|
1974年12月31日,美国参众两院通过了《隐私权法》(The Privacy Act),1979年,美国第96届国会修订《联邦行政程序法》时将其编入《美国法典》第五编“政府组织与雇员”,形成第552a节。该法又称《私生活秘密法》,是美国行政法中保护公民隐私权和了解权的一项重要法律。就政府机构对个人信息的采集、使用、公开和保密问题做出了详细规定,以此规范联邦政府处理个人信息的行为,平衡公共利益与个人隐私权之间的矛盾。《隐私权法》主要从行政的角度出发,对政府应当如何搜集资料、资料如何保管、资料的开放程度等都做了系统的规定。
但到了信息社会,美国并未制定几部法律有关网络隐私权的法律,而欧盟在这方面的作法最具有代表性。其基本作法是由政府通过立法的方法,从法律上确立网络隐私保护的各项基本原则与各项具体的法律规定、制度,并在此基础上建立相应的司法或者行政救济措施。在这种模式之下,通常是通过法律的具体规定对因特网服务提供商在网上的各种各样的搜集用户数据和隐私的行为提出一定的限制,使因特网服务提供商在网上搜集用户隐私材料的行为更规范,相对于用户来讲更透明,使网上用户的个人隐私更容易得到保护。从法律上来讲,这样做的最直接的后果是增加了因特网服务提供商的法定义务。
欧洲部长会议于1975年通过了欧洲资料保护指令,并要求各成员国修订国内法以执行该指令。该指令几乎囊括了对个人资料的处理方式,包括资料的收集、记录、储存、修改、使用或者销毁。欧洲也是互联网技术发达的地区。早在1973年,瑞典就制定了有保护隐私权性质的《数据法》,并且成立了“瑞典数据监督局”。1995年10月,欧洲共同市场理事会通过了《自动处理个人资料保护公约》,1995年11月,欧洲议会通过了《保护个人资料的指令》,在保护隐私权方面将欧盟国家作为一个整体纳入了法律调整的范围内――这对国际间如何协调对隐私的法律保护也有一定的参考价值。
与美国相比,欧洲国家更强调通过法律的手段调整社会关系,尤其是新技术带来的充满未知数的新型社会关系。在法律保障方面也更显得稳重。《欧盟资料保护指令》中争议最大的第25条规定:有关跨国资料传输时,个人资料不可以被传输到欧盟以外的国家,除非这个国家能保证资料传输有适当程度的保证。而这个“适当程度的保证”的要求之高,连美国都未能达到。台湾也在1995年通过了《电脑处理个人资料保护法》。
相比较而言,美国制定的涉及隐私权的法律很少,2000年4月21日,美国首部以保护未成年网民个人隐私的法律于生效。这部名为“儿童在线隐私保护法”的法律规定商业网站收集年龄在13岁以下少年的个人信息以及这些未成年少年进入网上聊天室或主动提供自己的个人情况必须首先得到其父母的同意。 [1]
美国网络隐私权的法律不仅少,而且对用户提供的私人信息的归属问题与欧洲明显不同。在欧洲被想当然地认为是属于私人所有,但是在美国,对于这个问题却还没有明确的答案。比如说倒闭的网络玩具零售商ToySmart.com试图将营业期间所收集的顾客资料卖给其他网站,结果引起美国至少四十州的检察长联合向法院控告Toy Smart的行为,指为违反网站当初与消费者的约定(Toy Smart的消费者隐私保护政策曾保证不会公开消费者的资料),而这项诉讼虽然至今仍然没有明确的裁决,然而,家具零售网站Living.com却已经得到审理破产案件的法庭裁定,只要事先得到消费者同意,就可以有条件地出售消费者姓名和电子邮件地址。“消费者同意”通常可以被理解为用户有浏览时,点击了“我同意”(I Agree)。
根据目前各国以及国际上已经成文的法律或政策性文件的记载来看,保护网络个人隐私的基本原则可以概括为:收集资料要告知;使用资料要许可;保证资料的安全性和秘密性;对于违反规定的机构和个人,应当承担相应的责任;受到损害的当事人能够得到救济。
但是对于网络隐私权,从互联网发展开始一直到现在,都存有很大的争议。争议源于对互联网是否应当由法律进行规范。
国内外曾有一种观点,认为计算机国际互联网具有“三无”的特征,即无法律、无国界、无法管制。这种观点在互联网发展的初期一度十分流行,但现在持有这一观念的人已经不多了。对于其中的“无法律”,应当是网络界对法律的误解。在互联网发展初期,由于缺乏以互联网为调整对象的法律,而大都以原有法律规范网上的行为,所以许多人认为可以不立新法,因此被一些人误认为“无法律”。并且由于互联网的迅速发展使法律显得有些滞后,但不能就由此认为法律对互联网上的行为就无法调整。
虽然如此,但是由于技术在互联网上所发挥的巨大作用,仍有许多人认为网络的技术将增强个人的力量,从而使政府无足轻重,从而退出历史舞台。对于隐私权的保护,更有学者讽刺说:“依靠政府来保护你的隐私,就如同让一个有偷窥癖的人为你安百页窗。” [2]由此可见,技术和法律有隐私权保护中的作用仍存在分歧,二者到底应当是一种什么样的关系。作者认为,对网络隐私权的保护二者缺一不可,共同构成了网络隐私权保护的支柱。
