隐私权和信息时代的隐私保护
发布日期:2003-12-18 文章来源: 互联网
1890年,美国哈佛大学法学教授萨缪尔。D.沃伦和路易斯。D.布兰迪斯在当年《哈佛法学评论》第4期上发表了一篇名为《隐私权(The Right to Privacy)》的论文,这标志着隐私权理论的诞生②。此后,关于隐私权的法理研究和立法活动很快在美国等国家发展起来。
中国由于种种原因,在这方面显得不尽如人意。隐私权作为公民的一项基本权利,甚至没有进入《民法通则》中③。随着互联网技术的迅速推广,关于隐私权的新的法律问题不断出现。隐私权的法律保护也不再仅仅是保障公民基本人身权利的问题,而是涉及到社会经济发展的许多方面,而且与一些信息时代的重要行业(如电子商务、银行业、保险业等需要搜集大量用户信息的服务行业)的矛盾日益突出。
本文试图为法律在保护隐私权和保证信息自由流通之间寻找适当的平衡点,所以始终从信息的角度来看待隐私和隐私权。在形式上,本文首先对隐私和隐私权做一点必要的分析;再反思我国隐私权保护的具体现状及其原因;然后分析信息时代对隐私权法律关系的影响以及部分国家和地区在保护隐私权方面的立法经验;最后以对我国隐私权立法的思考作为全文的总结。
一、 作为特殊的信息的隐私
隐私在法律上的一般意义,指“公民个人的与公共利益无关的私人情事及其物化资料”④。通常所强调的,是隐私的“于他人毫不相干”⑤性,即对他人没有直接的利害关系(这也是界定隐私的标准之一)。但是,隐私作为一种信息,虽然其本身于他人毫不相干,可是“我不犯人”未必能使得“人不犯我”:
按信息论创始人Shannon的定义,信息是“从一系列所给出的符号或信号中选出的统计概率”⑥。这个定义可能略显抽象,但是信息在我们这个时代的巨大作用是有目共睹的。在信息时代,信息成为一种与人才、资金、原料等类似甚或更重要的资源。而隐私作为信息的一种,也处于被觊觎的境地:假如一家公司了解了顾客的个人爱好、生活经历等,自然能投其所好从而获得更大的利润-尽管顾客未必知道他(她)的这些信息已经泄漏。
隐私和其它的信息一样,能够无损坏地复制和迅速地传播。尤其是在互联网上,信息复制和传播的能力几乎是无限的。正是基于信息的这些特点,产生了许多新兴的行业和商业体系,如咨询业、电子商务等等;而一些传统行业也由此发掘出了新的潜力,如银行业、保险业等等。
当然,信息的流动也要受到一些限制:信息的内容必须真实可靠(比如:我国相关法规禁止“散布谣言,扰乱社会秩序,破坏社会稳定⑦”)、而且要在法律允许的范围内⑧。在此前提下,信息流动得越是畅通无阻,对经济发展乃至社会进步就越有利。当然,对从事相关行业的人来说也就越有利可图。
然而隐私的特殊之处在于,它本身就是不该被任意复制和传播的,即使它的内容真实而且合法-传统上之所以要把隐私限定在“于它人毫不相干”的圈子里,就是因为对隐私权人来说,隐私有必要而且有可能不让其它人(或特定的他人)知晓。
可是,正如前文所描述的,在利益驱动下,一些人对于和自己毫无关系的他人的隐私也产生了兴趣-与从前那种名声不好的爱好刺探别人隐私的市井闲人不同,他们要的不是隐私的内容本身,而是这些信息所能给他们带来的利润。套用经济学的术语:他们关心的不是隐私的“使用价值”,而是隐私的“价值”。而目前技术的发展,取走隐私而对方懵然不知也并非难事①。
如果说,隐私在以前只需靠道德约束和生活习惯就能有效地受到有意或无意的保护;那么,在社会急剧变化,尤其是经济利益强烈冲击原有道德屏障的今天,隐私权利义务关系则需要法律的进一步介入。
二、 作为基本人权的隐私权
隐私权又称“私生活秘密权”,目前对此的定义存在较多的分歧,但一般都认为包括对隐私的私人利用权、阻碍知晓权和排除骚扰权②。
人在作为社会成员的同时,也在保持着自身的独立性。无论社会环境怎样变化,人们始终需要保留自己内心世界的安宁。因此,尽管随着社会的变迁和文化的差异,隐私的外延总是具有时间上和地理上的区别,但是隐私权作为人能够成为人的基本权利,是无论何时何地的法律都应该保障的。下面主要探讨关于隐私权的两个问题:
