摘要
随着社会的进步和科技的不断发展,互联网成为人们生活中不可或缺的东西,人们的消费、服务和工作等等都大量使用网络和接触网络,可以说,人们从互联网中大获益处,互联网将人类的生活引领至了科技前沿,甚至可以说,互联网的发展推动了人类的文明进步。但这种“便捷式”的生活却随之带来一系列的问题:因为这种“便捷”,公民的个人信息被大量的商家有意的收集、加工,商家们收集这些信息一方面是为了加大和提高服务质量,能够准确掌握服务对象的精准度,但往往这种收集加工公民个人信息的方式也提高了暴露公民个人隐私的风险,信息在被收集、分析和使用过程中会不经意的被暴露、转卖。例如:年龄、身高、健康与家族病史等代表生理特征的信息;姓名、家庭住址、职业、手机号码等代表社会特征的信息;纳税记录、信用状况、手机通讯录等代表行为特征的信息。
在当今时代,网络对公民个人隐私信息获取的手段种类繁多,互联网通过采用交互式的传播,对经过加工整理的信息进行分析,将公民的上述隐私作为其商业销售对象进而继续服务,同时也带来了将公民这些信息在公众面前被暴露无遗的情形。公民的个人隐私被暴露在网络上,使那些不愿意被他人所知晓的个人姓名、联系方式、家庭住址、遗传病史、工作职位等信息被他人所知晓,公民个人受到商业销售的频繁骚扰;商家会根据消费者的消费历史推销商品,医院会根据病史来推销治疗方案,金融平台会根据金融信息推销理财产品,甚至因为这些信息泄露导致不法分子们对公民进行诈骗。这些一系列侵权行为的发生,让人民愈加重视在互联网的背景下对于隐私权的保护。
关键词:隐私权、网络隐私权、隐私权保护
一、互联网背景下侵犯公民隐私权的案例分析
(一)案情简介
朱烨在使用单位和家中的网络上网浏览相关网站时,发现如果利用“百度搜索引擎”搜索相关的关键词之后,会在一些特定的网站上出现与关键词相关的一系列广告。于是,在2013年4月17日,朱烨通过百度网站搜索“减肥”、“人工流产”、“丰胸”等一系列关键词,然后再在地址栏输入www.4816.com,www.500kan.com,等网站后,网页就会出现一系列有关“减肥”、“人工流产”、“丰胸”等相关广告,广告左下面的“掌印”标识,会出现网址是http://wangmeng.baidu.com的网页,此网址是“百度网盟推广官方网站”。即使删除了历史记录,再次进入4816和500kan等网址,依然还是会出现“减肥”、“人工流产”、“丰胸”等相关广告。另外,百度(www.baidu.com)首页设置了一个链接—《使用百度前必读》,该链接放置于页面的最下方,并且用下划线进行了标注,但字体较小并且呈灰色,夹在了“◎2014Baidu”与“京ICP证030173号”中间。点击进入“使用百度前必读”,页面右侧放置了“隐私权保护声明”的链接,点击进入,该声明共六条,在第二条第三款告知用户百度网讯公司使用了cookie技术,cookie主要的功能就是“方便用户使用网站产品和/或服务,以及帮助网站统计独立访客数量等。运用cookie技术,百度能够为您提供更加周到的个性化服务,并允许您设定您特定的服务选项。当您使用服务时,会向您的设备发送cookie。,
2013年5月6日,朱烨认为百度网讯公司利用网络技术,未经朱烨本人许可,记录并跟踪了其本人所搜索的相关关键词,使朱烨本人的兴趣爱好、工作生活学习等特点显露在了相关的网站上,同时百度网讯公司利用记录的关键词对朱烨浏览的网页进行了大量的广告投放,侵犯了朱烨的隐私权,使其感到恐惧并且精神高度紧张,影响了正常的生活和工作,因此上诉至法院,请求判令百度网讯公司:立即停止侵害朱烨隐私权的行为并且赔偿朱烨精神损害抚慰金10000元,同时承担公证费1000元。
(二)裁判结果及理由
1、一审裁判结果:百度公司侵犯了朱烨的隐私权。
一审法院认为,隐私权是自然人所享有的,其私人生活安宁和私人信息依法受到保护并且不被他人非法侵扰、知悉、搜集、利用和公开的权利。在本案中,百度网讯公司利用cookie技术收集了朱烨的个人信息,并在违背其个人意愿,不知情不愿意的情形下进行商业利用,侵犯了朱烨的隐私权。
法院认为,所谓的个人隐私概念,除了用户个人的信息外,还应该包括用户的私人活动和私有领域。朱烨虽然利用特定词汇进行网络搜索时在互联网的空间中留下了私人的活动轨迹,但这一活动轨迹展示的是朱烨个人上网的偏好,反映的是朱烨个人的兴趣、需求等私人信息,在某些方面标识了个人的基本情况以及个人的私有生活情况,应该属于个人隐私的范围。
其次,虽然cookie技术识别和跟踪的是网民所使用的浏览器,但浏览器本身不会直接产生用户个人数据或信息,它只是网民用来借助形成相关数据和信息的工具。所以,当朱烨在固定的IP地址利用特定的词汇进行网络搜索时,其个人本身就成为了特定信息的产生者和掌控者,而百度网讯公司通过cookie技术收集利用这些信息时,cookie技术其实并不存在侵权问题,但巧就巧在百度网讯公司在使用cookie技术的同时,收集了朱烨个人网上活动轨迹,并且根据他的上网信息在百度网讯公司的合作网站上展示了与其上网信息有一定相关联的推荐广告内容,进一步利用了他人隐私进行了商业活动,但这种利用却不是使用cookie技术的必然结果,因此已经构成侵犯他人的隐私权。
最后,因为百度网讯公司在网站中是属于利用默认的形式来阐述网民同意百度网讯公司使用cookie技术收集并利用他们的上网信息,网民可能压根不知道自己的私人信息可能会被商业搜集和利用以此令不良商贩获利,更无从对此表示否认或同意,这就要求百度网讯公司在默认用户在“选择同意”时,应该承担更多和更严格的说明和提醒义务,以方便网民对百度网讯公司的行为有充分的了解,进而作出理性的选择,尊重用户的知情权和选择权。但百度网讯公司网页中的《使用百度前必读》标识中,虽然有一定的说明和提示的内容,但这些字却放在了网页的最下方,不仅字体明显较小,而且还夹放在“◎2014Baidu”与“京ICP证030173号”中间,实在难以识别并不能提醒用户加以注意,根本不能起到规范的说明和提醒作用,因此,这些行为不足以让朱烨明了存在“选择同意”的权利。所以对百度网讯公司关于已经保障了用户的知情权和选择权的观点,不予采纳。
最后,一审法院判决百度公司侵犯朱烨隐私权,需要承担侵权责任。宣判后,百度公司不服原审判决,向本院提起上诉,请求撤销原审判决,依法改判驳回朱烨的原审全部诉讼请求。
二审裁判结果:百度公司不构成侵权。
南京市中级人民法院在受理案件后,经审理最终在2015年5月6日做出(2014)宁民终字第5028号民事判决,并在判决书中写到:首先,个人信息,指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的网络用户姓名、出生日期、电话号码、身份证件号码、住址、账号和密码等能够单独或者与其他信息结合识别用户的信息以及网络用户使用服务的时间、地点等信息。网络用户通过使用搜索引擎所形成的检索关键词记录,虽然反映了网络用户的一定的个人信息和网络活动轨迹及上网偏好,具有一定的隐私属性,但这种网络活动轨迹及上网偏好一旦和用户的自身剥离出来,便不能确定具体的信息归属主体,不再属于某一个人信息的范畴。经查,百度网讯公司的个性化推荐服务收集和推送信息的终端是浏览器,并没有专属定向识别使用该浏览器的网络用户身份。虽然朱烨认为其因使用同一浏览器,感觉自己的网络活动轨迹和上网偏好被百度网讯公司收集利用,但事实上百度网讯公司在提供个性化推荐服务中将并没有将朱烨的个人身份信息联系起来并利用推广来以此盈利。因此,原审法院认定百度网讯公司收集和利用朱烨的个人隐私进行商业活动侵犯了朱烨隐私权,二审法院认为与事实不符。
