下载掌阅APP,畅读海量书库
立即打开
吴才毓
摘要:与隐私权相较,个人信息权是一种网络环境中的新兴人格权,可以经由《网络安全法》个人信息保护方面的条文确立。我国可以采用机构监管与行业自律相结合的模式保障个人信息权。自律模式部分,网络隐私权保护组织以及第三方认证机构可以逐步独立。我国应当以司法途径与管理途径相结合的方式实现网络安全,在线上身份证制度的构建上,应由《网络侵权司法解释》作出司法导向。现有的“通知—删除”规则可以改制为“通知—删除—反通知—恢复”规则,网络服务提供商并不应网民的要求永久性删除信息,而是需要等待反通知期间,以平衡提供者的经营自主权、网络用户的信息发布权、权利人的著作权等权利,以预测网络服务提供商收到通知后的行为后果。
关键词:个人信息 网络隐私 网络安全 反通知 行业自律
Abstract:Compared with the right to privacy,personal information right in the Internet context is a new kind of right of personality,which can be established through the provision of personal information protection in Internet Security Law.Protection system of personal information right in our country can be functioned by regulatory agencies and industry self-regulation.In the autonomy part,privacy right protection organization and the third party certification body can be independ-ent.To realize the establishment of Internet security system,judicial way and man-agement way should be combined,and the provision of Judicial Interpretation of In-ternet Infringement will make judicial guidance identity card system on line come true.The existing rule of“Notice,Delete”can be transformed into the rule of“Notice,Delete,Counter Notice,Notification”,so that the Internet service pro-vider shall not permanently delete the information requirements by users,but to wait for the notice period in order to balancing the business operation autonomy of the Internet providers and users'right to publish the information and the copyright,so as to predict the consequences of Internet service provider after receiving the no-tification.
Key words:Personal Information;Online Privacy Right;Internet Security;Counter Notice;Self Regulation of Industry
