中国的隐私保护①

2017-12-12万勇王杰何天翔彭耀进程子姣译

汕头大学学报（人文社会科学版） 2017年11期

关键词：服务提供商个人信息身份

万勇，王杰，何天翔，彭耀进，程子姣译

（1.中国人民大学，北京海淀 100872；2.上海交通大学凯原法学院，上海闵行 200240；3.香港城市大学；4.荷兰马斯特里赫特大学）

中国的隐私保护①

万勇1，王杰2，何天翔3，彭耀进4，程子姣译

（1.中国人民大学，北京海淀 100872；2.上海交通大学凯原法学院，上海闵行 200240；3.香港城市大学；4.荷兰马斯特里赫特大学）

中国的网络隐私越来越受到公众关注。相关立法机构已出台具体法律、法规保护网络隐私，判例法也得到相应发展。尽管如此，公众目前可能并不清楚如何进行隐私保护，同时也会忽视网络隐私保护。至今，中国起诉网络服务提供商（OSPs）隐私侵权的案例数量有限，身份披露的保护规则也相当分散，不同领域的网络服务提供商遵循着不同规则。

网络服务提供商；侵犯隐私权；身份披露

绪论

中国没有隐私保护的专门法。隐私保护的规则分散在不同的法律、法规中。传统意义上，隐私权属于名誉权的一种。2010年，中国颁布了《中华人民共和国侵权责任法》，隐私权成为独立的个人权利。由于受到公众的关注，《中华人民共和国侵权责任法》不仅载有互联网隐私保护的专门规定，由于网络服务提供商可以访问互联网用户的私人信息，该法律还规定了几项关于在互联网上跟踪、收集、利用和披露个人信息的条款。本文旨在全面了解网络服务提供商在中国的隐私保护责任。

大纲

为了全面了解网络服务提供商在中国的隐私保护责任，本文由三部分组成：（一）中国隐私保护总体法律框架，（二）网络服务提供商隐私侵权责任，（三）网络服务提供商对互联网用户的身份披露义务。文章的第一部分首先探讨中国隐私保护的一些基本问题，包括隐私权是否是一项独立的权利，隐私权的范围，什么是侵犯隐私权。其次，探讨中国法律、法规和司法解释中规定的网络服务提供商隐私保护责任。文章第二部分是案例研究，介绍中国法院如何判定网络服务提供商在隐私侵权案件中的责任。根据不同责任类型，本部分包括直接责任和间接责任两部分。在直接责任的部分，本文研究中国法院是否将Cookies②Cookies 指小量信息，是由 Web 服务器创建的，将信息存储在用户计算机上的文件。跟踪界定为侵犯隐私权。在间接责任的部分，本文探讨网络服务提供商是否对其用户的隐私侵权负责。由于互联网的特点是匿名，在某些特定的情况下，可能需要网络中介商来帮助受害者识别侵权者。本文第三部分研究网络中介商在个人权利、版权和商标领域里公开网络身份的判例法。结论部分在对前几部分的初步结论进行总结的基础上，指出了有关中国隐私保护的立法和判例需要进一步研究的地方。

研究方法

第一部分通过研究中国法律、法规和司法解释，探讨隐私保护的一般法律框架。第二部分和第三部分通过个案研究和司法意见，探讨网络服务提供商保护用户隐私的责任。2013年，中华人民共和国最高法院设立了一个统一的平台，被称为“中国裁判文书网”（Judicial Opinions of China），供法院公布判决。自2014年初，最高人民法院，高级人民法院，中级人民法院和13省份的基层法院，必须在这个平台上公布所有依法可以公开的裁判文书。对于2014年以前判决的案件，本报告的研究基于学术数据库“北大法宝”。作者认为，从这两个数据库来源收集的案件判决进行分析，可以得出中国法院如何解释网络服务提供商对保护隐私的责任。

根据这两个数据库的搜索结果，网络服务提供商因隐私侵权被起诉或者被要求披露互联网用户的身份信息的案例数量有限。因此，本报告试图分析从这两个数据库收集到的所有相关案例，从而全面了解网络服务提供商在司法实践中对隐私保护的责任。在分析案件判决时，报告分为案件事实、法院决定和评价三个部分。在讨论涉及到争议问题的复杂案件时，报告根据具体问题构建案例研究。

局限性

如上所述，中国网络服务提供商隐私侵权案件数量有限。尽管这份报告试图分析所有相关案件，但仍有些条款在案件判决中没有涉及。因此，关于网络服务提供商的隐私保护责任，报告中的案例研究不能对所有相关的条款提供司法见解。另外，虽然有几项法律、法规规定了官方对互联网隐私的执法权力，但其并没有明确哪一个部门有权执法。本报告也无法指出哪些部门对互联网上的隐私权负责。

一、中国隐私保护总体法律框架简介

中国的法律中并没有明文规定对自然人隐私权的保护，宪法中也没有关于隐私权的直接规定。同样，《中华人民共和国民法通则》（以下简称《民法通则》）也没有提及隐私权的保护。中国通常用名誉权来保护自然人的隐私。近期，中国立法明确规定了法定的隐私权。《侵权责任法》中明确提到隐私权，其他法律、法规也涉及有隐私侵权以及规范网络服务提供商网络活动的相关规定。首先，本文梳理适用于中国网络服务提供商有关侵犯隐私权的法律责任。这部分分为两小节，隐私保护的法律框架和中国网络服务提供商的法律责任。通过分析中国网络服务提供商隐私侵权责任的相关法律法规，将为第二、三部分司法裁决的分析奠定基础。

1.1 隐私保护的法律框架

本节首先探讨隐私权在中国是否是一项受到法律保护的独立权利的问题，然后梳理相关法律法规。最后，也是最重要的部分，讨论因侵犯隐私造成损害的过失责任。

（1）隐私权——一项独立的权利

虽然宪法中没有明确提及隐私权，但其确实为公民的隐私权利提供了宪法依据。《中华人民共和国宪法》（以下简称《宪法》）中与隐私权最相关的条款是第三十八条，其规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”可见，该条款明确了名誉权和人格尊严，虽未明确规定隐私权，但人格尊严可包含公民的隐私。此款规定则可能构成中国保护公民隐私的立法、司法基础。

另外，《宪法》的第四十条规定公民的通信自由和通信秘密受到法律保护。具体而言，“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”此规定将公民信函的隐私明确纳入宪法的保护范围。

除宪法有关规定外，《民法通则》还规定了中国民事权利保护的法律依据。然而，《民法通则》并未提及隐私，更不论隐私保护。《民法通则》仅在第一百零一条中涉及到公民的名誉权，即“公民、法人享有名誉权，公民的人格尊严受法律保护，禁止用侮辱、诽谤等方式损害公民、法人的名誉。”《最高人民法院关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见（1988）》（以下简称《意见（1988）》）在第一百四十条中对《民法通则》的第一百零一条规定作了进一步解释：“对以书面、口头等形式宣扬他人的隐私，或者捏造事实公然丑化他人人格，以及用侮辱、诽谤等方式损害他人名誉，造成一定影响的，应当认定为侵害公民名誉权的行为。”根据最高人民法院这一解释，当公开他人隐私对他人名誉造成损害时，行为人则应当承担侵权责任，而无论侵权形式为口头的还是书面形式的。由此可见，最高人民法院在其1988年的民法通则司法解释中就已经将隐私的概念纳入“人格尊严”和“名誉权”之中。

随后，最高人民法院又在其1993年的《关于审理名誉权案件若干问题的解答》（以下简称《解答（1993）》）中重申这一原则。该《解答（1993）》第七条第三款规定：“对未经他人同意，擅自公布他人的隐私材料或以书面、口头形式宣扬他人隐私，致他人名誉受到损害的，按照侵害他人名誉权处理。”这一司法解释继续沿用1988年司法解释的原则，对隐私权仍然采用间接保护的方式。

另外，中国其他一些法律法规也被用于保护公民隐私权益。《侵权责任法》对侵权责任作出了一般性规定，其涉及范围广泛，从医疗损害、工伤、环境污染到产品责任等。其中，《侵权责任法》第二条明确将“隐私权”纳入民事权益，这意味着该法承认了独立的隐私权。另外，《中华人民共和国妇女权益保障法》第四十二条明确禁止大众传播媒介等侵害妇女的隐私权。

