论信息网络风险下的隐私权法律保护
2011-04-12范进学张玉洁
范进学 张玉洁
(上海交通大学凯原法学院,上海 200240;山东大学法学院,山东济南 250100)
论信息网络风险下的隐私权法律保护
范进学 张玉洁
(上海交通大学凯原法学院,上海 200240;山东大学法学院,山东济南 250100)
随着信息网络的不断发展和发达,不仅极大地增加了隐私被侵犯的可能,而且加重了侵犯后果,责任追索逻辑的失效也在一定程度上加剧了这一局面。鉴于美国的行业自律模式、欧盟的立法规制模式和“安全港”模式自成体系、各有利弊,我国应取长补短,构建自己的特色模式,加快隐私权保护的相关立法。
信息网络风险;隐私权;保护模式;责任逻辑
一、信息网络风险下隐私权保护的难题
英国学者斯科特·拉什曾指出:“始料不及的风险和危险将不再是由工业社会的物质化生产过程中所产生的风险和危险,而是从信息领域、从生物技术领域、从通讯和软件领域产生出的新的风险和危险。”①[英]斯科特·拉什:《风险社会与风险文化》,王武龙译,《马克思主义与现实》2002年第4期,第63页。的确,自从进入信息网络时代以来,“黑客”侵入个人电脑盗取数据、商家倒卖用户资料、网站监视个人活动、垃圾邮件泛滥、网站使用cookies追踪个人网页浏览习惯,以及“人肉搜索”等个人隐私受到侵害的事件层出不穷,网络时代的信息全球化给个人隐私带来的风险比以前的任何时代都要大得多。
风险是具有某种程度危险或灾难的可能性,它与危险或灾难不同,并非一种确定的后果,而是一种发生此种后果的现实可能性,是一种“虚拟的现实,现实的虚拟”。信息网络风险下隐私权保护的难题在于:
第一,信息网络的发展大大增加了隐私被侵犯的可能性。信息的网络化不仅使人们获取信息更加方便快捷,使得我们可以用虚拟的名字、虚拟的身份跟人交流,使得非隐私隐私化;却也带来了各种信息的公开,使得隐私非隐私化,②参见王治东:《虚拟世界与私人生活空间——关于网络隐私的哲学文化思考》,《理论界》2008年第1期,第95-96页。侵犯他人隐私的可能性成倍增加:首先,互联网的出现增加了人们的隐私,如各种账户、密码、网络空间等等。其次,各种生活方式向网络的发展也使得原本极易控制的信息暴露在网络风险之下,如原本纸质的户籍信息被存入电脑,挂在网上,成为电子数据;与此同时,用户为了参与各种网络行为,往往需要把牵扯自己隐私的内容透露给有关网络或企业,而网络组织利用电脑强大的统计传输技术,可以获得大量网民私人信息。再次,用户无论如何加强保护意识,提高技术保护水平,在网络日新月异的发展面前都显得薄弱不堪、漏洞百出。在信息网络世界里,不仅可能被侵犯的私人信息增加了,侵犯隐私的障碍也变少了。正如李伦所说,“任何一个人在网络世界里只要拥有一台电脑,一个调制调解器和一部电话,就可以进入你的私生活最隐秘之处,把你的个人记录一览无余。”③李伦:《鼠标下的德性》,江西人民出版社2002年版,第261页。
第二,信息网络的全球化使得隐私侵犯的后果难以控制。美国斯坦福大学的达雷尔·曼斯(DarrelMen2 the)博士提出了“第四国际空间”的理论,认为网络空间是除南极洲、太空和公海这三大空间之外的第四个国际空间。在这一空间中,网络信息的发布、传播方式极大地超越了传统传媒,一旦有用户隐私泄露,就会在瞬间传遍全球,影响范围无法控制,侵害后果也难以估量。如此,缺乏他律的网络就成了隐私权潜在的最大杀手。相对于难以控制的外部风险(external risk),信息网络这一人造风险(manufactured risk)①这一区分来自吉登斯,外部风险指来自外部的、因为传统或自然的不确定性和固定性所带来的风险,比如地震、洪水等;人造风险是我们在以一种反思的方式组织起来的行动框架中要积极面对的风险,是由我们不断发展的知识对这个世界的影响所产生的风险,是我们在没有多少历史经验的情况下产生的风险,如核泄漏、全球变暖等。参见(英)安东尼·吉登斯、克里斯多弗·皮尔森:《现代性——吉登斯访谈录》,新华出版社2001年版,第194-195页。