美国电子隐私信息中心EPIC(Electronic Privacy Information Center),是一个致力于公民自由和隐私事宜的公共兴趣组织。
Google云计算:隐私安全受EPIC质疑回目录
FTC(美国联邦贸易委员会)正在调查互联网搜索巨头Google关于其云计算服务缺乏安全性的问题,Google云计算服务是指一种软件和服务框架,而应用程序和数据位于通过网络设备提供远程访问的第三方服务器。
EPIC(美国电子隐私信息中心)是位于华盛顿的公共利益团体,他们向FTC提出投诉并要求FTC在调查出Google对客户信息的保护力度之前禁止Google向客户提供任何云计算服务。
投诉刚刚过去10天后,Google承认无意泄漏存储在云计算服务中用户生成的文件。
EPIC要求Google安全条款需透明化
在EPIC撰写的15也诉状中表示,Google对于云计算服务中的客户信息没有提供足够的保护,这些云计算服务包括Gmail、GoogleDocs、GoogleDesktop、Picasa网络相册以及GoogleCalendar
“我们相信FTC会非常感兴趣,我们已经受到FTC的确认信,”EPIC的负责人MarcRotenberg表示,“现在他们正在决定是否开始作出调查。”
Rotenberg表示EPIC有权利这样做,因为Google的健康记录服务肯定会引起大家对隐私和安全问题的关注。
单在9月和10月,就有3040万用户使用了Google的Docs和Gmailyunjs服务,根据ComScoreMediaMetrix的统计结果表示。
EPIC指出Google的云计算服务中有几个安全漏洞,2005年1月,研究人员发现Google的用户名和密码可以让别人窃取登录信息,允许外人窥探用户的电子邮件。另一个漏洞则将Google用户的个人数据泄漏在恶意网站,“我们仔细研究过Google的声明,听起来很好,那么你再看看他们的服务条款,”Rotenberg表示,“一方面他们告诉大家云计算很伟大,另一方面他们表示,如果用户运行出现问题,责任在用户自己身上。”
EPIC要求FTC让Google将其安全政策更加透明化,将所有数据泄漏和丢失向FTC报告,并要求Google为公共基金贡献500万美元以支持隐私问题,包括加密、移动位置和数据匿名化等。
云计算
云计算技术在过去几个月一直是热门话题,很多大型公司,包括微软、IBM和Sun公司都在讨论云计算以及其云计算产品。
截至9月,约有70%的美国人在使用Webmail服务,在线存储数据或者使用位于网上的应用功能,EPIC投诉书中表示。
很多企业(如PewInternet和AmericanLifeProject等)都报告说消费者非常关注云计算,至少有90%的云应用程序用户担心存储在一家公司的数据可能会共享或者卖给其他公司,9月份报告说。
服务条款问题
然而Google表示GoogleDocs将数据存储到安全的在线存储设备中,存储在Google服务器上的文件是安全的。Google表示消费者的数据是隐私的,除非用户授权给其他人访问或者发布其个人信息。
EPIC’认为,Google公司的服务条款并不支持他们的任何安全和隐私承诺。
“Google的服务条款明确否认任何由于Google的疏忽、不良意图或者有目的无视其现有责任而造成对隐私和用户数据保护不足都与Google无关。”EPIC表示。
除了调查之外,EPIC还要求FTC要求Google修改其服务条款对云计算服务方面的承诺。
“我们已经受到这份投诉书的复印件,但是还没有详细审查,很多云计算服务供应商,包括我们Google,都有广泛的政策、程序和技术来确保最高级别的数据保护,”Google发言人AndrewKovacs表示,“确实,云计算要比将数据存储在自己的硬盘更加安全,我们非常了解保护用户数据的重要性,我们也会非常认真地承担相应的责任。”
美国最大的互联网广告商遭遇隐私权指控回目录
2000/01/28消息:互联网广告业者收集访客信息已经引起了很大的争议,美国互联网隐私保护组织“ 电子隐私信息中心”
(EPIC)近日证实,该组织正准备向美国联邦贸易委员会(FTC)提交诉讼,控告美国最大的互联网广告商D oubleClick公司。EPIC的官员表示,促使该组织控告DoubleClick公司的原因正是该公司倍受非议的收集用户信息的行为。
互联网旗帜广告客户经常收集广告访客的信息,以确定他们的市场策略。由于广告客户收集这些数据的行为处理得非常隐蔽,所以即使是老网民也难以察觉,这样就引起了许多网民和隐私保护组织的担忧。
尽管许多互联网广告商都在积极收集访客信息,但EPIC目前只将矛头对准DoubleClick公司,因为该公司不仅仅收集访客的普通信息,还跟踪访客的个人确认信息并将其记录在案,更恶劣的是,这种行为是发生在该公司公开声明只收集用户的匿名资料之后。
目前DoubleClick公司还未对此事作出反应。
隐私保护组织呼吁FTC禁止Facebook调整隐私策略回目录
据国外媒体报道,隐私保护组织已向美国联邦贸易委员会(FTC)申诉,要求社交网站Facebook恢复最近对隐私控制做出的修改。
美国电子隐私信息中心(EPIC)联合数字民主中心(CDD)和其它几家机构发表声明,谴责Facebook违反了美国消费者保护法。
EPIC主管马克·马克·罗滕伯格(Marc Rotenberg)指出,“在美国有1亿多用户使用Facebook服务,不应该允许该公司进行对如此众多美国消费者的隐私保护不利的调整。”
上周,Facebook开始通知用户,要求他们设定谁可以查看自己在Facebook上的个人信息,以便更好的控制自己的在线隐私。Facebook所有3.5亿多用户被要求通过一个新软件工具来调整隐私设置。
当时,Facebook负责全球通讯、营销和公共政策的副总裁埃略特·斯奇拉吉(Elliot Schrage)表示,“我们的理念是允许用户更好地控制内容共享的对象和时间。”
但是,隐私保护支持者对Facebook改动隐私控制的做法提出了强烈批评,认为这个调整实际掩盖了Facebook意欲让用户暴露更多在线信息的举动。
CDD执行主管杰夫·切斯特(Jeff Chester)周四表示,Facebook的新策略严重侵犯了用户的隐私保护权,不应该允许它仅仅为了提升自己的收益就削弱用户对隐私的控制。
Facebook已经对隐私保护组织作出回应称,这种批评是错误的,时间将证明Facebook此举是向前迈出的巨大一步。
论网络隐私权的法律保护回目录
1890年,美国私法学者布兰戴斯和沃伦在《哈佛法学评论》(《Harvard Law Review》)上发表了《论隐私权》一文,首次提出了隐私权(the right to privacy)的概念。此后近百年的时间里,隐私权作为公民人格权利的重要内容逐渐得到法律上的确认和保护,并呈现出国际统一化的趋势。然而,近几年随着计算机信息网络技术的迅猛发展,使得网络空间的个人隐私权受到前所未有的严峻挑战,强化对网络空间个人数据和隐私权的法律保护,已成为国际社会立法的当务之急。
一、隐私权与网络隐私权
隐私权作为一种基本人格权利,是指公民“享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。”一般认为,隐私权的主体只能是自然人,其内容具有真实性和隐秘性,主要包括个人生活安宁权、私人信息保密权、个人通讯秘密权及个人隐私利用权等。隐私权是公民的人格权利中最基本、最重要的内容之一,伴随着人类对自身的尊严、权利、价值的认识而产生。
与英美法系国家极度重视个人隐私不同,欧洲大陆法系国家的民法典长期缺乏隐私权的概念。直到20世纪60年代,随着民权运动的兴起、计算机技术的应用和通讯传播信息的发达,隐私权才开始取得宪法和私法上的地位,受到比较完善的立法保护。法国、德国等国家先后制定了法律和单行法规,或以判例的形式对公民个人的隐私权进行保护。即使在一些尚未承认隐私权作为一种独立民事权利的国家,如英国、澳大利亚,公民的隐私也在名誉权或者其他相关民事权利的名义下得到不同程度的间接保护。
随着社会经济的发展,隐私权的客体内容不断扩展。在现代信息社会中,传统隐私权不断向网络领域延伸,并增加了新的实体内容。追求商业利益最大化的经营者往往对公民的个人资料进行收集整理并应用于以营利为目的的经营活动中,侵犯了消费者对于其个人隐私所享有的隐瞒、支配、维护以及利用权,种种违法现象亟待法律予以规范。
