曹亚伟
(北京大学 法学院,北京 100871)
2013年6月,美国人斯诺登披露了美国国家安全局等情报系统对于通话记录和互联网的监控情况。其披露的具体情况中包含“棱镜”项目以及其它国家安全局的项目。“棱镜”项目的监控范围非常广泛,包括电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登陆时间和社交网络资料的细节等。通过“棱镜”项目,美国国安局甚至可以实时监控一个人正在进行的网络搜索内容[1]。除了“棱镜”项目外,美国国安局还有其它范围更加广泛的监控项目,比如美国《华盛顿邮报》披露的“主干道(MAINWAY)”、“码头 (MARINA)”和 “核子(NUCLEON)”三个秘密项目[2]。更为关键的是,许多全球知名的互联网公司也参与到这些项目的运行之中。比如在“棱镜”项目中,美国情报部门即与包括微软、谷歌、雅虎、Facebook、PalTalk、AOL、Skype、YouTube以及苹果等美国IT巨头的公司合作,直接从这些公司的服务器上收集个人信息。作为回报,这些公司也会享有分享情报部门相关信息的权利。2010年,谷歌表示该公司遭到黑客攻击。消息人士表示,谷歌联合创始人谢尔盖·布林从美国情报机构处获得了高度机密的相关信息,从而知晓了攻击来源。当时布林获得了临时的机密情报授权,得以了解相关情况[3]。如此广泛的情报搜集已经足以涵盖普通人的健康状况、政治或宗教倾向、商业秘密甚至极其细微的个人隐私暴露在美国情报部门的监控范围之下[2],从而严重威胁到个人隐私权保护。不仅如此,美国的监控领域已经远远超出美国本土,包含欧洲、中国等地,发展为覆盖全球的监控系统。该事件为网络环境下的隐私权保护提出了诸多法律问题:网络环境下的隐私权保护到底与传统隐私权保护存在哪些区别?国家安全与网络隐私权保护的界限何在?国际互联网企业在网络隐私权保护中应当扮演何种角色?网络隐私权保护如何克服主权地域性与网络全球性之间的矛盾?这些问题都亟待我们探讨。网络环境的特点导致传统的隐私权保护手段受到挑战,也因此使得网络隐私权在诸多方面区别于传统隐私权。首先,网络环境的虚拟性决定了网络环境下个人隐私的信息范围远远超过传统隐私权的范围。网络空间的隐私利益一般是以数据形式表现出来,一切个人的信息资料都可以用个人数据等无纸化的行使表现出来,日常生活中的姓名、性别、年龄等在网络世界中,随时都可能成为个人隐私的客体[4]。其次,网络环境的高度普及性使得人们的生活可以在网络环境中开展,网络环境的虚拟性已经渗透了足够多的生活真实性。因此,网络环境中的个人隐私能够直接为网络用户所感受,并且直接关系到网络用户的人格尊严。第三,网络的全球化特征使得网络环境下的隐私权保护迫切需要国际协调与合作。网络公司往往按照法律的规定归属于特定国家,比如微软、谷歌等公司通常被法律识别为美国公司。但是,这些公司的软件和网站却为全球用户所使用。因此,这些公司的服务器上便会相应存储有全球用户的个人信息。美国政府作为一个主权国家,是否有权力对全球用户的个人信息进行监管这本身就是一个值得讨论的问题。第四,网络在经济领域的大量应用,使得网络环境下的个人隐私保护同时兼具人格利益和经济利益。因此,网络环境下的个人隐私保护往往作为商业秘密保护的基础和前提。
