探讨网络隐私权保护模式与立法框架

【网络隐私权】探讨网络隐私权保护模式与立法框架

互联网的飞速发展在造福人类的同时，也给侵犯个人隐私带来了极大的便利。不仅在网上散布个人隐私破坏性强，而且商家可以利用网络的便利收集、分析、利用个人数据，以便更有针对性地销售，降低交易成本，提高商业效率。人们一方面在网络上留下了许多学习、工作、生活的踪迹，一方面又要为自己保留必要的私人空间，不愿自己的私密被了解太多，使自己行动受限……对于隐私权保护在网络时代出现的种种新问题，欧美等网络业较发达国家已进行了许多有益的探索，不论在技术上还是在立法上都积累了许多先进的经验，本文尝试对这些国家的网络隐私权保护从立法模式与立法框架上进行比较分析，以探求我国的相关立法思路。

一.保护模式

美国在网络隐私权保护方面主要是采取政策性引导下的行业自律模式，国会立法只起到补充与辅助的作用。

早在1995年7月，克林顿执政时期，美国政府就正式提出了个人数据的保护原则，表明自己保护个人隐私权的立场。其在所成立的信息基础设施特别工作组下专门设立了保护隐私工作组，该工作组在其后公布的一份题为《个人隐私和国家信息基础设施：个人信息的使用和提供原则》的报告中，提出了一整套关于个人信息的收集、加工、存储和再利用的原则。然而，这份报告仅表明政府保护隐私权的态度，并无法律效力。 [1]

在1997年7月1日，白宫发布了《全球电子商务架构报告》，指出政府对于网上商业活动应避免过多的法律限制，而应采取市场导向原则，以发展全球性、透明化以及可预期的法律环境。联邦贸易委员会在其1999年7月13日公布的一份报告中也指出：“我们相信有效的业界自律机制，是网络上保护消费者隐私权的最好的解决方案。”

可以看出，美国政府一直以来都是将鼓励自由竞争，发展行业自律作为自己的首选政策，以避免对市场造成不当的限制。当然，美国也通过了一系列保护隐私权的法律法规，但是就是在《网上儿童隐私保护法》这唯一的一部关于网络隐私的立法中，也没有放弃行业自律的政策。该法规定，“网站运营商或者在线服务提供商自行订立自律计划而获得联邦贸易委员会的认可时，可以由于其使用模式包含了该法的规定而被认定遵守了该法的规定。”表明了法律的从属地位。并且，虽然国会通过的若干项法律都涉及到了在线隐私的保护问题，但法院看起来更愿意让这些法律来限定而不是用这些法律来扩张“隐私领域”的边界。 [2]以减少对网络服务商收集个人数据的限制。

美国的行业自律主要有以下四种模式：

建议性的行业指引。如美国在线隐私联盟于1998年6月公布了它的在线隐私指引，要求其成员同意采纳和执行其隐私权政策，其目的仅仅在于指导和畅通，并不监督成员的遵守情况。

网络隐私认证计划。如美国电子前线基金会与commerce. net共同发起成立了旨在倡导网上隐私的非盈利性机构Truste，对符合不同自律标准的网站颁发认证证书。各网站因此而向消费者表明自己是对消费者网络隐私负责的网站，这种标志便于消费者识别，具有商业信誉的意义。它与建议性的行业指引的不同之处在于，行业指引是适用于同一行业内部的，而他是跨行业的。

技术保护模式。如“个人隐私和选择平台”软件，提醒消费者哪些信息会被收集，由消费者自行决定是否“进入”或“退出”该网站。

安全港模式。如2000年6月美国与欧盟签署的个人数据保护协议，被称为“安全港协议”，由商家自愿参加，但参加的机构必须公开宣示完全接受安全港七项规范原则，每年以书面资料向商务部自我证明其确实遵循这些原则并陈述依附于安全港原则的公开隐私政策声明。只有如此，美国商家获取欧洲消费者个人数据资料的行为才为合法，否则即视为从事商业欺诈行为。

除此之外，行业自律仍需要有相应的行业内的申诉机制、查验机制、评估机制、争端解决机制及制裁措施等配套制度的设立，以加强行业自律公约的执行力度。

可以说，美国在网络隐私权保护方面采取这种行业自律的模式是有其考量的：

第一：美国是市场经济高度发达的国家，历来都崇尚市场的自由竞争，避免政府干预对之造成不当影响，就当今世界而言，美国是电子商务业最发达的国家，通过电子商务进行的国际贸易额位居世界之首，作为既得利益者，限制一旦作出，代价是巨大的，积重难返，因此每一项限制的作出，都要求慎之又慎。白宫在其《全球电子商务政策框架》中指出：“只有当个人隐私和信息流动带来的利益取得平衡时，全球信息基础设施上的商务活动才能兴旺起来。”并且就目前而言，对于各种限制性条款的作用仍不能确定，是否确能保护隐私仍不得而知，在尚未做出明确的法律与事实分析之前，贸然地限制将带来巨大的风险。