信息化时代中,计算机病毒经济、利用互联网手段的诈骗、虚拟财产纠纷、妨害企业经营、网络流言、网络语言暴力、隐私权、被遗忘权等互联网治理中面临的问题日益凸显,限制接入、数据损失、操作方法不当引发的侵权问题均威慑着网络安全。网络安全治理面临的问题可以归纳为三个方面:如何防止未经授权的接入、如何管理经授权的用户以及如何保护计算机系统内容以及完整交易。
这三个方面与个人信息隐私问题均存在着千丝万缕的联系。防止个人信息、数据内容被篡改是当今互联网监管者、互联网运营商与用户重视的主要问题之一。
个人信息保护相关的既存立法体系主要包括《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称“《信息保护决定》”)、《中华人民共和国电信条例》《互联网信息服务管理办法》《电信和互联网用户个人信息保护规定》(中华人民共和国工业和信息化部令第24号)(以下简称“《信息保护规定》”)、最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称“《网络侵权司法解释》”)等条文。
既存相关文件中的规定并不足以应对愈快发展的互联网经济,用户存取时间、网络位置(IP)等轨迹信息极具商业价值,基于用户大数据的个人隐私信息超越了单纯的精神性人格权内涵,被视为具有商业交换价值的产品,具有财产性质。针对此,研讨中的网络安全立法需要对个人信息保护作出更加具体化的规定。
一、现有体系中的个人信息保护
(一)个人信息的保护范围
个人信息指的是自然人的姓名、出生日期、身份证、护照、指纹、婚姻家庭、教育经历、病例、医疗经历、健康检查、犯罪前科、联系方式、财务情况、消费习惯、社会活动、工作档案、宗教等其他可以直接或间接方式识别特定个人的资讯。
对于个人信息的输入、输出、编辑、删除等处理行为,均需要符合特定目的。
参考我国既有规定,例如《信息保护规定》第4条,对于用户个人信息的列举事项较少,仅涵盖最为基本的几类信息形式。
针对此,《网络侵权司法解释》第12条中作出更加翔实的规定,网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。该条文明确了自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等内容属于法律保护的个人隐私和其他个人信息。在造成他人损害时,侵权的网络用户或者网络服务提供者承担侵权责任。
《信息保护规定》第9条第1款至第4款的规定
,就姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息,设定了电信业务经营者、互联网信息服务提供者的告知义务、目的限定原则。针对此,仅规定有责令限期改正、警告、罚款等行政责任以及构成犯罪情况下的刑事责任。
由于个人信息权与隐私权具有“可克减性”,权利在特定情况下需要得到一定的限制。规范侵权的例外情形是必要的。
对于基因信息、病历资料等特定信息,《网络侵权司法解释》在第12条以司法控制途径规定有民事侵权责任,设定了经自然人书面同意且在约定范围内公开;为促进社会公共利益且在必要范围内;学校、科研机构等基于公共利益为学术研究或者统计的目的,经自然人书面同意,且公开的方式不足以识别特定自然人;自然人自行在网络上公开的信息或者其他已合法公开的个人信息;以合法渠道获取的个人信息;法律或者行政法规另有规定。然而,如此规定不足之处在于:一方面,对于特定信息造成损失的金额在估值中存在众多偏差,存在长期损失与短期损失的区别;另一方面,确认侵权后果的前提下,被侵权人仅就损失部分获得赔偿。如果特定信息对应的侵权人可得利益价值超过被侵权人的实际损失,该规则仍然无法遏制侵权动机。
在美国保护个人信息的实践中,如果关键性的个人信息没有被界定,则很难判断信息使用机构是否遵循了某项规则,例如美国政府管理预算局(Office of Management and Budget)备忘录中的内容。
因此,界定个人信息的范围与类型十分重要。
网络服务提供商在诉讼纠纷中往往认为,其搜集的信息不是“私人或机密的”,超越了个人信息保护的范围,因此,搜集行为合法合理。对于此,有主张认为,适用浏览器浏览是一种应然性的个人化体验(inherently personal),因此,在这种情况下,个人将具有很高的隐私预判。
