【中文摘要】计算机信息网络技术的发展使得网络空间的个人隐私权受到前所未有的严峻挑战,这种状况已经严重阻碍了电子商务和网络经济的进一步发展。我国现行法律未把隐私权作为一项独立的民事权利加以规定,由于立法依据的缺失,导致网络用户的网络隐私权遭受侵犯时无法律上的救济,这迫切要求我们根据本国国情,在借鉴发达国家网络隐私权法律保护模式的基础上,构建起我国网络隐私权的法律保护体系。
【中文关键字】隐私权;立法保护;行业自律
【全文】
对于隐私权,世界上很少有国家用立法的方式对其概念进行明确的界定。尽管目前国内对隐私权的定义存在着较大的分歧,但一般都认为隐私权的内容包括保护公民的私人信息,即保护公民不愿公开或者告人的个人事情,也就是保护公民的私生活秘密不被公开。在此基础上,有人认为隐私权的内容还应该包括个人的私生活安宁,即保护私人生活不受侵扰;有人则认为还应该包括个人的私生活不受非法干涉,也就是在前述信息权和安宁权的基础上再加上个人私事决定权{1}。所以,笔者认为,隐私权是自然人享有的私人生活、私人事务不受侵扰、不被公开的权利及对私人资料拥有的支配与控制权利。而随着电子商务和网络经济的发展,网络空间的个人隐私权受到前所未有的冲击,这迫切要求我们根据本国国情,在借鉴发达国家网络隐私权法律保护模式的基础上,构建起我国网络隐私权的法律保护体系。
一、网络隐私权
网络隐私权并非一种完全新型的隐私权,是传统隐私权在网络空间环境下的延伸和体现。这一概念是随着互联网这种新型的信息和资料传递手段的出现而产生的,虽然网络隐私权有自己的特点,但它与传统隐私权仍有重叠的部分。网络隐私权主要是指“公民在网络中享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵犯、知悉、搜集、复制、公开和利用的一种人格权;也指禁止在网上泄漏某些与个人有关的敏感信息,包括事实、图像、以及毁损的意见等”{2}。个人数据信息、私人生活安宁、私人活动与私人领域是网络隐私权包含的重要内容,其中尤以个人数据最为重要。当然,对隐私权客体的界定众说纷纭,各派学说皆以对个人信息的控制为基础,但在个人信息的范围大小、侧重点的不同等方面而存有分歧。本文赞成王利明、杨立新两位教授的观点,认为隐私权涵盖个人信息的所有方面{3}。此种观点在网络时代尤为重要,究其实,信息时代个人信息与自然人的存在是紧密不可分离的,甚至在网络空间中,信息即是自然人的存在形式。自然人在网络中的表现形式就是姓名、性别、出身年月、履历等信息。自然人即是信息,相关的信息即可表征该自然人。(民法是通过设定隐私权对此予以保护,而不是所有权,因为自然人不能成为所有权客体。
二、网络隐私权的保护模式
(一)立法模式
这种模式为欧盟、澳大利亚、香港地区、新西兰和加拿大等国家和地区所采用。它是指制定关于资料隐私保护的综合的一般性的规范文件,通过建立一个公共机构来强制实施综合的网络隐私保护。欧洲第一个颁行数据资料保护法的国家是瑞典。另外,欧盟在这方面的作法最具有代表性。1995年欧盟就制定了《欧盟数据保护指令》。1998年10月,欧盟制定的《网络私人资料保护办法》开始生效,它十分严格地限定在传递和使用个人数据资料时必须遵守的规则。欧盟主张立法规制模式,注重对个人隐私权益的充分保护和尊重,在这种模式下,通常是通过法律的具体规定对网络服务提供商在网上的各种各样的搜集用户数据和隐私的行为提出一定的限制,使网络服务提供商在因特网上搜集用户隐私材料的行为更规范,相对于用户来讲更透明,使网上用户的个人隐私权更容易得到保护。然而这一模式也有其不可避免的负面影响,从法律上来讲,这样做的最直接的后果是增强了网络服务提供商的法定义务。从经济上或从网络产业本身来讲,这样做无疑增强了以网络服务提供商为代表的整个信息产业的成本,甚至会损害信息产业的利益并阻碍网络电子商务的发展。
