张 超,侯林燕

(1.安阳师范学院 法学院，河南 安阳 455000；2.北京师范大学 法学院，北京 100000)

中国目前已形成法律规制、政府监管、行业自律三元并存的网络隐私保护机制，但由于现行法律中并未明确“网络隐私权”的定义，相关条文散见于《刑法》《民法典》《个人信息保护法》等多部法律，使得网络隐私缺乏保护体制机制研究。为此，分析概括我国网络隐私保护面临的挑战与现状，提出网络隐私保护机制的完善路径，以期为网络隐私保护深入研究与实践提供资料参考。

一、网络隐私保护面临的挑战

在网络深入公民生活各个角落的今天，网络隐私保护面临着更加复杂的挑战，具体体现在以下五个方面。

(一) 隐私范围扩大

“隐私是一个发展中的概念,这一发展已因技术的进步而加速。”[1]由于网络自身的虚拟性、技术性特征，一些在现实环境中通常不被认为是隐私的信息——姓名、职务等，在网络空间上也被纳入隐私的范畴；另一些在传统社会中无形的信息，如电子邮件地址、域名、IP地址、QQ号、微信号等，也在不同程度和语境下被划归隐私范畴。与之相适应，针对这些无形信息的隐私侵权判定方法、保护手段，又给法律理论界和实务界带来了新的挑战。

(二)个人对隐私信息的控制力减弱

网络语境下，隐私权最主要的表现形式之一就是对隐私信息的控制与利用。但现实中，权利人的隐私信息一旦被他人通过某种途径获得，就基本丧失了支配力。与掌握强大技术能力和主动权的网络服务商相比，用户个人往往处于弱势和被动的地位。例如，个人在使用绝大多数软件前都必须选择“自愿”接受其注册协议项下的隐私政策，继续使用即代表同意服务商收集、利用甚至分享用户的个人隐私。在这样的情况下，用户除了接受别无选择，这事实上就剥夺了个人对其隐私的支配权，使得信息管理者、网络服务商等网络技术服务提供者变为隐私信息真正的支配者。由于这些真正支配者的根本目的在于营利而非代表用户的个人利益，其保护隐私的意愿与主动性相比用户个人就会大大降低，甚至很有可能基于自身利益需要主动利用用户个人隐私信息，从而使得保护隐私的承诺形同虚设。

(三)隐私侵权更频繁

一方面，网络隐私侵权成本较低。网络本身的开放性和技术性为大量地汇聚、存储、传播甚至刺探信息提供了可能，具有成本低、效率高的特点；网络的虚拟性又为隐私侵权行为提供便利的遮蔽条件，侵犯个人隐私的违法行为难以被发现。另一方面，侵犯网络隐私收益较高。虽然隐私权在性质上属于人格权，但随着时代变革，现代社会人们拥有的财产客体范围扩大和人格权逐步商品化，使得人格权和财产权的边界变得模糊，隐私权已发生财产性异化趋势[2]。侵权者主要通过两种途径来利用他人的隐私：一是直接对网络隐私数据进行买卖或利用隐私数据进行诈骗；二是间接地通过对隐私数据的二次加工来发掘信息新的价值(1)比如杭州市余杭区人民法院审理的首例涉直播数据权益不正当竞争案中，被告六界公司即被控非法抓取抖音平台上非公开的“网红”主播的直播收益数据，自主制作“直播红人榜”“礼物星光榜”“土豪排行榜”等榜单吸引眼球，涉及侵犯网络平台用户隐私和抖音平台的正当竞争利益。再比如商家基于对大量消费者隐私数据组成的数据库的分析，以提供更符合消费者爱好习惯的产品等。[3]。不论是对隐私数据进行直接还是间接地利用，都能为侵权者带来可观的财产利益，这成为当前网络隐私侵权日益泛滥的内在驱动力。以上两个因素诱使网络侵犯隐私行为越来越猖獗，让网络领域内保护隐私成为了隐私权保障的洼地。

