中国首部《网络安全法(草案)》规定,网络运营者收集、使用公民个人信息,应当明示收集、使用信息的目的、方式和范围,并经被收集者同意,且应公开收集、使用规则。不过这一法律目前还未出台。立法进展如何?立法应如何保护个人信息安全?对此,记者采访了北京师范大学法学院教授、亚太网络法律研究中心主任研究员刘德良。
中国青年报:网络安全法草案去年就曾向社会公开征求意见。根据十二届全国人大常委会2016年立法工作计划,6月将继续审议。目前相关进展如何?
刘德良:这个法律一时半会儿很难出台,对于网络安全包括哪些东西还没有搞清楚,专家们分歧也很大。目前我们在学习欧洲的做法,主要关注信息采集的问题。而目前出台的一些标准和规范缺乏可操作性,看起来好像对个人信息安全很关注,但是短时间内难以解决关键问题。
中国青年报:您怎么看个人信息被收集和泄露的问题?
刘德良:个人信息可以分两类,一类是可直接识别出特定自然人身份的信息,比如照片、声音等。另一类是各种片段类的信息,比如个人的某个上网行为。网络环境下,个人信息往往是呈碎片化的,根据某一个或某些碎片没有办法识别出个人身份。
我认为没有必要过度炒作信息采集问题。除了少数医疗、教育服务需要实名制,其他商家往往只是收集有限的数据片段,而不是个人信息。商家收集用户的一个IP地址,一个行为偏好,为的是实现精准营销,没有必要知道用户究竟是谁。收集过多用户信息,往往还要付出成本去管理。