网络隐私权区别于传统隐私权的很重要的一个方面就是网络隐私权的保护比传统隐私权保护面临更多的利益冲突,其中一个非常重要的利益冲突便是与国家安全利益之间的冲突。网络的出现除了给人类生活带来极大的便利之外,还为犯罪提供了绝佳的手段。愈来愈多的有组织犯罪(比如恐怖主义袭击)都通过网络手段进行。因此,出于维护国家安全的考虑,各国政府都有可能针对网络信息和网络活动进行监管。在监管过程中,政府安全机构会不可避免地获取和占有大量个人信息以及个人网络活动记录,并可以通过这些信息和活动记录精确地掌握一个人的生活轨迹,甚至细微的个人隐私,从而严重威胁个人隐私的保护。由此,便形成了网络隐私权保护与国家安全之间的冲突。一方面,网络隐私权关系到个人的人格尊严以及人格独立与自由,网络的发展应当促进人格之独立与思想之自由,而不应当适得其反。显然,只有在网络社会发展过程中对隐私权提供充分的保护才不至于背离人类创建和发展网络的初衷。另一方面,国家安全不仅仅为主权政府提供保护,更重要的是为整个社会的公共安全提供保护。在这方面,恐怖主义袭击便是最好的例证。恐怖主义最主要的袭击对象不是政府和军队,而是无辜平民。政府安全机构通过监管获取一定的网络用户信息从维护国家安全这个角度讲是必要和必需的。因此,我们不能简单地将两者中的任何一方凌驾于另一方之上,而是必须寻求网络隐私权与国家安全之间的协调方法。
国家安全与网络隐私权保护之间进行协调的关键在于规范政府安全部门对于网络信息和网络活动的监督权,从而最大限度地避免基于国家安全利益的网络监控行为对网络隐私权可能造成的侵害。
作为一种基本人权,网络隐私权的法律保护必须获得明确的宪法地位。大多数国家宪法条文中都规定了对传统隐私权的保障。我国《宪法》中虽然没有明确提及隐私权的保护问题,但是在第33条规定了“国家尊重和保障人权”,并在第38条规定了“中华人民共和国公民的人格尊严不受侵犯”,以及第39条和第40条规定了对公民住宅、通信自由和通信秘密的保护,这些规定都为隐私权的法律保护提供了宪法上的间接依据。当然,为了更好地保护隐私权,我国应当在宪法中明确将隐私权作为一种独立的权利予以专门规定。诚然,网络隐私权在本质上是一种私权利。但是,出于维护国家安全的需要,公权力的行使和影响在网络领域大量存在[5]。面对如此庞大的公权力,网络隐私权的法律保护除了需要普通法律的支持之外,更需要宪法的保护和支持。因为通过限制公权力来保障人权是宪法的基本功能,离开了宪法的地位依据和保护支持,普通法律即使规定再多的保护条款,在面对公权力时,也只能成为无源之水、无根之木。所以,要想明确网络隐私权保护与国家安全利益之间的法律界限,协调两者之间的法律冲突,就必须首先肯定网络隐私权的宪法地位,明确网络隐私权法律保护的宪法依据。
国家安全部门所行使的网络监督权的授权依据、权力范围以及行使方式,均与其他行政机关存在不同。但是,其公权力的本质决定了我们依然可以运用行政法规范行政权的基本原则来规范其所享有的网络监督权的行使。
1.运用比例原则规范网络监督权行使手段,建立利益衡量机制
比例原则作为行政法的基本原则之一,是指行政行为的实施应兼顾行政目标的实现和保护相对人的利益,如为实现行政目标可能对相对人权益造成某种不利影响时,应将这种不利影响限制在尽可能小的范围和限度内,保持二者适度的比例[6]。比例原则所产生的初衷就是以对人的尊严的尊重和性恶论的人性预设来对权力进行规范,其目的被称为“调和公益上的必要和自由与权利之侵害”,是相对于公权力的强势地位而对私权利主体的保护[7]。基于该原则,国家安全部门在行使网络监督权对网络用户信息和用户网络活动进行监控和采集时,应当采取对网络隐私权伤害最小的方式,并建立安全部门采取的措施所获得的利益与对隐私权侵害造成的损害之间的衡量机制。如此,安全部门才能够使得网络监控的目的和网络监控的手段成比例。
