论网络中个人数据的隐私权保护

论网络中个人数据的隐私权保护

作者：萍乡市中级人民法院 周金颉

在当今社会，信息技术的飞速发展给人们的生活带来极大便利，但同时不容忽视的是，这也相应地产生了诸多的法律问题，其中最引人关注的就是隐私权的保护。在新技术信息条件下，隐私权是指对数据信息的传播和使用的控制权，包括特意披露的信息和使用信息技术时不经意泄露出来的信息。以此同时，网络时代也改写着有关隐私权的法律概念，个人数据隐私权的概念应运而生。

一、个人数据隐私权概述

（一）个人数据的概念及法律特征

总体而言，各个国家法律对于个人数据的概念的表述是不同的。英国在1984年制定的《数据保护法》对个人隐私权的规定相对全面、完整，较有代表性的。《数据保护法》规定：“个人数据是由有关一个活着的人信息组成的数据，对于这个人，可以通过该信息(或者通过数据用户拥有的该信息的其他信息)识别出来，该信息包括对有关该个人的评价，但不包括对个人数据用户表示的意图。”总结上述观点，本文认为：个人数据是能直接或间接反映该项自然人的确定性信息。个人数据包括任何数据控制人或其他任何人对自然人的观点动机的表达与暗示，比如宗教信仰，电子邮件地址，IP地址等。由此，我们可以看出，个人数据具有如下法律特征：

1.个人数据主体对自己的个人数据依法享有所有权，即具有占有、使用、收益和处分权。

个人数据主体指的是个人信息被作为数据加以收集的自然人，而不是该数据的用户。

2.个人数据是足以对主体构成识别的数据。

对数据主体的识别可以是直接识别，也可以是间接识别。

3.个人数据控制权丧失后具有不可恢复性。

个人数据控制权的丧失并不意味着主体对该数据的物质形态失去了控制，而是对该数据价值形态失去了控制，即该数据为数据使用人所产生的利益是无从追索的。

4.个人数据集合体的价值具有倍增性。

在市场经济条件下，单一的个人数据的意义并不太大，但是，只要其收集的个人数据数量大到一定程度，如在“人肉搜索”中将个人数据从各个方面收集，其经济价值就可能大到令人难以测算的程度。

二、网络中对个人数据隐私权的侵权分析

（一）侵害个人数据隐私权之原因分析

1.来自于行为人方面的原因。

首先，最根本的是经济利益的驱动。侵犯网络个人数据隐私权行为之所以存在，其功利主义的倾向是非常明显的，即对互联网用户隐私权的侵犯，其根本的动因还是为了获得经济上的收益。其次，侵权行为的隐蔽性。由于网络的特殊性和虚拟性，要想追查“幕后黑手”，相对隐私权被侵犯来说，则十分困难，这使得一些“幕后黑手”十分猖狂。另外，惩罚机制的缺位。侵犯网络个人数据隐私权行为得以存在并呈扩散之势的另一原因在于缺少惩治这种行为的有效社会手段。目前对于侵犯网络个人数据隐私权的行为，虽然已经提出了众多的惩罚措施，但行之有效的却十分少见，尤其是最具威慑力的法律手段在这一方面更是相对落后。试想，当人们发现某种有违社会规范的行为不仅能带来相当丰厚的收益，而且能够避开惩罚时，不但相同的行为会被重复，而且还会引诱他们争相效仿，从而使得侵犯网络隐私权的行为蔓延开来。因此，如何在满足大量的个人信息需求与保护个人网络隐私权之间寻求平衡，才是我们面对这一问题时真正需要关注的焦点。

2.受害人本身的原因。

很多时候，受害人个人数据受到侵害，也有自身的原因。比如说自我保护意识不强，在网上通讯、购物、注册的过程中，把姓名、身份证号码、电子邮箱地址、信用卡号码等个人资料随意的在不正规的网站上登记，给一些居心不良者可趁之机。

