电子商务法第11章网络隐私权精课件

1、电子商务法 第11章 网络隐私权隐私权的概念隐私权是指公民享有的私人生活安宁与私人信息依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开等的一种人格权。 隐私权深入到日常生活的细节和内心世界来保护自然人的人格和精神状态，是一种高层次的人格权。 隐私权的意义隐私权就是公民对其个人秘密的自由决定权，它划定了个人空间与公共空间的界限，保障了个人内心世界的安宁，维护了个人的人格独立、人格自由和人格力量。 隐私权的特征：（1）隐私权的本质。必须纯粹是与公共利益、群体利益无关的个人“私事”。任何公共的、群体的或与之有关的事情都不能成为某个人的隐私。（2）隐私权的范围。即它必须严格限定在个人信息、私人活

2、动的私有领域这个有限的范围之内。主要是指个人信息，主要是指一切属于自然人的消息、状态和属性等等。（3）隐私权的独享性。即它必须是权利所有人不愿意被他人知悉或干涉的“隐”事。隐私权的内容 1个人生活安宁权。 2个人生活信息保密权。 3个人通讯秘密权。 4个人隐私利用权。 5隐私知悉权。6隐私修改权。 个人数据的概念 电子商业中的隐私权的主要内涵是个人数据和信息的商业利用问题。 个人数据是由有关一个活着的人的信息组成的数据, 对于这个人，可以通过该信息识别出来。 个人数据是指有一个可识别的自然人的任何信息，不局限于以可处理形式存在的信息，它包括任何种类和任何形式的信息，只要这种信息是有关个人的，不

3、论是活着的人或死去的人，并且只要这个人或者这些人是可以识别的。 个人数据的特征 第一，个人数据的范围非常广泛。包括一切有关个人的信息，从生理的到思想的，从个人本身的到社会关系的，从有生之年到死后，还包括人们对他的评价。 第二，这些数据是有关“个人”的，这个“个人”既包括自然人，也包括由自然人组成的家庭的整体。 第三，数据主体必须是可以识别的。第四，个人数据受到法律的保护。 数据主体的权利 控制权获取权 知悉权 修改权 抗辩权 诉讼权权利豁免 各国保护隐私权的立法 1966年美国的信息自由法1973年瑞典数据法 1974年美国隐私法 1974年联邦德国联邦数据保护法 1978年法国数据处理、档案

4、与自由法 1980年欧盟关于保护自由化处理过程中个人数据的条例 1982年加拿大颁布隐私保护法 1984年英国颁布数据保护法 各国保护隐私权的立法1980年OECD经合组织发表关于保护隐私和个人数据跨国流通的指导原则 1980年美国颁布电子通信隐私法 1988年日本颁布个人信息保护法 1990年欧盟颁布欧共体关于数据保护的指令草案 西班牙、瑞士、丹麦、挪威、卢森堡、新西兰、意大利等国也制定了专门的数据保护法。 美国的隐私权立法情况 1967年的信息自由法 1979年的隐私法 公平信用报告法家庭教育及隐私权法 财务隐私法 公平信贷单据法 加州的隐私与有线电视法 伊利诺斯州的通信客户隐私法 纽约州

5、的个人隐私保护法 美国的隐私权立法情况1993年，克林顿政府为实施其NII行动计划，成立了信息基础结构特别工作组(IITF)，下设政府信息工作组、隐私工作组和知识产权工作组 1995年6月，隐私工作组发表一份题为价人隐私和国家信息基础结构：提供和使用个人信息的原则 1986年的电子交流法案 国际组织隐私权立法 经济合作与发展组织(OECD)隐私个人资料保护基准 欧盟个人资料保护指令 GIIC电子商务工作委员会发布了关于电子商务实施方案调查的总结 国际劳工组织(IU)1996年通过有关保护劳工个人数据的ILO实用法规 国际标准化组织(ISO)消费者政策咨询委员会提出了适用于电子商务的个人隐私国际

