网络环境中消费者隐私权面临的挑战与对策

彭惠梅 甘守义

[摘 要] 加强网络环境下消费者隐私权保护是促进电子商务发展的必然要求。在电子商务环境中,消费者隐私权既体现为人格权,又体现为信息财产权,其受侵害的主要形式是个人信息被任意收集、被再次开发利用和非法转让。针对中国目前没有明确的保护隐私权的法律条款的现状,中国应建立收集个人信息的主体许可制度,确立个人数据收集使用的基本原则,科学设置免责条款。

[关键词] 网络;消费者;隐私权;名誉权;对策

[中图分类号]D923.8

[文献标识码]A

[文章编号] 1673-5595(2009)06-0066-(04)

在当前信息时代,个人信息已经成为一种与人才、资金、原料等类似甚至更重要的资源。然而,随着电子商务的迅猛发展,消费者越来越关心如何保护隐私权。互联网为个人信息的收集与传播带来了前所未见的快捷,为个人信息的商业利用创造了极大空间,但这把双刃剑也同时使得人们的隐私处于被觊觑的境地。

一、网络环境中的隐私权范围及属性的界定

在对隐私权的已有研究中,学者多从纯粹思辨的法哲学层面对隐私权进行权利论证,主要关注的是隐私权的正当性问题,而对隐私权的实证分析关注不够。电子商务是一种追求效率最大化的商务形式,传统的缺乏效率意识的隐私权权利论证很明显已不能适应电子商务的发展。传统观点认为隐私权即指私人生活安宁不受他人非法搜集、刺探和公开等,[1]属于人格权的范畴,其客体是个人秘密。关于隐私和隐私权的范围学界一直都在争论,有的学者甚至认为“试图给隐私下一个一般的定义比找到一个大家都能接受的自由的定义更难”[2]13。笔者无意于给已有的各种隐私权理论妄下断语,而是将集中关注适应电子商务环境的“信息控制理论”[3]。美国有的学者认为,无论是在普通法上还是从隐私的字面理解,隐私权都包含了个人对关于他(她)本人的信息的控制。[2]254笔者认为,电子商务环境下的隐私权带有信息、身体、财产和决定等方面的含义,至少涵盖对于个人资料支配权、利用权和维护权及个人私事或私生活的隐蔽或隐瞒权、保持个人生活和领域不受干扰和侵犯的权利,并且在电子商务运行中,易受侵害的消费者的隐私主要涉及个人资料的支配利用权和个人生活安宁不受侵犯权。

在网络环境下,个人资料并不仅仅局限于民法隐私范畴的信息。英国1998年《数据保护法》作了一个较全面的界定:“个人数据指与可识别的活着的个人的数据组合,包括数据控制者占有或可能占有的其他信息,任何关于该个人观点的表述、数据控制者或与该个人有关的其他人意图的表示。”[4]在网络环境下,个人资料不仅可以自己用于商业目的,而且有时被作为“信息产品”进行买卖。笔者认为,消费者被纳入保护范围的个人资料主要包括:特定个人信息(姓名、性别、出生日期、身份证编号)、敏感性信息(宗教信仰、婚姻、家庭、职业、病历、收入、经历)、E-mail地址、IP地址、Username与Password。这些个人资料属于消费者个人所有,这也意味着消费者对其个人资料拥有民法的权利,即控制权、收回权、知悉权、修改权和请求司法救济权。上述五种权利既是法律对个人资料保护而赋予的个人权利,也是个人资料隐私权的主要内容。

在中国目前的法律实践层面上,隐私权仅仅囿于人格权的范畴,是“寄生”于名誉权下给予保护的。笔者认为,在电子商务环境中,隐私权应该被视为财产权。在电子商务中,网络运营商利用消费者个人信息进行广告宣传,或其他营利操作而侵害消费者权益。可以说,随着网络技术的发展,个人信息已经具备了商品交换价值。故笔者认为,将私人信息的权利配置给个人,个人就能够控制其私人信息从而形成对其私人信息的财产权。隐私权必须被视为一种财产权,只有这样它才能够被转让并最终能由受让人予以利用。[2]290私人信息财产权允许将私人信息的收益内化,任何其他人都不得无偿使用该权利资源。只有支付对价后,才能使用该权利资源,这样既能促进电子商务的繁荣发展,又能最大限度地保护消费者合法权益。

二、网络环境中消费者隐私权受侵害的主要形式

根据上文论述,在电子商务环境中,消费者隐私权主要内含个人信息控制权、个人私事隐蔽权和个人生活安宁权,其中个人信息控制权最易受到侵害,本文主要涉及个人信息控制权受侵害的形式。

