（法学专业论文）论我国网络隐私权的保护——以欧盟立法为参照.pdf

摘要 2 0 世纪末期，随着网络逐渐步入人们的家庭，成为人类生活重要的组成部分， 人们开始越来越关注“网络隐私权保护”的问题。目前，世界上已有五十多个国 家和地区对此制定了专门法律。由于种种原因，我国长期以来对保护网络隐私权 的重要性认识不足，立法实践极为滞后，宏观上缺乏体系之间的呼应，从而未能 充分的保护网络隐私权。而目前社会上个人在网络上的信息被非法滥用的问题相 当严重，因此十分有必要完善我国法律，形成全面保护网络隐私权的系统性法律 框架。 本文通过对欧盟的个人数据保护立法( 尤其是数据保护指令和隐私与 电子通讯指令) 进行介绍和分析，总结其自身的优势和缺陷，对我国的相关立 法提出意见和建议，并最终得出我国可采取“立法为主，政府监管和行业自律为 辅，开展国际协调合作”的模式来充分保护网络隐私权。 关键词：网络隐私权，个人数据，立法保护 a b s t r a c t d u r i n gt h el a t e2 0 t h ，t h ei n t e r n e tb e c a m ea ni m p o r t a n tc o m p o n e n to ft h e h u m a nu f e ，p e o p l ea r ep a y i n gm o r ea n dm o r ea t t e n f i o nt ot h e i n t e r n e tp r i v a c y p r o t e c t i o n p r o b l e m a tp r e s e n t , t h ew o r l dh a sm o r et h a n5 0c o u n t r i e sa n d r e g i o n sw h i c hh a v ee s t a b l i s h e ds p e c i a ll a w st ot h i sp h e n o m e n o n f o rv a r i o u s r e a s o n s ，c h i n ad i dn o tr e a l i z et h ei m p o r t a n c eo fi n t e r n e tp r i v a c yf o ral o n gt i m e , w i t ht h el e g i s l a t i v ep r o t e c t i o nl a g sf a rb e h i n d ，c h i n ah a sf a i l e dt of u u yp r o t e c tt h e i n t e r n e tp r i v a c y h o w e v e r , t h ep e r s o n a li n f o r m a t i o no nt h ei n t e m e th a sb e e n i l l e g a l l ya b u s e d ，w h i c hm a k e st h ei n t e r n e tp r i v a c yp r o t e c t i o np r o b l e me x t r e m e l y s e r i o u s t h e r e f o r e ，i ti sn e c e s s a r yt op e r f e c to u rl e g i s l a t i o n ，a n dt oe s t a b l i s hal e g a l f r a m e w o r kt op r o t e c tt h ei n t e r n e tp r i v a c yi nac o m p r e h e n s i v ew a y t h i sa r t i c l ep r e s e n t sa n da n a l y z e st h ee u p e r s o n a ld a t ap r o t e c t i o nl e g i s l a t i o n ( e s p e c i a l l yt h e “d i r e c t i v e9 5 4 6 e c 竹a n dt h e “d i r e c t i v e2 0 0 2 5 8 e c ) 。a n d s u m m a r i z e si t sa d v a n t a g e sa n dd i s a d v a n t a g e s ，s oa st om a k es u g g e s t i o n st o c h i n a sr e l e v a n tl e g i s l a t i o n w h i c hi st oa d o p tam o d ec a h e d l e g i s l a t i o na st h e p r i o r i t y , g o v e r n m e n t a ls u p e r v i s i o na n ds e l f - d i s c i p l i n ea st h ec o m p l e m e n t , a n d c