导 言
第一节 选题背景
对个人信息的侵害,与信息化社会的发展有着密切的联系。首先,宪法规定公民有言论自由,此外民主社会还赋予公民"知情权",即知悉、获取信息的自由与权利,包括通过官方或非官方途径知悉、获取相关信息。但另一方面,对个人私生活或个人信息的不当披露,或者采用"人肉搜索"的方法满足自己窥视别人隐私的欲望等,则属于隐私权侵害的范畴。
其次,计算机技术的日新月异带来了个人信息保护的新问题。进入 20 世纪后半叶以来,电子计算机的技术进步彻底改变了我们的生活,无论是政治经济信息、社会信息,还是娱乐信息,只要我们有兴趣,世界上任何地方的所有信息,都可以随时入手。而且,只要发送电子邮件,或者使用智能手机,一眨眼的功夫就可以将信息传到世界上任何一个角落。甚至自己可以做个网页,轻松成为信息发布者。普通民众甚至还可以在网上与政府官员或文体明星直接对话。网络给我们的生活带来了极大的便利,也使我们的社会更加透明公开。但与此同时,计算机技术的发展,使极大量的个人信息的集中储存与瞬时加工成为可能。公民的个人信息,可以在鲜为人知的世界上的某一个角落,被陌生人收集、使用、传递。
由此,因个人信息保护不利而导致的权利侵害问题就此产生了。而这个问题,又是一个全球性的大问题,基于以下三点理由,个人信息保护这一课题将长期作为各国高度关注的重大法律问题。
1、信息技术的发展
通过一根根网线,全球所有的电脑互相联系,跨地区,甚至跨国的信息流通也变得易如反掌。全球化的电脑网络为个人信息的流通消除了一切障碍。由此,个人信息的保护成为全球性的问题。
2、个人信息具备左右企业经济活动的财产价值
在任何企业的产品开发与销售活动过程中,充分了解消费者的需求是提高企业经营效率的重要因素,这也就是之所以个人信息本身具有财产价值,可以成为商品进行买卖的原因。我们也可以称之为"个人信息的商品化".
3、全球化
与上述两点理由共同发生作用的是,在经济领域表现得特别显着的全球化。
全球化使参与者在经济贸易上相互依存,全球联系不断增强,而且共有相同的价值观。这种全球化的潮流,使个人信息流通的无国界化和个人信息的商品化更显突出,对个人信息的侵权规模及于全世界范围。由此, 对个人信息的保护并不仅仅是视其为一种攸关主体人格尊严的基本权利,更应将其放在促进电子商务和信息经济发展的理念之下。而电子商务和信息经济的发展客观上需要将包括个人信息在内的一切有价值的信息作为商品来看待,允许其像其他商品一样自由交易。
就这样,网络的全球化提高了个人信息的价值,我们的社会也被随之冠以"高度信息化社会"的称呼,个人信息在不为人所知的地方被悄无声息地收集,即便自由行使了自愿公开个人信息的"同意权",个人信息也可能以未经同意的用途被使用和传递,最终必然导致自己无法控制个人信息的结果的发生。
第二节 国内外文献综述资本主义经济发达国家对个人信息保护的研究由来已久,德国、美国等国目前之所以能够形成比较成熟的立法,也与这些国家学者长期深入的理论研究不无关系。"隐私权"这一提法,最早出自美国学者。1890 年,着名的《哈佛法学评论》(Harvard Law Review)刊登了名为《隐私的权利》(Right to Privacy)的论文,从此隐私权这一新型权利被法律界接受。之后,在美国的立法和法院判例中逐步确立了隐私权的地位。在个人信息保护方面堪称当今世界立法最为严格的欧盟,则在理论研究方面更是走在了世界前列,德国学者克里斯托弗·库勒(ChristopherKuner)所着的《欧洲数据隐私法和网上商务》对欧盟各国在个人信息保护的理论和实践作了深入的分析。