（2）隐私权的组成

虽然中国的法律法规并未明确界定隐私，但有几种形式的隐私则受到保护。例如，医患病人的隐私在中国得到明确的保护。1998年《最高人民法院关于审理名誉权案件若干问题的解释》指出：“医疗卫生单位的工作人员擅自公开患者患有淋病、麻风病、梅毒、艾滋病等病情，致使患者名誉受到损害的，应当认定为侵害患者名誉权”。此外，《侵权责任法》第六十二条也对患者的隐私做了保护性规定，即“医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料，造成患者损害的，应当承担侵权责任。”

近来，中国的法律、法规已经逐渐由保护患者的隐私扩展至保护所有公民的个人信息。最高人民法院、最高人民检察院和公安部2013年联合发布《关于依法惩处侵害公民个人信息犯罪活动的通知》，其中就提及公民的个人信息包括姓名、年龄、有效证件编号、婚姻状况、雇佣关系、教育背景、简历、家庭住址、电话号码和其他可以识别公民身份或涉及个人隐私的信息或数据。《电信和互联网用户个人信息保护规定（2013）》中第四条也有类似规定，即“本规定所称用户个人信息，是指电信业务经营者和网络服务提供商在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”

此外，最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条在利用司法手段保护个人信息方面作出规定：“网络用户或者网络服务提供商利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持。”其中，可能涉及网络服务提供商散播公民个人信息的规定，该条第二款列出了几项免责情形，比如“(一)经自然人书面同意且在约定范围内公开；(二)为促进社会公共利益且在必要范围内；(三)学校、科研机构等基于公共利益为学术研究或者统计的目的，经自然人书面同意，且公开的方式不足以识别特定自然人；(四)自然人自行在网络上公开的信息或者其他已合法公开的个人信息；(五)以合法渠道获取的个人信息；(六)法律或者行政法规另有规定。如果网络服务提供商违反社会公共利益和社会道德公开上述第四项和第五项所列个人信息，损害了信息持有者的重大利益，网络服务提供商将承担侵权责任。”

（3）造成损害——追责的重要因素

从中国法律、法规以及司法解释中可以看出，承担隐私侵权责任的一重要因素是，要求行为人公开他人隐私的行为对他人造成了一定的损害。换言之，除非权益人能够明确证明其名誉受到损害，否则其可能无法获得法律的支持。例如，《意见（1988）》第一百四十条规定：“……这些行为对有关人员造成损害……”；《解答（1993）》中规定：“……导致名誉受损……”；《侵权责任法》第六十二条规定：“…… 造成患者损害的……”。由此可见，对原告是否造成损害是判断隐私侵权与否的一个非常重要因素。

隐私侵权所造成的损害，可以是精神损害。例如，根据《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释（2001）》第一条规定：“违反社会公共利益、社会公德侵害他人隐私或者其他人格利益，受害人以侵权为由向人民法院起诉请求赔偿精神损害的，人民法院应当依法予以受理。”此外，《侵权责任法》第二十二条规定：“侵害他人人身权益，造成他人严重精神损害的，被侵权人可以请求精神损害赔偿。”

总体而言，作为中国一部重要的法律，《民法通则》为民事权利保护提供法律依据，但其并未明确提及隐私和隐私权。最高人民法院的司法解释有将隐私概念纳入“人格尊严”和“名誉权”之中，同时其他一些法律法规也有涉及隐私保护。重要的是，中国的《侵权责任法》已将隐私权纳入其保护范围，但对隐私或隐私权仍未作任何认定。可见，在中国，隐私权的范围仍未明确。

1.2 规制网络服务提供商的具体法律框架

中国并没有关于网络服务提供商侵权责任的总体立法，相关法律规定则是分散在不同的法律法规之中。本节重点关注与网络服务提供商隐私侵权责任有关的法规，以及规范管理网络服务提供商的一些政府规定。

（1）与网络服务提供商侵权责任有关的规定

关于网络服务提供商侵权责任的一条重要规定，即《侵权责任法》第三十六条。该规定专门适用于网络侵权行为，通常被称为网络专条，其明确将网络服务提供商侵权责任分为两类：直接责任和间接责任。具体如下：

（一）网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。（二）网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。（三）网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。

第三十六条第一款规定了网络服务提供商直接从事侵犯他人民事权利或利益的直接责任，而其他两款规定规范了网络服务提供商承担间接责任的两种情形。第三十六条第二款规定本质上是一个“避风港”规则，根据该规则，网络服务提供商仅对接到通知后未及时采取必要措施所造成损害的扩大部分承担责任。

就《侵权责任法》第三十六条所规定的通知形式而言，《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定（2014）》（以下简称《规定（2014）》）作了进一步解释：“被侵权人以书面形式或者网络服务提供者公示的方式向网络服务提供者发出的通知，包含下列内容的，人民法院应当认定有效：（一）通知人的姓名（名称）和联系方式；（二）要求采取必要措施的网络地址或者足以准确定位侵权内容的相关信息；（三）通知人要求删除相关信息的理由。被侵权人发送的通知未满足上述条件，网络服务提供商主张免除责任的，人民法院应予支持。”

关于《侵权责任法》第三十六条第二款中所提及的“删除、屏蔽、断开链接等必要措施，”《规定（2014）》指出，法院在判断网络服务提供商所采取必要措施是否及时的时候，应当根据网络服务的性质、有效通知的形式和准确程度，网络信息侵害权益的类型和程度等因素综合判断。另外，《规定（2014）》第七条指出：“其发布的信息被采取删除、屏蔽、断开链接等措施的网络用户，主张网络服务提供商承担违约责任或者侵权责任，网络服务提供商以收到通知为由抗辩的，人民法院应予支持。”此解释可能导致一种结果就是，网络服务提供商倾向于一经收到有效通知就采取措施以撤除涉嫌违法的内容，而并不关心该内容是否真正地侵犯到他人隐私。

另外，法院在判断《侵权责任法》第三十六条第三款中所规定的“知道”时，应当综合考虑下列因素：“（一）网络服务提供商是否以人工或者自动方式对侵权网络信息以推荐、排名、选择、编辑、整理、修改等方式作出处理；（二）网络服务提供商应当具备的管理信息的能力，以及所提供服务的性质、方式及其引发侵权的可能性大小；（三）该网络信息侵害人身权益的类型及明显程度；（四）该网络信息的社会影响程度或者一定时间内的浏览量；（五）网络服务提供商采取预防侵权措施的技术可能性及其是否采取了相应的合理措施；（六）网络服务提供商是否针对同一网络用户的重复侵权行为或者同一侵权信息采取了相应的合理措施；（七）与本案相关的其他因素。”

关于网络服务提供商停止传播侵犯隐私权的信息的义务，值得注意的是，《全国人民代表大会常务委员会关于维护互联网安全的决定（2000）》第七条的规定。该条要求网络服务提供者不仅要停止传播有害信息，还须及时向有关机关报告。具体而言，该条规定： “……从事互联网业务的单位要依法开展活动，发现互联网上出现违法犯罪行为和有害信息时，要采取措施，停止传输有害信息，并及时向有关机关报告……”

此外，全国人民代表大会常委会于2012年发布《关于加强网络信息保护的决定》，其中涉及加强对网络信息的保护。该决定对中国网络公民的个人隐私权进行全面法律保护，规定如下：“（一）国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。（二）网络服务提供商和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供商和其他企业事业单位收集、使用公民个人电子信息，应当公开其收集、使用规则。（三）网络服务提供商和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。（四）网络服务提供商和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。（五）网络服务提供商应当加强对其用户发布的信息的管理，发现法律、法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，保存有关记录，并向有关主管部门报告。（六）网络服务提供商为用户办理网站接入服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布服务，应当在与用户签订协议或者确认提供服务时，要求用户提供真实身份信息。（七）任何组织和个人未经电子信息接收者同意或者请求，或者电子信息接收者明确表示拒绝的，不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。（八）公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息，或者受到商业性电子信息侵扰的，有权要求网络服务提供商删除有关信息或者采取其他必要措施予以制止。”

另外，在中国，除民事法律涉及隐私保护外，刑事法律也同样有相关涉及。例如，《中华人民共和国刑法》第二百五十三条则可能涉及网络服务提供商与个人隐私保护，其规定：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”这条规定划清了网络服务提供商侵犯他人隐私的刑事责任范围。