(四)隐私侵权管制更困难

首先，个人隐私信息泄露问题往往与互联网安全系统不完善有密切关联，保护网络隐私通常对技术手段依赖性较强。虽然中国信息系统安全性不断提升，但鉴于网络技术迭代速度快，维持系统安全压力仍旧不小(2)据中国工业和信息化部网络安全威胁和漏洞信息共享平台数据显示，2021年，其接报网络安全事件88 799件，较 2020 年同期下降 60.9%。但是统计到信息系统安全漏洞达143 319个，较去年同期增加14.5%。中国互联网络信息中心：《第49次中国互联网络信息发展状况统计报告》，中国互联网络信息网，http://www.cnnic.cn/hlwfzyj/hlwxzbg/hlwtjbg/202202/t20220225_71727.htm，最后访问时间2022年2月26日。，这反映出网络隐私保护在技术层面仍有不小的困难。

其次，在互联网技术与数据网络并存发展的时代，法律固有的保守性与滞后性成为网络隐私保护所面临的一大难题。随着科技不断进步，新的互联网法律问题层出不穷，但由于立法程序繁冗和立法效率较低，导致法律在面对新型隐私侵权问题时往往力不从心(3)例如《民法典》第一千一百九十五条、一千一百九十六条规定了“避风港规则”和“通知—删除规则”，即在不了解侵权行为存在的情形下，网络服务提供者在收到权利人关于其平台上具有涉嫌侵权信息的告知后，应当及时删除、屏蔽相关网络服务或断开链接，否则就要承担连带侵权责任，这项规定被广泛运用于打击网络侵权。但随着直播行业的迅速崛起，由于网络直播具有事前无法审查、信息散播速率快等特点，以致避风港和通知删除规则无法适时发挥其应有地功能，使得网络直播隐私维权陷入现实困境。华劼：《社交媒体网络直播隐私侵权问题研究》，载《兰州学刊》2020年第5期，第60-68页。。

(五)隐私侵权影响更深远

网络的开放性和交互性允许个人可以根据自身需要随时选择信息交流对象，并根据对方的信息或行为进行立即反馈或采取相应行动[4]。因此，一旦出现隐私被侵犯的情形，相关信息将会以更快的速度和更广的范围在网络间传播，不仅会对个人名誉造成巨大损害，而且也会对正常社会秩序造成严重冲击(4)在最高人民检察院发布的第三十四批指导性案例的“岳某侮辱案”中，被告人岳某在与被害人张某断绝交往后，出于报复目的，在微信朋友圈、快手APP等网络平台散布二人交往期间拍摄的张某的裸体照片、视频，并附有污辱性文字。相关侮辱信息浏览量超过600次，在当地迅速扩散，造成恶劣社会影响，导致张某不堪受辱，服毒身亡。最高人民检察院：《第三十四批指导性案例》，最高人民检察院网，https://www.spp.gov.cn/jczdal/202202/t20220221_545125.shtml，最后访问时间2022年2月26日。。

二、我国网络隐私保护现状

我国目前的网络隐私保护呈现法律规制、政府监管、行业自律三元并存的保护格局。

(一) 法律层面

我国《宪法》第三十七至四十条规定了公民的人身自由、人格尊严、住宅、通信自由和通信秘密等权利，被认为是对隐私权的间接保护；《刑法》第二百五十二条和二百五十三条针对个人信息和通信自由提出了确定的保护要求；2009年《侵权责任法》颁布，隐私权第一次以一项单独的人格权出现在现行法律中。除此以外，有关网络隐私保护的规定散见于《网络安全法》《电子商务法》《数据安全法》等法律，虽然存在零散化和原则化的问题，但也为网络隐私保护提供了有力支撑[5]。最高人民法院和最高人民检察院还发布了一系列司法解释性质文件，以加强司法层面对网络个人隐私保护的指向和力度。

