㈠ 未经什么同意不得向他人提供个人信息
民法典人格权编草案明确保护公民的个人信息,其中规定个人信息是以电子或者其他方式记录的、能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。草案还规定信息收集人、持有人不得泄露、篡改、毁损其收集、存储的个人信息;未经被收集者同意,不得向他人提供个人信息。此外,草案进一步要求信息收集人、持有人应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当及时采取补救措施并告知被收集者。由此可见,民法典人格权编对个人信息权的保护是非常周延的。
刑法作为“最后手段”和“二次性法”,必须为民事权利的实现提供最为有力的保障。我国刑法第253条之一第1款规定了侵犯公民个人信息罪,凡违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的行为即构成本罪。在实务中,对于大量非法出售、非法提供公民个人手机号、身份证号、居住地址,以及通过GPS定位非法获取并提供公民行踪信息的行为予以定罪处罚。在这些案件中,大多属于情节恶劣的情形,确实需要予以严厉打击,司法机关的裁判有效地震慑了犯罪。不过,和公民的“体感治安”相比较,目前对侵犯个人信息犯罪的打击力度还远远不够,刑法对公民个人信息权所提供的仅仅是“低水平”的保障,目前还有大量侵犯公民个人信息的犯罪活动由于单个被害人举报的积极性不高、证明被告人情节严重的证据难以收集和固定、犯罪集团化增加了侦破难度等原因没有得到应有刑罚处罚。
不过,另一侧面的问题也值得关注:在具体司法活动中,如何把案件办成“铁案”——准确理解侵犯公民个人信息罪的保护法益,不搞打击扩大化,实现刑法谦抑性也是当下司法活动中需要关注的。这是刑法谦抑性的题中之义,即刑罚作为最严厉的处罚手段,必须在其他制裁手段的处罚力度明显不充分时,才能加以使用。
目前具有“类案”性质的情形是:处于下游的乙公司涉嫌在无授权的情况下,利用数据接口产品与终端不法互联网公司丙签订销售合同,从中赚取差价,以及非法缓存海量公民个人信息(包括公民姓名、身份证号、地址、电话以及信用积分等),然后予以出售或非法提供,或为他人非法提供身份证返照查询业务数千万次,导致公民个人信息大多流向网络小贷公司,为其拉客户,或者帮助其进行小额贷款并实施“软暴力”催收。对于这些非法缓存然后提供、出售公民个人信息的下游公司以侵犯公民个人信息定罪量刑,我认为基本不存在疑问。
但目前在实务中值得讨论的问题是:甲公司作为乙公司的上游公司,如果其所掌握的所有个人信息来源合法,且在与乙公司签订《公民身份信息识别认证服务协议》时对乙的义务有所约束,其是否也构成侵犯公民个人信息罪?这就涉及到对侵犯公民个人信息罪保护法益的判断,以及对行为性质、犯罪故意的准确认定等问题。而在当前的办案实践中,对于处于甲公司地位的法人,也有被以本罪追究刑事责任的情形,这说明类似问题很有讨论价值。
首先,侵犯公民个人信息罪的保护法益是公民的个人信息权。虽然本罪规定了“违反国家有关规定”,但是,从侵犯公民个人信息罪的条文设置以及相关司法解释、行政法规的规定来看,本罪的主要保护法益仍然是公民的个人法益。因为其被设置于刑法分则第四章的“侵犯公民人身权利、民主权利罪”一章中,从体系解释的角度来看,本罪作为刑法第253条之一,其保护法益应与“私自开拆、隐匿、毁弃邮件、电报罪”相协调,将公民的个人法益作为本罪的主要保护法益。
如果将本罪的法益解释为公民的个人信息权,再结合人格权法草案关于征得自然人或者其监护人同意可以收集、使用自然人个人信息的规定,就可以认为在被害人承诺的情形下,法益的“要保护性”不存在。与这一理解相同的是《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》)第3条第2款的规定,即“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’”。另外,网络安全法第42条第1款也规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”上述规定都充分说明,侵犯公民个人信息罪的成立关键在于“是否未经或者违背了被收集者的同意”,如果是经过被收集者同意的信息获取行为,就可以认为至少存在被害人同意(承诺),自然也就不是该罪所规制的行为类型。因此,侵犯公民个人信息罪的主要保护法益是公民对其信息的个人法益,虽然也会涉及国家对个人信息的管理秩序,但其只是本罪的次要保护法益。在公民的个人法益没有被侵犯的情况下,即便违法了相关规定,也不能构成本罪。
其次,上游公司甲公司的行为没有违反被收集者的同意,也尽到了其应尽的审查义务,不存在客观上的侵权行为。在前面提到的实际案件中,作为上游的甲公司的行为没有违反被收集者的个人同意,同时尽到了其必要的审查义务,不应当成立本罪。根据甲公司与官方授权的公民身份证号码查询服务中心签订的《公民身份认证服务合同》与《公民身份信息认证服务补充合同》,甲公司可在互联网App发布行业、网络直播行业、互联网短租房行业、网络众包寄递行业、手机游戏玩家认证和管制刀具销售登记范围内提供公民个人信息服务;而甲公司与某行政机关(有权依法获得公民个人信息)签订的《公民身份信息认证服务合作合同》《居民身份证网上应用项目认证应用和认证服务合作协议》等协议也证明,甲公司的服务范围涵盖了互联网金融和电信运营商等行业。因此,甲公司获取、提供公民个人信息的行为均为与前述(合法取得公民信息的)行政机关订立合同的合法行为。