6、标准 隐私权的保护方式 （1）、直接保护法律承认隐私权为一项独立的人格权，当公民个人的隐私受到侵害时，受害人可以以侵犯隐私或隐私权(infringement of privacy)作为独立的诉因，诉诸法院请求法律保护与救济，是为隐私权的直接保护方法。 隐私权的保护方式（2）、间接保护法律不承认隐私权为一项独立的人格权。当公民个人的隐私受侵害时，受害人不能以侵犯隐私或隐私权作为独立的诉因诉诸法院请求法律保护与救济，而只能将这种损害附从于其他诉因（如名誉损害、非法侵入等）请求法律保护与救济，是为隐私权的间接保护。我国属于对隐私权采取间接保护方法的典型例证。 网络隐私侵权 网络时代对隐私权关系的影响

7、，一言以蔽之，就是造成隐私的失控。 擅自在网上宣扬、公布他人隐私 篡改、监看他人的电子邮件 垃圾邮件(spam)的寄送 非法获取、利用他人的隐私 网络隐私侵权形式-1（1）Cookies文件的滥用在电脑硬盘里，有一个叫Cookies（IE浏览器）或Cookies.txt的文件夹，它能够保存用户在网上冲浪时与服务器交换的信息。这种工具的本意是为了利用用户信息，分析他们的浏览习惯，为广告寻找特定的目标受众。微软在推出Windows98时，在用户一无所知的情况下，试图将用户信息保存到微软的网站上，这种做法埋下了重大的安全隐患，其它网站抓住这一漏洞，能够轻易读取用户ID号码信息。网络隐私侵权形式-2（

8、2）监视软件的滥用许多公司开始使用监视软件，这种软件可以偷偷地监视和记录下员工的每一次击键情况，不管数据是否被保存在文件中，也不论是否通过企业的电脑网络进行传输。都可能被监测。这些软件售价便宜，它可以使雇主得以了解员工的想法，进而利用这些信息达到自己的目的。网络隐私侵权形式-3（3）滥用识别机制为了跟踪在网上浏览和进行电子商务活动的人，以增加网上电子商务的安全，1999年，Intel公司在奔腾3处理器中放置了用以识别用户身份的序列号。有了与机器永久联系的序列号，用户在网上所做的每一件事都会留下脚印，这不仅没能促进电子交易安全，反而变相邀请别人窥视自己的机器。这种序列号使得商人和黑客肆无忌惮地侵

9、犯用户的个人隐私。因此，奔腾3一推出就遭到了美国消费者和隐私权组织的抗议。网络隐私侵权形式-4（4）黑客攻击行为在网上，“特洛伊木马”程序打着后门(backdoor)程序的幌子进入用户的电脑。然后，它就让黑客访问进而控制它。后门程序工作的方式简单而高效。比如说，用户冲浪刚下载完一个感染了“特洛伊木马”的屏幕保护程序或游戏更新软件，“特洛伊木马”就会立即自动在这台电脑上安装一个exe或命令程序。这样，电脑就等于被“劫持”了。网络隐私侵权形式-5（5）政府侵犯网络隐私行为2000年美国联邦调查局官员承认一直通过一种代号为“食肉者”的计算机系统，来浏览可疑分子的电子邮件。这种计算机系统在一秒内可浏览

10、数百万封电子邮件，调查局用它来调查黑客及反恐怖活动和追击贩毒活动。将其命名为“食肉者”是因为它可猎取各种重要信息，但这个设备不仅能监视审查犯罪分子的邮件，所有人的电子邮件都是其目标。 网络隐私侵权形式-6（6）第三方泄露或共享2000年的一项调查表明，许多网站无视保护隐私权的规定，共享用户的敏感信息。大多数网站通过第三方提供的cookies和标题广告来获取个人化的识别信息，并将信息传递给第三方，而用户却毫不知情,搜集数据，包括身份识别信息的第三方公司往往不受网络隐私保护政策的约束。 网络隐私权的保护范围 （1）个人登录的身份、健康状况。 （2）个人的信用和财产状况 。（3）电子邮箱地址。（4）