在2021年正式实施的《民法典》中，明确了自然人的“隐私”和“个人信息”是两个不同的概念。“隐私”包括“自然人私人生活安宁”和不愿为他人知晓的“私密空间”“私密活动”“私密信息”内容，而“个人信息”指用特定方式记录的能够识别特定自然人的各种信息。两者重合之处在于部分个人信息可能属于隐私中的“私密信息”。对此，《民法典》第一千零三十四条第三款明确规定，此时的私密信息要优先适用隐私权，而不是适用个人信息保护的规定。另外，《民法典》还列举了常见的隐私侵权类型，创设了人格权请求权禁令制度，为隐私权的救济提供了更充分的保障，具有重大进步意义，但这些规定相比于实践中复杂的网络隐私侵权行为仍显笼统。

2021年11月，《个人信息保护法》正式施行。这部法律回应网络时代的实践要求，确立了个人信息处理“采取对权益人影响最小的方式” “采取必要措施确保个人信息安全”等原则和“告知—知情—同意”的基本规则；确定了个人信息处理者，特别是重要互联网平台，负有通过多种方式保护个人信息安全的义务，推动了个人信息保护工作体制机制完善，其将个人信息划分为“敏感个人信息”和“非敏感个人信息”(5)《中华人民共和国个人信息保护法》第二十八条规定：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”，并设专节规定了更为严格的处理规则，与一般个人信息相区分。，并对“敏感个人信息”建立了更为严格的处理规则[6]。 实践中，网络隐私侵权最常见的表现即为个人私密信息的泄露，因此这部法律的出台对于我国网络隐私的保护也具有里程碑式的意义。

(二) 政府监管层面

《个人信息保护法》出台之前，各级政府部门制定关于网络隐私保护的政策呈现主体多样化、地区分散化、执行欠缺化的特征[7]。由于欠缺上位法律依据，地方政府部门在网络隐私保护监管方面并未承担起应有的责任。实践中，地方政府部门在履行监管职能过程中，往往是多个相关部门或各自为政重复监管，或互相推脱形成责任真空，或者是政府部门在行政履职过程中，因重视程度不够致使收集起来的公民个人信息外泄，间接造成网络隐私侵权，影响政府公信力。

《个人信息保护法》中明确规定了国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作，落实了中央一级网络个人信息与网络隐私保护的统筹主体责任，并且明确了相关政府部门对于个人信息保护的职责范围、工作内容、可采取的措施等事项，有助于规范政府在网络隐私保护工作中的监督行为。但是，鉴于其并未明晰中央其他部门和地方各部门间的职权定位，从中央到地方的政府监管体系也并未真正建立起来[8]。至于《个人信息保护法》及其配套规定，在具体落实过程中能否帮助政府部门克服之前在网络隐私保护上存在的问题，提高政府对网络隐私保护的监管水平，仍有待时间检验。

(三)行业自律层面

中国互联网行业自律规范，伴随着互联网行业的崛起而不断发展。2004年，《中国互联网行业自律公约》生效，其中对尊重和保护互联网用户私密信息作出了原则性规定。此后，由中国互联网协会于2011年发布的《互联网终端软件服务行业自律公约》、2012年发布的《互联网搜索引擎服务自律公约》和2013年发布的《互联网终端安全服务自律公约》都在互联网企业保护网民隐私安全方面作出了具体而详细的规定，百度、腾讯、奇虎360等主要互联网企业在搜集用户个人信息时，都受到了严格约束。2017年，由互联网企业、高等院校和中国信息通信研究院等单位共同组建的电信终端产业协会移动安全工作委员会(简称MSA)成立，旨在搭建移动互联网安全的合作与促进平台，推进移动互联网、移动设备信息安全发展，也是互联网行业推动网络个人隐私安全保护的重要尝试。除此之外，各互联网企业通常还会在其网站或客户端上公布个人隐私保护声明，以树立良好的企业形象，这在客观上促进了互联网企业自愿履行对用户个人信息网络隐私保护的义务。

