甘丹：网络个人信息隐私权的立法保护现状研究

来源：http://dlib.edu.cnki.net/kns50/detail.aspx?QueryID=11&CurRec=91 作者：2010-3-5

内容摘要：在当今的司法实务中存在着许多网络个人信息隐私权遭到侵害的实例，加之与之相适应的立法滞后或缺失，使得网络个人信息隐私权的立法更具有必要性。笔者认为，网络个人信息隐私权的特性和内容决定着要对其进行立法保护的基本要求， 而现实中侵权案件的屡屡发生是司法的需要， 立法的滞后、缺失、不系统则是法治的呼唤。 当人们更多的想要保护自己的个人信息与私人空间的时候，体现出来的恰恰是人们日益重视私生活的质量以及日益关注个人独处状态的强烈愿望，具体而言就是人们试图通过界定受法律保护的私生活的确切范围，以追求宁静生活的愿望。现实生活中，越来越多的人对于个人信息的安全感到担忧，同时也有越来越多的人也因为网络个人信息隐私受到侵犯而感到愤怒。 考察我国关于公民网络个人信息隐私权的立法现状，笔者发现以下几个问题： 宪法、诉讼法缺少关于网络个人信息隐私权的规定 《中华人民共和国宪法》第38 条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”第39 条规定：“中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。”这一规定是对隐私权的一项重要内容即居住安宁的直接确认与保护。第40 条规定：“中华人民共和国公民的通信自由和通信秘密受法律的保护，除因国家安全或者追究刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。” 以上这些宪法中的条文只是原则性地规定了我国公民的人格尊严不受侵犯，公民的住宅不受非法侵犯，公民的通信自由和通信秘密受法律保护的内容，并未对网络个人信息隐私权的保护加以明确，使得对于网络个人信息隐私权的相关立法规定缺乏宪法依据。笔者认为作为国家的根本大法，宪法不可能对公民权利作更具体的规定，但是随着计算机网络技术的不断更新，面对这个日新月异的信息社会，从宪法高度上规定对网络个人信息隐私权的保护也不是不可能。 同时，考察我国诉讼法中的相关规定，也可发现对于网络个人信息隐私权的保护也不够明确。对于公开审判这一诉讼法所共有的原则，我国《民事诉讼法》、《刑事诉讼法》和《行政诉讼法》在涉及个人隐私的情形下作出了例外规定。如《民事诉讼法》第66 条规定：“证据应当在法庭上出示，并由当事人互相质证。对涉及国家秘密、商业秘密和个人隐私的证据应当保密，需要在法庭出示的，不得在公开开庭时出示。”第120 条规定：“人民法院审理民事案件，除涉及国家秘密、个人隐私或者法律另有规定的以外，应当公开进行。”又如《刑事诉讼法》第152 条规定：“人民法院审判第一审案件应当公开进行。但是有关国家秘密或者个人隐私的案件，不公开审理。”“十四岁以上不满十六岁未成年人犯罪的案件，一律不公开审理。十六岁以上不满十八岁未成年人犯罪的案件，一般也不公开审理。” 再如《行政诉讼法》第45 条规定：“人民法院公开审理行政案件，但涉及国家秘密、个人隐私和法律另有规定的除外。”通过以上规定可以看出三部法律都明确将涉及个人隐私的案件作出不公开审理的规定，但笔者认为在以上规定中所提及的“个人隐私”并未明确包括本文所讨论的网络个人信息隐私，如果在现实诉讼中遇到涉及网络个人信息隐私的案件时，是否同样可以从保护权利人隐私的角度出发，法庭审理也不公开进行呢？对此笔者认为，随着现实生活中此类案件的屡屡发生，建议在程序法中特别增加对于涉及网络个人信息隐私权案件审理程序的相关规定，以体现出程序法对于保护网络个人信息隐私权这个实体权利的实现。此外，现实生活中公民网络个人信息隐私权遭受侵害时，公民往往不知道是谁侵害了自己的权利，造成当事人维权艰难的事实，甚至即便知道了侵权主体是谁，但却陷入无法举证的窘境。