3.网络造成的原因。

借助于电脑、网络，对个人数据隐私的侵害手法日趋技术化。大量侵犯隐私权的高科技产品的运用使得隐私权在网络环境中无处遁形，如识别系统的滥用，使得网络个人数据隐私权受到严峻的威胁。

4.个人数据的正当收集者方面的原因。

政府在对网络空间进行安全管理的同时极有可能侵犯个人隐私。如政府对我国国民的个人档案的收集和管理时，就存在着泄露和滥用个人隐私的可能。同时，企业或商家为了了解消费者的需求，总是力图收集大量消费者的个人资料，以便通过互联网和各种服务器直接同个人进行“一对一”的联系。在未征得当事人同意的情况下，许多网站与其他网站共享网民的个人资料，或者泄露网民资料给第三方，侵犯他人隐私权。

（二）侵害网络个人数据隐私权的表现方式

计算机技术和网络信息技术在给人们带来巨大便利的同时，也使网络个人数据隐私权受到极大的侵犯。从最近几年来互联网上侵犯隐私权的案件中可以发现，互联网上侵犯隐私权一般表现为以下几种形式：

1.非法收集个人数据。

这主要是指未经登记的个人或组织在未经数据主体同意的情况下收集其个人数据的行为。对个人数据的收集必须取得数据主体的同意。采集方若对未成年人的个人数据进行采集时，还需征得该未成年人的法定代理人的同意。不仅如此，收集个人数据还需通过合法的手段，任何通过欺诈、胁迫、盗窃及黑客行为等不正当方式取得个人数据的行为都属于侵权的行为。

2.对个人资料的不当利用。

对商家而言，他们一般会对所收集到用户资料作为自己的客户资料库，通过对所收集到用户资料进行分析的结果制定相应的发展战略。如果通过正常途径、适当方式进行资料的收集，并且在收集前向用户告知了资料的使用范围，而且是按照当时所告知的使用范围进行使用，这样的使用则是合理的。反之，则构成对个人资料的不当利用，用户可据此要求赔偿。

3.泄露他人的个人数据。

对个人数据的合法使用者以及其他个人数据的持有者应在技术以及其它措施上保证他人的个人数据的安全性，不得将他人的网络个人数据加以随意公开，否则泄露他人的个人数据造成数据主体物质或精神上的损害，也得承担侵权的责任。

4.运用所掌握的个人数据扰乱他人的生活安宁。

网络个人数据的持有人尤其是非法持有人利用其掌握的个人数据资料扰乱别人的生活，给人们带来精神与物质上的损失。比如有名的“电子邮件炸弹”，就是他人电子邮件的持有人利用特殊的电子邮件程序，在短时间内自动向数据主体的电子邮件发送大量的、数据量庞大的无意义或乱码邮件，数据主体容量有限的电子邮件信箱容易被这些电子邮件充满，无法正常收发邮件。

虽然各国立法对公民的隐私权都给予了必要的保护，但是并不是说所有的收集、使用以及泄露个人数据的行为都是侵犯隐私权的行为。一般来说，在以下两种情况下，收集、使用以及泄露个人数据的行为不构成侵犯隐私权的行为：a.为了社会公共利益和政治利益的需要。b.公民为维护个人权利的需要在必要的范围内收集、使用和公开他人的个人数据。如父母怀疑子女有不正当行为时，在合理的范围内收集、使用其个人数据，一般也不属于侵权。

