大数据时代的公民数据信息安全规制问题研究
2018-09-10刘素华
刘素华
摘要:大数据时代,具体目标事物的数据信息依托网络的汇聚、搜索等功能,呈现出的整体性状态已取代传统的样本性状态。今天分散于各公共机构、营利性和非营利性机构的公民数据信息和公民自己控制的个人数据信息,如果不受限制地互联汇合,形成的具体公民整体数据信息一旦被泄露、被篡改等,会使公民权利与自由面临多种竞合侵权和潜在威胁,进而也会威胁国家安全。党的十八大以来,从国家治理层面提出了数据信息安全事关国家战略安全,强调依法防范数据信息安全风险,构建网络安全机制,保障公民数据信息安全。数据信息的安全以网络设施、网络系统的技术安全为基础,以网络规制为社会保障条件,只有技术安全与规制措施良好衔接,才具有数据信息安全的基本条件。
关键词:大数据 公民数据信息 安全风险 规制对策
大数据时代,计算机统计能力的高效化,使收集具体目标事物的完整信息和充分统计分析成为可能。目标事物数据信息整体性的利用价值超越以往任何形式的有限样本量的统计价值。整体性蕴含的潜在社会、经济、文化等价值,成为数据信息控制者意图不断扩充自己数据信息量的动力。同时,数据信息的整体性会空前加大目标事物的安全风险,政府、社会和公民需要充分认识数据信息双刃剑的特性,特别是公民个人数据信息的汇集,需要有限制地分类汇集。如果不加限制地允许社会主体包括政府尽可能多地收集、汇聚公民个人数据信息,将会对公民多项基本权利与自由带来难以预估的威胁。近些年发生的一些公民数据信息被非法窃取或泄露后,导致的严重侵犯公民权利的案件,直接说明公民数据信息安全与国家治理能力、治理水平和完善的治理体系密切相关。如2016年8月山东大学新生徐玉玉因个人升学信息泄露,被电信诈骗9900元学费后猝死事件,同年清华大学教授卖房信息泄露后,被电信诈骗1760万元事件。大数据有助于政府科学决策、社会治理精确化和公共服务高效化,但同时也面临数据信息被泄露、被锁死、被非法利用等可能性。今天无论公民是否上网,公民数据信息“被网络”“被数据”已是普遍社会现象,加快建立和完善公民数据信息安全监管规制体系已是国家治理的重要内容之一。对此,党的十九大报告提出建设网络强国,要求推动互联网、大数据、人工智能与经济深度融合的同时,促进政府治理能力、公共服务水平全面提升。保护数据信息的安全在今天既是国家治理的基本要求,也是保护公民权益,推进网络规制的全球共识。
一、大数据时代公民数据信息安全内涵
研究大数据时代的公民数据信息安全,首先需明确公民分散的数据信息形成大数据的原理和实际情况;其次,要界定数据信息、数据信息安全的基本内涵,厘清公民数据信息安全的对象、职责范围和边界,确定依托网络形成的公民数据信息,涉及安全风险的环节和可能存在风险的节点,针对f生地通过立法达成公民数据信息安全目标。
(一)数据信息内涵
数据信息包含两层内容:一是由数字0和1组成的存于网络终端和网络上的数据信息符号,不直接体现数字符号的内容;二是数字符号代表的内容,直接反映事物特征和具体状态的文字、图像等。在现实社会中,仅数字数据被泄露,一般不会侵犯公民的基本权利和自由,只有数字符号代表的内容被泄露、被不正当利用后,才会表现为侵犯公民的基本权利与自由。公民网络数据信息是指与公民身份相关、依存于网络上的所有数字符号和符号内容,包括公民本人的基本信息、家庭成员、家族成员信息和能够推算出公民信息的相关数据等。当今公民的数据信息一般由各种公共管理机构、公共服务机构、营利性机构、非营利性机构和公民本人及近亲属等掌握。上述机构和个人掌握的公民数据信息在缺少限制信息互联规制标准的情况下,经过网络媒介相联通,汇聚在一起,易形成公民个人情况的完整信息。完整的公民数据信息一旦管理、使用、处置不当,发生泄露、毁损、篡改等,将对公民权利自由带来极大的侵害风险,如私生活被公开化、权利自由被限制、生活真实情况被歪曲等,有时会进一步侵害相关家庭成员的权利与自由。因网上数据信息一旦生成,其“永存”的特性,公民权益被损害风险的不可控性、持续性将伴随公民一生甚至更久远。而一国公民的个人数据信息构成了国家治理数据信息的基本内容,在公民数据信息具有安全风险时,意味着国家数据信息也将处于风险之中,公民数据信息安全一定程度决定国家安全。因此,大数据时代,保障公民网络数据信息安全的实质是保障国家信息安全和国家安全。
