相关法律规定十分欠缺，因为这是这个法的重点。

互联网信息管理

我们还是先讲一下互联网信息管理，简单过一下，毕竟还是有一些条款涉及这个内容。可以从三个层面来理解，第一个层面就是用户的角度来看，用户当然包括个人和组织，其中四十六条和四十八条从用户角度来讲，对用户提出的要求。对于运营者而言是第四十七条和四十九条提出的要求。另外一条是对主管部门而言，就是第五十条提出的要求，所做的授权。以上几条的重要意义我总结以下四个方面，立法明确了我们国家对网上违法信息的处置措施，用户不得发布和传输违法有害信息，这是前面两个条款涉及的。第二个对于运营者来讲应该停止传输并清除违法信息，这也是有两个条款要求的。第三个主管部门应当要求运营者停止传输并清除违法信息，这是第五十条提出的要求。第四个重要意义就是对来源境外的违法信息通过技术措施予以阻断。这四个方面的要点，特别是我们要说对来自境外违法信息，第五十条提出来以后我们告别了以往依靠红头文件的时代。这是公开积极主动行使我们的主权，也就是大家平时俗称的删帖子、封网，我们有了明确的法律依据，这是公开依法行使网络主权的重要体现。

《网络安全法》关于个人信息保护的相关要求

后面是关于个人信息保护和大家讨论一下，首先在讨论个人信息保护之前，我想起来两千多年以前孟子有一句话，“徒善不足以为政，徒法不能以自行”，再设计精巧的法律，如果没有很好的执行机制最终就是一纸空文。所以后面讲《网络安全法》对个人信息保护诸多信息之前，在讲后面诸多部署之前首先要强调法要有好的执行力。保护当事人的权利，极大的降低我们公众，我们普通老百姓成全的成本，这个非常重要，否则后面一切做的工作都是没有意义。因为我们也看到不是说《网络安全法》刚刚提出个人信息保护，也不是说《网络安全法》对个人信息保护的设计如何如何的精妙，事实上在此之前无论是全国人大常委会关于加强网络信息保护的决定，还是刑法修正案九都对个人信息保护提出了比较明确比较细致的要求。但是我们也看到现在个人信息泄漏的事件层出不穷，个人权益得不到保护的局面事实上已经成为一种常态，我们不能等总是死了人才搞专项，这个是不能可持续的，不可以长久的。因此我首先表达这样一个观点，我们应该加强法的执行力。

后面给大家报告《网络安全法》里面关于个人信息保护的相关要求，实际上分布在两个章节，第一个是第九章网络运营里面，第三十七条提到了，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。后面第四章有六条集中规范信息个人保护，具体条款我就不展开了，一共六个条款。这六个条款体现了个人信息保护的八个重要原则：第一个是责任原则，网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。第二个是目的明确原则。第三个是最少够用原则，第四个是同意和原则选择。第五个是确保安全原则。第六个是质量保证原则，发现网络运营者收集存储个人信息有错误的有关要求网络运营者更正。第七个主体参与原则。最后一个是开放透明原则。为了落实《网络安全法》关于个人信息保护安全的规定，当前相关工作主要有这么两个方面，第一个是落实《网络安全法》第三十七条规定，制定了关键信息基础设施中个人信息和重要数据跨境流动安全评估办法。第二个是《网络安全法》对个人信息保护原则和要求，起草国家信息安全规范，征求意见截止日期应该是二月份，感兴趣同志可以下载。

制定《网络安全法》相关规范的有关标准和思路

下面是制定《网络安全法》相关规范的有关标准和思路，在标准层面我们做这项工作体现了以下几个特点，一个就是明确提出国际通行八大个人信息安全原则，但是《网络安全法》没有明确指出这八个原则，体现了这些原则，我们需要有明确正式的提出，这个是在我们标准层面给出的。第二个要对《网络安全法》的规定进行细化，突出可操作性、指导性。第三个就是瞄准国际国外最新的立法和标准，力求使我国个人信息保护达到国际先进水平。我们都知道欧盟发布了GEPR，欧洲有的议员说了中国个人信息保护水平非常差，因此他们认为这会直接影响到中欧之间的贸易，比如我们的企业开拓欧洲市场，可能就会受到比较严重的影响。当然了欧洲议员说什么我们可以听一听就行了，但是对于我们自己来讲确实我们需要提升我们国家个人信息保护的水平，一方面有利于我们国际贸易，另外一方面保护公众的个人权益，这已经成为一个十分迫切的问题。所以我们贯彻这个法的时候就立足于使我们国内信息保护水平力争达到国际先进水平。第四个网络运营者和个人运营者之间，我们的天平向个人用户倾斜，倾向于保护用户。

