网络空间个人数据的权利保护,本文主要内容关键词为:权利论文,数据论文,网络论文,空间论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
互联网时代的来临,给人们生活带来了很大的便利,甚至在很大程度上改变了人们的生活方式,人们能够上网浏览新闻、聊天、收发邮件、网上交友、在线观看影视、上网采购商品、玩游戏等等。然而人们在上网冲浪的同时,也感觉到个人隐私存在着极大的威胁,有人声称:“除非你不上网。否则就要冒个人数据隐私权利被侵犯的危险。”网络时代人们隐私权的侵犯典型地表现在对网上个人数据隐私权利的侵犯,越来越多的国家认识到这个问题,并试图采取一定的措施来控制与管理,其中主要的就是如何在法律制度上加强对公民的网上个人数据权利的保护。
1 个人数据的概念
对个人数据(Personal Data)概念的理解,有学者认为是指“有关个人的一切资料、数据”。还有学者认为,个人数据是指用来标识个人基本情况的一组数据资料,从其广义上来说,一切有关个人的数据都属于个人数据的范畴。一些国家和组织通过法律对这个概念加以界定。英国《数据保护法》将个人数据定义为:“由有关一个活着的人的信息组成的数据,对于这个人,可以通过该信息(或者通过数据用户拥有的该信息的其他信息)识别出来,该信息包括对有关该个人的评价,但不包括对该个人数据用户表示的意图。”《欧盟数据保护规章》对其界定是:“有关一个被识别或可识别的自然人(数据主体)的任何信息;可以识别的自然人是指一个可以证明,即可以直接或间接地,特别是通过对其身体的、生理的、经济的、文化的或生活身份的一项或多项的识别。”欧洲理事会在1992年的《理事会数据保护条例》的修改建议稿中将个人数据定义得更加宽泛:“个人数据是指有关一个可识别的自然人的任何信息,不局限于以可处理形式存在的信息,它包括任何种类和任何形式的信息,只要这种信息是有关个人的,不论是活着的人或死去的人;并且只要这个人或这些人是可以识别的。”笔者比较赞成个人数据是用来直接或间接识别自然人情况的数据资料这个定义。
个人数据包括以下内容:①标识个人自然情况的信息,诸如性别、出生日期等。②标识私人的并且与公共利益无关的活动的数据资料,诸如日常生活、社会交往、夫妻之间的两性生活、教育背景等。③标识私人隐秘范围的数据资料,诸如身体的隐秘部位、个人居所、旅客行李、学生书包、日记等。④与自然人上网有关的个人数据资料,这类数据有些与以上所列举的数据有重叠的地方,它是随着网络的普及,公民个人从事上网行为所形成的有关个人的一些信息资料。主要有:公民个人上网登录的有关标识个人身份与健康状况的数据资料。网络用户申请上网开户、申请电子邮箱、申请网络服务提供商提供的各种需要登录认证的其他服务(如在线视听、交友等)时,服务商往往要求用户登录姓名、年龄、地址、身份证号码、工作单位、通信地址和健康状况等;与个人上网有关的信用、财产状况的数据资料,包括信用卡、上网卡、上网帐号与密码、交易帐号与密码等;标识个人上网活动踪迹的数据资料,如IP地址、浏览过的网页地址记录、上网活动的内容等;电子邮件地址。
个人数据作为法律意义上的概念,它具有如下特征:
1)个人数据的所有权主体是数据的生成者(数据主体)。网络个人数据的所有权主体应该是该信息生成的主体,即依据该个人数据可以判断与识别的自然人。一般情况下,网络个人数据的提供者就是该数据的所有权主体,但也有可能会发生以下情况,提供个人数据的人并不是该数据的所有权主体,所有者与提供者是不同的。比如,张三与李四是朋友,张三对李四的个人数据比较熟悉,为了某种目的,张三将李四的个人数据提供给网络服务商。在这里,张三是李四个人数据的提供者,但决不能说张三就是李四个人数据的所有者,对李四个人数据具有所有权的主体只能是李四本人,即使是在授权的情况下,张三也不能拥有该个人数据的所有权。
2)个人数据是可被识别主体的个人信息。个人数据也就是关于个人的信息,个人信息与个人数据是一个等价的概念,这个个人只能是自然人。按有些国家或组织的法律规定来看,它不仅是指活着的人,还包括死去的人,主体上不包括其他任何机关或组织的信息。另外,个人数据应是足以对主体构成识别的信息,其内容比较广泛,包括个人身世、健康状况、财产、婚姻、经历、住所地址、年龄等一切能够使他人或计算机系统从众多个体中区分出该特殊个体的信息,通过这些个人数据资料人们可以将这个人与其他人区别开来,可以判断出某一个特定主体。
