收集使用个人信息，应让用户“知情同意”

6月1日起，《中华人民共和国网络安全法》正式实施，保障个人信息安全是其中的重要内容。《中华人民共和国网络安全法》是我国第一部网络领域的基础性法律，全面规定了法人、组织和个人在网络空间的行为规范。

该法第四十四条规定，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

在保障个人信息安全方面，明确 “知情同意”原则，是网络安全法的一大亮点。该法第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，并经被收集者同意。

“这种‘同意’的方式，是明示同意还是默示同意？还存在解释的空间。”南京大学法学院副教授吕炳斌认为，“默示同意”对网站而言最为宽松，但对个人信息保护力度不够；如果要求网站收集每项信息都先取得用户明示同意，既让企业负担过重，也可能造成用户访问不便。

吕炳斌认为，在网络实名制的情况下，实施个人信息收集使用的“知情同意”原则，不能流于形式，比如，网站首页告示即视为默许的方式就应叫停，“但也不能过严，以免影响产业发展，具体操作中可以有一定的灵活性。”

出售公民行踪轨迹等个人信息，超50条将入罪

网络安全法规定，任何个人和组织不得非法获取他人信息。刑法规定，向他人出售或者提供公民个人信息，情节严重的构成侵犯公民个人信息罪。

那么， “情节严重”该如何界定？6月1日起实施的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），对这些具体问题予以了明确。

《解释》细化了非法获取、出售个人信息的入罪标准，对中介等“内鬼”，将从严处置。

西安交大信息中心副主任王玥介绍，《解释》对个人信息进行分类，并针对侵犯不同类型信息的行为，设置了不同的入罪标准。

《解释》公布后，有解读称“非法获取出售公民个人信息超50条将入罪”，这种表述并不准确，因为并非所有信息非法获取超50条都会定罪。《解释》第五条对此类信息的定义为：行踪轨迹信息、通信内容、征信信息和财产信息。

对于其他信息的非法获取、出售或者提供，入罪标准要相对宽松--比如住宿信息、通信记录、健康生理信息、交易信息等，入罪标准是“五百条以上”。

《解释》还规定了其他“入罪”的情形，比如，出售或者提供行踪轨迹信息，被他人用于犯罪的；违法所得五千元以上的。

京衡（上海）律师事务所高级合伙人邓学平律师介绍，公民个人信息泄露案件不少系内部人员作案。《解释》规定：“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”的，认定“情节严重”的数量、数额标准减半计算。“一般人提供50条高度敏感信息入罪，对于‘内鬼’来说，25条就够了。”

一年损失915亿，个人如何防范信息泄露？

个人信息泄露往往给公民的人身和财产安全带来威胁。中国互联网协会发布的《中国网民权益保护调查报告2016》显实，2015年下半年至2016年上半年的一年间，我国网民因个人信息泄露、诈骗信息等遭受的经济损失高达915亿元。

今年6月1日一些新法新规实施后，公民个人对于信息安全是否可以高枕无忧了？

“如果网络用户缺乏安全意识，再好的防范体系也可能形同虚设，再严厉的法律追究也可能于事无补。”研究信息安全的党家玉博士认为，虽然新法新规加强了对个人信息的保护，但用户个人的安全防范依然重要。网络用户的简单措施，例如只接受授权软件运行、及时修复操作系统漏洞补丁等，可以成功阻止大部分的定向攻击。因此用户使用网络时，要注意设置高安全强度的密码，安装安全防护软件，对重要数据进行备份。

梁志伟研究员则指出，网络用户个人应该知晓网络安全的内涵外延以及容易被侵犯的区域。“网络空间深不可测，很多是我们感知不到的‘暗网’。”梁志伟提醒，“不要被好奇所控制，不下载安装来路不明的应用软件；也不要被蝇头小利所迷惑，防止占小便宜吃大亏。”