其次,百度网讯公司利用cookie技术向朱烨所使用的浏览器提供个性化推荐服务不属于《规定》第十二条规定的侵权行为。《规定》第十二条强调了“利用网络公开个人隐私和个人信息的行为”和“造成损害”是利用信息网络侵害个人隐私和个人信息的侵权构成要件。但在本案中,百度网讯公司利用cookie技术通过百度联盟合作网站向用户提供个性化推荐服务,其检索关键词海量数据库以及大数据算法均在计算机系统内部操作,并没有将百度网讯公司因提供搜索引擎服务而产生的海量数据库和cookie信息向第三方或公众展示,没有任何的公开行为,没有侵犯到公民的隐私权,不符合《规定》第十二条规定的利用网络公开个人信息侵害个人隐私的行为特征。朱烨本人也没有提供有效证据证明百度网讯公司的个性化推荐服务对其造成了事实上的实质性的损害。虽然朱烨在诉讼过程中反复强调自己因百度网讯公司的个性化推荐服务感到恐惧、精神高度紧张,但这些只是朱烨个人的主观感受,法院不能也不应该只凭朱烨的个人主观感受就认定百度网讯公司的个性化推荐服务对朱烨造成事实上的实质性的损害。
再次,百度网讯公司利用cookie技术对朱烨提供个性化推荐服务,二审法院认为这种行为没有侵犯网络用户的选择权和知情权。百度公司在《使用百度前必读》中已经明确告知网络用户可以使用包括禁用cookie、清除cookie或者提供禁用按钮等方式阻止个性化推荐内容的展现,尊重了网络用户的选择权。至于原审法院认为百度网讯公司没有尽到显著提醒说明义务的问题,本院认为,cookie技术在当前互联网领域是一种普遍采用的信息技术,基于这一技术而产生的个性化推荐服务也仅是涉及匿名信息的收集、利用,且使用方式只是为了将该匿名信息作为触发相关的个性化推荐信息的算法之一,网络服务提供者对个性化推荐服务依法明示告知即可,网络用户亦应当努力掌握互联网知识以及熟练掌握使用技能,提高自我适应能力。经查,百度公司将《使用百度前必读》的链接设置于首页下方与互联网行业普遍通行的设计位置相符,链接字体虽小于处于首页中心位置的搜索栏字体,但该首页的整体设计风格简单大方,没有过多设计图片和文字进行刻意干扰,网络用户普通都能够注意到该链接。在《使用百度前必读》中,百度网讯公司已经明确说明cookie技术和使用cookie技术后所产生的可能性后果,并且已经通过提供禁用按钮为用户提供选择退出机制,朱烨在使用百度网讯公司所提供的服务时已经被明确告知了上述事项,但其仍然选择继续使用百度搜索引擎服务,应该将他的行为视为对百度网讯公司采用默认“选择同意”方式的认可。《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)5.2.3条规定:“处理个人信息前应该征得个人信息主体的同意,包括默示同意或明示同意。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人信息主体的明示同意。”参考国家标准化指导性技术文件,将个人信息区分为个人敏感信息和非个人敏感信息,一般个人信息允许采用不同的知情同意模式,目的在于,在保护个人人格尊严与促进技术创新之间能够寻求最大公约数。举重以明轻,百度网讯公司在对匿名信息进行收集、利用时采取明示告知和默示同意相结合的方式当然不违背国家对信息行业个人信息保护的公共政策导向,未侵犯网络用户的选择权和知情权。
综上所述,百度网讯公司的个性化推荐行为不构成对朱烨隐私权的侵犯。原审判决认定事实基本清楚,但判定百度网讯公司承担侵犯朱烨隐私权的法律责任不适当,本院依法予以改判。
二、隐私及网络隐私权的概念及起源
(一)“隐私”的概念
“隐私” 这一词语自古以来就已经存在,它是一种很宽泛的概念,历代的学者对于“隐私”的概念和如何保护隐私进行了深刻的探讨及研究。大部分的学者将隐私的定义分为两大类:第一种,是将隐私看成是一种人权,是人和社会的价值所向;第二种,是将隐私看成是一种状态,关系到公民个人的思想、认识和感知。因此对于隐私的定义也是多种多样,并没有统一的答案。
(二)“隐私”的起源
隐私的法律起源可以追溯到19世纪末的X,更具体的说,追溯至业已成为经典法律文献的Charles Warren和Louis D.Brandeis所著的著名论文《隐私权》[2]。正是在Warren和Brandeis他们的论文中,隐私被首次认为是有价值的社会利益而应得到法官的明确保护。为了支持自己的观点,Warren和Brandeis主张,在普通法中隐私早已视为值得保护的隐含价值。普通法上业已存在知识和艺术产权,而对前述权利的司法保护则被解读为更为宽泛的隐私利益的表征。因此,越是具体的权利背后蕴含的原则反而越抽象[2]。普通法中所暗含的隐私利益促使Warren和Brandeis得出了结论:隐私本身应当被视为普通法上的一项权利。作为普通法上的权利,隐私应当得到承认,并且得到普遍且连续的适用。
对Warren和Brandeis而言,隐私,毫无疑问,有着明确的含义。他们的论文原本是对新闻界日益侵入公民私人生活的回应。在他们两人看来,这种侵入在各个方向都僭越了得体和正派的界限[3]。他们论文的主要目的是试图找到对侵入行为提起侵权之诉的法律基础。隐私的概念因而被精心塑造为能够支持反对强大大众传媒斗争的形态。将其描述为“不受干扰的权利”[4],Warren和Brandeis将隐私设想为在没有涉及公众或者整体利益的情况下,通过阻止未经同意的出版和复制其艺术、文章、肖像、声音等作品或者与之有关的任何事实,换言之,有关其人格的任何方面的方式,保障个人保有内心安宁的权利。
虽然Warren和Brandeis论文的发表没有立即影响到立法和判例[5],但却将其他研究者的目光吸引到隐私之上。他们观点中的创新之处对大多数现代研究者产生了积极影响,为数众多的研究者欢迎并且接纳了他们的观点。然而,他们的论文依然受到并且仍在受到来自不同角度的猛烈批评:保护隐私的必要性和可行性受到挑战[6];“隐私的大众传播侵权”受到批评[7];证明隐私在普通法传统中已经受到有限和间接保护相关案例的可靠性受到质疑;甚至连文章的开创价值也遭受非议。类似Warren和Brandeis提出的确定隐私概念的指导原则亦并非总被接受[8]。
因此,Warren和Brandeis的论文提出了保护隐私的问题,但远远没有明确隐私的概念。并且,我个人认为即使研究者们一致同意Warren和Brandeis的观点,隐私的概念依然能够成为问题,因为Warren和Brandeis并未就此给出完整答案。即使承认隐私的概念包括不受传媒恣意干涉个人事务的自由显然也是不够的。因为在此领域外,公民个人生活的不同方面已经以一种多多少少尚存争议的方式涉及隐私问题。“不受干扰的权利”表述本身并无更多助益。这样的表述虽然生动,但却略显夸张,界定含糊且松散,因此,纵然学者们因其鲜明的形象有所偏爱,但却无法成为各方共识的坚定基础。
结果,超过一个世纪以来,学者们,特别是X的学者们一直在为系统地解析隐私概念而努力。自隐私保护原则被X法院大体接受以来,绝大部分精力都耗费在了“论证基于一般隐私侵权做出的法院裁判”“根据受到威胁的隐私面向归类裁判”以及“批评法院对隐私的解读”等事务之上。
(三)现代的“隐私”
正如前面所说的历史回溯所展示的那样,隐私在法学界的崛起本身是充满争议且不系统的。这种背景解释了当今对隐私认识的多样性以及对其定义缺乏共识的缘由。当然,的确存在着对其核心内涵的表面共识。就此而言,法律文献几乎没有反映出西方社会中对隐私基本的、普遍的认识。事实上,隐私似乎被公认为包括隐逸或者独处的权利[9](保持安宁的权利,保持匿名或者不受不必要干涉的权利)。对于将隐私作为“掌控自我信息”(作为秘密或者受庇护的隐私)的观点而言,前述说法也能成立。