a r r yo u ti n t e r n a t i o n a ic o o p e r a t i o na n dc o o r d i n a t i o n ”w i t ht h i sm o d e ，c h i n a c a na d e q u a t e l yp r o t e c tt h ei n t e r n e tp r i v a c y k e y w o r d s ：i n t e r n e tp r i v a c y , p e r s o n a ld a t a , l e g i s l a t i v ep r o t e c t i o n i i 1 1 网络隐私权 第一章网络隐私权 1 1 1 隐私权的概念及其内容 隐私，在某些国家又称为“私隐”，同义于我国“阴私一一词。我国将“隐 私”用作一个具有严格法律意义的词汇，不过是l o 年的事情。对隐私权的定义， 各国法律和学者们表述各不相同。张新宝在隐私权的法律保护一书中将隐私 权定义为是“公民享有的私人生活安宁与私人信息依法受到保护，不被他人侵扰、 知悉、搜集、利用和公开的一种人格权一。美国的：隐私权法的表述是：“隐私 就是个人希望某些信息不被泄露，信息的范围包括事实、图像( 如照片、录像带) ， 以及毁谤的观点。如果该个人具有适当的敏感度，一旦在私人场所透露出的关于 他的机密性个人信息被泄露给第三者，可能会使他感到窘迫或者情绪压抑。综 上，可知隐私权在各国和学界均有不同的定义方式，定义内容千差万别，笔者在 本文中选择采纳张新宝的隐私权定义，因为这一定义突出了隐私权的内容，即包 括：( 1 ) 个人信息的保密；( 2 ) 个人生活的不受干扰的权利；( 3 ) 个人私事的决 定自由。这对于确定网络隐私权的保护对象和方法有更强的指向作用。 作为传统的隐私权保护法一般认为个人隐私往往没有商业价值，不能够为社 会带来福利。因此传统隐私权法侧重保护个人作为人格利益的隐私，较少考虑这 些隐私所涉及的个人信息资料的商业价值和社会利用价值。互联网的产生极大的 拓展了人们交往的空间，人们的生活、学习、工作、交流等包含个人隐私的信息 资料之收集以及被商业化利用逐渐兴起，而这一点也给网络空间的个人隐私权保 护带来了前所未有的挑战。就此，美国学者a 斯皮内罗惊呼：“我们正生活在一 个透明的社会里”，“社会中每个人所拥有的个人隐私正在消失”。 1 1 2 网络隐私权的概念及其保护客体 “网络隐私权”一词并非法定术语，而是学者们在传统隐私权的基础上，从 学理角度提出的一个新概念。我国学者对于网络隐私权的定义还未有统一的表 述，大多数定义都是将现有的隐私权概念放置在网络的环境下进行整合，将网络 隐私权定义为自然人在网上享有的隐私权受到保护，不受他人非法侵害的一种人 格权。这样的定义方式在网络隐私权的立法和研究都处于起步阶段的今天，也是 权宜的方式。虽然定义存在模糊性，但网络隐私权的保护客体的研究却已初见成 效。 在网络上，隐私权保护的客体可分为以下四个方面：( 1 ) 个人属性的隐私权， 如一个人的姓名、身份、肖像等，是及于个人领域最直接的属性，是首要保护的 对象；( 2 ) 个人数据的隐私权，即指经过处理抽象成文字描述和数据记录，如一 个人的财务资料、工作信息、家庭情况、消费习惯等等，由于这类资料中包含着 能够辨识该个人的特性，因此也是应予保护的对象；( 3 ) 通讯内容的隐私权，个 人在与外界沟通时，在网络上通过电子邮件、即时信息、日志留言等方式，将个 人的思想与感情暴露与他人的窥视之下，也是完整保护个人网络隐私的重要客 体；( 4 ) 匿名的隐私权，我们都知道，匿名发表在如今的网络活动中已经屡见不 鲜，很多人通过这种方式表达意见，希望不被他人知道该表达是出于自己之口， 对于匿名隐私权的适度许可，有利鼓励个人的参与感，保护其创造力，从而推动 社会的进步，因此对这一权利的保护也是十分必要的。 网络隐私权因其保护客体的特殊性和新颖性，与传统的隐私权存在不同之 处，在网络隐私权语境下，个人是个人资料产出的最初来源，同时由个人自己来 保证信息正确性、完整性，并决定其使用范围，这就不同于传统隐私权的消极防 御性质，而是积极地规避侵害，属于积极的请求权范畴，这一特征决定了网络隐 私权虽属隐私权范畴，却有独立作为研究对象的可能。 1 2 侵犯网络隐私权的表现 根据网上的一则报道，一位学生曾经为了查找一些经济数据而注册了一家 小型经济网站的会员服务，注册时手机号码是必填选项，并且当时网页上有相关 的隐私信息保护声明，她便毫不犹豫的填写下真实的手机号码。但在注册之后不 久，她就常常接到某投资机构的来电，询问她是否有某些投资意向，她自己的手 机号码从来没有向该机构提供过，只有一个可能，那就是她在填写那家经济网站 注册信息的时候，将自己的隐私通过网络泄露出去了。这些需要填写个人资料的 网站，除上面提到的注册会员，还有各大银行的网上业务，由于他们通常都将客 户资料等信息储存在电脑里，甚至是某一个服务器上，因此在这个行业内，个人 信息泄露的隐患是大量存在的。随着信息时代的到来和快速发展，个人信息被轻 易地记录在网络上，登陆过的网站，访问过的网页，网络聊天的内容，b b s 上的 2 留言，来往的电子邮件，甚至银行卡账号、密码都有可能泄露或被黑客获知。