第二：在观念上，虽然美国有注重公民隐私保护的传统，但自互联网业迅速发展以来，隐私利益逐渐被视为一种重要的财富，强调个人信息的利用价值，并认为商家收集到的个人数据大都是通过与消费者自愿交易而来的，不应再具有较高的隐私期待。并且，美国的隐私权观念也是建立在自由基础之上，比起商业的言论自由并不具有更高的利益。只有当对隐私权的侵害危及生命安全时，商业利益才会考虑退居其次。如《1994年驾驶人员隐私保护法》在国会得以迅速通过，正是由于1989年丽贝卡 谢弗被谋杀而引起的公众忧虑。被害人的家庭地址正是凶手从机动车记录中得到的。即便如此，商业利益仍未完全被立法舍弃。这部法律仍规定了太多的例外，以至于“不列颠哥伦比亚隐私保护委员会”的大卫 弗拉赫蒂指责说，任何真心想接近这些记录的人都会得到这些记录的。 [3]

第三：美国互联网技术高度发达，也已经发展了相当一段时期，不仅行业本身已具规模，而且具备行业自律的技术条件与经验基础。消费者对网络隐私权的自我保护意识日益提高，客观上也给行业自律施加了一定的压力。并且，网络隐私权保护在不同的行业有不同的要求，通过自律性公约的制定可以依不同的产业和商业行为，有弹性地调整其内涵，以为消费者提供更佳的保障。

第四：立法往往滞后于实践的发展，尤其在互联网业，技术的迅猛发展更使得立法不能满足保护的客观需要，甚至制约了技术的进一步发展。并且，美国是联邦制国家，各州立法的差异与法律效力的区域性，与网络的无边界性极不相称，通过行业自律，制定自律性公约可以克服地理上的限制，提高管制的效力，节约立法成本。另外，美国作为一个判例法国家，可以通过法官在审判过程中就个案进行裁判来确立新的规则。然而这种途径往往仅能提供事后的救济，无法起到事前预防的作用，通过设置自律性行业公约把规则细化，则可以弥补这种缺失。

第五：除此之外，美国还可以通过互联网掌握其他国家的用户甚至是国家的隐私和机密，以达到控制其他国家巩固自身霸权地位的目的，具有战略性意义。

尽管美国以行业自律为政策导向，但这种自律模式并不绝对，美国政府也十分重视在隐私权保护方面的政策引导与督促。在《个人隐私和国家信息基础设施：个人信息的使用和提供原则》的报告中，分别面向国家信息基础设施参与者、信息使用者、提供信息的个人等共提出三大块十一条原则，并提出了信息收集和使用的三项价值标准。在《全球电子商务架构报告》中，对于国际间应共同努力的方面也提出了九项建议，包括对消费者隐私保护的建议。FTC也针对网络上个人数据及隐私权益的保护，制定了四项“公平信息准则”，[4] 要求网站加以遵守。此外，个别州设有隐私权保护办事处，主要从政策上加以引导，对相关部门提出建议，对公众进行宣传教育，并提供非正式的纠纷解决机制，这类政府机构主要以服务为导向。

另外，美国国会在保护隐私权方面也做了不少的立法工作，对行业自律性保护进行补充。

还需注意的是，行业自律保护模式仅限于商业领域，调整业者与消费者之间的关系，而网络隐私权保护的其他领域仍然倾向于立法规制。

行业自律保护模式的推行并没有使网络隐私侵权问题得到解决，由于其缺乏统一的标准与强制执行力，实施效果并不明显。FTC从1998年到2000年间对行业自律的情况进行连续三年的监控之后，发现只有20%的网站在收集个人数据时遵循政府提出的指导方针; [5]一些通过Truste认证的互联网络巨型企业如Microsoft、Deja、Realnetworks的网站都被指控有侵犯用户隐私权的行为;大多数面向儿童的网站仍然无视儿童的隐私权和儿童网上隐私保护法的要求;一些网站的隐私声明过于冗长费解，充斥着晦涩的法律用语，原本是要提醒消费者注意隐私问题，结果却阻碍和误导了消费者;工具性的技术保护软件本身的安全性和可信度也令人担忧。民众普遍认为业界自律远远不够，鉴于互联网个人信息被盗取的现象越来越严重，必须有政府立法的介入。据1998年美国“图形、视觉和应用型组织”对10000多名网上用户的调查显示，72%的用户认为应该有新的法律保护网上隐私。尔后，在美国《商业周刊》进行的民意调查中，53%的受访者认为政府应该通过法律规范网上个人信息的获取和利用，这一数字比认为政府应该让行业组织自愿制定隐私标准保障的人高出3倍。 [6]在这种情况下，FTC的态度发生了微妙的变化，在2000年5月向国会提交的年度网上隐私报告中，FTC在要求国会继续推行行业自律的同时，也授权它在个人数据使用通知、消费者的选择权等四个领域建立国家标准，并在行业组织无法解决问题时进行干预;其在之后两年的每年春季听证会上也都威胁使用立法手段保护隐私。 [7]