建立在人类经验的匮乏之上:一方面更多的知识带来了通讯技术的飞跃,提供了更多的安全和方便;另一方面,这些知识“不慎”涉入的领域却为我们带来了更多的无知和不确定,导致知识开辟的领域越多,无知的领域就越多的恶性循环。风险已经无法通过更多的知识来解决,启蒙所开列的“知识越多、控制越强”的药方已然失效。如果说在工业社会中,人们倚仗着计算理性来应对自然灾难,那么,在后工业社会中,风险已经消解了人们对科学技术的安全机制的信赖,它只是用虚幻光环、教条教义的形式来维持着人们在风险——灾难到来时的心理防线。“风险社会已经成为一个无法保险的社会”。我们能够感知网络给隐私带来的风险,但却不能确定风险的具体内容,更难以防止这种风险,相较于人的控制能力,风险则显得太大。“网络是个人隐私的终结者”,或许不是危言耸听。
第三,风险社会阻断了工业社会的责任逻辑,使得隐私侵犯责任的追索困难重重。在传统的社会管理体制和发展价值观下,政策制定者、企业、专家、媒体结成社会的精英联盟,以物质财富的增长为发展的根本评价指标,崇尚科技理性,打造“消费社会”,然而正是这一价值观累积、制造了当代社会中的风险,又造成了人类社会长期以来难以承担真正的风险责任的局面。人们可以向一个又一个主管机构求助并要求它们负责,这些机构则会为自己开脱,说“我们与此毫无关系”,或者说“我们在这个过程中只是一个次要的参与者”。在这一过程中,是根本无法查明谁该负责的。②薛晓源、周战超:《全球化与风险社会》,社会科学文献出版社2005年版,第23页。这就造成了事实上“有组织地不负责任”(organized irrespon2 sibility)③参见杨雪冬:《风险社会理论述评》,载《国家行政学院学报》2005年第1期,第88-89页。的局面。“如果有嫌疑的肇事者成倍增加,那么结果就是没有任何人受到判决”。④薛晓源、周战超:《全球化与风险社会》,社会科学文献出版社2005年版,第11页。精英联盟不仅制造了风险,又凭借传统的制度机制和由他们所导控的话语体系来推卸、转嫁责任,让全社会共同分摊风险,造成社会发展的极端不公。第一次现代化⑤根据贝克的再现代化(也称自反性现代化)理论,人类社会划分为:前工业社会、工业社会与风险社会,前工业社会到工业社会的现代性是第一现代性,这一过程是第一次现代化过程;工业社会到风险社会的现代性是第二现代性、自反性现代性,这一过程是再现代化的过程。“进程中所提出的用以明确责任和分摊费用的一切方法手段在风险全球化的情况下已没有任何作用,现代的科学、法律和政治手段已经越来越难以寻找证据、确定损害原因、责任主体和赔偿范围。这一责任困境在信息网络环境下更为突出:如果有用户隐私被不当公开,那么所有用户都有可能收集、传播,给当事人带来极大伤害,“艳照门”和“人肉搜索”事件就是最为典型的例子。因果关系链条的断裂、工业社会责任追索逻辑的失效,加剧了法律和社会现实的脱节,“无法可依”、“法不责众”的心理使得侵犯隐私更加猖獗。与此同时,精密的制度构造在风险来临时的无法应对和风险管理悖论⑥风险管理悖论:减少风险的措施可能给处于风险中的相关人员造成更大的风险;为某个社会成员创造安全的举措可能无意识地给另一个成员带来更大的风险;减少风险的政策可能给所有社会成员带来不安全;某个团体的乐观行为可能对另一个团体产生意想不到的不安全;对一个团体的保护可能会造成对更多团体的伤害。显然,风险管理悖论使得风险管理处于十分窘迫、被动的境地,更提示了现代治理机制的危机,必须进行全面改革。的发现,使得各种组织和个人更加难以承担起事前预防和事后解决的责任。
二、信息网络风险下隐私权法律保护机制的域外经验
信息网络风险下隐私权保护的国外立法,以美国的行业自律模式、欧盟的立法规制模式以及二者的妥协——“安全港”模式为代表。
(一)美国的行业自律保护模式
