个人信息安全是一个涉及个人、社会和的重要问题。我国《民法总则》虽然确定了个人信息受法律，但是个人信息侵权救济还存在较大的制度空缺。

　　据中国互联网络信息中心的数据，截至2017年6月，中国网民规模已达7.51亿，占全球网民总数的1/5。互联网快速普及的同时，不时发生的用户信息泄露事件也引起了越来越多的关注。我国目前在网络安全、个人信息方面出台了哪些法律法规？还需要怎样完善以更好地个人信息安全？为此，记者采访了重庆大学国家网络空间安全与大数据战略研究院院长、院教授齐。

　　齐：这些信息泄露事件，出企业在用户个人信息安全保障方面存在不足。出现此类事件的原因主要有以下几个：第一，我国的个人信息制度尚不完善，相关规范散见于各类法律法规，体系化不足，对企业的约束力度不大；第二，在行业内尚未形成统一的个人信息规范，企业对用户个人信息安全的意识不强；第三，用户不重视网上行为，对个人信息的意识不强。

　　齐：大数据时代，个人信息安全建设已经成为网络空间战略的重要组成部分。在我国，2015年《刑法修正案（九）》、2017年的网络安全法和《民法总则》、2018年《信息安全技术个人信息安全规范》的相继出台和实施，在一定程度上推进了我国个人信息安全的制度建设。总体而言，我国个人信息安全建设的水平与欧盟、美国等发达国家还有一定的差距，但我国在产业上的迅猛发展会持续推进网络安全制度的建构。

　　齐：我国近年来出台的网络安全法律规范，包括互联网信息内容管理、网络安全等级、关键信息基础设施建设、个人信息和重要数据以及网络产品和服务管理等方面。2016年实施的《国家网络空间安全战略》和2017年实施的《网络空间国际合作战略》对我国的网络安全建设做出了顶层设计，2017年网络安全法和《民法总则》加强了个人信息在私法领域的力度，2013年《信息安全技术公共及商用服务信息系统个人信息指南》以及2018年《信息安全技术个人信息安全规范》规范了企业在市场活动中的个人信息处理活动，并提出了明确的安全要求。

　　齐：目前我国基本形成了网络安全的制度体系，但在具体制度建设上仍然存在一些问题。具体表现在：

　　在刑事领域，其一，刑法未明晰单位和个人个人信息安全犯罪的认定标准，因此在司法裁判中，出现责任主体认定不到位，可能会使个人和单位钻法律的“”；其二，处罚主体、处罚情节和处罚程度不明确，对犯罪主体进行民事处罚、行政处罚和刑事处罚时，仅模糊性“相关主管部门”“情节严重”“罚金区间”，为法律适用带来困境。

　　在民事领域，我国《民法总则》虽然确定了个人信息受法律，但是个人信息侵权救济还存在较大的制度空缺，主要表现为：个人信息概念法律界定范围不清，立法对个人信息收集的性、必要性缺乏可操作性认定标准，数据的权属不确定，个人信息被侵权后，缺乏统一的赔偿标准等。

　　齐：我国网络安全法已经实施一周年，围绕该法律的部门规章、国家标准也在加紧制定过程中。此外，《民法总则》《刑法修正案（九）》也提供了个人信息的制度依据。

　　从效果上看，我国互联网企业对于网络安全的重视程度有了很大的提升，数据泄露事件得到一定程度的遏制。但是企业过度收集个人信息的行为还大量存在，除了执法不严、企业自身对个人信息的重视程度不够之外，立法上对于收集信息原则的不够细以及学术研究上的空缺也是两个重要原因。

　　齐：第一，在技术层面，企业大多利用了数据加密和数据脱敏技术等多种隐私技术；第二，多数企业都发布了隐私政策，增加了用户对企业个人信息收集、存储、使用行为的知悉同意；第三，在管理层面，互联网企业通过数据访问权限、数据利用审计和用户反馈等方面对数据进行管理。高粱地儿野炕头

　　企业的这些行为一方面会推动个人信息行业规范的形成，另一方面对国家法律法规的出台也提供了实践性的参考，对个人的隐私意识提高也有一定的作用。

　　齐：从监管层面而言，应当加强对网络运营者合规义务的检查，督促企业提高网络安全水平。企业应当充分借鉴国际互联网企业的合规经验，建立涵盖技术、管理和法律全方位于一体的体系，将用户隐私的融入到产品设计之中。个人应当加强个人信息安全意识，遇到产品收集个人信息的行为，应在充分了解其使用目的后下载使用。对于数据泄露等行为，应当通过投诉、诉讼等途径进行。

　　本文由 恒宇国际（www.neivn.cn）整理发布