11、网络活动踪迹。个人在网上的活动踪迹，如IP地址、浏览踪迹、活动内容，均属个人的隐私。显示、跟踪并将该信息公诸于众或提供给他人使用，也属侵权。 网络隐私权 的主体权利-11）网络个人信息收集的知情权。用户不仅有权知道网站收集了哪些信息，以及这些信息的内容是什么，而且用户还有权知道这些信息将用于什么目的，以及该信息会与何人分享。当网站搜集的是用户的个人信息资料时，用户就有权知道上述事项，知情权应当是全面的、完整的，否则既无法充分、正确地行使选择权，也无法行使保护权利。网络隐私权 的主体权利-22）网络个人信息收集的选择权。也就是指让消费者拥有对个人资料使用用途的选择权，有权许可或禁止某个或某些主体

12、以任何方式搜集自己个人信息资料的权利。这种许可或禁止的内容可以是全部的也可以是局部的。主要体现在对个人信息资料的搜集和使用的环节上。 网络隐私权 的主体权利-33）网络个人信息资料的控制权。这一权利包括网络隐私权人通过合理的途径访问、查阅被搜集和整理的网络个人信息资料，并针对错误的内容进行修改，对所缺少的必要信息资料加以补充，对不需要的数据信息予以删除，以保证网络个人信息资料的准确、完整。 网络隐私权 的主体权利-44）网络个人信息资料的安全请求权。不论被收集的是何种网络信息，只要涉及到网络隐私权，就必然与网络个人信息资料的安全问题有着密切的关系。不论是人为的信息泄露或被窃取，还是技术上的缺陷

13、，操作上的失误致使信息资料或者数据的丢失，甚或是他人故意篡改和恶意删除，都将严重地影响着网络个人信息资料的正常使用和网络隐私权的保护，所以，个人信息资料的安全性问题是网络隐私权制度的基本问题之一。 网络隐私权 的主体权利-55）网络个人信息资料的利用限制权。网络资料的所有者要向网络隐私权人提供服务或以其他的利益作为代价，以实现对网络个人信息资料进行利用的目的。不论是经营性行为，还是为了网络环境的安定、有序以及公共利益的维护而利用网络个人信息资料的行为，都要限定在合理的范围内。赋予网络隐私权人合理的利用限制权是必要的。这也是实现利益平衡的客观需要。网络个人数据用户义务规范 数据用户(data u

14、ser)是指合法地收集、拥有、控制并使用有关数据者。通过非法手段收集或者获取他人的个人数据者，不能被视为法律所承认的数据用户。 数据用户作为数据的知悉、使用、控制、传播者，个人数据的泄露与否由他们直接决定。有些数据是数据主体不愿透露给第三者的，希望个人信息掌握在自己控制之下。所以，为了保护个人的隐私权以及个人信息的控制权，法律为数据用户设定了一些义务，以强制数据用户以承担义务的方式来保障数据主体的权利。 公平信息规程网络个人数据管理包括对个人资料收集、处理、传播和控制的一系列原则和政策，目前各国政府或组织都拟订了个人网络信息管理的原则，成为法律规范的基础和自律规则。经济合作与发展组织(OECD

15、) 1980年制定了一套原则，即公平信息规程(fair information practices)。它包括了数据保护的8个领域，即收集限制、数据质量、目的说明、安全性、公开性、个人参与权、使用限制、责任原则。 网络个人数据的收集的规范-1 收集个人数据的主体应当严格限定范围和规范，根据收集资料机关的性质，数据收集者可以分为公务机关和非公务机关。针对不同的主体应该有不同的要求。公务机关收集行为必须限制在职权行为或职责范围内且遵循必要性原则。公务机关收集网络个人信息资料，必须是法律、法规规定的职权与职责范围内的行为。 行政机关与一般的经营主体不同。其他组织和个人对行政机关的监督和约束的力度是很弱

16、的。如果抛弃了防范措施，恐怕难以控制行政机关滥用这些信息资料。 网络个人数据的收集的规范-2非公务机关收集主体，是指并非依法行使国家公共权力，而收集网络个人信息资料的其他组织或个人。这些主体在收集网络个人信息资料时，一般要经过网络个人信息资料的所有人或合法提供者的同意，由其自愿提供；对于网络个人信息资料的所有人及合法提供者的安全或其他权益没有侵害；已经公开的，对资料的所有人或合法提供者无害且对社会或整个网络环境的发展有利；无害于相关的当事人，为学术研究或科学实验所必须的；有关的法律、法规规定的其他情况。网络个人数据的收集的规范-3对于非以赢利为目的，按照现有法规的规定，要履行备案手续。以所收集