保护隐私不仅仅意味着避免私密信息泄露,而是需要更广泛的权利机制来控制信息的传播与使用,即便信息已经在一定程度上曝光,这并不意味着保护、尊重该信息是无意义的,此处的思路与知识产权的权利设置十分类似
,从另一方面得以辅助证明个人信息权可以作为独立的人格权类型。
(二)个人隐私保护中的专门立法规制事项
首先,在保护机构方面,按照《信息保护规定》第3条的规定,工业和信息化部和各省、自治区、直辖市通信管理局(以下统称“电信管理机构”)依法对电信和互联网用户个人信息保护工作实施监督管理。第7条规定,国家鼓励电信和互联网行业开展用户个人信息保护自律工作。我国既有的立法模式中选择了政府与自律组织管理相结合的模式。网络个人信息保护问题可以通过自律和他律两种模式解决。自律的方式是由互联网企业自行解决目前存在的问题。自律组织可以对互联网自律联盟中的企业提出要求,义务包括有告知用户可能利用所收集数据的范围等。
参照美国情形,美国法上一般允许大范围收集并使用个人信息,只要严格遵守既定规则进行通信工具上的信息披露。网络用户Matthew Campbell和Michael Hurley控告某网络服务提供商将私人信息作为数据卖给第三方,宣称该网络服务提供商未经其授权,扫描用户之间的私人通信和其他信息,分析其关键词并将其卖给广告商、市场营销人员和数据收集者,根据《电子通信隐私法》《加州隐私法》和《不正当竞争法》的立法规制事项,该行为违反法律。
部分网络服务提供商采用“自由选择标准”,授权计算机浏览器“请勿跟踪”功能,帮助用户避开收集个人信息或用于广告的cookie,以及第三方的cookie,以尊重用户的隐私偏好。
美国联邦贸易委员会(Federal Trade Commission)在网络隐私方面起到了重要作用,其提出的公平信息规则包括:第一,通知并披露给网络访客网站将收集并使用其具有个体甄别度的信息;第二,提供使用者选择其信息被如何使用的机会;第三,提供用户查看其个人信息的合理渠道并提供用户改正错误信息的机会;第四,确证并监督网站中隐私声明的陈述;第五,用户可以通过寻求网站帮助以解决隐私争端。
1998年,《儿童网络隐私保护法》(Children's Online Privacy Protection Act)规定,任何社交网站未经父母或监护人允许,不得收集13周岁以下儿童的姓名、地址、电话号码等个人信息。如果社交网站发现有该种信息,必须马上将该信息从数据库中移除。社交网站需要将包括有幼儿头像的照片或视频移除。
该法案修订后,针对儿童的互联网产品需要遵循新的规则。广告商和营销商追踪定位儿童在线隐私受到更加严厉的限制,新规定将13岁以下儿童“个人信息”的范畴扩大到地理定位数据、照片、视频、音频文件和所谓的“行为诱导性质的广告”、基于浏览记录的“链接广告”,广告商和营销商在收集上述信息前必须获得儿童父母的同意。
另外,美国的商业机构要求政府能够简政放权,加强自律组织在网络安全市场调控。商业机构的自我规范与政府规范形成了一定程度上的冲突,在规则竞争中,自律组织在自律内容等方面均形成了更为细致的标准,例如美国医学会(AMA)准则,该准则对隐私权保护确定了15项具体原则。值得我国模式借鉴的是,自律模式部分,网络隐私权保护组织以及第三方认证机构可以逐步独立。
其次,《信息保护规定》确定了电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。但是具体化该原则的信息收集和使用规范中,列举的情形包括网络服务提供者制定用户个人信息收集、使用规则、未经用户同意不得收集信息规则、信息收集的目的拘束规则等,情况仍然较为单一,在立法技术上,将目的拘束“原则”降级为目的拘束“规则”,并不足取。
(三)网络安全管理中的实名制
目前,我国个人信息保护仍然属于管制型立法,《信息保护规定》大篇幅规定了电信管理机构的监督检查职能与方法,应当将立法定位转型至确权型立法。
