警察云取证与公民隐私保护的法律问题研究
——以司法判例和相关学说为考察对象

高荣林

（湖北警官学院 法律系，武汉 430034）

数字网络时代，免费成了主旋律，这与“天下没有免费的午餐”是相悖的。究其实质，我们正在用个人隐私信息换取免费网络服务。美国前总统奥巴马曾经说过，你不能在拥有100%安全的情况下，同时拥有100%隐私和100%便利，即同时实现完全的安全、隐私和便利几乎是不可能的［1］。虽然不能百分百地保障个人的隐私安全，但是，我们还是认为个人或团体在接受云服务时，对其传输或存储的数据享有“合理”的隐私期待。因此，为了保护公民的云隐私，警方在进行云取证时一般需申请数字搜查令，否则，其获取的证据可能会因为侵犯公民隐私而被依法排除。

一、基本问题的界定

关于云计算的含义，根据百度百科“云计算”词条［2］，云计算（cloud computing）是基于互联网相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态、易扩展且经常是虚拟化的资源。

根据百度百科“云存储”词条［3］，云存储是在云计算概念上延伸和发展出来的一个新的概念。简单来说，云存储就是将储存资源放到云上供人存取的一种新兴方案。使用者可以在任何时间、任何地点，通过任何可联网的装置，连接到云上方便地存取数据。其主要用途有三个，即数据备份、归档和灾难恢复。

云计算、云存储在给云用户带来便利的同时，也存在诸多隐患，比如，数据安全问题、版权风险问题、商业秘密保护问题以及个人隐私信息保护问题等。其中用户最关注的无疑是隐私保护问题，因为云计算不仅提供计算服务，而且还提供云存储服务。虽然云计算中使用的数据对于数据权利人以外的其他人是保密的，但是对于提供云服务的商业机构而言却是一览无遗的。可以说，云隐私能否得到保护，是云用户是否选择云服务时不得不考虑的一个重要因素。

学界一般认为，云计算的隐私风险有以下几种：“一是数据隔离风险，即不同云用户隐私信息之间的混同，这就要求云服务提供者应该做到有效的隔离和加密保护，防止云用户的隐私信息遭受非法访问。二是数据完整性风险，即云用户存储和传输隐私信息的完整性等遭到破坏带来的风险。三是数据残留风险，即隐私信息不完全的删除，维修和报废硬盘设备导致隐私信息的泄露所带来的风险。四是用户隐私风险，即与云用户身份相关的隐私信息，如银行卡号、用户密码、手机号码等泄露所带来的风险。”［4］

“由于云计算、云存储具有虚拟化、多租户、数据异地存储、匿名等特点，这也给不法分子提供了许多犯罪的机会。比如借助云服务传播恶意软件、实施DDoS（distributed denial of service）攻击、存储非法数据等。”［5］为了打击利用云服务实施的犯罪行为，警方利用云技术识别、获取、分析、展示数字证据的行为称为云取证。

云计算主要关涉信息的传输和存储问题，所以如果解决了云计算过程中信息“传输”和“存储”的隐私保护问题，即可解决云计算的隐私保护问题，在此基础上，我们就可以进一步谈论警察云取证的合法性（是否因为侵犯公民的云隐私而被依法排除）。本文将在考察美国的相关立法和司法判例的基础上，对“警察云取证中个人隐私信息的保护问题”加以探讨。

二、美国的相关立法和判例

（一）美国宪法第四修正案及其缺陷

众所周知，美国宪法第四修正案规定，公民对其人身、住宅、文件和财产享有不受不合理搜查和扣押的权利。除非有合理的根据，以宣誓保证，并具体列明搜查地点和扣押的人或物，否则不得签发搜查令和扣押令。美国最高法院承认，宪法第四修正案的主要功能是保护个人的隐私和尊严，防止国家或政府的无证（无搜查令）侵入。可以说，第四修正案在保护美国公民隐私不受警察等政府执法人员不合理的侵犯方面功不可没。