3)个人数据构成个人隐私的重要内容。隐私权是公民对其个人生活秘密和个人生活自由享有不受他人干涉的权利,它实际是一种生活的自由权,包括隐私不被窥视、侵入、干扰和非法收集利用的权利。在信息网络时代,公民的个人数据构成公民隐私的重要内容,是公民隐私权的保护对象。作为一种权利,公民可以自主支配自己的权利。但在其受到别人侵害时,数据主体可以依据隐私权不受侵害的法律规定主张权利保护。
2 个人数据权利是网络时代的“信息隐私权”
世界各国鉴于本国的实际情况,对隐私权的范围作出了不同的规定,其权能内容的规定也有差别,但也有很多的共同性。我国学者张新宝在其《隐私权的法律保护》一书中对公民所享有的隐私权的范围作了一般性的归结,主要有以下方面:①公民拥有的姓名、肖像、住址、住宅电话等,未经其许可,不得加以刺探、公开或传播;②公民的个人活动,尤其是在住宅内的活动不受监视、监听、窥视,但依法监视居住者除外;③公民的住宅不得非法侵入、窥视或者骚扰;④公民的性生活不受他人干涉、窥视、调查或公开;⑤公民的储蓄、财产状况不得非法调查或公布,但是依法需要公布财产状况者除外;⑥公民的通信、日记和其他私人文件(包括储存在计算机内的私人信息)不得刺探或公开,公民的个人数据不得非法搜集、传输、处理与利用;⑦公民的社会关系,包括亲属关系、朋友关系等,不得非法调查或公开;⑧公民的档案材料,不得非法公开或扩大知晓范围;⑨公民不向社会公开的过去或现在的纯属个人的情况,不得进行搜集或公开;⑩公民的任何其他纯属于私人内容的个人数据,不得非法搜集、传输、处理与利用。以上10个方面虽然也包括网络隐私权的部分,但其不构成传统隐私权的重心内容。
网络信息时代的来临,虽然总体上没有改变传统隐私权的范围,但在网络隐私权方面,其对象或内容主要是以“个人数据”的面目出现,所以有学者提出有别于传统隐私权的“信息隐私权”(Information Privacy)的概念。传统个人隐私的内容主要是:姓名、年龄、性别、出生日期、身份证号码、婚姻、家庭、教育、病历、职业、财务状况等数据,但随着网络的发展,许多新兴的个人数据不断涌现,如电子邮件地址、上网卡号、各种认证密码、网际通信协议地址等,并且,随着新兴科技的发展与应用,还有可能涌现出许多与网络相关的而现有法律又无法规范的新兴个人数据。
就隐私权的主体而言,尽管隐私的对象或内容有所变化,或其重心有所变化,但其主体权利的行使(即权能)没有变化。一般来讲,隐私权的主体享有以下权利:一是公民对自己的隐私有权隐瞒,使其不为人所知;二是权利人可以利用自己的隐私,满足自己精神上和物质上的需要;三是权利人可以支配自己的隐私,准许或者不准许他人知悉或者利用自己的隐私;四是当自己的隐私被泄露或者被侵害的时候,有权寻求司法保护[1]。网络个人数据主体的权利有以下方面:①个人数据的隐瞒权,公民对自己的个人数据有权隐瞒,使其不为人所知;②个人数据的控制权,即数据主体有权决定将个人数据提供给何人使用、提供数据的内容,并有权决定对方对其所提供数据的使用权限;③个人数据利用权,数据主体可以利用自己的个人数据,满足自己精神上或物质上的需要;④个人数据支配权,权利人可以支配自己的个人数据,准许或者不准许他人知悉或者利用自己的个人数据;⑤个人数据收益权,即数据主体有权要求数据合法持有者对其提供的有商业或新闻价值的个人数据支付报酬;⑥个人数据了解权,即数据所有权人有权知道其所提供的个人数据被使用的目的及情况;⑦个人数据的修改权,即数据主体可以根据自己的要求以及实际情况的变化,对其提供的某些个人数据进行修改的权利;⑧个人数据保护权,即当自己的个人数据被泄露或者被侵害的时候,有权寻求司法保护。
在网络中,既然存在个人数据隐私权的主体,就必然有相应的隐私权的义务主体。个人数据隐私权的义务主体是指所有的合法知晓与掌握的有关机关、组织或个人,其中主要的义务主体就是数据采集者、数据库所有者以及数据库使用者。隐私权的义务主体需要遵守以下的义务:
1)合法取得的义务。即对个人数据的获得必须是通过合法手段,需有权利人的明确授权,不得在权利人不知情的情况下获取数据,更不得通过欺骗或胁迫的手段获得个人数据;对于无民事行为能力的人或限制民事行为能力人的个人数据的采集需经其监护人的同意。
2)合理使用的义务。即个人数据的拥有者(非权利主体)需遵照约定或经权利主体的授权合理使用该数据,不得滥用权利。
3)告知的义务。即有关主体对个人数据的采集、运用与处理等有义务告知数据主体其采集、运用与处理的意图、方式、保密措施、违约责任等,并且有义务以适当方式使得数据主体的知情权得以实现。