（2）与网络服务提供商有关的监管规定

在法律外，中国政府还发布了多项附加规定，以监管网络服务提供商的网络活动。首先，这些规定禁止任何侮辱、诽谤他人或侵犯网络世界中其他人的合法权益的行为。例如，1997年中国国务院批准的《计算机信息网络联网安全保护管理办法》，就是中国政府早期制定的一系列监管发布与传播具有诽谤性的有害内容的行政法规。该法规主要规范互联网创造虚假、歪曲事实、传播谣言、公然侮辱他人、歪曲真相、诽谤他人等网络活动。《互联网信息服务管理办法（2000）》第十五条明确禁止网络服务提供商制作、复制、发布或传播含有侮辱、诽谤他人或侵犯他人合法权益的内容。《中华人民共和国电信条例（2000）》第五十条和《中国互联网管理条例（2005）》第十九条也分别规定，网络服务提供商不得发布任何侮辱、诽谤他人或侵犯他人合法权益的信息。

其次，这些规定给网络服务提供商施加了明确的责任。这些规定要求网络服务提供商记录信息的相关数据，停止传播侵权信息，保存这些信息的记录，向当局报告所称的非法信息，并提供访问其网站的互联网用户地址适当的权力。例如，《计算机信息网络国际联网安全保护管理办法》第十条就要求所有的互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织，删除非法内容，停止传输，保留有关原始记录并在二十四小时内向当地公安机关报告。《互联网信息服务管理办法》第十六条，要求网商服务提供商立即停止传输，保存有关记录，并向国家有关机关报告。《互联网新闻信息服务管理规定（2005）》第二十条和第二十一条要求互联网新闻信息服务单位应当记录所登载、发送的新闻信息内容及其时间、互联网地址，记录备份应当至少保存60日，并在有关部门依法查询时予以提供。此外，《互联网视听节目服务管理规定（2008）》第十八条要求所有互联网视听节目服务单位对含有违反本规定内容的视听节目，应当立即删除，并保存有关记录，履行报告义务，落实有关主管部门的管理要求。

此外，最近中国政府已经发布了另一项有关网络服务提供商的规定。该法规同样要求网络服务提供商遵循若干规则，以确保用户的个人信息不被滥用。具体来说，《电信和互联网用户个人信息保护规定（2013）》规定网络服务提供商在提供电信业务和互联网信息服务的过程中收集和使用用户个人信息的规定。

“第五条，电信业务经营者、网络服务提供商在提供服务的过程中收集、使用用户个人信息，应当遵循合法、正当、必要的原则。第六条，电信业务经营者、网络服务提供商对其在提供服务过程中收集、使用的用户个人信息的安全负责。第九条，未经用户同意，电信业务经营者、网络服务提供商不得收集、使用用户个人信息。第十条，电信业务经营者、网络服务提供商及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。第十二条，电信业务经营者、网络服务提供商应当建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人。第十三条，电信业务经营者、网络服务提供商应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失：

（一）确定各部门、岗位和分支机构的用户个人信息安全管理责任；（二）建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度；（三）对工作人员及代理人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施；（四）妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体，并采取相应的安全储存措施；（五）对储存用户个人信息的信息系统实行接入审查，并采取防入侵、防病毒等措施；（六）记录对用户个人信息进行操作的人员、时间、地点、事项等信息；（七）按照电信管理机构的规定开展通信网络安全防护工作；（八）电信管理机构规定的其他必要措施。第十四条，电信业务经营者、网络服务提供商保管的用户个人信息发生或者可能发生泄露、毁损、丢失的，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调查处理。电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估；影响特别重大的，相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前，可以要求电信业务经营者和网络服务提供商暂停有关行为，电信业务经营者和网络服务提供商应当执行。”

总之，按照中国法律规定，如果网络服务提供商侵犯他人隐私权或利益，就有可能承担侵权责任。责任通常分为直接责任和间接责任两大类。如果网络服务提供商非法揭露他人的私人信息，可能需要承担直接侵权责任。中国法律法规明确规定有禁止非法向其他人披露或传播其他隐私信息，并且要求网络服务提供商保留用户的个人信息。网络服务提供商侵犯他人隐私情节严重者，甚至可能承担刑事责任。此外，如果是网络服务提供商的平台被用户用于侵犯他人隐私的，网络服务提供商可能承担间接侵权责任。当网络服务提供商未能履行一定责任以防止隐私侵权发生时，也适用此间接责任。同时，中国行政法规也有规定若干网络服务提供商的其他职责，例如停止传播侵权信息，记录并向有关部门报告不当行为。

1.3 结论

如本部分所述，在中国，隐私权被视为一项独立的权利。中国通过多项重要的法律、法规以保护公民隐私，但没有制定专门法以规范网络服务提供商的隐私侵权责任。换言之，中国依靠各种分散的法律、法规以及司法解释来保护公民的隐私和隐私权，并且在隐私被直接或间接侵犯时追究网络服务提供商的责任。另外，监管框架也是分散的，法律授予“有关部门”的执法权力。因此，人民法院、地方公安机关、电信行政机关等单位皆有权规范网络服务提供商的行为。然而，其他部门是否也有权强制执行隐私保护仍不清楚。

近来，中国发布了越来越多的法律、法规来规范网络隐私侵权，这表明中国立法机关愈发重视对这一领域的规制。与此同时，中国的立法也愈加注重监管网络服务提供商的行为。人大代表在全国人民代表大会上多次提出关于制定个人信息保护法或隐私权保护法的若干立法建议。法制委员会也已经对这些问题有所考量并体现在《中华人民共和国网络安全法》中。显然，这也表明中国开始重视隐私保护，并且进一步关注到网络隐私保护的重要性。不难预测，中国未来将会有更多网络服务提供商隐私侵权责任有关的法律法规出现。

二、由判例看网络服务提供商隐私侵权责任

通过本文第一部分对隐私保护法律框架的介绍，我们大概可以了解到，许多中国网络中介商可能会因违反与隐私保护相关的法律、法规而需负法律责任。近来，随着规制网络中介商隐私保护的法律的发展，已经有一定数量的中国本土案例，对直接和间接责任的效果进行了诠释。从直接责任来说，如果某家网络中介商非法主动泄漏用户的私人信息，对用户隐私造成侵害，将负直接侵权责任。相反地，倘若用户理由一家网络中介商所提供的服务来侵犯他人的隐私权，而网络中介商本身没有很好地预防侵权行为的发生，其可能会因用户的侵权行为而承担间接侵权责任。

直接责任部分，到目前为止，除了一起有关Cookies跟踪的争议，中国的网络中介商还未因直接侵犯互联网用户隐私权而被起诉过。间接责任部分，有几起关于原告以平台用户涉嫌侵犯隐私权为由起诉网络中介商的案件。因此，第二部分以两部分分别探讨直接责任和间接责任。直接责任的部分，由于目前仅有一例，本节主要对该案例进行集中讨论。间接责任部分则讨论我们可以在中国裁判文书网上找到的所有相关案例。

2.1 直接责任

“Cookies是一种可信任的机制，用以在网站上记住有状态信息（如购物车中的商品）或记录用户的浏览活动（包括点击特定按钮，登录行为或用户在几个月或几年前访问的页面）。”如今，Cookies，特别是第三方Cookies常常被用于跟踪互联网用户的浏览历史，以便投放个性化的广告。由于第三方Cookies会跟踪互联网用户的完整浏览历史记录，这可能会引起公众对隐私的关注。然而，中国的互联网用户还没有对Cookies跟踪技术表示重大关注，只有一起案件涉及了这个问题。

北京百度网讯科技有限公司与朱烨隐私权纠纷案（南京一中院（2014）宁民终字第5028号）

2.1.1 案件事实

在百度与朱烨的纠纷案件当中，被告百度公司是中国最大的搜索引擎运营商。百度运用Cookies跟踪技术来为第三方广告商提供个性化的广告服务。在百度的网络主页底部，有一条超链接写着：“使用百度前必读。”点击此超链接后，用户可以找到百度的隐私保护声明（一项内部制定的规则），上面声明了百度可能会跟踪用户的Cookies，以此优化其广告服务。此外，该项政策还声明用户有权拒绝百度的Cookie跟踪，并向用户提供了几种禁用Cookie跟踪的方法。原告朱烨发现，用关键词在百度网站上搜索信息之后，她在浏览某些网站时，会显示一些与搜索关键词相关的广告。因此，原告声称百度公司在没有经过她了解和允许的情况下记录和跟踪了她搜索的关键词，导致原告的利益、兴趣、生活、学习和工作习惯都被暴露在网站上。此外，原告还声称被告通过跟踪她的搜索历史记录，向她投放了个性化的广告，侵犯了她的隐私权。