而在日本,野村好弘 1992 年所着《情报公开和个人情报的保护》以及 1995年出版的松尾直的着作《信息权和隐私权》和藤原静雄的《个人数据的保护》均为日本研究个人信息保护的代表作品。《信息公开和个人信息保护》的作者平松毅长期致力于个人信息保护的研究,着作颇丰。日本早稻田大学教授小林麻理一直致力于对澳大利亚等国的个人信息法律制度的研究,其所着的《IT 的发展与个人信息保护》被译成中文、在中国出版发行。《个人信息理论与实务》的作者东京大学着名教授宇贺克也被称作"日本信息法律研究的第一人".最值得一提的是日本名校一桥大学名誉教授堀部政男,他被誉为日本信息法学之父,终身致力于个人信息保护、隐私权保护的研究和教学工作,身体力行地推动日本的个人信息保护法制,着有《隐私权·个人信息保护的新课题》等着作。在日本对个人信息保护立法后,国际大学客座教授青柳武彦在其着作《对个人信息的过分保护会毁了日本》中尖锐地指出:"日本的个人信息保护法造成社会的极大混乱,日本变成了一个人与人之间互相猜疑的疑神疑鬼的社会。"青柳武彦的批评在日本很有代表性,他本人也因此博得很高的人气。由此可见,个人信息保护法是一把"双刃剑",立法和法律实施不得当,也会对社会造成负面影响。这方面,日本的立法和实践经验给我国提供了很好的参考。
与个人信息保护领域的先进国家相比,我国的个人信息保护相关研究起步比较晚。我国早期有关个人信息保护研究方面的着作有台湾学者许义文的《个人资料保护法论》、(三民书局,2001 年版)、中国人民大学法学院教授张新宝的《隐私权的法律保护》(群众出版社,1997 年第一版、2004 年第二版)与《互联网上的侵权问题研究》(中国人民大学出版社,2003 年版)、律师李德成的《网络隐私权保护制度初论》(中国方正出版社,2001 年版)、电子商务研究学者梅绍祖的《网络与隐私》(清华大学出版社,2003 年)等着作。重庆大学法学院的齐爱民教授是国内较早涉足个人信息保护研究的学者,他从 1999 年开始进行个人信息比较研究并主编《个人资料保护法原理及其跨国流通法律问题研究》(武汉大学出版社,2004年),他认为:由于面对信息社会比较普遍的个人信息侵害,具体人格权制度无法给予充分保护。
因此齐教授的思路是借助一般人格权制度来间接解决个人信息保护这一问题,并认为发展旧的人格权理论是唯一的出路。在当时,齐教授的学术观点在国内被普遍接受。之后,北京大学网络法律研究中心主任、国内网络和电子商务法领域的权威专家刘德良教授经过研究,认为个人信息商业化和商品化的现象不容无视,大多数中国学者站在人格权的基本立场来认识这种个人信息商业化利用的现象,并试图用人格权理论来解释财产权的做法违反了财产权与人格权区分理论。刘德良的着作《论个人信息的财产权保护》(人民法院出版社、2008年版)充分论述了个人信息财产权保护的必要性的观点,在国内首次提出了个人信息财产权保护理论。刘德良在研究个人信息保护财产权的同时,也着手研究网络环境下的民法问题,并着有《网络时代的民商法理论与实践》一书(人民法院出版社,2008 年版)。
随着公众对网络环境下个人信息保护的关注度的不断提高,2009 年以后兴起对个人信息保护的研究热潮,国内出版了一定数量的相关着作,而且既有对个人信息民法保护研究的作品,也有从宪法学、行政法学、刑法学、诉讼法学、国际法的角度研究个人信息保护的作品,比如杨开湘的《刑事诉讼与隐私权保护的关系研究》(中国法制出版社,2006 年版)等。
许多研究者得到了王利明的悉心指导。王利明积极主张人格权法应与侵权行为法一样作为民法中独立的制度对待,力图改变传统民法历来沿袭的重物轻人的状况,构建新的民法体系,他还撰文呼吁:"个人对于自身信息资料的权利应当作为一项独立的具体人格权对待,而不能完全为隐私权所涵盖。就目前而言,在传统民法体系中还缺少相应的权利类型,据此,应当引入独立的个人信息资料权概念。"可以预测,王利明将以其才学影响中国的个人信息保护立法。
