浙江天宇信息技术有限公司协办——网络个人数据隐私权保护体系的三维透视,本文主要内容关键词为:浙江论文,信息技术有限公司论文,天宇论文,透视论文,隐私权论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着现代科学技术的迅猛发展,特别是因特网的迅速发展以及电子商务这样一种全新 的经营模式的广泛普及,人类已进入以计算机和网络技术为基础,以多媒体技术为特征 的网络时代。但正如技术的两重性一样,网络时代在造福人类,改变传统的生活方式, 扩展信息交流的空间,带给人们极大便利的同时,也使人们置身于一个自由、开放、无 国界的、几乎透明的“玻璃社会”,时刻面临着网络隐私权被侵犯的严峻挑战,其中网 络个人数据隐私权被侵犯的现象比比皆是。因此,在日益追求尊重知识产权的时代,如 何构建一个集宏观、中观、微观于一体的网络个人数据隐私权保护体系,以有效地保护 网络个人数据隐私权,已成为当前亟待解决的课题。
1 网络个人数据基本概念及其相互关系
鉴于网络个人数据隐私权涉及信息、个人信息、个人数据、隐私权、网络隐私权等一 系列概念,为了清晰地理解网络个人数据隐私权的含义,必须追根溯源,对相关概念及 其相互之间的关系、范畴有一个明确的认识和理解。
1.1 网络个人数据的相关概念
众所周知,物质、信息、能源构成现代社会的三大支柱,但有关信息概念本身在学术 界尚无定论。国内学术界普遍认为“信息是通过一定的物质载体形式反映出来的,是事 物存在的状态、运动形式、运动规律及其相互联系、相互作用的表征[1]。”笔者比较 认同这一观点。信息按不同的标准具有不同的分类,其中作为社会主体的人的个人信息 是其重要组成部分。所谓个人信息是指有关个人的一切情报资料和资讯,诸如身高、体 重、病历、身体缺陷、健康状况、经历、财产状况、信用卡号码、社会保险号、社会关 系、家庭情况、婚恋状况、学习成绩、缺点、兴趣爱好、心理精神状态、未来计划、姓 名、肖像、政治倾向、宗教信仰等,其范围非常广泛。在计算机和网络技术高度发达和 普遍运用的今天,以上个人信息均可以数据的形式在网络空间存在。所谓数据,在计算 机科学或信息科学领域是指储存于计算机系统中的,除计算机程序以外的一切信息资料 。在数据库里,数据都是以数据形式,即通常是采用二进位的计算方式存在的。因此, 为了把网络空间的个人信息与传统现实世界中的个人信息相区别,根据其存在形式和内 容的不同而称为个人数据。
信息无疑包括自然人的个人信息,个人信息以数据的形式进入网络空间而成为个人数 据,这些数据包括可以公开的非隐私数据和不宜收集或公开的隐私数据。
1.2 网络个人数据隐私权的提出
虚拟世界的有效运转依赖于个人数据对网上人群加以区分,并将每一个特定化,而保 护个人数据的正是隐私权。隐私权一词源于英文privacy,是指“自然人享有的对其个 人的与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权[2]”。 在法律上确认公民具有隐私权是为了表明每个公民都有不受干扰的独立生活在社会上, 并保持人格尊严、人格利益不受侵犯的权利。隐私权的客体,即隐私,有三种形态:一 是个人信息(网络时代称为个人数据),是无形的隐私;二是个人私事,是动态的隐私; 三是个人领域,是有形的隐私[3]。所谓个人信息,与上面论述中提到的含义相同,是 指有关个人的一切情报资料和资讯。所谓个人私事,是指一切个人的与公共利益群体利 益无关的活动,比如日常生活、社会交往、夫妻之间的性生活、婚外性关系以及一切私 人不愿意公开的活动和事实。所谓个人领域,是指个人的隐秘范围,如身体的隐秘部位 、个人居所、个人加密的电脑、电子信箱、旅客行李、学生的书包、日记、通信等。在 这些私有领域,未经其主人许可,他人不得侵入,但法律另有规定者除外。隐私权的核 心是对隐私的控制支配,即对个人信息(个人数据)、个人私事和个人领域的控制支配。
当传统隐私权从其存在的现实世界进入网络空间时,一种新环境下的隐私权——网络 隐私权就应运而生了。网络隐私权是指公民在网上享有私人生活安宁和私人信息依法受 到保护,不被他人非法侵犯、搜集、知悉、复制、利用和公开的一种人格权[4]。从中 我们可以看出:(1)网络隐私权保护的客体是网络个人生活安宁和网络个人数据;(2)网 络个人数据隐私权是网络隐私权的重要组成部分,其客体是网络个人数据。由传统隐私 权的核心可推知:网络个人数据隐私权的核心即是个人数据的控制支配。因此,笔者所 探讨的个人数据隐私权保护体系实际上是网络隐私权保护体系。
1.3 相互关系