17、的网络个人信息资料为基础而进行赢利为目的的，应当经过有关机关的批准。这些批准不仅有工商行政管理机关，而且还有信息管理部门，在条件成熟时可设立网络隐私权的监督管理机关时，并经过该机关的批准。收集者的明示声明收集主体也应发表相关明示声明。所谓收集网络个人信息资料声明，是指网络各主体在收集网络个人信息资料时，应告知的事项。有关法律应将其规定为法定义务：网络各主体在收集网络个人信息资料时，应严格履行的义务。否则不仅要禁止其收集网络个人信息资料的行为而且要给予相应的处罚。 公示收集网络个人信息的声明不论是何时，只要收集可以识别身份的网络信息资料时，就需要公示该声明。不论被收集人事先知道是否知道，对其网络

18、个人信息资料进行收集，都必须在收集之前向其提供该声明。网络隐私权保护制度一般要求cookies的提供者，应当设置可以屏蔽、拒绝或限制该项功能。网络个人信息资料声明，既可以是前面所讲的通过链接声明，也可以是在要求用户填写的表格上声明，还可以是在第一次开始收集网络个人信息资料时，弹跳“窗口”提供该声明。该声明的提供应当是清楚明确、细致全面、及时迅速的。收集声明的主要内容 （1）收集网络个人信息资料目的的 （2）网络个人信息资料的共享或再利用的声明 （3）查阅、修正及更新网络个人信息资料的声明（4）网络个人信息资料的保护措施及隐私权保护政策链接的声明（我们所要列举的和声明有关的保护措施，它并不要求收

19、集人通过声明的方式，公开为了保护这些网络个人信息资料所采取的保密措施和使用的保密方法。实践中，即主要表现为要求用户将上述资料通过什么样的方式来传输它）。 网络个人信息资料的查阅（1）查阅权不得抛弃也不得以特定的约定加以限制 （2）查阅网络个人信息资料的要求：规定查阅权，非法律明确规定的情形，不得加以限制更不得剥夺；网络个人信息资料的收集者、管理者与使用者有实现查阅权的义务。除法定的免责外，不能履行查阅权义务的要承担相应的民事责任和行政责任；大力扶持行业自律性组织和第三方认证机构，使其在实施查阅权的过程中起到积极的监督和管理作用；赋予查阅权以诉权。当权利人的要求查阅的权利被非法剥夺或非法限制时，

20、赋予其向人民法院提起诉讼的权利；行政机关通过对主体资格的审查与经营的管理，间接地对查阅义务人进行监督和管理。网络个人数据的使用与控制 1、网络个人信息资料的修正、更新与请求删除 网络个人信息资料的所有人或合法提供者，通过合理的途径访问该个人资料或向有关机关查阅后，针对错误之处可以申请修改、补充或删除，以保证网络个人信息资料的准确、完整。 有权行使资料控制权的主体，根据具体情况不同可以是网络个人信息资料的所有人或合法提供者，也可以是其法定代理人、委托代理人。 2、网络个人信息资料的使用 网络个人信息资料使用行为的规范，是网络个人信息资料的利用与控制制度的核心部分。所规范的主体主要是网络个人信息资

21、料的使用者，即是指独自或者联同其他人或与其他人共同控制资料的收集、持有、处理或使用的人。个人数据的使用多种多样，其引起的法律关系和法律责任也因之而易。因此有必要对个人数据的使用加以分类。按使用方向分可分为内部使用、反馈使用（如公共事务管理机构在对某特定相对人进行管理或提供服务时使用该相对人所提供的其自身的个人数据）以及外部使用。按使用层次分可分为直接使用、间接使用和混合使用。 3、网络个人信息使用的安全要求对网络个人信息资料的储存及传输上，首先应采用加密法传输敏感性的网络个人信息资料，比如，网络招聘服务商，要求应聘者提供详细履历或为支付服务费用而要求客户提供信用卡、银行户口资料的机构，在传输有

