互联网用户个人信息保护的两大法域比较

互联网用户个人信息保护的两大法域比较

一、知识产权侵犯朱湿地的行为是否构成侵犯其隐私权近年来，随着计算机技术的快速发展和所谓的“智能”一词的要求，大量网络提供商通过视频技术和数据收集技术显著提高了用户网络操作的跟踪和记录技术。通过使用以Cookies定向广告近年来在互联网领域得到了普遍的应用。互联网站点运营者一般会通过收集、处理用户的浏览信息或通过从广告联盟2013年5月6日,朱烨向南京市鼓楼区人民法院起诉百度公司。朱烨诉称,百度公司在未取得其同意的前提下,利用其日常在使用百度公司所提供的搜索服务时所输入的相关信息,整理并计算出原告的日常关注点及兴趣爱好,并据此通过百度广告联盟网站对其推送定向广告,朱烨认为,百度公司的行为侵害了其隐私权,“使其感到恐惧,精神高度紧张,影响了正常的工作和生活”。据此,请求判令百度公司立即停止侵害,赔偿精神损害抚慰金10000元,承担公证费1000元。一审法院认为,隐私权是自然人享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的权利。本案中,百度公司利用cookie技术收集朱烨信息,并在朱烨不知情和不愿意的情形下进行商业利用,侵犯了朱烨的隐私权,判令百度公司向朱烨赔礼道歉并赔偿朱烨公证费损失1000元二审法院认为,首先,百度公司并未侵犯朱烨的隐私权,百度公司所收集、利用的是未能与网络用户个人身份对应识别的数据信息,且该数据信息的匿名化特征不符合“个人信息”的可识别性要求。百度个性化推荐服务收集和推送的信息终端是浏览器,并没有定向识别该浏览器的网络用户身份。其次,百度公司并未直接将数据向第三方或向公众展示,没有任何的公开行为。百度利用cookie等网络技术向朱烨使用的浏览器提供个性化推荐服务不属于《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律的若干规定》第十二条规定的侵权行为。同时,个性化推荐服务客观上存在帮助网络用户过滤海量信息的便捷功能,网络用户在免费享受该服务便利性的同时,应对该服务的不便性持有一定的宽容度。再次,Cookie技术是当前互联网领域普遍采用的一种信息技术,基于此而产生的个性化推荐服务仅涉及匿名信息的收集、利用,网络服务提供者对此依法明示告知即可。百度公司在《使用百度前必读》中已经予以说明并为用户提供了退出机制,在此情况下,朱烨仍然使用百度搜索引擎服务,应视为默认许可。据此,二审法院最终判定百度公司的个性化推荐行为不构成侵犯朱烨的隐私权。在此案的审理过程中,一、二审法院得出了两个完全相反的判决结果,究其根本的原因是两审法院在对于原告在搜索时所输入的关键词的认定上发生了分歧。一审法院在判决中提出,原告朱烨利用关键词搜索行为的活动轨迹属于个人隐私的范围,而二审法院的认定则是该关键词搜索行为并不属于个人隐私的范围,且同样不属于中国法上“个人信息”的范围。二、法律规定的个人数据保护(一)为互联网隐私政策提供透明度美国作为互联网及隐私权保护的滥觞之地,定向广告似乎会被大量跨部门法的法律所规制。但事实上,在美国,对于定向广告的立法并不完善。尽管如此,美国联邦贸易委员会(FederalTradeCommission,FTC)依然认为自己在此领域向相对人提供了足够的保护,其依据是FTC基于对于“不公平及欺骗行为”的广泛执法权。通知-选择模式造成的问题是网站的隐私政策缺乏透明度。隐私政策是以密集法律条文的形式起草的长文件,更多地像是免责声明而不是旨在保护用户的权利。用户们通常并不会去阅读这些隐私政策,即使这些政策被有限地缩短或是使用相对较为通俗的语言书就。一方面由于立法的稀松,一方面由于故意的政策选择,FTC多年来一直在鼓励行业对互联网追踪行为进行自律。但是,在其最近的初步报告中,FTC认为,寄希望于行业自律来保护隐私是非常低效的,截至到现在为止,都没有提供充足且有意义的保护。同时,由于涉及个人信息的行业自律规范并没有成为正式的法律渊源,因此在美国法上,对于个人信息的保护依然是通过隐私权保护的框架完成的。美国法中有关网络追踪行为中的个人信息保护最为典型的案例是2001年的“双击诉讼案”1.争议焦点之二:广告联盟内的网站取得授权《电子通讯隐私法》18U.S.C§2701条旨在禁止黑客获取、变更或毁损储存的电子通讯数据。