《網絡安全法》也是公民個人網絡權益保護法

　　有關網絡安全，我們一般更多地想到的是國家安全、國家利益。其實，確保網絡安全也是保護公民個人的網絡權益。從《網絡安全法》的具體內容看，其對於公民個人網絡權益的保護明顯加強，這集中體現在對公民個人信息保護制度的完善上。

　　一、擴展了個人信息保護的範圍

　　《網絡安全法（草案）》（以下簡稱“草案二審稿”）第二十一條規定，“網絡産品、服務……收集公民個人信息的，應當遵守本法和有關法律、行政法規關於公民個人信息保護的規定”。正式公佈的《網絡安全法》將“收集公民個人信息”改為“涉及公民個人信息”，即“網絡産品、服務…… 涉及用戶個人信息的，應當遵守本法和有關法律、行政法規關於公民個人信息保護的規定”。一個詞的改動，極大地擴展了公民個人信息的保護範圍。比如，特定手機軟體也許不會將個人通訊錄信息收集起來，但是其會實時調取個人通訊錄信息進行相關數據分析、完成特定任務（比如騷擾電話識別）。在這種情況下，雖然還沒有達到收集個人信息的程度，但由於其對用戶個人信息具有實時讀取功能，也必須徵求消費者本人同意，並且具備相關的安全措施，以確保用戶個人信息的安全。

　　二、強化了服務商在用戶信息洩露後的告知義務

　　草案二審稿規定，“在發生或者可能發生公民個人信息洩露、毀損、丟失的情況時，應當立即採取補救措施，告知可能受到影響的用戶，並按照規定向有關主管部門報告”。《網絡安全法》將“告知可能受到影響的用戶”改為“按照規定及時告知 用戶並向有關主管部門報告”，涵蓋了在特定條件下擴大到更大範圍用戶的情況，強化相關服務商在信息洩露後的告知義務。我們知道，一些互聯網服務商在自己互聯網服務發生大規模信息洩露侵犯消費者權益的時候，往往不願意及時告知消費者真實信息，如果僅僅規定其告知“可能受到影響的用戶”，可能會出現一些服務商玩弄文字遊戲，人為縮小“可能受到影響的用戶”的情況。《網絡安全法》明確要求服務商在信息洩露時要按照規定及時告知用戶，避免了可能出現的隱而不報的情況。

　　三、完善了互聯網個人信息刪除更正制度

　　草案二審稿規定，“公民在發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正”。《網絡安全法》在之後增加了一句話，“網絡運營者應當採取措施予以刪除或者更正”。根據全國人大法工委頒布的《立法技術規範》的規定，“應當”是指設定法律義務。因此，該法明確地為網絡運營者設定了一項法律義務，即當個人在發現網絡運營者收集、存儲的其個人信息有錯誤且要求刪除更正時，網絡運營者有義務根據實際情況予以刪除、更正，這就完善了互聯網個人信息刪除更正制度，從另一個側面強化了對公民個人信息的保護。

　　綜上所述，《網絡安全法》也是一部公民個人網絡權益保護法。網絡安全不是抽象的安全，是公民個人網絡權益的集中體現。只有建立保護公民個人網絡權益的網絡安全法，才是真正有生命力的法律。

　　（作者：張效羽 國家行政學院法學部副教授）