(二)数据信息安全内涵
数据信息安全从本质上讲,属于网络安全的组成内容。网络安全包括网络基础设施、网络系统、网络协议和数据传输等。数据信息安全需在掌握网络运行和网络传输数据的技术规则基础上,在网络安全运行的前提下,针对网络的表现形式和结构形式中可能威胁数据安全的技术风险和侵权行为进行规制,达成数据信息安全之目的。网络运行系统是数据信息传播、收集、存储、使用和存在的基础,网络基础设施、各种终端设备和网络协议的安全,涉及数据传输交换、网络软件、网络系统管理、域名系统、互联网协议(IP)地址、根服务器系统和语言多样性等内容,上述每个内容节点都可能形成威胁网络安全的风险,进而威胁数据信息安全。在网络监管方面需依法明确各内容节点的安全标准,明确规制依据,才能提高数据信息的安全度。同时,网络上各种业务网(除固定电话网外)的开通和正常运行,都必须有相应的网络管理系统支撑,自动化程度越高的业务网对网络管理系统的依赖度越高,网络运行效益(如网络连接成功率)也依靠网络管理系统。网络管理系统技术高,在传输网中,网络的可生存性(自愈性)就高。在基于准同步数字系列的系统(简称PDH@)的传输网中,如果仅靠PDH设备本身,很难保证网络的生存性。在基于同步数字体系(简称SDH④)的传输网中,仅依靠SDH设备本身可以保证相当的網联生存性,但要占用较多的网络资源,如果没有网络管理系统的支持,就要增加SDH设备的复杂性才能提高网络生存性的质量。另外,来自网络系统之外的病毒、黑客攻击等风险也要求提高网络安全防范技术。2017年5月席卷全球的勒索病毒(Wannacry),攻击了上百个国家的网络系统,特别是公共服务基础设备网络普遍受到攻击,银行、医院、商场、邮局、加油站等网络系统感染病毒后被锁,没有专门密钥,所有的数据信息处于被锁和不可控状态,导致网络系统不能正常开展业务,其中负有网络安全监管职能部门的网络也被勒索病毒攻击,如美国警察局、我国多地的公安网络等。所以,网络数据信息安全是指网络上的数字数据信息和数据信息的内容都处于权利所有人、保管人实际可控与支配状态。
二、当前我国公民数据信息面临的安全风险
20世纪90年代后期,我国互联网依托民用公共电信网快速发展,截至2017年12月,我国网民规模达7.72亿,普及率达到55.8%,超过全球平均水平(51.7%)4.1个百分点,超过亚洲平均水平(46.7%)9.1个百分点。政府及职能部门、社会组织依托互联网治理国家、履行公共职能、管理公共事务已成为国家治理常态。一个公民即使不是网民,也因与公共管理、社会服务机构发生各种各样的行政关系和服务关系而掉人这张大网中。公民数据信息面临的侵权风险多样化。
(一)公共服务管理性机构泄露公民数据信息的风险
大数据时代,数据信息的经济价值和社会效能价值,成为驱动各类社会服务、管理、经营主体汇聚数据信息的内在动力。各类社会主体通过网络收集各种数据信息,运用计算机快速计算能力分析海量数据信息中的“有用”信息,实现获得具体目标事务准确信息的目的。在公共服务、管理、经营机构组织等因公共性职能的需要,收集、掌控公民数据信息时,已将私权与公权融合在一起。这些公共性主体掌控的公共性数据信息是由不特定多数普通公民的数据信息构成的,公民私人数据信息构成国家或公共部门的数据信息又因公共性机构掌控的公民私人数据信息是实施公共性职能的前提,当公共性部门基于公共利益和特定利益的需要公布掌控的部分或全部数据信息时,会泄露公民私人数据信息,对公民私人权利和自由带来风险。
1.披露公共信息,间接泄露公民数据信息,引发侵权风险
