摘要: 计算机信息网络技术的空前发展以及政府和民间机构广泛运用计算机收集个人资料, 使网络隐私权受到极大挑战。网络技术为侵害个人资料提供了技术可能, 使侵权频率更高, 后果更为严重。个人资料的保护已经成为互联网发展中至关重要的问题, 加强网络空间的个人数据和隐私权的法律保护, 已刻不容缓。本文试图通过对网上个人资料的法律属性分析, 来寻找适合我国国情的网上个人资料的法律保护模式, 以加强对个人隐私的保护。
关键词: 个人资料; 隐私权
自从1890年, 美国学者布兰戴斯和沃伦在《哈佛法学评论》上发表了著名的 《隐私权》一文, 文中指出法律应该保护个人保留其个人思想、情感、情绪以及私生活不对公众公开的权利。 该思想在世界范围内被广泛采用, 成为一项重要的具体人格权利。 计算机的广泛应用使社会进入信息时代, 这个时代的显著特征之一就是高度依赖各种个人信息, 这从某种意义上改变了隐私权概念本身。 而网络技术的迅猛发展, 使数据( 信息) 的复制和传播变得非常简单、迅速和惊人, 个人数据信息被多方主体, 甚至包括政府非法收集、存储、使用和传播的现象层出不穷, 强化对网络空间个人资料和隐私权的法律保护, 保证社会安定、私生活安定, 已成为我国网络立法的当务之急。
一、个人资料及其法律属性
个人资料是个人资料保护立法的基础概念, 各国有着不同界定。1990年德国《个人资料保护法》第3条第1项规定: “个人资料是指可以直接或间接识别自然人的任何资料。” 该条明确将个人资料保护的主体限定于自然人范围, 排除了法人和其他组织。 而爱尔兰的《信息自由法》对于“个人资料”的定义采取列举式定义方式, 详细列举了个人资料的范围和类型, 两种方式各有所长。 我国学者多倾向概括式和列举式相结合的方式, 认为个人资料是指与特定个人相关联的反映个体特征的具有可识别性的符号系统。[1]
尽管各国相关法规和学者对个人资料的界定有所不同, 但这些定义都概括出其基本特征: 个人性、隐私性和可识别性。 其个人性, 大部分国家严格地限制了个人资料的主体是自然人, 不包括法人、机构、组织等。 其隐私性, 强调个人资料是私密的或敏感的, 这些资料关系到人格尊严和隐私问题。 其可识别性, 要求资料与资料本人存在某一客观确定的可能性, 简单说就是通过这些资料能够把当事人直接或间接“认出来”。
个人资料涉及范围非常广泛, 通常包括自然人的姓名、性别、年龄、民族、婚姻、家庭、职业、住所、健康、病史等能够识别该自然人的任何资料, 还包括个人的家庭背景、社会背景等, 比如出生时间、教育程度、宗教信仰、婚恋史等等, 这些资料都是相关的私人信息, 而且通常情况下是不愿意公开这些信息的, 只要不涉及公共利益或他人利益, 就应当被认为是个人隐私。 因此, 对个人资料的法律保护很大程度上有赖于隐私权法律制度。
二、在网络环境中的个人资料
由于网络的迅猛发展和网络技术的迅速普及, 传统意义上的隐私权在网络环境下延伸出网络隐私权, 即公民在网络环境下借助互联网而享有的个人生活安宁和私人信息不受他人侵害的权利, 包括个人信息资料不被他人非法侵犯、知悉、搜集、复制、公开和利用, 也指禁止在网上泄露与个人有关的敏感信息, 包括事实、图像以及毁损的意见等。 其中网上个人资料更成为网络隐私权的重要保护客体, 保护难度也更高。 其难度主要表现在以下三个方面。
第一, 网上个人资料数字化, 这些数字化信息主要表现为以下形式: 1. 个人网上信息, 网络用户在申请上网开户、免费邮箱以及申请服务商提供其他购物、医疗、交友等服务事项, 服务商往往要求用户登录姓名、年龄、住址、身份证、单位等身份信息。2. 个人的信用和财产状况, 包括信用卡、电子消费卡、上网卡、上网账号和密码、交易账号和密码等均属于网络隐私。3. 个人电脑内部资料。4. 网络活动的踪迹, 个人在网上的活动踪迹, 如I P地址、浏览踪迹、活动内容, 均属个人隐私。 以上数字化信息易于储存、复制、传播, 而且传播速度之快和范围之广不是传统媒质可以比拟的。 这对网络隐私权的侵害很难预先防范, 一些预防性的救济手段, 如消除危险等, 很难发挥强大的作用。[ 2] 同时, 由于其传播速度快、传播范围广, 事后的救济也显得力不从心, 对资料的合法享有人的损害会更大更深。