与学者们的辛勤耕耘几乎同步进行的,是我国政府着手开展对个人信息保护的立法工作。2003 年,当时的国务院信息办委托中国社科院法学研究所个人数据保护法研究课题组承担《个人数据保护法》的比较研究并草拟一份专家建议稿,并委任周汉华教授为课题组负责人。历时 3 年,形成了 6 章 72 条的《个人信息保护法草案》学者建议稿。周汉华同时出版了个人着作《个人信息保护前沿问题研究》(法律出版社,2006 年)、《域外个人数据保护法汇编》(法律出版社,2006 年)和《个人信息保护法(专家建议稿)及立法研究报告》(法律出版社,2006 年),发表专着的同时又以召开研讨会等方式高调宣传,从而引起国外研究学者的关注,他写的学者建议稿与齐爱民版的《中华人民共和国个人信息保护法示范法草案学者建议稿》(《河北法学》,2005 年第 6 期)相比,国际知晓度和权威性更高,影响力更大,被视作中国未来个人信息保护法的雏形,尽管学术界对其内容褒贬不一。
有关个人信息安全的专着迄今为止共有三本,分别是郎庆斌、孙毅、杨莉合着的《个人信息保护概论》(上海人民出版社,2008 年 12 月版)、《个人信息安全》和《个人信息安全-研究与时间》(上海人民出版社,2012 年 11 月版)。由于郎庆斌本人是大连市网络与信息安全专家组成员兼个人信息保护工作委员会法规组组长,因此他在着作中着力介绍了大连独特的个人信息保护理论和实践,并指出"在个人信息安全领域中,个人信息保护是研究与手段相关的法律适用、技术适用、管理适用、标准适用等的策略和方式方法。"大连市在个人信息保护方面的理论探索和实践为全国其他城市作出了榜样。
虽然专题研究网络环境下个人信息保护的专着甚少,但笔者翻阅了近年的学术期刊,并搜索了中国知网数据库,发现相关内容的文章却有不少。早期的论文有台湾王郁琦的《网络上的隐私问题》(台湾《信息法务透析》,1996 年 10 月)、汤啸天的《网络空间的个人数据与隐私权保护》(《政法论坛》,2000 年第 1 期)等。
齐恩平的《论网上交易合同中对消费者个人信息隐私权的侵害及保护》(《当代法学》2002 年第 10 期)是第一篇发表在法学期刊的有关网络环境下个人信息保护的论文,而华东政法大学黄莺 2003 年法学硕士学位论文《论网络中个人信息的保护-以信息隐私权为基础》是国内第一篇相关主题的法学硕士学位论文。
综上所述,目前对于网络环境下的个人信息保护这一专题,专着和文章虽有不少,但也还没有形成整体上对该专题的综合研究,这不能不说是一种缺憾。
随着网络的普及,个人信息需要得到法律的保护,这一点已经成为共识。伴随着网络时代的到来,个人信息受到侵害的情况变得日益严重,网络在改变世界的同时也给我们带来了大麻烦。在没有网络的社会中,政府行政部门和事业单位凭借其强大的公权力强制收集公民的个人信息,因此其自然成为可能对公民个人信息保护造成侵害的主体。但时至如今,公民的个人信息被收集、加工、转移的过程大多是在网络环境下进行的,由于网络的特殊性,导致一般企业或者自然人也都可能成为受害者或者侵权人,网络已经成为当前对个人信息保护造成威胁的重要因素.比如:某女在人肉搜索引擎(如:猫扑网)上输入某男的名字,结果搜到了许多与某男有关的信息,甚至连某男在何时何地和谁见面、干什么事等这样的细节都通过"人肉搜索"一一找到。某女为得到这些信息所付出的成本可谓低廉,她可以将这些信息加工后进一步在网上发布,这样在某男不知情的情况下在网上可能已经传得沸沸扬扬了。