与美国不同，欧盟在网络隐私权保护方面采取的是立法规制的模式，通过一系列指令、准则、原则、指南、建议的制定，要求在成员国国内建立起有关网络隐私权保护的统一的法律法规体系。除了在欧盟各成员国间统一法律标准，欧盟还努力将其制定的规则上升为国际标准，通过对个人资料转送给第三国的情形进行限制，对与其成员国进行商业往来的非成员国提出要求。

欧盟在网络隐私权保护方面采取立法规制的模式同样也是有其考量的：

欧盟作为国家间的联盟，除了存在共同的利益基础外，还需以统一的法制作为整合统一市场的纽带，通过协调成员国间数据保护的法律规定，统一标准以保证个人数据能够在成员国间自由流通。

在观念上，欧盟一直以来都把隐私权视为一项基本人权，并且在经历了二战德国法西斯对人权的任意践踏之后，对人权保护尤为重视。欧盟议会在其1995年10月24日通过的《欧盟个人资料保护指令》中，首先确立了保护自然人基本人权及自由，尤其是关于个人资料隐私权保护的原则。虽然该指令第9条要求成员国允许某些言论自由的情况作为隐私权的例外，但只有当信息隐私权于言论自由的妥协实属必要时才可适用。2004年“9.11”事件发生后，欧盟特别召开欧盟理事会部长会议，向欧洲议会提出建议，要求电信运营商保留各种信息记录从而方便法律执行机构获取来从事有关的调查活动。但是受到了欧洲议会、欧盟委员会、欧盟委员会信息隐私工作组的强烈反对。欧盟委员会下属的信息隐私工作组向欧盟委员会提出了正式的咨询意见，认为信息主体保护其个人信息的权利是由两个欧盟指令所确定下来的，是公民在民主社会中的基本权利，同时也是得到了《欧洲人权公约》和欧洲人权法院的相关判例的承认 ，并且也要考虑为恐怖主义——已在欧洲存在了相当一段时间，并非临时的情况——采取临时措施可能对信息隐私的保护所产生的长远影响。 [8]由此可见隐私权在欧洲社会中所具有的基础地位。相比较之下，个人数据的利用价值与自由流通所能带来的利益就显得不那么重要了。

在国际竞争中，欧盟网络业发展滞后于美国，又受到美国网络霸权的威胁，通过高标准的立法，可以遏制美国电子商务业务在欧盟的开展，以达到在网络经济中与美国抗衡并与之平分秋色的目的。

尽管欧盟构建的网络隐私权保护框架较为完备，但其实施也遇到障碍。截止到保护指令期限到期日止，以欧盟个人数据保护指令内容为标准完成配合立法者，仅有希腊、意大利、葡萄牙、瑞典等六个国家，还有九个国家违反了欧盟指令的要求，这一进展也造成美国自律条款与欧盟个人数据保护指令两者之间磋商进程的迟滞。

美国行业自律模式为电子商务的发展提供了一个相对宽松的环境，但由于其本身缺乏强制性的保障措施，消费者的隐私权往往得不到切实有效的保护;并且放任自由的管理模式与市场逐利的短视性极易导致“劣币驱逐良币”的后果发生，一旦某个网站经营者违规收集个人信息进行赢利活动，难以保证其他商家不会跟进，以致恶性循环。 [9]

欧盟立法规制的保护模式为个人数据保护提供了一套严格细致的规范，但对网络服务商的严格限制在一定程度上会增加以这些服务商为代表的整个信息产业的成本，挫伤行业发展的积极性。并且，网上搜集隐私材料所使用的方法、搜集隐私材料的用途、已经或可能给用户造成的影响都不可能在现有的技术条件下得到一个明确的答案，这就意味着政府主导型立法模式从总体上来讲还不具备统一的立法基础。 [10]成文法本身的滞后性与不完备性，也不能为网络隐私权提供充分的保护，僵化的立法还会阻碍技术的进步，对经济发展造成负面影响。