但是，其存在两个方面的问题，一是主要适用于“物理侵入”时代的第四修正案能否适用于数字网络时代的“电子侵入”，美国最高法院的态度不甚明了。因为网络用户在网络上没有现实世界中物理意义上的“房屋”和类似的个人空间。二是第四修正案只适用于警察等“政府执法人员”非法侵犯公民个人隐私的情形，而不适用于私人之间隐私侵权的情形。而云计算中隐私保护问题大多涉及提供云计算服务的当事人（私人）对云用户隐私的不合理或非法的利用。因此，宪法第四修正案在此问题上无法适用。如在Jarrett 一案①中，法院判决认为，一名匿名黑客搜查被告电脑的行为属于私人搜查行为，其不是警察或政府执法人员的代理人，因此无法适用宪法第四修正案。

对于第一个问题，美国最高法院在一系列的判决中认为，宪法第四修正案也可以适用于高科技时代的“电子侵入”。如在Jones 一案中，美国联邦最高法院判决认为，警方在他人汽车上安装、使用GPS 进行长时间的跟踪构成宪法第四修正案意义上的搜查。因为GPS 可以详细记录个人行踪，从而反映个人生活细节（个人隐私内容）②。在其他一些关于网络信息传输的案例中，美国的下级法院判决认为，雇员对其传输的短信息享有宪法第四修正案之合理的隐私期待③。在另一则案例中，法院判决认为，被告对于存储在其电脑硬盘上的信息享有合理的隐私期待，在该信息被传输后，其享有的隐私期待继续存在④。

2014 年6 月，美国联邦最高法院判决两起警方搜查公民手机的案件，法院认为，警察搜查被逮捕者的手机需要事先获得搜查令［6］，也就是说宪法第四修正案保护公民的手机不受警察等政府执法人员的非法搜查。此案表明，美国最高法院也愿意将宪法第四修正案适用于私人电脑、手机等电子存储设备中隐私的保护。由此推理，宪法第四修正案当然也应该保护云计算中传输或存储在第三方设备中的私人隐私信息，警方或政府执法人员获取以上隐私信息时一般得事先申请搜查令。

虽然美国宪法第四修正案可以适用于网络隐私的保护，但是又引出另外一个问题，即“第三方理论”（Third Party Doctrine）问题。当我们在接受云计算或云存储服务时，我们会将个人的隐私信息披露给“第三方”（云计算服务提供方），而根据美国最高法院的相关判例，一旦隐私信息自愿披露给第三方，则个人即丧失对该隐私信息享有的合理期待，第三人可以将该隐私信息披露给警方或政府的执法人员。

“在Miller 一案中，政府执法人员向Miller 账户所在的银行送达传票，要求银行上交所有涉及Miller 账户信息的文件记录，因此成诉。美国联邦最高法院判决认为，即使客户和银行约定，银行要承担账户信息的保密义务，但是，第四修正案无法阻止获得信息的第三方（银行）把该信息披露给政府执法人员。Powell大法官认为，银行记录不是个人秘密，而是银行正常业务运作的商业文件；被告将其个人信息披露给第三方时，他就需要承担第三方可能将该信息披露给政府执法人员的风险。”［7］“在Smith 一案中，在没有搜查令的情形下，警察用笔式电子记录器获取了原告的电话号码。美国联邦最高法院判决认为，警方的行为不构成宪法第四修正案意义上的搜查。因为根据‘第三方理论’，在原告将其电话号码自愿交给电话公司后，其就应该承担电话公司可能向警方披露该信息的风险。”［7］

对于“第三方理论”存在的上述问题，“在Smith 案中持异议的大法官Marshall 认为，在公民实际上没有选择的情况下，为了特定的商业目的‘自愿地’将个人相关信息（电话号码、个人金融信息）交付给第三方时，其不应该承担该信息被第三方披露的风险”［7］。“在Jones 案中，大法官索托马约尔认为，对于‘第三方理论’，即个人对于其自愿向第三方披露的隐私信息不再享有合理的期待的观点，并不适合网络数字时代。为了获得网络服务人们将浏览的网页地址，以及通信的电子邮件地址披露给网络服务商；将其在网络上购买的书籍、杂货和药物信息披露给网络零售商。也许有人认为，用隐私权换取相关服务是值得的，或者他们抱着‘不可避免的’心态接受这种‘隐私权的减少’。但我并不认为针对限定用途而自愿向第三方披露的所有信息，会因为‘第三方理论’而被剥夺第四修正案的权利。”［8］