首先,隐私权不同于名誉权。最高人民法院《关于贯彻执行<民法通则>若干问题的意见(实行)》第140条:“以书面、口头等形式宣扬他人隐私,或捏造事实公然丑化他人的人格……造成一定影响的,应当认为侵害公民名誉权的行为。”这种将侵害隐私权比照于侵害名誉权的作法并不合理。
某些侵犯隐私权的行为的确可能造成被侵犯人名誉受损的结果,但是两者之间很难说有必然的联系。在某些情况下,对他人隐私的宣扬甚至会对其名誉(在某些方面,某种程度上)有利,这就置权利人于一种颇为尴尬的境地:1998年,某市一家新闻媒体报导了一户人家为养育年幼的养女而自动放弃生育亲生子女的事迹,本意是为了赞扬这一人家,但是由于在报导中使用了真实姓名,致使该人家的养女得知了自己的身世从而给他们的正常生活造成了不必要的影响。尽管法院最后还是以侵害公民名誉权判处该媒体败诉③,但是这种“比照”已经是非常勉强了。
更为重要的是,正如前文所述,在信息时代对隐私的欲求并非源于隐私的内容本身,而是它所可能带来的利润。也就是说,对隐私的侵犯过程与权利人的名誉完全没有关系。侵权人对权利人的名誉根本不感兴趣,只是将其作为营利的手段,而这种手段完全可以对权利人的名誉丝毫无损。这种情况下再比照侵犯名誉权,显然有悖常理。例如:一家公司因为不经同意就利用顾客的隐私而在该顾客身上赚取了高额的利润,如何“比照”侵犯名誉权?
其次,隐私权一直以来被认为是一种人格权,这是从其“使用价值”的角度来说的。如果从“价值”的角度看,隐私权在信息时代也具有财产权的某些特点。
当然,隐私本身并不是财产,但是从广义的财产权(此种观点为大多数大陆法学者所采纳)概念来看,以具有一定经济价值的物为客体的权利即为财产权,也就是“能够产生部分个人财产的权利”①。隐私作为一种信息,尽管它不是商品,更不能计较财产价值,但是无疑是能产生“部分个人财产”,即有其“经济价值”的。
这“经济价值”的特殊性在于:隐私作为无体物(信息),它的价值并非由其权利人取得,而是要到可能的侵权人手中才能实现,而此时的它已不再是其所有人的隐私,而只是一般的信息了。隐私权的目的之一,正是要阻止其客体(隐私)产生财产,与一般意义上的财产权正好相反,是一种“负财产权”。
在很多情况下,单个的隐私并不足以产生经济价值,需要一定数量的隐私内容有机结合才能产生有价值的信息。例如,在一个社区的居民普遍有某种“不足为外人道”的嗜好,也就是有某些相同内容的隐私。当某生产商未经居民们同意了解了这些情况并对此进行分析、决策,生产出有针对性的商品从而牟利。且不论居民是否愿意以牺牲隐私来换取这些商品(显然在购买时他们是不知情的),该生产商的行为已经造成了居民隐私产生了其权利人无法预料的扩大,侵犯了居民的隐私权。但同时该生产商用来牟利的并不是居民们隐私的简单集合,而是加工后的作为一个整体的信息。
由以上可以看出,隐私权虽然不能说是一种财产权,但也具有了某些类似于财产权的特点。这是由于在信息时代,隐私具有了双重性:既是公民个人的纯粹私事,又有经济价值。因此法律保护隐私权要双方兼顾,既要保证公民的基本人权不受侵犯,又不能使保护隐私成为信息自由流通从而发挥其经济价值的障碍。
三、 我国隐私权保护的现状及其原因
从历史的角度看,我国的隐私权保障的确取得了长足进步,但是与时代的需要相比,还是有相当大的距离。
《宪法》和《民法通则》都规定了保护公民的人格尊严的内容②,而“人格尊严”自然也包括隐私权在内。
但是在实际操作中,由于法律没有明文规定保护隐私权的内容(《刑法》、《刑事诉讼法》、《民事诉讼法》中涉及到隐私的都是关于取证、回避等程序性规范),而最高人民法院的相关解释又将侵犯隐私权比照为侵犯名誉权③,从而使得隐私权的保护实际上非常苍白。甚至于在某些司法者看来,“侵犯名誉权”就是一个筐,各种侵犯人格权的行为都可以往这里装-隐私权的保护也只能依赖于这个“筐”。
在司法实践中,涉及个人隐私的案件仅仅被限制在“个人私生活,尤其是男女关系”④的范围内,“隐私”成了“阴私”的同义词,这不但缩小了隐私的外延,更为严重的是这样不利于公民培养保护隐私权的意识,在立法上也容易造成混乱,与现实的要求也不相适应。