(一)任意收集个人数据

当前电子商务经营者为自身经营目的或其他特定目的,经常任意收集和使用消费者个人信息。电子商务经营者收集消费者个人信息的主要方式是IP跟踪。在互联网上,每个用户都会被分配给一个唯一的IP地址。每一个被访问的站点都会得到该用户的IP地址。这些地址可被用来产生出一份该用户的记录,服务商可以根据该记录,清楚地了解到用户网上的行踪。网络服务商还可以通过“网络小甜饼”(cookies)之类的追踪软件来追踪用户在网上的行为,收集其兴趣或者其他个人可识别信息,然后根据这些信息,向消费者有针对性地发送广告,或者把这些信息出售给他人。这样,人们在任何时间登录任何一家网站,浏览任何一条新闻,选择、比较任何一种商品,都会被网络服务商详细记录在册。更为可怕的是,有人通过网上病毒程序非法收集个人资料。2004年8月18日,江民科技公司截取一款“黑洞”病毒,该病毒能够自动搜索用户客户端,并且能够绕过部分防火墙直接“植入”用户电脑中。它不但能够像“蜜蜂大盗”那样自动开启用户的摄像头偷窥隐私,盗取用户所有密码,掌控用户电脑的所有资料,而且还具有录音功能,能够偷录下用户语音、视频聊天的一切隐私。收集个人数据的另一种常用方法是,当消费者在上网浏览或者购物的时候,被要求填写含有个人数据的表格。还有的经营者以市场调查、会员注册的方式收集个人数据。通过病毒程序或者窃听程序等手段在消费者不知情的情况下收集个人信息明显侵害了消费者的隐私权情况,不再赘述。即使在消费者个人知息的情况下收集其个人信息也可能构成侵权,是否构成侵权关键取决于网络服务商再次使用所收集的个人数据是否超过必要的范围,是否经过消费者本人的授权。

(二)深层次开发利用个人数据

在电子消费或交易中,消费者提供必要信息只允许用于其本身的目的,而不能用于其他目的,更不能被散发或任意传播甚至被出卖。未经当事人同意,个人资料被用于与收集的个人资料事由无关的目的即为不正当的利用。当前,许多网络服务商都不公布其所收集的个人信息的使用政策,也不承诺不将这些信息用于规定目的、范围之外的活动,经常将收集到的个人数据进行再次开发利用,建立起种种类型的资料库。实际上,电子商务中的个人数据不但具有价值,更有成为商品的可能。现实中,个人数据已经成为商品在网络上买卖,甚至出现了专门的公司公开在网站上推销个人数据。[5]

(三)非法转让个人数据

个人数据被不当利用还表现为个人数据被擅自非法转让。个人数据在电子商务中的流转主要有两种形式:一种是商家之间相互交换各自收集的信息,或者是与合作伙伴共享信息。这种共享使个人数据用于交易以外的目的,使个人数据有可能被更多的商家知晓和利用,无异于变相侵害个人隐私。另一种是将个人数据作为“信息产品”销售于第三人或转让给他人使用。由于这种方式将个人资料商品化却没有向消费者个人支付任何对价,所以笔者认为这是对个人隐私侵犯最为严重的一种侵权行为。美国最大的网络广告商 Double click 公司就因不当获取及销售网络个人材料而曾受到指控。

在传统的商务模式中,公民的隐私权虽然也会受到不法商人的侵害,但其侵害的范围和程度都远远不能与电子商务相比。IP地址被跟踪,隐私信息被非法出售,账户密码的泄露,邮件炸弹的肆虐,都给个人带来难以想象的后果和网络秩序的混乱。网络隐私所带来的巨大经济利益和黑客技术的发展,使得消费者的隐私保护之战将长期存在。

三、美国在网络环境下保护公民隐私权的主要做法

美国在法律传统上比较重视个人的隐私保护。1971年通过的《联邦隐私法案》是美国最重要的一部保护个人隐私权方面的法律,该法案从行政的角度出发,对政府和法律执行机关如何收集资料、保管资料、资料的开放程度等都做了系统的规定。在民事方面,由于美国的传统和生活习惯上比较注重隐私的保护,所以法律在这方面介入不多,即使在商业领域,业界也非常强调自律,尽量避免政府法令的介入。美国在网络环境下保护公民隐私权方面主要通过行业自律模式。美国联邦贸易委员会认为,网络隐私保护的宗旨在于评估网络市场中的信息收集行为对于消费者的影响,并鼓励和促进有效的行业自律,把这种行业自律作为保护消费者网上隐私的首选政策,并创造了许多新颖形式:

(一)建议性的行业指引

美国的在线隐私联盟(OPA)是美国的一个产业联盟,于1998年6月22日公布了它的在线隐私指引,该指引适用于从网上收集的消费者个人可识别信息。但OPA只是一个制定政策建议的产业联盟,它本身并不监督成员的遵守情况,也不制裁违反指引的行为,它的作用仅在于为网络隐私的保护提供一个广为接受的范本。

(二)网络隐私认证计划

网络隐私认证计划是一种私人行业实体致力于实现网络隐私保护的自律形式。该计划要求那些被许可在其网络上张贴其隐私认证标志的网站必须遵守在线隐私资料收集的行为规则,并服从多种形式的监督管理。它使得消费者易于识别那些遵守特定的信息收集行为规则的网站,同时也便于网络服务商显示自身遵守规则的情况。这意味着网络隐私认证计划的认证标志具有商业信誉意义,是一种特殊的认证标志。

(三)技术保护模式

技术保护模式是通过某些隐私保护的软件,将保护消费者隐私的希望寄托于消费者自己手中。在消费者进入某个收集个人信息的网站之时,该软件会提醒消费者什么样的个人信息正在被收集,由消费者自己决定是否继续浏览该网站,或者由消费者在软件中预先设定只允许收集特定信息,其他信息不允许收集等等。

在当前网络个人隐私缺乏有效的立法规制的情况下,行业自律不失为一种有效的规则模式,而即使制定相关的法律,行业自律仍然不会因而失去其存在的价值和意义。笔者认为,单纯靠行业自律还难以有效保护消费者的个人隐私权。事实上美国联邦贸易委员会和美国国会已经在寻求机会将立法嵌入到因特网上去。

四、中国网络环境中消费者隐私权保护现状

当前,世界各国对隐私权保护方式存在明显差异。美国、法国、德国等国家采取直接保护方式,承认隐私权为一项独立的人格权,当个人隐私受到侵害时,受害人得以侵犯隐私权为由提起诉讼。而中国采取间接保护方式不承认隐私权为一种独立的民事权利,而是把其当作人格权下的某种利益,当个人隐私受到侵害时,只能借助于名誉权或其他人格权请求法律救济。

《民法通则》第101条规定:“公民、法人享有名誉权,公民的人格尊严受法律保护”。可见,在《民法通则》中并未明确规定要保护隐私权。《宪法》第38条规定:“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方式对公民进行侮辱、诽谤和诬告陷害。”但隐私权概念比“人格尊严”要广泛得多,《宪法》所保护的并非普遍意义上的“隐私权”。个别单行的法律法规里也有涉及到网络隐私或网络隐私权的,如信息产业部2000年10月8日通过的《互联网电子公告服务管理规定》第12条就规定:电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意不得向他人泄露,法律另有规定的除外。从总体上来说,中国法律不但没有明确规定保护隐私权,而且对人格尊严的保护,也仅仅停留在禁止损害公民、法人的名誉权的程度。关于网络隐私的保护,基本处于一种无法可依的状态。所以对中国的网上消费者而言,在法律上既没有新的网络隐私保护的规定可供适用,也不能求助于传统隐私权的保护手段来保护个人的网络隐私。

五、完善网络环境中消费者隐私权保护的建议

对电子合同缔结和履行过程中引起的隐私权保护问题,应实行法律规制和行业自律并重原则。基于网络的国际性特征,应采取国际通行的规则,明确界定信息收集者与信息被收集者之间的权利义务关系。

(一)确定网上收集个人资料的主体资格

在当前中国公民隐私权没有充分法律保障,网上个人数据保护措施严重滞后的情况下,笔者认为,首先应当从主体资格上规范个人资料的收集。电子商务领域通行的规则是,在线经营者可以为了其本身开展的特定服务或交易的需要而自行收集客户或消费者的个人资料。但是,对于一些特殊的行业,特别是与个人资料密切相联系的行业,是否可以自由收集,各国做法存在较大差异,笔者认为中国台湾地区的做法值得中国大陆学习。台湾地区的《电脑处理个人资料保护法》规定,收集处理个人资料的主体分为公务机关和非公务机关两种,非公务机关中专门收集个人信息资料的资信业收集个人资料必须事先取得许可,而其他行业实行核准登记,未经事业主管机关依法登记并发给执照者,不得为个人资料之收集,电脑处理或国际传递及利用。大陆地区尚未有个人资料收集管制方面的规定,建议对于专门收集个人资信信息的专业公司实行许可制度,对于一般个人资料收集只要在收集和利用方面做出规定即可,不必实行登记管制。