我们以为，基于“Miller”案和“Smith”案产生的“第三方理论”只适应于现实社会，而不能适用于网络社会。当我们接受网络公司的云服务，自愿地将个人信息披露给网络公司（第三方）时，我们对该披露信息是享有隐私权的，我们也相信第三方能够保护该信息不被非法披露（个人主观要件），而且法律、行业伦理和社会公众也要求第三方采取合理措施保护这些信息（社会客观要件）。另外，“第三方理论”赋予警方或政府执法人员太强的执法权，这虽然有利于政府打击违法犯罪活动，但是却不利于保护公民的隐私权，也不符合民主社会限制权力的精神。因此，“第三方理论”不符合数字网络时代的隐私保护要求，需要加以修正。

为了克服第二个问题，即宪法第四修正案只适用于警方或政府执法人员非法侵犯公民个人隐私的情形，而不适用于“私人”之间的隐私侵权，美国国会又制定了电子通信隐私法案（ECPA），试图以此规制私人侵犯用户隐私信息的行为，以保护个人对其电子通信享有合理的隐私期待。

（二）美国电子通信隐私法案（ECPA）

为了保护公民的电子通信隐私，20 世纪80 年代，美国制定了一系列的法案。如，窃听法案（Wiretap Act）、通信存储法案（the Stored Communication Act，即SCA）、笔记录器法案（the Pen Register Statue）。此三个法案中与云计算关系最密切的是“通信存储法案”，该法案限制警方或政府执法人员迫使网络服务商向政府提供其存储的用户信息；限制网络服务商自愿地向政府和非政府人员提供其存储的用户信息。不过，该法案又将存储信息分为：电子传输服务信息和远程计算机服务信息，不同的信息类别可以获得不同的保护。

“通信存储法案”在制定时（1986 年），主要规制的对象是电子数据的传输和电子邮件。该法案将“电子传输服务”定义为：任何向用户提供发送和接收电报或电子信息传输的服务。将“电子存储”定义为：在电子传输过程中，任何暂时存储和中间存储的电报或电子邮件，并且其存储目的是为了备份。对于这些传输的用户通讯信息，如果警方或政府执法人员想要获取，必须向法庭申请司法令状（a court order）。该令状的申请必须符合以下条件，即有确切证据表明，政府执法人员有合理的根据相信该存储的信息的内容与正在调查的犯罪有实质性的关联。

该法案将“电子存储”信息分为：对正在传输的信息进行暂时存储和中间存储的信息；为了备份而对传输的信息加以存储的信息。如果用户没有撤回一个电子数据的传输，则该电子数据就属于“电子存储”，因为该信息被服务商在传输的过程中进行暂时存储和中间存储。在服务中断时，如果服务商仍然复制了没有打开的电子数据，则这种复制也属于“电子存储”，以上这些“电子存储”都可以得到该法案的保护。有争议的是，传输的数据已经被用户打开，但该数据仍然存储在服务商处以供用户在其他时间使用时，该数据是否仍然受该法案的保护。对于该问题，美国的法院判决意见不一。

在Jennings 一案⑤中，法院判决认为，已经打开，但仍然存储在网络服务商处的电子邮件属于“备份”行为。该“备份”行为就是为了用户在打开该电子邮件后，能够在所需时再次使用该电子邮件，因此，该电子邮件受到此法案的保护。在Crispin 一案中，法院判决认为，一个电子邮件服务商和两个社交网站属于电子通信服务商，其提供的信息传输存储服务受该法案的保护⑥。美国联邦第九巡回法院在一则案例中也认为，网络服务商复制其传输的数据是为了备份，为了用户以后所需。因此，该数据属于“通信存储法案”保护的对象，警察或政府执法人员必须获得搜查令才能获取。⑦