最后,公司连监督过失都不存在,更不要说存在本罪故意。甲公司确已尽到了对下游公司的形式审查义务,其不应对下游公司可能涉嫌的侵犯公民个人信息行为负责。甲公司与下游公司签订的《公民身份信息识别认证服务协议》中均约定对方“不得将认证结果下载、保存、打印”,并设置了下游公司缴纳保证金的制度予以约束。
㈡ 网络运营者是什么
网络运营者是网络所有者、网络服务提供者、网络管理者。
《网络安全法》第9条总括性地规定了网络运营者的网络安全义务,即:网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。在分则章节中进一步细化了的网络运营者的网络信息安全义务,具体包括:
一、建立信息安全管理制度义务
网络运营者通常是通过公司章程、用户协议、网络管理制度等对网络平台、用户进行管理。网络运营者要落实安全管理责任,首先就需要建立健全内部安全管理制度。《网络安全法》第21条规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。
二、用户身份信息审核义务
建立用户身份信息制度有助于构建诚信的网络空间。《网络安全法》第24条规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
三、用户发布信息管理义务
网络运营者对其平台上的信息负有管理义务。《网络安全法》第47条规定,网络运营者应当加强对其用户发布的信息的管理。信息管理手段包括对网上公共信息进行巡查。工信部《通信短信息服务管理规定》、公安部《互联网危险物品信息发布管理规定》、国信办《互联网信息搜索服务管理规定》等规定均要求网络服务提供者对公共信息进行实时巡查。
四、保障个人信息安全义务
网络运营者在运营中会收集大量的个人信息,保障个人信息安全是网络运营者的基本义务。《网络安全法》第40—44条对网络运营者的个人信息保护义务做了较为具体的规定。
五、违法信息处置义务
网络运营者发现其用户发布的违法信息,应当立即进行处置。《网络安全法》第47条规定,网络运营者发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
六、信息记录义务
网络空间的管理和安全维护依赖于对各类信息的分析、挖掘。《网络安全法》第21条规定网络运营者应当留存网络日志不少于六个月。网络日志包括用户日志和系统日志。用户日志和系统日志中的信息应满足维护网络安全和监督检查的需要。
七、投诉处理义务
网络运营者建立网络信息安全投诉、举报制度后,应及时受理并处理有关网信息安全的投诉和举报。《网络安全法》第49条规定,网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
八、报告义务
网络运营者应当将违法信息和信息安全事件向有关主管部门报告。《网络安全法》第47、48条规定,网络运营者、电子信息发送服务提供者和应用软件下载服务提供者发现法律、行政法规禁止发布或者传输的信息的,应当保存有关记录,并向有关主管部门报告。当发生网络安全事件时,网络运营者也应当向有关主管部门报告。《网络安全法》第42条第2款规定,在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
九、配合监督检查的义务
网络运营者对有关部门依法实施的监督检查,应当予以配合。《网络安全法》第49条规定,网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。
《网络安全法》规定的以上义务,还需要通过法规、规章进一步具体化。当《网络安全法》和有关法规对网络运营者的网络信息安全义务有了明确规定之后,《刑法》第286条之一规定的“拒不履行信息网络安全管理义务罪”才具有操作性。
㈢ 网络安全法在完善个人信息保护有哪些特点
随着互联网的迅猛发展,网络已成为人们生活的一个重要组成部分。网络是一柄“双刃剑”,在带给人们生活方便快捷的同时,也给公民个人信息保护造成了极大威胁,导致个人信息安全问题面临严峻挑战。《中华人民共和国网络安全法》(以下简称《网络安全法》)的出台,必将为我国个人信息安全提供更好的法律保护,对于完善我国个人信息安全法律制度具有重要的推动作用。
