《中华人民共和国网络安全法》于2016年11月7日通过,并于2017年6月1日起施行;《中华人民共和国数据安全法》于2021年6月10日通过,并于2021年9月1日起施行;《中华人民共和国个人信息保护法》于2021年8月20日通过,并于2021年11月1日起施行。三部法律相辅相成,形成对个人信息保护的体系。
一、网络安全法的保护条款
网络安全法的立法目的是保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化发展。网络必然离不开公民个人的参与,网络在经营过程中,也必然会涉及到公民个人信息。因此,网络安全法对网络信息安全进行了规定:实名制既为网络管理提供了便利,也为收集公民个人信息提供了便利,因此,更需要对获取个人信息的行为进行规范。
二、数据安全法
数据安全法的立法目的在于规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。数据安全法从宏观层面对数据安全进行了规定,包括数据安全与发展、数据安全制度,也在微观层面对数据处理参与者的义务进行了规定。本法所称的数据,是指任何以电子或者其他方式对信息的记录。因此,公民个人信息必然属于本法所称的数据,对公开个人信息的数据处理活动,必然受到本法的规制;保障数据安全,也必然要保障公民个人信息安全。
三、个人信息保护法
个人信息保护法的立法目的是保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。个人信息保护法主要从微观角度对个人信息保护进行了规定,包括个人信息的处理规则、个人在个人信息处理活动中的权利、个人信息处理者的义务,以及国家机关处理个人信息的特别规定。个人信息保护法对个人信息的规定涵盖了方方面面,从对个人信息的收集、到对个人信息的处理和使用、再到对个人信息的处置,均进行了明确的规定。因此,个人信息保护法可以看作数据安全法下更具体的部门法。
四、三大法律的关系
网络安全法、数据安全法、个人信息保护法三大法律在立法时间上有先后,但在涉及同一法律实体的规定上则是相互照应的,如网络安全法第四十条与数据安全法第二十七条、个人信息保护法第五十八条第(一)款的规定相照应,网络安全法第四十四条与数据安全法第三十二条、个人信息保护法第十条相照应。以上规定,避免在处理同一法律问题时因法条之间存在冲突而无法适用。
网络安全法所规定的网络运营者,既是数据安全法规定的数据处理者,也是个人信息保护法规定的个人信息处理者,除需遵守网络安全法的规定之外,也必须遵守数据安全法和个人信息保护法的规定。数据安全法的数据处理者在处理个人信息时,也是个人信息保护法上的个人信息处理者,除需遵守数据安全法的相关规定,还必须遵守个人信息保护法的规定;在涉及网络运营时,也必须遵守网络安全法的相关规定。
网络安全法、数据安全法和个人信息保护法均涉及到个人信息保护,三部法律形成了一张强大的保护网,保护着公民个人信息的安全,也保护着国家数据的安全,成为建立社会主义数字化强国的坚强后盾。