网络经济活动中的隐私权有其不同于一般隐私权的特点。日常生活中对于公民隐私权的侵犯一般出于行为人个人的主观恶意,对权利人造成的损害主要体现在精神方面,表现为主观精神痛苦,一般不涉及财产内容。由于精神痛苦是一种主观感受,难以明确界定,给隐私权立法保护带来一定困难。但在网络经济活动中,隐私内容具有经济价值,经营者侵权的动因一般都是从营利目的出发。对于消费者而言,隐私权受侵害的后果除了造成精神上的痛苦,例如由于消费者没有机会再接触其个人资料进行必要的更正修改,使得消费者的个人真实形象可能受到侵害。但最主要的还是导致消费者财产上的损失或不得益,例如给用户的手机发送垃圾短信造成消费者额外的支出;将用户的个人信息例如身份证号码、信用卡账号透露给第三人更可能导致消费者的巨额损失。另外,隐私权客体的范围扩大,包括了传统经济活动下不属于隐私的内容,例如姓名、性别、年龄等,即消费者不想让别人知道的一切个人信息都属于信息时代网络活动中隐私权的内容。
网络空间的个人隐私权主要指“公民在网上享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵犯、知悉、搜集、复制、公开和利用的一种人格权;也指禁止在网上泄露某些与个人有关的敏感信息,包括事实、图像以及毁损的意见等。”个人数据信息、私人生活安宁、私人活动与私人领域是网络隐私权包含的重要内容,其中尤以个人数据最为重要,具体说来包括以下几个方面:
(1)任何个人和单位在收集他人的个人数据之前,必须向资料的拥有者进行及时准确的告知,包括将有哪些资料会被收集、收集到的资料准备派何用场、资料收集人的辨识以及数据资料拥有人的相关权利等等。
(2)数据资料的主体享有是否进行信息披露的决定权,有权阻止任何未经许可的资料收集和使用行为。
(3)资料的收集使用者必须保证所收集的信息准确无误,保证信息的安全性和完整性。
(4)数据主体有权要求资料的收集使用者提供有关联系信息,有权浏览自己被收集的信息资料并要求使用者提供副本。
(5)数据主体有权对被收集的个人资料进行必要的更新和修改,并有权以其他方式利用自己的这部分信息资料。
(6)未经数据主体许可,资料收集者不得“擅自通过因特网站上自己或他人的主页,将特定的他人隐私公之于众,或擅自通过向第三人、第四人、众多其他人发送E-mail的方式张扬特定他人的隐私”。
对网络环境下个人隐私权的保护主要涉及如下领域:
(1)具有可识别性的个人资料的保护。任何对个人资料的非法收集、存储、使用都是对个人资料隐私权的侵犯。
(2)个人生活秩序的保护。网民有权按照自己的意志在网上从事或不从事某种与社会公共利益无关的活动,不受他人的干涉、破坏或支配。
(3)个人私事的保护。任何人包括网络服务商,不得不当窥视、泄漏、干涉他人的私事。
(4)个人领域的保护。国家、网络服务商、黑客等不得对个人的信息系统进行攻击、破坏。但国家为保护社会公共利益对网络进行监视而触及网络使用者的隐私,则依法可免责。
二、网络空间隐私侵权状况
目前因特网上对公民隐私权的侵害主要存在于以下几种情形中:
(一)网站对个人信息的侵害
美国国会统计办公室最近发布的一份报告说,97%的美国网站不能达到政府制定的保护隐私的标准。目前的网站大都配有监视用户上网习惯的软件,甚至在未经授权的情况下就制作了用户的档案,记录用户的电子邮件地址和网上购物习惯。这无疑是对公民私人信息的一种侵犯。另外许多网站破产时往往违背以前所作的关于合理利用顾客个人资料以及不与任何第三方共享顾客个人信息的承诺,通过出售顾客的隐私资料狠赚最后一笔。有人认为这些能够合法建立顾客个人资料档案的网站是对个人隐私的最大威胁,这些资料很可能受到无法预计后果的监控或被一些不道德的公司和个人利用。虽然为数不少的网站在要求访问者提供私人信息时附有信誓旦旦的隐私权保护声明,但只有极少数网站做到了网络安全专家的要求,向顾客说明数据的搜集方法、范围、获取信息的途径、网站保障数据的安全措施以及信息的使用权限。而即使这样的隐私权保护策略也往往形同虚设,一些网站不但无视其保护隐私权的规定,非法搜集用户的个人资料,甚至还与第三方共享用户的敏感信息,以牟取暴利。上网者和网站已对私人资料的归属和使用权限展开了激烈的争夺。但另一方面,大部分人为了获取网站的免费服务和商品,往往主动将个人信息泄漏给网站,这会导致许多无法预料的后果,而网站可以以受害人同意为抗辩理由阻断其获取个人信息的违法性。
(二)专门的网络窥探业务
网络业的兴起带来对信息的狂热追求,其中蕴含的巨大商机培植了一大批专门从事网上调查业务的公司。只需支付低廉的费用,任何机构和个人都可以获取他人详细的个人资料。一些网络公司未经用户同意或知情就在他人的硬盘上加入Cookies(一种跟踪文件),非法监测用户上网习惯,收集访客信息,以实现自己的商业目的。美国最大的网上广告公司Doubleclick就因此而受到美国互联网隐私保护组织“电子隐私信息中心”(EPIC)的指控。但目前在公众和私人信息中搜集资料的网络窥探调查业务不仅不是违法行为,反而还是一项获利不菲的业务。这一对于公民隐私权最具杀伤力的行业行为必须得到法律上的规范。
(三)设备供应商的侵权行为
有些软硬件厂商在自己销售的产品中埋下伏笔,对消费者的数据隐私进行收集。据报道,微软的Windows98系统在办公软件Word和Excel文件上生成包含用户计算机信息的唯一的确认号码,通过这个“后门程序”,导致用户信息在不知不觉中进入了微软数据库。Intel公司则在其奔腾Ⅲ处理器芯片上加上可进行远程识别的序列码,使用户私人信息可能受到不适当的跟踪。设备供应商开发出的各种互联网跟踪工具业已获得普遍应用,使得人们在网上的各种活动处于“网络侦探”的窥探之下,毫无隐私可言。
(四)电子邮件、网络广告中的个人隐私问题
电子邮件从发送到收取要经过几个服务器,在其中任何一个中转点,未加密的邮件信息都很容易被偷看。因此,一些喜欢窥探别人隐私的服务提供商就可以轻而易举地浏览进入其服务器的邮件包。另外据调查,约91%的电子邮件用户每周至少收到一次垃圾邮件,大量垃圾邮件的狂轰滥炸甚至使用户的电子邮箱崩溃。很多人不明白自己的邮件地址为什么会被一些听也没听说过的公司获知。其实无非是通过各种途径得到用户个人信息的网络公司为获取广告和经济效益,将用户资料大量泄露给广告商,而后者则通过跟踪程序或发放电子邮件广告的形式来“关注”你。最近美国电子通讯联盟提出,未经人们事先同意,网上直接广告商不得向用户发送具有诱惑性质的邮件,并允许用户把自己从广告商的地址列表中删除,以免受网络广告的骚扰,维护自己的个人生活安宁权。另外互联网上利用技术措施监看他人的电子邮件更是很普遍的现象,这实际上与私自拆开他人的信件,侵犯他人的通信秘密没什么两样。
(五)电子商务中的隐私权问题
电子商务的兴起改变了传统的交易关系,对维护公民隐私权提出了新的挑战。在个人数据收集、个人数据二次开发利用、个人数据交易等环节都可能产生侵犯公民隐私权的问题。例如,电信企业收集消费者的电话、手机号码,发送垃圾邮件或短信消息,或者将号码提供给第三人;网站通过跟踪消费者的网上购物,在消费者不知情的情况下获得了关于其购物习惯、消费喜好、经济状况等信息,再经过专门的数据库进行加工整理,从中得到有商业价值的资料,用于生产经营目的;[6]收费电子邮箱的经营者利用网络技术的便利条件,私自拆封、泄露、篡改他人电子邮件通信内容或出卖用户的电子邮件地址等等。[7]EPIC执行总监Mare Roten1999年公布的一份报告显示,87%的电子商务网站使用Cookies来追踪消费者的网上活动。这其实是一种具有欺骗性的不公平行为,已侵犯了消费者的合法权益,同时由于消费者没有机会再接触其个人资料进行必要的更正修改,使得消费者的个人真实形象可能受到侵害。中国消费者协会日前发出2000年第8号消费警示:上网冲浪,当心你的个人资料成为别人侵害你权益的工具。这是我国消协就网上生活发出的第一份警示。但目前各国并无专门的法律法规对电子商务中的隐私权问题进行调整规范。网上购物泄漏隐私的隐忧使得许多潜在的消费者对电子商务产生了抵触,阻碍了电子商务的顺利发展。此外利用电子计算机进行的远程医疗、网上保险等新型电子商务活动中,也存在着隐私泄露的巨大隐患,由于这些活动中收集的数据具有不利于消费者的性质,对消费者造成的影响可能更为不利。
(六)雇主对雇员隐私权的侵犯