在具体运用这个衡量机制的过程中,同样要用到比例原则的三个子原则,即适当性、必要性与衡量性。换句话说,就是要分别衡量三个方面:(1)网络监督的手段和监督内容是否能够实现维护国家安全的目的,或者至少是有助于实现该目的。这要结合具体情形来判断,比如一般来讲,对不特定的个人的身体健康状况和兴趣爱好的网络信息进行采集,如果离开具体的情境,便很难解释为有助于实现国家安全的目的。(2)网络监督的手段和内容是否是实现国家安全所必需和必要的。网络监督的手段和内容应当针对不同情形有所区分,只有针对特定危险和风险保护国家安全必需时,才可以对用户的个人信息、网络活动记录、电子邮件内容等进行细微的跟踪式的全面采集。反之,若非存在特定危险,则仅需采取对网络隐私权伤害较小的一般监控即可。(3)衡量网络监督对网络隐私权造成的损害与所获得的国家安全利益之间的大小。该步骤是运用比例原则对安全部门网络监督权行使进行规范的关键。通过该步骤的衡量,避免基于维护国家安全的名誉而毫不顾忌网络隐私权保护的行为。
2.建立网络监督的正当法律程序,规制网络监督权的行使过程
正当法律程序可以保证公权力及法律的正确实施,是制约公权力的重要机制,同时也可以使得决策结果和法律适用结果获得合理性和正当性[8]。正当法律程序原则要求安全部门行使网络监督权的过程中,应当就其权力的获得、权力的范围、权力的内容、权力的消灭以及权力行使的效果建立一定的法律程序和评估机制。国家安全部门的权力的最终来源在于宪法,但是更重要的是,具体权力的行使也应当有明确的授权。如果遇到特殊情形需要扩大权力的行使范围,则应当经过特定部门的明确授权。同时,就权力行使的效果和权力行使过程中产生的损害,应当有专门机构进行评估和审查,并且,该评估机构的人员构成应当保证能够代表网络用户的权益。基于国家安全的特殊考虑,安全部门网络监督权行使的透明度显然远低于其他行政权的行使,同时,其职能的特殊性也决定了其权力行使享有比其他行政权更大的自由裁量权。但是,以维护国家安全为目的的网络监督权的行使同样应当遵守正当法律程序,只是该法律程序应当根据安全部门职能的特点有针对性地制定,但是同样应当遵循依法授权、授权明确、权力行使具有合理性的基本要求。唯有如此,才能保证该网络监督权的规范行使,并保护网络隐私权不被随意侵犯。
3.建立严格的信息防火墙机制,禁止滥用所收集的网络信息
安全部门的特殊地位以及工作性质决定了其所进行网络监督活动通常是秘密进行的,其途径也非普通网络用户所能够运用。同时,其所获得的网络信息的广泛性和全面性也非普通用户所能够获得。一言以蔽之,安全部门与普通网络用户相比较,具有绝对的信息优势,两者之间存在严重的信息不对称。但是,在传统环境下,安全部门与普通民众的生活是几乎完全隔离的,即便安全部门可以获得普通民众所不能获得的私密信息,也不能将其应用于普通民众的生活中,并从中获利。
同样,在网络环境中,一方面,基于国家安全利益的考虑,安全部门不可避免地获得网络用户的隐私信息;另一方面,安全部门也必须仅仅基于国家安全利益的目的方可采集和收集隐私信息。这两个方面决定了安全部门在网络监管过程中所采集的隐私信息应当禁止被应用于普通网络用户的生活中,安全部门应当将其信息优势圈禁于该部门范围内,并使得该范围与普通网络用户的生活范围分隔为两个世界,将可能的交叉情形限制到最小。
