網絡環境下隱私權的法律規制
——個人信息安全保護

(湖北經濟學院法學院 湖北 武漢 430205)

隨著電子商務、網絡科技的快速發展，信息傳播具有速度快，范圍廣，操作性強等特點，各類生產和生活信息逐漸呈現出數據化、網絡化、社會化的特征，信息已承載了更多利益因素。個人信息已突破表征公民人格權益的基本功能，具備了一定的財產價值。侵害個人信息的方式層出不窮，主要表現為非法獲取公民信息并利用個人信息實施敲詐勒索、電信詐騙等違法犯罪行為，傳統的關于隱私權的法律保護已經不能很好的保護新形勢下公民的個人信息安全。

日常生活中最常見的個人信息泄露表現在有針對性的各種騷擾信息和廣告，然而這些信息的泄露并沒有引起人們的注意。2016年山東“徐玉玉事件”的發生逐漸引起人們對保護個人信息的關注，民事手段已不能滿足普通公民對個人信息保護的需要；因此，網絡環境下的個人信息需要以全新的視角去看待，用更嚴格的措施加以保護。

一、網絡環境下隱私權的界定

大數據時代下個人信息成為一種十分重要的社會資源，個人信息以數字化的方式被儲存、呈現和傳播，其所帶來的安全問題也進入人們的視野，許多人認為隱私即為個人信息，對隱私的保護即為對個人信息的保護，而學界對于隱私權的界定仍不明確。

(一)隱私權的界定

通說認為，隱私權是指自然人所享有的私生活安寧、個人的、與公共利益、群體利益無關的個人信息、個人領域不受他人非法侵擾、知悉、利用的人格權。“隱私”重在強調信息的個人性與隱秘性，據此隱私權內容應當涵括私生活隱私、空間隱私、私生活安寧，而個人信息涵蓋在三個內容中，凡涉及個人不愿為他人所知或對私生活安寧有影響的生活秘密，無論在有形空間還是在無形空間，無論公開會對個人產生積極還是消極的影響，都應受到法律的保護。

(二)個人信息與個人信息權的界定

對于個人信息概念的界定大致可分為個人數據、個人隱私和個人信息三種。各國立法的探索和司法實踐更多的傾向個人信息這一法律概念。個人信息是指有關公民一系列可以被直接或間接識別的可確定身份的信息，它包括一個人生理的、心理的、社會的、經濟的、生活的各個方面的內容。個人信息權也可稱之為信息自決權，自然人依法對個人信息享有的支配、控制、查閱、修改并排除他人干涉的權利，個人信息權是一種獨立的權利，和隱私權有本質上的區別。國家和相關組織出于管理、服務的需要，個人信息的一部分公之于眾，但仍不容隨意修改和肆意利用，個人可通過合法的方式獲得救濟。

二、網絡環境下個人信息保護的立法

(一)侵害個人信息的主要形式

從侵害的主體來看，侵害由具有特定目的的商業機構或者是個人實施，詳言之，其一般是借助網絡平臺進行個人信息的收集。

1、個人信息被正當收集的平臺賣掉

阿里平臺此類線上平臺收集個人基本信息、個人使用服務過程中的信息以及從第三方獲取關于個人的盡可能詳細的信息。它將所收集到的信息與第三方共享，包括淘寶的關聯方和可信賴的合作伙伴，但這種信息的共享，并沒有出于用戶的真實意思表示。而且它所儲存的個人信息詳盡而豐富，在這種情況下，個人信息便赤裸裸的展現在他人面前。如若處理不好平臺背后的服務器安全，將導致大量的個人信息泄露。

2、專門收集個人信息的虛假平臺

通過開設與真實網站極為相似的虛假網上銀行、虛假慈善、交易平臺，或在電腦、手機安裝軟件過程中夾帶惡意程序，獲得讀取聯系人、存儲空攝像頭等權限騙取公民身份信息、銀行卡信息和密碼等，這也是廣大網民在網絡活動中常常忽視的，可以預見，在銀行等金融機構可以進行人臉識別辦理業務的情況下，軟件在獲得讀取手機存儲權限、攝像頭的情形下完全可能收集到辦理相關業務的全部個人信息，這應當是網絡交易服務商所應當考量的要素。

3、網絡黑客盜取個人信息

黑客攻擊是個人信息泄露的一種重要形式，其一般是針對特定主體，攻擊特定目標的后臺信息存儲系統而造成個人信息的大量流失；也可能通過不特定的網絡用戶傳播網絡病毒誘導用戶下載或使用數據，黑客只需要三個步驟：建立一個虛假的無線網絡環境；用戶連接，記錄用戶輸入的信息；用戶安裝更新包，一旦安裝，就在用戶不知情的情況下黑客獲取到了用戶的個人信息。