公共性组织机构,因国家利益、公共利益及自身经营管理等需要,在法律没有明确限制披露标准的情况下,披露自己掌控的公共信息时,泄露与公共信息有关联的公民私人信息,侵犯公民在公共场所的私人生活隐秘性,对公民权利与自由带来的侵权风险是当前公民数据信息安全面临的问题之一。比较典型的普遍性事例,就是因社会治理需要,今天遍布城乡的电子监控设备。这些电子监控设备,在公共利益的名义下,不停监拍,收集了不特定多数普通公民的行为信息,在需查明涉及公共治理的某事件真相时,调看或公开监控设备的录像资料,会泄露录像资料中的不特定普通公民的行踪、私人活动等,并有可能锁定、识别具体公民的身份,从而侵犯公民私人权利与自由。还有政府对一些公共领域的监管,要求经营性机构公布涉及公共利益的经营信息时,也会泄露与经营机构相关职务的工作人员的私人信息,导致侵犯公民私人权利的风险,如彭博新闻社记者根据高盛公司公开的一位合伙人很久没有登录彭博终端的事实,判定该合伙人已离职的事件,对该合伙人未来从业产生影响。各类公共性机构披露公共信息时,泄露公民的零星信息,被泄露的零星信息在大数据下易形成数据信息链,能够得到具体公民个人较完整的数据信息,获知公民的各种私人事务,对公民权利和自由带来不确定的风险和侵权可能性。被公开的公民数据信息经过循环分析,能获得特定对象的多层次的精准数据信息,对公民或公民家庭将形成层层叠加的侵权风险,如公民家用水、用电、用天然气的数据信息被泄露后,通过分析水、电、气用量的变化规律可以判定公民家庭成员的数量、生活习惯等,数据信息若被有特别目的的人或机构拥有,会对特殊身份公民的人身及家庭安全造成严峻威胁。
对此,政府应通过网络立法,明确公共机构实施治理行为,需要披露公共信息时,涉及能够识别公民私人身份的数据信息时,应采取保护处理,特别是对具有提示功能的各种元数据应进行技术或者物理性的屏蔽、消除处理应成为必要的保护手段。
2.公共机构掌控的公民数据信息被非法泄露的风险
当今,网络计算机办公的普遍化,使公共机构成为掌握公民数据信息最多的社会主体。公共机构或公共机构授权的私人机构因技术水平或因不当管理、利用所掌握的公民数据信息,导致公民数据信息或者与公民身份相关的数据信息被泄露,对公民权益和自由带来现实和未来的潜在风险。潜在风险可能若干年后甚至更久才显现,这一问题需要从法理和伦理等层面予以高度重视,特别是随着人类生命科学和医学的发展,针对个体生命体实施的提取、分离和培养干细胞技术已日渐成熟,公共性机构即使基于管理的需要,也应对采集公民生理数据信息的项目进行风险评估,若不能完全保证公民生理数据信息安全,对此类数据信息的采集应持谨慎态度。如2015年10月15日《南方周末》报道国家教委下文,指令“教育技术服务平台”以填表形式收集中小学生每人近40项的数据信息,其中有采集血样的信息。这些被采集血样的中小学生未来可能在国家重要岗位上履行公共职务,随着人类生物基因技术的发展,被采集的血样、人体组织的数据信息一旦被泄露、被特别利用,潜在的被侵害风险就可能显性化,同时,国家安全、民族安全可能面临更大的不可控风险。当前我国公民数据信息被泄露、被非法利用的侵权现象已普遍化,被泄露的公民数据信息涉及通信、银行、医疗、教育、交通、住房及日常生活消费等各领域。掌控公民数据信息的各类主体如果不能保证数据信息的安全,就应持谨慎采集和少采集数据信息的态度。泄露公民数据信息除侵害公民的隐私权外,还侵犯公民的人身权、财产权、发展权等,引发竞合侵权,同时严重破坏整体社会秩序、经济秩序和公共安全秩序。特别基于行政管理之需要,由政府行政权推行,企业采集、存储公民数据信息的行为,需进行风险评估,建立政府数据库的风险防控体系,依法确立防控标准。我国《网络安全法》第10条明确规定,凡是通过网络提供服务的社会主体,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全,维护网络数据的完整性、保密性和可用性,以实现保护公民数据信息安全的目的。根据此规定,凡是通过网络获得公民数据信息的社会主体有保证公民数据信息安全的义务。
