自2017年6月1日起，我國首部《網絡安全法》正式施行，這是我國網信領域的重大事件?！毒W絡安全法》是我國網絡安全領域的基礎性法律，充分體現了信息化發展與網絡安全并重的安全發展觀，為全球互聯網的治理貢獻了中國智慧。

為保護公民個人信息安全，防止公民個人信息被竊取、泄露和非法使用，依法保障公民個人網絡信息有序安全流動，《網絡安全法》第四章在全國人大常委會《關于加強網絡信息保護的決定》的基礎上用較大篇幅規定了公民個人信息保護的基本法律制度，尤其突出了網絡運營者對個人信息保護的責任與義務。

近年來，一些網絡運營者和其他商業機構對個人信息的收集、使用、加工、傳輸，已經到了公開化、常態化、系統化階段，這些網絡運營商掌握了海量的公民個人信息，一旦泄露將造成惡劣的社會影響和嚴重后果。盡管有不少網絡運營者是因為履行職責或者提供服務的需要獲取了公民的個人信息，但是他們對公民個人信息的收集、使用、加工、利用的程序仍有悖于《網絡安全法》的相關規定，必須引起高度重視。

收集和使用公民個人信息必須經用戶知情同意

《網絡安全法》第四十一條規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。上述條款應當重點關注四個方面：

首先，本條規定指涉的網絡運營者包括兩大類，第一大類是電信業務經營者，其中包括三類經營者：基礎電信業務經營者、增值電信業務經營者和虛擬電信業務經營者；第二大類是互聯網信息服務提供者，該類主體又分為兩類，一類是經營性互聯網信息服務，是指通過互聯網向上網用戶有償提供信息或者網頁制作等服務活動；另一類是非經營性互聯網信息服務，是指通過互聯網向上網用戶無償提供具有公開性、共享性信息的服務活動。

其次，網絡運營者，無論是經營性或非經營性，收集、使用個人信息時，應遵循“合法、正當、必要”原則，并在其經營或者服務的場所和網站公開其收集和使用個人信息的規則，該規則包括但不限于使用信息的目的、方式和范圍等。

再次，網絡經營者收集和使用用戶個人信息，必須經被收集者同意，并應以邀約和承諾的方式與被收集者訂立合同，明確約定收集、使用信息的目的、方式、范圍、時限和采取的安全保護措施等，以及泄露、毀損、丟失用戶個人信息的法律責任等；網絡運營商單方面發布的網絡電子格式合同，合同的擬定者必須遵循公平原則，不得利用網絡運營者的優勢地位侵害公民個人的信息權利。筆者建議，應當按照《網絡安全法》對網絡運營者的要求，由國家網信部門牽頭統一制定《網絡用戶個人信息保護合同示范文本》，并根據發生的情況不斷地進行更新。

最后，網絡運營者收集和使用公民個人信息應當符合兩個條件，第一是依法，這里的“法”主要指兩類：法律或行政法規；第二是收集和使用公民個人信息，應當依據與公民個人訂立的合同，同時該信息必須與網絡運營者從事經營的服務相關聯，比如電信運營商在依法進行實名制登記時，依法對公民個人身份信息的收集，如姓名、性別、年齡、家庭住址、電話號碼等身份信息，如果電信運營商要求收集和處理公民個人的健康和基因信息，就違反了“合法、正當、必要”原則。

個人對其信息具有刪除權和更正權

《網絡安全法》第四十三條規定，個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息；發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。

筆者認為，我國《網絡安全法》中的“刪除權”實質上就類似于歐盟個人數據立法中表述的“被遺忘權（right to oblivion）”。2016年4月14日，歐洲議會投票通過了商討四年的《一般數據保護條例》。在這部堪稱史上最嚴格的數據保護條例中，歐盟對個人信息保護及其監管達到了前所未有的高度，其中第17條第1款規定，被遺忘權和信息數據刪除權指的是信息數據主體享有網絡服務提供者處理與其相關的個人信息和避免這些個人信息進行傳播的權利。

我國《網絡安全法》規定的公民對其信息的刪除權請求權主要有兩種情形，一是當事人發現網絡運營商違反法律、行政法規或違反雙方的約定收集和使用其信息；二是網絡運營商所收集的個人信息的特定目的已經消滅或雙方約定的期限已經屆滿，在這兩種情形下，當事人均有權要求網絡運營商刪除和停止使用其個人信息。公民對其錯誤信息的更正權是指，當事人發現網絡運營商收集、存儲的其個人信息有錯誤或者有缺失的，有權要求其補充或更正。

《網絡安全法》要求網絡運營者必須建立相應的網絡信息安全投訴和舉報制度，并公布投訴、舉報方式等信息，及時受理并處理有關網絡信息安全的投訴和舉報?？紤]到網絡運營商主動刪除或更正其違法和違約收集個人信息或主動糾正個人的錯誤信息具有一定的成本，對此，《網絡安全法》規定的“刪除權”或“更正權”制度基本上采用了“避風港”規則，即在網絡運營商被通知前提下的“刪除”或“更正”。

網絡運營者拒不履行管理義務將觸犯《刑法》

針對一些網絡服務提供者不履行網絡安全管理義務，造成嚴重后果的情況，2016年出臺的《刑法修正案（九）》專門設定了一個新的罪名“拒不履行信息網絡安全管理義務罪”，增加規定：網絡服務提供者不履行網絡安全管理義務，經監管部門通知采取改正措施而拒絕執行，致使違法信息大量傳播的，致使用戶信息泄露，造成嚴重后果的，或者致使刑事犯罪證據滅失的，嚴重妨害司法機關追究犯罪的，追究刑事責任?！缎谭ā返诙侔耸鶙l之一規定，網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金：（一）致使違法信息大量傳播的；（二）致使用戶信息泄露，造成嚴重后果的；（三）致使刑事案件證據滅失，情節嚴重的；（四）有其他嚴重情節的。

2017年6月1日，最高人民法院和最高人民檢察院公布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》實施，“兩高解釋”第九條進一步明確，網絡服務提供者拒不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴重后果的，應當依照《刑法》第二百八十六條之一的規定，以拒不履行信息網絡安全管理義務罪定罪處罰。

“兩高解釋”同時明確了對侵犯公民個人信息犯罪的單位刑事責任，我國《刑法》對單位犯罪在絕大部分情況下采取兩罰制，一是對單位的罰金，二是對直接責任人的刑罰。“兩高解釋”在兩罰制中，對單位是判處罰金，判處罰金采取無限額罰金制，即對罰金的數額未作規定；對直接負責的主管人員和直接責任人員是判處刑罰。“兩高解釋”第七條規定，對單位觸犯《刑法》第二百五十三條之一規定之罪的，依照對相應自然人犯罪的定罪量刑標準，對直接負責的主管人員和其他直接責任人員定罪處罰，并對單位判處罰金。