美国宪法第四修正案经过联邦最高法院的解释,⑦美国联邦宪法第四修正案的内容是:“公民有权保护其身体、住所、文化与财产等不受无理拘捕、搜查、扣押和非法侵犯。除有正当理由,经宣誓或代宣誓言,并详细说明搜查之地点、拘捕之人或扣押之物外,不得向公民发出搜查证、拘留证或扣押证。”联邦最高法院将其解释为保护个人“对隐私的合理期待”(reasonable expectation of privacy)的条款。至此,美国侵犯隐私权的原则即确立:如果受害人存在对隐私的合理期待,行为人就构成侵权,反之则不构成侵权。成为了美国人心中“最直接提供个人隐私保障的基本条款”。⑧[美]爱伦·艾德曼、卡洛琳·肯尼迪:《隐私的权利》,吴懿婷译,当代世界出版社2003年版,导论。在这一条款下,美国逐渐承认了隐私权并构建了相应的制度进行保护。1974年《隐私权法》是美国保护个人隐私权的最基本法律,该法不仅是一般隐私权保护的核心,也为其他领域隐私权保护的特殊立法奠定了最基本的原则。面对信息网络带来的风险,美国在此基础之上,相继制定了《电子通讯隐私法》、《儿童在线隐私保护法》、《反未经请求电子邮件法》、《反未经请求商业电子邮件法》、《反垃圾邮件法》等。虽然美国针对信息网络风险下隐私权保护的立法并不少,但它们只是涉及一些侵犯比较严重、亟待保护的领域,并未形成完整的保护体系,事实上,对个人网络隐私的保护更多地交给了行业自律。1997年克林顿政府公布了《全球电子商务发展框架》报告,其中把保护个人网络隐私作为一项基本原则提了出来。报告强调,在保护个人网络隐私方面,私营企业应当起到主导作用,政府支持私营部门为此进行自我规范。因为行业经营者与网络个人用户的共同努力要比政府的法规更有效,只有上述政策无效时,政府才会考虑制定相应的法规。除此之外,美国政府还提出了保护个人网络隐私的两个具体原则:一是知会原则、二是选择权原则。在这两大原则的指导下,美国越来越多的行业、企业纷纷制定了各自保护隐私权的规章和政策。1997年美国政府发布的《全球电子商务框架》报告,再次明确显示了美国政府对于网络隐私保护的态度:只有行业自律不能解决问题时,政府才考虑制定相应的法规。目前,美国企业逐渐发展了多种保护形式,主要有建议性的行业指引,通过行业联盟发布建议性质的隐私保护规则,约束行业内涉及网络隐私的行为;网络隐私认证计划,通过向符合隐私保护要求的网站颁发认证证书、允许其张贴隐私认证标志来鼓励隐私保护;以及技术保护,通过开发隐私保护软件支持用户自己保护隐私。行业自律模式产生于美国贸易自由的商业文化之中,给予了企业更多的自主权,能够根据不同的时代、技术和行业采用不同的标准,有利于信息网络的自由发展和繁荣。
(二)欧盟的立法规制模式
欧盟沿袭德法的制定法传统,更多地通过立法保护隐私权。1980年经济合作与发展组织(OECD)颁布了《保护隐私及跨国交流个人资料准则》,规定了七个方面的基本原则,分别是:数据质量原则,保护特殊类型数据的原则,数据安全,对数据主体的保护,例外与限制,赔偿责任,以及扩大的保护。①参见(美)爱德华·劳森著:《人权百科全书》,四川人民出版社1997年版,第474页。虽然该准则是自愿参加的,并没有法律效力,但它是协调欧洲个人资料保护立法的第一次尝试。②赵华明:《论网络隐私权的法律保护》,《北京大学学报》2002年国内访问学者、进修教师论文专刊。此后,欧盟议会于1995年通过了《个人数据保护指令》,这一指令是欧盟保护网络风险下隐私权的基本法律,几乎包括了所有关于个人资料处理方面的规定,并确立了保障自然人自由和基本人权的原则。该指令还规定了数据主体的接触的权利、更正删除或封存个人资料的权利、反对的权利③《欧盟保护网民隐私的方法和经验》,载“新浪网”,http://tech.sina.com.cn/i/2006-03-08/1757861518.shtml,2010年10月27日。等,和数据控制者的数据质量、数据处理的合法、敏感数据的处理和告知当事人④《国外隐私权保护纵览》,载“徐滔法律服务网”,http://www.xutao.com/bbs/posts/list/21485.page,2010年10月27日。等义务,全面保护了个人数据。该指令还要求欧盟十五国出台达到指令所规定标准的法律来保护个人资料。