第二,网上个人资料权利内容复杂化。 作为隐私的一部分, 个人资料的权利人理应享有传统隐私权利, 但是由于互联网具有开放性 、交互性、资源共享性等特点, 一定程度上削弱了权利主体对个人的控制能力, 除了具有传统隐私权利外, 还应享有:1.知情权。用户有权知道网站收集了关于自己的哪些信息, 这些信息将用于什么目的,以及该信息会与何人分享。2.选择权。消费者对个人资料的使用用途拥有选择权。3.合理的访问权限。 消费者能够通过合理的途径访问个人资料并修改错误的信息或删改数据, 以保证个人信息资料的准确与完整。4.足够的安全性。网络公司应该保证用户信息的安全性, 阻止未被授权的非法访问。用户有权请求网站采取必要而合理的措施,保护用户的个人信息资料的安全。[3]
第三,侵权手段智能化, 主要的侵权手段表现为利用网络公开他人不愿公开的信息,非法跟踪他人网上行踪,窥探窃取他人资料等, 这种网络侵权更多地依靠智力和高科技实施,行为人具备相当程度的专业知识和熟练的操作技能, 否则难以达到收集他人数据或侵入他人系统的目的。由于依赖高科技手段, 侵权证据多存于数据、代码等无形信息中,很容易被删改, 甚至不留任何痕迹, 普通用户难发现。
三、各国对个人网上资料保护的法律考察
针对网上个人资料的保护, 各国政府及政府间组织都很重视。 由于各国对产业利益和个人隐私利益的权衡取舍的不同, 存在两种完全不同的政策倾向: 一为行业自律模式, 另一为立法规制模式。 前者的代表有美国, 由于注重维护网络信息产业发展, 明显倾向于主张行业自律模式; 而欧盟、德国注重对于个人隐私权益的充分保护和尊重, 自然主张立法规制模式。 在美国的影响下新加坡和澳大利亚也采取了这一模式。后者代表主要是德国和欧盟。由于美国和德国对网上个人资料的保护是比较完善的, 为了借鉴他们的立法成果, 我们认为有必要对以上两种模式进行介绍和比较。
(一) 行业自律模式
为了鼓励和促进网络产业的发展, 美国一直对网络服务提供商实行比较宽松的政策。 行业自律模式, 即依靠网络服务者的自我约束和行业协会的监督来实现, 制定法律和法规时力图寻找一个平衡点以协调保障用户隐私权与促进网络信息业发展和保证网络秩序安全稳定之间的关系。 美国不主张通过严格的立法, 为网络服务提供商施加过多的压力和义务, 因为美国担心这样做会使整个网络和与之有关的产业遭受巨大的损失, 从而对网络和与网络有关的产业带来一定的负面效果。 但这并不是完全放任自流, 而是与其政府有着密切的关系, 甚至严格说应该是政府引导下的行业自律模式。 这种模式是由下而上的模式, 通过行业内部制定行为规范的方式保护个人的信息隐私, 而不是由上而下的模式, 即由立法对个人隐私进行统一保护。[4]这种分散立法如1996年, 美国国会通过的 《信息自由法》。
(二) 立法规制模式
这是由国家和政府主导的模式, 其基本做法是由政府通过制定法律的方式, 从法律上确立网上个人资料保护的各项基本原则与各项具体的法律规定、制度, 并在此基础上建立相应的司法或者行政救济措施。 德国在这方面的做法最具有代表性。 德国没有如同美国隐私权的概念与之相对应, 其宪法层次的隐私权, 区分为数据保护与由一般行为所保护的人格自由两部分。 前者由普通法层次的《联邦个人数据保护法》及联邦宪法法院所制定的信息自决权所共同构成;后者则由基本法第1条人性尊严的规定与第2条人格的自由发展权保护, 加上基本法第10条对通信自由, 第13条对居住自由等基本权利的规定, 共同构筑出德国的规范体系,予以提供类似于美国法律上隐私权应有的保障内容 。
( 三) 两种模式的比较及协调
美国倾向行业自律模式, 一方面, 可以避免国家过早立法限制信息科技在社会的应用, 也可以避免政府选择某种技术作标准导致立法的偏差; 另一方面, 不同的行业对个人信息的收集与处理是不同的, 行业自律可以增强个人信息保护的针对性。但是, 这一模式也存在不少的缺陷:1.对网络服务商的义务规定过于宽松, 扩张了网络服务商的权利而降低了网络用户隐私权的保护程度, 这就容易引发网络隐私权的侵权行为问题。2. 这种模式缺乏保证规定实施的机制, 而且对大量的没有加入这一模式中的公司来讲, 起不到任何的约束和规范作用。 因为这种模式完全建立在行业自律的基础之上, 依靠网络服务提供商和与之有关的其他产业的自觉行动来保证这些规定的执行。