总体要求从生命周期角度考虑，列了四个方面，一个是个人信息的收集过程，一个是个人信息的保存过程，一个是个人信息的使用过程，最后一个是转让和公开披露过程。在这四个环节当中具体落实《网络安全法》提出细化的要求，具体的条款因为时间关系就不展开了，后面重点以举例形式给大家报告一下相关思路。我们如何体现落实《网络安全法》，《网络安全法》里面提了网络运营者收集使用个人信息应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。什么叫同意？现在看到很多个人隐私条款都不叫同意，比如说七八页之长，拉了半天看不到主要内容，比如说用得很标准，很规范，但是普通人看不懂的网络语言，云山雾罩，比如说大家习以为常看到，我们接受一项服务或者登录一个服务的时候，同意旁边的方块是默认，有对子勾的，用户很简单的只要下一步就可以往后走了，这些都不叫同意。我们提出收集个人敏感信息时，当然这是个人敏感信息，因为一般信息对这个要求可能比较弱一点，确保个人信息主体同意，是在完全知情基础上，自愿给出的具体的清晰明确的愿望表示，如个人信息主体声明或主动点击同意选项，不得以默许同意方式获取用户同意，目前多数网络运营者给出的同意说法都不符合要求，还有一次同意多次使用，比如我们使用导航，频繁收集你信息，因此我们还提出对于动态性的个人信息应该保持合理的，避免超出服务目的之所需，我们在落实《网络安全法》起草相关规定的时候我们尽可能考虑的比较全。举例二，网络运营者不得收集与其提供的服务无关个人信息，这个是《网络安全法》里面明确的要求，这个要求当然很有意义，但是我们面临的问题是如果收集了怎么办，事实上大家都有这种体验，做的好的问你同意不同意收集，但是很多时候我们不同意收集的时候这个服务就不能用了，这个是有问题的。所以现在我们标准层面给出了这样的规定，实际收集个人信息范围超出个人信息的最小诉求，不得因个人主体不同意而拒绝相应服务，并保证相应的信息服务，很简单的导航，如果我们拒绝通信录你不能就不导了，用户不同意你还得提供服务，并且不得降低服务质量，这都是对于《网络安全法》提出的有关规定我们具体的细化。

第二个如何体现高水平，第一个例子，以公开的个人信息是否受到保护。我们传统上很多人就会这么理解，特别是运营者，你已经公开了，个人信息已经在网上公开了，我为什么不可以拿来，为什么不可以放在我这个上面展示？比如说现在一些互联网服务提供者的百科，对一些名人或者公众人物给出了个人的档案，如果发现里面的错误找它交涉，往往很难交涉，你还要花钱。交涉花不花钱是两回事，问题是你应该这么做吗，可以这么做吗，不能因为这个信息已经公开了，就可以随便这么做。因此我们这样考虑，未经个人信息主体明示同意，不得变更个人信息主体原来公开的范围，比如考试，原来公开了，你这个运营者再去张贴人家信息的时候还是要以公开人家信息成绩单这个目的，而不能干别的，显然你不能是这个目的了，你不是考试机关，也不是招考机关。另外我们明确提出未经个人信息主体示同意，不得基于多个来源可公开访问的个人信息创建可公开明示的综合个人信息，比如个人档案，即使是公开的也不可以。举例二，约束信息的自动决策，什么叫信息自动决策，前两天我听到一个报告，一个互联网金融企业讲的很好，也确实很多人都在用，就是先上车后买票，比如说乘坐公共汽车，兜里没钱，没钱就没钱吧，事后扣。我们租房子，很多时候已经不需要交押金了，因为地产中介和一些互联网金融服务建立战略合作伙伴关系，我上面说的切类似于先上车后买票制度，就是因为互联网服务提供者，一些网络运营者基于我们用户在网上的活动，特别是在网上金融活动自动给每个人给出了信用值，你信用值高，你当然就可以先上车后买票，所以你就不用付押金了，有人给你担保。这当然是一种好的应用，但是这种应用对于个人信息主体来讲是存在着风险的，你又不是国家的权威部门，你凭什么这么做，如果你做的不对怎么办。我们现在不反对这样做，但是我们提了要求，如果你有信息系统自动决策机制，而且可能对个人信息产生负面，你要至少告诉个人信息主体，我们现在谁收到通知了？可能每个人在网络运营者那里都有一份甚至多份信用档案。这个不行，特别是对个人信息主体提供投诉和退出的办法。我举这么两个例子来证明我们面向高水平的个人信息保护这样一个状态。