另外,某些国家,为避免制定普遍的资料隐私保护的法律规则,倾向于特定领域中的法律规制,如美国的《有线电视通讯保护法案》,《录象隐私权保护法案》,《电话消费者保护法案》,《电子通讯隐私权法案》此外还有VCD租借记录、金融隐私和医疗记录隐私等的法案都是针对特定领域进行的特别立法。
(二)行业自律的模式
美国为了鼓励和促进网络产业的发展,一直对网络服务提供商和其他与这一产业有关的各方实行比较宽松的政策,不主张通过严格的立法,为网络服务提供商施加过多的压力和义务,因为担心这样做会对整个互联网和与之有关的产业造成巨大的损失,从而对互联网和与互联网有关的产业带来负面作用。美国倾向于通过网络行业自律的模式来实现对网上非法搜集个人隐私资料的控制。该模式最具特色也最普遍的形式是网络隐私的认证计划,这个计划就要求那些被允许在网站上张贴其隐私认证标志的网站必须遵守在线资料收集的行为规则,而且还要服从很多形式的监督管理{4}。这样就使消费者可以识别那些遵守了信息收集行为规则的网站,同时也有利于网络服务商表明自己遵守规则的情况。如著名的truste组织,各个网站均可加入这一计划,并遵守其所要求的网络隐私保护的基本原则,换得的是在自己的网站上粘贴truste认证标志,从而向用户表明自己是对用户网络隐私负责的网站。该计划的目的是唤起网络服务提供商和用户对隐私的注意,并且鼓励网站张贴隐私政策声明。但这种模式缺乏保证规定实施的机制并仅仅对那些加入了该计划的公司有效,对大量的没有加入这一计划的公司来讲,它起不到任何的约束和规范作用。
(三)技术保护模式
这是指依靠一定的技术支持,由网络用户自己选择、自我控制为主的模式,该模式强调通过加强用户的权利保护意识和结合使用相关软件如“个人使用隐私选择平台(P3P,全称personal privacy pref-erence platform)”,其是由微软设计的一种软件,用户可先行设定自己的隐私权政策,以便与服务商就网上信息的收集达成电子协议以达到保护网络隐私权的目的。该模式将保护网络隐私的希望寄托于用户自己手中,进入某个搜集个人信息的网站之时,该软件会提醒用户什么样的个人信息正在被搜集,由用户决定是否继续浏览该网站,或者在软件中预先设定只允许搜集特定的信息,除此之外的信息不许搜集等等。但由于这类系统或程序本身的安全性和可信度值得怀疑,因此这些技术软件并不能完全取代网络隐私保护的法律框架,而仅具有辅助保护的作用。
上述保护模式各有利弊,各个国家也都认识到了这一点,因此并没有哪个国家实行的是单纯的一种保护方式,大多数国家都兼而采之,只是侧重点不同而已,这一点值得我国借鉴。
三、我国网络环境下隐私权保护的现状及制度设想
(一)我国网络环境下隐私权保护的现状
与国外相比,我国的隐私权法律保护制度起步较晚,直至上个世纪70年代末80年代初,随着我国政治、经济和法律生活逐步走上正轨,隐私权以及与之相关的一系列权利才开始规定于我国的宪法和其它法律中,目前我国法律仍没有将隐私权作为公民一项独立的人格权利加以保护,而只是简单地规定了与公民的隐私权有关的权利(如肖像权、名誉权等)。对公民隐私的立法规定散见于宪法、民法、刑法、民事诉讼法、刑事诉讼法和最高人民法院就此所作的司法解释中。最高人民法院在《关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见》中,第140条规定:“以书面、口头等形式宣扬他人隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉、造成一定影响的,应当认定为侵害名誉权,追究民事责任”。这是一个对隐私权保护的重要的司法解释。