如此这般,借助网络神奇的力量,公民的个人信息被陌生人根据自己的需要擅自存储、加工或加以公开。于是,在网络环境下,公民如何自由地掌控自己的个人信息,如何有效保护自己的隐私权,是否有必要设立专门负责个人信息保护的专门机构,法律应如何完善,安排好各方利益,并处理好个人信息保护与引导个人信息的正当利用促进经济和社会发展之间的关系,等等这些问题,一一浮出水面。另一方面,对企业而言,不断增长的个人信息的重要性不言而喻。尤其是电子商务等以网络作为平台的交易,收集和加工个人信息是经营者必须花大力气去做的工作。其实,有关如何正确对待充分利用智能电子设备终端与个人信息保护之间关系这一课题,从上世纪 70 年代开始一直被热议,随着网络的普及,终于走到了风口浪尖。现时今日,这一课题能否很好解决,甚至已经关乎一国的国际竞争力了,这在以前是无法想象的,是网络时代的新问题。
第三节 两个典型判例
笔者访问"北大法意"和"北大法律信息网"这两个专业法律网站,挑选出两个典型判例,籍此引出本文要论述的主题,揭示研究课题的法律特性。
案例一、牛某诉北京北大英华科技有限公司人格权(隐私权)纠纷案牛某因故意伤害他人身体并导致他人轻伤,于 2006 年经北京市石景山区人民法院(以下简称石景山法院)审判,判决牛某构成故意伤害罪,但念其犯罪时未成年,又积极赔偿被害人经济损失,决定对牛某依法免予刑事处罚。牛某于 2006 年4 月 6 日犯罪,当时其年龄为 17 岁,系未成年人。2008 年的某一天,牛某上百度网浏览时,发现点击进入"北大法律信息网北大法宝"页面后显示牛某故意伤害案,还可以清楚地看到自己的姓名。由于牛某虽然被判有罪,但当时并未实际接受刑事处罚,故自己有犯罪前科这件事,从未主动向任何人透露,牛某认为该个人信息属于自己的绝对隐私,但经网上公开,必然人尽皆知,故该网站严重侵犯了自己的隐私,更何况犯罪时自己尚未成年,法律规定对未成年人的犯罪信息应在一定范围内予以保护。于是,牛某以被告擅自在网上登载法院判决书的行为侵犯其隐私构成侵权为由,向北京市石景山区人民法院提起诉讼,请求法院判令被告北京北大英华科技有限公司立即向自己赔礼道歉、消除影响,并赔偿精神抚慰金 30000 元。
被告辩称: 浏览北京法院网网站也可以搜索到"牛某故意伤害案"法律文书,而被告正是从该网站上搜集法律文书,在刊登文书时对牛某的地址、学校等个人信息作了删除,为降低对牛某可能造成的不良影响已经尽了最大努力。而且,裁判文书是国家司法机构作出的司法文书,是公开行使权力的文件,具有国家的法律效力,公众对其享有知情权。
北京市石景山区人民法院作出判决:被告登载法院裁判文书的行为,并未违反法律,故对牛某的诉讼请求不予支持。
牛某因不服一审判决,上诉至北京市第一中级人民法院,法院经审理认为:对未成年人犯罪案件通过网络等公开媒体传播与披露的,出于对未成年人权益的保护,应当予以一定限制。但此种限制并不能包括已向社会公众公开宣告的生效法律文书,否则,便与相关立法意图相悖。而且,北大英华公司登载法院生效判决书的行为,并不违反法律规定及社会公共利益,并不存在侵害行为及主观过错。
最终,牛某主张北大英华公司侵害其隐私权之请求,二审法院 2009 年 2 月 17 日作出终审判决,维持一审原判。
案例二、孙伟国诉中国联合网络通信有限公司上海分公司侵害隐私权案孙伟国是中国联合网络通信有限公司上海分公司的 CDMA 移动电话用户。
孙先生在办理入网手续时,按照规定填写并提交了自己的户名、身份证号、联系电话、地址、邮政编码等个人信息。2008 年 9 月 5 日,孙先生突然接到一个电话,对方称海康人寿保险有限公司向其赠送一份"公共交通意外伤害保险",并与孙先生一一核对投保所需要的孙先生个人信息。数日后,孙先生收到《海康公共交通意外伤害保险保险凭证(客户存联)》。孙先生之后经过调查,发现了一个惊人的事实:中国联合网络通信有限公司上海分公司通过联通信国信通信有限公司(联通集团下属的另一家法人公司)将大量的客户个人信息发送给第三人,系有偿提供,其中就包括海康人寿保险有限公司。而且,海康人寿保险有限公司所购买的这些客户个人信息,是经过联通公司筛选的,也就是说,海康人寿需要购买潜在消费者的个人信息,只要把自己的商业需求明确具体地告诉联通公司,然后出钱购买就行。