2.1.2 争议一：第三方Cookie信息是否属于个人隐私范畴？

关于第三方Cookie是否属于个人隐私，法院的两次判决给予了不同的意见。一审法院判决认为，因为第三方Cookies记录了互联网上个人活动的历史、兴趣、习惯和其他个人信息，所以第三方Cookie作为个人隐私的一部分应该受到保护。但二审法院推翻了这一判决，认为第三方Cookies不属于用户应当受到保护的个人隐私。根据国家工信部《电信和互联网用户个人信息保护规定》对个人信息的界定，个人信息是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集到网络用户的姓名、出生日期、身份证件号码、住址、电话号码、账号和密码，以及单独或者与其他信息结合后，能识别出用户信息以及网络用户使用服务的时间、地点等的信息。根据本条规定，二审法院认定保护个人信息的前提是这些信息可具体识别出相关互联网用户。网络用户通过使用搜索引擎形成的检索关键词记录，虽然反映了网络用户的网络活动轨迹及上网偏好，具有隐私属性，但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离，便无法确定具体的信息归属主体，不再属于个人信息范畴。由于第三方Cookies只针对与用户浏览器进行信息交换，但不能够识别用户，因此这些第三方Cookies不属于个人信息。

2.1.3 争议二：百度是否侵犯了用户隐私

关于隐私侵权的构成，两级法院的判决给予了不同意见。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》阐明，基于以下情况，互联网中介商可以被追究侵权责任：（1）网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息；（2）该泄露造成他人损害；（3）被侵权人请求网络用户或网络服务提供商承担侵权责任。

一审法院认定，虽然百度没有泄露原告的网络活动，但仅凭百度收集和使用原告的个人信息之行为，就足够得出百度侵犯了原告的隐私的结论。相比之下，二审判决则严格遵循了条例的字面含义，认为只有泄露隐私信息才构成隐私侵权。本案中，被告百度并没有将通过Cookies收集的信息泄露给第三方或公众，因此在《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》释义下，百度并不构成隐私侵犯。

2.1.4 争议三：百度是否有保障用户知情权和选择权的义务

本节的事实部分曾提及，在百度主页的底部，有一个超链接写明：“使用百度前必读”。点击此超链接后，用户可以找到“隐私保护声明”，上面指出，百度可能会跟踪用户的Cookies以达到优化广告服务的目的。除此之外，声明还说明了用户可以拒绝Cookies跟踪，并为用户提供了几种禁用Cookies跟踪的方式。两审判决就百度公司的上述行为，是否履行了网络服务提供商确保用户知情权和选择权的义务，提出了不同的意见。根据法院的一审判决，百度收集并利用其用户的上网信息是未经用户事先许可的。用户可能不了解百度收集和利用个人信息的行为，这就要求百度公司应当以更高的标准要求自己，积极地提醒用户其有关搜集Cookies信息的行为，以便网民作出理性的选择。此外，因为“使用百度前必读”通知以小字号显示在网页的底部，这对用户而言不是一个有效的提醒。

相反，法院二审判决认为百度履行了告知义务。首先，互联网公司经常使用Cookies跟踪技术，所以网页的底部免责声明已足以证明其履行了告知义务。此外，法院认定互联网用户应当具有一定水准，认为用户有责任具备一定背景知识和掌握网络技术。其次，将如“使用百度前必读”等规则的超链接放在网页底部是互联网行业的惯例。虽然超链接“使用百度前必读”的字号尺寸很小，但是由于网页设计较为简单，本身仅含有有限的图片和文字，互联网用户可以轻易找到这个超链接。最后，根据《信息安全技术公共及商用服务信息系统个人信息保护指南》指引，服务信息系统在处理个人信息之前，需要网络服务提供商得到互联网用户的许可。收集一般个人信息时，可认为个人信息主体默许同意，如果个人信息主体明确反对，则要停止收集或删除个人信息；收集个人敏感信息时，要得到个人信息主体的明确同意。百度网讯公司在对匿名信息进行收集、利用时采取明确告知和默认同意相结合的方式，这不违反国家对信息行业个人信息保护的公共政策导向，未侵犯网络用户的选择权和知情权。因此，百度网讯公司的个性化推荐行为不构成对朱烨隐私权的侵犯。

2.1.5 案件结论

百度与朱烨案的关键问题是调和保护隐私和促进互联网行业之间的矛盾。正如法院二审判决所述，当决定百度是否侵害了用户隐私时，法院应该采取行动保护民事权利与使用信息自由之间的关系，并确保他们的决定符合维护互联网秩序的需要，同时也能保护互联网行业的发展。在平衡这些相互竞争的问题中，一审法院更偏向隐私保护，而二审法院倾向于互联网行业。因为这是迄今唯一的一例关于Cookies跟踪的案件，因此可以说，到目前为止中国法院对Cookies跟踪的态度依旧不明确。

2.2 间接责任

在互联网时代，许多人都参与了网络服务提供商运营的网络社交活动。例如，发帖表达个人观点，这都可能包含有潜在的侵权信息。如果网络中介商维护不当，导致侵权行为产生，则网络中介商应当承担间接侵权责任。

为了更好地澄清网络服务提供商的侵权责任，本部分将间接责任案分为两部分来讨论：由网络服务提供商负责的案件和不由网络服务提供商负责的情况。因此，本文将根据不同情况对案件进行分析，依次阐述事实、法院裁决和评价。

2.2.1 网络服务提供商不承担责任案例：

（1）王菲诉海南天涯网络侵犯名誉权案（北京市朝阳区人民法院(2008)朝民初字第29277号）

案件事实：该案件涉及原告已故妻子在中国著名网络社区“天涯”上发表的一篇文章，作者在文章中指责原告“婚外情”。“天涯”拥有约2000万注册用户，该网站制定有《天涯社区基本法》、《网站关键字过滤措施》等规定，这些规则包含有四个级别的监控和过滤。本案涉及的帖子包含原告姓名、地址等真实个人信息。就此，原告要求天涯停止侵权行为，删除其网站上的相关信息，道歉并赔偿损失。

法院裁决：法院认定，根据《互联网信息服务管理办法》第十三条和《互联网电子公告服务管理规定》第九条第八款，天涯公司作为天涯网的管理者，依照相关法律法规和规定，制定有上网规则，对上网文字设定了相应的监控和审查过滤措施，已达到了相应要求；由于中国文字的丰富性、多样性以及网络语言的不断更新变化，网站事实上不可能将所有不雅言辞均纳入监控范围；根据目前现有的、通常的网站管理方式和技术手段，网站的管理者也不可能对所有网友的全部留言进行事前逐一审查。因此，网站管理者的监管义务应以确知网上言论违法或侵害他人合法权益为前提，在确知的情况下如果放任违法或侵权信息的存在和散播，则构成侵权；而及时履行了删除义务的，不构成侵权。因此，法院认定天涯监督的义务仅限于在接到通知及时删除或修改涉嫌侵权的信息。天涯公司的监管义务应是在自行发现或受害人投诉后及时将涉嫌侵权的信息删除或修改。天涯履行了义务，因此不承担责任。

评价：从法律上看，法院不认为网络服务提供商有能力对每一个发布在其网站上的帖子进行侵权检查，因为帖子数量巨大，服务提供商无力承担此责任。因此，只要服务提供者建立了自己的社区规则和信息过滤和监控机制，他们就不会对“漏网之鱼”承担责任。只有当他们实际了解其网站内之侵权物件的存在并没有采取纠正措施时，才承担责任。由于OSP无能力检查其网站上的大量信息，判定服务提供商是否“明知”侵权内容的存在，主要取决于服务提供商是否收到了被侵权方的通知。因此，服务提供商可以安全地制定社区规则，并在第三方通知的情况下，及时删除所涉及的侵权项目。

（2）向莉与北京微梦创科网络技术有限公司等名誉权纠纷案（北京第一中级人民法院(2014)一中民终字第08580号）

案件事实：微博是一个类似Twitter的社交网络平台。原告在微博上注册了几个账户，该平台上的其他几个用户在微博多次发布侮辱、谩骂原告的信息，并多次捏造事实对向莉进行诽谤。原告声称，她向微博网站投诉，并提供投诉的证据（复印件），但网络服务提供商并没有对这些微博采取行动。因此，原告要求微博停止侵权活动，并删除其网站上的侵权信息。