1996年欧盟理事会通过《电子通讯数据保护指令》,对《个人数据保护指令》进行了补充和修正。与此同时,还有1998年《私有数据保密法》、1999年的《网上个人隐私权保护的一般原则》、《关于网上软件、硬件进行的不可见的和自动化的个人数据处理的建议》、《信息公路上个人数据收集、处理过程中个人权利保护指南》等相关法规,为用户和网络服务商提供了清晰可循的隐私权保护原则;以及2001年规范欧共体职能机构组织处理和传播个人信息的专门规章《关于在欧盟内部处理和自由流动个人数据的个人保护规章》,2002年的《隐私与电子通讯指令》等,至此,欧盟在其成员国内建立起统一有效的法律体系,给予隐私权更全面、严格的保护,以应对信息网络风险给隐私权带来的挑战。
(三)“安全港”协议
欧盟不只在内部实行其隐私保护标准,而且极力向国际推展,不符合其保护标准的国家被禁止数据传输,而美国的行业自律模式并无统一的标准。在这一背景下,美国商务部和欧盟执委会在2000年达成了“安全港”协议(Sage-HarborAgreement),形成了一种新的隐私保护模式。“安全港”协议要求,如果美国产业对“安全港”原则(包括通知、选择、转送、安全、数据完整、渠道和执行等七项内容)同意遵守,提出具体落实方案,并报有关部门或机构备案后,就可以在严格限制隐私权保护的欧洲进行交易。如果任何一家公司接受了“安全港”原则却不遵守,就会受到美国联邦交易委员会的制裁。“安全港”模式虽然建立在美国和欧盟模式的妥协之上,却兼采了二者之长,不仅有详细的判定网络隐私侵权的标准,而且能够根据不同行业的不同特点实行不同的标准,兼具行业自律和委员会监督模式之优势,背后还有委员会的宏观监督和对网络用户的终局救济,①秦天宁:《从美国安全港提议透析我国的网络隐私权保护模式》,《法制与社会》2007年第9期。成为网络隐私保护的新趋势。然而这一模式主要适用于贸易领域,日常网络生活领域隐私的侵犯相较商业领域更难发觉和规制,还需要建立健全相应的保护机制。
三、信息网络风险下隐私权的法律保护机制
今天的隐私权已不再是传统的隐私权了,面对互联网带来的便利和风险,隐私权的内容和侵犯方式发生了重要转变,按主体分类,可分为个人侵权行为、商业公司侵权行为、网络服务商侵权行为、设备供应商侵权行为和雇主侵权行为等。按侵犯领域分类,可以分为侵犯私人数据的行为,如个人未经授权在网络上宣扬、公开或转让他人或自己和他人之间的隐私,个人未经授权进入他人系统收集获得资料或打扰他人安宁,未经授权截获或复制他人正在传递的电子信息,专门从事网上调查业务的公司进行窥探业务非法获取、利用他人隐私,有些软件和硬件厂商在自己销售的产品中为收集消费者的隐私埋下了伏笔等;侵犯私人领域的行为,如个人制造、传播计算机病毒,垃圾邮件泛滥等;侵犯私人活动的行为,如某些网络公司使用具有跟踪功能的cookie工具浏览和定时跟踪用户网站上所进行的操作,cookie将自动记录用户访问的站点和内容,并将详细资料发送到网络公司,网络公司根据这些资料掌握个人的情况,并建立庞大的资料库,某些网络的所有者或管理者会通过网络中心监视或窃听局域网内的其他电脑,监控网内人员的电子邮件。隐私权在信息网络环境下所面临的风险的增加要求我们选择更加适应风险逻辑的保护对策和机制。“在古典工业社会中,财富生产的逻辑统治着风险生产的逻辑,而在风险社会中,这种关系就颠倒了过来。”②[德]乌尔里希·贝克:《风险社会》,何博闻译,译林出版社2004年版,第6页。不再是过去决定现在、现在影响未来,而是未来威胁的阴影强迫我们作出决策,而决策将不得不围绕未来网络可能对隐私权造成侵害的威胁而不是幸福和便利来筹划。在风险社会,法律也不再是单纯的技术、事实问题,而是要考虑人们的情感从“我需要”到“我害怕”的转变,关注结合了事实和价值、技术和人性的“数字化的道德”。在风险社会中,只有制定适合风险逻辑的法律,并辅以相关制度的完善,才能解决信息网络风险下隐私权的保护问题。
