（精选）略论网络个人数据的隐私权保护Word版

1、略论网络个人数据的隐私权保护摘要 网络的应用和普及在带给人类福祉的同时也将人类的隐私置于极为尴尬的境地：网络环境下的个人数据隐私权正受到前所未有的侵害并带来了严重的后果，隐私权的法律保护正在经受前所未有的挑战。因此，深入探讨隐私权法律制度，特别是研究网络时代如何完善中国公民个人数据隐私权保护问题显得非常必要，并从中尝试对网络环境下个人数据隐私权的保护提出自己的建议。关键词 隐私；隐私权；网络；个人数据；个人数据隐私权随着现代科学技术的迅猛发展，特别互联网的迅速发展以及电子商务这样一种全新的经营模式的广泛普及，人类已进入以计算机技术、信息技术和网络技术为基础，以多媒体技术为特征的网络时代。在网络

2、社会，人们可以体味网上冲浪信马由缰的感觉，可以感受到电子邮件、网上聊天的跨时空交流的便利，可以享受到足不出户而纵览天下事的乐趣。然而，互联网亦在造福人类，带给人们极大便利和利益的同时，也使人类置身于一个自由、开放、无国界的、几乎透明的“玻璃社会”，将人类的隐私置于极为尴尬的境地，隐私权的保护正在经受前所未有的挑战，其中网络个人数据隐私权被侵犯的现象比比皆是。凭借高科技手段，人们对他人数据的获取和侵犯变得轻而易举，网络空间的隐私权比物理空间的隐私权更难设防、更难控制。在经济利益的驱动下，网络公司纷纷利用先进的技术大量收集网民的个人数据，更有甚者，不少专业的数据公司将广泛收集到的各种个人数据待价而

3、沽，公然出售。因此，对网络个人数据隐私权的保护已成为网络时代迫切需要解决的问题，它不仅关系到所有网民的切身权益，而且对于我国网络经济和电子商务的进一步发展，对于经济社会的稳定具有至关重要的意义。一、隐私与隐私权学术界一般认为，1890年法学家萨缪尔·D·沃沦和路易斯·布兰戴斯在哈佛法律评论第4期上发表的隐私权(The Right to Privacy)一文为严格意义上的隐私权概念的首次提出。他们把隐私权界定为“不受干扰的权利(the right to be alone)”，“保护个人的著作以及其他的智慧或情感的产物之原则，是为隐私权”。 但是世界各国(地区)对隐私

4、一直没有形成一个比较统一的看法。国外法学理论中有“信息说”、“接触说”和“综合说”等。信息说认为隐私权所保护的是个人信息。接触说认为隐私权是指个人有权控制他人对其接触的一种状况。综合说认为，“隐私权是个人对其私人领域的一种控制状态，包括决定是否允许他人对其进行亲密的接触(包括个人信息的接触)的决定和他对自己私人事务的决定”。在我国，学者们对隐私权的定义也不尽相同，仁者见仁，智者见智。有的学者认为，“隐私权也称私生活秘密权，是指公民以自己的个人生活秘密和个人生活自由为内容，禁止他人干涉的一种人格权”。有的学者认为，隐私权指“自然人享有的对其个人的与公共利益无关的个人信息、私人活动和私人领域进行支

5、配的权利”。但一般认为，隐私权是指自然人享有的私人生活安宁与私人信息依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权，其主要内容包括个人生活安宁权、私人信息保密权、个人通讯秘密权及个人隐私利用权等。二、网络个人数据隐私权概述(一)网络个人数据信息时代，个人信息与自然人的存在是密不可分的，甚至在网络空间，信息即是自然人的存在方式。自然人在网络中的表现形式就是姓名、性别、年龄、履历等信息，相关的信息即可表征该自然人。网络环境下，以上个人信息均以数据的形式在网络空间存在。所谓数据，一般人将其理解为数值，即“进行各种统计、计算、科学研究或技术设计等所依据的数值。”而在计算机科学或信息