在理论方面,对于隐私权的研究开始得比较晚,而且滞后于时代的现象也比较严重⑤
而关于信息时代的隐私保护,相关的立法几乎为零。在互联网上,充斥这各种网站的“隐私条例”作为对这一法律空白的填充,若再没有法律的统一调整,势必会越来越混乱。
对于隐私权研究和立法上的不足,是可以理解的。中国的传统道德和生活方式,向来是注重团体而轻视个人、讲究绝对服从而反对个人意志。隐私和隐私权作为纯粹的个人私事,不但要受到冷落,而且要被排挤;建国后的一系列政治运动使得公民的私权几乎消失殆尽;再加上我国社会环境和经济水平均处于相对较低的程度上,人们对隐私权保护的关注程度也相对较低(越是经济发达地区,人们对隐私的注重程度就越高);另外,在民法理论上,过于强调民法调整财产关系的这一面,而忽视了调整人身关系的一面①,隐私权也就跟着被忽视。
以上种种,可是作为我国隐私权保护现状的解释,但是决不能成为阻碍隐私权研究和立法的障碍。无论在理论还是在实践上,我国在有关隐私权的问题上还处于“补课”的程度,一些传统领域的课题还有待于解决。
与此同时,随着信息时代的到来,隐私和隐私权又被赋予了新的内容,隐私保护也出现了新的诸多问题-我国由于信息技术的应用和普及尚且在起步阶段,所以隐私保护和信息自由流通之间的矛盾还不非常严重。但是我国信息产业的发展速度是惊人的,在可预见的将来,这一速度还将进一步加快②。因此,我们的研究和立法都必须加快步伐,才能赶上时代的发展。
四、 信息时代对隐私权关系的影响
信息时代对隐私权关系的影响,一言以蔽之,就是造成隐私的失控。
个人用户在互联网上寻求服务,首先需要提供可靠的个人资料,包括个人识别资料(如姓名、性别、年龄、出生日期、身份证号码、电话、通信地址、住址、电子邮件地址等情况)和个人背景(如职业、教育程度、收入状况、婚姻、家庭状况),这其中不乏个人隐私,然而这是服务系统能够运作所必要的。但是,一旦用户将这些信息输入互联网,实际上就已经失去了对隐私的控制权。
虽然每一个商业网站都会宣称自己拥有完善的隐私保护体系,可是这种承诺只能依靠网站自觉维持,缺乏相应的法律监督机制,而客户作为隐私权的权利人却只能处于弱势。美国在线(AOL)曾将其一个用户(该用户是美国海军陆战队队员)具有同性恋倾向的信息泄漏给了美国军方,致使该用户被军方除名③的例子就说明了这一点。
况且从技术上来讲,只要信息上了互联网,就有为其它任何在网上的人所取得的可能性,用户的隐私也不例外。保证隐私不被非法扩散(即“阻碍知晓权”)本是隐私权的一项内容,然而在互联网的技术背景下,权利人(通常是缺乏技术的普通用户)根本没有能力维护这一权利;而提供服务的网站作为受益人,其收益是建立在用户可能的隐私泄漏以及损失的前提之下的,从权利义务相平衡的角度来看,网站应该承担起保护用户隐私权不被侵犯的义务。而且作为商业部门,服务网站应该而且可以有保护用户隐私的技术能力。然而国内许多网站都拒绝承担这一义务,比如在《搜狐网站保护隐私权之声明》中就宣称“下列情况时本网站亦毋需承担任何责任:……黑客攻击、计算机病毒侵入或发作……等影响网络正常经营之不可抗力而造成的个人资料泄露、丢失、被盗用或被窜改等。④”将黑客、病毒等可能造成用户隐私泄漏而在技术上并非完全不能防范的事归为不可抗力,显然是对用户隐私权的一种剥夺。
用户在网上的行动,由于体现了其本人的兴趣爱好、价值取向、立场观点等等,也成了一种隐私。为了获取这些隐私,产生了所谓的“监视软件”。其中应用最广的也许要数Cookies技术。Cookies技术是指:当使用者访问设有Cookies装置的网站时,网站服务器会自动发送Cookies到用户的浏览器内,并储存到硬盘内,此Cookies便负责记录日后用户到访该网站的种种活动、个人资料、浏览习惯、消费习惯甚至信用记录⑤。Cookies技术很明显地体现出了保护隐私和保障信息自由流通之间的矛盾:运用Cookies技术,网站能够为用户提供更加周到的个性化服务,并且提高效率;但同时也把用户在网上的个人行为物化为可以复制、转移的信息,其中当然也包括个人隐私-而且这种监视行为本身,就是对隐私权中自由选择权的侵犯。其它的“监视软件”还有Guest Track、I/CODE、I/COUNT、zBubbles等等。它们关心的就仅仅是用户的各种行动,甚至可以详细到用户所浏览的每一个超链接的内容①。