三、 中国网络个人数据隐私权保护现状

（一）我国网络个人数据隐私权侵权现状

不可否认，网络正以信息容量大、传播速度快、网络遍布广等诸多优势把人类引入一个崭新的“信息时代”，但网络在带给人们言论自由、信息共享和无限财富的同时也对人们的隐私权构成巨大的威胁。以此同时，中国网民人数正在大幅度的增加。据中国消费者协会对消费者进行的调查显示，有的消费者反映在网上购物时无意间竟看到许多其他网民的个人资料；有的网民上网时被盗走上网账号和密码，造成经济损失；据很多消费者投诉，自己申请的收费电子邮箱地址被不法商家掌握，招致信箱充斥大量“垃圾广告邮件”，为此，他们要多付出很多的信息存储费。因此我国消费者协会曾告诫警示广大网民，网上冲浪，当心你的个人资料成了别人侵害你权益的工具。应当说，个人信息保护不周，既不符合充分保障个体权益的法治要求，也成为阻碍网络及电子商务发展的巨大障碍。因此，除了采取必要的技术措施保护个人信息外，我国还应当通过修订法律法规或者制定新法等方式，确认个人信息安全的法律地位。

（二）我国网络个人数据隐私权法律保护的现状

就我国而言，还没有个人数据保护方面的立法，也没有专门的个人隐私法。由于历史的原因，我国现行法律对隐私权的保护较为滞后，还没有形成完整的法律体系，仅在一些相关的法律中有些零散的规定。《宪法》第38、39、40条分别规定了公民的人格尊严、住宅、通信秘密权不受侵犯，这些条文中虽然没有出现“隐私权”的字样，却隐含着对隐私权的认可和保护。我国《民法通则》也未将隐私权作为一项独立的人格权，而是将其作为名誉权的一部分来进行保护。最高人民法院《关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见》第140条规定，“以书面、口头等形式宣扬他人隐私，或者捏造事实公然丑化他人人格，以及用侮辱诽谤等方式损害他人名誉，造成一定影响的，应当认定为侵害他人名誉权的行为”。最高人民法院1993年《关于审理名誉权案件若干问题的解答》中第7项亦指出：“对未经他人同意，擅自公布他人的隐私材料或者以书面、口头等形式宣扬他人隐私致他人名誉受到损害的，按照侵害他人名誉权处理。”尽管最高人民法院的这两个文件中都涉及“隐私”，但作为司法解释，不能突破《民法通则》的规定，也只能把侵犯“隐私”的行为认定为侵犯名誉权的行为，从而间接地对隐私权进行保护。我国多数学者认为，隐私权作为一项独立发展的权利，虽与名誉权有着密切的关系，在有些情况下还可能会出现交叉，但不能不承认二者是两个相互区别的独立领域。2001年2月26日最高人民法院《关于确定民事侵权精神损害赔偿责任若干问题的解释》则将隐私权作为一项独立的人格利益，不失为立法的一大进步。但是，该解释仍未从法律上确立隐私权作为一项独立民事权利的地位，隐私权仍不能与名誉权、荣誉权、肖像权等人格权并列，这又不能不说是一种遗憾。在随后的《未成年人保护法》和《妇女权益保障法》这两部法律中，也分别对未成年人和妇女的隐私权做了明文规定。《未成年人保护法》第30条规定：“任何组织和个人不得披露未成年人的个人隐私。”《妇女权益保障法》第39条规定：“妇女的名誉权和人格尊严受法律保护。禁止用侮辱、诽谤、宣扬隐私等方式损害妇女的名誉和人格。”此外，刑事诉讼法、民事诉讼法等法律也规定了对涉及隐私内容的案件不公开审理的原则。至于网络隐私权的保护，仅在一些相关法律中涉及到了这一问题，如《计算机信息网络国际联网管理暂行规定实施办法》第18条规定：“不得在网络上散发恶意信息，冒用他人名义发出信息，侵犯他人隐私权。”《计算机信息网络国际联网安全保护管理办法》第9条规定：“用户的通信自由和通信秘密受法律保护，任何单位和个人不得违反法律规定，利用国际互联网侵犯用户的通信自由和通信秘密。”《中华人民共和国电信条例》第58条规定，任何组织和个人不得“利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动”。值得一提的是，早在2005年，我国第一部《个人信息保护法》就已经启动立法程序，但个人信息安全的现状迫切需要加快立法步伐，在今年两会上，多位代表和委员就再次提出《个人信息保护法》的制定应尽快提上日程。