在共识之外,有关隐私范围的争论则甚为激烈。例如,X联邦最高法院将隐私与“自治”关联起来,将之理解为作出诸如使用避孕药具等个人私密决定的权利。这种观点同样招致批评,因为“隐私”和“自治”被认为不仅概念不同,其所牵涉的自由权利亦有所区别。更准确的说,前者被认为描绘了一个领域,在其中,个人得以免受侵扰,而后者则关涉个人按其意愿行事的自由,即描绘了一个个人自由的领域;甚至有观点认为,最高法院将“隐私”与某种行为自由关联起来,是错误地将“隐私等同于人们保有隐私的意图”[10]。由于做出私密决定的个人自治观念乃是是否承认隐私是一种普遍的、包罗万象的宪法权利的试金石,这些批评意见显得尤为中肯。
其次,X法院在受到侵权法保护的隐私权领域中加入了“姓名权和肖像权”,例如,人人享有的掌控其姓名及本人肖像使用的权利。一个侵犯此种权利的典型例子是在广告或为其他目的,未经同意使用原告的姓名或者肖像(如照片)。将此权利视作隐私的组成部分历来备受争议。有反对观点认为,个人的姓名和肖像,与其被视作隐私的面向,倒不如说是“公开权,即从某人受到公众的注意当中赚取利益的权利”,“类似于著作权或者商标权的商业权利。”换言之,是一种财产权利。在该问题上的批评意见同样对隐私的定义产生了重要影响。其原因在于,在侵权法领域,对个人姓名权及肖像权的保护扮演了促成保护隐私这一司法趋势的关键角色[11]。
(四)网络信息中的公民个人隐私权
互联网被誉为20世纪最伟大、最具创新性的发明。自20世纪50年代开始,计算机技术和信息技术相结合,产生了计算机网络。互联网的发展改变了人们的生活和交往方式,也改变了隐私权的概念和内容。与大数据信息处理相比,互联网的普及可以看成是信息化时代,通常称之为网络信息化时代。而网络信息化所带来的社会变化却改变了隐私权保护的基本内容和权能属性。
1、个人信息成为网络隐私权保护的主要客体
X、德国等发达国家在19世纪末20世纪初令隐私权得到了体系化的法律保护。但随着人类社会大步迈入网络信息社会后,保护个人隐私便重新成为了世界各国必须面对的重要问题。个人信息成为隐私权保护的最主要客体,各国在原有的隐私权法律保护的基础上,也纷纷出台以保护个人信息为核心的隐私权专门法律。
20世纪60年代的X民权运动追求个人自主的自由,隐私权保护的内容发生了一系列的变化。1965年格里斯伍德诉康涅狄格州案后,X联邦最高法院通过若干重要判解释并阐述了隐私权的概念,在生育自主、家庭自主、个人自主及信息隐私四类案件中确定了隐私权保护[12]。而隐私权保护的核心内容就是个人自主性决定。与此同时,为了适应信息化社会的发展,XX在征税、发放社会福利、公共卫生监督、指挥军队及执行刑法等方面皆须保存大量数据信息,其中大部分是公民个人数据信息,这些数据信息一旦公开将会对个人人格造成损害。XX只能为了公共利益收集和使用个人数据信息,同时承担避免不当公开的法定义务,这项义务的根源来自于宪法。至此,对于个人隐私权保护首先在对抗XX利用计算机收集处理个人信息的领域,X率先推进。在Whalen案之后,X关于信息隐私的保护,有两个发展重点:法院通过个案利益衡量的方法,去判断XX在收集、利用个人信息的合宪性或合法性;制定隐私保护特别法。由此可以得出,电脑与网络使得记载和传播个人信息成为可能,隐私权的客体内容在个人信息的角度进行了全面的聚合,而保护个人隐私的立法也得以实际操作。X1974年制定的《联邦隐私权法》从内容上看,就是约束XX机构对个人信息的采集、使用、公开和保密等行为,该法律通过规范联邦XX处理个人信息的方式,平衡了公众利益和隐私权。
德国《人口普查法》于1983颁布,以便进行全面的人口普查。结果,《人口普查法》的颁布引发了全社会的抗议,并引发了宪法诉讼。该法后被联邦宪法法院判决违宪,并创设了个人信息自主(自决)权。该案的判决有三重重大意义:一是在特定的一般人格权保护范围内,进一步创设了个人信息自治。二是在方法上对“领域理论”进行了扬弃,不再从阶层上区分个人事务,并进行不同程度的保护,评定标准改为数据的使用或结合的可能性。三是创设信息自主权,信息数据收集处理的宪法规范性保障得以强化,为立法权、行XXX、司法权行使提供了一个宪法基准。“一般而言,德国人格权法中隐私权领域的发展是从信息自主领域理论到信息概念的发展,构建了以信息自主权为中心的法律规范体系”[12]如果说X的隐私权保护面对网络信息的发展在个人信息保护上找到了着力点,那么德国的隐私权保护则几乎直接被信息自主权所取代。
随着网络信息化的大力发展,以德国为代表的欧洲国家纷纷制定了个人信息数据保护法。为了统一各成员国的法律,1995年欧盟发布了《欧洲议会和欧盟理事会1995年10月24日与个人数据处理有关的个人保护以及此类数据的自由流动指令》,2002年欧盟又发布了《欧洲议会和欧盟理事会2002年7月12日关于电子通信领域个人数据处理和隐私保护指令》,2006年欧盟再次发布《欧洲议会和欧盟理事会2006年3月15日关于保留公用电子通信服务或公共通信网络中处理或生成的数据以及修改指令》。以上三个指令,构成了欧盟目前个人数据保护法的主体。根据欧盟1995年指令的要求,成员国已对其个人信息保护法作出了修改。X虽然也同时面临着个人信息数据被滥用的冲击,但X却没有制定统一的个人数据保护法,仅仅只是针对个人信息数据被滥用危险比较大,个人利益特别需要保护的特殊部门进行特别立法。X继1974年制定《联邦隐私权法》后,1980年制定了《隐私保护法》、1988年又制定了《电脑比对和隐私保护法》,对信息数据化个人隐私的保护进行了补充完善,随后又在金融领域、消费者保护领域、家庭教育领域进行了特别立法。在X,网络中的个人信息数据保护更倚重行业自律。例如TRUSTe认证,商业改善局(Better Business Bureau, BBB )下成立的BBBOnline,对达到某种隐私标准的网站进行认证等[13]。
对于电脑直接处理的个人数据或用于识别个人的个人信息的专门立法,是否意味着个人数据或个人信息作为新的权利保护客体而出现?持这样的观点的学者不在少数[14],但是我们也看到,个人信息数据立法通常会和隐私保护联系在一起规定,或者个人信息数据立法的宗旨必然包括保护隐私权,而X一直在用隐私权保护涵盖个人数据或个人信息保护。我认为,从个人信息数据或个人信息保护的价值取向上看,两者的目标都是保护个人自主性控制权和决定权。由于个人信息数据的私人性,以及个人信息与个人之间的私人性联系,从积极意义上说,这是隐私权保护不可避免的内容。当然,隐私是一个比个人信息数据范围更大的概念,“有时,隐私一词可能意味着获取和揭露信息,有时可能意味着身体的隐私,有时又可能指所有权或者控制权,有时又可能指个人的决策权。简而言之,隐私这个词对信息、身体、财产和决策都有含义。”[15]但如果能站在个体自主性的角度来看待隐私权的发展演变,则个人信息时网络信息社会个人隐私权的主要客体内容。这一客体内容的加入,同时改变了隐私权的权能属性。
2、以“私”为核心的网络隐私权
网络隐私权一般是由现实社会中的个人隐私权的相关问题进而延伸至网络空间,因此而产生的[16]。我们可以从三个角度来看隐私权的问题。第一,当我传达信息给你时,你期望知道信息的确是我传给你的。第二,当信息在我们之间相互传送往来时,你并不希望被任何人窃听。第三,一旦所传达的信息已经在你的桌子上,你不希望有人擅自闯入你的空间去阅读信息。这三种情况都很重要。假如做不到的话,都会带来麻烦。我们在网络虚拟空间中也必须保有隐私权[17]。网络隐私权除了个人信息外,也包括网络空间、网络行为、网络方式等内容,当然从广义上看,网络隐私权所表现的形式都是信息。这种变化和XX权力扩张相结合,塑造了完全不同的隐私权权能属性。