更有甚者,一些黑客软件可以通过网络进行远程控制,侵入连在网上的另一台计算机,对储存在其硬盘中的资料任意浏览、复制、删除。这已经不再仅仅是侵犯隐私权的问题,而是对公民人身权和财产权的严重侵犯,无异于入室抢劫。然而没有法律和技术上的保护,受害人只能任对方为所欲为。
互联网的应用,按照网络与现实②的关系,可分为三个层次:作为现实产品的网络;作为达成现实目标的工具的网络;与现实关系较小,相对独立的虚拟网络环境。在这三个层次中都存在隐私权失控的可能性。
其中,第三层次的网络对网络技术和互联网普及程度的要求都比较高,在国内还处于萌芽状态。但是互联网的普及和技术的发展速度永远是惊人的,不排除在不远的将来出现完全自成一体,能与现实相对的虚拟网络世界,而其中的隐私和隐私权又会有其特殊性。只是现在就谈及这方面的法律保护还缺乏现实基础,为时尚早。
第一层次的网络,比如ISP(因特网服务供应商)提供的上网服务、email服务等等,是完全作为现实的附庸而出现的,即使涉及隐私权的问题,基本上也是属于传统的范围。
第二层次的网络,比如电子商务、论坛、新闻组、聊天室等等,是前文所阐释的新型的隐私失控最为集中的地方。作为前沿性和现实性的结合部,也是立法、司法难度最大的地方。在实践中,这里最需要规范调整而又相对缺乏法律介入,使得技术强权取代了法律行使调整的职责(例如前面所提到的各大网站单方面提出各种服务条款要客户接受,也是建立在技术优势的基础之上的)。因此,这里也应该是理论研究和立法工作所重点关注的。
五、 部分国家和地区隐私权立法的借鉴
在一些网络技术成熟的国家和地区,关于网络隐私权的法律保护也比较成熟,而且各有特色,其中不乏值得借鉴和参考的内容。
美国是互联网技术最发达的国家之一,在法律传统上也比较重视个人的隐私。1974年通过的《联邦隐私法案》,主要从行政的角度出发,对政府应当如何搜集资料、资料如何保管、资料的开放程度等都做了系统的规定。以这一法律为典型,再加上其它相关法律,构成了比较完整的隐私保护体系。
在民事方面,由于美国传统和生活习惯上比较注重隐私的保护,所以法律在这方面涉入不多。即使在商业领域,业界也非常强调自律,尽量避免政府法令的介入③。当然,在自律的基础上也存在法律的调整,尤其是在新技术、新行业方面,如1986通过的《电子通讯隐私法案》④。
此外,对于未成年人,也有专门的法律。如1998年通过的《网上儿童隐私权保护法》⑤规定,搜集12岁以下儿童的资料时,须获得家长的同意。这一点也为我国的一些网站所借鉴⑥。
欧洲也是互联网技术发达的地区。早在1973年,瑞典就制定了有保护隐私权性质的《数据法》⑦,并且成立了“瑞典数据监督局”。1995年,欧盟发布《欧盟资料保护指令》⑧,在保护隐私权方面将欧盟国家作为一个整体纳入了法律调整的范围内。
与美国相比,欧洲国家更强调通过法律的手段调整社会关系,尤其是新技术带来的充满未知数的新型社会关系。在法律保障方面也更显得稳重。《欧盟资料保护指令》第25条规定:有关跨国资料传输时,个人资料不可以被传输到欧盟以外的国家,除非这个国家能保证资料传输有适当程度的保证。而这个“适当程度的保证”的要求之高,连美国都未能达到①。
欧盟的这种规定,显然是在保护隐私权和保障信息自由流通的选择中将重心向前者倾斜。这固然是出于保护公民的基本权利。但是由于欧盟经济上和技术上的优势,其它许多国家都需要从欧盟输出资料信息,其中不可避免地涉及到一些个人资料,而欧盟的这一规定使得其它经济上有求于它的国家在立法建制等方面不得不向它靠拢,这对欧盟在国际竞争中显然是非常有利的。同时也应看到,欧盟由于在隐私保护等方面过于死板,对其经济发展也产生了一定的负面影响。
