网络服务商侵犯他人网络隐私权的责任研究

梁琦果，张光杰

（复旦大学法学院，上海 200433）

一、网络隐私权的内涵

网络隐私权是人们进入信息化时代之后，从传统隐私权中演变出来的新型隐私权。它是公民在网络环境中，对能够以直接或间接方式识别他本人的信息，享有不被他人非法侵犯、知悉、收集、复制、利用和公开的权利。具体包括：个人数据，例如个人登录的身份，个人的收入、信用、财产、消费等信息，电子邮箱等；个人私事，即用户在网络上进行的与公共利益无关的私人活动；个人领域，如电脑硬盘、个人主页服务等私人领域。

网络隐私侵权的形式分为以下几种：（1）侵权人利用网络平台实施侵权。这种情况下，侵权人是指网络用户，他们通过网络平台，对其他用户的网络隐私信息进行非法收集、知悉、公开和利用，侵犯对方的网络隐私权，有时也会伴随侵犯对方名誉权等一般人格权。（2）网络服务商侵权。网络服务商是提供网络服务的各种形式的网络媒介，包括但不限于：网络接入服务提供者、网络空间提供者、搜索引擎服务提供者、传输通道服务提供者等。其侵权形式主要有非法收集、泄露、贩卖用户的个人信息，侵犯用户网络隐私权。例如有网站以搜集全国各地的车主信息、银行用户数据、股民信息并将之低价出售的方式非法获利，严重侵犯了网络用户的隐私权。[1](p621)（3）网络服务商的不作为侵权。它主要指，网络服务商知道或应当知道第三人在自己运营的网络平台上发布了可能侵犯他人隐私权的言论，而没有及时处理和删除，造成侵权损害的扩大。此种不作为责任源于服务商的管理义务，我国《侵权责任法》新增的网络隐私保护第36条对此进行了规范。

结合网络本身的虚拟性、开放性、自由性等特征,笔者将网络隐私侵权的特征概括为：（1）实际侵权主体难以确定。这一特点主要体现在第一种侵权形式中。因为在网络中，人们的身份往往是虚拟的，被侵权用户很难通过正常方式去查明；同时，网络身份账号与现实个人也是相对独立的，侵权者可能借用别人的网络身份进行侵权，使侵权主体更难确定。（2）网络隐私侵权手段多样，且日趋高技术化。信息技术的发展与普及为侵害隐私权提供了许多高技术手段，如使用木马、间谍软件、蜘蛛等打开他人系统端口从而查看私人硬盘的文件等。[2](p60)（3）网络隐私侵权手段具有隐秘性。网络技术特有的技术性和隐秘性会妨碍人们有效、及时地保护自己的网络隐私权。（4）网络隐私侵权具有持续性和扩散性。网络的特点就是传播速度快、范围广，当个人隐私信息被暴露于网络上时，这种侵权并不因侵权主体行为的停止而终止，而会不断地传播下去。

二、网络服务商在网络隐私权侵权中的责任

在传统观点中，网络服务商仅仅提供一种网络服务，本身具有中立性，不参与信息的交流，因此不对网络隐私侵权承担责任。但随着网络的发展以及信息经济价值的飞涨，网络服务商逐渐变成有独立立场的主动的特殊主体，他们需要履行一些义务，而现有法律并没有详细规定。笔者将实证法中网络服务商的责任归纳为两个方面。

1.网络服务商作为信息控制者的义务。

这类义务规范的是网络服务商自身作为侵权主体的情形。

（1）数据搜集合法合理义务。数据收集的首要原则是“合法合理”，即搜集和处理手段合法公正，必要时应得到本人同意。这里“合法合理”的概念在台湾新出台的《个人资料保护法》中规定得比较详细：明确告知当事人搜集目的和范围、对其权益可能造成的影响，并取得当事人同意，方属合法。德国在这方面采取更为严谨的态度，提出了“避免和减少适用原则”，要求尽可能做到化名和匿名，以缩小个人信息被侵犯的风险。

（2）限制利用的义务。限制利用的责任换种说法是要求利用的目的必须明确、特定。具体内涵可参照联合国1990年《关于自动资料档案中个人资料的指南》：目的明确原则是指搜集和记录个人资料应与特定目的相关；未经个人同意，不得以与明确目的不相关的目的利用和揭露上述个人资料。

（3）接受当事人控制的义务。经济合作与发展组织在1980年《保护个人信息跨国传送及隐私权指南》中将这一义务称为保证个人参与的义务。即网络服务商有义务把用户视为他们自身资料的控制人：用户有权知道自己信息被搜集的事实；有权查阅；在发现资料有误时，有权提出异议，在异议合理时有权对资料进行修改和补正。

（4）敏感数据禁止搜集义务。该义务首次提出是在联合国1990年《关于自动资料档案中个人资料的指南》中，具体表述为“无歧视原则”：有可能引起非法的、武断的歧视的资料（民族、种族、肤色、性生活、政治观点、宗教、哲学及其他信仰、协会、公会信息等）都不应被编辑。之后欧盟等也都对敏感数据进行了规定，提出不在特殊情况下，不得搜集。在最新的台湾《个人资料保护法》中，也新增了敏感数据的规定：敏感性个人资料，包括医疗、基因、性生活、健康检查及犯罪前科等五种敏感资料，原则上不得搜集、处理或利用。