具体而言,该条主要针对以下行为:在未获授权或超出所获得之授权的情况下,通过电子通讯服务进入某设施且在其电子存储器中获取、修改或阻止对线路或电子通信的授权访问。该条同时存在两项例外规则,即当上述行为得到提供线路或电子通信服务的个人或实体授权,或得到接受或该线路或电子通信服务的个人或实体的授权。本案中原被告双方围绕该条所产生的争议焦点为,双击公司通过广告联盟内各网站获取访问上述网站之用户信息的行为是否取得用户授权。原告主张,双击公司之行为显然没有直接获得其授权,但双击公司认为原告并非该案中的“用户”,在本案中,其用户包括广告联盟内的一众网站,且此等网站已经给予了双击公司足够的授权用于收集访问用户的相关信息。由于该广告联盟内存在完善的授权安排,因此该争议焦点可转化为,联盟内的网站是否可以被认定为ECPA项下的用户。ECPA将用户定义为“任何个人或实体,(a)使用电子通讯服务,且(b)获得该服务提供者的授权并依授权使用”2.故意或逃避听原告方的第二个主张基于《联邦窃听法》18U.S.C§2511,该条禁止:除法律所设立的例外情况,任何人故意或试图窃听,或,鼓励他人故意或试图窃听任何线路、口头及电子通讯。3.0g的规定原告方的第三个主张基于18U.S.C§1030,该条禁止任何人在没有授权或超出授权的情况下进入受保护的计算机系统并从中获取信息。作为被告的双击公司并未对其是否在未被授权的情况下进入原告的计算机获取信息作出回应,但是被告提出,原告并未就其损害(damage)达到5000美元提供足够证明。原告则认为,§1030(g)规定了可以就损失(loss)或损害(damage)提出相应赔偿要求,且§1030(g)并未对损失(loss)从数额上进行限定。此时就涉及到如何对§1030(g)进行解释的问题。从法学方法论的角度来说,在协调各解释方法时,语义解释(文义解释)具有优先性,不得给予其他解释目的的考量来修正清晰的字义。通过对此案例的分析,我们不难得出现阶段美国法律体系下,对于网络跟踪行为,原告若欲使被告承担责任,首先要证明被告跟踪行为的存在,其次需要证明被告的行为未获得授权,最后还要证明被告之行为对其造成了一定程度的损害。在本案中,原告所有诉请均被法院驳回,虽然有一定特殊性(由于本案中存在广告联盟,因此作为被告的双击公司无需经过原告同意即可取得授权),但是也从另一个层面说明,在该类情况下,原告想要维护自身权益的艰难。(二)数据画像活动的基本前提欧洲对定向广告的规制框架主要由两部法律构成:欧盟数据保护通用条例(GeneralDataProtectionRegulation,GDPR)在GDPR中,主要通过对“数据画像”(profiling)的规定来规制相关主体对于Cookies的使用。数据画像概念外延广泛,它是指任何通过自动化方式处理个人数据的活动,该活动服务于评估个人的特定方面,或者专门分析及预测个人的特定方面,包括工作表现、经济状况、位置、健康状况、个人偏好、可信赖度或者行为表现等。画像活动如果对用户个人产生法律上的影响或者其他重大影响,仅仅在符合以下条件之一时才是合法的:(1)数据主体明确同意;(2)欧盟或者成员国法的明确授权;(3)数据主体和数据控制者之间签订、执行合同所必需(第22条)。考虑到后两者仅仅是个别情形,因此,实践中绝大部分的数据画像的合法基础是用户明确同意。而根据GDPR对于“同意”的高标准要求,事实上获得用户在数据画像方面的同意将是难以操作的,这将对大数据背景下的分析营销活动带来极大的负面影响。在数据画像活动中,获得用户合法有效的同意,首先应当向数据主体全面介绍数据画像处理活动是如何进行的,评估结果是否会对用户产生法律上的影响。其次,应当明确告知用户其享有对画像的反对权。此类信息应当明确无误地表达,并使用足够引起用户注意的范式(第13.2、21条)。此外,基于个人敏感数据的数据画像活动是被禁止的,除非数据主体出于一个或者多个特定的目的,被给予了明确的同意;或者该数据画像活动对于重大的公共利益是必需的(第22条)。