工作场所是一个介于私人住所与公共场所之间的空间,雇主的经济利益与雇员的人格利益(隐私权等)常常会产生冲突。雇员网上浏览冲浪、聊天、发送电子邮件等行为甚至邮件的内容都可能被雇主通过监视系统拦截获悉。诸如Dick Tracey、Spector、Little Brother、Internet Watch Dog、Web Sense以及上海开发的一种名叫“网络神探”的软件就可以监视和记录雇员在办公电脑上的一举一动。通过监视获得的雇员“不务正业”的证据甚至可以作为合法解雇雇员的依据,雇员的隐私权在这里毫无保障。
(七)政府的侵权行为
甚至连一向强调保护个人隐私的美国政府也在侵犯他人隐私事件中扮演不光彩的角色。美国联邦调查局(FBI)的“食肉者”网上邮件窃读系统最近引起轩然大波。该系统可以被安装在网络服务商的设备上,从浩如烟海的电子邮件中找出发自或送至目标嫌疑犯的邮件,并将其内容复制到“食肉者”电脑的硬盘上。但人们无法确定该系统是否仅仅读取那些只与罪案调查有关的电子邮件而不侵犯网民的其他隐私,从而引起了用户甚至是服务商的极力反对。现在越来越多的美国法庭批判在对案件审理中对家用PC进行调查取证,如莱温斯基一案。而英国已经通过了一项授予警方和安全部门广泛的权力来截取、破译公司、组织、公民之间的电子邮件和其他信件的法律,这使得英国成为西方国家中唯一的其政府可以要求使用因特网的任何人交出破译电子邮件和其他加密资料的密钥的国家。
(八)黑客的攻击
黑客(Hacker)往往令人们谈之色变。他们通过非授权的登录(如让“特洛伊木马”程序打着后门程序的幌子进入你的电脑)攻击他人计算机系统,窃取网络用户的私人信息,从而引发了个人数据隐私权保护的法律问题。其侵权行为具体表现在:破坏他人通信内容的安全(如截获用户发送的邮件,浏览个人信息)、个人数据资料的安全(侵入系统进行破坏行为致使系统瘫痪、数据丢失)、个人生活的安宁(用户不得不费时费力进行检查维修,支出原本不必要的费用)。同时,储存用户个人信息的网站自身安全管理方面的松懈也纵容了黑客在互联网上肆意妄为,窃取冒用他人身份资料,给用户造成了极大的经济损失。黑客对个人隐私权的侵犯往往会触及刑事领域,引发犯罪行为。
由于技术上的原因,在网上通过解密越权存取他人数据库中的信息资料或者非法收集、储存、传播、利用他人的个人数据是可能的,计算机信息网络也显著扩大了对私人秘密的损害和对个人领域的侵犯。但人们享受高科技发展带来的巨大便利决不能以放弃自己的隐私权作为代价,这种侵权行为的违法性必须由法律做出明确界定。
三、国外相关立法保护模式探析
分析这些不断发生在网络上的侵犯公民隐私权的现象,主要原因在于网络的固有结构特性和电子商务发展导致的利益驱动。此外网民个人隐私权保护意识的缺乏以及相关技术保护措施的滞后也是一个方面的原因。针对信息网络的发展对个人隐私带来的巨大威胁,各国在加强网络隐私的法律保护方面已取得共识。例如我国台湾于1995年8月21日正式实施《电脑处理个人资料保护法》及其实施细则、欧洲共同市场理事会1995年10月通过了《自动处理个人资料保护公约》、美国1986年制定《电子通讯隐私法案》以及德国制定的《电信服务资料保护法》都是值得我们借鉴的。基于“任何对互联网的规制不应阻碍其发展”这一基本原则,各国因对规范网上个人数据资料的收集使用等行为可能对电子商务和网络发展造成的影响的估计不同,对网络隐私权进行法律保护和救济的模式与侧重点也不同。大体上可以分为行业自律与立法规制两类,分别以美国和欧盟为代表。
(一)美国:业界自律模式
美国在隐私权保护的意识与采取的措施方面都走在了世界的前列。1967年通过《信息自由法》,1974年正式制定《隐私权法》,这部法律可视为美国隐私保护的基本法,它规定了美国联邦政府机构收集和使用个人资料的权限范围,并规定不得在未经当事人同意的情况下使用任何有关当事人的资料。20世纪七八十年代又制定了一系列保护隐私权的法律法规。如《公平信息报告法》(Fair Credit Reporting Act of 1970)、《金融隐私权法》(Right to Financial Privacy Act of 1978)、《联邦有线通讯政策法案》(The Federal Cable Communication Policy Act)、《录影带隐私保护法案》(The Video Privacy Protection Act)等。1986年的《联邦电子通讯隐私法案》(Electronic Co
【作者简介】unication Policy Act of 1986)是处理网络隐私方面的重要法案。它规定了通过截获、访问或泄漏保存的通信信息侵害个人隐私权的情况、例外及责任,禁止“向公众提供电子通信服务”的供应商将服务过程中产生的通讯内容提供给任何未经批准的实体。
但对于网络上个人数据及隐私权益的保护,美国更倾向于业界自律。FTC就该问题制定了四项“公平信息准则”,要求网站搜集个人信息时要发出通知;允许用户选择信息并自由使用信息;允许用户查看有关自己的信息并检查其真实性;要求网站采取安全措施保护未经授权的信息。其1999年7月13日的报告甚至认为:“我们相信有效的业界自律机制,是网络上保护消费者隐私权的最好的解决方案。”并表示最近无立法必要。美国电子前线基金会(EFF)与Commerce.net共同发起成立了以倡导网上隐私为主旨的非盈利性机构Truste,对符合不同自律标准的网站颁发认证证书。但民众普遍认为业界自律远远不够,鉴于互联网个人信息被盗取的现象越来越严重,必须有政府立法的介入。另外一些通过Truste认证的互联网络巨型企业如Microsoft、Deja、Realnetworks的网站去年都被指控有侵犯用户隐私权的行为,无疑使Truste的可信度大打折扣。
在这种背景下,第一部关于网上隐私的联邦法律《儿童网上隐私保护法》(Children,s Online Privacy Protection Act,1988)2000年4月21日正式生效。该法规定,网站在搜集13岁以下儿童的个人信息前必须得到其父母的同意,并允许家长保留将来阻止其使用的权利;必须说明所要收集的内容以及将如何处理这些信息。美国总统克林顿也曾签署了《公民网络隐私权保护暂行条例》。1996年底通过的《全球电子商务政策框架》指出:只有当个人隐私和信息流动带来的利益取得平衡时,GII(全球信息基础设施)上的商务活动才能兴旺起来。1999年5月,美国通过《个人隐私权与国家信息基础设施》白皮书,阐述了对信息活动中公民个人隐私权进行保护的政策取向。此外,纽约州亦就倍受争议的网上收集个人资料等问题提出新的立法建议,严禁企业收集并共享能够鉴别个人身份的资料。1997年春,康涅迪格州通过消费者隐私权法案,其中对采用电子邮件形式散发广告进行了限制。
作为判例法国家,美国也通过判例确立了网络隐私权保护方面的一些原则。例如在1993年加利福尼亚州Bourke V Nissan Motor公司一案中,确立了Email中隐私权保护的一般原则:“事先知道公司政策(知道Email可被别人查阅)即可视为对隐私权无合理期望。且所有者、经营者对本网络的访问不构成截获。”1994年Steve Jackson Games V美国特勤处一案中明确,国家机构未经授权不得私自阅读或删除私人的电子邮件,截获电子邮件数据更需获得法律执行令而非搜查令。
(二)欧盟:立法规制模式
与美国相比,欧盟更注重通过立法来保护个人资料的安全。欧盟议会1995年10月24日通过的《欧盟个人资料保护指令》(EU Data Protection Directive)几乎包括了所有关于个人资料处理方面的规定。其目的在于保障个人自由和基本人权,以及确保个人资料在欧盟成员国之间的自由流通。根据该指令,资料控制者的义务主要有:保证资料的品质、资料处理合法、敏感资料的禁止处理与告知当事人等。资料当事人则享有接触权利与反对权利,并有权更正删除或封存其个人资料。1996年9月12日欧盟理事会通过的《电子通讯数据保护指令》是对《欧盟个人资料保护指令》的补充与特别条款。1998年10月,有关电子商务的《私有数据保密法》亦开始生效。1999年,欧盟委员会先后制定了《Internet上个人隐私权保护的一般原则》、《关于Internet上软件、硬件进行的不可见的和自动化的个人数据处理的建议》、《信息公路上个人数据收集、处理过程中个人权利保护指南》等相关法规,为用户和网络服务商(ISP)提供了清晰可循的隐私权保护原则,从而在成员国内有效建立起有关网络隐私权保护的统一的法律法规体系。