4)保证数据完整的义务。有关主体应对其知悉、掌握、运用等的个人数据要保证完整性,不得以任何方式篡改、增加或删除等。
5)保密的义务。使用者有义务采取有效措施保障个人数据不受侵害。
3 侵害个人数据隐私权的类型
美国学者W.Prosser在研究了200多个法院判例的基础上,提出了侵犯隐私权的4种行为:①侵犯他人私生活的安宁。如擅自闯入他人的住宅,窃听他人的电话,由窗外张望他人的卧室,未经同意而对他人谈话录音,任意拍摄他人照片,秘密调查他人的银行存款,跟踪他人等。②宣扬他人的私生活秘密。例如公布他人忌讳为人所知的疾瘤,广播他人不履行债务的消息,描述他人过去的丑行,发表他人的情书等。③置人于遭公众误解的境地。例如未经他人同意擅自将其姓名列于某项启事之后,报纸在有关犯罪的报道之后刊登与案件无关人士的照片等。④利用他人特点作商业广告。例如租用公众人物的姓名或形象作广告,利用他人的病态推销药物等。这4项内容并不是以一般的隐私权概念为基础进行理论上的归纳概括,而只是泛泛的列举,难免挂一漏万[2]。
在司法实践中,关于侵犯个人数据隐私权的案例也出现过一些。如美国新泽西一位32岁的男子L.Christian利用从因特网上获取的个人资料以国家最高军事官员的名义建立了成百上千的假信用帐号。联邦检察官称,Christian利用331个假信用帐号在网上购买了价值16.1万美元的电脑和珠宝。预计该男子将被判处4年的监禁[3]。还有美国德州的Universal Image公司,经营Chalkboardtalk.com电子商务网站,是一家教育录影带的供应商。该公司于2000年1月控告Yahoo利用cookies档案,登记网友的名称与网址,追踪上网者的行动,侵犯了上网者的隐私权。依德州法律,未经同意的跟踪已经侵犯了隐私权,该公司据此要求Yahoo赔偿40亿美元。最近,一位加州女士提出诉讼控告美国DoubleClink互联网广告公司非法取得并且贩卖消费者的个人数据资料。这个诉讼宣称该公司采用了cookies技术,以识别网络使用者,并且在未经同意的情况下,收集网络浏览者的个人信息[4]。
从上面的案例来看,网络时代的来临。已经从传统隐私权的侵犯转化为现代对网络个人数据隐私权的侵犯。从世界各国隐私权方面的立法以及个人数据保护方面的立法来看,对个人数据隐私权的侵犯的种类还在进一步的摸索当中,这主要是因为,随着网络技术的发展,新型的对个人数据隐私权的侵犯将可能出现更多立法无法加以规范的地方,但并不是说法律无法加以规制。根据隐私权的构成本质以及现行网络隐私日益产生的一些问题,我们可以将网络个人数据隐私权的侵犯归结为以下几种类型:
1)非法收集个人数据。这主要是指未经登记的个人或组织在未经数据主体同意的情况下收集其个人数据的行为。采集方对未成年人的个人数据进行采集时,还需征得该未成年人的法定代理人的同意。不仅如此,收集个人数据还需通过合法的手段,任何通过欺诈、胁迫、盗窃及黑客行为等不正当方式取得个人数据的行为都属于侵权的行为。各国的立法中对个人数据的采集主体也规定了必须履行一定的登记手续,如英国《数据保护法》第5条规定:只有经过登记被批准为数据使用人(或数据使用人兼计算机中心)之后,该人才有权持有个人数据。
2)非法使用个人数据。使用他人数据必须在法律规定或当事人明确授权的范围内进行,否则就是侵犯他人个人数据的隐私权。数据用户从储存有个人数据的数据库以及网络中提取有关个人数据的过程就是一个披露和公开个人数据的过程。在这一过程中,数据使用者必须具有合法的身份(即使用主体要合法),必须在法律规定或数据主体授权的范围内使用(即权限要合法),并且在使用个人数据时,不得对个人数据进行删改或增加,应保证其个人数据的完整性(即运用方式要合法)。
3)泄露他人的个人数据。对个人数据的合法使用者以及其他个人数据的持有者,应在技术以及其他措施上保证他人的个人数据的安全性,不得将他人的网络个人数据加以公开,否则泄露他人的个人数据造成数据主体物质或精神上的损害,也得承担侵权的责任。
4)运用所掌握的个人数据扰乱他人的生活安宁,给人们带来精神与物质上的损失。比如“电子邮件炸弹”,就是他人电子邮件地址的持有人利用特殊的电子邮件程序,在短时间内自动向数据主体的电子邮箱发送大量的、数据量庞大的无意义或乱码邮件,数据主体容量有限的电子邮件信箱容易被这些电子邮件充满,无法正常收发邮件。对于一些收费电子邮件服务而言,还可能给电子邮件用户造成巨大的经济损失。