EPD中对于Cookie的使用主要规定于第5(3)条,在2002年版的EPD中,该条目主要强调相关主体在通过Cookie收集用户信息时的透明性,以及用户在面对Cookie时的拒绝权(RighttoRefuse)但是,2009年版的EPD对第5(3)条进行了修正,强调了用户的事先同意欧盟的立法者也意识到了该规则可能带来的浏览网页时的不便,苛加了太多义务,因此,需要想办法进行缓和,一个潜在的路径是通过解释Recital66但是WorkingPartyArticle29(一个独立的智库,由欧盟各成员国的代表组成)认为,在追踪信息时,仍然需要获得用户确认的事先同意。但是一旦用户同意了追踪,之后的每个单独的追踪不再需要得到同意。但是必须注意的是,需要周期性地让用户重复同意选择。同时,对于Recital66中所说的通过浏览器即可推断网站获得了用户的许可,Article29认为是需要附条件的:(1)浏览器的默认设置需为拒绝第三方的Cookie;(2)不可以绕过用户的设置;(3)不可以设置为统一接受所有的Cookie,包括那些在未来才会用到的Cookie。这个建议得到了英国政府的赞同。英国政府在回应一份公众质询函的时候提到,在同意“任何围绕Cookie而设立的法律将对人们如何使用互联网产生巨大的影响”政府的总结为:大部分人都知道通过浏览器设定对接受Cookie统一进行同意是一种最为经济且效率的处理方式,但是,政府认为,这种观点,即现在对浏览器的设定可以被视为用户表达同意的一种方式,是不符合法条原意的。即使浏览器的默认设定时拒绝一切的Cookie,用户在修改该项设置时仅仅调整为笼统地接受所有的Cookie,也不能认为用户对于某特定网站的Cookie表示了接受。欧盟对于Cookies使用的规定与美国完全不同。三、审法院的裁判理由现在让我们再回到本文开篇时所提到的案例。事实上,一审法院的裁判思路更贴近于美国法上处理一般侵犯隐私权案件的模式,即,尝试扩张对隐私权的保护范围,将百度通过Cookies收集到的用户信息纳入隐私权的范畴中进行保护。以及,对隐私权的权能进行扩张,不局限于消极的防御功能,而包括对隐私的支配和控制。那么,对一审法院来说,需要解决以下两个问题:(1)关键词等Cookies信息是否可以被为认定为个人隐私;(2)隐私权的权能在中国法的语境下是否可以得到扩张。“隐私”一词从“privacy”翻译而来。而“隐私权”则由SamuelWarren与LouisBrandeis在1890年发表于HarvardLawReview的TheRighttoPrivacy一文中提出。而二审法院的裁判中,强调必须依据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第1款的规定,严格遵循网络侵权责任的构成要件,判断百度公司是否存在侵权行为。而问题的核心就在于,百度公司通过Cookie所收集的关键词信息是否属于该款所指的“其他个人信息”。依据工信部《电信和互联网用户个人信息保护规定》(以下简称《个人信息保护规定》)第四条的规定,个人信息是指:“是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”其中最为关键的判断标准即是“是否可以单独或者与其他信息结合识别用户的信息”。二审中,法官认为上诉人百度公司所收集利用的Cookie信息不属于个人信息范畴,主要理由是百度公司通过Cookie所收集的数据并不可被识别为个人信息,且百度并没有必要或动机对所收集到的信息进行识别。事实上,二审法院所使用的“可识别”判断标准正在隐私权的起源国家(美国)面临一场广泛的讨论,原因就是在于该标准过于僵化和老套,跟不上科技的发展速度。第一,在互联网领域,许多人对匿名存在着许多误解。很多人认为,如果他们没有在网络中正式地使用自己的名字,那么他们就属于匿名状态。随着静态IP地址的增多,只要电脑联网,那么这个地址就是可识别的。第二,有些信息起初属于“非可以识别个人身份的信息”但随后却变成了“可以识别个人身份的信息”。营销人员通过收集不同类型的“非可以识别个人身份的信息”并将这些信息集合成“可以识别个人身份的信息”,或者将一些数据和某个具体的个人联系起来,技术的改变使得这一愿望成为可能。第三,技术本身也是不断进步的,这导致的结果是,“可以识别个人身份的信息”和“非可以识别个人身份的信息”之间的界线就不是固定的,它会随着技术的改变而改变。第四,区分“可以识别个人身份的信息”和“非可以识别个人身份的信息”要考虑具体的情境。至于二审法院提到的必要性问题,我们不能用没有必要性这一非法律层面的判断而否定百度公司所收集信息的可识别