由于《欧盟个人资料保护指令》第25条规定,有关跨国资料传输时,个人资料不可以被传送到欧盟以外的国家,除非这个国家能够保证资料传送有适当程度的保障。这就对美国形成严重的非关税壁垒。经过两年多的谈判,今年2月,欧盟与美国达成保护网上交易隐私协议。根据该协议,网上交易公司在收集个人信息时必须就相关信息的用途向用户发出通知,在该信息被用于最初收集目的以外的其他目的时也必须通知用户,用户还有权获得了解上述信息的网上途径。自我约束的网上交易公司如未经“安全港”监视机构批准就擅自开展业务,将会受到联邦贸易委员会、司法部以及州总检察官关于从事欺骗性经营活动的指控。这一协议也反映出电子商务环境下隐私权保护的国际化、全球化、一体化的趋势。
除了上述两种立法保护模式之外,还有一种“技术及消费者自我主导模式”,强调通过加强消费者的权利保护意识和结合使用相关软件如“个人隐私选择平台(P3P)”等方式达到保护网络隐私权的目的。但由于这类系统或程序本身的安全性和可信度仍值得怀疑,因此这些工具性的技术软件并不能完全取代网络隐私保护的法律框架,而仅具有辅助保护的作用。
四、我国网络隐私保护立法模式选择与体系构建
我国宪法第38条、第39条、第40条关于公民人格尊严、私人住宅、通信自由和通信秘密的保护规定为其他部门法及司法解释保护公民个人隐私留下了广阔的空间。民法、刑法、诉讼法以及《未成年人保护法》、《妇女权益保护法》、《残疾人保护法》、《统计法》、《银行管理暂行条例》等单行法规中都有关于隐私权保护的零散规定。但目前对公民隐私权益的民事法律保护主要还是来自最高人民法院的司法解释,如《关于贯彻执行<中华人民共和国民法通则>若干问题的意见(试行)》、《关于审理名誉权案件若干问题的解答》、《关于确定民事侵权精神损害赔偿责任若干问题的解释》等,这些规定是我国目前最主要的处理隐私权纠纷的法律依据。
《关于贯彻执行<中华人民共和国民法通则>若干问题的意见(试行)》第140条规定:“以书面、口头等形式宣扬他人隐私,或者捏造事实公然丑化他人人格,以及用侮辱诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。”此外,最高人民法院《关于审理名誉权案件若干问题的解答》亦明确指出:“对未经他人同意,擅自公布他人隐私材料,或者以书面、口头形式宣扬他人隐私,致他人名誉受到损害的,按照侵害他人名誉权处理。”前两项司法解释仅仅将公民隐私权益归入名誉权中进行间接保护。然而,隐私权作为一项独立发展的权利,与名誉权虽有密切的联系,在某些情况下可能出现交叉,却是相互区别的两个独立领域,二者的主体、性质、调整范围、侵权方式、保护方法都是截然不同的。名誉权所关注的是与民事主体名誉有关的事实表述是否真实及评价是否适当,而隐私权所关注的则是民事主体的私人生活安宁以及私人信息秘密不被侵犯。
今年2月26日最高人民法院《关于确定民事侵权精神损害赔偿责任若干问题的解释》则将隐私作为一项独立的人格利益,不失为立法的一种进步。但是,该解释仍未从法律上确立隐私权作为一项独立民事权利的地位,隐私权仍不能与名誉权、荣誉权、肖像权等人格权并列,这又不能不说是一种遗憾。解释第1条规定:“违反社会公共利益、社会公德侵害他人隐私或者其他人格利益,受害人以侵权为由向人民法院起诉请求赔偿精神损害的,人民法院应当依法予以受理。”其第3条又规定非法披露、利用死者隐私,或者以违反社会公共利益、社会公德的其他方式侵害死者隐私,其近亲属因此遭受精神痛苦,向人民法院起诉请求赔偿精神损害的,人民法院应当依法予以受理。
可见,迄今为止,我国还没有把隐私权作为一项独立的人格权在法律上加以规定,在隐私权的保护方面没有专门的法律法规,仅在司法实践上确认将隐私权归于名誉权中加以保护,或作为一般人格利益的内容之一。不对隐私权进行专门立法保护无法解决我国在隐私权保护传统领域的难题(如隐私权保护与名誉权保护的交叉、与言论表达自由和新闻出版自由的界限等),更无法面对信息技术的高速发展和电子产品的广泛应用对网络空间个人隐私权提出的挑战。
在隐私权保护法律基础与社会环境都还相当薄弱的中国,更谈不上对网络空间的个人隐私权进行完善的法律保护。同时由于网络本身的开放性、全球性、不完善性,以及人们隐私权法律意识的淡薄,加之隐私权侵权案件的侦察、起诉、取证、审判等方面都存在困难,使公民个人的网络隐私权无法得到基本的法律保护。就我国目前的现状而言,网上消费者既无专门的网络隐私保护的规定可供适用,也无法求助于传统隐私权的保护手段进行救济。对网络隐私的保护仅仅限于国内一些网站形同虚设的隐私保护声明,但这些隐私政策公告大多内容简单,且不涉及对个人资料的使用说明以及相关的安全保证,相反,还附上了许多免则条款,其效果可想而知。
尽管网络隐私可以作为传统隐私的一种新的补充和扩展形式,但没有特别针对网络个人资料的保护和利用的法律规定,仅仅依靠过去的一些立法来保护一般民众的网络隐私权与个人资料是远远不够的,上述规定显然无法对其提供充分的保护。为了规范我国计算机信息网络的发展,有关部门曾相继出台了一些规定,其中也涉及到网络空间个人隐私权的法律保护问题。例如《中华人民共和国计算机信息网络联网管理暂行规定实施办法》第18条规定:“用户应当服从接入单位的管理,遵守用户守则;不得进入未经许可的计算机系统,篡改他人信息;不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私……。”《计算机信息网络国际联网安全保护管理办法》第7条:“用户的通信自由和通信秘密受法律保护,任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。”2000年1月《全国人大常委关于维护互联网安全的决定》规定:利用互联网侮辱他人或捏造事实诽谤他人及非法截获、篡改、删除他人的电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密的,可以构成犯罪,依刑法追究刑事责任。上述规定都是原则性的,太过于笼统,其保护手段无疑是相当脆弱的,不便于实际操作,根本无法为网络隐私权提供足够的保护。
在网络利用日趋便捷,网络资料储存交换日渐普及的今天,消费者的个人资料和个人隐私如何保护,服务商对取得的个人资料应如何利用和流通,是我国网络和电子商务发展所必须面对的一个重要问题。但是,在事实上承认网络隐私权作为一项互联网新概念的存在和在法律上对其进行确认并加以保护并不是完全等价的,这首先涉及到立法模式的选择问题。有人主张选择行业自律模式,但与西方国家相比,我国长期以来对个人隐私权的保护不甚重视,此外不论是商业网站还是公民个人的隐私权观念都很薄弱,这是传统法律文化的历史积淀所致,不是短时间内可以改变的。因此,笔者主张应借鉴欧洲大陆国家的立法规制模式而非美国的行业自律模式。此外,针对有的学者倾向于在不同的法规中对网络个人隐私权进行保护的分散立法体系,我们认为,对于连专门的隐私法都没有制定的我国而言,保护网络用户个人资料的任务尤为艰巨,网络个人数据和隐私保护的立法所涉问题更为广泛,阻力也更大。若再将网络隐私权的保护依赖于不同的部门立法,不仅会造成体系的混乱和不完善,也会使网络隐私权立法成为一项旷日持久的工作,因此,不宜施行。
我们应该在考虑本国国情的同时,积极关注国际上的立法趋势和立法动态,从中吸取可行的经验措施,形成我国网络隐私立法的一般方式和原则。并逐渐向隐私保护的国际标准靠拢,取得国际协调,争取在电子信息网络建设和发展刚刚起步的时候取得主动。首先应从法律上明确隐私权作为独立民事权利的地位,进而尽快制定《隐私权法》,既加强对隐私权的传统法律保护,也重视对信息时代下网络隐私权的调整,建立一套完整的隐私权保护的法律法规体系。在目前条件不成熟的情况下,当务之急是拟定相关条例、决定或司法解释,填补我国网络隐私保护方面的空白。内容包括:
第一章:总则。对发布本法的目的、法例的规范对象及其资格取得、网络隐私权的定义、权利内容以及其法律地位等进行规定。应注意针对台湾《电脑处理个人资料保护法》规范对象太过狭窄的缺陷,规定凡是在网络上对他人个人数据资料进行收集、处理、使用的一切个人及组织都应受到本法的规范,但其责任承担应根据是否出于营利目的而有不同。此外,因网络隐私侵权的证据只能是电子证据,在总则中应确立电子证据在一定条件下作为证据提交的法律效力以及举证责任的承担问题。