大数据时代的公民数据信息安全规制,应以防范数据信息的未来风险为重心,而不是采取事后补救措施为标准。在当前风险不断加大的情况下,应立法规定某类网络数据信息到一定期限后可以销毁,或根据数据信息权利人的请求删除。基于某种特定目的通过网络收集的公民数据信息,在达成目的后,該数据信息在存储上应归于消灭,即保障公民数据信息被遗忘权的实现。被遗忘权作为一种人格权,与公民个人数据信息自决权相关联。自决权要求信息主体有权决定与自身相关的数据信息的存在与消灭,而不应受制于数据信息掌控者的约束。有关主体在收集、存储、使用公民某些数据信息的目的已达成后,从维护信息主体的权利角度,对相关主体控制的数据信息可以及时消除或经过一定期限后销毁,从源头保护数据信息人的权益。我国《网络安全法》第5条规定国家负有网络安全责任,要采取措施,监测、防御、处置来源于境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵人、干扰和破坏。这里的处置可以包括销毁和其他手段排除威胁数据信息的风险,以应对错综复杂的侵犯网络安全和公民数据信息安全的各种行为和现象。
(二)多点获取公民数据信息缺少法律监管问题
网络的平等开放性,保障了任一联网终端设备的使用者都可以用匿名方式随时发布、传播、存储信息。针对同一个事物的信息发布,可以呈现多点信息源隐蔽散发、难以控制的特点。一般单点信息源发布、传播某一个公民的数据信息,极易被埋没于海量网络信息里,难以形成侵害信息权利人权益的后果,但如果借助搜索引擎,或者将不同机构、个人拥有的零散多点公民数据信息汇聚为一个公民的整体信息或较大信息量后,再冠以醒目标题传播,就易被关注,并成为泄露公民隐私、侵犯公民权益的直接途径。今天,各类社会组织机构通过登记方式掌控的公民数据信息,已成为政府实现社会治理,社会组织、企事业单位及各类商业性机构实现经营管理活动的基本手段。这些掌控公民数据信息的各类机构组织,作为公民数据信息的信息源,在法律没有限制单点信息源的互联条件,缺少规制单点信息源扩散的法治标准的情形下,互联或任意传播公民数据信息,在简单满足表达自由、信息自由之时,忽略了表达自由、信息自由背后的公民数据信息安全包含的多项基本权利之内容。单点信息源不受限制的实现表达自由、信息自由的行为成为侵犯公民其他权利与自由的条件,有悖于保证人类权利与自由的根本社会价值取向,也有悖于该两项权利与自由的主旨目的。行为人无须存在主观恶意因素,即构成滥用该两项权利。从宪法比例原则看,表达自由、信息自由的实现应以不构成对公民其他权利的侵害为基本标准,以传播、扩散公民数据信息实现表达自由和信息自由时,应遵守这一基本准则。
(三)以非法手段获得特定公民的数据信息,并以此作为追究该公民违法行为证据的公共风险
网络黑客利用木马、软件和普通公民采取隐秘方式非法获得公民、政府机构、企事业单位和社会组织独享的数据信息,特别是非法获取特定公民的数据信息后,基于私人或其他目的,传播非法获得的数据信息,揭露信息所有人的违纪、违法行为,背后的公共安全风险常常被忽略。非法获得公民数据信息的行为人,无论出于维护公共利益还是私利的目的,其获得信息的非法性不容置疑。非法获得的公民数据信息内容即使揭露了信息所有人的违纪、违法行为,保护了一定的公共利益,也不能免除非法获取信息的行为人不受法律约束的基本限制。公民数据信息权利属于公民人身自由权利范畴,对公民人身自由权利的限制只能依据法律实施,私人行为不得限制公民人身自由权利,以非法手段获得公民数据信息后,在未得到信息所有人许可的情况下,在网络上传播、扩散或篡改相关数据信息的行为,直接侵犯信息所有者的信息独享权利和私生活安全等基本权利。特别是非法获取特定公众人物、公职人员、国家机构、公共机构和商业机构核心岗位人员的数据信息进行扩散,侵权的受害对象不仅是信息所有人本人,还包括国家、社会组织、企事业单位及基于该数据信息享有利益的多方主体。以非法手段获得的公民数据信息,即使证实数据信息的所有人有违纪、违法行为,也不宜直接作为违纪、违法证据使用,防止以非法手段获得公民数据信息,揭露信息所有人的违纪违法行为的扩大化,违反法律的禁止性规范和制裁性规范的根本宗旨。此类行为从表面看似乎惩罚打击了公职人员的违纪、违法行为,维护了国家和公共利益,但从法益正当性的实质看,违反了法治的正当程序基本要件,损害了法治这一更大公共利益,属于法治首要禁止的内容。依靠非法手段获取公职人员数据信息,保护的违纪、违法行为背后的公共利益与宪法规范和法治保護的基本权利和法益相比较,违纪、违法行为背后的公共利益属于小公共利益,不能达到宪法比例原则强调的获得最大化公共利益,损害最小利益之精神。