专栏名称: 腾讯研究院
【腾讯研究院 ★ Tencent Research Institute】 网聚智慧,连接世界!网罗互联网前沿理念、传递互联网发展声音、汇集互联网研究成果、推动互联网法治进程。
目录
相关文章推荐
新浪科技  ·  【#母子买同一商品88VIP却更贵# ... ·  昨天  
新浪科技  ·  【#前9月Steam独立游戏收入近40亿美元 ... ·  1 周前  
新浪科技  ·  【独家 | ... ·  1 周前  
51好读  ›  专栏  ›  腾讯研究院

《网络安全法》实施满月,这13类“信息”你应知道|互联网法律评论

腾讯研究院  · 公众号  · 科技媒体  · 2017-07-07 17:48

正文


柳雁军  腾讯研究院法律研究中心秘书长


《网络安全法》于2017年6月1日施行后,不少报道都在关注《网络安全法》出台对于个人信息保护的重要意义。但其实在《网络安全法》中,“信息”出现了105处,具体涉及包括“个人信息”在内的13类“信息”。除了“个人信息”,其他的信息类型也同样值得我们关注。根据不同信息类型侧重点的不同,我们可做如下划分:


01

网络信息


“网络信息”是互联网领域中各种信息的统称,内涵丰富,类型多样。在网络上以电子或者其他形式对外呈现的文本、图片、音视频、应用软件等各种内容都属于网络信息的范畴。


“网络信息”在《网络安全法》中出现了两次。一是第12条明确规定:“国家要保障网络信息依法有序自由流动”。二是第四章的标题直接使用了“网络信息安全”的表述。2012年,全国人大常委会专门针对“网络信息”发布了《关于加强网络信息保护的决定》,里面涉及到“公民个人电子信息”、“发布的信息”、“身份信息”、“商业性电子信息”等类型,均属“网络信息”范畴。整体看,网络信息安全是网络安全的重要内容,《网络安全法》主要围绕个人信息保护和网络信息内容管理,用专章对网络信息安全予以规定,并实施重点保护。


从电信业务的角度看,网络信息服务是专门的增值电信业务类型之一,特别指向《互联网信息服务管理办法》所规定的互联网信息服务及对应的主体——互联网信息服务提供者。


在互联网信息服务提供者的基础上,《网络安全法》提出了最宽泛的网络运营者的概念,具体包括网络的所有者、管理者和网络服务提供者。宽泛的网络运营者概念,优点在于可以用一个概念囊括所有网络相关的企业主体。但实践中,网络的所有者、管理者和网络服务提供者扮演角色不同,所承担的义务及责任亦不相同。统一的网络运营者概念的提出,一定程度上弱化了不同主体义务及责任的差异性,给后续不同主体的义务及责任区分带来难题。


02

用户信息、个人信息与身份信息


在《网络安全法》中,与“个人信息”相关的类型,还有“用户信息”和“身份信息”,这三类信息均与用户息息相关。究其范围,“用户信息”范围最大,“个人信息”次之,“身份信息”范围最小。但都属于“网络信息”的范畴。其中, “个人信息”是网络信息的重点内容。《网络安全法》把个人信息保护置于了网络信息安全专章的核心位置,对于现行的个人信息保护规范进行了全面系统总结,足以说明个人信息保护的重要地位。


就“个人信息”的表述而言,现行法律规范表述各不相同。有“公民个人电子信息”、“用户个人信息”、“公民个人信息”、“消费者个人信息”等。《网络安全法》将各类表述统一简化为“个人信息”,删除了“公民”字样,同时,也意味着《网络安全法》所规定的“个人信息”不再区分国籍,但最主要的保护主体依然是中国公民。


就“个人信息”的定义而言,2012年全国人大常委会《关于加强网络信息保护的决定》中虽未明确加以规定,但其规定了“个人电子信息”的范围:即能够识别公民个人身份信息和涉及公民个人隐私的电子信息。2013年工信部的《电信和互联网用户个人信息保护规定》中规定的“用户个人信息”,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。


《网络安全法》首次从法律层面上明确规定了“个人信息”的定义,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。将其明确限定为具有可识别性的身份信息。但2017年两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将其范围进一步扩大,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。不仅包括具有可识别性的身份信息,还包括个人的活动情况信息。目前,尚未公布的《个人信息安全规范》中“个人信息”的范围内涵更为丰富,“个人信息”的范围呈现出越来越大的趋势。



《网络安全法》作为网络安全领域的基础性法律,也是个人信息保护的基本法律,其所确定的“个人信息”是具有可识别性的身份信息应是我们判断是否属于个人信息的基本准则。后续无论是司法解释,抑或配套标准,如果能够延续《网络安全法》所确定的个人信息的范围,更有利于保持法律的统一性和完整性,也可以避免给后续法律适用带来混乱。


同时,随着《网络安全法》、《民法总则》、《刑法修正案九》及两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等相关法律规范的陆续出台,“个人信息”的民事、刑事和行政保护三位一体的保护体系已基本确立。而且,刑事保护以其固有的快速和高效在实践中更为活跃。面对刑事先行的现状,如何发挥民事保护与行政保护的积极作用,理顺相关的法律制度,进而做好三种保护体系的有效衔接与配合,值得认真探讨。