与此相关的网络侵权方面的规定,例如《网络侵权司法解释》《关于审理侵害信息网络传播权民事纠纷案件适用法律若干问题的规定》《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》等中,《网络侵权司法解释》通过司法模式间接实现了网络言论实名制备案,《网络侵权司法解释》第4条中,原告起诉网络服务提供者,网络服务提供者以涉嫌侵权的信息系网络用户发布为由抗辩的,人民法院可以根据原告的请求及案件的具体情况,责令网络服务提供者向人民法院提供能够确定涉嫌侵权的网络用户的姓名(名称)、联系方式、网络地址等信息。网络服务提供者无正当理由拒不提供的,人民法院可以依据《民事诉讼法》第114条的规定对网络服务提供者采取处罚等措施。原告根据网络服务提供者提供的信息请求追加网络用户为被告的,人民法院应予准许。
根据该条规定,网络服务提供商需要积极掌握网络用户的基本信息,从而实质上达到实名监管的目的。而《信息保护决定》第6项中的规定是,网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。
一者是通过司法途径,另一者则是通过管制途径。
通过司法途径实现网络安全,搭建线上身份证制度的框架,《网络侵权司法解释》的规定值得肯定。如果个人信息权作为人格权的论点前提成立,《信息保护决定》第9项中,“任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为,有权向有关主管部门举报、控告;接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼”,其中规定诉讼权利方有理更有据。
(四)网络流言的处理规则
基于网络空间存在自媒体的特性,网络服务提供者对自己发表之外的信息不负有事先审查义务。网络服务提供者采取必要措施的条件是被侵权人通知,或者是知道网络用户利用其网络服务侵害他人民事权益,被侵权人提示之后,网络服务提供者应当及时采取必要措施。网络服务提供者在接到被侵权人通知或侵权通知后的处理行为是否及时,需要法官根据案件的具体情形,例如技术上的可能性与难度具体分析确定。
参照比较法上规则,改制现有的“通知—删除”规则为“通知—删除—反通知—恢复”规则,网络服务提供商并不应网民的要求永久性删除信息,而是需要等待反通知期间,以平衡提供者的经营自主权、网络用户的信息发布权、权利人的著作权等权利,以预测网络服务提供商收到通知后的行为后果。
(五)侵权损害赔偿的衔接
欧盟法院“冈萨雷斯诉谷歌案”中,冈萨雷斯的财产曾经被强制拍卖,该拍卖公告被谷歌搜索引擎收录。冈萨雷斯所经历的强制拍卖事件已经在若干年前结束,但相关信息仍然公布在互联网上,持续损害其个人声誉。欧盟法院最终判决,搜索引擎运营商应当被视为《欧洲数据保护指令》中的数据控制者(data controller),冈萨雷斯应当享有“被遗忘权”,使数据主体不相关的负面或过时信息得以从搜索引擎中移除。
我国精神损害赔偿的制度空间十分有限,损害赔偿的标准可能有限。对于互联网载体显现的新型权利,在确定之前,是否能够纳入隐私权的范畴中主张权利保障?我国《侵权责任法》第36条中确立的“通知—删除”规则与被遗忘权并不相同。“通知—删除”规则更重视解决利用互联网侵害隐私权、名誉权等人身权利,被遗忘权创始的案件背景中,冈萨雷斯无力偿还贷款而被强制拍卖房产,有关于征信评价系统的信用权的保护。被遗忘权对于所保护权益的范畴可能更广,可能并非侵权信息。例如,因拖欠信用卡还款而被追讨的信息被公布于网络,不一定适用《侵权责任法》第36条,从而只能援引隐私权保护机制。总体而言,限制被遗忘权适用于互联网等自媒体上,而并非在传统纸质媒体上适用。目前,被遗忘权应当作为个人信息保护的一项重要内容。个人信息保护不仅是保护隐私,更包括负面无关信息的移除。
二、比较法实践
(一)欧盟立法模式
欧盟采取国家立法模式,具体规定包括有《欧盟议会及欧盟理事会(EU)No 526/2013号条例》等。
跨境数据转移中,国外的云存储企业由本土企业委托国外企业进行管理,导致本国个人信息保护法无法适用。欧盟和美国即存在安全港协议。欧盟将各国的保护水平进行了划分。如果是与其并非同等水平保护的国家,欧盟企业对来自这些国家的企业实行差别合作。《数据保护指令》的规定,个人信息的收集只能限于具体合法的目的收集,范围也必须与收集的目的有关。