20世纪下半叶开始,人类社会通过计算机实现全球互联的交往沟通,网络已经融入了当代人的基本生活。人们社会交往通过网络形式进行,开启了一种新的社会形态–网络信息社会。网络信息社会是一种在虚拟的空间中进而实现全球共享的交往模式。在网络信息社会中人与人、人与物之间的互动,均需要依靠一定的场所或区域来进行,这样一个场所或区域便构成了虚拟的社会交往空间。它是人类文明生活的创造物,是人类文明社会的产物,是现实社会交往空间的延伸。在网络这个互动的场所和区域,人们之间的交往形式有了前所未有的改变。网络社会摆脱了与现实社会中人与人之间面对面交往的直接性,以及活动范围受制于物理空间的狭窄性,实现了最大限度的参与交流与信息共享。
数以亿计的计算机和高速信息系统所构成的网络,以及呈几何倍数增长的网民,组成了所谓的“网络信息社会”。人们在网络信息社会中进行生产活动、经济活动和政治活动,所以他们不得不放弃隐私,在这种几乎没有隐私的情况下,人们逐渐意识到保护隐私权的必要性。X学者弗里德曼提出了“选择的共和国”,试图指明现代社会个人隐私权保护的出路。“当代法律中所定义的隐私概念远远超出了公民对个人空间的基本需求,也超过了对其私生活保密的权利。事实上,在一些重要的方面,这种形式的隐私之战已经失败了。现代技术的进步意味着这种形式的隐私将会消失。只要XX想,它可以在任何地方一字不漏的听到它想听到的任何声音,即便是一个针头掉落到地上所发出的声音。”“从根本上说,这场斗争不是关于收集信息本身,而是关于如何防止个别公民因使用信息而受到伤害。在计算机时代,人们认为世界上的一切都可以被记录下来,或者至少他们屈服于这个无助的现实。因此,隐私与其说是保持秘密的权利,不如说是按照自己的意愿生活的权利,即不受干涉地从事私人行为的权利。[18]”除了上述理论外,对隐私权法律利益的讨论也形成了多重争议的局面[19]。然而,毫无疑问,与最初的隐私权保护相比,互联网信息时代隐私的核心内容已不再是消极的“隐”,而是以“私”为核心的积极的“隐”,即积极行使隐私权。
随着网络信息技术的不断发展,与福利国家XX权力的扩张相结合的状态,使得隐私从“隐”中彻底暴露出来。第二次世界大战后,为了消除饥饿、贫穷、经济危机、社会动乱等自由资本主义的一系列弊端,使得国家权力空前扩张,公民的生存逐渐仰赖于XX,而XX也逐渐越来越多的介入公民的私人生活,管理并干涉公民的私人生活。人们的私生活随时面临来自公权力的侵害。信息技术的出现和发展不仅使人们的私人生活更有可能被公开,而且大大提高了XX处理公民私人信息的能力,1949年英国小说家奥威尔出版了著名的政治幻想小说《一九八四》,在这部小说中他对集权政治进行了讽刺,没想到不经意间预见了以网络信息为基础的当代社会的基本现实。因此,在此意义上的“私”的自主决定性更具有了对抗XX公权力的含义。这是信息社会个人隐私权保护的必然需求。由此,从“隐”到“私”实现了隐私保护重点的转移,“私”成为核心,而“隐”成为“私”的表现手段;隐私不仅包括个人独处意义上的消极“隐”,还包括自我控制意义上的积极“私”。
结合隐私权权利主张的变化我们可以发现,隐私权的价值在个体性与公共性的冲突矛盾中日渐凸显。在信息社会之前,隐私权保护的主张中,“私”将“隐”作为保护伞,达到在“隐”中实现“私”;而进入网络信息社会,在几乎无法“隐”的情况下,隐私权保护首先主张尊重并保护“私”,也就是说,每个公民都有权利对“私”做出自己的决定,控制“私”,并决定是否要回归“隐”。除了公民个人以外利用个人隐私的机关和单位,都必须尊重“私”,从而在公民个人知情的情况下实现“隐”,这就是信息社会隐私权法律保护最重要的变化,其意义表明无法脱离社会公共生活的个人有维护其个体独立地位的自由。简而言之,为了保持个体独立性,个人隐私由个人自主决定;为了参加社会中的集体生活,公民个人在交出隐私的同时也能够控制并要求隐私不受侵犯。所以,“隐私权是公民不受他人和公共权力干扰的权利,也是维护整个自由资本主义多元价值体系的基本条件,使其不会因过多的冲突而崩溃。这是宪法中所有自由的开始,包括言论自由的权利。”从私人领地必须隐于公共事务之外到公民个人面对公共生活可进可退,这不仅仅是人性认识上的一种进步,更是社会发展的必然结果[20]。
网络信息社会隐私权的保护以个人信息自决权为基准,信息主体许可,信息收集者告知和信息主体参与是网络隐私权保护的基本准则。正像有学者研究指出,网络隐私的关注重心是以“个人”和其“个人信息”的紧密结合关系,在社会生活中究竟应该扮演哪种角色,以及应该受到哪种程度的保护与尊重为探讨主轴。“保护公民隐私权的根本目标是通过对隐私权的保护来保护公民的独立性和身份,以达到维护公民个人基本尊严的目的。[21]”这些与网络数据处理相连的个人隐私保护原则,已经通过各国的立法和司法实践得到了践行。但是信息科技的发展非常迅速,一不经意,网络隐私权保护确立的基准,在互联网数据发展的时代车轮面前又将开始经受新的挑战。
三、我国互联网环境下对公民隐私权保护的现状及存在的问题
我国互联网环境下对公民隐私权法律保护的现状通过上述案例一审、二审两个法院截然不同的两个判决可以看出,对于网络环境中隐私权的保护还有着一系列的漏洞和问题有待补正和提高。近些年来,随着公民的个人隐私信息越来越多的被记录、留存在网络空间中,用户们要求对其个人隐私信息保护的呼声也逐步提高,各国都逐渐开始重视这一问题。然而与普通环境中的隐私保护不同,网络信息隐私权保护的权利主体与利益的关系更为繁琐复杂。但目前我国还没有直接针对网络中保护公民隐私权的相关规定,更没有相关公民个人信息隐私保护的直接立法,仅仅从保护隐私权的相关法律法规中予以体现,这就导致出现了大量网络中侵犯公民隐私权的行为。因此,针对我国目前网络隐私权的现状,我提出六点有待提高和改正的问题。一、网络隐私保护立法滞后;二、我国对于隐私权的判定缺乏统一标准;三、缺乏行业自律措施的管理与引导;四、缺乏有力有效的监管机构;五、法律没有明确隐私的具体范围;六、网络隐私数据被不当收集及处理[22]。
(二)我国互联网环境下对公民隐私权保护存在的问题
1.对于隐私权的判定我国缺乏统一标准
在互联网中侵犯隐私权的案件中,行为人是否需要承担侵犯隐私权的侵权责任的重点在于他人对自己的私密空间和私密信息是否享有隐私权。如果他人对其主张的私密空间和私密信息享有隐私权,那么就需要承担侵权责任;相反,如果他人对其主张的私密空间和私密信息不享有隐私权,那么就不需要承担侵权责任。但是互联网的迅速发展使得网络环境中隐私的范围比一般的隐私要宽泛的多,同时,隐私的表现形式更是越来越多种多样。因此,隐私多样化的表现形式的出现使得法官判断他人是否享有隐私权的难度越发困难。目前,我国对于隐私权的判断也还没有一个明确的统一标准,这也是导致同案不同判的重要原因。
2.网络隐私权的保护立法滞后
目前,我国还没有设立互联网隐私保护的相关法律法规,主要还是以公民个人信息和隐私权保护的名义来实施的法律救济。但同时,互联网中的很多侵权行为已经涉嫌了犯罪,刑法虽然出台了一系列的法律法规,最高人民法院和最高人民检察院也出台了侵犯个人信息罪的司法解释。如果从宏观角度来看,我国的确已经认识到了在互联网背景下保护公民个人隐私的重要性,但我国依然没有专门的立法来保护公民在互联网中的隐私权,大部分个人信息保护的法律法规是分散的、不规则的,而且相关的规范性文件位阶偏低,缺乏可操作性,不能有效地制裁违法分子[23]。
3.网络隐私数据被不当收集及处理。