第三个如何将天平向公民个人倾斜。第一个例子，标准里面规定了向用户提供很多个交互机制，比如查询机制、更正机制、删除机制、撤回同意的机制、注销账户和取消服务机制，获取自身个人信息的机制，约束信息系统自动决策的机制。这里面涉及到的成本怎么办，网络运营者因为成本过高不响应怎么办。对于合理的请求原则上不能收取费用，当然了如果说多次重复，超出合理限度的行为，恶意的请求可以收取一定的成本费用，但是原则上对合理请求不应该收取费用。第二个不得非法出售个人信息，现在很多大数据交易所，交易平台，很少听到说对个人信息保护或者对信息安全，网络安全保护有什么规定，这是很遗憾的。《网络安全法》规定了不得非法出售，出售怎么办，有没有出售个人信息的情况存在，怎么处理？我们规定了，标准规定了，原则上不得转让、披露个人信息，应该获得个人主体明示同意。同时给了一个强制性的责任，如果转让以后发生了个人信息安全事件怎么办，转让方应该承担责任，不是没有责任的，特别是有责任包括信息个人主体追究受让方的责任，或者由转让方赔偿。第三个例子就是确定的几个权利我们进行了细化，比如查询权、更正权、被遗忘权，特别是被遗忘权，现在一个焦点问题，但是很重要，到了原来的服务目的达成了，应该删除账户，现在的情况下很难做到。比如说在网上购物，现在所有购物历史信息都存在，想删删不掉，以后如果用户提出删除或者注销账户，应该予以支持。对于发生了信息安全事件时应该及时告知受影响的用户或者提供就近渠道。

最后一个问题，就是在开展这项工作中很多网络运营者提出这样的说法，如果制定这么严的个人信息保护规定，那么是不是会阻碍我们业务的开展，阻碍我们大数据的利用。所以一些专家提出这个中间要去平衡。我有一个明确的观点，我说我根本不认为这个里面需要平衡的问题，不存在平衡的问题。我们保护个人信息是为了更好的促进大数据的利用，因为没有规矩不成方圆。另外一个存在的规定是合理的，我们现在网络运营者大量存储个人信息，使用个人信息，我们现在一提出要求，很多运营者可能就说这个我很难做到，这项工作开展不了，那项业务开展不了，这个都不是理由，我们也做了调研，事实上现在互联网企业收集了大量个人信息，往往是统计学意义，统计学意义意味着什么呢，你在存的时候就不该存个人的信息。应该把指向个人的那部分信息拿掉，张三今天买了什么货，什么货物名，价值多少，都可以存，但是为什么要存张三呢，为什么要存具体门牌号地址呢，没有必要。因为大数据都是统计学意义。因此个人信息安全保护我们在标准层面做了这样的规定，存储信息时根据信息的目的可采用匿名化、伪匿名化等措施降个人信息安全风险。《网络安全法》一句话，经过处理无法识别特定个人且不能复原的除外，就是说匿名化以后的数据我们不认为是个人信息，也不在《网络安全法》规范范围之内，因此网络运营者原则上应该存储的是匿名化的数据，但是有的时候你做到匿名，比如说我们医院，医院存储病人信息部可能做到匿名化，怎么办呢，伪匿名化，比如张三糖尿病，但是存的时候不应该存张三的名字，最好存病案号，但是对于病案号和姓名之间的关系就是附加信息，这个信息应该与匿名化的数据分开收集。完全可以在充分保护个人信息的前提下做好大数据的应用。

以上是我给大家报告了一下参与有关的工作我个人的一些认识，仅供大家参考，请大家批评。谢谢。