通 过网络渠道使个人隐私泄露出去的事件，在如今的网络生活中可谓层出不穷，与 日俱增。 互联网的应用，按照网络与现实的关系，可分为三个层次：首先，作为现实 产品的网络，比如i s p ( 因特网服务供应商) 提供的上网服务、e m a i l 服务等等， 是完全作为现实的附庸而出现的，即使涉及隐私权的问题，基本上也是属于传统 的范围；其次，作为达成现实目标的工具的网络，比如电子商务、论坛、新闻组、 聊天室等等，作为前沿性和现实性的结合部，也是立法、司法难度最大的地方； 最后，是与现实关系较小，相对独立的虚拟网络环境。在这三个层次中都存在隐 私权失控的可能性。 针对以上提到的三个层次，具体来说，侵犯网络隐私权的表现主要包括以下 几类： 第一，个人资料被网站服务商不当使用和传播。个人用户在互联网上寻求服 务，首先需要提供可靠的个人资料，包括个人识别资料( 如姓名、性别、年龄、 出生日期、身份证号码、电话、通信地址、住址、电子邮件地址等情况) 和个人 背景( 如职业、教育程度、收入状况、婚姻、家庭状况) ，这些个人数据资料蕴 含巨大的经济价值，网络服务商对其有深刻的认识，受商业利益的驱使，不少网 络服务商提供个人数据信息供租用，更有甚者，将这些个人信息公然出售。可以 说，一旦用户将个人资料信息输入互联网，实际上就已经失去了对其个人隐私的 控制权。在本节开始提到的例子就是这类网络隐私权受到侵害的实例。 第二，通过电子邮件、即时通讯工具、杀毒软件等方式侵犯个人隐私权。2 0 1 0 年年末的“3 q 事件引起公众的广泛注意，即腾讯q q 和奇虎3 6 0 之争。这两款 软件是目前国内最大的两个客户端软件。3 6 0 在2 0 1 0 年9 月份发布直接针对q q 的“隐私保护器 工具，宣称其能实时监测曝光q q 的行为，并提示用户“某聊 天软件 在未经用户许可的情况下偷窥用户个人隐私文件和数据。引起了网民对 于q q 客户端的担忧和恐慌。该事件最后在工信部等三部委的积极干预下得到了 解决，腾讯与3 6 0 最终可以兼容。但是，我们由此事件可以看出，无论是杀毒软 件、即时通讯工具或是电子邮件，我们的隐私信息在由一个客户端到另一个客户 端的过程中，在其中任何一个中转点，都很有可能被偷窥或利用。多数电子邮件 用户之所以会收到大量的垃圾邮件，就是网络公司为了获取广告和经济效益，将 用户个人信息泄露给广告商，而后者就通过跟踪程序或发放广告邮件来“骚扰 3 你。 第三，搜索引擎对个人隐私的侵害。相信很多人对于搜索引擎是又爱又恨， 人们习惯上g o o s e 或百度输入关键字，在随后列出的上千条信息和网站链接中寻 找自己需要的内容，十分方便快捷。但是这种强大的搜索功能却也在不知不觉中 对用户的隐私带来巨大的威胁。如果在百度的输入框里键入自己的姓名，点击搜 索按钮，会发现自己几乎从小到大的上学经历，工作经历，甚至感情经历都在网 络上一一曝光，你的每一步脚印都留在网络上，“人肉搜索”这个词很大程度上 就是由搜索引擎造就的。 第四，“监视软件 对网络用户的隐私窥视。其中应用最广的要数c 0 0 k i 髓技 术。g o o s e 网站的隐私政策中提到，“c o o k i e 是当您访问网站时，网站向您的 计算机发送的包含一串字符的小文件。当您再次访问该网站时，这个小文件会帮 助该网站辨认出您的浏览器。c o o l ( i 髑可以储存用户偏好和其他信息。c o o k i e s 关心的就仅仅是用户的各种行动，甚至可以详细到用户所浏览的每一个超链接的 内容。这些监视软件可以称之为是个人网络隐私权的“专业杀手”。 第五，网络黑客等对个人隐私的非法窃取、使用和传播。现在一些黑客软件 可以侵入连在网上的另一台计算机，通过网络进行远程控制，对储存在其硬盘中 的资料任意浏览、复制、删除，被黑客攻击的不止个人电脑，更多的是政府部门、 公益机构、私营企业的网站，造成电子商务网站的客户信息的泄露、股票信息被 窃取及信用卡资料失窃。这已不再仅仅是侵犯隐私权的问题，而是对公民人身权 和财产权的严重侵犯。然而如果没有法律和技术上的保护，受害人对网络黑客的 行为也只能听之任之。 个人隐私权原本在现实空间可以依赖于时间、空问作为屏障，然而由于网络 空间的即时性、虚拟性和可记录性，这些屏障失去了效用，从而使网络个人隐私 权受到侵害的情况普遍化、复杂化，更使隐私权的保护日益困难。 1 3 加强网络隐私权保护的必要性 在当今社会，几乎任何拥有一台电脑、一个调制解调器的人都可以进入你的 私生活的最隐秘之处，把你的个人隐私记录一览无余。私人公司和政府机构已经 收集了大量的个人信息，而人们对它是怎样被利用的，以及这些记录是否准确一 无所知。学校记录、工作记录、信用卡记录、纳税记录、医疗记录、违法违纪记 录等，一起塑造着你的形象。随着联机服务中的商业交易增加，这些记录甚至可 4 以被出售，在网络上能搜集到的信息和情报数量多得让人难以相信。这些网络数 据让人轻松便捷的使用的同时，也令人不寒而栗。因此，加强网络隐私权保护已 是势在必行。 具体来看，加强网络隐私权保护的必要性包括以下几点： 第一，网络隐私权侵害方式便捷，手段隐蔽多样、且技术性高，个人保护并 不现实。