(二)個人信息保護的立法：部分國家保護網絡隱私權的借鑒

目前各國對于個人信息的保護所采取的立法方式無外乎兩種：一種是制定單獨的個人信息保護法(綜合立法模式)，第二種是通過不同法律來保護個人信息(分別立法模式)。兩種立法方式雖各有利弊，仍在不同程度上加強了對于個人信息和隱私的保護。

1、美國

美國沒有制定單獨而完整的一部法律來保護個人信息，而是通過長久以來的形成的不同法律來保護。自上世紀60年代開始個人信息的立法保護，有關的規定愈加嚴厲。但美國涉及到個人信息保護的法律大多是以制衡政府權力為目的，但也不乏對于社會團體的制約。《聯邦行政程序法》、《信息自由法》主要是規定民眾在獲得行政情報方面的權利和行政機關在向民眾提供行政情報方面的義務。《隱私權法》目的在于規范行政機關掌握個人信息的規則，并保護國民的隱私權，具有維護公民隱私與規范政府行政公開的雙重性質。美國于1971年4月開始實施《公平信用報告法》，旨在限制社會團體，尤其是涉及到公民個人信用評級的信用機構、銀行及其他個人信用使用者，該法明確了管理個人信用信息的三個政府機構，并且對于個人信用的社會調查機構的經營方式提出嚴格的規范，以防止個人信息的泄露。關于弱勢群體的保護，美國的《家庭教育權利與隱私權法》、《兒童網上隱私保護法》對未成年人的保護可謂面面俱到，無論是成績還是網絡歷史痕跡都有嚴格的限定，其他機構的收集行為會被視為非法，并將承擔由此引起的法律后果。

2、歐洲

歐盟以法律規制模式為主導，1995歐盟通過了《個人數據保護指令》，該項指令幾乎包括了所有關于個人數據的處理。根據該指令，資料控制者的義務主要有：保證資料的品質、資料處理合法、敏感資料的禁止處理與告知當事人等。資料當事人則享有接觸權利與反對權利，并有權更正刪除或封存其個人資料。此外，該指令還規定歐盟各國必須根據該指令調整或制定本國的個人數據保護法。以德國為例，德國對個人信息保護的立法走在世界前列。德國的《聯邦資料保護法》要求政府要在收集、處理數據的過程中對公民個人信息給予統一充分的保護。1997年德國又出臺了一部電信服務數據保護法,對網絡運行過程中可能產生的侵害個人信息的情況進行了嚴格規定。

3、日本

日本于1988年制定《行政機關保有的利用電腦處理的個人信息保護關系法》，與美國限制行政機關的法律類似，該部法律著眼點也在于對政府處理的個人信息進行規范而后擴大到規范其他個人信息業保有者的資料處理行為。2003年日本出臺了《個人信息保護法》五法案，旨在限制社會在處理個人信息的過程中所導致的企業大量流失個人信息、非法買賣個人信息的問題，以此為基礎形成了一套完善的個人信息保護法律，之后又不斷進行修訂、優化。2015制定的《個人號碼法》修正案也以防止個人信息被不當使用為目標，成為對個人信息保護立法較為全面的國家。此外，日本設立專門的機構——個人信息保護委員會專門負責個人信息的保護，并以專門法律規定機構所屬、任務、管轄事務、委員任期等一系列內容。在個人信息保護政策方面，日本法律對于地方政府和法人團體都提出了相應的要求。

三、網絡時代對我國隱私權保護的建議

國內關于個人信息保護的法律法規看似不少，然而內容分散，層級偏低，不成體系缺乏操作標準，執法主體缺位，力度不足，導致公民通過法律保護自己的個人信息時往往告狀無門。

(一)憲法的法律保護及完善

我國現行的《憲法》是2004年修正的，由于當時的互聯網普及程度不高，電子商務剛剛起步，信息科技遠不如現今發達，立法者并沒有預見到大數據時代的快速到來，導致其中并沒有明確提及“隱私權”或是“個人信息”的內容，第三十八條，三十九條，四十條均提及傳統隱私權所涉及的內容：“人格尊嚴”、“住宅”、“通信自由與通信秘密”，這明顯不能夠滿足現今時代發展的需要，因此，有必要在修憲活動中予以適當的完善。

憲法保護的隱私權首先需要防御的是立法機關對于個人私人生活自由的侵犯，為公民隱私權與公權力間筑起一道憲法保護防線。

(二)民法的法律保護及完善

1.最新實行的《民法總則》第一百一十一條明確了對于個人信息的法律保護，第一百二十七條明確了對虛擬財產的保護，除《民法總則》以外，其他法律并無太多有關個人隱私的規定。之前有學者認為在遇到網絡個人信息泄露時，可以參照名譽權的規定，現在看來，立法者已意識到名譽權已不足以應對個人信息安全保護的需要，甚至是兩個完全不同的權利，個人信息的泄露不一定要侵害他人的“名譽”，因為現今的個人信息更多地涉及到“財產”的層面，而不是侵犯名譽那樣簡單。