6、科学领域，数据是信息的结构单元，有广义与狭义之分。广义的数据指的是储存于计算机系统中的所有信息；狭义的数据则是指储存于计算机系统中的、除计算机程序以外的一切信息资料。在数据库里，数据都是以数据形式，即通常是采用二进位的计算方式存在的。因此，为了把网络空间的个人信息与传统隐私权保护的个人信息相区别，根据其存在形式和内容的不同而称为个人数据。个人数据作为网络个人数据隐私权的客体，其特征至少有如下几点：首先，个人数据主体对自己的个人数据依法享有所有权，即具有占有、使用、收益和处分权。个人数据主体指的是个人信息被作为数据加以收集的自然人，而不是该数据的用户。数据用户是指合法地收集、有限制地控制，使用有

7、关数据的个人或组织。明确个人数据主体是生成该数据的自然人，是保护个人数据的必要前提。其次，个人数据是足以对主体构成识别的数据。对数据主体的识别可以是直接识别，即直接通过数据中所反映的主体的直观特征加以识别；也可以是间接识别，即必须通过分析、核查、比较有关数据主体的生活的、经济的、文化的或社会身份等多项信息才能判断出数据主体的识别。有学者认为网络个人数据隐私权的客体 个人数据包括个人的所有信息，但是个人数据范围甚广，其中有属于隐私范围的数据和非隐私数据之分，因此，作为网络个人数据隐私权客体的个人数据仅指隐私数据，包括个人在网上所传输的个人可识别信息(personal individual ide

8、ntifiable informarion)和其它新兴的数据。第三，个人数据控制权丧失后具有不可恢复性。个人数据控制权的丧失并不意味着主体对该数据的物质形态失去了控制，而是对该数据价值形态失去了控制，即该数据为数据使用人所产生的利益是无从追索的。最后，个人数据集合体的价值具有倍增性。在市场经济条件下，单一的个人数据的意义并不太大，但是，只要其收集的个人数据数量大到一定程度，其经济价值就可能大到令人难以测算的程度。也就是说，单个数据的汇聚是数据集合体价值倍增性的基础，而众多个人向数据收集者提供数据是数据库得以形成规模效应的前提。(二)网络个人数据隐私权的主要内容网络个人数据隐私权的内容实际上就是

9、网络数据主体的权利和义务主体的义务。根据有关学者的观点和世界各国的立法，数据主体应具有以下权利：1、知悉权数据主体不仅有权知道网站收集了哪些信息，以及这些信息的内容是什么，而且数据主体还有权知道这些信息将用于什么目的，以及该信息会与何人分享。当网站搜集的是数据主体的个人信息资料时，数据主体就有权知道上述事项，否则这种知悉权是不完整的，当然也就无法充分、正确地行使选择权。2、选择权数据主体选择权主要体现在个人信息资料的收集和使用上。但对于数据主体选择权的切实行使，有不少顾虑。在目前情况下，绝大多数的网站所提供的服务都与数据主体付出的信息资料直接相连。从表面上看这似乎是平等的，个人付出的信息资料多

10、，所获得的服务也多。可是仔细分析可以发现却是不公平的。因为在E1前情况下，如果不提供个人信息，或者不完全提供网站所需的全部个人资料，就无法获得网站的绝大部分服务，甚至是拒绝访问。这样数据主体选择权就局限在“进人”与“退出”的范围内。既不利于数据主体选择权的充分实现，也不利于信息的自由流动，更不利于网站的长远发展。所以选择权的真正实现尚待时日，尚需各方的共同努力。3、支配权即隐私权的核心。这一权利包括合理的途径访问个人资料，并对个人信息进行公开、修改、补充、删除等，以保证个人信息资料的准确、完整。4、安全请求权不论网站所收集的是何种个人信息只要涉及到网络个人数据隐私权，就必然与信息资料的安全问题

