2012年12月28日,第十一届全国人民代表大会常务委员会第三十次会议通过了《关于加强网络信息保护的决定》(以下简称《决定》)。《决定》从法律层面明确了个人信息保护的概念范畴、规范主体、责任主体、实名注册、公民权利、行政主体、侵权责任等问题。
问题1:
信息保护主体责任有哪些?
《决定》明确规定,任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。同时规定,网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,未经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。
需要说明的是,在这里规定征得收集者同意方可收集、使用个人信息与网络服务提供者为用户提供入网手续需要审核用户真实身份是两种不同性质的行为,后者是用户的一种法定义务,如不提供真实身份,网络服务提供者可以拒绝向其提供相关服务。
一是严禁擅自利用用户信息的义务。网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。实践中,其他企事业单位侵犯公民个人信息的问题越来越突出,如:学校校讯通业务的合作伙伴泄露、滥用学生家长信息给社会培训机构,房地产商泄露买房者信息给房屋装修公司、房屋中介公司,医院泄露产妇信息给经营母婴用品的公司,等等。
二是采取保密措施的义务。网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。
三是管理其用户发布信息的义务。网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。这里发布的信息是用户利用公共空间发布的信息,网络公共空间的服务提供者管理其用户发布的信息并不涉及公民个人私密性质的内容,有关主管部门依法检查监督公共空间的信息不存在法律上的障碍。
四是配合权利人采取措施的义务。《决定》规定:“公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。”对于公民的维权要求,网络服务提供者应按照法律法规等规定采取相关措施,协助其维护合法权益。泄露他人身份、散布他人隐私等行为与利用网络手段反腐是两种不同性质的行为。公民在宪法和法律允许范围内,利用网络监督,如:反映“表哥”、“房叔”问题等,不属于泄露他人身份、散布他人隐私等侵害合法权益情形,其不损害国家的、社会的、集体的和其他公民的合法权益。不仅如此,还应建立相应制度,防止被网络曝光的“表哥”等人利用职权或其他方式打击报复拒不删除举报信息的网络服务提供者和举报者。
五是公开收集使用规则的义务。《决定》规定,网络服务提供者、其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用个人电子信息的规则。有学者认为,这一规则应包括要收集客户的何种信息、收集这些信息的用途是什么、采用什么方式进行收集、信息保存的时间、采取何种措施对这些信息的安全进行保护等等。笔者完全赞同这一观点,公开这一规则,有利于保护公民的知情权,从而使其能够在知情的情况下作出判断,决定是否提交这些个人信息。
问题2:
网络服务实名制如何实施?
《决定》规定,网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。这条可以从两个方面来理解,第一,网络服务提供者要求用户提供真实身份信息,既是网络服务提供者的权利也是义务。第二,用户有提供真实身份信息的义务。对于用户不按照要求提供真实身份信息的,网络服务提供者有权拒绝向其提供相关服务。
之前,网络服务提供者也可以从民事角度,按照《合同法》要求用户提供真实身份信息,毕竟网络服务不是即清即结的服务,合同双方都有权核实对方的身份信息。但由于对此有不同的认识,产生了不少争议,媒体、学者积极参与,但最终在电信业务实名注册是否存在“法律障碍”问题上没有取得共识。《决定》在国家法律层面明确了网络服务实名注册制度,解决了这一热点问题。
当然,网络服务实名注册是针对具有网络服务合同关系的当事双方而言,第三人(包括行政机关)无权查询,国家另有规定除外。大家还需注意到,《决定》并没有对用户发布信息使用何种称谓作出限制,网络服务提供者实行后台身份管理,用户在发布信息时仍可自由选择使用其他名称。这种“后台须实名 前台可昵称”的方式在很大程度上可以消除用户的顾虑。
网络服务实名注册起码可以起到两个作用:从用户角度讲,可以通过法定渠道查找侵权人,维护自身权益;从公众角度讲,可以威慑违法犯罪分子,减少侵害公民合法权益的网络信息以及侵扰公民安宁的商业性电子信息案件的发生。同时,也可以在一定程度上遏制误导公众的类似“网络水军”、“网络打手”行为。
问题3:
公民个人权利包括什么?
首先是要求网络服务提供者履行义务的权利。《决定》规定,公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,有权要求网络服务提供者删除有关信息。这条规定落实到实处,还需公众的积极实践。如:公民发现侵害其合法权益的网络信息,如何确定、联系网络服务提供者,网络服务提供者如何处理才能既维护申请人的合法权益又不损害他人的合法权益,等等。因此,建立简便、可行的程序是很有必要的。
其次是安宁权和选择权。安宁权是指公民受到商业性电子信息侵扰的,有权要求网络服务提供者采取必要措施予以制止。选择权是指未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,任何组织和个人不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。这条规定明确将接受广告与否的权利赋予了电子信息接受者即用户。早在2006年,原信息产业部出台的《互联网电子邮件服务管理办法》就针对电子邮件广告行为制定了规则,不仅明确了电子邮件服务提供者应承担的责任,而且规定任何组织或者个人未经互联网电子邮件接收者明确同意,不得向其发送包含商业广告内容的互联网电子邮件。第十四条还规定,互联网电子邮件接收者明确同意接收包含商业广告内容的互联网电子邮件后,拒绝继续接收的,互联网电子邮件发送者应当停止发送。双方另有约定的除外。
最后还有举报、控告权。任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为,有权向有关主管部门举报、控告;接到举报、控告的部门应当依法及时处理。同时,被侵权人也可以依法提起诉讼。
问题4:
侵权行为怎样追责?
《决定 》规定,有关主管部门(如:互联网信息办公室、互联网行业主管部门以及公安机关等有关部门)应当在各自职权范围内依法履行职责,采取技术措施和其他必要措施,防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。有关主管部门依法履行职责时,网络服务提供者应当予以配合,提供技术支持。国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
侵权人承担的法律责任包括民事责任、行政责任和刑事责任三种。其中,行政责任有警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等行政处罚,记入社会信用档案并予以公布。构成违反治安管理行为的,依法给予治安管理处罚。需要指出的是,《决定》确立的是原则,侵权人具体承担何种法律责任,还要依据有关法律法规、规章的规定来确定。 