第二章:主要立法原则。包括收集限制原则——资料收集需以合法公正手段与方式并尽到告知义务;资料内容正确性原则——要求资料于利用目的范围内力求正确、完全及最新;目的明确化原则——收集目的必须事先明确,且利用时应受该目的限制;限制披露原则——不得将所收集的资料对第三人做收集目的之外的披露;安全保护原则——对收集到的个人资料必须进行合理安全的保护;公开原则——对个人资料的开发利用以一般公开为原则;个人参与原则——个人有权对自己的资料行使了解、消除、更新等权利;责任原则——资料库控制者应对其管理的资料负完全责任;使用限制原则——个人资料不应供作收集目的之外的利用,除非经过资料主体同意或依法律之规定;个人取用原则——资料主体有权随时取用、复制自己的资料等等。
第三章:个人数据资料的收集和持有。数据管理人收集数据的法律依据、法定程序与范围、收集目的及告知义务等,并应确保所收集数据的准确与完整。
第四章:个人数据资料的利用与安全。数据管理人必须在法律事先许可或个人同意的范围内使用数据,资料的使用不得侵犯他人的合法权益,并应采取相应的安全措施进行必要的保护。此外,为了保障国家安全与社会公共利益,数据主体的隐私权利也要受到一定程度的限制。
第五章:个人数据资料的披露和公开。数据的持有者对他人的数据资料负有保密义务,未经同意不得向第三人做收集使用目的之外的披露公开。合法的公开也要履行一定的程序。
第六章:数据主体的权利与义务。包括在资料被收集、持有、使用、公开过程中的知悉权、自主控制权、接触权、更正与公开权、请求救济权等。还应包括一定条件下的如实告知义务和协助义务。
第七章:公民网上私人活动、私人领域、私人生活安宁不受非法侵扰。在前几章对个人数据进行充分保护的基础上,本章针对网上侵权的其他领域(例如对私人活动的侵害,主要表现为对他人上网浏览或购物的全过程实行记录、监视、分析和利用;对私人领域和私人生活安宁的侵害,表现为发放垃圾邮件,占据消费者有限的邮箱空间或增加消费者的额外支出、采用非法手段访问他人电脑系统和数据资料库等等),规定权利人的隐私权利和相对人的义务。
第八章:儿童隐私的特别保护。儿童因其心智不成熟,与成人相比其隐私保护具有特殊性,应借鉴美国的《儿童网络隐私保护法案》赋予家长在儿童资料被收集使用过程中的“守护者”角色,保护儿童网络隐私的安全。
第九章:侵权救济与法律责任。规定公民权利遭受侵害时的救济途径,并规定当事人违反法律规定时应承担的法律责任。同时对于行为人的免责事由做出规定。
第十章:罚则。对侵犯他人网络隐私情节严重、构成犯罪的行为,做出刑事处罚的规定,弥补我国刑法在这方面规定的不足。
第十一章:附则。对实施细则的制定权、相关管理机构的设立权、法例的施行日期等事项进行规定。
华盛顿电子隐私信息中心主任Rotenberg曾在《纽约时代》杂志上撰文指出“隐私之于下世纪的信息经济,如同消费者保护问题和环境问题之于20世纪的工业社会。”如何在推动网络环境下电子商务健康快速发展的同时,满足公民日益增强的网络隐私权保护要求,已成为全世界关注的一个热点问题。这就需要在法律框架、公民个人意识、企业自律、技术创新完善等方面做出努力。我们有理由相信,通过各国的积极协调和共同努力,网络隐私权的保护工作必将取得巨大进展,一个安全、高效、文明的网络新时代必将到来。
一、隐私权与网络隐私权
隐私权作为一种基本人格权利,是指公民“享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。”一般认为,隐私权的主体只能是自然人,其内容具有真实性和隐秘性,主要包括个人生活安宁权、私人信息保密权、个人通讯秘密权及个人隐私利用权等。隐私权是公民的人格权利中最基本、最重要的内容之一,伴随着人类对自身的尊严、权利、价值的认识而产生。
与英美法系国家极度重视个人隐私不同,欧洲大陆法系国家的民法典长期缺乏隐私权的概念。直到20世纪60年代,随着民权运动的兴起、计算机技术的应用和通讯传播信息的发达,隐私权才开始取得宪法和私法上的地位,受到比较完善的立法保护。法国、德国等国家先后制定了法律和单行法规,或以判例的形式对公民个人的隐私权进行保护。即使在一些尚未承认隐私权作为一种独立民事权利的国家,如英国、澳大利亚,公民的隐私也在名誉权或者其他相关民事权利的名义下得到不同程度的间接保护。
随着社会经济的发展,隐私权的客体内容不断扩展。在现代信息社会中,传统隐私权不断向网络领域延伸,并增加了新的实体内容。追求商业利益最大化的经营者往往对公民的个人资料进行收集整理并应用于以营利为目的的经营活动中,侵犯了消费者对于其个人隐私所享有的隐瞒、支配、维护以及利用权,种种违法现象亟待法律予以规范。
网络经济活动中的隐私权有其不同于一般隐私权的特点。日常生活中对于公民隐私权的侵犯一般出于行为人个人的主观恶意,对权利人造成的损害主要体现在精神方面,表现为主观精神痛苦,一般不涉及财产内容。由于精神痛苦是一种主观感受,难以明确界定,给隐私权立法保护带来一定困难。但在网络经济活动中,隐私内容具有经济价值,经营者侵权的动因一般都是从营利目的出发。对于消费者而言,隐私权受侵害的后果除了造成精神上的痛苦,例如由于消费者没有机会再接触其个人资料进行必要的更正修改,使得消费者的个人真实形象可能受到侵害。但最主要的还是导致消费者财产上的损失或不得益,例如给用户的手机发送垃圾短信造成消费者额外的支出;将用户的个人信息例如身份证号码、信用卡账号透露给第三人更可能导致消费者的巨额损失。另外,隐私权客体的范围扩大,包括了传统经济活动下不属于隐私的内容,例如姓名、性别、年龄等,即消费者不想让别人知道的一切个人信息都属于信息时代网络活动中隐私权的内容。
网络空间的个人隐私权主要指“公民在网上享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵犯、知悉、搜集、复制、公开和利用的一种人格权;也指禁止在网上泄露某些与个人有关的敏感信息,包括事实、图像以及毁损的意见等。”个人数据信息、私人生活安宁、私人活动与私人领域是网络隐私权包含的重要内容,其中尤以个人数据最为重要,具体说来包括以下几个方面:
(1)任何个人和单位在收集他人的个人数据之前,必须向资料的拥有者进行及时准确的告知,包括将有哪些资料会被收集、收集到的资料准备派何用场、资料收集人的辨识以及数据资料拥有人的相关权利等等。
(2)数据资料的主体享有是否进行信息披露的决定权,有权阻止任何未经许可的资料收集和使用行为。
(3)资料的收集使用者必须保证所收集的信息准确无误,保证信息的安全性和完整性。
(4)数据主体有权要求资料的收集使用者提供有关联系信息,有权浏览自己被收集的信息资料并要求使用者提供副本。
(5)数据主体有权对被收集的个人资料进行必要的更新和修改,并有权以其他方式利用自己的这部分信息资料。
(6)未经数据主体许可,资料收集者不得“擅自通过因特网站上自己或他人的主页,将特定的他人隐私公之于众,或擅自通过向第三人、第四人、众多其他人发送E-mail的方式张扬特定他人的隐私”。
对网络环境下个人隐私权的保护主要涉及如下领域:
(1)具有可识别性的个人资料的保护。任何对个人资料的非法收集、存储、使用都是对个人资料隐私权的侵犯。
(2)个人生活秩序的保护。网民有权按照自己的意志在网上从事或不从事某种与社会公共利益无关的活动,不受他人的干涉、破坏或支配。
(3)个人私事的保护。任何人包括网络服务商,不得不当窥视、泄漏、干涉他人的私事。
(4)个人领域的保护。国家、网络服务商、黑客等不得对个人的信息系统进行攻击、破坏。但国家为保护社会公共利益对网络进行监视而触及网络使用者的隐私,则依法可免责。
二、网络空间隐私侵权状况
目前因特网上对公民隐私权的侵害主要存在于以下几种情形中:
(一)网站对个人信息的侵害