因此建议在实体法中规定网络个人信息隐私权的同时，在程序法引入举证责任倒置制度，从而加强对公民网络个人信息隐私权的保护。 刑法与民法的规定缺少衔接 2009 年2 月28 日新通过的刑法修正案（七）专门就保护公民的个人信息作出规定，弥补了立法上的空白，加强了对公民个人信息隐私权，尤其是网络个人信息隐私权的保护。刑法修正案（七）在刑法第253条增加了两款：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。 窃取、收买或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。”“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”笔者认为，刑法修正案（七）新增加的该条文里面，规定了两个罪名，因为本条第1 款与第2 款规定的犯罪主体、行为方式等方面明显不同，两项罪名被称为“出售、非法提供个人信息罪”和“非法获取个人信息罪”①。本罪的对象是公民个人信息。所谓“个人信息”，是指“以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。其外延十分广泛，几乎有关个人的一切信息或者情况都可以被认定为个人信息”。[1]中国发展战略研究所研究员王春晖博士认为：“刑法修正案（七）表明，刑法对个人隐私权的保护不在只停留在对独处权的保护上，而已经朝着保护个人信息的方向发展。刑法修正案专门就保护公民的个人信息作出规定，表明了国家对公民个人信息保护重视的程度，同时也证实了国家对公民个人信息保护的力度。”[2] 笔者在此思考，对已经构成上述犯罪的是否应当承担相应民事责任，或者对于那些社会危害性较小、不构成犯罪的侵犯公民网络个人信息隐私权案件该如何追究责任，是否有相关的民事法规调整？当然，首先可以从我国现行民事法规中寻找到一些规定，如我国《民法通则》第101 条规定：“公民、法人享有名誉权，公民的人格尊严受法律保护，禁止用侮辱、诽谤等方式损害公民、法人的名誉。”这一条成为我们现在将公民个人隐私权保护通过诉讼方式间接寻求保护的依据。此外，最高人民法院《关于贯彻执行< 中华人民共和国民法通则>若干问题的意见》（以下简称《意见》）第140条第1 款规定：“以书面、口头形式宣扬他人的隐私，或者捏造事实公然丑化他人人格，以及用侮辱、诽谤等方式损害他人名誉，造成一定影响的，应当认定为侵害公民名誉行为。”《关于确定民事侵权精神损害赔偿责任若干问题的解释》（2001 年2 月26 日） 第1 条中除规定了一般人格权受侵害可以请求精神赔偿外，同时还规定：“违反社会公共利益、社会公德侵害他人隐私或者其他人格利益，受害人以侵权为由向人民法院起诉请求赔偿精神损害的，人民法院应当依法予以受理。” 其次，从这些规定可知，民事法规并没有关于网络个人信息隐私权的明确规定，使得民事责任与刑事责任不能很好的衔接，即当侵权者不构成犯罪时，却无有效依据追究其民事责任。况且，网络个人信息隐私权作为一项迫切需要独立发展的权利，与名誉权虽有密切的联系，但二者却是相互区别的两个独立领域，二者的主体、性质、调整范围、侵权方式、保护方法都是截然不同的。名誉权所关注的是与民事主体名誉有关的事实表述是否真实及评价是否适当，而网络个人信息隐私权所关注的则是民事主体对个人信息的控制支配，因此在对于侵犯公民网络个人信息隐私权的案件中不能简单的将其以侵犯名誉权加以对待。在前述北京女白领姜岩事件中，法院在对网站及相关个人的侵权行为作出判决时，法院认为被告侵犯原告名誉权和隐私权，所以这其实再一次说明由于我国民事法规缺乏对网络个人信息隐私权的规定，所以造成现实审判案例中法院只能将此定性为侵犯公民名誉权、隐私权案件。 