(二)确立电子商务环境下个人数据保护的基本原则

电子商务的发展依赖于用户对个人数据安全的信任。当前中国电子商务刚刚起步,在网上个人数据保护措施严重滞后的情况下,既要强调信息自由流动,又必须强调对互联网隐私权的保护。在立法上,可以参照其他国家及国际组织的做法,确立个人资料保护的原则。笔者认为,使用消费者个人信息应遵循以下几个基本原则:(1)依法收集和使用个人信息。如法律对于个人信息的收集和使用有明确规定,经营者应当依规定收集和使用个人信息;如无明确规定,经营者在收集和使用消费者个人信息时也不得侵害消费者合法的权益。(2)最低限度原则。经营者为某种合法的目的收集、使用消费者个人信息,应在实现其目的的前提下,最低限度地收集和使用消费者个人信息。如超出必要的限度使用消费者个人信息,即为个人信息的滥用,经营者应承担相应责任。(3)向消费者说明及告知原则。经营者在收集和使用消费者个人信息前,应就其收集和使用的目的向消费者说明。在收集和使用之后,应告知消费者有关情况。(4)保证消费者个人信息安全保护原则。经营者有义务对所收集的资料采取合理的安全保护措施,确保消费者个人信息不受第三方干扰。

(三)科学设置例外或免责条款

互联网的发展离不开对个人数据的合理使用。“保护隐私”和“保障信息流通”之间,既有矛盾,又相辅相成。由此决定,既要保证公民的基本人权不受侵犯,又不能因过分保护隐私而阻碍信息自由流通影响其经济价值的发挥,法律惟有平衡地协调两者利益,才能最大限度地实现“双赢”。因此,在确立个人数据收集使用基本原则的同时,必须科学设置免责条款。例如,在以下情况中,网站可以免除可能的侵权责任:为了免除当事人在生命、身体或财产方面的紧急危险;为了增进公共利益;为了防止他人权益的重大危害,且不会损害当事方的重大利益;根据执法机关的要求或者为公共安全目的向相关单位提供个人资料;因为消费者的过错导致个人资料泄露;因为政府管制造成的暂时性关闭等影响网络正常运行的不可抗力所造成的个人资料泄露、丢失、被盗或者被篡改,等等。

(四)确定隐私权作为一项独立的人格权

世界各国越来越重视对个人隐私权的保护,在理论上对隐私权进行研究和在立法、司法上对稳私权保护呈专门化、国际一体化的趋势。[6]隐私权作为人们的一项基本权利,理应作为独立的人格权的组成部分成为法律保护的对象。尤其是在互联网日益普及、人们越来越多地利用互联网作为信息传送和信息交流的今天,这一问题更应当引起政府、网络服务提供商和广大网民的重视,并制定一整套保护网上隐私权的法律及其执行机制。唯其如此,才能使人们的人身权具有完整性、彻底性。

(五)行业自律组织应作相应规定引导行业自律

加强网上信用体系的培育,行业自律组织具有不可推卸的责任。尤其在当前网络个人隐私缺乏有效的立法规制的情况下,行业自律不失为一种有效的规则模式,即使在制定相关的法律后,行业自律仍然具有重要的价值和意义。

(六)加强国际间协调

由于互联网具有超国界性,因此保护网络与电子商务中的隐私权需要国际间协调,让本国的法律给本国及外国用户以完善的隐私权保护的同时,也需要其他国家的法律与机构来保护本国用户的隐私权,这就要求要尽快完善隐私权保护体系,与一些相应国家进行协调,提出大家都认可的网上隐私权保护的要求与标准。

隐私权是人类文明发展的标志,是实现个人和社会基本和谐,达到整个社会安定有序的必然要求。尤其是在互联网日益普及的今天,只有在人们的隐私权得到充分尊重和保护的情况下,才能使人们的人格得到健康发展,才能从根本上实现整个社会人际关系的和谐。

[参考文献]

[1] 张新宝.隐私权的法律保护[M].北京:群众出版社,1997:161.

[2] 阿丽塔•L•艾伦,理查德•C•托克音顿.美国隐私法:学说、判例与立法[M].冯建妹,石宏,郝倩,等译.北京:中国民主法制出版社,2004.

[3] 张莉.论隐私权[M]//徐显明.人权研究:第3卷.济南:山东人民出版社,2003:388.

[4] 高富平.个人信息与隐私[EB/OL].[2007-02-06].http://www.ipschool.net/nopass.asp.

[5] 李双元,王海浪.电子商务法若干问题研究[M].北京:北京大学出版社,2003:222.

[6] 梅绍祖.电子商务法律规范[M].北京:清华大学出版社,2000:104.

[责任编辑:张岩林]