美国国会统计办公室最近发布的一份报告说,97%的美国网站不能达到政府制定的保护隐私的标准。目前的网站大都配有监视用户上网习惯的软件,甚至在未经授权的情况下就制作了用户的档案,记录用户的电子邮件地址和网上购物习惯。这无疑是对公民私人信息的一种侵犯。另外许多网站破产时往往违背以前所作的关于合理利用顾客个人资料以及不与任何第三方共享顾客个人信息的承诺,通过出售顾客的隐私资料狠赚最后一笔。有人认为这些能够合法建立顾客个人资料档案的网站是对个人隐私的最大威胁,这些资料很可能受到无法预计后果的监控或被一些不道德的公司和个人利用。虽然为数不少的网站在要求访问者提供私人信息时附有信誓旦旦的隐私权保护声明,但只有极少数网站做到了网络安全专家的要求,向顾客说明数据的搜集方法、范围、获取信息的途径、网站保障数据的安全措施以及信息的使用权限。而即使这样的隐私权保护策略也往往形同虚设,一些网站不但无视其保护隐私权的规定,非法搜集用户的个人资料,甚至还与第三方共享用户的敏感信息,以牟取暴利。上网者和网站已对私人资料的归属和使用权限展开了激烈的争夺。但另一方面,大部分人为了获取网站的免费服务和商品,往往主动将个人信息泄漏给网站,这会导致许多无法预料的后果,而网站可以以受害人同意为抗辩理由阻断其获取个人信息的违法性。
(二)专门的网络窥探业务
网络业的兴起带来对信息的狂热追求,其中蕴含的巨大商机培植了一大批专门从事网上调查业务的公司。只需支付低廉的费用,任何机构和个人都可以获取他人详细的个人资料。一些网络公司未经用户同意或知情就在他人的硬盘上加入Cookies(一种跟踪文件),非法监测用户上网习惯,收集访客信息,以实现自己的商业目的。美国最大的网上广告公司Doubleclick就因此而受到美国互联网隐私保护组织“电子隐私信息中心”(EPIC)的指控。但目前在公众和私人信息中搜集资料的网络窥探调查业务不仅不是违法行为,反而还是一项获利不菲的业务。这一对于公民隐私权最具杀伤力的行业行为必须得到法律上的规范。
(三)设备供应商的侵权行为
有些软硬件厂商在自己销售的产品中埋下伏笔,对消费者的数据隐私进行收集。据报道,微软的Windows98系统在办公软件Word和Excel文件上生成包含用户计算机信息的唯一的确认号码,通过这个“后门程序”,导致用户信息在不知不觉中进入了微软数据库。Intel公司则在其奔腾Ⅲ处理器芯片上加上可进行远程识别的序列码,使用户私人信息可能受到不适当的跟踪。设备供应商开发出的各种互联网跟踪工具业已获得普遍应用,使得人们在网上的各种活动处于“网络侦探”的窥探之下,毫无隐私可言。
(四)电子邮件、网络广告中的个人隐私问题
电子邮件从发送到收取要经过几个服务器,在其中任何一个中转点,未加密的邮件信息都很容易被偷看。因此,一些喜欢窥探别人隐私的服务提供商就可以轻而易举地浏览进入其服务器的邮件包。另外据调查,约91%的电子邮件用户每周至少收到一次垃圾邮件,大量垃圾邮件的狂轰滥炸甚至使用户的电子邮箱崩溃。很多人不明白自己的邮件地址为什么会被一些听也没听说过的公司获知。其实无非是通过各种途径得到用户个人信息的网络公司为获取广告和经济效益,将用户资料大量泄露给广告商,而后者则通过跟踪程序或发放电子邮件广告的形式来“关注”你。最近美国电子通讯联盟提出,未经人们事先同意,网上直接广告商不得向用户发送具有诱惑性质的邮件,并允许用户把自己从广告商的地址列表中删除,以免受网络广告的骚扰,维护自己的个人生活安宁权。另外互联网上利用技术措施监看他人的电子邮件更是很普遍的现象,这实际上与私自拆开他人的信件,侵犯他人的通信秘密没什么两样。
(五)电子商务中的隐私权问题
电子商务的兴起改变了传统的交易关系,对维护公民隐私权提出了新的挑战。在个人数据收集、个人数据二次开发利用、个人数据交易等环节都可能产生侵犯公民隐私权的问题。例如,电信企业收集消费者的电话、手机号码,发送垃圾邮件或短信消息,或者将号码提供给第三人;网站通过跟踪消费者的网上购物,在消费者不知情的情况下获得了关于其购物习惯、消费喜好、经济状况等信息,再经过专门的数据库进行加工整理,从中得到有商业价值的资料,用于生产经营目的;[6]收费电子邮箱的经营者利用网络技术的便利条件,私自拆封、泄露、篡改他人电子邮件通信内容或出卖用户的电子邮件地址等等。[7]EPIC执行总监Mare Roten1999年公布的一份报告显示,87%的电子商务网站使用Cookies来追踪消费者的网上活动。这其实是一种具有欺骗性的不公平行为,已侵犯了消费者的合法权益,同时由于消费者没有机会再接触其个人资料进行必要的更正修改,使得消费者的个人真实形象可能受到侵害。中国消费者协会日前发出2000年第8号消费警示:上网冲浪,当心你的个人资料成为别人侵害你权益的工具。这是我国消协就网上生活发出的第一份警示。但目前各国并无专门的法律法规对电子商务中的隐私权问题进行调整规范。网上购物泄漏隐私的隐忧使得许多潜在的消费者对电子商务产生了抵触,阻碍了电子商务的顺利发展。此外利用电子计算机进行的远程医疗、网上保险等新型电子商务活动中,也存在着隐私泄露的巨大隐患,由于这些活动中收集的数据具有不利于消费者的性质,对消费者造成的影响可能更为不利。
(六)雇主对雇员隐私权的侵犯
工作场所是一个介于私人住所与公共场所之间的空间,雇主的经济利益与雇员的人格利益(隐私权等)常常会产生冲突。雇员网上浏览冲浪、聊天、发送电子邮件等行为甚至邮件的内容都可能被雇主通过监视系统拦截获悉。诸如Dick Tracey、Spector、Little Brother、Internet Watch Dog、Web Sense以及上海开发的一种名叫“网络神探”的软件就可以监视和记录雇员在办公电脑上的一举一动。通过监视获得的雇员“不务正业”的证据甚至可以作为合法解雇雇员的依据,雇员的隐私权在这里毫无保障。
(七)政府的侵权行为
甚至连一向强调保护个人隐私的美国政府也在侵犯他人隐私事件中扮演不光彩的角色。美国联邦调查局(FBI)的“食肉者”网上邮件窃读系统最近引起轩然大波。该系统可以被安装在网络服务商的设备上,从浩如烟海的电子邮件中找出发自或送至目标嫌疑犯的邮件,并将其内容复制到“食肉者”电脑的硬盘上。但人们无法确定该系统是否仅仅读取那些只与罪案调查有关的电子邮件而不侵犯网民的其他隐私,从而引起了用户甚至是服务商的极力反对。现在越来越多的美国法庭批判在对案件审理中对家用PC进行调查取证,如莱温斯基一案。而英国已经通过了一项授予警方和安全部门广泛的权力来截取、破译公司、组织、公民之间的电子邮件和其他信件的法律,这使得英国成为西方国家中唯一的其政府可以要求使用因特网的任何人交出破译电子邮件和其他加密资料的密钥的国家。
(八)黑客的攻击
黑客(Hacker)往往令人们谈之色变。他们通过非授权的登录(如让“特洛伊木马”程序打着后门程序的幌子进入你的电脑)攻击他人计算机系统,窃取网络用户的私人信息,从而引发了个人数据隐私权保护的法律问题。其侵权行为具体表现在:破坏他人通信内容的安全(如截获用户发送的邮件,浏览个人信息)、个人数据资料的安全(侵入系统进行破坏行为致使系统瘫痪、数据丢失)、个人生活的安宁(用户不得不费时费力进行检查维修,支出原本不必要的费用)。同时,储存用户个人信息的网站自身安全管理方面的松懈也纵容了黑客在互联网上肆意妄为,窃取冒用他人身份资料,给用户造成了极大的经济损失。黑客对个人隐私权的侵犯往往会触及刑事领域,引发犯罪行为。
由于技术上的原因,在网上通过解密越权存取他人数据库中的信息资料或者非法收集、储存、传播、利用他人的个人数据是可能的,计算机信息网络也显著扩大了对私人秘密的损害和对个人领域的侵犯。但人们享受高科技发展带来的巨大便利决不能以放弃自己的隐私权作为代价,这种侵权行为的违法性必须由法律做出明确界定。
三、国外相关立法保护模式探析
分析这些不断发生在网络上的侵犯公民隐私权的现象,主要原因在于网络的固有结构特性和电子商务发展导致的利益驱动。此外网民个人隐私权保护意识的缺乏以及相关技术保护措施的滞后也是一个方面的原因。针对信息网络的发展对个人隐私带来的巨大威胁,各国在加强网络隐私的法律保护方面已取得共识。例如我国台湾于1995年8月21日正式实施《电脑处理个人资料保护法》及其实施细则、欧洲共同市场理事会1995年10月通过了《自动处理个人资料保护公约》、美国1986年制定《电子通讯隐私法案》以及德国制定的《电信服务资料保护法》都是值得我们借鉴的。基于“任何对互联网的规制不应阻碍其发展”这一基本原则,各国因对规范网上个人数据资料的收集使用等行为可能对电子商务和网络发展造成的影响的估计不同,对网络隐私权进行法律保护和救济的模式与侧重点也不同。大体上可以分为行业自律与立法规制两类,分别以美国和欧盟为代表。
(一)美国:业界自律模式