2.《侵權責任法》中規定了一些較為常見或者特殊的侵權及處理原則，但并沒有對具體行為進行規制。《侵權責任法》第三十六條主要對網絡侵權的責任問題做了簡單規定，如果是較為特殊的主體利用網絡實施侵害行為時，網絡服務提供者是否刪除就可以呢？如果網絡服務提供者自身利用服務器刪除正當信息而侵犯他人言論自由時，提供者是否應承擔相應的責任？此時的責任可能不單是簡單的侵權、更關乎到一個行業的行業規范，是否可以對企業或者責任人予以相應的處罰或者行業禁止。我國正在推進個人信息安全保護的立法，很關鍵的一點就是現代個人信息存在方式、傳播途徑呈現多樣性，而以網絡形式存在的侵權更為復雜，傳統的問題解決方式不足以應對網絡的千變萬化。因此，在個人信息安全保護的責任方面，立法應當重視社會團體、組織、行政機關的作用，嚴格這類團體的社會責任；在民事救濟上，個人信息安全立法的事后賠償可以參照《消費者權益保護法》，只有這樣才可能起到救濟、震懾的作用。

3.有關司法解釋的規定。1990年《關于<中華人民共和國民法通則>若干問題的意見》以及1993年《關于審理名譽權若干問題的解答》根本不足以應對現在的網絡信息侵權。隨著司法實踐的深入，立法機關對網絡環境下個人信息受侵害的案例收集增多，關于不同情況應作出相應的司法解釋以補充具體法律。

(三)刑法的法律保護

刑法強調對個人信息數據的保護體現在《刑法》第二百五十二條、二百五十三條，網絡領域隱私權主要涉及有關個人的數據資料、個人行為和附屬于個人的空間領域三個方面，我國現行《刑法》在個人行為和個人空間領域的保護還是處于一片空白。現行《刑法》關于網絡隱私的刑法規定中依然存在有缺陷：公民網銀賬號密碼的盜取、注冊信息的盜取，此類較為復雜的犯罪不能簡單地以盜竊罪或者是詐騙罪進行處罰，更應當受到關注和懲罰的是其背后非法利益鏈條的運作。“情節嚴重”是否需要將信息數量、獲利多少作為區分界線仍然值得探究。兩高在關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋中對侵犯公民個人信息的使用目的、罰金規則等做了較為實用的具體性規定，這在具體司法實踐中是一個較大的進步。

(四)行政法的保護

公共權力能夠克服公民個人力量所不能，權利人的隱私權遭受不法侵害時，在沒有行政法的介入下很難完成隱私權的保護。現代社會對政府辦事透明化的需求使得行政公開的制度構建與個人隱私權產生了界定必要，個人隱私權的保護也是屬于行政公開的必要組成部分，還要重點劃分好個人隱私和政務公開的邊界。

行政公權作為一個強有力的社會秩序穩定力量，不同的行政部門可以引導本部門所監管的相關行業制定本行業的準入性、自律性、處罰性規則。比如電子商務行業，可以對于涉及到在交易過程中非法侵害消費者個人信息的個人或者單位設置行業黑名單，將侵害者永遠排除于本行業之外，行為嚴重的，應及時移送公安機關，并在工商部門設置黑名單，以此保證行業的安全。通過政府、行業組織積極配合的方式嚴打個人信息泄露，從源頭上遏制此類非法行為。同時，網絡信息監管者應加強網絡安全監管，提高網絡警察的執法能力和執法效率，及時發現網絡環境中存在的個人信息安全隱患。在網絡環境之外，可以對專業的網絡工程從業者設立準入門檻；建立網站責任人制度，網站負責人有義務保證本網站的環境安全，對于網絡信息發布單位審核其發布信息審核負有責任；建立必要的信息安全保護機制，提高公民的自我保護意識，形成安全向上的社會風尚。

【參考文獻】

[1]王利明.論個人信息權的法律保護——以個人信息權與隱私權的界分為中心.[J].現代法學.2013(7)

[2]童俊.個人信息法律保護的法理學研究.[J].法制與社會.2015(1)

[3]陳巧蘭、戴冰瑩.大數據時代個人信息安全保護探析.[J].河南圖書館學刊.2016(3)

[4]楚侖.隱私與個人信息的區分——個人信息權益立法保護的路徑選擇.[C].2015(3)

[5]吉朝瓏.網絡隱私侵權之法律規制.重慶郵電大學學報.[N].2009(1)

[6]李旭明.政府網絡監管的法律規制——以公民隱私權保護為中心.廣西民族師范學院學報.[N].2012(3)

[7]姜瑛.網絡隱私權的規制困境與對策.法制與社會.[J].2016(1)