我国的香港特别行政区在保护隐私权的立法方面也是卓有成效的。1996年12月20日生效的《个人资料(私隐)条例》②作为其基本的法律依据。同时成立“私隐专员公署”作为专门的监督机构。
在条例中,对“个人资料”(也就是隐私)的定义采用了纯客观的方法:“「个人资料」(PERSONAL DATA)在法例上的定义是任何资料:直接或间接关乎一位在生的人士及由此而可直接或间接确定某一位人士的身份;及其形式可供获取或处理。例如:身份证号码、出生日期、电话、地址、年龄、健康纪录等。”与关乎主观感受的“私人情事及其物化资料”相比,隐私更加容易界定。但是如果随着时代的发展,隐私又有了新的外延,则它的时滞性就比较明显了。
条例规定了“保障资料”的六大原则作为总则,还规定了相关的刑罚以及进行某些搜集工作时的具体行动方法,甚至规定了电话调查时应尽量避免打用户手机等极其琐碎的内容。
值得注意的是,香港地区的法律在隐私保护方面明显地向欧盟相关规定靠拢③,这是对前文关于欧盟相关立法的评述最好的注解。
六、 对我国信息时代隐私权立法的思考
正如前文所述,我国隐私权研究和立法的现状是“补课”尚未结束,又有了“新课”。无论新课旧课,都是社会发展的需要,也都受到社会的实际经济生活条件的制约。
我国互联网技术的普及程度是非常迅猛的。根据中国互联网络信息中心在2000年7月发布的《中国互联网络发展状况统计报告》显示,我国上网用户人数1998年7月为177.5万,而2000年7月则飙升至1690万。在“网民看好的网络事业”中,包括网上购物、网上学校、网络通信、网上有偿信息服务、虚拟社区等等。而这些领域基本上还是法律的盲点,这对于信息产业乃至整个经济的健康发展都是不利的。
互联网是一个矛盾体:一方面,“在网上没人知道你是一条狗”;另一方面,各种监视技术可以获取许多在以前根本无法得到的他人隐私。如果说,传统的隐私权观念更注重消极的权利,即个人不受他人干涉的权利;那么在这个隐私随时可能失控的时代,法律应该更加注重积极的权利,即个人对隐私的主动控制权。
在个人资料的收集、保管、使用等各个环节中,法律应该明确资料所有人的各种权利,包括选择权、知情权、修改权等等。从所有权人的角度看,这样是为了保护其隐私权不受侵犯;从信息流通的角度看,这既能限制了隐私权的滥用,也能为了维持信息的完整、准确、适当,保证信息的流通顺畅。
保护隐私权也涉及到一些行政行为,政府对个人资料的收集(例如人口普查)也要有相应的法律规范,以确保资料所有人的权利;对于侵犯隐私权的责任,除了民事责任外,还应该有刑事责任:例如本文第四部分提到的远程控制他人计算机资料的行为,其危害显然是足以构成犯罪的;而不适当地扩散他人资料,也很有可能对资料所有人的生活质量造成巨大的破坏,构成犯罪。因此,不仅要在《民法典》中确立隐私权的位置,而且在刑法、行政法中也要注意相关的立法。条件许可的情况下,也可以考虑专门制定单独的隐私权法。
保护隐私权,必然会涉及到互联网管理的内容。在这方面有两点值得关注:
首先,目前的互联网还是技术左右一切的时代,在某种程度上,技术甚至取代了法律的部分调整职能-这是互联网作为新技术所不可避免的。对于互联网的法律管理,不是简单的法律调整代替技术调整,而是将技术调整纳入整个调整体系内,让它继续发挥作用(实际上技术始终会发挥调整作用,无论立法者是否愿意),法律与技术应该结成盟友而不是对手。
其次:互联网把全球的信息几乎平等地囊括进来,互联网的管理也不再是一个国家、一个地区的事,而要注重国际性。事实上,这是国际竞争的体现。将互联网连到国外的通道全部封死,这对于某些部门、某些时期来说可能是必要的,但这种有悖于互联精神的作法决不是管理互联网的有效方法。从国际竞争的角度看待互联网的法律管理,才是保障人权和促进经济的应有之意。
旁观一些发达国家和地区的隐私权立法,固然是以保护其公民隐私为目的,但也不乏以自己为中心不惜损害别国利益,甚至谋求信息控制霸权的作法和企图①。中国若不及时行动,在不久的将来,当全球性的统一信息系统形成、信息时代的游戏规则已然确定时,势必处于十分被动的境地。