网络信息技术发展到今天,已经使人们实现了资源共享的愿望,只需动动手指就可以获取来自全球各地的数据信息,这些数据信息几乎涉及了人类生产、生活的方方面面。然而,人们在享受网络带来的极大便利的同时,形形色色的侵权行为也在通过网络这一便捷手段侵犯着公民的个人隐私。世界变得越来越透明,人们也越来越觉得属于自己的空间正渐渐缩小,有人惊呼:网络无隐私!
侵犯网络隐私权的行为,是指网络用户、网络服务提供者或者网络内容提供者由于主观过错,利用网络实施的侵害他人隐私权的行为,总的看来,侵犯网络隐私权的行为主要表现为以下三种形式:
一、过度收集个人数据
在电子商务中,过度收集个人数据是指为了商业上的需要,商家采用多种形式的手段来收集个人信息。一是通过填写各类表格,二是通过利用先进的电脑追踪技术收集个人数据。③
二、个人数据的二次开发利用
个人数据的二次开发利用是指商家利用自己所掌握的个人信息建立起综合的数据库,从中分析出一些个人并未透露的信息,进而知道自身的营销战略。④例如,网站通过分析消费者的网上购物活动,了解了关于其购物习惯、消费喜好、经济状况等信息,再经过专门的数据库进行加工整理,从中得到商业价值的资料,用与生产经营的目的。
三、个人数据交易
个人数据交易有两种形式:第一种形式是商家之间或商家与机构间交换自己所掌握的个人信息;另一种形式是网上商店将自己所掌握的个人信息出售给这些信息的需求者。⑤个人数据交易是目前对网上隐私保护危害最为严重的一种行为。
除以上三种侵犯网络隐私权行为的表现形式外,还有一些行为如雇主对雇员隐私权的侵权行为、政府对公民个人隐私权的侵权行为以及黑客对个人隐私权的侵权行为等与上述三种主要的侵权行为共同对网络隐私保护构成威胁。下面将对网络隐私侵权行为的构成要件、归责原则、侵权责任等问题作出分析:
一、网络隐私侵权行为的构成要件
1.行为的违法性
网络隐私侵权行为的行为人利用网络实施了侵害他人隐私权的违法行为,这是其承担侵权责任的前提条件。如果行为人的行为并不违法,即使触及到公民的个人隐私,也不应承担侵权责任。例如国家机关及其工作人员在法律允许的范围内,为执行公务的目的检测公民的上网行为或查看公民的电子邮件内容的行为,虽然触及了公民的个人隐私,但由于其为法律所许可,不具有违法性,不认为是侵犯了公民的个人隐私权的行为。根据网络隐私侵权行为的表现形式,可将其分为作为的侵权行为和不作为的侵权行为。前者表现为行为人违反了法律关于禁止侵犯公民网络隐私的规定而实施了该法律所禁止的行为。例如,法律规定,任何人不得不当窥视、泄漏、干涉他人的隐私,否则即构成作为的侵权行为。后者表现为法律要求人们在某种特定情况下应当实施某种行为而负有此项义务的人却未实施,例如,法律规定,个人数据信息的收集使用者有保证所收集使用的信息,准确无误的义务,如果行为人对自己应负的义务未能履行或未能合理履行,则构成不作为的网络隐私侵权行为。
2.损害事实的存在
对网络隐私的侵权行为造成的损害事实既包括对财产的损害,也包括对人身的损害.对财产的损害又可分为直接损害和间接损害,直接损害又称积极财产损失,指受害人现有实际财产的减少;间接损害又称消极财产损失,指受害人可的利益的减少.例如,网站将用户的信用卡帐号透露给第三人,导致用户信用卡上金额被洗劫一空,给用户造成的这一巨额损失,即侵犯用户网络隐私权导致的直接损害,又如电子邮箱经营者利用网络技术的便利条件,私自拆封、泄露、篡改他人邮件通信内容,使用户失去了与收信人签订合约的良机,从而无法实现预期的合约利益,因而是一种网络隐私侵权行为造成的间接损害。
对人身的损害,主要表现为受害人的精神痛苦,例如,向用户发送垃圾邮件,使用户有限的邮箱空间无法再接收其他有价值的电子邮件,造成用户的精神痛苦,并且可能使用户支出不必要的费用来维修其电脑系统或另外购买新的收费邮箱。因此,在对网络隐私权进行保护的过程中,应侧重于对网络隐私侵权行为造成的财产损失的保护。
3.侵权行为与损害结果之间存在因果关系