如果任何人都可以采取非法手段进入私人领域,必将损害国家法治秩序和国家基本权利体系,破坏国家基本权利制度之根本,损害最根本公共利益,这从法理上讲是法治绝对禁止的行为。2010年6月最高人民法院公布的《关于办理刑事案件排除非法证据若干问题的规定》第14条规定“物证、书证的取得明显违反法律规定,可能影响公正审判的,应当予以补正或者作出合理解释,否则,该物证、书证不能作为定案的根据。”《网络安全法》第44条规定,“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”《网络安全法》还用多个条款强调政府规制网络数据信息安全的制度、措施等,依法明确收集、使用公民数据信息必须符合合法、正当,必要原则、目的明确原则、知情同意原则等。
三、保障公民数据信息安全的规制对策
大数据时代,公民数据信息安全不是孤立的安全保护问题,而是事关国家安全和全体公民权益,需从完善国家治理体系现代化的战略高度和实施具体网络治理措施的战术两方面规制公民数据信息的存储、传播、使用和其他方式的处置。对持有公民数据信息的所有组织机构和个人职责,需形成数据信息安全监管体系,从多层面和多角度跟踪监督同一数据信息,监管隐含的安全之意是保障公民数据信息安全的制度基础。
(一)树立数据信息安全的战略意识,提高全民数据信息安全意识
现实社会中,很多公民无视自己数据信息被侵犯的现象,实际纵容了侵权者。如侵权者通过非授权渠道获得公民手机号码,拨打公民手机和发送短信推销各类商品和广告,侵权人缺乏对自己行为违法侵害公民数据信息的基本意识,接到各种骚扰电话和短信的公民一般也没有意识到来电行为的违法性和侵权性,多是挂断电话或删除短信,泄露、贩卖公民数据信息的个人和机构认为自己的行为属于经营行为,也没有意识到是违法行为……针对一定比例的社会主体缺乏数据信息安全意识的现象,需要数据信息规制部门从国家数据信息安全的战略高度,加强规制者和被规制者对数据信息的认知能力。大数据下,数据信息只要在网络上存在过就不会消失,数据信息随时可被循环分析、多层次利用,满足特定目的需要,且不受时间和地域限制等特征。今天没有价值的数据信息,未来可能有价值,特别是随着人工智能的发展,对数据信息的精细深化分析,同一数据信息的新价值能被不断发现利用。保证数据信息安全,已是国家治理的重要内容。政府各规制部门对已控制的数据信息,可采取分隔、分离、备份方式,以防范和减少数据信息安全风险。同时,在不断增加和控制数据信息量的前提下,要严格限制数据信息的互联和共享界限,尽可能降低数据信息被泄露的风险程度。政府规制部门,需在思想意识上明确数据库越大,面临的数据信息安全风险越大。数据信息库的建设不能简单追求量大,应同步建立数据库的安全防范体系,培育全民的国家数据信息安全战略意识,构建数据信息安全的社会认知基础,才能实现数据信息安全的战略目标。
(二)完善规制部门之间的合作机制,预防规制漏洞
当前我国网络规制机构共有18个,其中2个领导机构,16个执行部门。在18个机构中,2014年成立的中央网络安全与信息化领导小组属于党的领导机构,从执政安全统领全国网络安全与信息安全工作,国家互联网信息办公室作为国务院的职能部门,主要领导和协调各网络规制部门的履职和职责划分工作,目前上述两机构合署办公,加强了党的领导机构与政府机构的统一性,党的执政与国家权力运行结合起来。其他16个职能部门分别负责不同领域的网络安全监管职能。如工业与信息化部负责互联网行业管理、网络基础设施、网络互连互通等;中央宣传部负责互联网意识形态工作的宏观协调和指导;国务院新闻办负责网上意识形态具体工作;公安部负责互联网安全监督管理等。新闻、出版、教育、卫生、药品监督管理、工商行政管理和公安、国家安全等有关主管部门,在各自职责范围内依法对互联网的相关信息内容实施规制管理。根据职权划分,每个部门在履行职能时,往往过多注重本部门利益,而忽略了部门间的配合协作和整体公共利益的实现,从而导致数据信息安全隐患漏洞不断出现。