虽然各国立法对公民的隐私权都给予了必要的保护,但并不是说所有的收集、使用以及泄露个人数据的行为都是侵犯隐私权的行为。一般来说,在以下两种情况下,收集、使用以及泄露个人数据的行为不构成侵犯隐私权的行为:①为了社会公共利益和政治利益的需要。例如,政府官员是为公众服务的,应该受到监督,对其某些个人数据的收集、使用和公开就不属于侵权。②公民为维护个人权利的需要在必要的范围内收集、使用和公开他人的个人数据。如父母怀疑子女有不正当行为时,在合理的范围内收集、使用其个人数据,一般也不属于侵权。
4 个人数据权利的立法保护
现代网络隐私问题越来越受到关注,一些国际组织开始尝试通过立法来加以保护,这些立法也多是以“个人数据保护”为其重心内容的。经济与合作组织(OECD)最早在1980年通过了《隐私个人数据保护基准》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)。欧洲议会于1981年签署了《个人数据保护协议》(Council of Europe:Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data),在此基础上,欧盟1995年通过《欧盟个人数据保护公约》(Europe Union’s Directive 95/46/EC on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data),并于1998年10月25日生效。
就一些国家而言,在传统隐私权立法的基础上,又以“个人数据保护”为重心通过了新的立法。如瑞典1973年通过了《数据法》(Data Act of 1973),1982年又出台了《瑞典情报法案》(The Swedish Data Bank Statue);联邦德国1974年出台了《联邦数据保护法》(Federal Data Protection Act);法国1978年出台了《法国数据处理、档案及权利法》(The French Data Processing,Files and Liberties Law);美国1974年制定了《联邦隐私权法案》(Privacy Act of1974),1998年专门通过了针对儿童的网上隐私权保护的法案《网上儿童隐私权保护法》(Children’s Online Privacy Protection Act)并于2000年6月生效。最具有代表性的是美国1984年的《数据保护法》(Data Protection Law),详细规定了在保护个人数据方面的8项基本原则,其内容是:①无论是政府、法律执行机关,还是其他机构或个人,必须通过公平合法的方式收集和取得个人数据;②收集和持有个人数据的机构和个人在进行数据收集之前,必须进行依法登记,并且只能出于特定的、合法的目的时,有关机构或个人才能持有数据;③使用和披露个人数据的方式不能与收集、持有这些个人数据时的目的相违背;④持有个人数据的目的必须适当、中肯,不过分;⑤个人数据必须准确,那些必须以最新材料存档的内容还必须不能陈旧与过时;⑥如果依法持有某些个人数据是有期限的,在到期之后不得再持有这些数据;⑦任何个人均有权在支付合法费用后,向数据持有人了解有关自己的资料是否已经被作为个人数据保存下来,如果自己的数据被存储了下来,自己有权要求查询自己的数据并可以要求对自己所认为的不实之处进行修改;⑧数据持有人必须采取安全措施,防止个人数据未经许可而被扩散、更改、透露或销毁。
根据我国的实际情况,笔者提出几点设想:
1)尽快在法律中明确规定“隐私权”概念。虽然我国在宪法、民法、刑法、刑事诉讼法、民事诉讼法、最高人民法院的司法解释中有涉及公民“隐私权”的内容,但至今还没有将隐私权确定为一项公民的基本权利。最高人民法院以司法解释的形式将侵害隐私解释为侵害名誉权的行为。这种做法与世界其他国家有差别,在司法实践中也难以有效地保护公民这项权利。
2)制定《个人隐私保护法》,以专门的法律将传统隐私权的保护与现代网络个人数据隐私权的保护结合起来,明确界定个人隐私的范围、隐私权法律关系主体的权利与义务、侵犯隐私权的类型及其法律责任。
3)借鉴与吸收其他各国的隐私权立法经验。从根本上来说,网络空间的个人数据保护是一个国际性的问题,再完善的国内立法也很难防范来自世界各地的数据使用者对本国数据主体隐私权的侵害。这就要求国内立法与世界各国的立法相互靠拢,不要闭门造车;另外要完善国际性甚至是全球性认可的隐私权保护规则。
标签:隐私权论文; 公民权利论文; 法律主体论文; 行为识别论文; 信息公开论文; 信息安全论文; 网络行为论文; 法律论文;