一个明显的事实是，电子邮件系统大都基于网络运用和远程服务，这点与云计算非常相似，即该用户可以在任何地方通过网络查看、下载存储在电子邮件服务商处的电子邮件。远程计算机服务（或云计算）的主要功能之一就是为用户提供远程存储信息服务，而不仅仅是为了备份。因此，如果严格按照“通信存储法案”中“电子存储”之“备份”的要件，云存储显然不能获得“通信存储法案”的保护。所以我们主张，在解释该法案时，应该做广义解释，即电子信息的存储不能仅仅以“备份”为目的，而应将云计算、云存储的信息传输和存储行为都涵盖进去。这也是美国学界要求修改“通信存储法案”的原因之一。

（三）美国法院关于电子通信传输隐私的相关判例

关于云计算中隐私保护的判例在美国还比较少，我们只能收集到与云计算相关或相似的判例，试图从侧面考察美国法院对待云计算之隐私保护的态度。

在一则案例中，法院判决认为，对键盘记录的信息的侵入，不属于“窃听法案”（Wiretap Act）保护的电子传输行为，因为该“传输行为”属于电脑内部的传输行为，没有超出电脑本身的范围⑧。在Ropp 一案⑨中，被告被控违反了“窃听法案”，因为被告在他人电脑键盘与主机之间安装了一个窃听装置，该装置能够使被告窃听到电脑键盘与主机之间的信息交流的内容。在该电脑从事上述信息交流时，该电脑还连接了互联网，但是该键盘记录的信息还没有被操作者发送到网络。原告一方认为，该被窃听的信息属于“窃听法案”保护的电子传输行为，因为该电脑已经连接上了互联网。但是，法院认为，该信息仍然存储于电脑内部，不属于传输行为。因此，被告的行为不属于对“正在传输的信息”的非法侵入，因为该信息还没有被发送。

在Steiger 一案⑩中，被告被控从事儿童色情犯罪活动，其证据主要来自一位黑客对被告电脑的入侵。该黑客在被告的电脑上安装了间谍软件，窥视到被告的犯罪行为后，联络了警方，在获取搜查令后，警察逮捕了Steiger。在庭审中被告要求法院排除该案证据，因为该证据的获取是黑客的非法入侵行为的“毒树之果”。法院判决认为，该案不适用宪法第四修正案，因为非法侵入行为是黑客的私人行为，而不是警方的执法行为。被告又主张，该案黑客的行为违反“窃听法案”，构成非法侵入“传输”中的信息。法院则认为，黑客获取的信息是“存储”在被告电脑中的信息，而不是正在“传输”中的信息，而“窃听法案”管制的是：禁止获取正在“传输”中的信息的内容。

在Councilman 一案⑪中，被告是一个公司的处理珍本图书的官员，其主要职责就是接收和处理订阅者的电子邮件。因为其命令手下雇员侵入并复制“亚马逊公司”发送给客户的电子信息，以此使自己在竞争中处于优势地位。被告被指控违反“窃听法案”，侵入正在“传输”的电子信息。美国联邦第一巡回法院判决认为，当获取正在被“传输”的电子信息时，即构成侵入行为，即使该信息被存储，只要存储的信息与被传输的信息是相同的，因此被告的行为违反“窃听法案”。该法院的判决意见被描述为“同一性”标准，即存储中的信息和传输中的信息是否“同一”。

在O’Brien v.O’Brien 一案⑫中，O’Brien 夫人在其丈夫使用的电脑上偷偷安装了间谍软件，该软件记录了其丈夫与一位女人的之间的短信息和电子邮件通信，该被记录的信息在后来的离婚案件中被作为证据使用。丈夫认为，该信息的获取是非法，主张法院依法排除这些信息。妻子认为，该信息在被获取前，处于存储状态，因为一旦该信息出现在电脑屏幕上时，传输即告结束，因此，其行为不构成对“传输”中的信息的侵入。法院判决认为，该信息被非法侵入了，因为妻子安装的间谍软件侵入了正在传输中的电子信息，复制并且存储在该电脑的硬盘上。