如猖狂多年的电信诈骗,诈骗分子利用电子设备建立伪基站,以银行、公安、社保等各种公共机构名义发送诈骗信息,不良商家通过互联网发布虚假广告欺骗网民等。从技术上讲,电信部门通过检测电讯信号能在第一时间发现伪基站;从合作层面讲,电信部门应第一时间上报公安机关;对虚假广告,网络运营商、服务商应该禁止传播,工商部门对网络虚假广告负有监管职能。但在实践中,伪基站长期存在,说明作为网络运营商的电信部门没有完全履行监管职责,未在第一时间阻断伪基站发送诈骗信息,也没有及时向公安机关报告伪基站的违法事实。而相关的政府监管部门对电信部门不作为的行为,没有依法强制规制,从而导致电信诈骗长期猖獗。同时,网络运营商、服务商放任虚假广告的传播,没有和规制监管虚假广告的工商部门合作,予以制止和打击。2016年4月西安电子科技大学魏则西就因相信网上虚假医疗广告,耽误救治以致死亡。当前,构建运行顺畅的网络监管合作机制,共同应对网络安全风险是基本规制趋势。相关网络数据信息规制机构应通过建立网络安全信息收集、分析和通报工作机制,按照规定统一发布网络安全监测预警信息。各规制部门根据职责领域,有限制、有区别地共享规制信息,建立国家网络安全监管预警和信息通报制度,完善整体数据信息安全监管机制,防止规制漏洞和盲区,才能有效防控公民数据信息安全风险。
(三)确立持有公民数据信息的社会主体负有安全保障义务
政府及各种盈利性、非盈利性公共机构基于实施管理和提供公共服务的需要,以登记、注册、办会员卡等各种形式收集、存储公民数据信息已成常态化。公民与政府之间形成公共财政支持下的管理与保管个人数据信息的关系,公民履行提供个人数据信息义务后,个人数据信息安全权利就应得到保障。公民与银行、邮政等公共服务机构形成服务保管关系;公民与医院、教育、水、电、汽等公共服务机构之间形成购买服务关系;公民与网络服务机构之间也形成购买服务关系;公民与商店、餐馆、健身房等形成的购买商品和服务关系等都建立在同一基本前提下,即公民将自己的数据信息提供给上述主体时,双方已有一个不言自明的约定,接受了公民数据信息的主体负有保障公民数据信息安全的注意义务,未经公民同意,不是基于公共利益的需要,泄露、使用公民数据信息或者使公民数据信息处于不安全境地,均应承担法律责任,这也是网络信息安全立法的基本底线。
我国规制网络安全的法律、行政法规、部门规章有250部之多。2017年颁布的《网络安全法》规定了数据信息持有者承担的具体安全注意义务,对不履行安全保障注意义务的违法行为提高了处罚标准,加强了违法责任的惩罚力度。《网络安全法》第48条明确规定“电子信息发送服务提供者和应用软件下载服务提供者对公民数据信息履行安全管理义务”,对不履行义务的组织和个人由政府规制监管部门根据违法情节的不同,分别给予责令改正、警告、没收违法所得、10万—50万元罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证、营业执照的处罚,对直接负责的主管人员和其他直接责任人员给予1万一10万元的罚款。《互联网信息服务管理办法》对从事经营性互联网信息服务的主体要求“有健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度”等,对不履行上述职责和义务的信息服务经营者给予停止经营、罚款、吊销营业执照等行政处罚,构成刑事犯罪的追究刑事责任。刑法第九修正案规定了“拒不履行网络信息安全管理义务罪”。法律、法规对网络监管职能部门不依法履行监管职责的,也规定了相应的法律责任。《互联网信息服务管理办法》第25条规定,“电信管理機构和其他有关主管部门及其工作人员,玩忽职守、滥用职权、徇私舞弊,疏于对互联网信息服务的监督管理,造成严重后果,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,对直接负责的主管人员和其他直接责任人员依法给予降级、撤职直至开除的行政处分。”2017年3月15日新通过的《民法总则》第110条也规定“自然人的个人信息受法律保护。任何组织和个人不得非法收集、使用、加工、传输个人信息,不得非法买卖、提供或者公开个人信息。”可见,当前我国从行政法、民法、刑法多个角度强调了网络信息服务者、数据信息持有者对公民数据信息负有安全保障注意义务,对不履行该义务的责任主体追究相关行政、民事责任,直至刑事处罚。