网络隐私权的保护除了事前对安全部门网络监督权的规制之外,还需要建立完善的权利救济和保障机制,以应对网络隐私权保护与安全部门网络监督权之间的法律纠纷。鉴于安全部门职能和工作性质的特殊性,在涉及安全部门网络监督权与网络隐私权之间的纠纷时,法院的司法救济机制在事实认定中必然存在取证困难和法律认定困难的问题。因此,应当建立针对网络监督权与网络隐私权之间法律纠纷的专门审查机制,并成立专门的专家委员会负责进行相关的事实认定,并给出相应的裁决意见。与普通的法院司法救济程序相比,专家委员会评估机制对于解决涉及安全部门网络监督权的网络隐私权纠纷的解决具有如下优势:(1)保密性。专家委员会的组成人员有限,相对封闭,可以使得纠纷的解决具有严格的保密性,从而顾及安全部门工作性质的秘密性。(2)集中性。对于一般的网络隐私权纠纷,法院的司法途径有利于个案正义的实现。但是,对于涉及国家安全利益的网络隐私权纠纷,通常关系到整个社会的公共利益之间的权衡(1)。在这种情形下,仅仅通过法院的司法救济途径是很难实现这两种公共利益之间的权衡的。相反,专家委员会评估机制则可以实现问题的集中解决,从而实现两种利益之间的恰当平衡。(3)灵活性。安全部门基于国家安全利益考虑的网络监督权的行使强度和范围并不是一成不变的,通常需要基于国际环境和国家安全环境的变化而改变。比如,即便是和平年代,在恐怖袭击频繁的时期与恐怖活动相对平静的时期,各国安全部门采取的网络监控活动范围和强度肯定不同,相应的,对网络用户隐私信息的采集范围和强度也是不同的。此时,专家委员会可以灵活地根据国际环境和国家安全环境的变化,对涉及国家安全利益的网络隐私权纠纷适用不同的评估标准,从而使这两者因为环境的不同而此消彼长、灵活变化。
互联网的国际性决定了网络隐私权保护与国家安全之间的冲突已经不再是特定主权国家之内的问题,而成为继环境问题、核安全问题之后的新的全球性问题。比如,根据前美国中情局雇员斯诺登的披露,美国政府长期窃取中国大陆及香港网络用户信息[9]。“棱镜”计划也同时暴露了美国政府与微软、思科、IBM、谷歌等互联网巨头之间的密切合作关系。该事件反映出美国政府试图建立覆盖全球的“大数据系统”,为其经济发展和国家安全提供大力支持,以便维持其在全球的霸主地位。但是,类似美国“棱镜”的国家安全项目以及美国想要建立的“大数据系统”都不仅仅涉及到美国本国公民的网络隐私信息,还涉及到包括中国在内的其他国家公民的网络隐私信息,从而使得网络隐私权与国家安全之间的冲突不再是一国范围内的事情,而迫切需要国际间的协调与合作,以便制定相互之间具有约束力的规则,维护两者在全球范围内的平衡,从而构建国际网络新秩序。笔者认为,国际网络新秩序的构建应至少包含以下三个方面:
美国“棱镜”事件暴露出美国政府与微软、思科等国际互联网企业之间就信息的采集和监督之间存在的合作关系。国际互联网企业的产品在全世界范围内被广泛应用,从而使得这些企业可以通过技术手段获取采用本企业网络产品的政府信息和某一国的网络用户信息。因此,这些互联网企业必须承担一定的国际责任和义务,以便实现网络隐私权保护与国家安全之间的协调。这些国际责任和义务应当包括但不限于:
第一,国际互联网企业应当承担国际环境下的网络隐私保护责任,并建立与国家安全相关的严格披露程序和审查机制。一方面,国际互联网企业基于其产品和技术优势完全可以获取所有应用其产品和技术国家的网络用户隐私信息。因此,国际互联网企业必须承担网络隐私保护责任,建立全球范围内的网络用户隐私权保护机制,实现对网络用户隐私信息的充分保护。另一方面,同样基于技术优势,国际互联网企业是政府国家安全部门采集与国家安全相关的信息和数据不可或缺的合作伙伴。两者之间的合作确实可以更好地实现维护国家安全的目标。但是,国际互联网企业必须建立与国家安全相关的完整的披露程序和审查机制。国家之间应当就该披露程序和审查机制制定相关协议,以使得基于国家安全目的的信息采集和网络监督被限制在一定范围内,以最大限度地维护网络隐私权。