03

发布的信息与发送的信息


除了“个人信息”外,《网络安全法》中还出现了“发布信息”和“发送信息”的表述。“发布信息”即通过各种形式向不特定的多数人公开传播的信息。而“发送信息”,指的是私人之间的点对点的信息推送。例如,个人之间的短信、即时通讯的聊天记录均属此类。这组概念中,信息内容本身并非重点,核心区别点在于信息内容是否对外公开,信息受众是否特定。发布的信息会对外公开传播,面向的是不特定的多数人。而发送的信息特点在于其私密性,信息内容是不公开的,接收对象也是特定的。从权利角度看,发布信息属于公民表达自由范畴。发送信息则属于公民通信自由和通信秘密范畴。


“发布信息”,最早见于2000年的《互联网信息服务管理办法》,里面提到了互联网信息服务提供者不得发布违反“九不准”的信息。互联网本身特点之一就是传播迅速,因此,网络上发布信息的管理成为了我国网络信息内容管理的重重之重。正如《网络安全法》第47条的规定:对于用户发布的违法信息,网络运营者要履行发现并及时处理的法定义务。


从电信业务角度看,发布信息服务属于信息服务业务的一种,在刚发布的新版《外商投资产业指导目录》中,将“互联网公众发布信息服务”纳入到禁止外商投资的互联网服务类型中,并将原有的“新闻网站”进一步明确为“互联网新闻信息服务”,也从侧面反映出按照发布信息内容是否属于新闻,可将发布信息服务细分为“互联网新闻信息服务”和其他类的“互联网公众发布信息服务”。


“发送信息”,在2012年的《关于加强网络信息保护的决定》中曾经出现过:“任何组织和个人未经同意,不得向其固定电话,移动电话或者个人电子邮箱发送商业性电子信息。”从其表述不难发现,发送信息强调的是私人之间点对点的信息往来。鉴于发送信息属于公民私人通信内容,宪法和法律保护程度极高。若要对其加以限制,相应的要求会比普通的“发布信息”更为严格,仅限于宪法明文规定的特定情形,即因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法定程序进行检查。



04

网络安全信息、网络安全检测预警信息、

网络安全风险信息


“网络安全信息”也是《网络安全法》所规定的一类特殊的网络信息。它的特点在于信息的内容直接与网络安全相关。《网络安全法》第26条规定的系统漏洞、计算机病毒、网络攻击、网络侵入,均属此类信息范畴。与网络安全信息相关联,《网络安全法》还提出了“网络安全监测预警信息”和“网络安全风险信息”的概念。“网络安全监测预警信息”是指国家在对于网络安全信息的收集、分析和通报的基础上,所制作的监测预警类信息。而“网络安全风险信息”,即面对系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息所伴随的网络安全事件发生风险所进行的分析和评估。


由于“网络安全信息”内容本身的敏感性、特殊性和重要性,“网络安全信息”的共享与发布制度的有效构建就显得尤为重要。首先,网络安全信息在政府、企业、行业等各方主体内部或互相之间的及时共享的重要性毋庸置疑。在共享制度的构建中,企业所扮演的角色及定位,以及因相关信息的共享所面临的法律责任的豁免,产生的负面影响的消弭,均值得研究。其次,我们可利用《网络安全法》所确定的向社会发布网络安全信息应当遵守国家有关规定这一有利契机,构建以网络安全信息发布的主体、时机、对象和范围为主的法律制度,改变目前类似网络安全漏洞市场法律规范不足的局面。


05

暴力、淫秽色情信息、虚假信息、

禁止发布或者传输的信息


《网络安全法》中还出现了“暴力、淫秽色情信息、虚假信息、禁止发布或者传输的信息”表述,均是围绕信息具体内容展开。禁止发布或者传输的信息即我们俗称的“违法信息”,若用户发布的信息违反了国家相关法律、行政法规的规定,会被纳入“违法信息”之列。主要的判断标准即信息是否含有所谓的“九不准”的内容。暴力、淫秽色情信息、虚假信息均是违法信息的具体表现形式。此外还有危害国家安全、宗教、民族、侮辱诽谤类的信息等。上述信息内容,对于网络用户的身心健康、国家政治、经济和社会秩序会产生负面影响,因此属于我国法律严格禁止在网络上发布或者传输的信息内容,也成为了我国网络信息内容监管的重点对象。


除了上述类型外,在2000年全国人大常委会的《关于维护互联网安全的决定》中还出现了“有害信息”的表述。2015年的《反恐怖主义法》中还提到了“含有恐怖主义、极端主义内容的信息”。都可以列入违法信息的范畴中。


06

国家秘密信息


除了一般类的信息以外,《网络安全法》还对特殊的“国家秘密信息”做了规定,对于涉及国家秘密信息的网络的运行安全保护,要遵守《网络安全法》及保密法律规范的规定。《保密法》对于“国家秘密”有明确定义,是指关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。凡是“国家秘密信息”,自然禁止在网络上进行公开发布和传播。《保密法》明确作出了禁止性要求:“任何组织或个人不得使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息。”2000年的《电信条例》也明确规定:“电信用户使用电信网络传输的信息属于国家秘密信息的,必须依法采取保密措施。”


国家秘密信息作为一类特殊的网络信息,与国家安全强相关,安全要求更为严格,理应采取特殊保密措施,予以特殊保护。


整体看,《网络安全法》将网络信息安全作为网络安全的重要内容,无论是信息内容本身属于安全类信息,抑或信息泄露会影响网络安全。相应的加强个人信息保护,完善网络安全信息共享,完善网络信息内容管理,均是网络安全的重点工作。具体理清《网络安全法》中的不同信息类型,进而明确相关法律规范内容,对于政府部门的全面准确执法、企业的有效应对和用户相关权益的保护工作的开展,均有重要意义。