在了解了上述事实后,孙先生将中国联合网络通信有限公司告至上海市浦东新区人民法院。被告辩称,原告是被告的客户,故被告合法收集和持有原告的个人信息。提供免费保险是被告及联通新国信公司委托海康人寿提供的增值服务,并没有侵犯原告的隐私权。而且,原告孙先生非但没有蒙受任何损害,相反还获得利益。
被告还辩称:我国并无有关侵犯隐私权的法律规定,只有当隐私权与名誉权竞合,即侵犯隐私权达到侵犯名誉的情况下,才可以受理隐私权案件。而被告的行为没有导致原告社会评价的降低,没有损害原告的名誉权,故法院不应受理这样的隐私权案件。
法院经审理后,认定被告未经原告许可将其所知悉的原告的私人信息提供给他人的事实成立,被告的行为构成对原告隐私权的侵犯。法院的判决理由是:法律、法规保护隐私权的目的是赋予权利主体对他人在何种程度上可以介入自己私生活的控制权,以及对自己是否向他人公开隐私以及公开范围的决定权。因此,个人信息的私密性是其重要内容,只要有未经许可向第三人披露他人个人信息的事实存在即可构成侵害,就侵害的成立而言无须考虑第三人究竟给原告带来的是利益还是损害,私人信息为第三人所知本身即为损害。因此,本案中被告将原告的个人信息提供给他人,使得原告的信息被第三人所知悉,损害即成立。
最终,法院判决被告向原告书面赔礼道歉,但对原告所主张的精神受到严重损害不予确认。
第四节 典型判例所引出的法律问题初探
上述典型判例给人们带来许多思考,思考在当今网络环境下个人信息极易受到侵害的情况下,我们的法律是否可以提供公民足够的保护。下文中笔者将判例所揭示的几个与个人信息保护相关的法律问题一一道来,为后文作个铺垫。
第一,隐私权与名誉权未发生竞合的情况下,侵犯隐私权是否需要承担法律责任。
根据《最高人民法院关于贯彻执行《中华人民共和国民法通则》若干问题的意见(试行)》第 140 条的规定,侵犯他人隐私权的,若同时损害了他人的名誉权,则发生请求权竞合。若侵犯隐私权的行为没有同时侵犯名誉权的,隐私权的侵权行为仍然必须追究,而不是不发生请求权竞合就可以不追究隐私权侵权行为的法律责任。对该法条必须予以正确理解。侵犯隐私权,受害人主要是私生活安宁受到侵害,并不一定会导致其声誉贬损,有时反而可以提高受害人的社会声誉。
但即使侵犯隐私尚未导致他人名誉贬损、社会评价降低,也仍然可能构成隐私权侵权。随着《中华人民共和国侵权责任法》的颁布施行,我国法律第一次规定隐私权,这体现出我国对人权保护力度的加大。
在判例二中,法院没有支持被告的抗辩理由,正是基于这一理解。
第二,公开或披露个人信息是否都属于侵犯隐私权的行为。
隐私权保护的对象是"隐私",也就是不愿意让他人知道的事情。这项权利主要是保护个人私生活不受干扰。而个人信息则与隐私不同,个人信息包括已经公开,或本来就是属于公共信息的范畴。个人的身体隐秘部位、与家人的私信内容、银行存款的账号等个人信息可以作为隐私由隐私权加以保护,但个人已经向外界公布的信息,比如手机电话号码、电子邮件地址等,无论如何是不可以再通过隐私权来保护的。个人信息与隐私的内容范围也有重合之处,一些个人信息属于隐私,一些隐私也属于个人信息。此外,隐私权的保护范围也受到限制,比如:若个人隐私与社会公共利益和法律的强制性规定相冲突,则隐私权的行使应受到约束。判例二中孙先生为手机入网而提供给网络服务提供商的个人信息,受到法律保护,网络服务提供商擅自进行处理,属于违法行为。