以上即为我国目前立法中对于隐私权的相关规定.虽然这些规定为网络隐私权的保护奠定了一定的法律基础，但过于简单笼统，难以具体操作。从总体上看，隐私权还没有成为我国法律体系中一个独立的人格权，对隐私权的保护以及侵害隐私权的诉讼也没有形成专门的法律制度。具体来说，我国的现行立法保护有如下缺陷：

1.隐私权法律保护的间接性。

从实体法来讲，公民隐私权的法律保护缺乏明确性、独立性。程序法对公民隐私权的保护只局限于与公民的隐私权有关的肖像权、名誉权，权利受到侵害的公民，不能以别人侵犯其隐私权为由直接提起诉讼。因为隐私权在公民的各项权利中还不是一项独立的权利，而只是包含中其他传统权利中。同时，由于隐私权有关的其他人身权制度本身也存在着不完善的问题，这无疑更进一步减落了法律在保护隐私权上的力度。

2.我国法律对公民隐私权的规定，散见于民法、刑法、民事诉讼法、刑事诉讼法和最高人民法院就此所作的司法解释中，其内容缺乏衔接性、统一性。

这使得不仅是公民在隐私权受到侵犯是无法依照，而且司法机关对公民的隐私权履行其保护职责时也没有统一的法律。对于侵权人的处罚，究竟适用民法和民事诉讼法，还是适用刑法和刑事诉讼法，这很难确定，而且用不同的法律会带来不同的处理结果。

3.实体法和程序法在对公民隐私权的规定和保护上难以对接。

如我国民法通则以及最高人民法院就此问题所作的具有法律效力的司法解释虽然涉及了公民的隐私权，刑法也规定了可能构成隐私权侵权的几个罪名，但到了民事诉讼法和刑事诉讼法那里却没有在此基础上有针对性对此给予保护，而仅仅消极地规定“对涉及个人隐私的证据应当保密”和“不公开报案人、控告人、举报人的姓名”等，这对隐私权的保护显得尤其不力。

四、我国网络空间个人数据隐私权的保护策略

（一）建立完善相关的法律法规制度

网络正以一种前所未有的方式向全世界提供各种新的机会为信息交流和商业往来提供便利，然而这种新技术不可避免也带来了发生各种新争端的可能。只有制定与网络的发展特点相适应的法律法规，才能使个人数据的隐私权得到最好的保护，否则，如果法律缺乏可操作性，则会有损法律的尊严。

1.在宪法保护公民人格权的基础上，通过民法等法律赋予公民享有独立的隐私权，并将其列为与公民的肖像权、名誉权等公民传统权利并行的权利，使其真正成为公民人格权一个独立的组成部分。

这样一方面可以便于当事人在隐私权受到侵犯时可以以此直接向法院提出保护自己隐私权的诉讼；另一方面还可以以公民所享有的隐私权来对抗以侵犯公民的隐私权为代价的他人或者社会所享有的其他方面的权利和自由，如新闻自由、言论自由等。

2.完善隐私权侵权的民事责任。

对于隐私权侵权不应再参照侵害名誉权处理。对于侵害名誉权适用的消除影响、恢复原状、恢复名誉等不宜适用于隐私权侵权。因为恢复名誉只适用于侵害名誉权，而消除影响、恢复原状很有可有造成进一步宣扬隐私的结果，因此也不宜采用。因此隐私权侵权的民事责任应为停止侵害、赔偿损失、赔礼道歉。其中停止侵害即停止正在进行的侵权行为；赔偿损失指赔偿因侵权行为造成的财产损失和精神损害，其中财产损失包括因侵权造成的疾病的医疗费用、误工费、调查侵权的合理费用及其它经济损失，精神损害赔偿指对侵权造成的精神痛苦所负担的抚慰金，它只适用后果较为严重的情况，其赔偿数额的确定往往视侵权的后果、情节、侵权者经济承受能力等因素决定，这一点可参照2001年2月26日最高人民法院《关于确定民事侵权精神损害赔偿责任的若干问题的解释》之第8条规定。当然，精神损害难以实际计算，这就使赔偿数额的确定具有一定的随意性，法官享有较大的自由裁量权，因此正确适用精神损害赔偿还需要法官慎独的道德自律和较高的专业水准。