（5）技术安全保障义务。在2003年的《德国联邦数据保护法》中规定了安全保障义务：数据控制人应当采取必要的技术和组织措施来保护个人数据。

2.网络服务商作为网络服务者的义务。

这类义务是一种基于服务管理而产生的辅助性义务，类似于一种附随义务。笔者将它归纳为两类：预防性的检查义务和发现侵权时，及时采取补救措施的义务。在这种辅助义务中，网络服务商并非直接利害关系主体，如果不加限制地介入，可能会侵犯公民的言论自由权，因此这种辅助义务还需要进一步研究，找出一种适用条件来加以限制。

预防性检查义务。英国2000年《数据保护法》中规定了“公民有预防侵害的权利”这一原则：对于数据处理有可能对数据主体或他人造成不合理损害，数据主体有权在任何时候向数据控制人发出书面通知，要求在合理时间结束，或不得开始。在规定中，网络服务商有一种被动接受用户申请的义务，于是有学者认为可再增加一种主动、预防性的义务，即：网络服务商应主动对自己平台上的信息进行检查，如果发现有可能对他人造成不合理损害时，有权进行事先警告。我国《侵权责任法》第36条第3款规定：网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。这一款体现出我国立法者认为网络服务商应当具有一种预防性检查义务，但是“知道”这一概念有些模糊：“知道”是通过什么方式，是定期的检查，还是偶然发现。

侵权后的补救义务。网络隐私侵权具有持续性和扩散性，网络服务商为信息传播提供媒介，在控制言论传播，停止持续损害方面有着不容忽视的地位。该义务正是我国新修订《侵权责任法》增加的网络侵权规范内容。《侵权责任法》第36条第2款规定：网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。这一条款的目的是为了及时控制侵权损害后果的传播和扩散，是一种及时补救措施，它的出发点是为了能够更好地保护用户的合法权益。但在实践中遇到了问题，它会给网络服务商带来两难处境，因为他们无法在法院判决前就预判什么样的行为是侵权行为，如果不采取行动，就要承担不作为责任；如果贸然采取行动，则可能侵害公民的言论自由权。

三、完善我国相关制度的建议

1.立法方面的完善。

（1）补全网络服务商的义务和责任。

目前我国对网络服务商对网络隐私权的具体行为规范只有《侵权责任法》第36条，而且主要是规定了网络服务商在服务过程中的辅助性义务（第二、三款规定），对于其他国家着重立法的网络服务商作为信息控制者的义务，只在该条第1款简单列出，即“网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任”。信息控制义务是网络服务商的严格义务，必须落实，因此应当在本条款中明确列举网络服务商的信息控制义务：数据的搜集合法合理义务，限制利用的义务，接收当事人控制的义务，敏感数据禁止搜集义务，技术安全保障义务。这些义务规定得比较原则性，可以结合我国具体国情对他们进行更为具体的规定。

至于第2款规定中的辅助义务，因其会给网络服务商造成两难处境，所以还需进一步完善，以探索出更为明确、合理的行为规范。例如在第二、三款中可以增加：网络服务提供者在面临判断时，向其监督机构提出申请，如果判定确有侵权可能性，再采取必要措施。这种制度类似于诉讼法中的诉前保全制度。笔者认为不应让网络服务商自己来进行内容的审查和判断，因为这种法律审查需要较高的专业性，一般的网络服务商都不具备，美国一法院曾在一起网络诽谤案的判例中写道，要求网络服务商对每一个可能带有诋毁的信息进行审查，就像要求经销商审查公共图书馆里面的图书内容一样，是不切实际的。

（2）立法模式改进。

目前世界各国针对网络隐私权保护的立法模式有三种：以欧洲为代表的是统一立法模式，即对隐私权的保护通过一部综合性的法律规范来实现；以美国为代表的是分散立法模式，即根据不同需要，采取针对不同对象的有区别的行业立法与行业自律；以日本为代表的综合模式，一方面出台综合性的个人信息保护法，另一方面也鼓励非公共部门进行行业自律。

总的来说目前我国还是未将网络隐私权从一般人格权中分离出来。随着网络的进一步发展，对此进行专门立法是必然趋势。根据我国国情，建议采用渐进式的立法模式改进：首先可以根据司法实践，出台网络服务商和隐私权的相关司法解释，形成一个完整、有体系的专题；接着鼓励行业自律，让网络服务商们在原则性的义务下，发挥主观能动性，建立多元、灵活的行业规范；经过长期的实践后，方可出台网络隐私权的统一法律。

2.监督机制完善。

针对本文中提到的对网络服务商的监督，可借鉴国外模式：（1）在基层法院下设立专门的网络隐私权监督机构，人员由该院法官和一定数量的网络技术专业人士组成。在需要进行审核是否侵权时，由几位法官和技术专员组成临时小组来决定。（2）可能进行信息控制的网络服务商在当地进行行政登记，每个网络服务商都设立一名网络隐私保护员，负责定期对平台信息进行检查，接受用户的侵权投诉，联络监督机构。

[1]张璐.侵权责任法与网络隐私权法律保护研究[A].Proceedings of the 2010 International Conference on Information Technology and Scientific Management（Volume 2）[C].2010.

[2]张秀兰.网络环境下的隐私权.[M]北京：北京图书馆出版社，2006.