11、有密切关系。不论是人为的信息泄露或被窃取，还是技术上的缺陷，操作上的失误致使信息资料或者数据的丢失，都将严重地影响着个人信息资料的正常使用和网络个人数据隐私权的保护，所以个人信息资料的安全是网络个人数据隐私权制度的基础。从网站的角度而言，理所当然地负有保证该信息安全的义务。而从保护个人数据隐私权角度来讲应当赋予数据主体请求权。一方面有权要求网站采取必要的、合理的措施，保护用户的个人资料信息的安全；另一方面当网站拒绝采取必要措施或技术手段以保证用户网络个人信息资料安全时，数据主体有权提起诉讼或根据协议申请仲裁。不应当只停留在网站的自律上。数据主体享有安全请求权，相应的网络隐私权的义务主体(所有的

12、合法知晓与掌握个人数据的有关机关、组织或个人)应当遵守合法取得、合理使用、告知、保证数据完整及保密的义务。(三)侵害网络中个人数据隐私权的表现行为1、非法获取信息(1)使用cookiesCookies是用户访问过的网站存放在用户硬盘驱动器上的小数据文件，可使服务提供者在下次接网时认证用户的身份，并能够在用户网址上“复制”其看过的内容。Cookies通常被用来追踪用户的浏览器轨迹或在线购买信息，网站经营者包括广告商收集到用户不愿为他人所知的信息，以此分析用户的兴趣爱好，有时还会将信息售予第三人，而用户却毫不知情。通常网站本身较少需要此类信息，而广告商是大量的信息需求者。但不论是广告商自己还是商业

13、网站运用Cookies收集用户信息，都是出于商业目的考虑。在缺乏数据保护规范的国家，由于没有明确将个人数据纳入法律保护范围，Cokies的使用者对于自己的行为是否违法缺乏一定的认识，或者认识到有侵权的可能性但是乐得“无法可依”只要确定相关立法，这方面的侵权行为就可以在一定程度上得到控制；而在个人数据被列为法律保护对象的国家，侵权者明知违法而有意为之，应当严惩不贷。(2)在免费软件内安插广告免费软件实际上就是共享软件。共享软件以“满意付费”为原则，用户可以先将软件下载使用，试用满意后，再付钱注册或购买无功能限制、无时间限制的正式版。软件厂商通过这种模式推广他们的产品，消费者可以尽情挑选符合自己需

14、求的软件。但是，有些用户只对试用感兴趣，而不愿意花钱注册，注册的使用者寥寥无几，再加上软件破解工具猖獗，为了追求利润，软件商们又换了种花样，改与广告商合作，在软件内安插一个小广告，当消费者上网并使用这类软件时，软件就会自动链接上广告商的服务器下载广告。消费者只需忍受广告，就可以免费使用功能完整的软件。软件商靠软件里的广告获取收入，而广告商通过广告来了解用户的喜好，从中获利，双方各取所需。此类免费软件，被称为Adwa，我们常用的FoxMails就属于这一类。(3)使用“木马”“木马”这种病毒程序，可能使电脑用户的隐私暴露无遗，尽管“木马”本身不会对电脑本身构成损坏，但它会暗中将用户的私人信息发往

15、其它IP地址，使个人隐私受到侵犯。著名电脑病毒防治公司赛门铁克公司曾经报道，Grokster、Limewire文档共享软件中捆绑的名为“Clicktilluwin”的广告软件内含有一个名为“W32DIDer”的程序，该程序会自动安装，可被归类为特洛伊木马病毒(Trojan hoF$e)。赛门铁克建议用户在安装文档共享软件之后扫描电脑，确保“w32DIDer”程序代码被彻底删除。“木马”使得人心惶惶，用户上网，可以看到在许多大型的网站上都有提醒用户小心“木马”的警示语句。(4)雇主监视雇员雇主们监视员工在工作场所的表现早已不是什么新鲜事，监视手段随着科学技术的进步也越来越先进。早期，通常采用闭路