2011年,欧盟讨论修改1995年《个人数据保护指令》,澄清了相关核心概念,包括个人数据,增加敏感数据的内容,扩大个人信息的范围。欧盟法上确立的遗忘权概念,增强了信息主体权利,增强信息控制者义务。在修订讨论过程中,企业任命数据检查专员、数据控制者执行数据保护影响评估、开发隐私认证计划。
根据欧洲理事会2003年12月13日通过的欧洲原子能共同体3第2004/97/EC号决议,各成员国代表决定,在欧盟委员会提议的基础上设立欧盟网络与信息安全局(ENISA),作为网络安全的管理机构。
(二)美国立法模式
美国对于计算机信息隐私的保护由来已久,其根据多年以来发展的隐私保护规则,调整既有立法框架来协调个体隐私与机构组织的信息需求。
美国实行分散型立法模式保护个人信息:针对电子监听技术,出台《电子通讯隐私法》(ECPA);在《公平信用报告法》(FCRA)中,禁止信用机构滥用其管理、掌握的个人信息;《电脑资料比对与隐私权保护法》中对自动化处理的个人信息进行保护;出台《隐私法》作为美国信息隐私法治化的基础性法案。
总体而言,美国采取行业自律模式,兼及立法模式。
行业规则例如NAI规则即网络广告业倡议规则(Network Advertising Initiative),沿袭了美国卫生教育与福利部公平信息规则中(HEW Fair Information Principles)的通知、选择、存取、安全等四项原则。
各州需要保证:合理、合法地使用个人信息;基于特定目的使用个人信息时,不以背离、僭越此目的而使用信息;有必要的情况下,及时更新数据信息以保障其准确性;除非数据基于特定目的被采集,数据应当设置有权限许可认证。
为保障用户的网上活动,使用户不会在自己不知情的情况下被跟踪升级。美国的网络隐私权保护组织要求互联网公司公开其埋藏在网页中的网页间谍,使用网页间谍必须在网页上以明显方式表明该公司收集信息的行为,明确告诉用户信息的收集主体身份、收集信息的目的以及数据接收方、授权回应是否是强制义务、不回应的可能后果、是否授权改写与用户有关的信息,等等。
通过法律的规定,大数据商业化发展格局下,政府管理与商业管理的高效性与个人隐私保护之间存在的竞争关系可以得到有效的解决。依据法律,政府可以收集使用特定处方药物人员的姓名、地址等个人信息
、公布在聊天室等非私人领域的个人信息
,可以利用既有信息进行数据分析与数据挖掘。
斯坦福大学网络与社会中心主任Jennifer Granick表示,如果政府未经同意访问公民账户,在《存储通信保护法》(Stored Communications Act)和《计算机欺诈和滥用法》(Computer Fraud and Abuse Act)的保护环境下可能会引发众多法律问题。
(三)日本立法模式
网络服务提供商实行审批制度,需要符合网络安全的标准要求。法律规定ISP的责任限制情况,具体的侵权责任依照传统侵权责任法来判断。具体的判断标准,参照第三方机构制定的《指导方针》落实,例如如何通知。《特定电讯服务提供者的损害赔偿责任限制及发信人信息公开法》第4条中,为保护发信人的言论自由,设置了向发信人征求意见的程序。征求的范围和同意的情况,依照《关于保护个人信息的法律》第15条和第16条的规定。如果请求者对ISP有关请求的判断不服,可以提起司法诉讼,由法院决定。实践情况中,进入司法程序的公开请求,法院多支持公开。
个人信息的管理方面出台有特定电子邮件法、特定商务交易法(广告行为)。日本没有专门设立的监管机构,而是落实到各个部门(总务省为主、划分不清的由经济产业省来管),对企业个人信息的泄露时,总务省有指南、总则G第22条,企业一般要进行通知、特例(个人电脑丢失、不会导致个人二次受损的)之受限。企业每月向总务省报告信息泄露情况。
(四)我国台湾地区相关“立法”