在上文中提到，侵犯网络隐私权的表现已是多种多样，手段和方法层出 不穷，并且这种侵害也是一种“无形的侵害 ，既找不到明显的侵害现场，也很 难判明侵害的时间，一般人轻易察觉不到。随着同新月异的技术发展，这些高科 技手段不仅仅被用于为人类造福，同时也随时可能被不法分子利用来侵害他人的 个人权益，个人在面对这一类侵害时，通常难以通过自己的力量保护个人隐私权 利。 。 第二，网络隐私权侵害后果严重，个人往往无法承担。计算机系统的脆弱性 和个人数据的不公开性使得公民个人隐私很容易受到不法分子的侵害，甚至有些 侵害者并非恶意为之，可能只是无聊的进行“人肉搜索 。殊不知，个人隐私一 旦在网上泄露，就有可能在全球范围内广为传播，且被人无休止的复制、转载， 肆无忌惮的评论中伤，对当事人造成极为严重的名誉损害和内心创伤，这样的后 果对于个人来说，根本是无力反抗和承担的。 第三，加强网络隐私权保护是保持健康的网络环境，维护整个社会和谐稳定 的迫切需要。在网络世界，私人生活随时被打扰，个人内心无端遭到侵害，给人 们的心理造成极大恐慌，个人的恐慌将会影响整个社会的安定团结。从长远来看， 网络隐私权的保护不仅关系到公民切身权益，更关系到网络经济和网络社会的健 康发展。所以只有通过各种手段和措施制裁网络侵权行为，充分保护网络隐私权， 才能使网络环境乃至整个社会健康有序的发展。 2 1 个人数据 第二章欧盟个人数据保护策略 2 1 1 个人数据的概念表述 在信息网络时代，个人隐私主要是以“个人数据 的形式表现。“个人数据 这一概念最早由英国法律予以确认，并且主要存在于英国和欧洲大陆的法律体系 内，不同国家的法律对个人数据有不同的表述： ( 1 ) 英国1 9 8 4 年通过数据保护法( d a t ap r o t e c t i o na c t ) ，并于1 9 9 8 年对该 法进行修订，其中规定：“个人数据是由与可以被识别的在世个人相关的信息组 成的数据，对于该个人，可以通过这些信息( 或者通过数据控制人占有或可能由 其占有的其他信息) 识别出来，这类信息包括对该个人的评价，以及数据控制人 或其他人员针对此人的意图的数据。”该数据保护法最近一次得到应用是在2 0 1 0 年1 1 月份，谷歌的“街景 服务摄像车自2 0 0 6 年以来一直错误地收集了w i f i 网络上无密码保护的有效载荷数据，这种收集无线网络用户个人信息的行为因违 反了英国的数据保护法受到英国信息专员的指责。但由于这一法案并不属于刑法 范畴，故不会被发起刑事审查，但谷歌在一份声明中称：“对此感到十分抱歉。 我们也不想收集这些数据，也从未在我们的产品和服务中使用这些数据。而且， 已经以最快的速度删除了这些数据。”1 由此可见，英国的数据保护法在保护个人 数据方面起到一定的作用。 ( 2 ) 德国的黑森州在1 9 7 0 年就颁布了德国首部地方性数据保护法，其后联 邦数据保护法和州数据保护法在1 9 7 7 年和1 9 8 1 年先后出台，为适应时代 变化，德国又于2 0 0 1 年和2 0 0 6 年根据欧盟的新规定两度修订联邦数据保护法。 在联邦数据保护法中，“个人数据”是指“任何关于一个已识别的或者可识 别的个人( 数据主体) 的私人或者具体状况的信息。虽然德国对公民个人信息 保护的立法起步早并且已相当完备，但在涉及数据保护的问题时，社会各界仍常 有争议，很多人担忧这些法律会令国家侵犯个人隐私逐渐合法化，这也是一些有 关数据保护立法较多的国家共有的争议点所在。 ( 3 ) 法国1 9 7 8 年通过数据处理、数据文件及个人自由法，并于2 0 0 4 年对 关于个人数据处理的个人保护法修改。其中规定：“个人数据是指可通过身份证 件号码、一项或多项个人特有因素被直接或间接识别的自然人相关的任何信息。 为了确定一个人能否被识别，应充分考虑数据控制人或任何其他人使用的或所能 够用的任何方式。”除有相关法律外，法国还于1 9 7 8 年成立了法国国家信息技术 与自由委员会，该委员会的目的是保证信息技术不妨害人权、个人隐私和自由。 1 新浪科技，“英国当局称谷歌街景服务违反数据保护法”， 2 0 1 0 年1 1 月，h t t p ：t e c h s i n a c o m c n i 2 0 1 0 一l1 - 0 3 2 0 4 5 4 8 2 4 4 8 2 s h t m l 6 2 0 0 4 年，该委员会被法国国民议会赋予了对违规机构进行经济处罚的权利，其在 2 0 0 5 年共发出了7 项禁令，进行了1 l 项经济惩罚，其中包括两张最大的罚单， 丌给了里昂信贷和农业信贷。这两家银行将一些有过支付瑕疵的客户个人资料交 给法国银行( 法国的银行管理机构) ，因此均受到经济惩罚。2 2 1 2 个人数据的基本特征 综合以上各个国家对“个人数据”概念的表述以及立法保护情况，我们可以 总结出个人数据的一些基本特征： 第一，个人数据的主体是个人。无论该个人是在世还是已经离世，但限定在 自然人的范畴，也就是说不包括企业、公司等法人或其他非法人组织。 第二，个人数据的范围十分广泛。包括了有关个人的几乎全部信息，只要是 该个人所特有的因素或与其相关的信息都被称为个人数据，甚至还包括他人对个 人的评价和意图。 第三，个人数据包含的信息应足以识别其主体。