首先,在许多传统法律因各种原因对网络隐私权保护还不能规范时,技术所起的作用就具有绝对性,技术所发挥的作用往往高于法律。为保障交易安全,防止黑客入侵及保护用户的隐私权,人们使用了不同网络层次的安全标准和协议来保护互联网上的数据。如用来保证互联网上安全通信的协议:安全套接协议(SSL:Secure Sockets Layer);如用于为应用程序进行鉴别和保证秘密的协议:安全电子交易协议S-HTTP;如对电子商务事务进行安全保证的协议SET:Secure Electronic Transaction)等等。它们用于数据通信的不同层次上的安全防护 。在上述这些安全交易协议或者标准中,采用的典型的安全电子交易方法和手段主要包括公私密钥(public key and private key)、数字摘要(digital digest)加密方法、数字签名(digital signature)、认证中心(CA:Certification Authority)、数字时间戳(digital time-stamp)、数字凭证(digital certificate, digital ID)等。这些手段常常是结合在一起使用,构成电子交易的安全体系。这些技术事实上已成为行业标准,发挥与法律相同的规范作用。
其次,在技术与法律的关系中,法律的作用并不是我们所通常理解的将技术规范上升为法律规范,而是对技术规范、保护、支持、引导。目的在于避免由于法律规范的过往不矫,从而阻碍电子商务、网络科技的发展。二者关系应当首先理解为技术保护是一种技术层面的东西,而政府对隐私权的保护则是一种法律层面的东西,如果没有法律保护作为后盾,隐私权单纯依赖技术势必得不到充分的保障。比如对黑客的侵入行为,如果只以技术上采用加密技术等方式提高其侵入成本,必然不会对黑客的行为产生法律的威慑力。事实上在法律对此没有规范之前,黑客的行为不仅不受到法律制裁,而且还被视为天才,甚至受到有关表彰。但是各国都认识到其行为的严重危害性,都通过了相应的立法。在美国,如果以黑客定罪,每一次破坏最高可判五年、最低半年的徒刑,累犯可判最高10年徒刑;在德国,今年2月震惊世界的美国几大网络相继遭袭击事件的始作俑者一一开发了名为部族洪水网络软件,挂在网上供人下载,专门用来袭击网站的青年,被判处6个月的徒刑,缓刑二年;在我国,有99年发生在海口的首例破坏计算机系统案的被告被判有期徒刑一年零三个月。这些都证明只有用法律进行保障,技术才能更好地发挥作用。所以认为法律可有可无的观点显然是错误的。另外,政府的作用应当是保护、支持,使管制最小化。政府管理的目的应当是促进社会经济利益的实现,而只有政府以较低的成本的较高的效率管理时,才能最好地实现社会经济利益。美国克林顿政府在1997年发布了著名的《全球电子商务框架》,并阐述了美国政府的五项原则:(1)鼓励私营部门发挥作用;(2)政府应当避免对电子商务进行过度限制;(3)在需要政府干预的地方,其目标应致力于支持和加强一个可预期的、最低限度的连贯单一的法制环境,以适合于商贸;(4)政府应当承认国际互联网的独立性;(5)在国际互联网上的电子商务应在全球基础上得以推进。欧盟也于同年通过了《欧洲电子商务倡议》并规定了电子商务管理的四项原则:(1)不是为立法而立法;(2)任何管理必须以全部单一自由市场为基础;(3)任何管理必须考虑业务现实;(4)任何管理必须有效,而且高效满足共同利益目标。从美国政府和欧盟的政策可见,政府在最低限度地干预互联网,尽可能减少为市场增加负担。
由此,我们可以得出看到,互联网的发展对传统法律提出了挑战。由于互联网技术的快速发展,并且集信息的收发等多项功能于一体,从许多方面看传统法律都是难以适应的。如果强行将传统法律适用于互联网,必然阻碍技术的进步和社会的发展。其次,由于政府立法的速度永远不及技术发展的速度,因此不能期望政府对互联网的保护能够全面、具体。并且,对隐私权的技术保障和政府保护是并行不悖的,政府保护的出发点并不是最强调约束,而是支持、引导,以最大限度地发挥市场的功效,促进互联网的发展。
对于被称为网络社会最重要内容的隐私权,政府应当支持、引导,但并不能认为不能用法律进行约束。比如在美国,就专门针对儿童的隐私权制定了儿童网上隐私保护法。
但是由于互联网与传统生活方式的极大差异,政府在立法时就很难做到恰如其分,有时政府立法对隐私权保护不到位,但有时,隐私权保护的法律又使其他法律调整对象受到了影响。比如,根据欧盟制定的欧盟数据保护法,互联网接入提供商(ISP)应当删除流量记录以保护隐私,[3]英国警方发现有一个大约500人的圈子,他们在网上交换绝对邪恶的图像-色情、对儿童的性攻击等。当警方试图找出这500人时,遭到了没有线索的死局。原因就是因为可以跟踪这些人的信息已经永远消失了,文件在目录下已经被删除。这是因为欧盟法实际上要求消除证据。只要进行认真的调查,欧盟的规定就是一种现实障碍。 虽然根据现行欧盟法律,当需要侦察犯罪时,成员国可以准许ISP保留数据。所以打击犯罪需要保存数据,但是保护隐私权本质上要求删除数据,政府制定法律出现偏差也在所难免。
注释:
[1] http://www.sina.com.cn China Byte
[2] 刘满达:《数字签名的法律思考》自《民商法学》2001年第4期。
[3] http://www.sina.com.cn
|
网络隐私权的立法