此外,最高人民法院《关于审理名誉权案件若干问题的解释》亦明确指出:“对未得他人同意擅自公布他人隐私材料,或者以书面、口头形式宣扬他人隐私,致他人名誉受到损害的,按照侵害他人名誉权处理”。2001年,最高人民法院在颁布的《关于确立民事侵权精神损害赔偿责任若干问题的解释》中,隐含了关于隐私权保护的内容,但仍未从法律上明确隐私权作为一项独立的民事权利地位。
从实践中看,我国通常把隐私权纳入名誉权的范畴予以保护,对隐私权采用间接保护方法,所以当公民的隐私权受到侵犯时,受害人不能以侵犯隐私权作为独立的诉因诉诸法院请求法律保护与救济,而只能以其它诉因提起诉讼,这种将隐私权归人名誉权加以间接保护的方式在诉讼上极为不便,也不利于受害人隐私的保护。名誉权所关注的是与民事主体名誉有关的事实表述是否真实及评价是否适当,而隐私权所关注的则是民事主体的私人生活安宁及私人信息秘密不被侵犯。同时,侵犯隐私权行为的构成要件与侵犯名誉权行为的构成要件也不尽相同,若对侵犯隐私权行为的构成以是否给名誉权造成侵害为前提,则会出现很大一部分侵犯了他人隐私权但并未对他人名誉权造成侵害的行为难以受到应有的处罚,这就从本原上降低了民法保护隐私权的效力。
隐私权保护的立法依据缺失,在网络立法上的规定也较为笼统,这就直接导致目前我国对网络隐私权法律保护基本上处于一种无法可依的状态。《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》第18条规定:“不得在网络上散布恶意信息、冒用他人信息,侵犯他人隐私……”,《计算机信息网络国际联网安全保护管理办法》第7条规定:“用户的通信自由和通信秘密受法律保护,任何单位和个人不得违反法律规定,利用国际互联网侵犯用户的通信自由和通信秘密”。上述有关规定为保护网络隐私权奠定了一定的法律基础,但缺乏明确具体的规定,不便于具体的操作,也未专门涉及网络隐私权的问题。所以对我国的网络用户而言,在法律上既没有新的网络隐私权保护的规定可供适用,也不能求助于传统隐私权的保护手段来保护个人的网络隐私权,一旦出现网络服务提供商或其它的主体通过网络非法搜集网上个人用户的隐私资料,并用作对当事人不利的方面,网络用户就容易陷入孤立无援的境地,如听任这种现状持续并任其发展,在网络用户的切身利益遭受直接损害的同时,反过来又会对我国的整个因特网和与之相关的产业带来非常严重的后果,造成难以估量的损害。因此,构建我国公民的网络隐私权的法律保护就显得十分必要。
(二)我国网络隐私权保护的制度设想
在借鉴国外先进经验的基础上,结合我国国情,我国对网络隐私权的保护应采取立法为主,技术和自律为辅的模式。一味地强调采用高标准的法律规范虽可达到保护个人隐私权的目的,但过渡保护的结果则是网络经济的发展受到不应有的阻碍,从而导致网络商发展电子商务的积极性降低,使我们在电子商务领域中处于不利地位;若采用纯粹的业界自律,立法必定过于宽松,使频繁发生的网络隐私权侵权事件得不到及时、充分的救济,使消费者对电子商务丧失信心,同样会阻碍电子商务的发展。信息时代隐私权的双重性,决定了保护隐私权的原则是既要保证公民的基本人权不受侵犯,又不能使保护隐私成为信息自由流通的障碍。“保护隐私”和“保障信息流通”之间,不仅有矛盾,更有互相促进的一面。法律惟有平衡地协调两者利益,才能最大限度地实现“双赢”{5}。具体来说应做好以下几点:
1.立法规制
针对有的学者倾向于在不同的法规中对网络个人隐私权进行保护的分散立法体系{6},我们认为,对于连专门的隐私法都没有制定的我国而言,保护网络用户个人资料的任务尤为艰巨,网络个人数据和隐私保护的立法所涉问题更为广泛,阻力也更大。若再将网络隐私权的保护依赖于不同的部门立法,不仅会造成体系的混乱和不完善,也会使网络隐私权立法成为一项旷日持久的工作,因此,不宜施行。