公民在使用互联网的过程中,个人隐私往往会以强制或隐蔽的方式被收集。例如一些网站会强制性要求用户注册后才允许登录浏览,在注册过程中又需要提供公民的姓名、邮箱、手机号码以及出生日期等个人信息,否则就不能浏览该网站,导致用户无法获取他们所需要的信息,这种就是强制收集手段中的一种[24]。而且随着网络的普及,还存在着用户在不知情的情况下被网络提供商暗中收集和处理公民个人信息,比如很多软件会自行获取用户位置信息并转卖给那些有需求的商家。要知道公民的隐私数据很多时候是蕴含着巨大的经济价值的,如果一些不良商家对公民的隐私数据进行收集、利用、整合、分析,然后将这些私密信息贩卖给有需要的商家,进而就能从中获得巨大的经济利润,所以,这一行为不可避免的会侵犯公民的隐私权,对当事人造成损害。像现在很多网络商家的精准广告投放,就是利用搜集用户的购物喜好、消费习惯等个人隐私信息,然后有针对性的去推送广告。这种行为往往会给用户带来很多广告类的骚扰,严重的甚至被不法分子利用进行诈骗,令很多人身陷囹圄深受其害。
4.法律没有明确隐私的具体范围
《网络安全法》的出台对于公民个人信息的界定给予了一定的范围,其规定个人信息主要是能单独或与其他相关信息结合识别出用户个人身份的信息,包括但并不限于用户姓名、出生日期、身份证号码以及家庭住址等信息。但这部法律仅规定了所谓的个人信息,却没有对公民个人隐私进行法律界定,个人信息与个人隐私之间本就存在交叉关系,但彼此却又有很大区别,这就导致了在法律适用方面出现了很多问题。如同上文案例所说的出现同案不同判的情况,一些零散的、没有体现公民个人信息的数据可能就不会被认定为隐私,进而得不到法律保护。但是,当企业利用大数据技术将这些零散的数据进行整合分析后,恰恰就能得到用户的个人隐私,例如一次淘宝消费不能让购物网站得到该用户的个人隐私,但是当多次消费后,该网站就会收集足够多的数据,通过整合分析就能够计算出用户的职业、身体状况、个人喜好等一系列的隐私。
5.我国缺乏行业自律措施的管理与引导
我国的行业协会虽然规定了一系列的自律公约用来规范互联网服务提供者的行为,但是公民的隐私数据却依然遭受了很多不法商贩的非法收集和利用。因此让行业自律措施发挥其应有的作用,利用法律的武器来加强行业自律措施的管理与引导目前迫在眉睫,针对我国目前行业自律措施的缺乏,从四个方面进行了法律管理和指导:
网络服务商没有明确表示隐私保护的条款。因为缺乏法律的指引,网络 大多数的服务商都会选择将隐私声明放在网页中的最底端或最隐蔽的地方,因此,用户在其接受网络各种服务时,几乎都不会发现这些“隐秘”的隐私声明。并且更多的网络服务提供商会直接将隐私声明打钩,以此来证明用户们已经阅读了声明并且已经经过用户同意。这样一来,用户便不能真实的阅读以及是否接受这些隐私声明,更无法了解网络服务提供商将会怎样处置他们的隐私数据。同时,这些隐私声明往往都是网络服务商自行制定的,行业协会并没有统一的标准,更不会对此进行检查甚至干涉,因此,这就使得隐私保护声明的作用大打折扣,达不到想象中的标准。
第二,我国的行业缺乏严格的技术标准和隐私保护计划。行业协会没有发挥出其应有的作用去促使企业间达到应该有的技术标准,这样一来,非常不利于对公民隐私权的保护。正因为缺乏法律法规相关的引导与监督,在大数据应用技术保护方面和对于有利于保护公民隐私的计划方面,显然,这个行业的每个企业都有严重的滞后性。
第三,行业自律公约缺乏强制性的约束力。虽然互联网公司已经签署了一些自律公约,但这些公约并没有规定严格的惩罚措施。只是提供警告、谴责互联网服务供应商违反公约,但仅仅采取这种程度的惩罚措施,不足以约束其自身行为主体的相关责任。同时,我国法律也没有有效正确的引导行业内建立一个严格的惩罚机制,这样一来,自律公约的效力就大大降低了,部分自律公约甚至还允许了企业的自己退出,这样就导致对相关企业更加缺乏约束力。因此,自律公约只能依靠行业道德的角度来约束网络服务提供商的行为,并不能从法律意义上保证公民的隐私权不受侵犯。
第四,我国缺乏对行业自律协会的监管。互联网行业协会的作用仅仅是促进互联网企业之间的交流与合作,并没有从真正关注公民隐私权的保护等相关问题,这就体现出行业自律协会缺乏法律方面的监管。同时,因为行业协会没有规定定期检查企业收集数据等行为是否存在违法行为,以及没有将企业一系列违法行为向XX监管机构进行举报,导致了很多网络服务商不会选择自身积极主动的遵守行业协会的自律公约。此外,许多互联网服务供应商以隐蔽普通用户的方式收集和利用公民的个人隐私数据,加上互联网行业协会没有对其进行相应的有效监管,这就导致公民的隐私数据很容易就被非法利用收集,甚至导致互联网行业不能健康有序的发展[25]。
6.我国缺乏有力有效的监管机构
目前,对于我国互联网行业进行监督管理的机构大都是中华人民共和国工业和信息化部和地方电信管理机构,他们的职责就是对互联网行业进行监督管理。当今虽然互联网行业大力发展,但网络服务提供商收集和利用公民隐私数据的行为还是十分隐蔽的,很多时候都是在公民的隐私被曝光之后,用户们往往才会发现自己的隐私权受到了侵犯。这就意味着,监管部门如果想要对网络服务提供商实施强有力的监控,必须应该同时具备两个条件:首先,是先进的技术,这种先进技术可以及时的发现网络服务提供商是否有非法收集公民隐私数据的行为;其次就是投入大量的时间和人为的精力,能够快速有效的处理公民对于被侵犯隐私问题的投诉。但如果以当今的监督管理机构来说,显然无法同时满足这两个必要条件。在当今大数据时代,互联网侵犯公民隐私权的主体已经不仅仅是网络服务商一个人,更包括了其他企业或组织甚至是XX。而这些企业和组织的主体甚至可能和互联网没有丝毫关系,这种时候,监管机构通常又会变成了其他的主管部门,这样一来,就导致了监管机构一盘散沙,九龙治水的状况。因此,设立一个专门的、有针对性的、强有力的监督管理机构,一方面,能够更好的查处企业违法收集利用公民个人信息的行为,另一方面,在节约行政资源的同时提高行政执法效率。
四、国外关于网络隐私权保护制度及借鉴
引言
在当今时代,国外网络隐私权保护法律制度的代表国家主要是X和欧盟,X往往以保护公民隐私为主要目标,主要是通过法律对行业自律的引导和管理,而欧盟则主要依靠法律的强制力来保护公民的隐私权。
(一)X关于网络隐私权保护制度
X对互联网背景下公民隐私权的法律保护框架过于模糊,还没有形成一个相对清晰明了的法律保护模式,当然,这与X的经济发展方式息息相关。作为发达的经济大国,X更倾向于利用互联网的天然优势来带动经济增长,同时,也不放松对个人信息安全的法律保护。由于互联网的快速发展,对用户信息的收集与分析变得无处不在,但与此带来的网络服务提供商的告知义务却难以有效落实,用户对自己的个人隐私不能有效控制,而互联网的资源共享与隐私权偶尔也会有所矛盾,为此,X将网络隐私安全问题提升到了新的价值高度,从多方面对网络隐私安全问题进行规范。
可以毫不留情的说,X是最高研究个人隐私数据并对此进行保护的国家。1939年,X法学会第一次确立隐私权理论是在《第一次侵权法重述》一书中,侵权法学家William L. Prosser 对其进行了全面整理,将其分成了四种主要类型:非法入侵、窃用姓名和肖像、公开他人不实的形象,公开他人私生活[26]。
随着互联网的飞速发展,公民个人隐私数据安全也逐渐进入了人们的视野中,XXX也敏锐的察觉到其重要性,因此X在1973年印发了一份报告–《录音、计算机与公民权利》,此报告首次提出了公平信息实践法则[27],分析了公民个人信息数据系统自动化对隐私安全问题带来的安全隐患,同时规定了网络服务商收集、分析、处理用户个人信息时所应遵守的义务,这份报告更是成为了在1974年12月31日通过的《联邦隐私权法》的重要基石,并于1979年编入了《X法典》第五编,将公民个人隐私利益的保护归入到了基本法的范畴中。