总之，在美国，当信息存储在个人电脑中时，其可以获得宪法第四修正案的保护，以阻止警方或政府执法人员的非法搜查，但是，其不适用于私人搜查的情形。当信息处于传输过程中时，该信息可以获得“窃听法案”的保护，以阻止警方或政府执法人员和私人的非法侵入。一旦该信息传输结束，被存储时，其只能获得“通信存储法案”的有限保护。而云计算主要涉及隐私信息的“传输”和“存储”，因此，云计算之隐私信息在美国还是可以得到相应的保护的，只是涉及的法律比较复杂，同时又充满争议。

三、云计算之隐私信息保护的合法性论证

在美国学界看来，云计算中云用户隐私信息的保护并非理所当然，而是需要推理论证的，也就是说，在国内学者看来理所应当的东西，美国学者却总是先质疑，后论证。

（一）电子邮件理论

在美国，个人对电子邮件的隐私，法院的态度经历了从不保护到保护的过程。在Guest 一案⑬中，法院判决认为，根据“第三方理论”，个人对已经发送并到达接收者邮箱的电子邮件，不享有合理的隐私期待，因为其已经“自愿”地将该邮件的内容披露给了电子邮件服务的提供商。

在Jackson 一案⑭中，美国联邦第五巡回法院判决认为，未被授权而获取他人未读电子邮件的行为违反“通信存储法案”。当未读电子邮件处于接收者邮箱等待反馈时，该电子邮件不受非法侵入，虽然此时该电子邮件被其用户存储在第三方的网站。在Forrester一案⑮中，法院判决认为，电子邮件与普通的纸质邮件一样，有第三人可以看见的邮件地址，有封闭的不为外人所见（只能由收件人阅读）的内容。纸质邮件的内容受宪法第四修正案的保护，电子邮件的内容亦然，而邮件地址则无法享有此种待遇。在Warshak 一案⑯中，美国联邦第六巡回法院认为，公民存储在网络信息服务商处的电子邮件受美国宪法第四修正案的保护。在此案中，警方根据“通信存储法案”的相关规定申请了行政传票（非搜查令），并从两个电子邮件服务商处获取了Warshak 的许多电子邮件，以指控其犯有银行欺诈的罪行。法院认为，Warshak 对其电子邮件享有宪法第四修正案保护的合理的隐私期待，警方必须获得“搜查令”才能获取Warshak 的电子邮件。

在论证用户对电子邮件的内容享有合理的隐私期待后，我们就可以推论出：个人对其使用云服务传输和存储的私人信息享有合理的隐私期待。因为电子邮件的使用基本上包含了发送、接收、存储等电子传输和存储行为。所以可以说，电子邮件是云计算的最原始的阶段，如果在该阶段个人的隐私信息能够得到保护，为什么到了其高级阶段，个人的隐私反而得不到保护呢？

（二）承租人理论

在美国，有学者认为，应该将云计算服务看作是第三方提供的“保管箱”服务。在此服务中，用户可以在云服务商提供的安全存储装置（相当于现实社会中的保管箱或租赁的房间）中存储个人的隐私信息。在Thomas 一案⑰中，法院认为，银行的客户对其租赁的银行的安全存款箱享有隐私权，因此警方必须获得搜查令才能搜查该存款箱。

在一则案例中，法院判决认为，虽然出租人有权进入承租人租赁的房间。但是，在承租人不在时，在没有申请搜查令的情形下，警方经出租人同意搜查承租人房间的行为违反了宪法第四修正案。⑱在Stoner一案⑲中，法院判决认为，虽然酒店的管理人为了履行职务，可以进入顾客的房间，但是警方必须申请搜查令才能进入，警方无搜查令搜查顾客酒店房间的行为违反了宪法第四修正案。在Olson 一案中，警方在没有申请搜查令的情形下，未经被告同意进入其仅仅租用一天的房间，并将其逮捕。美国联邦最高法院判决认为，警方的行为违反了宪法第四修正案，因为被告与其租住的住房有足够的联系，足以认为其就是房间的主人。⑳