美国在隐私权保护的意识与采取的措施方面都走在了世界的前列。1967年通过《信息自由法》,1974年正式制定《隐私权法》,这部法律可视为美国隐私保护的基本法,它规定了美国联邦政府机构收集和使用个人资料的权限范围,并规定不得在未经当事人同意的情况下使用任何有关当事人的资料。20世纪七八十年代又制定了一系列保护隐私权的法律法规。如《公平信息报告法》(Fair Credit Reporting Act of 1970)、《金融隐私权法》(Right to Financial Privacy Act of 1978)、《联邦有线通讯政策法案》(The Federal Cable Communication Policy Act)、《录影带隐私保护法案》(The Video Privacy Protection Act)等。1986年的《联邦电子通讯隐私法案》(Electronic Co
【作者简介】unication Policy Act of 1986)是处理网络隐私方面的重要法案。它规定了通过截获、访问或泄漏保存的通信信息侵害个人隐私权的情况、例外及责任,禁止“向公众提供电子通信服务”的供应商将服务过程中产生的通讯内容提供给任何未经批准的实体。
但对于网络上个人数据及隐私权益的保护,美国更倾向于业界自律。FTC就该问题制定了四项“公平信息准则”,要求网站搜集个人信息时要发出通知;允许用户选择信息并自由使用信息;允许用户查看有关自己的信息并检查其真实性;要求网站采取安全措施保护未经授权的信息。其1999年7月13日的报告甚至认为:“我们相信有效的业界自律机制,是网络上保护消费者隐私权的最好的解决方案。”并表示最近无立法必要。美国电子前线基金会(EFF)与Commerce.net共同发起成立了以倡导网上隐私为主旨的非盈利性机构Truste,对符合不同自律标准的网站颁发认证证书。但民众普遍认为业界自律远远不够,鉴于互联网个人信息被盗取的现象越来越严重,必须有政府立法的介入。另外一些通过Truste认证的互联网络巨型企业如Microsoft、Deja、Realnetworks的网站去年都被指控有侵犯用户隐私权的行为,无疑使Truste的可信度大打折扣。
在这种背景下,第一部关于网上隐私的联邦法律《儿童网上隐私保护法》(Children,s Online Privacy Protection Act,1988)2000年4月21日正式生效。该法规定,网站在搜集13岁以下儿童的个人信息前必须得到其父母的同意,并允许家长保留将来阻止其使用的权利;必须说明所要收集的内容以及将如何处理这些信息。美国总统克林顿也曾签署了《公民网络隐私权保护暂行条例》。1996年底通过的《全球电子商务政策框架》指出:只有当个人隐私和信息流动带来的利益取得平衡时,GII(全球信息基础设施)上的商务活动才能兴旺起来。1999年5月,美国通过《个人隐私权与国家信息基础设施》白皮书,阐述了对信息活动中公民个人隐私权进行保护的政策取向。此外,纽约州亦就倍受争议的网上收集个人资料等问题提出新的立法建议,严禁企业收集并共享能够鉴别个人身份的资料。1997年春,康涅迪格州通过消费者隐私权法案,其中对采用电子邮件形式散发广告进行了限制。
作为判例法国家,美国也通过判例确立了网络隐私权保护方面的一些原则。例如在1993年加利福尼亚州Bourke V Nissan Motor公司一案中,确立了Email中隐私权保护的一般原则:“事先知道公司政策(知道Email可被别人查阅)即可视为对隐私权无合理期望。且所有者、经营者对本网络的访问不构成截获。”1994年Steve Jackson Games V美国特勤处一案中明确,国家机构未经授权不得私自阅读或删除私人的电子邮件,截获电子邮件数据更需获得法律执行令而非搜查令。
(二)欧盟:立法规制模式
与美国相比,欧盟更注重通过立法来保护个人资料的安全。欧盟议会1995年10月24日通过的《欧盟个人资料保护指令》(EU Data Protection Directive)几乎包括了所有关于个人资料处理方面的规定。其目的在于保障个人自由和基本人权,以及确保个人资料在欧盟成员国之间的自由流通。根据该指令,资料控制者的义务主要有:保证资料的品质、资料处理合法、敏感资料的禁止处理与告知当事人等。资料当事人则享有接触权利与反对权利,并有权更正删除或封存其个人资料。1996年9月12日欧盟理事会通过的《电子通讯数据保护指令》是对《欧盟个人资料保护指令》的补充与特别条款。1998年10月,有关电子商务的《私有数据保密法》亦开始生效。1999年,欧盟委员会先后制定了《Internet上个人隐私权保护的一般原则》、《关于Internet上软件、硬件进行的不可见的和自动化的个人数据处理的建议》、《信息公路上个人数据收集、处理过程中个人权利保护指南》等相关法规,为用户和网络服务商(ISP)提供了清晰可循的隐私权保护原则,从而在成员国内有效建立起有关网络隐私权保护的统一的法律法规体系。
由于《欧盟个人资料保护指令》第25条规定,有关跨国资料传输时,个人资料不可以被传送到欧盟以外的国家,除非这个国家能够保证资料传送有适当程度的保障。这就对美国形成严重的非关税壁垒。经过两年多的谈判,今年2月,欧盟与美国达成保护网上交易隐私协议。根据该协议,网上交易公司在收集个人信息时必须就相关信息的用途向用户发出通知,在该信息被用于最初收集目的以外的其他目的时也必须通知用户,用户还有权获得了解上述信息的网上途径。自我约束的网上交易公司如未经“安全港”监视机构批准就擅自开展业务,将会受到联邦贸易委员会、司法部以及州总检察官关于从事欺骗性经营活动的指控。这一协议也反映出电子商务环境下隐私权保护的国际化、全球化、一体化的趋势。
除了上述两种立法保护模式之外,还有一种“技术及消费者自我主导模式”,强调通过加强消费者的权利保护意识和结合使用相关软件如“个人隐私选择平台(P3P)”等方式达到保护网络隐私权的目的。但由于这类系统或程序本身的安全性和可信度仍值得怀疑,因此这些工具性的技术软件并不能完全取代网络隐私保护的法律框架,而仅具有辅助保护的作用。
四、我国网络隐私保护立法模式选择与体系构建
我国宪法第38条、第39条、第40条关于公民人格尊严、私人住宅、通信自由和通信秘密的保护规定为其他部门法及司法解释保护公民个人隐私留下了广阔的空间。民法、刑法、诉讼法以及《未成年人保护法》、《妇女权益保护法》、《残疾人保护法》、《统计法》、《银行管理暂行条例》等单行法规中都有关于隐私权保护的零散规定。但目前对公民隐私权益的民事法律保护主要还是来自最高人民法院的司法解释,如《关于贯彻执行<中华人民共和国民法通则>若干问题的意见(试行)》、《关于审理名誉权案件若干问题的解答》、《关于确定民事侵权精神损害赔偿责任若干问题的解释》等,这些规定是我国目前最主要的处理隐私权纠纷的法律依据。
《关于贯彻执行<中华人民共和国民法通则>若干问题的意见(试行)》第140条规定:“以书面、口头等形式宣扬他人隐私,或者捏造事实公然丑化他人人格,以及用侮辱诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。”此外,最高人民法院《关于审理名誉权案件若干问题的解答》亦明确指出:“对未经他人同意,擅自公布他人隐私材料,或者以书面、口头形式宣扬他人隐私,致他人名誉受到损害的,按照侵害他人名誉权处理。”前两项司法解释仅仅将公民隐私权益归入名誉权中进行间接保护。然而,隐私权作为一项独立发展的权利,与名誉权虽有密切的联系,在某些情况下可能出现交叉,却是相互区别的两个独立领域,二者的主体、性质、调整范围、侵权方式、保护方法都是截然不同的。名誉权所关注的是与民事主体名誉有关的事实表述是否真实及评价是否适当,而隐私权所关注的则是民事主体的私人生活安宁以及私人信息秘密不被侵犯。
今年2月26日最高人民法院《关于确定民事侵权精神损害赔偿责任若干问题的解释》则将隐私作为一项独立的人格利益,不失为立法的一种进步。但是,该解释仍未从法律上确立隐私权作为一项独立民事权利的地位,隐私权仍不能与名誉权、荣誉权、肖像权等人格权并列,这又不能不说是一种遗憾。解释第1条规定:“违反社会公共利益、社会公德侵害他人隐私或者其他人格利益,受害人以侵权为由向人民法院起诉请求赔偿精神损害的,人民法院应当依法予以受理。”其第3条又规定非法披露、利用死者隐私,或者以违反社会公共利益、社会公德的其他方式侵害死者隐私,其近亲属因此遭受精神痛苦,向人民法院起诉请求赔偿精神损害的,人民法院应当依法予以受理。