__【关键词】:网络安全法;信息安全;个人信息
__一、个人信息与个人信息权的概念
__对于什么是个人信息,目前我国法律上还没有明确的界定。在我国,个人信息作为一个法律概念首次出现于 2009 年的《刑法修正案(七)》,该法第七条增加了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”,但并未对个人信息作出法律上的定义。2012年全国人大常委会通过的《关于加强网络信息保护的决定》中有这样的规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”这里面提到了个人电子信息,但对于什么是个人信息也没有很明确的说明。一般认为,公民个人信息是指能够识别公民个人身份的信息,主要包括:姓名、年龄、性别、身份证号码、职业、职务、学历、民族情况、婚姻状况、专业资格及特长、工作经历、家庭背景及住址、电话号码、信用卡号码,教育、医疗、经济活动等的记录,指纹、网上登录账号和密码等。从理论上来说,个人信息就是指与特定个人相关联的、反映个体特征的具有可识别性的符号系统,包括个人身份、工作、家庭、财产、健康等各方面的信息。
__个人信息权主要是指公民对自己个人信息的支配和自主决定的权利。中国人民大学王利明教授认为,个人信息权的内容包括个人对信息被收集、利用等的知情权,以及自己利用或者授权他人利用的决定权等内容。即便对于可以公开且必须公开的个人信息,个人应当也有一定的控制权。例如,权利人有权知晓在多大程度上公开、向谁公开该信息以及他人会基于何种目的利用信息等等,但隐私权制度的重心在于防范个人秘密不被非法披露,而并不在于保护这种秘密的控制与利用,这显然并不属于个人信息自决的问题。
__二、当前个人信息安全面临的挑战
__1. 个人信息泄露问题严重
__近日,由中国青年政治学院互联网法治研究中心与封面智库联合发布的《中国个人信息安全和隐私保护报告》揭示了当前我国个人信息安全和隐私保护面临严峻形势,引起了社会各界的广泛关注。这份《报告》显示,超过70%的参与调研者认为个人信息泄露问题严重;26%的人每天收到2至3条甚至更多的垃圾短信;20%的人每天收到2至3个甚至更多的骚扰电话;多达81%的参与调研者经历过对方知道自己姓名或单位等个人信息的陌生来电;53%的人因网页搜索、浏览后泄漏个人信息,被某类广告持续骚扰;租房、购房、购车、车险、升学等信息泄漏后被营销骚扰或诈骗高达36%。
__在现实生活中,大多数人都能意识到个人信息泄露情况严重,但很多人并不知道如何防范个人信息侵害,在使用个人信息载体时疏忽大意或不知如何采取防范行动。日常生活中,证件复印件、快递单和手机是泄露个人信息重要载体。很多人将证件复印给相关机构时,从不注明用途;一些人将写有个人信息的快递单直接扔掉而不加处理,给信息被泄露造成了隐患。个人信息的泄露是网络诈骗泛滥的重要原因,今年以来舆论特别关注的山东徐玉玉遭电信诈骗死亡案、清华大学教授遭电信诈骗案,皆因个人信息泄露之后的精准诈骗造成。
__2.个人信息被贩卖、被滥用现象严重
__在经济利益的驱动下,一些不法分子大肆贩卖个人信息。目前,个人信息被贩卖的范围日益扩大,从传统的工商、银行、电信、医疗等部门向教育、快递、电商等各行各业迅速蔓延,涉及社会公众工作、生活的方方面面,甚至形成了庞大的“灰色”产业链。被贩卖的公民个人信息的内容可以说是无所不有,对社会和公民生活造成了极其严重的负面影响。个人信息的非法贩卖行为给广大群众在经济、名誉等方面造成了巨大损失。同时,大规模的信息泄露和信息非法买卖助长了短信骚扰、电话诈骗等恶意违法行为,我国的个人信息被滥用已经成为一种社会公害。据中国互联网协会发布的《中国网民权益保护调查报告2016》显示,84%的网民曾亲身感受到由于个人信息泄露带来的不良影响,37%的网民因网络诈骗而遭受经济损失。从2015年下半年到今年上半年的一年间,我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失高达915亿元,人均损失133元。个人信息被滥用已严重侵犯和损害了公民的个人隐私和财产安全。
__三、《网络安全法》对于加强个人信息安全的法律保护
__2016年11月7日,十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》(以下简称《网络安全法》),该法将于2017年6月1日起施行。《网络安全法》的出台,必将对加强和完善个人信息安全的法律保护起到重要作用。该法共分七章七十九条,对于个人信息安全的法律保护作了较为完备的规定。总体来看,主要有以下几个方面:
__1.强化了用户的知情权,降低个人信息泄露风险
__互联网时代,用户对数据的控制权和其他合法权益都是建立在用户知情权的基础之上的。《网络安全法》规定了网络服务提供者发现存在安全漏洞或隐患时负有“及时告知用户”的法定义务。该法第22条规定:“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”这一规定主要是针对近年来多发的“漏洞门”和“黑客门”事件作出的,是对消费者知情权在网络权益上的发展和进化。尽管网络漏洞可能存在一定的不可控性,但用户有权在第一时间知晓漏洞的存在,网站有义务第一时间向用户进行告知。这样做的目的就是为了尽量避免用户损失的扩大,减少因网络漏洞和黑客攻击可能带来的损害。《网络安全法》第42条也作出了相应规定,在强化网络运营者应当采取的技术措施和其他必要措施基础上,强调了对“可能”发生个人信息泄露、毁损、丢失等情况下,网络运营者应当“按照规定及时”告知用户的义务。“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”《网络安全法》中首次明确个人信息数据泄露通知制度,使当前个人信息泄露无法彻底杜绝的情况下,能够通过告知可能受到影响的用户,增强用户对相关诈骗行为的警惕性,及时作出防范措施,有助于降低个人信息泄露的风险。
__2.