法院裁决：法院首先表示，微博内容侵犯了原告的名誉，原告提供了信件的复印件，证明微博已成功收到原告的投诉。但是根据《中华人民共和国民事诉讼法》、《最高人民法院关于民事诉讼证据的若干规定》和《最高人民法院关于适用〈中华人民共和国民事诉讼法〉若干问题的意见》，微梦公司作为新浪微博的经营者，是信息存储空间服务提供商。涉案信息并非处于新浪微博的显要位置，向莉也没有充足证据证明其曾通知微梦公司，在微梦公司收到起诉状后，涉案信息已被删除，可见微梦公司在合理期间履行了法律义务，没有过错，不应承担侵权责任。

评价：这个案例表明，为了证明网络服务提供商已得到的充分的通知，原告必须确保所有的证据是原始文件。但根据最高人民法院关于适用《中华人民共和国民事诉讼法》的解释第一百一十一条规定，交书证原件确有困难，人民法院应当结合其他证据和案件具体情况，审查判断书证复制品等能否作为认定案件事实的根据。另外根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第五条，被侵权人以书面形式或者网络服务提供者公示的方式向网络服务提供者发出的通知，包含下列内容的，人民法院应当认定有效：

（一）通知人的姓名（名称）和联系方式；（二）要求采取必要措施的网络地址或者足以准确定位侵权内容的相关信息；（三）通知人要求删除相关信息的理由。

被侵权人发送的通知未满足上述条件，网络服务提供者主张免除责任的，人民法院应予支持。换句话说，如果原告发出的通知被认定为无效，则撤销时间将从原告发动通知后扩大到随后的诉讼开始。

（3）佘勇诉海南天涯网络网络科技股份有限公司、四川麻辣文化传媒有限责任公司侵犯名誉权案（成都高新技术产业开发区人民法院(2014)高新民初字第2562号）

案件事实：原告为一家清算公司的股东，在网络社区“天涯”和“麻辣”上均出现指责原告贪污并导致污水处理厂不能正常运转的帖子，原告起诉天涯社区网络科技股份有限公司、四川麻辣文化传媒有限责任公司侵犯其名誉权。

法院裁决：法庭首先裁定这些帖子是侵权的。法院进一步指出，根据《中华人民共和国侵权责任法》第三十六条，作为互联网服务提供者，“天涯”社区和“麻辣”社区如果在接到通知之后未及时采取必要的纠正措施，则为侵权。除此之外，根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第五条，原告向“天涯”发出的请求被视为充分通知。但是，由于天涯在接到通知后妥善清除了侵权信息，已履行监督职责。法院还认为，根据《最高人民法院关于民事诉讼证据的若干规定》，原告无法提供证据证明他向“麻辣”社区发出通知后，后者未能及时作出回应。“麻辣”论坛在诉讼文件送达后，已经删除了侵权条款信息，这足以证明“麻辣”论坛已经履行了监督职责。

评价：此案原告有责任证明其已经向网络服务提供商发出通知，且通知符合《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第五条的正式要求。没有提供有效的“通知-移除”请求的证据，或者未能证明没有采取任何纠正措施的网络服务提供商收到过请求的，将导致原告的侵权索赔失败。从网络服务提供商的角度来看，提供商应制定内部规则以收集和检测“通知-移除”请求，并及时回复符合法定要求的请求。对不充分的通知进行回应并无必要，首先，处理一切索赔要求是不经济的；第二，要求对方提供的信息对于服务提供者查找涉嫌侵权行为，确定索赔是否合理都至关重要。

2.2.2 网络服务商承担责任案例

（1）蔡继明与百度公司侵害名誉权、肖像权、姓名权、隐私权纠纷案（北京第一中级人民法院2011年）

案件事实：原告是清华大学著名教授，中国人民政治协商会议全国委员。原告在全国政协年会期间发表了一项假期改革方案，建议黄金周假期取消。此提案随后被网友攻击。百度网友使用原告的姓名创建了一个BBS论坛，并发布了包含原告个人信息（如手机和家庭号码）在内的侮辱性文章。百度已经制定了用户发布的内容和提交投诉的政策。百度公司在“百度贴吧”首页分别规定了使用“百度贴吧”的基本规则和投诉方式及规则。其中规定，任何用户发现贴吧帖子内容涉嫌侮辱或诽谤他人，侵害他人合法权益的或违反贴吧协议的，有权按贴吧投诉规则进行投诉。蔡继明委托梁文燕以电话方式与百度公司就涉案贴吧进行交涉，但百度公司未予处理，梁文燕又申请作“蔡继明贴吧”管理员，未获通过，后梁文燕发信息给贴吧管理组申请删除该贴吧侵权帖子，但该管理组未予答复。直到百度公司收到原告的律师函后才删除帖子。原告起诉百度公司请求删除侵权信息，关闭以原告姓名命名的贴吧、公开发布侵权信息的网络用户的个人信息以及赔偿损失。

法院裁决：北京市海淀区法院一审认为，百度贴吧服务是以特定的电子交互形式为上网用户提供信息发布条件的网络服务，法律并未课以网络服务商对贴吧内的帖子逐一审查的法律义务，因此，不能因在网络服务商提供的电子公告服务中出现了涉嫌侵犯个人民事权益的事实就当然推定其应当“知道”该侵权事实。考虑到这个案例中，百度为用户提供投诉渠道，其在收到律师函后删除了侵权信息，所以百度不对侵权负责。“蔡继明吧”只是公众舆论对公众人物和公众事件发表言论的渠道，以原告姓名命名的贴吧只是指代舆论关注的焦点，其本身并无侵害其姓名权的故意，对关闭该贴吧的请求不予支持。

但是，二审法院认为，百度公司在收到梁文燕投诉后未及时采取相应措施，直至蔡继明委托发出正式的律师函，才采取删除信息等措施，在梁文燕投诉后和蔡继明发出正式律师函这一时间段怠于履行事后管理的义务，致使网络用户侵犯蔡继明的损害后果扩大，应当承担相应侵权责任。根据本案具体情况，百度公司应当赔偿蔡继明精神抚慰金十万元。

评价：这个案例说明了法庭对注意义务的不同态度。一审法院认定百度不应承担责任，并认定原告是公众人物的事实是决定性的。法院裁定，就涉及侵犯公众人物权利的案件而言，让百度持有相同注意义务是不公平的。二审法院则基于原告已通过公开声明的渠道（如电话和消息）向百度充分通知，表达了自己的异议的事实，认定百度应承担责任。也就是说，法院认为只要被侵害方通过公开渠道通知了网络服务提供商，提供商就应该采取相应的措施。此外，一项侵权行为在网络提供商的平台上发生，并不能证明提供商知道平台上的侵权事实存在。最后，在处理涉及公众人物的案件时，法院更加重视自由表达与侵权之间的微妙平衡。对于公众人士来说，批评是预设的。对于与他们有关的帖子，只要该帖子的目的不是侮辱个体，其应该被允许。

在这2011年的案件中，二审法院承认，网络服务提供商提供的官方异议渠道对于确定原告是否已充分通知提供商至关重要。同时法院也指出，原告也可以依靠其他渠道通知，但证明责任也落在原告身上。2014年，《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》颁布。《决定》第五条明确规定，人民法院认定的有效通知应为“以书面形式或者网络服务提供者公示的方式向网络服务提供者发出的通知。”

（2）龚蔚蔚与北京天盈九州网络技术有限公司名誉权纠纷案（上海一中院(2014)沪一中民一(民)终字第1932号）

案件事实：原告称在地铁上遭遇不法分子性骚扰。原告骚扰的录像片段被另一名乘客记录下来并上传到凤凰网视频频道。该视频是高清的，没有进行模糊、马赛克等遮掩的处理，面目特征非常清楚，原告身边的朋友都能认出视频中的受害者即原告。原告在被告凤凰网网站的视频中回复评论，要求被告删除视频或对原告的脸部等特征做马赛克处理，但被告均没有回应，原告后来到网上搜索还存在相关视频且没有做任何处理。凤凰网在收到原告律师的信后才删除了该视频，视频已获得140万次观看。

法院裁决：初审法院首先表示，本案中，虽然被告在收到原告书面通知后才屏蔽了系争视频，但由于其在用户上传后，未及时注意发现，导致流传的时间较长，造成他人对原告的品行可能产生揣测和怀疑，在客观上对原告的名誉造成了一定范围的影响，使其社会评价有所降低，故法院认为被告的行为构成对原告名誉权的侵害。包括被告需赔偿原告诉讼费3,000元，公证费1,500元，案件受理费1,332元，共计赔偿原告人民币2万元。