除了专门制定了隐私权的基本法,X还规定了一些特别法,例如,在电子商务领域,于1986年出台了《联邦电子通讯隐私法案》来保护公民个人通信自由不受非法监听和拦截;在金融领域,于1999年出台了《金融服务现代化法案》来保护金融机构对客户隐私的尊重,避免因信用报告泄露而产生不良影响;在儿童隐私保护领域,于2000年出台了《儿童在线隐私保护法案》,规定了对13岁以下儿童的个人信息、收集和分析的保护原则与方式。X总统奥巴马于2012年2月23日在白宫发布《网络环境下消费者数据的隐私保护–在全球数据经济背景下保护隐私和促进创新的政策框架》的工作报告。其主要核心就是规范互联网时代关于公民个人隐私数据的保护,应该着重将立法工作重心转移到数据使用的一方,也就是我们所谓的网络服务提供商,XXX高度重视网络提供商们的使用责任以及与其风险评估,并同时提出《消费者隐私权利法案》,希望国会尽快通过。这些举动集中体现了X应对互联网时代的前瞻性。而X对公民个人隐私数据保护的一个最具特色的方式就是行业自律,以“建议性行业指导”与“网络隐私认证计划”为突出的两个形式,这两种都是自发性组织[28],参加该组织的成员都必须严格遵守相关的行为准则,对消费者的数据隐私负责。行业自律在X已经相当成熟,与法律规范相比更具有灵活管理便捷等优点。
(二)欧盟关于网络隐私权保护制度
在上世纪九十年代,欧盟开始了对公民的个人数据保护,在1995年10月24日欧盟正式通过了《数据保护指令》,这部法律主要就是为了保证数据可以自由流通的同时避免组织内成员国的保护主义,并且为公民个人数据保护设立了最低限度[29]。但随着互联网的飞速发展,该指令已经远远不能满足人们对于隐私保护的需求,因此,对于公民个人数据保护迫切需要更新换代。
2002年,欧盟第一次对传统的隐私数据保护进行了修正。同年7月12日,《隐私与电子通讯指令》(privacy and electronic communications directive)发布,详细阐述了通信及互联网服务供应商应采取的必要措施,在使用用户信息数据前必须先要经过用户的允许,以此来保证网络服务的安全性。这一指令的主要目的是为了保护公民的知情权以及对自己个人数据的控制权,但世上没有完美无瑕的法律,该指令仍存在些许缺陷,它没有详细规定网络提供服务商的操作标准,更没有详细规定具体的惩罚措施[30]。
欧盟在2009年11月25日对公民个人数据保护再一次进行了修正,通过了《欧洲Cookie指令》。该指令针对的主要是Cookie技术,并对此加以规定,要求网络服务商要进行信息披露。Cookie技术主要针对用户进行跟踪和识别,它能对用户在网上购物和浏览的网页及内容进行记录与识别。因为这种技术会记录用户的大量个人信息,因此它也隐藏着泄露用户隐私的风险。《欧洲Cookie指令》规定,只有在用户同意的情况下,才能够允许开启Cookie。,《欧洲Cookie指令》管理着使用Cookie技术的网站的行为。由此可见,该指令实现了公民个人对Cookie技术的防范意识,避免了公民个人的数据信息被网站非法使用技术手段存储和利用。
2016年4月14日,欧洲议会通过了《一般数据保护条例》,并于2018年正式生效。该条例对于保护公民个人数据信息达到了之前几年无法想象的高度,并且详细规定了具体的保护内容,具有极强的操作性,适用对象更是扩大到向所有欧盟公民提供服务的企业。此条例指出,对于企业违反规定时实行处罚,处罚最高时可达到该企业在全球营业额的4%。因此,对于Google这种科技公司来说,一旦被处罚将意味着直接损失了几十亿美元。此条例也规定了扩大责任主体,将信息泄露的责任扩大至信息数据处理方,因此,这也就意味着涉及处理数据信息的第三方时,扩大了责任主体的范围。一旦发生了公民个人信息数据被泄露的情况时,保护条例要求企业在72小时内向监督管理机构报告数据违法行为。同时,该条例也严格要求企业设立一站式监督管理机构,对企业违法收集和利用信息数据的行为进行有效的监督和管理。欧盟更是成立了独立的监督机构“欧盟数据保护委员会”来及时处理对公民的投诉。《一般数据保护条例》是规定用户的数据删除权,即用户本人有权撤回授予企业的授权,禁止相关的企业继续收集利用该用户的个人数据信息,并要求相关企业将该用户信息彻底删除。
欧盟对公民的个人隐私数据信息的保护是在不断前进的。其通过使用立法的方式规定了公民对其个人信息数据保护的权利,同时更是限制了企业收集和利用用户个人信息数据的权限。尤其是2018年通过的《一般数据保护条例》,更是对世界其他国家对于公民个人信息隐私数据的保护提供了借鉴,开创了信息隐私数据保护的新篇章。
(三)国外网络隐私权保护制度对我国的启示
X的行业自律模式在保护网络隐私权中发挥了至关重要的作用。当然,这离不开X的国情与历史,由于X的经济模式主要是自由发展,其市场经济发展程度也比较高,市场经济机制也较为完善,公民个人的法律维权意识极强,企业也普遍有着较高的自我约束力,而我国对于这些情况还有待提高,因此,行业自律模式在我国不能全部照搬照抄X的做法,而应该在符合中国国情的前提上修改并完善实施行业自律模式。法律仅仅是对行业自律进行引导和管理,将一些具体的保护措施交由行业协会来实施并规定相应的惩罚措施,让其自身发挥出最大效用[31]。
欧盟主要依靠法律的强制力来保护公民的隐私权和规范企业收集利用公民个人信息数据的行为[32]。并且欧盟通过立法,详细的规定了用户的个人数据信息的保护,一旦有企业违反相关的法律规定,必将会收到严厉的惩罚。因此,我国迫切需要制定一部严格的数据信息保护法来保护网络用户的隐私权。我国应逐渐加强对于公民隐私权保护在互联网时代的重要性的意识,如果对企业私自收集利用公民个人信息数据的行为继续听之任之不闻不问,必定将会导致灾难性的后果。所以,我国XX应该加强对互联网行业的监督管理力度,学习欧盟的法律制度,建立独立的监督管理机构以此来负责接受公民对企业和网站的违法行为的投诉,以及对其违法行为所作出的惩罚措施。当然,我国应该在结合自身实际情况下有选择性的学习和借鉴欧盟对隐私权保护的法律制度,制定符合我国国情的法律法规,这样才能最大化的发挥出法律应有的作用,更好的保护公民的隐私权。
五、完善我国网络隐私权制度的立法建议
(一)制定专门的互联网隐私权法。
在当今网络信息化时代,互联网已经成为信息运输的主要平台。但我国对于个人隐私权的保护力度却远远不够,尤其是目前网络隐私权的概念和界限还不够清晰,无法制定有效的、具体的法律法规。如果想要在互联网的背景下全面的保护公民个人隐私权,那么就需要构建多维度的法制体系。
首先是完善现有的法律法规。对网络隐私权的地位加以明确,对它的基本概念、权利主体、权利客体、权利内容加以确定,明确网络隐私侵权中的责任认定。另外,对于被侵犯隐私权的当事人,应该给予一定的金钱当做经济赔偿。其次是制定有针对性的互联网隐私权保护法。随着网络的飞速发展,侵犯公民个人隐私的行为也愈加猖狂,不仅使公民的合法权益造成了侵害,更是阻碍了互联网功能的充分发挥。制定专门的法律法规,可以对公民的个人隐私起到完善的保护作用。
(二)明确界定个人隐私权利内容