3.还要规定在触犯刑法的情况下依法承担刑事责任。

因为在有些网络隐私权案件中，已经需要刑法加以规制。如一些黑客软件可以通过网络进行远程控制，侵入连在网上的另一台计算机，对储存在其硬盘中的资料任意浏览、复制、删除。这已经不再仅仅是侵犯隐私权的问题，而是对公民人身权和财产权的严重侵犯，因此应在刑法中完善关于侵犯网络隐私权的刑事责任。

4.必要时在有关行政法规或在网络隐私权立法中规定行政机关及其工作人员应当承担的行政责任。

在我国各级政府机关进行电子政务改革的时候，政府机关及其工作人员也有可能侵犯公民的网络隐私权，除承担民事责任外，还要对有关的政府机关及其人员规定承担有关的行政责任，具体行政责任的承担形式应与其他行政法律法规的规定相配套。

5．加强网络立法。

到目前为止，我国没有隐私权保护的专门法律条文，网上个人数据信息隐私权的保护更是完全空白。历来缺乏隐私权保护传统也给我们的立法造成了困难，最大的问题还是我们的大多数民众，甚至部分法学研究者尚未意识到网上隐私权保护立法的重要性。实践证明，采用间接保护的方式保护隐私权，是不完备、不周密的。因此，首先，对隐私权的保护应由间接保护改为直接保护。可以说，对隐私权采用直接保护方式，既是隐私权自身的要求，也是社会发展的必然趋势。其次，我国法律界应尽快制定信息保护法，对个人数据的收集、储存、处理和利用做出明确的规定。主要应该包括以下几个方面的规定：第一，要明确收集个人数据要有法律依据。第二，必须明确收集的数据的范围。第三，应当规定除例外情况，任何个人数据资料未经本人许可不得公开。如果公开，必须对公开情况有完整的记录，在该记录的法定保存权限内，当事人可随时查阅。第四，明确公民对个人数据的权利。如查阅的权利，提出异议的权利等。第五，个人对数据的权利也要受到适当的限制，不能绝对的禁止他人对自己数据的使用，必须接受法律规定的强制性收集或公开。最后，还要制定专门网络隐私权法律制度。只有隐私权保护的一般性规定是不够的，因此，还应该制定专门的网络隐私权法律来保护公民的网络隐私权，使公民的网络个人数据隐私权得到最有效的保护。

同时，我们应当注意的是，在保护网络隐私权的立法过程中，要特别注重法律与高科技的网络技术相接轨，即法律应具备技术性。立法者不懂技术，技术人员又无权立法，这就是现在的问题所在，它使得现行的网络法规与网络实情相脱节，缺少可操作性，这样的法律很难见到实效。因此，应该加强立法者与技术人员之间的沟通，以便制定出更加合理有效的网络法规。

此外，完善与公民隐私权保护相关的其他法律、法规也是十分重要的，使专门法律与相关法律相互配合支撑，才能起到更好的保护作用，构建我国网络个人数据隐私保护完善的法律体系。

（二）加强行业自律

对隐私权的保护首先应业内自重，所谓行业自律方式是指由业界制定的保护网络隐私权的规章和制度。在目前网络隐私权保护的立法还不完善的情况下，它不失为一种有效的规制方式。即使相关的法律制定完备，行业自律方式仍然不会失去其价值和意义。因为重要的不是片面的追求保护隐私，而是如何务实实现这种保护，同时又不损害整个社会的经济利益。立法对隐私权保护固然能起到重要的作用，但鉴于目前业界、网民和法律界的实际情况，考虑到因特网的发展需要新技术的推动，应给新技术发展留有一定的余地，因此倡导业内首先承担起网络隐私权保护的责任。