二审法院裁定，《中华人民共和国侵权责任法》第三十六条第二款、第三款之间的关系不是渐进的，而是平行的。第二款表明网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供商采取删除、屏蔽、断开链接等必要措施。但根据第三款规定，如果原告可以证明提供商知道网络用户利用其网络服务侵害他人民事权益，原告可以要求后者直接负责侵权责任，不用给其提前发送撤销通知。

评价：这个案子清楚地表明，如果侵权方可以证明网络服务提供商知道侵权行为，那么《中华人民共和国侵权责任法》第三十六条第三款就适用于此，“移除”通知就不再必要。根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第九条，人民法院依据侵权责任法第三十六条第三款认定网络服务提供者是否“知道”，应当综合考虑下列因素：

（一）网络服务提供者是否以人工或者自动方式对侵权网络信息以推荐、排名、选择、编辑、整理、修改等方式作出处理；（二）网络服务提供者应当具备的管理信息的能力，以及所提供服务的性质、方式及其引发侵权的可能性大小；（三）该网络信息侵害人身权益的类型及明显程度；（四）该网络信息的社会影响程度或者一定时间内的浏览量；（五）网络服务提供者采取预防侵权措施的技术可能性及其是否采取了相应的合理措施；（六）网络服务提供者是否针对同一网络用户的重复侵权行为或者同一侵权信息采取了相应的合理措施；（七）与本案相关的其他因素。

就本案而言，涉嫌侵权的信息被大量互联网用户查看，并被媒体广泛报道，所以第四个因素对于原告而言很是有利。法院认定这一因素足以构成侵权。不过，法院并没有详细考虑其他因素，所以目前尚不清楚法院将会如何权衡这些因素。

（3）王芳诉北京千橡网景科技公司侵犯名誉权一案（上海一中院（2014）沪一中民一（民）终字第3287号）

案件事实：被告北京千橡网景科技发展有限公司（以下简称千橡公司）经营某社交网络平台，原告为网站注册用户。原告发现另一位用户在该网站上疯传王芳的个人照片，并对照片进行丑化，加王芳的好友为好友，对其肖像权构成侵犯。原告向千橡公司多次投诉，但千橡公司只删除了照片，留下了侮辱性的文章。在接到法庭传票后，千橡公司封锁了该用户。原告随后起诉千橡，未能履行监督职责。

法院判决：一审法院裁定，千橡公司在服务条款中已经对用户发布的信息进行了相应提示和限制，如果不接受服务条款则不能成为“某网”用户，故千橡公司已经尽到了事前提示的义务，提示用户不得利用网络平台进行侵权。服务条款亦确立了千橡公司对用户非法、侵权言论有监督管理的权利和责任。对于事后监督的义务，千橡公司在接到王芳的投诉之后，及时对相应的照片进行了处理。故应当认为千橡公司已应王芳的请求履行了其作为网络服务提供者的义务。初审法院也发现，王芳现提供的证据无法充分证明其通过电话或其他方式向千橡公司提出删除相关信息，故原审法院难以采信。综上所述，王芳要求千橡公司刊登道歉信、赔偿损失的依据尚不充分，原审法院难以支持。

第一中级法院驳回，声称原告提供的证据，包含投诉的网页的快照足以构成侵权。根据《中华人民共和国侵权责任法》第三十六条第二款规定，网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。从王芳提供的证据分析，其在发现侵权信息后，多间接求千橡公司屏蔽该用户，但千橡公司仅处理了相应照片，而未对侵权用户的网页予以屏蔽或者断开该侵权链接。千橡公司在接到通知后未及时采取必要措施，故其需就王芳损失扩大的部分承担侵权责任。因此，法院判定被告赔偿原告损失，共30,000元，公证费用为1,000元，案件受理费为525元。

评价：这个案例涉及两个重要的问题：要求网络服务提供商提供的反证，和是否采取了必要的纠正措施。中级法院明确表示，一旦原告提出证据证明侵权存在，服务提供者未提供反证，这将使其处于劣势。因为法院认为，与用户相比，服务提供商处于优势地位。其次，纠正侵权行为的“必要措施”，是要求提供商采取广泛措施制止侵权行为。在这种情况下，仅仅删除侵权项目是不够的。关闭侵权帐户是阻止侵权行为的唯一途径。

（4）李罡鸿、王关陵诉海南天涯网络网络科技有限公司侵犯人格权案（湖南省株洲市荷塘区人民法院（2014）株荷法民一初字第1363号）

案件事实：原告的亲属在交通事故中丧生，司机被视为完全负责。其中一名原告是警务人员。“天涯”网络社区某用户在该网站发帖，指责原告敲诈勒索。原告于2014年10月14日向“天涯”社区发出通知，但是被告以言论自由为由，没有对该贴采取任何行动。原告随后起诉南天涯网络网络科技有限公司不履行监督职责，使原告的个人信息在网上被公布,侵害了原告的隐私权并导致原告的名誉权遭受损害。被告于2014年11月18日收到诉讼文件后删除帖子。

法院判决：地方法院指出，“天涯”社区上的贴子明确侮辱、诽谤原告，损害了他们的声誉。法院裁定被告根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第六条，被告没有及时作出反应。根据《中华人民共和国侵权责任法》第三十六条，原告通过电子邮件向被告发出通知，被告没有及时作出反应，采取必要措施止损。法院认定，被告的行为不足构成侵权。但是，根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条，法院不支持原告的隐私权侵权要求。法院判给原告损失赔偿金1,500元，以及律师费3,000元，案件验收费44元。

评价：该案件揭示了法院的两个重要考量标准，即网络服务提供商的纠正行为是否及时，和信息是否在其他地方亦可获得。首先，对于提供商的回应是否及时，法院可灵活判断。因此，提供商在收到通知后，如若发现信息可能对用户隐私造成潜在威胁，应尽快采取行动。第二，只要私人信息可以在其他地方合法获得（在本案中是原告的名称和工作单位），信息发布在提供商的网站上，就不被视为隐私侵权。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条除了公开“已经合法发布的个人资料”外，还列举了其他隐私泄露责任豁免。但是，就其他豁免而言，目前还没有案例判决说明法庭将如何解释。特别是“为促进社会公共利益且在必要范围内”尚未定义，所以这些豁免在司法实践中的适用并不明确。

2.2.3 网络隐私侵权情况下的赔偿

中国在侵犯人身权案件的赔偿计算方面有明确的法律规定。根据《中华人民共和国侵权责任法》第二十条，侵害他人人身权益造成财产损失的，按照被侵权人因此受到的损失赔偿；被侵权人的损失难以确定，侵权人因此获得利益的，按照其获得的利益赔偿；侵权人因此获得的利益难以确定，被侵权人和侵权人就赔偿数额协商不一致，向人民法院提起诉讼的，由人民法院根据实际情况确定赔偿数额。此外，根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》如果受害人的损失和侵权人的利益难以确定，人民法院应当根据实际情况确定赔偿金额在50万元以内。

侵权人同时需要支付受害者为防止侵权行为所支付的合理费用，包括调查和收集证据的费用等。另外，人民法院根据当事人的请求和具体案情，可以将符合国家有关部门规定的律师费用计算在赔偿范围内。下表列举了网络隐私侵权案件的赔偿：

表一：中国法院判决的网络隐私侵权案件的赔偿

结论：上述情况表明，中国法院在处理与个人网络信息侵权相关的间接侵权案件时的明确的解释路径。虽然，2009年通过了新的《中华人民共和国侵权责任法》改变了适用的法律，但这些变化似乎并没有改变有关的司法调查。第一，按照基本原则，网络服务提供商在收到移除通知后应立即作出回应。此外，只要被侵害方已经通过提供商提供的渠道通知了提供商，提供商就应该采取必要的纠正措施。但是，服务提供商只有在实际了解其网站上存在着侵权件但却并没有采取行动的情况下才承担责任。第二，网络服务提供商应该区分自由表达与侵权。只要内容不偏不倚、不针对特定的个人或公众人物，提供商应该更有信心，在其平台上保留所涉争议信息。第三，若被告方未能以法律承认的方式提出投诉，或提供合法的证据证明其提出了投诉，将导致原告败诉。第四，如果被侵害方可以证明提供商知悉侵权活动的存在但并没有采取任何行动，则要求删除的通知便不是服务提供者承担责任的必要条件。第五，“必要措施”是指足以阻止侵权行为的纠正措施。如果采取措施后，侵权人仍然可以继续进行侵权行为，则网络服务提供商将承担其后的损害赔偿责任。第六，法院判决赔偿金范围为1,500元至100,000元。在涉及大城市里的公众人士或法院的案件中，损害赔偿金额往往较高。