通过以上对于信息、个人信息、数据、个人数据、隐私权、网络隐私权、网络个人数 据隐私权的概念及范畴的分析,笔者总结出了它们之间的相互关系,如图1所示:
2 网络个人数据隐私权的保护现状分析
2.1 网络道德现状
目前,由于没有一个完整、系统的体系来规范网络行为,以及网络本身的隐匿性、自 由性和开放性,使得网络空间陷入混乱状态,网络道德建设状况堪忧,如网络黑客滥用 网络的自由性窥视他人隐私、攻击和破坏计算机程序或数据、传播计算机病毒以损害他 人利益;网络经营商滥用小甜饼cookies跟踪和监视用户的在线活动;垃圾邮件充斥邮 箱;甚至有些网络公司公开出售用户的个人数据资料等侵犯个人数据隐私权的行为比比 皆是,已引起社会的广泛关注。
2.2 法律保护现状
我国对隐私权的保护散见于《宪法》、《民事诉讼法》、《未成年人保护法》、《计 算机信息网络国际联网管理暂行规定实施办法》等法律法规中,但尚未形成隐私权保护 完整的法律体系。民事法律对隐私权没有直接保护,即并未将公民的隐私权作为一项独 立的人格权加以保护,而是在有关司法解释中将揭露与宣扬他人隐私解释为侵害名誉权 的行为,间接地保护公民的隐私权[5]。英国在保护隐私权方面也有类似的做法,即所 谓寄生诉讼[6]。笔者认为名誉权与隐私权虽存在交叉之处,但二者有其各自特定的调 整与保护领域,不能相互吸收或代替。世界上许多国家已对个人数据进行立法保护,最 有代表性的是欧盟1995年通过的《个人数据保护指令》,这项指令几乎涵盖了所有处理 个人数据的问题,并规定各成员国必须根据该指令调整或制定本国的个人数据保护法, 以保障个人数据资料在成员国间的自由流通。我国至今还没有关于个人数据的专门立法 。
2.3 行业自律现状
美国政府注重于以行业自律的方式保护网络隐私权。1997年10月克林顿政府在《全球 电子商务发展框架》的报告中强调“在保护网络隐私权方面私营企业应当起到主导作用 ”;2000年4月,包括American Airlines等知名公司在内的多个团体共同成立了一个在 线隐私联盟,这个联盟的宗旨就是要求企业告诉用户哪些被收集的数据属于个人可以处 理的范围,并允许他们从中选择;而美国电子前线基金会(EFC)与Commerce.net在加州 共同发起的非营利性机构Truste则致力于在其会员中推行网络隐私认证计划,对符合不 同自律标准的网站颁发认证证书。我国在这方面基本上都是空白,对网络隐私的保护也 仅限于一些网站借鉴国外制定的隐私保护政策。这种保护手段相当脆弱,它无法完全阻 止网络收集个人数据,也无法对网站是否遵守了其声明的隐私政策进行监督、控制。
2.4 技术保护现状
面对越来越高的网络隐私保护的呼声,一些商家也从保护用户网络个人数据隐私权的 角度寻求商机,开发了一系列软件,如Windows cleanup、Cookiecop等。专家指出,现 在网上可以找到许多帮助网民保护个人隐私的软件,其中有些免费软件能够做到不接受 网站发送给用户的cookies程序,同时又不影响对网站的访问[7]。2000年7月万维网联 盟W3C(Word Wide Web Consortium)宣布了可使因特网用户有效控制和保护个人信息安 全的隐私参数选择平台P3P(Platform for Privacy Project)技术原型。但由于技术手 段的双面性,它不可避免的具有局限性。
3 侵犯网络个人数据隐私权的几种主要形式
3.1 对个人数据的过度收集
过度收集是指未经数据主体同意的个人或组织采取各种形式收集其个人数据的行为。 收集个人数据应当通过合法的方式,任何通过欺诈、胁迫、盗窃及黑客行为等不正当手 段取得个人数据的行为都属于侵权行为。各国的立法中对个人数据的采集主体也规定了 必须履行一定的登记手续,如英国《数据保护法》第5条规定:只有经过登记被批准为 数据使用人(或数据使用人兼计算机中心)之后,该人才有权持有个人数据[8]。
3.2 对个人数据的非法二次开发
数据用户使用、开发他人数据必须在法律规定或个人数据主体明确授权的范围内进行 ,否则就是侵犯他人个人数据的隐私权。二次开发是指数据用户利用自己所掌握的个人 数据,建立起综合的数据库,从中分析出一些个人从未透露过的信息,进而指导自身的 营销战略或其他活动。这个过程中,数据用户必须经过个人数据主体的授权(即使用主 体合法)并在其授权范围内进行(即权限合法),同时还要保证所使用数据的完整性(即使 用方式合法)。
3.3 对个人数据的非法交易
个人数据非法交易的形式有两种:一种是数据用户之间或数据用户与其他机构间相互 交换所掌握的个人数据;另一种是数据用户将自己所掌握的个人数据出售给这些信息的 需要者。不当的或非法的个人数据交易是目前对个人数据隐私权危害最为严重的一种行 为[9]。