互联网在为用户提供高品质的互联网安全服务的同时,首先,充分尊重用户的知情权与选择权,互联网设立有效的自我约束和用户监督机制,利用其安全软件,令用户对其电脑中的运行清清楚楚、一目了然。用户对软件的积极使用是正常、健康的,是尊重和保护用户的知情权和选择权的体现。其次,必须经过用户许可,否则企业或软件不能够未经授权久上传用户个人隐私信息。在今天的云计算大数据时代,电脑以及各种移动终端通过互联网彼此联系在一起,同时,电脑和移动终端上的软件还将通过互联网和后台服务器随时进行数据传输和通信,为用户提供更高质量的服务。然而,网络提供商中的不良商家的很多不良行为也会导致用户的个人隐私通过互联网上传到后台服务器中,被恶意利用、贩卖从而从中获利。因此,只有建立快速有效的监督和约束机制,才能保证用户的隐私权不被非法侵害[34]。
(三)对个人隐私明确界定标准
一般意义上的隐私,是指与公民个人相关且能够单独或与其他信息结合以此能够识别用户身份的信息。但我认为,在互联网安全领域,个人隐私信息涉及以下七个方面:第一,用户的直接信息–姓名、邮箱、住址/办公地址、手机号码/固定电话号码、备用邮箱。第二,用户的自然信息–生日、性别。第三,用户的社会信息–身份证号码、社会保险号码(一般适用于X)、用户行为数据、搜索记录、网页网址的浏览记录。第四,用户的社会网络信息–用户通讯录、电子邮件、用户通话记录/短信/联络记录/、聊天记录。第五,用户的财务信息–信用卡号、信用卡安全码、信用卡有效期、借记卡号/密码、消费记录/银行账单。第六,用户的虚拟空间信息–各网站/游戏的用户名/密码/保密问题及答案。第七,用户不为人知或不想为人知的信息–用户的性取向、用户个人癖好、用户一些不想为他人所知的照片、视频以及其他信息等
(四)针对行业自律加强管理与引导
在如今互联网时代,在保护公民隐私权方面,行业自律依然起着至关重要的作用,但我国目前所颁布的法律对行业自律措施的管理和引导明显远远不够,因此导致了行业自律措施不能快速有效的发挥出其应有的作用,严重点说,甚至由于缺乏法律法规的相关规定和管理引导,行业自律措施在我国根本就是形同虚设,无法起到保护作用。所以,构建并出台新的立法,从而对行业自律措施加以引导,加强对行业自律措施的有效管理,这样才能最大化的达到实现保护公民隐私权的作用[35]。针对行业自律在法律方面的引导与管理提出以下建议:
1.引导网络服务提供商明示隐私保护条款。网络服务提供商在用户使用其网络服务时,应该向用户明示隐私保护条款,这样一来,用户才会知道自己的个人数据将会被怎样处理,才能使用户的个人信息和隐私掌握在用户自身的手中,使用户能够自己掌握并授权哪些企业可以使用自己的个人数据。所以新的立法应该加强引导管理行业自律,要求企业禁止将用户的个人隐私保护条款放到不起眼的角落,应该将隐私保护条款放置到用户眼前,也就是用户容易看到的位置,进而供用户可以仔细阅读的同时,也可以让用户决定是否同意授权企业收集其个人数据并加以使用。
2.引导建立个人隐私选择平台。新的立法的构建应该引导行业内为公民建立个人隐私选择平台,增加技术保护,将选择权交到公民手中,由公民个人在不违背自身意愿下决定是否同意网站收集使用其个人数据。我个人认为,新的立法可以去借鉴XP3P技术来引导行业内建立公民个人隐私选择平台。一方面能够保护公民的个人隐私信息不被非法收集使用,让公民的个人隐私权得到应有的保护。另一方面能够令公民个人选择是否将其个人数据交给企业,以此让自己得到更多更有针对性的服务,从而去享受互联网带来的便利。
3.引入互联网隐私的认证计划。构建的新立法应该引导并鼓励我国建立有关互联网隐私认证的组织。互联网隐私认证计划主要是让用户能够有效分辩出哪些企业同意隐私保护规则,让有关企业通过明示以此来验证自身在互联网隐私认证中的状态。互联网隐私认证计划可以让用户放心的使用那些认证企业所提供的服务,不必担心自身个人数据被泄露,同时,那些通过认证的企业也应该自觉主动积极的接受认证组织的监督管理,针对认证组织所规定的隐私保护规则能够认真仔细的履行。
4.引导行业自律协会完善行业自律公约。如今我国的行业自律公约大部分规定的是普遍的义务性条款,忽略了相应的惩罚措施。这就是造成很多企业不自觉遵守行业自律公约,从而使我国的行业自律公约变成空中楼阁的最大原因。因此,新的立法应该指引行业内建立严格的惩罚机制,对那些不积极主动遵守行业自律公约的企业向社会进行依法公开,对于那些严重违法的企业,对其进行永久性的惩罚措施,例如除名,同时禁止并阻断它们能够再次进入行业协会的机会。新的立法可以学习借鉴X的行业自律协会的管理模式,提倡引入首席隐私官机制,对企业收集的公民个人数据进行统一专业的管理。同时保证首席隐私官在企业中不能有任何职务在身,这样保证了其自身独立性,在企业管理层人员中有着独立地位,只有这样,才能充分发挥出首席隐私官不偏不倚公平公正的作用。
5.引导并加强行业协会的监督管理。构建的新立法应该加强对行业自律协会的监督和管理,同时要求其对企业所收集和利用公民个人数据的行为进行定期的检查。当检查出企业有任何违法行为时,应该及时上报给XX的相关监督管理部门。新的立法应该对行业自律协会内的不作为实施严厉的惩罚,从而促进行业自律协会更高的管理与引导行业内的企业与组织。同时,当XX相关监管部门对相关企业进行调查时,行业自律协会也应该配合XX相关监督部门的工作,为其提供相应的技术支持。
(五)设定保护用户隐私的责任
为了对收集的用户隐私信息负责,互联网应该设计监督和约束机制,它包括:第一,一整套内部约束机制。也就是上文所提及的首席隐私官的设立,这里便不再赘述。第二,外部监督:互联网将它的源代码交由中国信息安全测评中心托管和检测,包括网址杀毒软件、安全卫士、游戏页面/保险箱、安全浏览器等,以随时接受用户监督。中国信息安全测评中心是我国源代码托管和检测的最权威且隶属于国家级的信息安全测评机构。任何用户如果产生任何疑惑,都可以自主申请检测源代码。第三,做事准则:不经用户授权禁止上传,采用明码运输或HTTPS安全传输,以保证广大用户对于其个人隐私信息的监督权。第四,网络提供商尽可能的告诉用户其提供并授权的信息将会用在哪里,而所谓的安全服务又是在什么情况下,通过扫描了哪些文件,提供的安全服务的技术原理,清晰的将为了安全工作进行的文件扫描、工作过程和工作结果呈现在用户眼前。
(六)建立专门的互联网监督管理机构
设立专门的互联网监督管理机构,保证法律得到有效实施。在如今的互联网时代,企业收集和使用公民个人隐私数据的行为往往是非常隐蔽的,没有专业的技术手段进行分析,执法部门很难发现。因此,欧盟成立了一站式监督管理机构,监管企业收集利用公民个人数据的情况。为此,欧盟还特别成立了独立的监督管理机构–“欧盟数据保护委员会”,此机构被用来作为公民投诉的处理部门。我认为我国可以借鉴欧盟的做法,建立一个专门的互联网监督管理机构,其主要任务就是用来作为对企业收集利用公民个人数据信息行为的整个过程进行监督管理,当监管机构一旦发现企业有任何违法行为时,能够及时处理并改正企业的侵权行为,并对违法企业进行相关惩罚。同时,互联网监督管理机构还应该负责处理公民对企业违法行为的投诉,在接到投诉后积极对企业展开调查研究。有了互联网监督管理机构的监管,我相信,相关企业的行为一定能够得到有效的规制,公民的隐私权也能得到最大限度的保护。
六、参考文献
【1】江苏省南京市中级人民法院(2015)宁民终字第5028号民事判决书
【2】以Prince Albert v. Strange,2 DeGex&Sm. 652; Abernethy v. Hutchinson, 3L. [J].Ch .209(1825); Tuck v. Priester, 19 Q. B. D. 639(1887); Pollard v. Photographic Co. ,40 Ch. Div. 345 (1888); Yovatt v. Winyard, 1 [J]. &[W]. 394(1820)等为主要例证.