侵权行为中的因果关系是指违法行为与损害结果之间的客观联系,即特定的损害事实是否是行为人的行为必然引起的结果。只有当二者间存在因果关系时,行为人才应承担相应的侵权责任。在网络隐私侵权行为中,如果给公民个人隐私造成的损害结果是由行为人的侵权行为所必然引起的,行为人就应当依法承担民事责任。
4.行为人主观上有过错
过错是侵权行为构成要件中的主观原因,反映行为人实施侵权行为的心理状态。与无过错责任与公平责任不同,对属于一般侵权行为的网络隐私侵权行为来说,过错是行为人承担侵权责任的必备前提。
过错根据其类型分为故意和过失,故意是指行为人意识到自己的行为可能产生的损害结果扔希望其发生或放任其发生的心理状态。在网络隐私侵权中,大多数行为人都是基于故意的心理而实施侵犯他人隐私的行为;过失,是指行为人对其行为结果应预见或能够预见而因疏忽大意未能预见,或者虽已预见,但因过于自信,以为其不会发生,以致造成损害后果。例如,一教师将其学生写给自己的倾吐心中苦恼的电子邮件公布于校园网上,并附上自己为该学生提供的一些解决方法,想借此达到帮助该学生及教育全校学生的目的,但此举却严重侵犯了该学生的隐私,造成其精神痛苦,教师的行为虽不是出于故意,但却应当预见却因疏忽大意未能预见损害后果的发生,因而是一种疏忽大意的过失。
以上四个构成要件缺一不可,相辅相成,只有当行为人触及他人隐私的行为共同具备四个要件时,侵权行为才能成立,行为人才应承担响应的侵权责任。
二、网络隐私侵权行为的归责原则
网络隐私侵权行为是侵犯公民个人权的行为,属于一般侵权。因此,网络隐私侵权行为适用过错责任原则。所谓过错责任原则是指当事人的主观过错是构成侵权行为的必备要件的归责原则。如前所述,成立网络隐私侵权行为的构成要件之一是行为人主观有过错,这是其承担侵权责任的前提。
在过错责任下,对一般侵权行为实行“谁主张,谁举证”的原则,受害人有义务举出相应证据表明侵权人主观上有过错。在网络隐私侵权中,行为人(如网站、商店、隐私内容提供者)往往凭借有利的技术条件,隐匿、销毁能证明其侵权的数据信息,给受害人举证带来困难,因此法律应当规定一旦行为人的行为致人损害就推定其主观上有过错,除非其能证明自己没有过错,否则应承担民事责任,此即过错推定责任。
三、网络隐私侵权责任
网络隐私侵权责任是指行为人侵害他人网络隐私权而应承担的民事责任。主要包括:
1.停止侵害
当侵权行为人实施的侵犯他人网络隐私权的行为仍然处于继续状态时,受害人可以依法要求法院责令加害人停止侵害其网络隐私的行为。
2.赔偿损失
如前所述,侵犯公民网络隐私权造成的损害,既包括财产损失也包括精神损害,对财产造成损失的,法院应责令侵权责任人按照受害人的实际损失予以赔偿,而给受害人造成精神痛苦的,应当依据法律的有关规定,在综合考查行为人主观过错程度、受害人精神痛苦大小等因素来确定赔偿金额。在此需要说明的是,未对受害人精神心理造成严重后果的,人民法院可以根据情况处理,但一般不赔偿,可以采取停止侵害、消除影响、赔礼道歉等方式。
3.消除影响、恢复名誉
侵犯他人网络隐私权给公民带来不良影响或者导致公民人格评价降低的,应当消除影响或使受害人的人格利益恢复至未受侵害前的状态。
4.赔礼道歉
指侵权行为人通过向受害人承认错误、表达歉意、请求原谅的方式以弥补受害人心理上的创伤。
迄今为止,我国还没有把隐私权作为一项独立的人格权在法律上加以确认和保护,在隐私权的保护方面没有专门的法律法规,目前我国解决隐私权纠纷的法律依据主要是一些司法解释,包括《关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》、《关于审理名誉权案件若干问题的解释》等,以上这些司法解释或者将侵犯他人隐私的行为按照侵害他人名誉权处理,或者将隐私作为一项独立的人格利益,但都没有将隐私权与其他人格利相并列。在这种立法状况下,对网络隐私权的立法保护就更谈不上了。