根据“承租人理论”的相关判例，虽然银行、酒店、房屋等出租人可以查看保险箱或进入承租人的房间，但是承租人仍然对其承租的保险箱和房间享有合理的隐私期待。既然承租人对其承租的第三方提供的“保险箱”“酒店房间”等享有合理的隐私期待，为什么云用户就不能对其承租（虽然有些服务是免费）的云服务商提供的存储设备（账户）享有合理的隐私期待呢？

（三）封闭的容器理论

在美国的司法实践中，一般将背包、公文包、行李箱等当作“封闭的容器”看待，公民对此“封闭的容器”享有合理的隐私期待。

“在Freire 一案中，美国联邦第十巡回法院判决认为，公民对其公文包里的物品享有合理的隐私期待，即使当其将该公文包交给信任的朋友保管时，也不丧失对公文包享有的合理的隐私期待。”［9］“在Chadwick一案中，美国联邦最高法院判决认为，公民对其上锁的行李箱享有合理的隐私期待，其不受警方或政府执法人员的非法搜查。”［9］在另一则相似的判例中，美国联邦第八巡回法院认为，公民对背包和钱包里的物品享有隐私权，并受宪法第四修正案的保护㉑。

美国的法院一般也把电子存储设备当作一个“封闭的容器”，不过，不同的法院判决也有不同。“在Ru⁃nyan 一案中，美国联邦第五巡回法院的判决就把一个磁盘当作一个封闭的容器。在Emerson 一案中，法院把计算机文件，而不是个人文件夹当做封闭的容器。在D’Andrea 一案中，法院将网站类推为一个可以存储记录的档案柜或者物理性容器。”［10］因此，我们以为，私人电脑硬盘、手机存储卡、网络账户、云盘等电子存储设备（特别是设有密码的设备），都应当像上锁的其他“封闭的容器”一样得到宪法第四修正案的保护。

（四）市场发展理论

“在2014 年中国互联网大会上，微软公司大中华区董事长兼首席执行官贺乐赋认为，85%的用户对云服务的隐私性有着极高的需求，所以我们行业一定要尊重隐私，同时作为可信赖的合作伙伴为客户提供服务。”［11］由此我们认为，加强云服务中的隐私信息保护是基于网络经济发展的需要，特别是“互联网+”新经济模式㉒。全球云服务发展迅速，2011—2015 年，全球云服务市场规模增长了近四倍，2015 年突破1800 亿美元［12］。可以说，在某种程度上，网络经济（电子商务、社交网络、云计算等）得到快速的发展与其配套的隐私保护政策分不开。较强的隐私保护是云服务提供者必须承担的法律义务和行业伦理责任，这也是云服务能够继续加速发展的法律根基。

另外，如果一个国家的法律不对云服务中的隐私信息提供法律保护，仅仅依靠市场的力量是无法保护个人隐私信息的。因为提供云服务的大都是世界或各国的互联网巨头，单个云用户和云服务提供者之间巨大的议价能力差异，使得两者之间约定的保护隐私的协议，往往不利于云用户。退一步讲，即使有保护云用户隐私信息的协议，协议也只能约束双方当事人。对于黑客（第三方）的入侵，对于政府执法人员的搜查等行为，隐私保护协议无能为力。因此，我们以为，如果没有国家立法强制性保护云用户的隐私信息，云计算的前途命运堪忧，因为安全和隐私保护问题已成为用户考虑是否选择云服务的决定性因素。