【3】以Prince Albert v. Strange,2 DeGex&Sm. 652; Abernethy v. Hutchinson, 3L. [J].Ch .209(1825); Tuck v. Priester, 19 Q. B. D. 639(1887); Pollard v. Photographic Co. ,40 Ch. Div. 345 (1888); Yovatt v. Winyard, 1 [J]. &[W]. 394(1820)论文的196页
【4】Thomas M. 法官的著作“A treatise on the Law of Torts”,1888年第2版,第29页。
【5】在19世纪,只有很少的案件是遮遮掩掩地基于隐私权作出裁判。根据William L. Prosser 的总结(“Privacy ”,48 Calif. L. Rev. ,383, 385, notes 8-10 (1960)) ,仅限以下案件:Manola v. Stevens ( N. Y. Sup Ct. 1890), 未报告(详见《纽约时报》1890年6月15日第18、21版);Mackenzie v. Soden Mineral Springs Co. , 27 Abb. N. Cas. 402, 18 N. Y. S. 240 (Sup. Ct. 1891); Marks v. Jaffa, 6 Misc. 290, 26 N. Y. S. 980 (Super. Ct. N. Y. City 1893); Schuyler v. Curtis, 147 N. Y. 434, 42 N. E. 22 (1895) ; Corliss v. E. W. Walker Co. , 64 Fed. 280 (D.Mass. 1894). 同一来源中报告的第一例明确承认隐私权的案例是“Pavesich v. New England Life Insurance Co. , 122 Ga. 190 ,50 S. E. 68 (1905)”,虽然我们一直要等到30年代才会看到在侵权案件的司法实践中给予隐私直接保护(同时参见Harry Kalven, Jr. , “Privacy in Tort Law-Were Warren and Brandeis Wrong?”Law and Contemporary Problem, Vol. 31, 326, 327, (1966))。早期拒绝承认隐私权的最有影响的案件可以参见Louis Nizer, “The Right of Privacy –A Half Century Developments”39 Mich. L. Rev. , 526, 531-534 (1941)
【6】Denis O’Brien, “The Right to Privacy”at 445 ; Note, “The Right to Privacy Today ”43 Harv. L. Rev. 297 (1929-1930)
【7】H. Kalven, Jr. “Privacy in Tort Law…”at 333-339
【8】Walter F. Pratt, “Warren and Brandeis Argument…”; H. Kalven, Jr. ,“Privacy in Tort Law…” at 329-330
【9】W. S. Prosser, “Privacy”at 389-392 ; R. A. Posner, “The Uncertain Protection of Privacy…”at 175(其将隐逸指为“身体上的隐私”);
【10】Posner , “The Uncertain Protection of Privacy… ”at 193
【11】Feinberg & Prosser. “Privacy”, at 406-407
【12】王泽鉴.《人格权的具体化及其保护范围·隐私权篇》(上),《比较法研究》2008年(06)
【13】郭瑜.《个人数据保护法研究》,北京大学出版社,2012:45-54
【14】王利民教授主张个人信息权利应该单独保护,参见王利民:《论个人信息权在人格权法中的地位》,《苏州大学学报(哲学社会科学版)》,2012(06)和郭瑜副教授认为个人数据应该单独制定法律制度保护,参见郭瑜.《个人数据保护法研究》,北京大学出版社,2012
【15】[美] 阿丽塔·L. 艾伦、理查德·C. 托克音顿:《X隐私法:学说、判例与立法》,冯建妹等编译,中国民主法制出版社2004年版,第8页
【16】张秀兰.《网络隐私权保护研究》,北京图书馆出版社,2006:03
【17】[美]尼古拉·尼葛洛庞帝:《数字化生存》,胡泳、范海燕译,海南出版社,1997:276
【18】[美]弗里德曼:《选择的共和国–法律、权威与文化》,高鸿钧等译,清华大学出版社,2005:212-216
【19】参见张莉:《论隐私权的法律保护》,中国法制出版社,2007:1-10。该论著介绍了五种隐私权理论:独处权理论,信息控制理论,人格理论,亲密关系理论,限制接触理论
【20】王秀哲.《信息社会个人隐私权的公法保护研究》【M】,中国民主法制出版社,2017:21-27
【21】刘静怡.《网络社会的信息隐私权保护架构》
【22】陈萍.试论网络隐私权的法律保护问题分析【J】.辽宁行政学院学报,2013(04):60-61
【23】严翠玲.如何防止大数据时代个人隐私的“裸奔”【J】.人民论坛,2018(16):82-83
【24】魏玉东.大数据时代国外网络隐私保护的典型模式及对我国的启示【J】.沈阳工程学院学报(社会科学版),2018,14(04):456-460
【25】孟小峰,张啸剑.大数据隐私管理【J】.计算机研究与发展,2015(2):225-277
【26】Charles Fried. Privacy (A Moral Analysis). Yale Law Jorurnal. 1968
【27】Pamela Samuelson. Privacy as Intellectual Property. Stanford Law Review. 2000
【28】Harry Henderson. Privacy in the Information Age. 2006
【29】王志昆.论欧盟国家关于隐私权的法律保护【D】.济南:山东大学,2008:20-23
【30】徐敬宏.网络隐私权保护:域外模式述评及我国模式探索【J】.情报理论与实践,2010(05):35-38
【31】华劼.网络时代的隐私权——兼论X和欧盟网络隐私权保护规则及其对我国的启示【J】.河北法学,2008(6):7-12
【32】党玺.欧洲与X隐私保护法律冲突的解决路径【J】.中国社会科学院研究生院学报,2015(1):85-89
【34】[西]布兰卡·R.瑞兹:《电子通信中的隐私权–欧洲法与X法的比较视角》【M】,林喜芬等译,上海交通大学出版社,2017:28-33
【35】李升阳.大数据时代隐私保护研究【D】.南京:南京大学,2015:37-38
1、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“文章版权申述”(推荐),也可以打举报电话:18735597641(电话支持时间:9:00-18:30)。
2、网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
3、本站所有内容均由合作方或网友投稿,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务。
原创文章,作者:1158,如若转载,请注明出处:https://www.447766.cn/chachong/141222.html,