尽管个人数据的内容繁杂， 但其包含的信息必须能够将主体识别出来，这种识别方式包括直接识别和间接识 别，前者包括数据主体的姓名、照片、身份证编号等等最直观的信息；后者则是 数据主体的社会身份、文化符号、行为特点等需要通过分析比较才能判断的信息， 例如在今天的网络世界，有人提到“犀利哥 、“凤姐一、“艳照门等名词，受众 通常都能很快判断出是什么人、是某一类人或某一种现象。 第四，个人数据受到法律保护。正如前面列举的，目前世界上很多发达国家 都制定了保护个人数据的法律法规，对数据主体的权利义务以及数据使用者的权 利义务进行了严格规定。在拥有这些法律的国家，个人数据保护已被大众广为接 受，这对于加强网络隐私权的维护起到了积极地作用。 2 2 欧盟个人数据保护立法状况和保护规则 欧洲在二战期间保受纳粹独裁的监视与控制之苦，所以现代欧洲人极为重视 对个人隐私的保护。欧盟国家在保护网络隐私权的方法上，是采用法律规制为主 2 青峥，“国外隐私权保护纵览”，观察与思考，2 0 0 8 年0 9 月， h t t p ：n e w s s i n 姗m c i l 以0 0 8 - 0 9 1 7 1 3 3 l1 6 3 0 5 8 1 5 s h 廿l l l 7 导的模式。这种模式的基本做法是，通过政府制定相关法律法规，再在此基础上 建立相应的司法救济或者行政救济措施，即更加强调通过运用法律手段来保护网 络隐私权。欧盟在开始将这类法律纳入欧盟法律体系时，就致力于制定保护网络 隐私权的各项规则和标准，并要求各成员国的私营组织和公共机构都遵守统一的 原则，而且还不遗余力的将这些规则和原则提升为国际标准，从而在国际社会发 挥其影响力。 我们经常提到的欧盟数据保护法涵盖了几乎所有部门和类型的数据处理，它 的主要渊源是1 9 9 5 年的数据保护指令( 有些教科书称其为普通指令或一 般指令) 以及2 0 0 2 年的隐私与电子通信指令，还有一些没有约束力的文件， 如“第2 9 条工作委员会”建议，也十分重要。除此之外，欧盟各国为落实指令 也都制定了一部或多部数据保护法，其他部门法内也有相关条款的出现。在这里， 笔者要研究的主要是保护个人数据的法律法规和政策，其内容包含在欧盟数据保 护法的范围内，因此，下文将针对以上提到的前两个最重要的指令展开进一步论 述，同时对欧盟个人数据保护立法状况和保护规则进行阐述： ( 1 ) 数据保护指令( 9 5 4 6 e c ) 。 该指令全称为欧洲议会和欧盟理事会1 9 9 5 年1 0 月2 4 日关于涉及个人数据 处理的个人保护以及此类数据自由流动的指令。数据保护指令在内容上包括 总则、关于合法性的一般规则、司法救济、责任与制裁、各成员国对该指令的贯 彻措施等共四部分。该指令的目标有两个：一是要求成员国保护自然人的基本权 利和自由，特别是他们与个人数据处理有关的隐私权；二是成员国不得以保护个 人数据为由限制或禁止成员国之间个人数据的自由流动。该指令还规定了数据主 体的权利和数据控制者的义务，其中“数据主体”是指“一个身份已被识别或者 身份可被识别的自然人，3 “数据控制者”是指“单独或者与他人共同确定个人 数据处理的目的和手段的自然人或法人、公共机构、政府部门或其他机构 。4 数 据保护指令对这两者权利和义务的规定十分详细、完整，对于数据主体的确认权、 更正删除封存权、反对权等权利均做出了规定，对数据控制者的义务规定更加充 3 s e ee cd i r e c t i v eo f t h ep r o t e c t i o no f i n d i v i d u a l sw i t hr e g a r dt ot h ep r o c e s s i n go f p e r s o n a ld a t aa n do nt h e f r e em o v e m e n to f s u c hd a t a , a r t 1 ( a ) 4s e ee c d i r e c t i v eo f t h ep r o t e c t i o no f i n d i v i d u a l sw i t hr e g a r dt ot h ep r o c e s s i n go f p e r s o n a ld a t aa n do nt h e f r e em o v e m e n to f s u c hd a t a , a r t 2 ( d ) 8 分，不仅提出合理合法使用个人数据，还对于某些情况下严禁对个人数据进行处 理，保障个人数据安全，以及告知的义务都有详细规定。总而言之，根据数据 保护指令第二章“关于个人数据处理合法性的一般规则 ，该指令的主体内容 可以表述为五大原则： 合法原则。这是该指令规定的首个也是最重要的一个原则。合法原则要求 个人数据必须被正当合法的处理和使用。在第二章第二节里还对数据处理合法化 规定了标准，即在哪些具体的合法的情形下个人数据才能被处理。 特殊性原则。即指在第二章第三节规定的特殊类型数据处理的情形下，这 类数据的处理是被禁止的，如泄露种族血统、政治观点、宗教或哲学信仰、公会 成员资格等个人数据。 透明原则，这里的透明原则不是指个人数据对外界充分公开，而是指数据 控制者有义务向数据主体提供相应的个人数据信息，如数据被处理的目的、数据 控制人的身份等，同时，数据主体也有充分的获取数据的权利。