四、我国关于云服务隐私保护的相关论述及结论

（一）相关学说论述

国内学者关于“云隐私”保护的论述主要集中在两个方面：一是云技术对个人信息隐私带来的风险。二是如何规制上述风险，保护个人的云隐私。

有学者认为，目前云存储数据存在以下风险：“云端数据自身特征危及数据安全；缺乏对云存储服务提供商的责任及义务规制；数据终端用户引致的数据安全风险；应用软件缺乏统一的安全认证标准。”为了应对以上风险，该学者提出若干规则：确立网络服务提供者对云存储数据安全的保护责任及义务；制定用户滥用数据信息的处罚机制；构建应用软件行业的标准体系及软件安全认证制度；建立数据安全保护的双重强制认证机制；构建网络数据监测及预警制度。［13］也有学者提出了云计算环境下完善个人信息保护的对策：促进云安全技术的发展，为个人信息保护奠定技术基础；健全相关法律法规，为云计算用户的个人信息保护提供法律依据；建立完善的云计算标准体系，保障个人信息安全；加强行业自律与自我监督［14］。

以上学者的论述很少涉及“云存储信息的隐私性”，不像美国学界和司法界那样花费大量篇幅论证信息主体对其存储在云服务商处的个人信息享有合理的隐私期待。国内学者大都认为，个人对其存储在云服务商处的信息享有隐私权，此点毋庸置疑。云计算给个人信息隐私带来风险，为了应对此风险，人们大都建议从法律、技术和行业等方面保护个人的云隐私。下面我们主要论述我国的相关法律对云隐私可能提供的保护。

（二）相关立法论述

目前，在我国还缺乏关于云隐私保护的判例和专门立法。虽然我国《宪法》第四十条规定，中华人民共和国公民的通信自由和通信秘密受法律的保护。但是，云服务（云用户与云服务商之间传输和存储信息的行为）中的隐私保护问题显然不属于传统意义上的“通信”（朋友、亲属等之间交流感情或信息的行为）。云服务的目的主要是为个人的私人信息提供存储服务，便于个人对该存储信息的利用，因此云隐私的保护不适于《宪法》的此条规定。

虽然我国《刑法》第二百五十二条规定了侵犯通信自由罪，即隐匿、毁弃或者非法开拆他人信件，侵犯公民通信自由权利，情节严重的行为。但显然，该规定只适用于传统的邮件（纸质），而无法适用云通讯中云隐私的保护。

2009 年2 月，全国人大会常务委员会通过了“刑法修正案七”，增加了“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金”的规定。该修正案的主要问题是“犯罪主体的限定”，即该犯罪的主体仅限于“国家机关或者金融、电信、交通、教育、医疗单位”等，而云服务的提供者远远超过了该范围。

2015 年8 月，全国人大会常务委员会通过了“刑法修正案九”，将刑法第二百五十三条之一修改为：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，将追究其刑事责任。”“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。”“窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。”该修正案没有像“刑法修正案七”那样对犯罪主体做特定限制，因此该修正案的规定从侧面确认了云用户的隐私权。2017年5 月，最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，其中第二条规定：违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。由此，云隐私的刑法保护的前提是：必须有“国家有关规定”。

2016 年11 月，我国通过了《网络安全法》，该法的第四章“网络信息安全”详细规定了个人信息保护的原则和具体内容，为网络运营商保护个人云隐私提供了法律依据。《网络安全法》为个人信息的刑法保护提供了“法律前提”，使其有法可依，也为侵犯个人的云隐私的行为提供了行政法的救济。2020 年5 月28 日通过了《中华人民共和国民法典》，其中《人格权编》加大了对公民隐私权的保护力度，构筑了个人信息保护的防火墙。其完善了个人信息的法律定义，明晰了处理个人信息的内涵、原则和条件，严格限制处理个人信息免责事由，保障信息主体的便正权与删除权，强化了处理者的信息安全保障义务，明确了机关、机构及人员的保密义务。该法典以民事基本法的形式为侵犯个人的云隐私的非法行为提供了民事法律的救济。