但是，受限于市场经济和行业整体发展水平，我国互联网行业的一系列自律公约仍存在规定过于抽象、可操作性差、权威不足等问题，尤其是缺乏惩罚性措施(6)从现行的《互联网终端软件服务行业自律公约》《互联网搜索引擎服务自律公约》《互联网终端安全服务自律公约》来看。，导致自律公约履行主要依靠成员自觉性，极大影响了自律公约发挥作用的效能。综合来看，我国互联网行业自律公约还有很大的进步空间，这是我国网络隐私保护机制的薄弱环节。

三、网络隐私保护完善路径

从比较视野来看，世界主要发达国家都着手建立了本国的网络隐私保护机制。美国基于其公民个人隐私意识较高、互联网产业和市场经济发达的现实，形成了行业自律为主、兼顾分散式立法的模式；欧盟则依靠其成熟的人权理论和立法能力，为个人信息保护进行了统一的严格立法(7)美国与欧洲在隐私、个人信息保护方面的观念不同，美国称之为隐私法(privacy law)，而欧洲称之为个人数据保护法(data protection law)，比宽泛的隐私概念更为具体。[9]；日本吸收美国和欧盟经验，在进行统一立法的同时，又推行行业自律，并加强政府介入，形成了独具特色的网络隐私保护制度[10]。

我国互联网产业虽然起步较晚，但发展较快。采取高标准、统一立法的方式，难以适应互联网行业的发展步伐。综合来看，我国的网络隐私保护工作，必须从国情出发，首先做好网络隐私保护体制机制工作。目前，“法律规制、政府监管和行业自律三元并存”模式最为适宜，但无论是从法律保护范围、政府监管绩效还是行业自律效果来看，仍需不断探索完善。

(一)立法方面

1.不需将隐私权明文载入宪法

有学者主张将隐私权明文载入宪法中，以体现其作为基本人格权的重要性[11]。但一方面宪法作为根本大法，修改程序较为复杂繁琐；另一方面宪法中第三十七至四十条等条款规定的人格权利，业已成为隐私权保护的宪法渊源。另外，横向比较来看，美国、德国、日本等国家都未在其宪法中对隐私权保护作出明确规定，而是通过判例解释或宪法内容解释的手段树立隐私权的宪法地位[12-13]。在我国，将隐私权保护作为宪法中的明文条款，就现实情况来看意义也不大。而对于隐私权的分支——网络隐私保护，通过一般法律加以规定就可以满足实践需要。

2.应明确敏感个人信息与隐私权中的私密信息重合时应适用的相关规则

《民法典》第一千零三十四条第三款，明确了个人信息中的私密信息优先适用隐私保护，而不是个人信息保护的规则。鉴于敏感个人信息与私密信息略有不同，但也存在重合之处，对于在一项特定个人信息既属于前者又属于后者的情况下，应适用隐私权规则还是《个人信息保护法》中关于敏感个人信息处理规则的讨论，目前仍然是众说纷纭。从《民法典》和《个人信息保护法》中的相关条文也可以看出，法律对私密信息的保护侧重于禁止隐私被非法披露的消极防御；对敏感个人信息的规定侧重于通过积极义务设定，以规范对该信息的合理处理[14]。 因此，此时适用隐私权保护的相关规则较为妥当。私密信息的法律保护价值位阶更高，当二者重合时，应当按照私密信息的规则进行保护，以实现权利人合法权益的充分保障。这样的安排既与《民法典》第一千零三十四条的规定保持连贯，也通过司法解释的方式予以确认，可以更好地指导司法实践。