22、关个人资料时，一般都应采取比传输姓名、办公室地址等资料更为严格的保密措施。此外，要及时地提供保密警告信息，如果使用未加密的传输敏感性的网络个人信息资料时，作为资料的使用者要及时发现并告知有关机构和个人有可能出现的危险，以提高他的警觉性。或者是告知应当采取的措施。4、网络个人信息资料的保留期限 不论所收集的网络个人信息资料已经被使用或者将要使用，对其所保留的期限均不应当超过收集时声明目的所需要的时间。对于特殊的主体所持有的网络个人信息资料而言，可以通过法律对保留的最长期限做出限制性的规定，但这一限制性的规定在操作时有一定的困难。一方面要考虑到持有者的成本，和对资源利用的最大化要求；另一方面，网络

23、个人信息资料的所有者或合法提供者的合法权益，是一个绝对不容忽视的问题。 网络隐私权权利人的权利限制 个人数据的范围极为广泛，有些数据因性质特殊，数据主体有义务提供和披露。这即是法律的豁免的权利限制问题，也可以说是适用法律的例外，是对滥用隐私权的限制。豁免有全部无条件的豁免，有条件的豁免，有对数据主体获取信息的豁免，有对“不透露”条款豁免等情况。豁免可以是强制性的或者是属于自由裁量的。强制性豁免意味着任何符合豁免标准的信息都不透露。 数据用户的免责 （1）当政府机关依照法定程序要求本网站披露个人资料时，将根据执法单位之要求或为公共安全之目的提供个人资料：在此情况下之任何披露、本网站均得免责；（2

24、）由于您将用户密码告知他人或与他人共享注册帐户，由此导致的任何个人资料泄露；（3）由于黑客攻击、计算机病毒侵入或发作、因政府管制而造成的暂时性关闭等影响网络正常经营之不可抗力而造成的个人资料泄露、丢失、被盗用或被窜改等；（4）由于与本网站链接的其他网站所造成之个人资料泄露及由此而导致的任何法律争议和后果。 我国的网络隐私权问题 我国隐私权保护的法律基础 电子商务中隐私权保护的特殊问题 我国电子商务隐私权立法的方式与原则个人资料的收集利用与免费服务的关系ISP在电子商务隐私权保护中的责任电子商务中隐私权问题的国际协调 网络隐私权保护模式-1网络隐私权保护模式主要包括法律措施、行业政策指引、技术措

25、施以及第三方认证等，对于网络隐私保护模式的选择不是任意的，而是要考虑各种因素以及不同模式保护所适合的环境。（1）法律规范目前各国制定了隐私权相关法律，如英国1984年制定的数据保护法案等，美国是世界上最早利用法律保护隐私权的国家，1974年制定了隐私权法。 我国网络隐私权的法律保护在我国，虽然没有隐私权专门法律，但年月日最高人民法院“关于贯彻执行中华人民共和国民法通则若干问题的意见”第140条中规定，“以书面、口头等形式宣扬他人的隐私，或捏造事实公然丑化他人人格，以及用侮辱、诽谤等方式损害他人名誉，造成一定影响的，应当认定为侵害公民名誉权的行为。”2000年12月28日第九届全国人大常务委员会

26、通过“关于维护互联网安全的决定”，其中规定，“为了保护个人、法人和其他组织的人身、财产等合法权利，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：（一）利用互联网侮辱他人或者捏造事实诽谤他人；（二）非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密；”等。网络隐私权保护模式-2（2）建议性的行业指引即由行业制定相关规章，从而为网络隐私保护自律提供一个范本。美国商务部曾公布有效保护隐私权的自律要点，美国联邦贸易委员要求美国网站在1998年底以前须订立保护网民隐私的自律规约。经济合作与发展组织在自年到年间制定的一系列指导原则、宣言、纲领，为个人数据资料的合理利用和保护设定了基本法律框架，以后的区域性立法和各国（地区）立法都遵循或接近合作发展组织年的指导原则。网络隐私权保护模式-3（3）技术保护模式 技术保护的模式是将保护消费者隐私的希望寄托于消费者自己手中，通过某些隐私保护的软件，在消费者进入某个收集个人信息的网站之时，该软件会提