以上这些法律从侧面为我国云用户的云隐私提供民法、行政法和刑法的保护。但令人遗憾的是，还没有专门针对保护云隐私的法律法规，也缺少学者专门讨论云隐私的合理性。

总之，我们认为，在我国，云用户在接受云服务时，其传输和存储的隐私信息应该得到法律的保护，云服务商应该尽其所能采取安全措施保护云用户的隐私安全，除非正常业务需要，否则不得非法侵入和泄露该隐私信息，警方或政府执法人员在进行云取证时必须事先申请数字搜查令。我们可以借鉴美国学者Couillar 根据美国的司法实践提出保护云隐私的若干法律建议［15］，如下：

一是法院应该承认公民对互联网通信享有的合理的隐私期待。这就要求法院将所有的关涉网络通信（信息传输、运算、存储等）的隐私都纳入合理的隐私期待的保护范围，比如手机短信、即时通讯的内容、电子邮件、社交媒体账户、云计算等等。

二是法院应该接受“虚拟容器理论”以规范其互联网的隐私评估，并承认虚拟的存储行为的合理的隐私期待。这就要求法院将上述的网络通讯工具当做封闭的容器（设有密码的云盘、电脑、手机等），并赋予其宪法第四修正案的地位。

三是法院应该把互联网服务提供者当作虚拟的房东，缩小“第三方理论”在网络上的适用范围，比如政府不能仅仅依靠“第三方理论”就对网络上的私人账号实施搜查，其行为必须受到宪法第四修正案的限制。

四是为了抓住机遇，快速发展云经济，促进“互联网+”新经济模式的健康发展，法院在受理警察云取证与云用户的隐私的纠纷时，也应该更多地保护云用户的隐私。由于云隐私受法律保护，权利人对其享有合理的隐私期待，这也同时构成了警方采用云技术取证的限制，即由于公民对云服务中传输或存储的信息享有合理的隐私期待，警方在进行云取证时必须遵守法定程序，否则就可能因为侵犯公民的云隐私，而被法院依法排除。

注释：

① United States v. Jarrett，338 F. 3d 339，346-47（4th Cir.2003）.

② United States v.Jones，565，U.S.（2012）.

③ Quon v.Arch Wireless，529 F.3d 829，910（2010）.

④ State v.Bellar，217 P.3d 1094（Or.Ct.App.2009）.

⑤ Jennings v. Jennings，697 S. E. 2d 671（S. C. Ct.App.2010）.

⑥ Crispin v.Christian Audigier，Inc.，717 F.Supp.2d 965，987（C.D.Cal.2010）.

⑦ Theofel v.Farey-Jones，359 F.3d 1066（9th Cir.2004）.

⑧ United States v. Scarfo，180 F. Supp. 2d 572（D. N.J.2001）.

⑨ United States v. Ropp，347 F. Supp. 2d 836-37（1st.Cir.2004）.

⑩ United States v.Steiger，318 F.3d 1039（11th Cir.2003）.

⑪ United States v. Councilman，418 F. 3d 67，70（1st.Cir.2005）.

⑫ O’Brien v. O’Brien，899 So. 2d1133，1137（5th Fla.Dist.Ct.App.2005）.

⑬ Guest v.Leis，255 F 3d.325，333-36（6th.Cir.2010）.

⑭ Steve Jackson Games，Inc. v. U. S. Secret Service，36 F.3d 457，462-63（5th Cir.1994）.

⑮ United States v. Forrester，512 F. 3d 500，511（9th. Cir.2008）.

⑯ United States v. Warshak，631 F. 3d 266，274（6th . Cir.2010）.

⑰ United States v. Thomas，1989 WL 72926，at*2（6th Cir.July 5，1989）.

⑱ Chapman v.United States，365 U.S.610，616-18（1961）.

⑲ Stoner v.California，376 U.S.483，489（1964）.

⑳ Minnesota v.Olson，495 U.S.91.110 S.Ct 1648，109 2d 85（1990）.

㉑ Doe ex rel. Doe v. Little Rock School Distric，380 F. 3d 349，351（8th Cir.2004）.

㉒ 即利用数字信息技术以及互联网平台，让互联网与传统行业进行深度融合，创造新的经济生态。