第一,兼采美国和欧盟保护模式之长,以“安全港”模式为核心,构建我国的特色保护模式。美国和欧盟的网络隐私保护模式各有特色,经过多年的发展,均形成了较为全面的、体系化的保护。然而在我国,无论是行业自律还是立法规制都处于空白状态。虽然中国网络行业协会相继制定了《中国互联网行业自律公约》、《互联网信息服务管理办法》、《互联网电子邮件服务管理办法》、《垃圾邮件防范处理指南》等,然而这些公约只有倡议性质,缺乏约束力;而且公约只限于原则规定,并无详细标准和保护措施。我国立法上并无隐私权的概念,有关隐私保护的规定也只是零星的法条,并不成体系。目前我国宪法、民法、刑法中都未明确隐私权的概念,只是通过名誉权以及住宅不受侵犯、通信自由和通信秘密等来间接保护公民的隐私权,如宪法第39条:“中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。”宪法第40条:“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”刑法第245条规定了“非法搜查罪、非法侵入住宅罪”,第252条规定了“侵犯通信自由罪”,第284条规定了“非法使用窃听、窃照专用器材罪”。民事方面,1990年最高人民法院在《关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见》第160条中规定:“以书面口头等形式宣传他人隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。”1993年,最高人民法院在《关于审理名誉权案件若干问题的解答》第7条第3款中规定:“未经他人同意,擅自公布他人的隐私材料或以书面、口头形式宣扬他人隐私,致使他人名誉受到损害的,按照侵害他人名誉权处理。”2001年,最高人民法院《关于确定民事侵权精神损害赔偿责任若干问题的解释》第3条第2款规定:“非法披露、利用死者隐私,其近亲属因此遭受精神痛苦,向人民法院起诉请求赔偿精神损害的,人民法院应当依法予以受理。”不仅《民法通则》中从未出现隐私权的概念,司法解释中也是将隐私权放在名誉权的名义下进行保护。散落在我国《民事诉讼法》、《刑事诉讼法》、《未成年人保护法》、《预防未成年人犯罪法》、《妇女权益保护法》、《消费者权益保护法》、《律师法》、《商业银行法》、《统计法》、《证券法》等法律法规中的有关规定,只是对诉讼当事人、未成年人、妇女、消费者、诉讼当事人、存款人等信息的零星保障。总之,各种立法只关注自己领域的隐私保护,不仅互相之间难以衔接,也必然留下保护不周的空白地带,不利于对隐私权的系统、完善保护。2008年全国人大常委会审议的《侵权责任法草案》第47条规定:“采取披露、宣扬、窥视、窃听、偷拍、骚扰等方式,侵害他人私人信息、私人活动或私人空间,侵害生活安宁,造成损害的,应当承担停止侵害、赔礼道歉、赔偿损失等侵权责任。”然而最终出台的侵权责任法却并未采用这一条,隐私权在我国立法上至今仍处于身份不明的状态。至于网络隐私更是处在立法层次低、体系混乱的状态下。我国无专门的针对信息网络风险下隐私权保护的正式立法,只有刑法有第286条“破坏计算机信息系统罪”和2009年通过的刑法修正案(七)中增设的对出售、非法提供、非法获取个人信息行为的惩罚,其罪状设置不能涵盖侵犯隐私的所有严重行为,和其他法条也多有冲突。涉及相关内容的只有部门的文件,如1996年邮电部的《中国公用计算机互联网国际联网管理办法》、1997年国务院信息化工作领导小组的《计算机信息网络国际联网管理暂行规定实施办法》、2000年信息产业部的《互联网电子公告服务管理规定》和2000年的《全国人民代表大会常务委员会关于维护互联网安全的决定》等,只象征性地涉及了隐私权的保护,但并不系统。因而笔者认为我国不仅应该加快行业保护标准的制定和行业监督的完善,使行业自律成为网络隐私权最基础的保护,①参见谢守分:《网络个人隐私保护的行业自律模式》,载“北大信息法律网”,http://www.chinalawinfo.com/research/academy/details.asplid =622,2010年10月27日。而且应该逐渐建立相关的法律法规体系,完善对隐私权相关内容的保护。在兼采行业自律和立法规制模式之长的基础上,我国也可以借鉴“安全港”模式,它虽然主要用在贸易中,但对日常生活及行政领域的网络隐私保护也有很多启发。鉴于我国相关立法经验较少,一时难以确定完善、准确的标准,可以采用“安全港”或企业隐私保护标准认证制度,通过各行业的申报和分层级的协议或认证,给用户提供一种隐私保护参考指标,并为立法提供具体的标准和措施,促进我国法律不断完善。