行业自律性规定的效力有限 从法律效力位阶来看，行业自律性规定的效力远远低于前面所谈及的法律法规，但笔者认为，在对完善我国网络个人信息隐私权的立法保护进行思考时，如果不考查各地已经出现的行业自律性规定，就无法从整体上完善对网络个人信息隐私权的规范，所以在此有必要单独对相关行业自律性规定加以分析。目前我国关于保护网络个人信息隐私的行业自律公约主要有：（1） 中国互联网协会于2002 年3 月6日发布了《中国互联网行业自律公约》，其中第8 条为：自觉维护消费者的合法权益，保守用户信息秘密；不利用用户提供的信息从事任何与向用户做出的承诺无关的活动，不利用技术或其他优势侵犯消费者或用户的合法权益。（2） 山东互联网协会于2004 年发出加强行业自律工作倡议书，其中第7 条规定：对用户个人信息及电子邮件的内容采取保密措施，除国家有关机关依法检查外，不向他人提供；未经用户同意，不将用户个人信息用于其他用途。（3）北京网络行业协会于2004 年3 月18 日发布的《软件产品行为安全自律公约》中第2章第4 条规定：自觉维护软件用户的合法权益，保守用户信息秘密，不得利用用户提供的信息从事任何与用户做出的承诺无关的活动。不得未经用户同意，擅自利用所发布的软件收集用户的信息隐私，不得以其他方式变相侵犯用户的合法权益。值得一提的是，国内许多知名的网络公司和软件制造商都加入了这一公约，如新浪、搜狐、网易、百度、微软中国、北京瑞星软件、江民软件、金山等。（4）深圳市网络媒体协会于2006 年7 月18 日发布自律公约，其中第5条规定：切实保障公民个人隐私权，维护公民上网合法权益。此外大多数网站经营者也都制定了各自的保护用户个人信息隐私的隐私政策。 上述行业自律性规定确实从一定层面反应出我国互联网行业通过行业自律保护公民网络个人信息隐私权、促进互联网行业健康发展的强烈意愿，但是从另一方面来看，这些行业自律性规定从其本身的效力来看，不具有普遍约束力，这对于在全国范围内对公民网络个人信息隐私权的保护是不利的。同时，这些行业自律性规定只对公民网络个人信息隐私的保护做出承诺，如果一旦发生侵权案件并未做出其他规定，对侵权责任只字未提，也无具体的惩罚措施，无相应的责任条款加以约束，不利于司法实践中的操作。 综上所述，现实生活中随着互联网的不断发展，出现了越来越多的侵犯公民网络个人信息隐私权的案例，而这些案例其背后无不给我们传达了这样一个共同的信息：科学技术的进步确实是日新月异。但是在发生这些侵权行为时，公民是否能够依据现有法律有效的捍卫自己的网络个人信息隐私权呢？从上述分析中可看出，我国对网络个人信息隐私权的法律保护尚不健全，完善对我国网络个人信息隐私保护的法律体系是非常必要的，无论从保护的目的原则、保护的方法上都有必要系统分析，以求全面统一的保护我国公民在网络个人信息隐私方面的权利，“促进对网民利益的维护和对人权的尊重”，[3] 同时推动网络和相关产业的健康发展。 注释 ①2009 年10 月14 日，最高人民法院、最高人民检察院关于执行《中华人民共和国刑法》确定罪名的补充规定（四）中已将这两款罪名确定为出售、非法提供公民个人信息罪和非法获取公民个人信息罪，载于http://www.court.gov.cn/sfjs/show.php?file_id=138547，2009-10-16。 参考文献 [1]赵秉志、王东阳，信息时代更应强化人权保障，www.legaldaily.com.cn /2007fxy/ 2009-03/04/content_1046674.html，2009-03-04。 [2]万静、马培训，专家吁定个人信息保护法，非法出售行为或将究责. www.chinacourt.org/public/detail.php?id=319507，2008-08-31。 [3]马晶晶、秦敏，简析我国网络隐私权的保护，河南司法警官职业学院学报，2007，（1）：116。