并且，在数据主 体得到充分的信息之后也享有拒绝权，拒绝个人数据被处理或使用。 保密和安全原则。也就是数据处理所采取的相应技术手段和组织措施应确 保保密性和安全性。 监管原则。该指令第二十八条明确规定：“各成员国应当规定一个或多个 公共机构对监督成员国依照本指令采用的有关规定在其境内的使用负责。这些机 构在行使授予他们的职权时应当完全独立。 5 监管原则就是指上述的成员国监管 机构应该监管数据的处理和使用，监管机构应通过预先审查、公开数据处理操作 等该指令规定的方式行使监管职责。 ( 2 ) 隐私与电子通信指令( 2 0 0 2 5 8 e c ) 。 该指令由欧洲议会和理事会在2 0 0 2 年7 月1 2 同通过，全称是关于电子通信 领域个人数据处理和隐私保护的指令。这一指令旨在“保证电子通信领域个人数 据处理中对基本权利和自由尤其是隐私权提供同等保护的规定以及保证这些数 据和电子通信设备和服务在公共体内自由活动的规定之间协调一致。6 该指令除 了保护数字移动网络( d i g i t a lm o b i l en e t w o r k s ) 及固定通讯设施范围内的个人数 5 s e ee cd i r e c t i v eo f t h ep r o t e c t i o no f i n d i v i d u a l sw i t hr e g a r dt ot h ep r o c e s s i n go f p e r s o n a ld a t aa n do i lt h e f r e em o v e m e n to fs u c hd a t a , m 2 8 ( a ) 6 s e ee cd i r e c t i v eo np r i v a c ya n de l e c t r o n i cc o m m u n i c a t i o n s ，a r t i ( a ) 9 据外，还对于垃圾邮件不当收集个人数据的技术( 包括前文提到的c o o k i e s ) 也 进行了规范。 隐私与电子通讯指令的一些重要的具体规定包括： 安全性。即公用电子通信服务提供者必须采取适当的技术和组织措施以保 证服务的安全性。如果有特殊风险出现，这一类服务的提供者必须告知风险相关 的用户。 保障通信秘密。公共通信网络和公用电子通信服务中通信和相关数据的机 密性应由成员国通过国内立法予以保障，尤其禁止使用者以外的其他人未经使用 者同意对这类数据进行窃听、存储或监视。 数据的处理。包括限制处理传输数据、通话数据、缴费数据以及定位数据， 即公共通信网络或共用电子通信服务的提供者必须将与客户相关的传输数据删 除或匿名处理，用户对话费清单、主叫号码、呼叫对象、姓名和接入来电享有特 别的权利，并且用户有权要求获取费明细账单。此外，对于定位数据也同样需要 以传输数据处理的方式进行保障。 该指令解决的是电子通信部门，即无线电通信、传真、电子邮件、互联网及 其他服务中的数据保护问题，尤其在数据处理方面做出了具体有效地规定。 2 3 对欧盟个人数据保护策略的法律评价 通过上文对欧盟保护个人数据相关法律内容的介绍和分析，初步能够得出对 欧盟个人数据保护策略的法律评价，以下将从优缺点两个方面来具体分析和阐 述： 2 3 1 欧盟个人数据保护策略的优点 欧盟对于个人数据的保护模式可以称为以法律规制为主导的模式。该模式是 目前国际上网络隐私权保护的主要趋势，从理论上说也是一种最易见成效的模 式，欧盟的个人数据保护策略依其特点可总结出优点如下： 第一，以法律手段保护个人数据具有强制保障作用。网络尽管是在人类文明 的较晚阶段才出现，但也理所当然应该纳入到法律的调控之中。与法律手段调整 网络行为相对应的另一种模式是行业自律模式，美国主要采取这种模式，相比较 而言，行业自律模式最大的缺陷是非强制性，对个体的要求过高，在网络隐私权 l o 保护还未完全深入人心的今天，仍需要借助强大的公权力来保障个体的私权利， 而法律手段正是在这种情况下起到强制保障作用的最优选择。 第二，通过法律规定保护个人数据行之有效。对于个人数据的保护除以上提 到的两种模式外，还存在两种方式，即立法方式和技术方式，7 不同于法律主导模 式和行业自律模式互为对立的情况，这两种方式是可以并行存在的，在个人数据 保护的初期，主要就是采用技术模式，例如，加密技术、安装安全控件技术以及 杀毒软件的使用等等，这些技术在个人数据保护方面都起到过积极的作用，但这 类技术几乎都是在个人数据受到威胁甚至窃取之后才发挥少量的作用，侵权技术 几乎和信息技术的发展一样迅速，当更新更高级的保密技术刚刚开发出来，比它 更高级的破解技术很快就随之而来。这时候，我们就需要法律的规制了，只有法 律才能克服技术保护的不足，越权处理他人数据库中的信息资料是被法律所禁止 的，如果违反禁止性法律规定，就应当承担相应的法律责任。因此，法律规范可 以保障技术方式的有效运行，进而以一种行之有效的方式来保护个人数据。 第三，是个人网络隐私权保护的最高形式。欧盟是世界上最早对个人数据进 行立法保护的地区，并且其对数据隐私的立法保护也是目前世界上最全面、最严 格的。通过上述对数据保护指令和隐私与电子通讯指令的一些具体规定 就可见一斑。