我国台湾地区于1995年制定“电脑处理个人资料保护法”。该“法律”的保护对象,只限于经电脑处理的个人信息,但是,纸本信息等非经电脑处理的个人信息,则不在该法的适用范围之内。目前,世界比较法上大多不将信息的存在形态配套不同的保护标准进行区别对待。因此,台湾地区的修正案将人工输入信息也纳入到“个人资料保护法”当中,不再以电脑处理的个人资料为限。针对此,我国《网络安全法》可以考虑不仅保护网络服务器上的个人信息,并且保护自网络服务器上记录、并延伸到非网络途径使用的个人信息。
在扩大保护客体方面,修正案中强调该法律的适用主体扩张到普遍适用主体。原先,“电脑处理个人资料保护法”规定适用的对象主体是民间行业或团体,仅限于征信业、医院、学校、电信业、金融业、证券业、保险业及大众传播业等八个行业以及其他经法务部会同事业部主管的事业团体或个人。目前,个人信息适用对象扩展到任何自然人法人或其他团体。为单纯个人或家庭活动的目的而处理或利用个人资料,或在公共场所拍摄的影音资料、除与当事人其他个人资料相结合之外,均需要适用该法。公务机关及非公务机关均包括在内,不存在产业的区别。
观察台湾地区“个人资料保护法”的修订,还可以看到,规范将医疗、基因、性生活、健康检查及犯罪前科等五类信息作为特种信息处理,收集处理利用以上五种信息的要件比一般的收集行为更为严格。除非符合相应的法定程序或条件,这五类信息原则上不得进行收集处理或利用。当事人如请求有关机关查询或阅览、复制、更正、停止收集、处理或利用或删除等相应要求,有关机关不得以任何形式限制个人的权利。该“法”所称的“书面同意”,需要收集者告知该法所定应告知事项后,作出允许的书面意思表示。如果在特定目的之外,利用个人资料需要当事人书面同意,不能以概括方式取得其同意,应当另外以单独书面同意的方式征求其同意以保障当事人的权益。
收集资料时,不论是直接或间接收集,除了符合免于告知的情形之外,均需明确告知当事人收集者名称收集目的资料类别、利用方式、资料来源等相关事项。为尊重个人生活,减少不必要的干扰,在特定目的或特定目的之外的销售行为,在第一次销售时,应当免费提供当事人可以表示拒绝的方式,如果当事人表示拒绝接受推销时,应当立即停止利用其个人资料进行推销,以尊重当事人拒绝的权利。
三、《网络安全法》中的个人信息保护
隐私权保护与个人信息保护全面体现在网络安全法文本中。首先,确立网络隐私保护的重要原则,包括有网站责任、隐私权人同意、有限使用、目的拘束、保留原则等。对他人无侵害无影响的隐私权应予以保护,如一方的隐私对另一方或他人的合法权益造成侵害,则不能以保护隐私为由对抗另一方的知情权。条文应当规定,在电子商务中涉及的、个人以电子信息方式存在的隐私。在不违反国家安全的利益的原则下,享有隐私权。明确网络言论自由、个人数据保护之间的基本界限。个人信息权应当隐私权当中分离、独立。其次,以列举式规定隐私权保护问题。
(一)侵权救济手段
权利类型对应着相应的侵权救济手段。与个人信息有关的人格利益属性,对于将其归类为隐私权的一类表现外观还是一种独立的人格权类型,是个人信息保护的立法技术选择。
《网络信息保护决定》既规定了个人信息,也规定了个人隐私。这实际上已经搭建起个人信息权和隐私权并存的基本框架。该规定指出了区分两者的必要,但并未提出两者界分的标准。
网络侵权的特征在于侵权场所的特殊性、责任承担主体的多元性、被侵害客体的非物质性、侵权行为的复杂性、损害后果的复杂性、损害证明的困难性。
考虑个人信息本身及网络侵权的特殊性,对其民事救济,立法应着眼于责任形式和侵权主体的不同而确立过错责任、过错推定责任与无过错责任相结合的多元归责原则。
在损害赔偿等方式之外,探讨互联网禁令、扣押与处置侵权物品等应对手段。
(二)扩展保护范围、区分保护程度
司法解释已经针对人身权益侵害现象进行规定,另外还需要针对虚拟财产处置、网络支付等环节中出现的财产损害现象,结合实践中利用网络侵害财产权益当中较难认定的要点进行解释。在法律层面,区分个人信息的收集与利用、单纯的收集行为、不公开的利用等行为。《网络安全法》中可以明确,对于部分隐私程度较高、侵权危害后果较大的个人信息原则上不得进行收集,并明确可以收集、处理、利用该类个人信息的例外情形。
(三)认证机构的独立