以上三个方面是相互联系的,它们共同对网络个人数据隐私权的保护造成威胁。但由 于具体情况不同,不应该采取武断的处理方法,而需要在数据用户与个人数据主体之间 找到一个平衡点,既保证个人数据的正常流动,使得数据用户可以提供有针对性的服务 ,同时又要注意保护个人数据隐私权,使网上个人数据主体不受非法干扰。
4 构建网络个人数据隐私权保护体系
通过以上对网络个人数据隐私权的基本概念、保护现状及存在问题的分析,笔者拟从 宏观、中观、微观三个维度提出一个比较完整的网络个人数据隐私权保护体系。
4.1 宏观保护
法律和道德是上层建筑的重要组成部分,都是规范人们行为的重要手段,两者缺一不 可,应互相补充、相互促进。法律是最低标准的道德要求。道德是自律,是最高水准的 法律规范。任何一个人除了遵守法律之外,还必然受到社会道德的约束。没有法律,道 德就失去了维系的力量;不讲道德,法律就成了有空子可钻的摆设。因此,必须采取两 手抓、两手都要硬的策略,实现优势互补。
(1)加强人们的网络道德教育与网络道德规范,强化技术道德、职业伦理对网络技术、 网络文明的引导与促进作用。其中确定网络主体的道德主体地位,是网络道德建设的核 心内容;制定网络道德原则,是网络道德建设的理论依据;明确网络道德规范、加强网 络道德教育,是网络道德建设的重要保证。
(2)加快立法进程,构筑完整的法律体系。①准确界定隐私权的含义,并把其作为一项 独立的人格权在《民法通则》中加以规范;②在全国人大的层次上进行个人数据保护法 的立法工作,同时应与国际上的相关法律接轨,与国内的相关法律相衔接;③初步建立 以民法为重点、其他法律为补充的公民隐私权保护体系。
4.2 中观保护
宏观上的道德和法律的调控以及微观上的个人数据主体和数据使用者采用的各种技术 共同体现了保护个人数据隐私权的宗旨,但两者之间,一个处于上层建筑,着重于宏观 方面的规范,一个处于微观层次,着重于具体的保护技术、措施,客观上形成了一个较 为宽阔的中间带。由此,在宏观规范与微观措施之间需要一个起中观作用的衔接沟通机 构,从中发挥桥梁与纽带作用。此外,微观措施要解决各种各样的问题,不仅需要一个 能全方位提供中介服务的组织机构,而且也需要一个自我约束、相互监督的组织协调者 。这就促使笔者提出了在宏观和微观之间建立中观工作层——行业自律组织的思考,在 这方面美国业界的做法是一个很好的例证。美国一贯主张行业自律模式,已经形成了行 业指引——网上隐私权认证计划——技术保护的较为完善的保护体系,并且取了一定的 成效。
有鉴于我国的实际情况和外国的成功经验,笔者提出如下建议:(1)成立由知名网站、 ISP、ICP、IT公司等联合组成的行业个人隐私保护协会,制定网络个人数据隐私权保护 的发展规划、保护原则,促进从事网络活动的商业机构自我规范;(2)由信息产业部和 个人隐私保护组织联合成立第三方认证机构——网络隐私保护认证机构,对各个网络运 营商隐私权保护情况进行监督、审查、评估和认证,并授予权通过认证的网络运营商使 用其认证标志;(3)大力扶持和发展既面向个人数据主体又面向数据用户的网络信息中 介机构。
4.3 微观保护
微观保护包括数据用户、个人数据主体以及政府对个人数据隐私权采取的技术等方面 的保护,这是更为直接、有效的保护措施。
(1)网络经营者和服务商在公民个人数据隐私权保护意识日益强烈的今天,基于其商业 利益也步入网络隐私权保护的行列。笔者认为应当强化其做好网络信息安全工作的义务 ,要求其制定全方位的隐私保护政策并向个人数据主体明示,同时应不断检查发现自身 的隐患,采取更加完善的技术措施(如P3P)保护个人数据隐私权。
(2)在我们为个人数据隐私权保护而呐喊高呼时,还有许多人没有真正地意识到隐私权 的重要性,因此,笔者认为当前应重点加强公民的个人数据隐私权保护意识,只有全社 会隐私保护意识的提高,才能进一步推动各项保护策略的出台;同时要加强自我保护措 施,如通过匿名浏览,使用代理服务器、加密技术、防火墙等软件以及提高防范意识、 不轻易提供个人数据等方式来防止个人数据被他人侵犯。
(3)政府应加强对网络的监管力度,对网络个人数据实行统一管理,同时合理使用网络 监控技术,建立严格的使用技术规则和流程,在维护网络安全的同时,确保网络用户的 个人数据隐私不受侵扰。
通过以上对网络个人数据隐私权保护体系的探讨,笔者给出了该体系的模型,以更直 观的说明其三维一体的体系结构,如图2所示。
收稿日期:2005-01-31