通过法律规范保护个人数据，为数据的搜集、存储、处理、传输和 使用从立法到执法直至监督建立一套完整的行为，以一种完整的终极的形式有效 遏制数据使用者越权获取并使用他人数据的违法行为，从而为信息活动提供安全 良好的环境。 欧盟的个人数据保护的法律规定无疑带来很多好处。在数据保护指令发 布以前，欧盟除个别国家( 如前面介绍过的英法德) 之外都没有制定数据保护法， 而数据保护指令和隐私与电子通讯指令出台后，欧盟就有了数据保护的 最低标准，这不仅对欧盟各国加速制定和完善数据保护法起到积极的作用，更是 保障了数据的跨境流通。因为，在2 0 世纪9 0 年代初，就曾经在法国和意大利之 间发生过禁止数据传输的事件，当时意大利还没有数据保护法，于是法国政府禁 止法国境内的菲亚特公司将雇员资料传送给在意大利的菲亚特总部。这一事件在 当时引发了巨大的关注和争议。数据保护法的出台不仅对成员国之间的数据流通 起到积极作用，对企业而言，也促进了在线商务的快速增长，在目前的商业社会， 7 张秀兰：网络隐私权保护研究，北京图书馆出版社，2 0 0 6 年第一版，第1 4 0 页。 各个行业的企业家和领军人物都有一个共识电子商务正在逐渐取代以往的 交易模式，成为商业发展的主流。数据保护法在欧盟提振了消费者的信心，也使 企业看到了希望，对欧盟整体的经济发展不无贡献。 2 3 2 欧盟个人数据保护策略的缺点 任何一种权利的保护方式都存在两面性，欧盟数据保护法如前所述取得了一 定的成功，但也存在一些缺陷和不足： 第一，一些法律规定流于形式而缺乏可操作性。欧盟的个人数据保护法的有 些条款纯粹是官样文章，如关于向数据保护机构注册数据库的规定等。尤其是数 据保护指令中很多适用于处理特定行为的的规则十分复杂，且具有太多不确定 性，根据2 0 0 3 年5 月1 5 日欧盟委员会发表的( 数据保护指令) ( 9 5 4 6 e c ) 执 行情况首份报告( 以下简称“执行情况报告”) ，8 报告指出，数据保护指令的 基本概念之间存在冲突( 如“个人数据 的定义) ，在各成员国的执行情况也千 差万别。此外，确定法律适用的条款也于实践中被证明难以在网络环境中操作。 法律的制定是为满足人们现实生活调整权利义务的需要，如果只注重形式化，而 实际难以操作，必将不为大众所接受。 第二，法律规定的限制性太强从而不利于全球企业开展活动。同样“执行情 况报告 还显示，国际数据流通是各国分歧最严重的问题之一，按照数据保护 指令的规定，个人数据不得流入欧盟认为没有提供“充分数据保护 的国家， 也就是说只能在数据处理国有类似法律的国家之间流通。正因为这样，欧盟数据 保护法给当今的企业带来了巨大影响。限制供给数据流通的规定，大大增加了企 业在欧盟从事经济活动的守法成本。这种情况不仅发生在欧盟内部，目前，欧盟 还没有承认中国是“数据保护完备”的国家，因而在没有找到其他合法根据之前， 从欧洲向中国转移数据是非法的。9 欧盟数据保护法的这一规定对企业自身发展甚 至全球经济发展都产生了一定的阻碍作用。 第三，因法律固有的僵化性和稳定性而不能适应急剧变化的网络社会。法律 条文的表达方式是一般的、概括的，立法和修法需要一个长期的积累过程，而信 3 c o m m i s s i o nd o c u m e n tc o m ( 2 0 0 3 ) 2 6 5 f i n a l h t t p ：w w w e u r o p a 即i n t c o m m , j u s t i c e _ h o m e f s j p r i w c y 1 a w r e p o r t r e p o r t _ e n ，h t m 9 周汉华：个人信息保护前沿问题研究，法律出版社，2 0 0 6 年第一版，第3 8 页。 1 2 息技术纷繁复杂、不断变化发展侵害个人数据的手段和形式多种多样，单靠立法 很难有充分的前瞻性，不能及时的根据客观具体情况迅速作出灵活的调整，对保 护个人数据的滞后性明显。尤其是，欧盟特殊的政治环境也决定了欧盟数据保护 法的修改更加困难，以数据保护指令为例，该指令制定于2 0 世纪九十年代 中期，网络时代才刚刚开始，它的许多规定已经跟不上网络的时代要求而显得十 分落后。从现在的情况来看，人们虽然已经发现数据保护指令存在着许多严 重问题，但欧盟委员会提请修改的可能性不大。1 0 因此，仅用简化的法律来调控 瞬息万变的网络社会是一种欠缺时效性和快速反应能力的做法。 综上，欧盟个人数据保护策略因采取以法律规制为主导的模式，而具有形式 化和僵化的缺点，再加上欧盟独特的法律体系建构，使得保护个人数据的措施并 不能为公众满意。正如“执行情况报告 中提到的，欧盟数据保护法的问题主要 存在于两个方面：( 1 ) 数据保护指令未能发挥预期的作用，反而加重了数据处 理机构的负担，也并没有给个人带来相应的好处；( 2 ) 各国法律之间协调不够，造 成了大量法律之外的问题。由此我们不难看出，因为以网络信息技术为基础的网 络社会具有多样性、多变性、高速发展性和全球性的特点，仅以法律规制来调整 社会关系、保护个人数据是不完备的，对于欧盟数据保护法的评价也应当结合优 缺点两方面来进行，充分从其中吸取有益的经验和教训用于改善我国的网络隐私 权保护策略。 