可见,迄今为止,我国还没有把隐私权作为一项独立的人格权在法律上加以规定,在隐私权的保护方面没有专门的法律法规,仅在司法实践上确认将隐私权归于名誉权中加以保护,或作为一般人格利益的内容之一。不对隐私权进行专门立法保护无法解决我国在隐私权保护传统领域的难题(如隐私权保护与名誉权保护的交叉、与言论表达自由和新闻出版自由的界限等),更无法面对信息技术的高速发展和电子产品的广泛应用对网络空间个人隐私权提出的挑战。
在隐私权保护法律基础与社会环境都还相当薄弱的中国,更谈不上对网络空间的个人隐私权进行完善的法律保护。同时由于网络本身的开放性、全球性、不完善性,以及人们隐私权法律意识的淡薄,加之隐私权侵权案件的侦察、起诉、取证、审判等方面都存在困难,使公民个人的网络隐私权无法得到基本的法律保护。就我国目前的现状而言,网上消费者既无专门的网络隐私保护的规定可供适用,也无法求助于传统隐私权的保护手段进行救济。对网络隐私的保护仅仅限于国内一些网站形同虚设的隐私保护声明,但这些隐私政策公告大多内容简单,且不涉及对个人资料的使用说明以及相关的安全保证,相反,还附上了许多免则条款,其效果可想而知。
尽管网络隐私可以作为传统隐私的一种新的补充和扩展形式,但没有特别针对网络个人资料的保护和利用的法律规定,仅仅依靠过去的一些立法来保护一般民众的网络隐私权与个人资料是远远不够的,上述规定显然无法对其提供充分的保护。为了规范我国计算机信息网络的发展,有关部门曾相继出台了一些规定,其中也涉及到网络空间个人隐私权的法律保护问题。例如《中华人民共和国计算机信息网络联网管理暂行规定实施办法》第18条规定:“用户应当服从接入单位的管理,遵守用户守则;不得进入未经许可的计算机系统,篡改他人信息;不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私……。”《计算机信息网络国际联网安全保护管理办法》第7条:“用户的通信自由和通信秘密受法律保护,任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。”2000年1月《全国人大常委关于维护互联网安全的决定》规定:利用互联网侮辱他人或捏造事实诽谤他人及非法截获、篡改、删除他人的电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密的,可以构成犯罪,依刑法追究刑事责任。上述规定都是原则性的,太过于笼统,其保护手段无疑是相当脆弱的,不便于实际操作,根本无法为网络隐私权提供足够的保护。
在网络利用日趋便捷,网络资料储存交换日渐普及的今天,消费者的个人资料和个人隐私如何保护,服务商对取得的个人资料应如何利用和流通,是我国网络和电子商务发展所必须面对的一个重要问题。但是,在事实上承认网络隐私权作为一项互联网新概念的存在和在法律上对其进行确认并加以保护并不是完全等价的,这首先涉及到立法模式的选择问题。有人主张选择行业自律模式,但与西方国家相比,我国长期以来对个人隐私权的保护不甚重视,此外不论是商业网站还是公民个人的隐私权观念都很薄弱,这是传统法律文化的历史积淀所致,不是短时间内可以改变的。因此,笔者主张应借鉴欧洲大陆国家的立法规制模式而非美国的行业自律模式。此外,针对有的学者倾向于在不同的法规中对网络个人隐私权进行保护的分散立法体系,我们认为,对于连专门的隐私法都没有制定的我国而言,保护网络用户个人资料的任务尤为艰巨,网络个人数据和隐私保护的立法所涉问题更为广泛,阻力也更大。若再将网络隐私权的保护依赖于不同的部门立法,不仅会造成体系的混乱和不完善,也会使网络隐私权立法成为一项旷日持久的工作,因此,不宜施行。
我们应该在考虑本国国情的同时,积极关注国际上的立法趋势和立法动态,从中吸取可行的经验措施,形成我国网络隐私立法的一般方式和原则。并逐渐向隐私保护的国际标准靠拢,取得国际协调,争取在电子信息网络建设和发展刚刚起步的时候取得主动。首先应从法律上明确隐私权作为独立民事权利的地位,进而尽快制定《隐私权法》,既加强对隐私权的传统法律保护,也重视对信息时代下网络隐私权的调整,建立一套完整的隐私权保护的法律法规体系。在目前条件不成熟的情况下,当务之急是拟定相关条例、决定或司法解释,填补我国网络隐私保护方面的空白。内容包括:
第一章:总则。对发布本法的目的、法例的规范对象及其资格取得、网络隐私权的定义、权利内容以及其法律地位等进行规定。应注意针对台湾《电脑处理个人资料保护法》规范对象太过狭窄的缺陷,规定凡是在网络上对他人个人数据资料进行收集、处理、使用的一切个人及组织都应受到本法的规范,但其责任承担应根据是否出于营利目的而有不同。此外,因网络隐私侵权的证据只能是电子证据,在总则中应确立电子证据在一定条件下作为证据提交的法律效力以及举证责任的承担问题。
第二章:主要立法原则。包括收集限制原则——资料收集需以合法公正手段与方式并尽到告知义务;资料内容正确性原则——要求资料于利用目的范围内力求正确、完全及最新;目的明确化原则——收集目的必须事先明确,且利用时应受该目的限制;限制披露原则——不得将所收集的资料对第三人做收集目的之外的披露;安全保护原则——对收集到的个人资料必须进行合理安全的保护;公开原则——对个人资料的开发利用以一般公开为原则;个人参与原则——个人有权对自己的资料行使了解、消除、更新等权利;责任原则——资料库控制者应对其管理的资料负完全责任;使用限制原则——个人资料不应供作收集目的之外的利用,除非经过资料主体同意或依法律之规定;个人取用原则——资料主体有权随时取用、复制自己的资料等等。
第三章:个人数据资料的收集和持有。数据管理人收集数据的法律依据、法定程序与范围、收集目的及告知义务等,并应确保所收集数据的准确与完整。
第四章:个人数据资料的利用与安全。数据管理人必须在法律事先许可或个人同意的范围内使用数据,资料的使用不得侵犯他人的合法权益,并应采取相应的安全措施进行必要的保护。此外,为了保障国家安全与社会公共利益,数据主体的隐私权利也要受到一定程度的限制。
第五章:个人数据资料的披露和公开。数据的持有者对他人的数据资料负有保密义务,未经同意不得向第三人做收集使用目的之外的披露公开。合法的公开也要履行一定的程序。
第六章:数据主体的权利与义务。包括在资料被收集、持有、使用、公开过程中的知悉权、自主控制权、接触权、更正与公开权、请求救济权等。还应包括一定条件下的如实告知义务和协助义务。
第七章:公民网上私人活动、私人领域、私人生活安宁不受非法侵扰。在前几章对个人数据进行充分保护的基础上,本章针对网上侵权的其他领域(例如对私人活动的侵害,主要表现为对他人上网浏览或购物的全过程实行记录、监视、分析和利用;对私人领域和私人生活安宁的侵害,表现为发放垃圾邮件,占据消费者有限的邮箱空间或增加消费者的额外支出、采用非法手段访问他人电脑系统和数据资料库等等),规定权利人的隐私权利和相对人的义务。
第八章:儿童隐私的特别保护。儿童因其心智不成熟,与成人相比其隐私保护具有特殊性,应借鉴美国的《儿童网络隐私保护法案》赋予家长在儿童资料被收集使用过程中的“守护者”角色,保护儿童网络隐私的安全。
第九章:侵权救济与法律责任。规定公民权利遭受侵害时的救济途径,并规定当事人违反法律规定时应承担的法律责任。同时对于行为人的免责事由做出规定。
第十章:罚则。对侵犯他人网络隐私情节严重、构成犯罪的行为,做出刑事处罚的规定,弥补我国刑法在这方面规定的不足。
第十一章:附则。对实施细则的制定权、相关管理机构的设立权、法例的施行日期等事项进行规定。
华盛顿电子隐私信息中心主任Rotenberg曾在《纽约时代》杂志上撰文指出“隐私之于下世纪的信息经济,如同消费者保护问题和环境问题之于20世纪的工业社会。”如何在推动网络环境下电子商务健康快速发展的同时,满足公民日益增强的网络隐私权保护要求,已成为全世界关注的一个热点问题。这就需要在法律框架、公民个人意识、企业自律、技术创新完善等方面做出努力。我们有理由相信,通过各国的积极协调和共同努力,网络隐私权的保护工作必将取得巨大进展,一个安全、高效、文明的网络新时代必将到来。
参考文献回目录
http://news.duba.net/contents/2009-03/24/6952.html
http://en.wikipedia.org/wiki/Electronic_Privacy_Information_Center