公权保护机制抑或私权保护机制的方案选择中,有学者即指出,《人格信息保护法》的制定存在两种立法思路,一是以政府管理为中心的个人信息保护模式,二是以私权保护为中心的立法模式,从私权的角度对个人信息加以保护。虽然个人信息也体现了公共利益,但只有对个人信息提供充分的私权保护,才有利于从根本上保护公共利益。私权进路鼓励并调动个人对其个人信息进行主动保护的积极性。
私权方案的背景中,网络隐私权保护组织以及第三方认证机构需要逐步地独立,机构应当独立成为一个完全自主相当透明的认证与审核监督机构。不宜直接规定所有的网络隐私权保护组织以及第三方认证机构,都完全独立于其组织成员,由于网络隐私权保护组织还是第三方认证机构均为民间组织,可以通过一些规范性的措施要求其在网络隐私权组织的建立与完善过程中发挥更大作用。
(四)APEC隐私权保护原则
APEC隐私权保护原则中,隐私保护纲领如下所示,可供参酌:第一,预防损害原则。个人信息的收集处理和利用,不得损害当事人的权利,并且应当采取相应的防范措施防止损害的发生。第二,告知原则。信息收集者收集或持有个人信息时,有义务告知当事人收集者的名称,收集信息的目的种类用途以及如何查阅或更正等必要事项,以便使当事人知晓收集个人信息的机关和组织。第三,限制收集原则。收集个人信息应当符合收集的目的,不能够超越该收集目的地进行收集,与目的无关的信息不得任意收集,收集信息时应当以合法并正当的方法进行,并且在适当的情况下告知当事人或取得其同意。
第四,利用个人信息原则。个人信息的使用应当符合收集目的,未经当事人同意或另有法律规定,该信息不得作其他利用。第五,当事人自主原则。个人信息的收集或利用,当事人有权自主选择,采用进入或退出模式,可以自主决定个人资料是否能被他人收集处理或利用,资料收集者或持有者,应当尊重当事人的选择,尊重当事人的个人信息自决权。第六,个人信息完整原则。持有或者管理个人信息的人,有义务随时更新或补充信息,以信息的完整准确性,避免当事人因为陈旧或不正确的信息而遭到损害。第七,安全维护原则。持有或管理个人信息档案的人,应当采取必要的安全保护措施,避免个人信息被偷窃、遗失、毁损或外泄、防止他人未经授权不当接触、取得或修改信息。管理人应当定期检查和重新评估该保护措施。第八,当事人查询及更正原则,除法定例外情形,当事人随时有权查询或阅览其个人信息,如果发现个人信息存在错误,当事人有权请求补充或更正,向当事人收取的查询费用不能过高,以免限制当事人的查询能力。第九,责任原则。持有或管理个人信息的,应当负责确保上述原则的贯彻实施,传递个人信息至第三人时,应当取得当事人的同意,并且尽力确保该第三人会采取和该隐私保护纲领一致的措施,以保护个人信息隐私的安全。
结合上述要点,可以结合既有规定,初步形成《网络安全法》个人信息篇章的部分条文结构,例如:
国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。(参考《全国人民代表大会常务委员会关于加强网络信息保护的决定》第10条)
个人电子信息,包括电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码、基因信息、病历资料、健康检查资料、犯罪记录、私人活动等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。(参考《电信和互联网用户个人信息保护规定》第4条、《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条)
除下列情形外,任何机关或个人不得收集、处理和利用基因信息、病历资料、健康检查资料、犯罪记录等电子资料:
(1)经自然人书面同意且在约定范围内公开;
(2)学校、科研机构等基于公共利益为学术研究或者统计的目的,经自然人书面同意,且公开的方式不足以识别特定自然人;
(3)以合法渠道获取的个人信息;
(4)为促进社会公共利益且在必要范围内;
(5)自然人自行在网络上公开的信息或者其他已合法公开的个人信息;
(6)法律或者行政法规另有规定。
(《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条、我国台湾地区“个人资料保护法”第6条)