網絡安全立法應注重保護個人信息合法使用

網絡安全立法應注重保護個人信息合法使用

中國首部《網絡安全法（草案）》規定，網絡運營者收集、使用公民個人信息，應當明示收集、使用信息的目的、方式和范圍，并經被收集者同意，且應公開收集、使用規則。不過這一法律目前還未出臺。立法進展如何？立法應如何保護個人信息安全？

問：網絡安全法草案去年就曾向社會公開征求意見。根據十二屆全國人大常委2016年立法工作計劃，6月將繼續審議。目前相關進展如何？

劉德良：這個法律一時半會兒很難出臺，對于網絡安全包括哪些東西還沒有搞清楚，專家們分歧也很大。目前我們在學習歐洲的做法，主要關注信息采集的問題。而目前出臺的一些標準和規范缺乏可操作性，看起來好像對個人信息安全很關注，但是短時間內難以解決關鍵問題。

問：您怎么看個人信息被收集和泄露的問題？

劉德良：個人信息可以分兩類，一類是可直接識別出特定自然人身份的信息，比如照片、聲音等。另一類是各種片段類的信息，比如個人的某個上網行為。網絡環境下，個人信息往往是呈碎片化的，根據某一個或某些碎片沒有辦法識別出個人身份。

我個人認為沒有必要過度炒作信息采集問題。除了少數醫療、教育服務需要實名制，其他商家往往只是收集有限的數據片段，而不是個人信息。商家收集用戶的一個IP地址，一個行為偏好，為的是實現精準營銷，沒有必要知道用戶究竟是誰。收集過多用戶信息，往往還要付出成本去管理。

極少數個人信息披露出去會對我們的名譽和尊嚴造成傷害，比如裸照、感情經歷等。電話號碼、電子郵箱這種信息是在社會交往過程中產生的，可以被知道但不應該被濫用。比如不能發垃圾信息、打騷擾電話等。現在身份證信息也受到很多關注，很多人害怕自己身份證信息泄露。身份證是用來比對持證人與上面的信息，保證公共安全和交易安全的。上面的名字、民族、住址被商家知道大都不會直接對我們造成損失。真正的問題在于對身份證信息的濫用，比如很多銀行、保險公司使用身份證信息的過程中缺乏比對環節，甚至有個復印件就行，導致假冒身份的現象突出，給個人帶來財產損失。

問：您認為立法應如何保護個人信息安全？

劉德良：首先應該對個人信息進行區分。考慮到大數據背景，除了極少數披露出去會對人們造成傷害和損失的個人信息應該進行保密，商家采集和分析其他個人信息只要遵循匿名化或非特定化原則即可。

比起個人信息采集，個人信息被濫用才應該成為接下來立法應該關注的主要內容。比如美國就出臺了防治垃圾信息、騷擾電話、身份證件濫用等方面的專門法律，打騷擾電話是要賠償的。我們國家目前沒有專門的防治騷擾電話和身份證濫用的法律。垃圾信息防治方面出臺過相關法律規定，但是缺乏可操作性。

目前，在一些廣告信息的發送方面，有時運營商是從中分成的。未來立法可以規定，運營商在垃圾信息方面承擔連帶責任，除非找到發送者或證明是虛擬號碼，才能免去或減輕責任。這樣來調動運營商管理的積極性，遏制垃圾信息發送。