Firefox 55 要求所有“地理位置服务”使用HTTPS加密,计划今年8月发布的Firefox 55将会完全禁用使用HTTP的地理位置服务,也就是说到时候还没用上HTTPS加密的地理位置服务将没有请求用户位置的权限,用户甚至都不知道该网站请求过位置信息。这一重磅消息又验证了建立健全用户信息保护制度的重要性,这是一个系统级的工程,国内的中小企业在这一方面一直存在欠缺,这种工作过去可能是由网站运维人员来负责,或者是平台技术人员负责,因此并不能建立全面的保护制度。
在“十三五规划”这一顶层国家战略下,我国出台了首部专项网络安全法律《中华人民共和国网络安全法》(以下简称为《网络安全法》),同时健全了其它法律、法规有关网络安全的相关规定,用意非常明显,网络强国战略的实施需要法律法规为其提供基础保障,需要网络安全为网络强国战略保驾护航。
而今天,我们主要来谈谈国家当前重点强调的个人信息保护,个人信息保护这个关键词多次出现在国家各级法律、法规当中,现将其简单整理汇总如下。需要说明的是,我国的法律、法规已非常健全,以下并非个人信息保护的全部释义。
国家法律法规全面加强个人信息保护
《网络安全法》相关规定
2016年11月7日,国家主席习近平签署中华人民共和国第五十三号主席令,内容为《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,现予公布,自2017年6月1日起施行。
《网络安全法》第四章网络信息安全中对个人信息安全做出如下规定:
第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
在第六章法律责任当中规定,即《网络安全法》第六十四条,网络运营者、网络产品或者服务的提供者违反本法第四十一条至第四十三条规定(含第四十二条),侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
《中华人民共和国民法总则》相关规定
2017年3月15日,第十二届全国人民代表大会第五次会议通过了《中华人民共和国民法总则》。国家主席习近平随后签署第六十六号主席令。内容为《中华人民共和国民法总则》已由中华人民共和国第十二届全国人民代表大会第五次会议于2017年3月15日通过,现予公布,自2017年10月1日起施行。
其中第一百一十一条为自然人的个人信息受法律保护。内容为任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
《中华人民共和国刑法》相关规定
第十二届全国人大常委会第十六次会议表决通过了刑法修正案(九),修订后的刑法自2015年11月1日开始施行。此次刑法修正案(九)明确了网络服务提供者履行信息网络安全管理的义务,加大了对信息网络犯罪的刑罚力度,进一步加强了对公民个人信息的保护。
其中刑法第二百八十六条后增加一条,作为第二百八十六条之一:“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
“单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
“有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”
《中华人民共和国消费者权益保护法》相关规定
第十四条 消费者在购买、使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利。
第二十九条 经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
第五十六条 经营者有下列情形之一,除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照:
五十六条所述下列情形第九条为:侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的;
经营者有前款规定情形的,除依照法律、法规规定予以处罚外,处罚机关应当记入信用档案,向社会公布。
值得注意的是,新消法是从2014年3月15日起施行的。
所以从以上法律、法规可以看到,目前国家对于个人信息保护不再限于过去的消法当中强调的经营者要确保信息安全,通过两部即将执行的《网络安全法》及《民法总则》可以看到,已经上升到了网络运营者,以及任何组织和个人。这是全面的涵盖,凡是有收集个人信息行为的,都将受到明确的确保信息安全法律制约。
避免遭受处罚?给企业提两点建议
首先需要说明的是,以下结合国内企业现状提出的建议,也可以说是针对中小企业的建议(特别是创业公司),但并不针对实力级大型企业,比如可以执行ISO27001等标准的企业,或是拥有同样严格的内部风控管理的企业,你很难用同样的标准去要求那些中小企业。
建议一、企业要严格制定内部管理规范
企业内部的数据泄露是个人信息泄露的最大源头,前不久某平台数据泄露就是一个最好的例子,企业需要建立健全内部数据保密机制,比如将内部员工划分成为不同等级,对核心数据对应制定不同的防问权限,结合有效的授权、监控管理措施,最大程度降低数据泄露风险。同时要开展定期的内部培训,要让员工明确潜在风险。
建议二、评估使用第三方安全服务保障数据安全
信息泄露另一个源头则是骇客窃取行为,对于网络运营者,骇客利用网站(或业务系统)这个入口,以及网站上存在的漏洞,便可以完成信息的窃取。企业是否有建立安全团队来避免此类事件发生?现实可能因为投入上的原因多被否认。所以最为核心的则是如何有效的防护数据被窃取,根据实际需要评估使用第三方安全服务则成为首选,其内容可涵盖为企业提供安全评估,以及代码安全审核,以及网站安全防护等。