网络自身的开放性、互通性,商家追求商业利益最大化的心理以及公民保护网络隐私权的意识极为薄,种种原因都使得侵犯公民网络隐私权的行为日益扩张,保护网络隐私权的立法已刻不容缓。
国外对网络隐私权的立法已形成了比较完善的规则框架,主要存在两种立法模式:一是以欧盟为代表的立法规制模式,主要通过立法来保护个人资料的安全,如1995年10月24日欧盟议会通过的《欧盟个人资料保护指令》几乎包括了所有关于个人资料处理方面的规定。另一种模式是以美国为代表的业界自律组织,制定行业准则来实现对网络个人数据信息的保护。
我们应该在考虑本国国情的同时,积极学习国外的立法经验和措施,努力形成我国网络立法的一般方式和规则。同时争取在电子信息网络建设和发展刚刚起步的时候取得主动。想要达到这一目标,不是一蹴而就的事情,应当逐步进行。当务之急是以法律上明确隐私权的独立的人格全地位,制定《隐私权法》,既要加强对隐私权的传统法律保护,也要重视对信息时代下网络隐私权的调整。而眼下应当拟定相关条例、决定和司法解释,以填补我国网络隐私保护方面的空白,做到“有法可依”,我国网络隐私权立法大致应包括以下几个方面的内容:
一、对个人数据控制者(主要是企业)的规定
1.总的原则
①尊重个人隐私:个人信息只有在充分尊重个人隐私的条件下才能获取、公开和利用。当隐私政策受到侵犯时,有侵害行为者应承担责任。
②隐私政策的开放性:相关机构组织在个人数据管理方面采取的个人隐私保护政策和有关指导性原则应让个人知晓。
③个人的相关权利:包括知悉权,即任何个人有权了解个人信息被收集使用的目的,有权了解将有哪些资料被收集以及资料收集人如何辩识等,有权知晓个人信息的存在、使用与透露情况并有权对个人信息的准确性和完整性提出质疑;自主控制权,即数据资料主体享有是否进行信息披露的决定权,有权阻止任何未经许可的资料收集和使用行为;接触权,数据主体有权要求资料的收集使用者提供有关联系信息,有权浏览自己被收集的信息、资料并要求使用者提供副本;更正权,即当与自己相关的数据有不正确之处时,个人还有权要求对本人信息加以更正或要求将这些数据删去;公开权,即未经数据主体许可,资料收集者不得“擅自通过因特网站上自己或他人的主页,将特定的他人隐私公之于众,或擅自通过向第三人、第四人、众多其他人发送E-mail的方式张扬特定他人的隐私”。⑥
2.关于个人信息的收集
①鉴定收集目的:在信息被收集前及收集时,相关组织应对收集信息的目的加以鉴定。个人信息必须是为了专门及法定的目的才能对其进行收集。
②获得个人同意:收集、使用和披露个人信息的前提是告知该人并取得其同意。
③收集的准确性:个人信息应准确、及时、完整,而且要经常更新,从而满足使用者对数据准确性的要求,达到应用目的。个人信息不能被错误地修改和破坏。
④收集的手段和范围:应当通过公正、合法且符合目的手段来收集个人信息,并将范围限制在由组织鉴定过的目的范围内。
⑤例外数据的收集:禁止对某些敏感性数据的收集。如收集刑事犯罪记录的数据。
3.个人信息的使用、透露与保存
①限制个人信息的使用、透露:个人信息除了为其被收集的目的服务外,不应被随意使用或透露(除非经个人同意或出于法律需要)。
②保存的保密性:在达到收集个人信息所限定的目的之前,个人信息可以被长期保存。个人信息的控制者负有采用适当措施对个人信息进行保密的义务。
4.对业界的规定
成立自律组织,按照个人资料隐私保护法律所规定的原则,或根据行业行为准则(政府和企业共同制订),为业界制订隐私保护的规则,并负责监督和处理投诉。
5.对政府的规定
应设立专门的管理机构,保证法律的执行,对网上行为进行监管。
如何推动网络环境下电子商务健康快速发展的同时,满足公民日益增强的网络隐私权保护要求,已成为全世界关注的热点。这需要我们加强对网络隐私侵权的研究和立法,我们有理由相信,在各国的积极合作与努力下,网络隐私权的研究和立法工作将取得巨大进展,一个安全、高效、文明的网络新时代必将到来。
作者:常贵武 河南万翔律师事务所