目前网络隐私权在我国已经逐渐的引起了人们的关注,但就总体而言还缺乏系统的法律支撑和保护。立法的缺失必然会带来司法的空白,这对于保护网络用户的隐私权大大的不利,立法规制也无从谈起。为完善我国网络隐私权的立法保护机制可以从以下三方面入手:
(1)从法律上明确网络隐私权的地位
权利客体的信息化从根本上改变着整个权利体系。网络信息的源头和流向很难掌握,复制和修改信息非常容易,而且不留痕迹,因此有人说网络是侵权的温床,各种发生在网络空间的侵害人格权的行为在一定程度呈蔓延之势{7}。网络作为一个自由、开放无国界的系统,可以说是一个覆盖全球的市民社会。因此,必须以民法为基础,在确认隐私权为公民的一项独立的人格权的基础上,实现对隐私权的直接保护。即可以在《宪法》中明确的把个人隐私权规定为一项基本的、独立的人身权,其次在《民法通则》或将来的民法典中将隐私权规定为一项独立的人格权,并兼顾现实社会与网络虚拟社会的要求对隐私权的内容作出原则性的规定。备受国人关注的新中国第一部民法典草案中一个亮点就是增加规定了隐私权并且单独列为一章,该草案的第七章第25条规定:自然人享有隐私权。隐私的范围包括私人信息、私人活动和私人空间。禁止以窥视、窃听、刺探、披露等方式侵害他人的隐私。明确规定隐私权为一项独立的人格权,有利于完善对公民人身权利的保护,也有利于加强对网络隐私权的保护。
(2)制定专门的网络隐私权保护法
因为民法通则或将来的民法典不可能对网络隐私权的保护作出详细的规定,因此就要逐步制定一部专门的保护网络隐私权的法律即网络隐私权法。我国网络隐私权的立法应包括如下内容:
第一,明确网络隐私权保护的基本原则。具体来讲,这些原则应包括:a.自己控制、利用原则。应该赋予网络用户对自己的隐私的控制支配权,是否披露、如何披露应由网络用户自己决定,他人无权干涉。用户可以根据自己的意愿随时修改、删除其数据信息内容,搜集使用用户的个人信息应事先告知;b.合理使用规则。在赋予用户对个人信息拥有控制支配权的前提下应规定,在某些例外情形下,网络运营商基于网络经营管理的需要,可以合理利用网络用户的个人数据资料信息,但这种利用应是有限利用,未经用户许可,不能随意将这个数据信息转让给第三方,并禁止非法传输;c.公共利益限制原则。政府在某些特定情形下,为了社会公共利益,可以按照法律规定的条件和程序使用网络用户个人数据资料。如法院基于审理案件的需要,可以对个人有关数据资料信息进行合理使用。
第二,网络隐私权的保护对象和内容。网络隐私的保护对象是指在网上传输的个人资料,所有网上传输的个人信息都应受到保护。就目前来看,网络隐私权的保护至少应包括以下内容:①个人登陆的身份、健康状况等个人资料;②个人信用和财产状况,包括信用卡、上网卡、交易账号和密码等;③E-mail地址;4)用户网络活动踪迹。如IP地址、活动内容与浏览踪迹等。同时由于网络技术的不断进步,网络隐私权的内容在扩大,侵权行为的类型也在增多。所以规定的范围与内容亦应采取灵活的方式,即在相关法律条款中单列“其它导致侵害隐私权的行为”。
第三,权利主体和义务主体。权利主体是指网上个人数据信息资料的拥有者,其对网上个人资料信息应享有如下几项权利:知悉权、选择权、控制权和安全请求权。义务主体是指任何潜在的可能对个人网上隐私权构成侵犯的一切主体,应包括:政府、企业、事业单位、社会团体组织、个人等。