第三,个人信息被他人不当披露、隐私权受到侵害,但没有因此受到任何损失的,是否不可以追究对方的侵权责任。
在当前网络时代,由于计算机和网络的发展,个人信息被收集、储存、传递的速度相比以前时代,要快几百上千倍,个人信息在不被察觉的情况下被不当披露的可能性也随之激增。目前中国法院普遍将个人信息纳入隐私的范畴予以保护。
而擅自披露他人个人信息、侵犯隐私的行为,就如判例二中的孙先生那样,往往并不直接导致被侵权人个人社会评价的降低或者名誉的贬损,但被侵权人原本正常的安宁生活可能受到影响,本来私密的个人信息被他人擅自披露后,对自己私生活的控制权,以及是否向他人公开的自己决定权就此丧失,因此只要有未经许可向第三人披露个人信息的事实存在,即可构成侵害。就侵害的成立事由而言,不需要考虑第三人是造成损害还是反而让个人信息主体因此获利。换言之,私密的个人信息为当事人所不欲的第三人所知本身即为损害。
第四,个人信息的交易是否合法。
在信息时代,个人信息的经济价值巨大。对企业而言,为了增加收益,往往处心积虑地收集个人信息。而个人信息的商品化和财产化在信息社会已经是一种不可逆转的趋势。根据刑法修正案(七)的相关规定,特殊主体的个人信息交易行为应当受到刑事处罚。但入罪的犯罪主体并没有扩大到"任何单位和个人",因此若非利用公权力收集、利用个人信息的,则个人信息主体受到侵害,无法追究其刑事责任,但非法收集或交易个人信息的,仍应承担民事责任。个人信息交易若要合法化,必须事先得到个人信息主体的同意或存在法律规定的合法情形。判例二中若网络服务提供商事先取得孙先生同意的话,法院就不会判决其败诉。
第五,涉及未成年人犯罪的个人信息,是否在保护方面法律有特别的规定。
根据 2006 年 12 月 29 日全国人大常委会修订的《中华人民共和国未成年人保护法》第 58 条之规定,我国对与未成年人犯罪有关的个人信息在一定范围内予以保护,保护范围限于新闻报道、影视节目、公开出版物、网络等。根据该条规定,"原则上不应公布可能会导致使人认出某一未成年犯的资料"已经作为未成年犯隐私权保护的范畴,这种立法上的进步与《联合国少年司法最低限度标准规则》所倡导的保护未成人的精神相呼应,有利于未成年犯罪人的教育、矫正和回归。然而,在判例一中,一审和二审法院仍然认为裁判文书是国家司法机构做出的司法文书,是公开行使权力的文件,具有国家法律效力,公众对此享有知情权,这与媒体以向公众提供新闻为目的的报道行为不同。所以,"在网上登载法院裁判文书的行为,并未违反法律。".
法院之所以作如此判决,一方面是法律不健全,缺少配套法规,甚至不同的法律规定的内容之间存在相互抵触。另一方面是因为长期以来,我国在司法实践中采取否定犯罪人身份信息属于隐私权保护范围的立场,将其排除于隐私权范围之外,《刑法》甚至将这种公开作为犯罪人必须履行的一种法律义务,要求"依法受过刑事处罚的人,在入伍、就业的时候,应当如实向有关单位报告自己曾受过刑事处罚,不得隐瞒".在通常情况下媒体和司法机关对于犯罪事件包括犯罪人身份信息的披露与报道,也并不被认为是被禁止的侵权行为。
这一情况目前已经有所改观,2009 年 12 月 8 日最高人民法院印发的《关于司法公开的六项规定》已经明确把未成年人犯罪案件的裁判文书排除出可以在互联网上公开发布的法律文书之外。同时,各地的司法和执法也开始贯彻对未成年人犯罪个人信息的特殊保护。
从这个判例可以看出,在我国司法实践中,对私密个人信息的保护,从提高认识到付诸行动,也正经历一个循序渐进的过程。同时也典型性地揭示出这样一个事实:我国的个人信息保护,法律模糊地带还是相当多,缺乏统一的个人信息保护立法,网络又加剧了案件的复杂性和新型性,导致当前个人信息保护司法实践中问题层出不穷。