全国人大常委会正在审议关于加强网络信息保护的决定草案,从民法的角度看,笔者认为该决定草案主要以对个人电子信息安全的保护作为强化网络安全的基本出发点,这不仅把握住了维护网络安全的关键,而且有助于解决现实中的突出问题。这个决定草案有许多亮点,主要表现在以下几个方面。
第一,草案明确了一个重要原则,即国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。确立这个原则,具有如下意义:一是保护个人隐私和生活安宁,保障公民和法人的合法权益。个人电子信息权是个人的基本人权,关系到个人的人格尊严和人身自由。保护个人的电子信息的知情权、个人的电子信息不受非法泄露、篡改、毁损等权利,都是个人人格权的重要内容。二是保护网络信息安全,维护国家安全和公共利益。网络信息中有许多涉及公共安全的内容,例如在网络中大量散布的谣言。如果允许这些有害信息在网络上随意传播,会对社会安定和公共利益造成很大的损害。三是规范网络活动,维护互联网的健康发展。
第二,草案规定了收集个人电子信息的目的必须正当合法。个人信息的收集必须与收集者本身职能有关,对个人电子信息的使用也必须合法。网络服务提供者和其他企事业单位,在业务活动中需要收集、使用用户或者客户的电子信息,应当向被收集者公布其收集和使用的规则。在这些规则中,应包括要收集客户的何种信息、收集这些信息的用途是什么、采用什么方式进行收集、信息保存的时间、采取何种措施对这些信息的安全进行保护、如何保护儿童的隐私信息,等等。通过公开这些规则,有利于保护客户的知情权,从而使其能够在知情的情况下作出判断,决定是否提交这些个人信息。
第三,草案规定了信息收集者的严格保密义务。所谓严格保密,首先是指应采取必要措施以防范电子信息的泄露。负有保密义务的主体包括了网络服务提供者、其他企事业单位及其工作人员,有关主管部门及其工作人员。保密义务的来源具有多样性,既来源于法律规定,也可以来源于当事人之间的合同约定。保密义务原则上是一项法定义务,即使当事人未作约定,信息收集者也应当承担保密义务。在电子信息被泄露等情形下,无论网络服务提供者等主体主观上是出于故意或过失,只要发生电子信息泄露的这一结果,就应承担相应的责任。规定严格保密的原因在于,电子信息与一般载体信息的存在介质不同,电子信息更容易被传播和扩散。这就要求网络服务提供者或其他企事业单位对于所收集的信息负担保密义务,其程度高于对于一般载体信息所应当负担的保密义务。
第四,草案规定了网络服务提供者和其他企事业单位的维护信息安全的义务。这就是说,网络服务提供者和其他企事业单位有义务采取相应的技术手段和其他必要措施,保护用户和客户的电子信息安全,防止这些信息丢失、泄露或毁损。信息收集者有义务为个人信息的存放提供一个合适的安全环境,在这个安全环境中个人信息不能被他人所轻易窃取,也不会因为环境的不适当而造成毁损和丢失。为维护个人电子信息的安全,还要建立一套个人信息保护制度,明确责任人和内部管理流程,以及采取有效措施防范个人信息泄露的风险,发生泄露时采取措施及时应对。信息收集者在达到目的后,应该将相关个人信息及时删除,以防止发生不必要的危险。
第五,草案还赋予了公民监督、举报和控告的权利。比如,对利用网络从事诈骗或倒卖公民个人电子信息的,公民有权向有关部门控告、举报,这样有利于形成全社会共同监督、共同遏制违法行为的社会氛围。
第六,对于治理垃圾短信和垃圾邮件,草案也作了规定。要治理垃圾短信和垃圾邮件,一是要对电信运营商、网络服务提供者进行必要的规范,采取必要的措施防止垃圾短信。二是对发布垃圾短信和垃圾邮件的行为,依据情节轻重追究其侵权责任。对此种行为,公民有权请求停止侵害,对于侵害公民权利造成损害后果的,公民有权要求相关侵权行为人承担侵权责任。
总之,决定草案在维护网络信息安全方面,以维护个人电子信息安全作为立法的基本思路,并贯穿于草案的始终。因为个人电子信息体现了个人的基本人格利益,这一立法模式跳出了单纯注重行政管理模式的窠臼,创建了一种保护、引导、管理的新型模式,通过赋予公民保护自身利益的途径方式,鼓励公民自下而上地形成一种网络信息流动的良好环境。这就意味着,在个人信息的立法导向上,只有“保护好才能管理好”!
(作者为中国民法学研究会会长、中国人民大学副校长)