16、电视摄像机、监听装置等。网络时代方法则更加高明，因为计算机是办公必不可少的设备，同时有许多的追踪软件和监视软件可资利用。公司为防止员工利用电子邮件将商业机密向外散布，会监视员工的电子邮件，在这方面，美国有若干个案例。这些案例的法官判定，为保障公司的利益，公司有权对此类电子邮件进行监控。理由是员工在利用公司设备传送电子邮件时，应当认识到公司会对员工在公司内的行为进行管理，因此对隐私权的保护持较低的期望值。美国本属判例法国家，有上述判例为依据，公司更可以恃无忌惮地窥探员工的电子邮件，侵犯员工的隐私权。据报载，上海已有几十家企业开始使用“网络神探”以制止公费上网及利用企业网络干私活的现象。“网络神探

17、”，指的是一种新开发的“监工”软件，它颇似一位隐身企事业局域网上的“电子工头”，能将每个员工在网络工作站上的所作所为以图像形式记录下来，企事业负责人只要打开浏览器便可一目了然。2、不恰当地共享或披露用户信息并非所有的信息都是通过非法得到的，使用正当的程序往往也能收集到想要的信息。通常有两种方法：(1)要求用户注册许多网站通过在线注册等方式直接从访问他们的用户那里收集信息。有些网站的网页通常要求用户注册后方能进入。注册要求提供的信息包括姓名、性别、出生年月日、住址、电子邮箱、职业、收入等等。上述几个栏目通常是网站要求用户必须填写的，必填的栏目未填，则拒绝用户提交注册表。通过在线注册来收集信息，用

18、户可以自行决定是否将个人信息提交给网站，网站相应地提供一些优惠，诸如允许用户访问全部或部分站点，更新版本、时事通讯等等，以吸引用户注册。直接收集是以明示的方式收集个人信息，从表面上来看，用户事先被告知，并可自由决定是否透露个人信息。但实际上，用户的选择范围过于狭小，以申请电子邮箱为例，用户想要发送E ail，就必须使用电子邮箱，而几乎每一个提供邮箱服务的网站都要求用户注册，用户的选择结果不是A站就是B站。换言之，用户要想享受此类服务，就得提供个人信息作交换。(2)查询公用记录通常是到一些公共网站查询公用记录，从中获取个人信息，然后经过分析比较、整理归类，形成所需信息。许多政府机构或社会团体为了

19、公益的目的，会开设公共网站，存储个人数据，同时允许公众访问。政府信息化建设也使政府将公民的部分登记档案电子化，以备公众查询。公共网站对于来访大多不作限制，且提供的个人数据是经过系统l的调查取得，可靠性较高，因此，极易成为个人数据的原始来源地，从而成为别有用心者的利用工具。一些网站专门从公共站点收集个人信息，分门别类进行汇总，然后将之用于其他目的。不论是否使用正当的方法收集个人信息，个人信息被获取后，都有可能被不当使用，用户将信息提供给网站，善意地相信这些信息只会被用于网站告知的使用目的，但实际上，信息往往被用于其他目的，并有可能售予第三人，一些专门出售个人资料的公司通过各种渠道收集了许多个人信

20、息，而后公开标价出售。三、对我国网络个人数据隐私权保护的思考与建议(一)建立完备的法律法规保护体系1、明确网络个人数据隐私权的立法原则首先，必须在数据主体个人利益与行业利益、国家利益之间做出合理的平衡。在信息时代，信息的作用不言而喻，因此，单纯限制或取消对信息的收集和利用行为显然是不切实际的，“在信息时代，找到正确的平衡点是对负责任的信息使用的一种挑战”。 对于网络个人数据隐私权的保护，若一味采用高标准的法律规范，则过度保护的结果将降低业界的积极性，失去发展电子商务的契机，而过于宽松的立法亦会使网络个人数据隐私权侵权事件频繁发生，极大的打击消费者的信心，最终导致电子商务的发展因失去广大的人力资