然而，由于只有少数案件涉及到网络服务提供商对网络侵犯隐私权责任的问题，因此本文尚未详细审查部分重要问题，包括如何解释有效通知的基本要素，如何界定“及时删除”，谁应该对错误删除负责以及如何解读对侵权申诉的抗辩理由。关于如何解释有效通知中的基本要素，迄今为止，没有任何案件涉及法院质疑原告发出的通知的有效性。鉴于此，被侵权者发送有效的通知并非难事。关于如何界定“及时删除”，法院的认定不及时的情况只有一例。在这个案子中，被告在收到通知后的第四天删除了被投诉的内容。由于短期内删除仍被认为不及时，在这种情况下，网络服务提供商应该设立特定程序以立即处理通知。关于谁应该对错误删除负责，虽然没有案件处理过这个问题，但参考司法解释可知，发出错误通知的通知人应该对因错误删除而造成的损害负责。而网络服务提供商无需为遵从通知内容而负责。关于如何解读侵权索赔的抗辩理由，就网络隐私侵权而言，现有案例仍未触及本条款。因此，为了全面了解司法实践中网络服务提供商的隐私侵权责任，现有的判决数量仍远远不够。

三、网络服务提供商对互联网用户的身份公开义务

匿名是互联网的特征之一，这意味着互联网用户可以轻松地在互联网上隐藏自己的身份。如果互联网用户在互联网上实施非法行为，网络服务提供商有义务将这些互联网用户的身份向特定主体公开，使其对网络违法行为负责。然而，个人身份信息是作为隐私受到保护的，所以身份公开应该按照法律规定的正当程序进行。在中国，关于互联网用户身份公开的规定相当分散。在侵犯人身权方面，根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，依照原告的要求和情况，人民法院可以责令网络服务提供商提交足够的资料识别涉嫌侵权的互联网用户，如姓名，联系方式，IP地址等。

在版权侵权领域，存在关于公开网络侵权者身份的若干规则。根据《信息网络传播权保护条例》（以下简称“互联网规则”）第十三条，作权行政管理部门为了查处侵犯信息网络传播权的行为，可以要求网络服务提供者提供涉嫌侵权的服务对象的姓名（名称）、联系方式、网络地址等资料。此外，如果网络服务提供商拒绝或延迟提供此类身份信息，版权管理部门将给予警告。情节严重者将没收电脑等提供互联网服务的设备。

另外，人民最高法院发布的相关司法解释授予版权人在民事诉讼中要求知晓互联网用户身份信息的权利。根据最高人民法院关于在涉嫌侵犯计算机网络版权纠纷案件（互联网版权声明（2006））中适用法律若干问题的解释，版权所有者可以要求网络服务提供商提供该平台上被起诉的网络用户的注册信息。如果提供商没有任何合理理由拒绝提供所要求的注册信息，他们将承担相应的责任。具言之，版权所有者即使没有向法院提出申请，也可以要求网络服务提供商告知所涉侵权用户的身份。

以下各部分分别为审视了（3.1）侵犯人身权，（3.2）侵犯版权以及（3.3）商标侵权等案件中有关身份信息披露的相关司法裁决。

3.1 网络侵犯个人权利案件的身份信息披露

如上所述，《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》规定法院可以在原告的要求下，命令网络服务提供商披露涉嫌侵权人的身份信息。实际上，有些受害者在没有向法院提出申请的情况下要求提供商披露所涉侵权用户的身份信息。面对这些要求，网络服务提供商有义务披露身份信息吗？此外，在收到法院的命令后，网络服务提供商应在多大程度上披露用户身份信息？

3.1.1 来自受害者的披露要求

王芳诉北京千橡网景科技公司侵犯名誉权一案（上海一中院(2014)沪一中民一(民)终字第3287号）

案件事实：被告北京千橡网景科技发展有限公司（以下简称千橡公司）经营某社交网络平台，原告王芳为网站注册用户。原告发现另一位用户在该网站上疯传其个人照片，并对照片进行丑化，加王芳的好友为好友，构成对其肖像权侵犯。原告联系了被告的客服人员，要求删除照片。除此之外，原告还要求被告披露涉嫌侵权用户的所有信息，包括其常用帐户的登陆位置，身份证号等。关于原告的披露请求，被告的答复为：登录位置和个人身份信息是用户隐私的一部分，原告未获得此类信息的授权，而被告只在接到警方的或法院的要求后才会披露此信息。

法院裁决：此案中法院认定被告承担责任。因为被告在收到删除通知后，没有及时采取必要措施阻止或者断开侵权链接。根据案件事实，认定侵权行为所不需要身份信息。虽然法院没有直接裁定披露问题，但可以推断，网络服务提供商没有义务根据侵权受害人的要求披露涉嫌侵权的用户的身份信息。

评价：从这个案例我们可以得知，由于互联网的匿名性，确定侵权用户的身份通常是原告举证的难点。互联网公司有义务对用户身份保密成为权利人维权的障碍。为了调和隐私保护与保护其他合法利益之间的冲突，任何身份在披露前都应由法院进行审查。因为司法审查可以通过平衡利益来更好地调和冲突。因此，网络服务提供商只有义务根据法院的命令而不是被害人发出的请求来披露所涉侵权用户的身份信息。

3.1.2 身份披露标准

赵信强与仙人球文化传媒有限公司网络侵权纠纷案（乐清市人民法院(2015)温乐民初字第159号）

案件事实：该案中，仙人球公司系某网站的经营主体。原告发现该网站中用户名为“GreenTea”的用户在网站上发表三篇文章诽谤原告。原告要求仙人球公司断开、删除上述三个帖子的链接，并要求提供“GreenTea”的网络地址及身份信息。被告在接到原告请求后，删除了诽谤的帖子，但未提供“GreenTea”的IP地址和身份信息。因此原告向法院请求判令：一、仙人球公司提供由其运营的网站用户名为“GreenTea”首次登陆的网络地址和发布三个帖子的网络地址及用户名为“GreenTea”在该三个帖子后回帖、跟帖的网络地址。二、仙人球公司提供由其运营的网站用户名为“GreenTea”的注册资料及详细身份信息。三、仙人球公司提供由其运营的网站用户名为“GreenTea”发表的上述三篇帖子的访问量及转发量，尤其是2013年9月10日之后该三篇帖子的访问量及转发量。

法院裁决：法院判决，由于用户“GreenTea”发布的帖子内容涉及赵信强的人格权益，赵信强有权知晓该网络用户的个人信息以便主张权利，仙人球公司应当在网络技术力所能及的范围内，向赵信强披露“GreenTea”的网络用户信息，以维护其保护自身合法权益的信息知情权。尽管如此，法庭只确认了原告的第二个请求，驳回了另外两个。因此，法院限制了网络服务提供商的身份披露义务，只要求提供商在其互联网技术允许范围内披露身份信息。

评价：此案中所需身份披露的广度代表了这一问题的典型司法认定。法院认定被告应在互联网技术允许范围内披露两名涉嫌侵权的用户的身份信息。由于提供商不一定保留了原告要求的所有身份信息和足够识别侵权者的信息，中国的法院只要求提供商在其互联网技术允许范围内披露身份信息。

3.2 网络侵犯版权的情况下的身份信息披露

案例1：乔某某与北京铁血科技有限公司侵犯著作权纠纷案 (北京市海淀区人民法院(2006)海民初字第15350号)

此案件中，被告经营铁血网，网站允许用户上传图片。原告乔某发现，其享有著作权的照片在未经许可的情况下被上传到铁血网，所以乔某起诉被告侵犯其版权。而被告并没有提交上传侵权图片的互联网用户的注册信息，法院认定不披露是被告应该对侵犯版权的负责的重要因素。

案例2：乔某某与北京华网汇通技术服务有限公司侵犯著作权纠纷案北京市第二中级人民法院(2006)二中民初字第8997号)