3.完善针对网络私密空间的法律保护

《个人信息保护法》《网络安全法》等部门法对于网络隐私的保护主要体现在网络私密信息领域，并未涉及网络上的私密空间。《民法典》第一千零三十三条规定，除法律另有规定或者权利人明确同意外，任何组织或者个人不得“进入、拍摄、窥视他人的住宅、宾馆房间等私密空间”，也未将网络私密空间包括在内。这使得我国公民“网络私密空间不受侵扰”的正当权益缺乏法律依据，属于立法漏洞。在今后的立法中，应明确 “除法律另有规定或者权利人明确同意外，任何组织或者个人不得进入、窥视或通过截屏、录屏等方式记录他人的网络私密空间”这一内容，以弥补这一规则缺陷，更好地保障公民的网络隐私。

(二)政府监管

针对《个人信息保护法》出台后中央和地方政府各部门职责仍不明确的情况，应尽快出台具体规定进行详细划分。另外，可以在各级政府部门设立负责个人信息和网络隐私保护的专职机构，以更好地协调各方工作。具体步骤上，可以先在省一级建立直属于省政府办公厅的副厅级个人信息管理机构，并逐步向下扩展，建立起地市级乃至县级的专职部门，从而构建自上而下的严密行政管理体系。

针对政府自我约束能力较弱和个人隐私间接泄露的问题，应通过细化规则来实现对政府各部门的有效制约。首先，督促各级政府加强自身网络系统安全维护工作，推动政府对于个人信息使用制度化、程序化；其次，建立部门内部严格监督和责任承担机制，杜绝个别工作人员利用职务便利，以牟利为目的泄露公民隐私的现象；最后，完善行政救济办法，将行政机关侵害公民隐私的案件纳入国家赔偿范围内，以解决实践中被侵害主体救济难的困境。

(三)推进完善行业自律相关制度

我国目前已存在中国互联网协会这样的行业协会，网络技术方面也是一日千里，并能够与国际网络实现互通接轨[15]。但与行业自律发展成熟的国家相比，我国行业协会还存在管理权威不足、自发自律组织不够活跃等问题。为了充分发挥行业的自律功能，今后可以在以下方面着力改进：首先，加强行业协会监管能力，分阶段逐步赋予行业协会对网络行业的直接管理权，实施行业禁入规定、落实网络服务商设置信用等级和隐私保护等级制度，并在政府授权范围内进行有限惩戒。其次，探索网络隐私保护认证组织建设，设立权威组织颁发具有社会公信力的隐私保护安全认证，一方面增强网络用户对信息控制者的信心，另一方面促进隐私保护技术的交流共享，从而助力互联网产业的可持续发展。最后，赋予行业协会受理网络隐私侵权投诉的权利，使得行业协会能够根据规范的投诉流程，对影响较大但情节轻微的案件进行直接处理，从而分担司法机关部分工作量，减少司法资源的浪费。

(四)加强宣传教育，提升公民隐私保护意识

公民隐私保护意识和维权途径的欠缺，也是网络隐私侵权泛滥的重要原因。相较于欧美发达国家，中国并没有强调隐私保护的传统，公民的隐私保护意识相对薄弱。再加上公民网络使用技能有限、法律知识欠缺等因素，导致公民在网络隐私维权方面往往举步维艰。

因此，完善网络隐私保护机制，不仅需要国家和全社会的努力，更重要的是，从微观着手提升公民的隐私保护意识，将网络隐私保护知识纳入义务教育课程，大力普及计算机技术常识，由基层人民政府、人民法院和人民检察院牵头组织“法治大讲堂”“法官说法”等各式各样的网络隐私保护宣传教育活动，形成全网范围内的隐私保护氛围，激发网络隐权保护的人民力量。

四、结语

目前，我国的网络隐私保护已初步形成法律规制、政府监管和行业自律的三元格局。虽已取得一定成绩，但仍需立足现实加强国际交流，推进立法、司法、执法、行业自律等多领域相互衔接高效联动，探索建立有中国特色的全链条、一体化网络个人隐权保护机制，以保护公民权益为发出点，促进互联网行业健康、高效发展，实现社会经济行稳致远，推动法律制度日臻完善。