第二,构建和完善针对信息网络风险下隐私权保护的法律体系。我国宪法第38条规定:“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方式对公民进行侮辱、诽谤和诬告陷害。”宪法对“人格尊严”的肯定暗含了保护其他虽未明确列举、但为保障人格尊严而不可或缺的权利的必要性,为隐私权的保护提供了原则性支持。我国应该在宪法的指导思想下建立和完善民法、刑法、行政法体系,以完善基本人权保护制度,并加快网络隐私权保护的专门立法,应对信息网络风险给隐私权带来的挑战。有学者呼吁首先在立法上明确隐私权的概念,但在笔者看来,英、德等国并无隐私权的概念,对其保护也并未偏废,因而只要制度合理有效,是否引入隐私权的概念并不重要。也有学者鉴于网络风险对隐私权的挑战,提出了“网络隐私权”的概念,旨在加强保护。然而在笔者看来,“网络隐私权”和传统隐私权并没有本质的区别,都是个人关于不愿被外界知晓、不愿公开的私人信息、活动、领域的权利,只不过网络的到来为隐私权增加了更多的内容,侵犯隐私权的途径、方式更多,侵害的后果也更加严重;况且“网络隐私权”的概念过于狭窄,容易造成立法和现实的过快或过分脱节。既然隐私权概念在立法中尚且不是必须,“网络隐私权”的概念就更无必要。
虽然无须针对隐私权或“网络隐私权”进行概念化或法典化,但笔者认为,个人数据作为信息网络风险下最容易受到侵害、侵害后果也最为严重的一个部分,应该制定《个人数据(或信息)保护法》予以重点保护。个人数据的保护应该明确个人数据权利,如支配权、知情权、更正权、利用权等。规制个人数据的收集、持有、使用和披露等行为:个人数据的收集首先必须取得本人的同意,不得擅自进入用户的私人空间进行收集。对未成年人数据的收集,还应得到其监护人的同意;其次,个人数据的收集必须合法,即从法律上明确规定收集数据的权力依据和程序要求,政府机构只能收集与其本身职能有关的个人数据,私人机构的收集行为必须依照法律的规定取得主管机关的许可并依照法定程序方能进行;最后,必须向数据当事人说明数据使用的目的、范围。在个人数据的处理中,首先要求处理的必须是经合法收集、持有的数据;其次,持有的个人数据的内容必须是真实准确的,如果有误应允许本人修改;最后,私人或私人机构对个人数据进行处理时,不得非法侵害数据主体的人格权。在个人数据的披露和公开中,首先要求任何数据的公开都必须经本人同意,除非是常规使用或法律特别许可;其次,对个人数据的查询和公开,都必须有完整的记录;再次,政府对其控制的资料中与私人有关的以及会对隐私造成不必要损害的资料必须保密,学校、医院等公共机构掌握的个人资料只能提供给合法的收集人,不得随意公开等。在这部立法的基础上进一步完善对个人领域和活动的立法保护,如制定《反垃圾邮件法》、《网络监视、监听法》等,构筑以《个人数据保护法》为核心的隐私保护法律体系。
第三,明确信息网络风险下隐私侵权的责任逻辑。“有权利就有救济”,在规定了潜在侵权人的义务后,责任的配置是义务能否得到切实履行的关键;与此同时,信息网络风险的来临也要求法律重新分配责任,解决“有组织的不负责任”问题。徐显明教授指出:“如何使公共权力尊重人的尊严,是隐私权成立与否的根本。”①徐显明:《人权建设三愿》,载徐显明主编:《人权研究》(第二卷),山东人民出版社2002年版,序言。政府对个人隐私的侵犯一直是隐私的头号杀手,因此我们仍然需要在提高政府工作人员素质的同时,加强立法规制政府在收集、使用、披露公民隐私时遵循正当的程序和内容,有正当的目的和权限,由正当的主体实施,逐步完善行政复议、行政诉讼等救济制度,并加强人大、媒体、公众等各方面的监督。如果政府在收集、使用和披露私人数据时不遵守法律的规定,非法侵入私人领域,监视私人活动,或未能履行监督网络环境、惩治侵权行为的职责等,可以要求政府或其工作人员承担行政责任或刑事责任,如果给用户造成了损害,也可要求其承担相应的国家赔偿责任。