21、源基础而停滞不前。因此，网络个人数据隐私权立法的首要原则应是兼顾以数据用户为代表的行业利益和数据主体的隐私利益，并使两者尽可能的处于动态的平衡之中。网络环境中，政府为了更好的为国民服务，管理国家的公共事务，必然要对网络实行管制和对个人资料进行收集和利用，这就涉及国家利益和个人利益的冲突与协调，而立法的目的在于寻求它们之间的相对平衡点。一般来说，在个人利益和国家利益发生冲突时，国家利益是高于个人利益的，即在两者均存在的情况下可能要涉及到舍弃部分个人利益而追求国家利益的完整性。可见，网络个人数据隐私权的立法应遵循利益平衡的原则，使个人利益、行业利益和国家利益得到相应的保障。其次，应以保护个人隐私为

22、首要目的，以促进电子商务的发展为最终目的。以保护个人隐私首要目的是“人权”思想在立法中的重要体现，立法者应充分考虑社会整体维权意识的需求。以促进网络业和电子商的发展为最终目的就是要求立法者以促进网络业和电子商务发展为中心，创设个人数据隐私权保护的法律制度，“法律只能尽可能地约束个人资料的搜集基于合理的目的以及合理的加以利用，防止资料搜集者滥加使用，而不是将合法搜集也一并制止杜绝”。因此，立法的首要任务是在充分保护个人数据隐私权的前提下，保证电子商务企业合理利用个人数据资料，最终促进网络业和电子商务发展。再次，应遵循信息自由流动与个人数据保护并重的原则。在网络时代，信息具有不可替代的重要作用，若

23、完全禁止对数据的搜集显然是违背客观实际的。要获取信息，取得在竞争中的优势，信息的自由流动是必要的；同时，也不能忽视对个人数据保护，因为它关系着个人对网络业和电子商务的态度，关系着社会的安定。因此，在制定个人数据隐私权保护法时，既要充分保障信息的自由流动和合理使用，又要保障个人数据不受非法的侵害。2、网络个人数据隐私权的立法内容首先，必须完善民法。由于法律对一般隐私权保护上的缺失，使得欲对网络个人数据隐私权加以规范必须先完善一般隐私权规则。因此，在我国正在起草的民法典中应确立隐私权的独立权利种类地位，将隐私权与姓名权、名誉权、肖像权、生命健康权、人身自由权等区别开来，并兼顾现实社会与网络虚拟社会

24、的要求在总则或基本原则部分对隐私权的保护做出原则性的规定。其次，要制定专门法。网络隐私权的专门法律保护已成为国际立法的趋势，随着我国经济的发展，必将使其法律与国际立法相接轨，因而制定一部专门保护网络个人数据隐私权的法律个人数据保护法就具有极大的现实意义。再次，要制定相关特别法。网络中个人隐私权的保护涉及到网络各个方面，故需要制定相关特别法性质的法律、规章。此外，个人数据保护是一项内容复杂、覆盖面广、技术性强的综合性社会问题，它不仅需要从民法、个人数据保护法、相关特别法的角度，也需要与其他法律如行政法、刑法、诉讼法等法律相衔接，应在其中增加相关条款弥补这方面的不足。同时，应与国际接轨，运用国际公

25、约中对公民隐私权的保护规定，来加强对我国公民隐私权的保护，例如世界人权公约、公民权利和政治权利国际公约等。通过民法典、个人数据保护法、相关特别法和其他法律对网络个人数据隐私权的规范，初步建立起以民法为重点、个人数据保护法为核心、相关特别法和其他法律为辅的、较为严密的自上而下、逐层具体的网络个人数据隐私权法律法规保护体系。(二)技术规制与网络用户的自我保护无论法律规范或业界自律的成效如何，鼓励网络消费者使用自助式科技(selfhelp techonology)来自觉保护个人资料，也是行之有效的方法。麻省理工学院(MIT)研究开发的The World WideWeb Consordium(W3C)