规范了个人信息收集制度,切断网络诈骗源头
__《网络安全法》第40条规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”第41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
__网络诈骗的源头是因为一些不法者收集个人信息的门槛很低。网上购物、发邮件、买房、求学等行为会不经意“出卖”自己的姓名、身份证号、电话、住址等个人信息。网络诈骗的发生,一般会经历个人信息被收集、遭泄露、被买卖、最后被不法分子实施诈骗等环节。《网络安全法》规定了网络运营者对收集的用户信息严格保密的义务。同时,强调了收集个人信息的边界,“不得收集与其提供的服务无关的个人信息”,比如地图导航软件需要用户的物理位置,这是功能性要求,可以满足;但如果要用户提供姓名和身份证号,就属于不必要的。
__3.加大个人信息保护力度,明确了个人信息保护的主体责任
【拓展资料】
__《网络安全法》第42条规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”第44条规定:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”
__《网络安全法》对个人信息加大了保护力度。对于通过各种渠道贩卖个人信息牟取非法利益的行为,作出了诸多禁止性的规定,切断了个人信息倒卖的渠道,有助于更好地打击各种贩卖个人信息的现象。
__《网络安全法》第64条规定:“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。”
__《网络安全法》对哪些网络行为应当受到处罚进行了规范,尤其是强调了网络运营者等维护个人信息安全的“主体责任”,承担法律责任的方式也多样化,有警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等。
__个人信息保护是一个社会系统工程,需要整个社会的通力合作。一方面需要广大公民不断增强个人信息保护的安全意识、法律意识;另一方面也离不开国家法律法规的不断完善。《网络安全法》的出台有利于加强对个人信息的法律保护,但人们也期待一部更为全面的保护个人信息的专门法律《中华人民共和国个人信息保护法》的问世。
㈣ 组织或个人违反国家网络安全要求的可能面临什么
刑事拘留
《中华人民共和国网络安全法》(以下简称《网络安全法》)于2016年11月7日经十二届全国人大常委会表决通过,是我国第一部关于网络安全工作的基本大法,即将于2017年6月1日正式实施。《网络安全法》是网络安全领域“依法治国”的重要体现,对保障我国网络安全具有重大意义。
【拓展资料】
《网络安全法》对公民个人信息保护制度有哪些?
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。
1、扩展个人信息保护范围
《网络安全法》第22条第2款规定:“网络产品、服务具有手机用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”
2、强化服务商在用户信息泄露后的告知义务
《网络安全法》第42条:“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄漏、毁损、丢失。在发生或者可能发生个人信息泄漏、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告示用户并向有关部门报告。”
3、完善互联网个人信息删除更正制度
《网络安全法》第43条:“个人发现网络运营者违反法律、行政法规的规定或者双方约定收集、使用其个人信息的、有权要求网络运营者删除其个人信息;发现网络运营者收集、储存的其个人信息有错误的,有权要求网络运营者予以更正。”。
侵害网络安全的具体途径和方式有哪些?
第一种行为是对系统功能进行“删除”。
第二种行为方式是对系统功能进行“修改”。
第三种行为方式是对系统功能进行“增加”。
第四种行为方式是对系统功能进行“干扰”。
㈤ 网络安全法的五个重要元素
这五个重要元素如下:
1、明确对公民个人信息安全进行保护。网络安全法第四十四条规定:任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
2、个人信息被冒用有权要求网络运营者删除。网络安全法第四十三条规定:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。网络运营者应当采取措施予以删除或者更正。
3、个人和组织有权对危害网络安全的行为进行举报。网络安全法第十四条规定:任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
4、网络运营者应当加强对其用户发布的信息的管理。网络安全法第四十七条规定:网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
5、未成年人上网有特殊保护。网络安全法第十三条规定:国家支持研发开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动, 为未成年人提供安全、 健康的网络环境。