在风险社会,更多的网络侵权来自于个人、企业和网络服务商。一方面商业利益诱惑着他们通过各种渠道收集私人信息、或将所获得的信息转卖给他人,另一方面隐私保护的成本又阻碍了他们采取保护技术和标准。政府侵权即使并未减轻,也已相对不是最严重的了。虽然政府在监督行业问题上有更强大的技术能力和资金后盾,但我们一方面反对税收的无限增长,想要一个能够不侵犯公民基本自由的有限政府,另一方面又想要政府无所不管,这显然是不可能的。因此,笔者认为,面对网络给隐私权带来的风险,我们应该将主要的保护责任分配给私主体。②在贝克看来,新的风险社会应该将风险的举证责任置于肇事者,让其承担证明不存在风险的责任;同时把由个人单独面对和承担的风险费用转回到大企业身上,因为企业可以使用较少的成本就可以防止较大的风险,也更符合成本与收益的经济学态度。具体来说,对于非法收集、使用和披露私人数据的行为,非法侵入私人领域,制造、传播病毒,发送垃圾邮件,监视私人邮件、网络浏览情况等,当事人有权要求行为人承担停止侵害、消除影响、恢复原状、赔偿损失等损害赔偿责任。对于设备供应商提供具有私人数据收集功能的设备,网络服务商擅自追踪用户的上网习惯、收集用户数据、倒卖用户资料等行为,用户也可以要求其承担相应的民事责任。对于设备供应商或网络服务商虽未直接或故意侵犯隐私权,而是过失未尽到审查、注意义务的,应该承担补充责任;如果明知他人利用其网站或技术侵权而不采取行动的,我国侵权法已经为其配置了连带责任。③《侵权责任法》第36条:“网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。”对于上述行为,如果情节严重的还可要求其承担行政责任或刑事责任。
第四,建立专门的网络行为规制机构。“徒法不足以自行”,在对网络行为的规制中,专门的政府机构是这一机制得以运行的重要保障。已有不少国家建立了此类机构,如依据欧盟《个人数据保护指令》第6章第28条的规定,各成员国应当设立一个或多个专门的机构负责独立地监督个人信息保护法的实施,凡制定的法律法规中涉及个人信息的,有关部门应当咨询该机构的意见;同时,该机构享有相应的调查权、依照职权或者依照有关当事人的申请而对相应的违法行为进行查处的权力以及通过介入诉讼维护法律实施的权力等。④参见周汉华:《制定中国个人信息保护法的几个问题》,载《个人信息保护前沿问题研究》,法律出版社2006年版,第239页。我国香港特别行政区也设立了“香港个人资料私隐专员公署”,其职能便是采取推广、监察及督导措施,促使民众遵守《个人资料(私隐)条例》,确保个人隐私信息得到保障。瑞典也成立了作为国家行政机构的“瑞典数据监督局”,负责对建立或继续经营个人信息系统的个人或组织进行审批和监督。无论从我国侵权行为猖獗的现实,还是从国外的优秀制度经验来说,我们都应建立专门的网络行为规制机构,负责贯彻《个人数据保护法》等法律法规,审批信息系统的建立,监督其经营,接受并监督企业与政府制定的网络隐私保护协议,监控网络行为并处理此类争议。
总之,一个社会不仅需要激励机制,也需要稳定(安慰)机制,对于网络隐私的保护,我们不仅需要各种认证、鼓励制度激励企业、网站采取保护措施,也需要完善的法律系统和政府监督部门规制其达到保护标准,如此方能应对信息网络风险给隐私权带来的挑战。
(责任编辑:周文升wszhou66@126.com)
D90
A
1003—4145[2011]01—0020—06
2010-12-03
范进学,上海交通大学凯原法学院教授、博士生导师;张玉洁,山东大学法学院2009级法学理论专业研究生。