第二,国际互联网企业应当承担不利用其技术优势和产品优势获利的义务。国际互联网企业的技术优势和产品优势可以瞬间转化为信息优势,该信息优势又蕴含着巨大的经济价值。国际互联网企业必须恪守职业道德,不得利用其产品和技术优势,通过获取和出售网络用户隐私信息的方式获利。需要注意的是,国际互联网企业已经在一定程度上形成了垄断,其对信息的绝对控制是维护其垄断地位的一种重要方式。在短时间内,主要国际互联网企业的垄断地位不会改变。通过缔结国际协议的形式,国家之间可以对世界上主要的国际互联网企业增加禁止从信息优势中获利的义务,该义务的范围应当涵盖全球所有网络用户的网络隐私信息,包括作为企业的网络用户的商业秘密。
网络隐私权的保护与传统隐私权的保护不同,其不再是一国范围内的事情,而是全球问题。因此,国家之间应当通过国际协议的方式确定各国之间网络隐私权保护的最低标准,从而使得网络隐私权的保护在全球范围内取得一定的一致性。特别是针对网络隐私权与包括国家安全利益在内的其他利益之间的冲突问题,各国应共同协商,制定解决问题的基本原则,以消除在网络隐私权保护方面各国之间的冲突。网络隐私权保护是网络安全这个大问题之下的子问题,各国应当就网络安全新秩序的基本原则和框架规则达成一致,在这个框架下,建立网络隐私权保护的基本原则和最低标准。唯有如此,网络隐私权才能在全球范围内获得充分保护。也只有在各国就保护的最低标准和基本原则形成共识后,网络隐私权的充分保护才成为可能。
国家安全部门基于国家安全利益的考虑,不可避免地会通过行使网络监督权的方式获取网络用户隐私信息,甚至通过“黑客”行为入侵用户系统和国家信息系统的间谍方式,获取私密信息。在短时间内想要完全禁止这种行为几乎是不可能的。但是,各国如果相互指责,完全放任这种行为的发展,那么就会危及全球网络安全,引发国家之间的冲突,甚至网络战争,从而给全球政治和经济发展带来不稳定因素,也会诱发其他风险。国家之间必须就基于国家安全利益行使的网络监督权进行限制,最主要的限制就是针对特定领域的限制。网络发展至今,已经与我们的实际生活紧密结合。网络监督权对信息的获取不应当威胁整个社会的稳定。因此,各国国家安全部门行使的网络监督权必须在与核设施有关的信息、金融领域隐私信息等方面受到限制,以维护全球经济和社会发展的基本秩序。另一方面,国家必须就采集的隐私信息的处置方式达成基本一致。国家安全部门不得利用其获得的隐私信息从普通网络用户的生活中获利。国家安全部门应当仅仅基于国家安全利益的考虑对采集的网络用户隐私信息加以利用。除此目的之外的对隐私信息的利用,都应当视为对网络隐私权的侵犯。
美国“监控门”事件凸显了网络隐私权保护与国家安全利益之间的冲突,解决两者之间的冲突是实现网络隐私权保护的重要前提。各国应当首先明确隐私权的宪法地位,同时,运用行政法的基本原则规范基于国家安全利益的网络监督权的行使,并为网络隐私权与国家安全利益之间的冲突解决建立专家委员会机制,以便于网络隐私权的充分保护。同时,互联网的国际性决定了解决该问题还需要国际协调与合作。各国应当意识到,网络隐私权的保护涉及网络安全,只有各国之间通过共同协商,制定共同的具有拘束力的国际规则,才能解决网络隐私权与国家安全利益之间的冲突,实现网络隐私权在全球范围内的充分保护。
注释:
(1)安全部门行使的网络监督权通常针对的是网络公共空间,并非特定个人,因此,在涉及国家安全利益的网络隐私权纠纷中,实际是国家安全利益与作为整体的网络隐私权两种利益的权衡。