上一案件中原告乔某根据类似的事实起诉另一网站中华网侵犯其版权。在审判期间，被告提交涉嫌侵犯版权的互联网用户的注册信息，法院认定被告履行了披露侵权人身份的责任。但是，被告披露的登记信息只包括所谓的“wolf”，“keer”，“axjidy”等网络用名，以及相关的电子邮件地址，这些都不利于原告识别侵权者的真实身份。

案例3：上海激动网络有限公司与上海全土豆网络科技有限公司侵犯著作财产权纠纷案（上海市第一中级人民法院，(2009)沪一中民五(知)终字第79号）

此案中，原告拥有信息网络传播权的电视剧被一名名为“莫大千”的互联网用户上传到被告的网站。除了起诉被告涉嫌侵权外，原告还要求被告披露互联网用户莫大千的真实姓名、地址、电话号码、电子邮件地址和上传电视节目的IP地址。但被告在听证会上只提供了莫大千的注册信息和IP地址，这不足以识别莫大千的真实身份。最后，法院认定，被告已经履行了身份披露义务，理由如下：（1）要求网络服务提供商提供除用户注册账户时提供的身份信息以外的信息是不合理的；（2）被告已证明其所披露的登记资料属实。由于互联网用户通常不需要通过提交真实的身份信息来注册账户，因此大多数情况下，网络服务提供商拥有的注册信息通常不能直接显示互联网用户的真实身份。

案例4：三面向版权代理有限公司与武汉长城宽带网络服务有限公司侵犯信息网络传播权纠纷案（武汉市中级人民法院，(2009)武知初字第18号）

尽管存在挑战，版权所有者仍然有可能在某些情况下从网络服务提供商那里收到足够的身份信息。在此案中，被告长城宽带提供虚拟主机服务，原告发现其享有版权的图书在被告网站上非法使用。于是，原告起诉长城宽带侵犯其版权。在提起诉讼之前，原告也向被告发出通知，要求被告披露所涉侵权人的登记资料。被告向原告提交了相应的注册信息。注册信息包括客户的真实姓名、个人身份证号码甚至其地址，这足以让原告识别直接侵权人。根据上述事实，法院认定被告履行披露身份信息的义务。

评价：根据上述案例可知，在版权领域，中国尚未制定严格的披露互联网用户注册信息的程序。在前三种情况下，根据法院的命令披露了有关注册信息，但在最后的案件中，注册信息是经版权所有者的要求，未经法院审查，由网络服务提供商直接披露的。由于注册信息可能会受到保护，任何披露注册信息的请求都应由法院审核，以防止此程序被滥用。关于必须披露身份信息的范围，中国法院采用与侵犯人身权利的情况下相似的标准。在版权领域，网络服务提供商只需要在互联网技术允许范围内披露身份信息，例如用户注册信息。如果网络服务提供商可以证明互联网技术不允许其保留用户的身份信息，则不需要披露任何身份信息。

3.3 网络商标侵权中的身份信息披露

在中国，网络购物非常受消费者欢迎，所以像淘宝这样的拍卖平台发展相当迅速。和许多其他拍卖平台一样，许多在淘宝上销售的产品涉嫌商标侵权。由于淘宝上的卖家通常不会透露自己的真实身份，所以商标所有人很难起诉侵权卖家。因此，商标权人需要拍卖平台披露侵权者的身份来保护其商标权。但到目前为止，商标法也没有涉及拍卖平台上身份披露的规则。为了解决平台上的商标侵权纠纷，淘宝已经设定自己的身份信息披露规则。由于淘宝在拍卖平台市场上占主导地位，淘宝的规则已成为中国拍卖平台身份披露的事实标准。为了获得侵权者的身份信息，商标所有人必须向淘宝发送相关文件，然后由淘宝对商标持有者提供的文件进行评估，然后决定是否披露涉嫌侵权卖家的身份信息。因此，淘宝在处理身份披露的问题上，扮演了私人法官的角色。总体而言，淘宝的规定似乎得到中国法院的承认。在郭东林诉吴云娣一案中，原告通过淘宝的身份信息披露机制收到被告吴云娣的身份，法院没有质疑该身份披露的合法性。在另一个商标案中，法院也承认了通过淘宝披露机制获得的侵权人身份信息的有效性和合法性。

总之，由于缺乏相关的法律规定，拍卖平台巨头淘宝规定了自己的身份披露规则。根据这些规定，涉嫌商标侵权卖家的身份信息可以未经司法审查向商标所有者披露，这意味着淘宝有是否披露其用户的身份信息的决定权。由于淘宝与其拍卖平台上单个卖家都只有非常小的利益相关，所以淘宝倾向于配合商标所有人的身份披露要求，以避免承担相应的侵权责任。

关于线上服务提供商的身份披露义务，中国法院在人格权、版权和商标权领域遵循不同的规则。在人格权领域，网络服务提供商在法院的要求下有义务披露涉嫌侵权人的身份信息。但是，在版权领域，网络服务提供商则可以在受害人的要求下，不经任何的法院审查，披露涉嫌侵权人的身份信息。对于网络商标侵权，由于没有明确的规范身份披露的规定，中国法院认可淘宝网即中国最大的拍卖平台设定的身份信息披露规定。由于淘宝网持有其平台上卖家的真实身份信息，所以淘宝网披露的信息可以识别涉嫌商标侵权的卖家。然而，在网络侵犯人身权和版权的情况下，网络服务提供商通常没有足够的信息来直接识别涉嫌侵权者，所以中国法院只要求网络服务提供商在互联网技术允许的范围内披露身份信息。

结论

中国的隐私保护规则相当分散。网络服务提供商隐私侵权责任的管理规则主要是《中华人民共和国侵权责任法》的第三十六条及《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》。此外，中国当局也颁布了若干规范来管理网络服务提供商跟踪、收集和利用互联网用户的私人信息的行为。由于管理规定通常用“有关部门”来代替具体负责执行互联网隐私法律法规的法定权威部门，所以网络服务提供商可能会意外地面临声称被授权执行中国隐私法的权威部门来调查隐私保护相关的问题的情况。

根据第二部分的案例研究，网络服务提供商隐私权侵权索赔的案子数量有限。网络服务提供商通常不会对用户的隐私侵犯负责，尤其是他们已经正式移除了侵权信息。在网络服务提供商被追究责任的案例中，法院主要依据以下理由作出裁定：（一）未能及时移除侵权信息；（二）未能充分移除侵权信息；（三）网络服务提供商应知道侵权行为的情况下未能采取行动。

但中国法院尚未解决部分重要问题，其中包括：如何诠释充分通知的基本要素，如何定义“及时删除”，谁应该对错误删除负责，以及如何诠释侵权索赔的抗辩。另外，涉及到网络服务提供商的直接责任，目前只有一个处理Cookies跟踪技术的案件，法院的一审判决和二审判决提出了相反的意见。

关于网络服务提供商的身份披露义务，中国没有设立统一的规则。根据判例，网络服务提供商在人身权、版权和商标权相关领域遵循不同的规则。作者认为，由于身份信息与互联网用户隐私权的冲突，任何信息披露的要求都应由法院审核。一般而言，在身份披露方面，中国法院没有对网络服务提供商的义务提出更高要求，他们只需要披露互联网技术允许范围内的身份信息即可。

（责任编辑：钟宇欢）

第四届世界互联网大会将于2017年12月3日至5日在浙江桐乡乌镇举行。由中国国家互联网信息办公室和浙江省人民政府联合主办。

本届大会将以“发展数字经济促进开放共享——携手共建网络空间命运共同体”为主题，在全球范围内邀请来自政府、国际组织、企业、技术社群和民间团体的嘉宾，围绕数字经济、前沿技术、互联网与社会、网络空间治理和交流合作等五个方面进行探讨交流。

大会共设置了20个分论坛，其中“互联网之光博览会”汇集了400余家全球知名的互联网企业和创新型企业。此外大会还将发布一批今年全球互联网领域最领先的科技成果。

论坛内容以“互联网人才队伍建设”为主题，为全球互联网人才搭建交流对话平台。论坛邀请全球互联网领域的国际组织、企业、高校院所等各方面专家，通过思想碰撞与交融，深入分析当前互联网人才发展面临的新情况新问题，准确研判互联网人才队伍建设的新趋势新要求，探讨提出今后一个时期互联网人才治理的新思路新举措，为促进互联网人才培养，推动全球互联网创新、健康、可持续发展提供坚实理论支撑和有效的思想引领。