第四,侵犯网络隐私权行为的认定。侵犯他人网络隐私权是指,未经他人许可,擅自通过网站上自己和他人的主页,将特定的他人隐私公之于众,或擅自通过第三人、第四人、众多他人发送E-mail的方式张扬特定的他人隐私,情节恶劣、后果严重的行为。侵犯网络隐私权行为的构成要件应包括:a.没有法律依据的使用,主要包括未经法律授权、用户授权和超越授权范围;b.所用的资料信息属于个人客观真实的信息。如果是编造或虚构的虚假信息,则可能侵犯名誉权或其它人身权利;c.主观上有过错。包括故意和过失。合法掌握或知悉了他人的网络隐私,就有责任和义务予以保密,若由于自己的疏忽或轻信可以避免而未采取有效的保护措施而导致泄漏了个人隐私的,则构成侵权;d.造成损害后果,包括物质利益和精神利益的损害;e.侵权行为与损害后果存在因果关系。
(3)制定相关特别法
网络隐私权为网络法中的基础性权利,对其保护涉及到网络的各个方面,故需相关特别法性质的法律、规章,如对网上儿童等特别人群的保护性法规、对cookies等可能危及隐私权的技术手段运用进行规制的法规等从而构成一个“较为严密的,自上而下”的网络隐私权法律保护体系{8}。
2.行业自律
我国互联网目前最重要的一个自律性组织是中国互联网协会。中国互联网协会成立于2001年5月25日,由国内从事互联网行业的网络运营商、服务提供商、设备制造商、系统集成商以及科研教育机构等七十多家互联网从业者共同发起成立,并正式发布了《中国互联网协会章程》。协会于2002年3月26日正式发布了《中国互联网行业自律公约》,规定了加入该公约的互联网行业从业者的种种自律义务。中国互联网协会作为一个自律性的行业组织,已经着力于营造良好的网络环境,保护网络用户的隐私权以及其它合法权益。业界采取的这些举措加深了人们对网络隐私权保护的意识,推进了保护进程,起到了一定的积极作用。但业界自律模式中的问题仍然不少,采取的措施也有许多不完善之处。例如加入会员有限、影响力不大,制裁措施单一,很难起到惩戒作用等。业界采取的隐私保护政策缺乏规范性,没有统一的规范标准来依照遵循,网络隐私保护政策大多只做出诸如“本网站不会怎样、怎样……的条款公告”并没有对一旦违背承诺如何承担责任做出相应规定,有许多网站的隐私保护政策还同时附有许多免责条款,非常不利于个人网络隐私权的保护。美国在这方面的做法已比较成熟,足资借鉴。美国业界的做法可归纳为一个流程:行业指引v网上隐私权认证计划→技术保护,先由权威性行业组织制订行为指引,由中介性组织依此行业指引对自愿加入的网站进行认证(实际是对网站执行隐私权政策的检查监督评价),各网站及网民采取技术手段保护个人隐私。我国于这几个环节基本都为空白,亟需业界联合制定出行业指引,并培育相应的中介机构对各网站隐私权政策的执行情况进行认证。
另外在保护互联网隐私权方面,因为技术发展的一日千里,法律规定于制定之日就已滞后,故网民应增强自我保护意识,并积极使用有效的技术手段以保护个人隐私免遭他人侵犯。
【作者简介】
徐素芹(1972-),女,天津蓟县人,天津市政法管理干部学院讲师,法律硕士,主要从事国际私法和国际公法学研究。
【参考文献】
{1}孙铁成.计算机与法律[M].北京:法律出版社,2004.102.
{2}蒋志培.网络电子商务法[M].北京:法律出版社,2005.455.
{3}王利明,杨立新人格权与新闻侵权[M].北京:中国方正出版社,1995.401-406.
{4}张秀兰.国外网络隐私权保护的基本模式分析[J].图书馆学研究,2005,(5).
{5}略论信息时代的隐私保护[EB/OL]., 2009-10-05.
{6}蒋志培.网络与电子商务法[M].北京:法律出版社,2001.471.
{7}齐爱民,刘颖.网络法研究[M].北京:法律出版社,2003.105.
{8}陈燕锋网络隐私权的侵权及其保护[J].广东行政学院学报,2004. (4).
稿件来源:《天津市政法管理干部学院学报》2009年第4期
原发布时间:2015年7月27日
网址:http://article.chinalawinfo.com/ArticleFullText.aspx?ArticleId=91490&lis...