26、标准就是一个例子。W3C技术在各色信息横行网络的今天，可以帮助父母为子女筛选网络内容(internetcontent selection)该技术软件的运作方式，类似电视节目内容的分级制度(ratingsystem)，即以各个网站提供个人资料保护的程度高低作为分级的重要标准，父母可为子女选择那些提供个人资料保护等级较高的网站，从而对网站肆意侵犯儿童个人生活少一些优虑。再如引人注目的“谍对谍”现象，即用以反制侵犯个人资料权的收集技术的计算机软件或科技手段，越来越多地开发研制和投人市场应用。例如著名的个人隐私偏好平台P3P软件，通过一个共通的隐私权保护措施和技术通讯协定，在网络经营者收集个人资料时，

27、提供使用者是否同意提供个人资料的程序选择权。一旦使用者和网络经营者一致同意一项个人隐私协定，资料的收集将在一个比较安全的环境下进行，使用者也可随时掌握自己的资料应用情况。P3P提倡消费者“拒绝的选择权”的定出规则，以对话框的形式出现，消费者点击的项目为其明确表示反对收集和利用的个人资料，其他未选的个人资料项目视为消费者默示同意网络服务商收集和利用。近来，欧盟对于某些这类技术进行评估，声称这些工具性的技术软件并不能完全取代网络隐私保护的法律框架，而仅具有辅助保护的作用。同时，还应该在网络用户中树立个人数据隐私保护的观念，并在实际的操作中注意：首先将重要资料和网络物理隔离。当计算机中有重要资料时，

28、最好的办法就是将重要的资料和上网的计算机切断连接。这样，可以有效果地避免被人侵的个人数据隐私权侵害和数据库的删除、修改等带来的经济损失。其次在重要文件的传送过程中，使用加密技术。在计算机通讯中，采用密码技术将信息隐蔽起来，再将隐蔽后的信息传输出去，使信息在传输过程中即使被窃取或截获，窃取者也不能了解信息的内容，发送方使用加密密钥，通过加密设备或算法，将信息加密后发送出去。接收方在收到密文后，使用解密密钥将密文解密，恢复为明文。如果传输中有人窃取，他只能得到无法理解的密文，从而保证信息传输的安全。最后在计算机系统中安装防火墙。防火墙是一种确保网络安全的方法。防火墙可以被安装在一个单独的路由器中，

29、用来过滤不想要的信息包，也可以被安装在路由器和主机中，发挥更大的网络安全保护作用。(三)行业自律大量事实表明，对于互联网行业而言，网络生态环境已经发生极大的变化。在法律法规还不能及时到位和完善的今天，网络企业必须承担相应的责任。1、成立行业个人隐私保护协会由该协会制定出行业指引即在线隐私指引，主要包括以下两方面内容：第一，制定内部个人资料安全维护计划，保证个人数据资料在网上传送和储存过程中的安全性。该计划应当包括网络个人数据隐私权保护的发展规划、原则，并在系统安全、资料稽核、硬件设备管理、接触人员管理等方面做出规定，从而促进从事网络活动的商业机构自我规范；第二，规定各网站制定个人数据隐私保护政策，并在网站主页的显著位置予以明示。内容包括：告知网站收集个人数据信息的目的、方式、范围、用途；明确告知数据主体对其个人信息所享有的知悉权、选择权、支配权等权利及其实现的途径；网站对个人数据信息提供保密和安全措施的承诺及具体措施；数据主体的救济途径；免责情形等。2、成立第三方认证机构 网络隐私保护认证机构对各个网络运营商个人隐私保护政策的执行情况进行监督、审查、评估和认证，并授权通过认证的网络运营商使用其认证