笔者认为行业自律的具体措施可以包括以下几个方面：

第一，成立由行业个人隐私保护协会，该协会由网站、ISP、ICP、IT公司等联合组成，负责制定行业指引，该指引应包括两方面内容：一是制定内部个人资料安全维护计划，保证个人数据资料在网上传输和储存过程中的安全性。该计划应当包括网络个人数据隐私权保护的发展规划、原则，并在系统安全、资料稽核、硬件设备管理、接触人员管理等方面做出规定，从而促进从事网络活动的商业机构自我规范；二是规定各网站制定个人数据隐私权保护政策，并在网站主页的显著位置予以明示。内容包括：告知网站收集个人数据信息的目的、方式、范围、用途；明确告知数据主体对其个人数据信息所享有的知悉权、选择权、支配权等权利及其实现的途径；网站对个人数据信息提供保密和安全措施的承诺及具体措施；数据主体的救济途径：免责情形等。

第二，成立信息中介公司。信息中介公司是指收集消费者信息并向第三方提供详细资料以赚取利润的机构。信息中介公司的服务对象应该面向消费者个人而不是消费者群体。它应具备以下特征：首先，信息中介公司必须明确认识到：消费者信息不是免费的，要想长期获得这种信息，必须对消费者进行某种方式的补偿。这种补偿可以是现金、各种个性化服务或其他形式。其次，必须充分认识公司品牌的重要性。只有在充分考虑品牌及信任的基础上，辅之以有关产品、服务和消费者需求的具有足够广度的信息，才能正确解释消费者的消费偏好，并准确预测未来的消费趋势。最后，为了与消费者建立紧密的联系，信息中介公司和消费者的接触必须具有足够高的频度。

第三，由商务部、信息产业部和个人隐私保护协会联合成立网络隐私保护认证机构，对网络运营商执行个人数据隐私权保护政策的情况进行监督、评估、审查和认证，并准许己通过认证的网络运营商使用认证标志。当网络运营商违反了保护隐私权的行为规则，或被数据主体投诉，就会被取消认证。认证被取消意味着其信用水平的降低，访问该网站的消费者就会减少。这样就可以对网站进行约束和强制，确保各网站能够遵守并执行个人数据隐私权保护政策，从而使个人隐私得到保护。

（三）通过教育提高人们的隐私权保护意识

增强人们的自我保护意识，主动进行防范，积极主张自己的权利，并在权利受到侵害时及时运用法律保护自己的利益，而不只是对侵害事件做出被动反应。如用户经常了解国家答对网上隐私权方面的立法，注意各网站有关收集、使用个人资料的声明及隐私权政策，选择加密程序或选择邮件过滤程序来处理垃圾邮件问题，将重要资料和网络物理隔离，在计算机中安装防火墙等。同时，各网站也应强化用户责任意识，加强对相关政策和条例的宣传，使行为人了解相关法律规定，减少因对法律的不了解而带来的侵害他人隐私权的行为。

参考文献：

[1] 梁慧星.民商法论丛.第20卷[M].香港：金桥文化出版有限公司，2001.

[2] 杨立新.人身权法论[M].北京：中国检察出版社，1996.

[3] 王利明、杨立新、姚辉编著.人格权法(“九五”规划高等学校法学教材)[M].北京：法律出版社，1997.

[4] 张文显.法理学(“九五”规划高等学校法学教材)[M].北京：法律出版社，1997.

[5] (美)E•博登海默.法理学法律哲学与法律方法[M].邓正来译，北京：中国政法大学出版社，1999.

[6] 杨静.网络空间隐私权的法律保护[J].厦门大学学报，2006，（2）：20-22