欧盟主张立法规制模式, 注重对于个人资料的充分保护和尊重。 在这种模式之下, 通常是通过法律的具体规定对网络服务提供商在网上的各种各样的搜集用户数据和隐私的行为提出一定的限制, 使网络服务提供商在网上搜集用户隐私材料的行为更规范, 相对于用户来讲更透明,使网上用户的个人资料更容易得到保护。 然而, 这一模式也有其不可避免的负面影响。 欧盟采用立法规制模式无疑便增加了网络服务提供商的法定义务, 无疑增加了以网络服务提供商为代表的整个信息产业的成本, 甚至会损害信息产业的利益并阻碍网络的发展。
这两种隐私权保护模式的利益侧重点的不同, 必然导致美国与欧盟在隐私权保护上价值观的冲突。为了协调他们相互之间的矛盾, 促进各国之间的信息交流, 双方最后决定建立“安全港机制”。 在经过框架谈判和具体协商之后, 欧盟与美国谈判代表在布鲁塞尔宣称, 双方已就如何保护网络交易中的隐私在原则上达成协议。上述协议的达成意味着欧盟与美国双方可以在不考虑欧盟隐私条令的情况下从事网络活动。该条令使得欧盟当局有权终止那些没有向相关部门提出申请的企业的网上数据传输。根据目前已达成的总体协议, 网上交易公司在收集个人信息时必须就相关信息的用途向用户发出通知, 在该信息被用于除最初收集目的以外的其他目的时也须通知用户。
四 、我国网上个人资料保护的立法现状以及立法建议
(一) 我国的立法现状
在我国作为个人资料的上位概念的隐私权, 宪法、民法、行政法、刑法和诉讼法等法律较分散地对其进行法律保护, 但却没有一部法律直接将其作为公民独立的自然权利写入法律条款中, 也没有具体规定其内容和侵权行为的方式, 而是放在名誉权中间接保护的。 这与我国的互联网产业发展不相适应, 我国相关的立法以及网上监管严重滞后。 运用技术和法律手段, 禁止、限制某些信息在网络(主要在公共网络)上传播, 包括禁止或者限制将某些有害信息输入网络, 禁止未经授权的 “入侵者”非法提取、窃取、窃听或篡改个人信息等侵犯他人隐私权的行为已势在必行。
(二) 网上个人资料保护之立法建议
1. 关于立法模式的选择。 目前很多国家, 包括少部分的英美法系国家都选择了立法规制模式。 这种模式的特点在于充分考虑到个人资料保护的统一性, 照顾到行政机关和私人机关处理个人资料行为的内在联系, 同时有助于个人资料保护在司法上实现一致性。 以美国为代表的行业自律模式的优势在于其对个人资料保护领域进行了合理的划分, 在区分公私领域的基础上进行保护。 其弊端是无论是从立法角度还是从司法角度, 都容易造成法治的不统一。[4] 前文中, 笔者也详细阐述过行业自律模式的一些弊端, 而且我国没有相应的发达的行业组织, 所以这种模式并不适合我国国情。 相反, 我国可以更多地借鉴大陆法系国家比如德国的立法模式。
2.关于立法体系的建议。 第一, 我国应进行个人资料的专门立法。 个人资料和个人隐私在内容上是交叉存在的, 不能仅以隐私权立法来保护个人资料。 而且我国目前并没有清晰的隐私权立法, 隐私权是在名誉权中加以保护的, 所以对个人资料进行专门立法保护就十分必要。 第二, 制定保护网络与电子商务中个人资料的专门法律, 以实现网上个人资料的专门保护。 比如欧盟的 《个人数据保护指令》, 明确规定个人对其数据资料的权利, 网络服务商及其他主体收集、储存、处理、使用和传播个人数据的条件和程序, 侵权的法律救济等。
参考文献:
[1] 王利明.人格权法研究[M].北京: 中国人民大学出版社,2005: 633.
[2] 赵兴宏,毛牧然.网络法律与伦理问题研究[M].沈阳: 东北大学出版社,2003:107.
[3] 王利明.人格权法研究[M].北京: 中国人民大学出版社, 2005: 644.
[4] 齐爱民.美德个人资料保护立法之比较[J].甘肃社会科学, 2004(3) .