(四)完善公民数据信息自救机制
公民的数据信息被侵害后,一般是数据信息的权利人或者熟悉权利人的公民最先发现被侵害事实。在权利人发现自己的数据信息被侵害后,最快的补救措施就是权利人自己能立刻在网上修正、消除、截停、关闭被侵害的数据信息,第一时间控制侵害后果的扩大。但现有的规制体制,导致公民数据信息自救渠道不畅通,公民难在第一时间完成权利自救。现有法律法规规定,数据信息权利人发现自己的数据信息被侵害后,一般只能向网络服务商、营运商提出删除、修正等申请,自己无法直接删除和修正。如《网络安全法》43条的规定,公民发现自己的数据信息出现风险或有可能处于风险中时,可以白行启动自救程序,要求网络运营者删除、更正相关的个人数据信息,网络运营者应当采取措施予以删除或者更正。但在现实中,公民请求网络运营商达到删除或更正被侵权的数据信息的目的,一般需经过一定的时间,如公民QQ号被盗后,公民需向第三方服务商腾讯申请停止被盗QQ号的使用,腾讯接到公民申请后,审查公民身份证件,识别该QQ号附有的一定量的信息、确定QQ号的持有人等,最快需要3个工作日;如果权利人向公安机关申请封停被盗QQ号,一般需要经过立案、审查、批准等程序,最快也需3-7个工作日。而3-7天足够任何信息在全球网络上反复传播。这样,即使公民的申请得到批准,权益实际损害后果已经形成,已无法有效减少和弥补公民数据信息受损害的后果。
为此,在现有法律基础上,网络监管部门针对公民请求权的提出,应监督义务主体简化审批程序、缩短审批时间,满足处置网络信息的技术特点要求,对《网络安全法》第43条规定的“网络运营商应当采取措施予以删除或者更正”的具体内容和实施方式,相关网络规制部门可考虑制定“网络安全法实施细则”给予具体化,特别是对“应当采取措施”的抽象概括表述,采取具体化的列举方式,对“应该采取措施”的情形作出规定,在充分考量网络快捷、开放、无边界等特性的前提下,本着“删除和修改”的速度尽可能快、时间尽可能短的标准,细化“删除和修改”数据信息的方式和时间限制,便于确认义务主体的不作为责任。同时,网络规制部门在“实施细则”里应设立网络服务商、运营商等义务主体履行义务的程序、时间等技术标准,允许数据信息权利人根据安全风险的不同情况,实施不同形式的自救。在网络运营者违法或者违反双方约定收集、使用公民数据信息时,公民有权要求网络运营者删除和停止使用本人数据信息;如果网络运营者收集、存储的公民数据信息有错误的,公民有权要求网络运营者予以更正;如果网络运营商、服务商因技术和管理水平的原因,使公民的数据信息被泄露、传播或者处于风险中,公民有权收回自己的数据信息,同时要求网络运营商和服务商负有消除信息痕迹的义务。对上述威胁公民数据信息安全的风险,在网络服务商等不依法配合公民提出的“删除和修改数据信息”要求时,网络监管部门可以依据《网络安全法》第68条的规定,追究网络服务商不履行配合义务,不积极作为的法律责任。网络监管部门对妨碍公民自救权实现的网络服务商、运营商等义务主体,根据权利人的请求,可以通过规制手段排除妨碍;网络监管部门可以根據数据信息权利人、有关部门和机构提供的数据信息,组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估,预测风险发生的可能性、影响范围和危害程度,通过网络安全风险的监测和预防,更加有效地防范威胁公民数据信息安全的风险形成。网络规制部门还可以依据“建立健全网络安全保障体系,提高网络安全保护能力”的职权,主动监管网络服务商、运行商是否履行了保证公民数据信息安全和排除威胁公民数据信息风险的义务,并根据相关法律规定,对网络运营商和服务商不履行保障公民数据信息义务的行为,采取行政规制措施,依法追究相关主体的法律责任,以保障公民数据信息请求删除和更正权的实现,进而保障公民数据信息安全的实现。达成《网络安全法》第43条立法目标的实现。