互联网本身的无边界性与高技术性，使得行业自律模式的经验很值得中国借鉴，但是中国也要充分认识到自身的国情。

我国的法制建设这几年虽然有了长足的发展，但仍不健全，市场经济法制建设仍不成熟;在对市场主体的规制，对消费者的保护上，仍存在许多缺失。现有的法律尚不足以应对行业自律放开后维护市场秩序的基本需要。并且，我国是成文法国家，法律规定是我国国内法的主要渊源，法官不能通过判例对规则进行发展，即使有司法解释，效力层次也太低，不足以发挥保护的作用。

我国的互联网业刚起步不久，电子商务的发展仍很不成熟，应在发展伊始，就对消费者隐私权益投以足够的重视，进行一些基本要求的立法，使行业在法制的基础上走上轨道、健康发展，而不要等到积重难返的时候才有所行动。并且基于行业本身还处于初步发展阶段，经验积累与技术条件还很薄弱，国家应承但起主要的保护角色。

虽然美国与欧盟的保护模式都存在不足之处，但就他们的价值取向而言却又都是最佳的。美国注重为网上交易提供宽松的政策环境，强调“任何对互联网的规制不应阻碍其发展”;其对网络隐私权的保护很大程度上也是为了增强消费者的信心，以促进网上交易的发展。欧盟则注重对人权的保护，在个人数据的自由流通与安全方面，把重心倒向后者。那我国的价值取向与政策重心又在哪里呢我国一直以来都以维护国家安全与社会稳定为根本，国家本位的价值取向使得我国对个人权利的保障极其薄弱，缺乏隐私保护的传统，消费者自我隐私权保护的意识也严重不足。在这种情况下，立法的放开势必会对个人的隐私权益造成更大的冲击，极易使个人的权利被抹杀在对利润的盲目追逐中。目前我国有存在的网站隐私政策公告等行业自律措施较显简单，并且附有过多免责条款，不足以对消费者隐私权提供足够保护。为了与国际接轨，改善我国的权利保护环境，保障公民的人格尊严与独立，应对个人隐私权予以充分的保护，政策上应倾向于保障基本人权。

并且正如前已述及，行业自律模式仅限于商业领域对个人数据的保护，在网络隐私权保护的其他领域，立法规制仍是主要模式。因此，建议我国在网络隐私权保护上采取立法规制模式，并辅之以政策引导下的行业自律。

二.立法框架

在网络隐私权保护的立法框架方面，美国与欧盟也是各具特色：

美国虽然以行业自律为主要保护模式，在立法规制方面还是有诸多成果的。美国是典型的联邦制国家，存在联邦与州两套立法体系。在联邦立法方面，美国主要是从宪法及联邦制定法两个层次为网络隐私权提供保障。美国宪法或者权利法案中并没有明确提及“隐私权”这个概念，许多隐私权判决是以第四修正案为基础的。该修正案规定：“人民享有人身、房屋、文件以及物品安全、不受不合理搜查、逮捕和没收的权利不容侵犯，除非有正当理由、并且特别指明了需搜查的处所、需逮捕的人或者需没收的物品，否则不得签发任何搜捕令。”1965年，美国联邦最高法院判定权利法案中隐含有“隐私的领域”。 [11]然而，联邦宪法中的隐私权保护仅适用于对抗联邦或州的政府行为。

在联邦制定法方面，早期的国会立法主要局限于规制政府的行为。如1974年《隐私权法》规定了美国联邦机构在收集和使用个人资料时须遵守的规则; 1980年《隐私保护法》对于来自政府雇员的搜查和没收行为进行规制。到80、90年代，随着互联网业的迅猛发展，来自非政府机构的隐私权侵犯问题日益严重，对非政府机构进行规制的相关立法也逐渐增多。如1986年通过的《联邦电子通讯隐私法案》及2000年生效的《儿童网上隐私保护法》，规范对象都是商业性的相关网站。除了这些一般性立法外，美国国会也针对某些特殊领域隐私权保护进行专项立法，如1988年《录像带隐私保护法》禁止披露个人租看录像带记录;1994年《驾驶员隐私保护法》禁止各州驾驶员执照登记机构未经特别授权就出售或披露个人信息; 2001年格莱梅-里奇-布利雷法规定了金融机构最低限度的个人数据保护标准。此外，在其他立法中也散落着不少隐私权保护条款，如1991年《电话消费者保护法》。

更多精彩内容请进入专题