第三章对我国网络隐私权保护立法的启示 3 1 我国网络隐私权保护的现状及存在的问题 根据中国互联网络信息中心在2 0 1 1 年初发布的报告称，截至2 0 0 9 年底，中 国网络用户已经达到3 8 4 亿，比2 0 0 8 年底增加8 6 0 0 万人，同比增长2 8 9 。面 对数量如此庞大的互联网用户群和潜在的网络隐私权被侵权主体，我国网络隐私 权保护的现状如何呢? 加周汉华： 个人信息保护前沿问题研究，法律出版社，2 0 0 6 年第一版，第4 5 页。 1 3 3 1 1 我国网络隐私权保护的相关立法 从当前中国的立法状况来看，我国尚未出台专门的网络隐私权保护的法律文 件，网络隐私权作为隐私权在网络领域的延伸，对网络隐私权的保护首先体现在 隐私权保护的相关法律规定中，尤其是我国最新颁布的侵权责任法中，对于 网络隐私权的保护进行了初步规定。并且，隐私权的表述也是在最新出台的侵 权责任法中被明确提出，以往从未明确规定隐私权的独立民事权利地位，关于 隐私权保护的规定也分散于多部法律法规中： ， ( 1 ) 宪法的有关规定。宪法明确提出“公民的人格尊严不受侵害 、“公民的住 宅不受侵犯”、“公民的通信自由和通信秘密受法律的保护 。宪法的这些规定成 为我国其他法律保护隐私权的基础。 ( 2 ) 侵权责任法出台前我国民事法律的有关规定。我国民法未将隐私权作 为一项独立的人格权。而在民事诉讼法中规定了“涉及个人隐私的证据应当 保密，需要在法庭上出示的，不得在公开开庭时出示”( 第6 6 条) 以及“人民法 院审理民事案件，除涉及国家秘密、个人隐私或者法律另有规定的以外，应当公 开进行。( 第1 2 0 条) 。此外，2 0 0 1 年最高人民法院关于确定民事侵权精神损 害赔偿责任若干问题的解释规定了在“侵害他人隐私或者其他人格权益 以及 “非法披露、利用死者隐私，其近亲属因此遭受精神痛苦 这两种情况下，受害 人向人民法院请求精神损害赔偿，人民法院应当依法予以受理。 ( 3 ) 侵权责任法的有关规定。中华人民共和国侵权责任法于2 0 1 0 年7 月1 日起正式实施。其中第2 条明确规定，“侵害民事权益，应当依照本法承担 侵权责任。本法所称民事权益，包括生命权、健康权、姓名权、名誉权、荣誉权、 肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、 专利权、商标专用权、发现权、股权、继承权等人身、财产权益。 也就是说侵 权责任法第一次将隐私权单独列为民事权益的一种，具有独立的民事权利地位。 对于网络侵权责任的规定体现在侵权责任法第3 6 条，即“网络用户、 网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。网络用户利 用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、 断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损 害的扩大部分与该网络用户承担连带责任。网络服务提供者知道网络用户利用其 网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。” 根据本条规定，网络侵权的责任主体是网络用户和网络服务提供者，归责原则采 1 4 取过错责任原则，1 1 因为网络侵权责任是一般侵权责任，适用侵权责任法第6 条第l 款规定。同时，网络服务提供者承担的责任包括直接责任和连带责任。1 2 除 这些基本规定以外，侵权责任法未对网络侵权的客体范围、网络用户的侵权 行为内容、以及具体的赔偿范围等问题作出规定。 ( 4 ) 刑法的有关规定。我国刑法在第2 4 5 条、第2 5 2 条和第2 8 4 条中分别规定 了“非法搜查他人身体、住宅，非法侵入他人住宅 、“侵犯公民通信自由权利、 “非法使用窃听、窃照等专用器材，造成严重后果 的情形下，应承担的相应刑 事处罚。 除上述法律规范外，我国关于网络隐私权保护的规定还主要出现在一些行政 法规当中，例如： ( 1 ) 2 0 0 0 年1 2 月2 8 同第九届全国人大常委会第十九次会议通过的全国人民 代表大会常务委员会关于维护互联网安全的规定第4 条规定：“非法截获、篡 改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密，构成 犯罪的，依照刑法有段规定追究刑事责任。 ( 2 ) 中华人民共和国电信条例第5 8 条第二项规定：任何组织和个人不得 “利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动；第6 6 条 规定“电信用户依法使用电信的自由和通信秘密受法律保护。除因国家安全或者 追查刑事犯罪的需要，由公安机关、国家安全机关或者人民检察院依照法律规定 的程序对电信内容进行检查外，任何组织或者个人不得以任何理由对电信内容进 行检查 ；“电信业务经营者及其工作人员不得擅自向他人提供电信用户使用电 信网络所传输信息的内容。对于以上违法行为，构成犯罪的，依法追究刑事责 任；尚不构成犯罪的，由公安机关、国家安全机关依照有关法律、行政法规的规 定予以处罚。 ( 3 ) 互联网信息服务管理办法第六条第二项规定：从事经营性互联网