个人信息,即能够识别某一自然人的相关资料。它包含了自然人的姓名、出生时间、身份证统一编号、指纹、婚姻、家庭、教育、职业、健康、财务状况、社会活动等方面的内容。e时代,我们的生活、工作空间由现实世界延伸到虚拟世界,个人信息也逐渐转移至以网络为首的新媒体之上。
2009年12月,一篇题为《今天你被骚扰了吗》的帖子被广为转载,一女生控诉了自己及好友在使用某风靡全国的SNS网站时遭遇的骚扰。随着网络传播交互性、快捷性和广泛性的不断增强,网络个人信息侵权现象也在不断加剧。
个人信息侵权种类
按照侵权形式及目的划分,比较常见的网络个人信息侵权行为可概括为以下三类:
1.访问路径跟踪
这种情况表现为网站在未经过访问者同意的前提下通过对访问者ID访问路径的监控,跟踪了解人们在虚拟空间里的行为及消费习惯等。商家经常通过“网络小甜饼”(Cookies)及其他一些追踪软件来追踪消费者的网上行为,了解其个人兴趣及偏好,从而展开有针对性的广告和营销业务。Cookies如同现实世界中的旅行者在进入不同国家的疆域时,其所持护照被盖上的海关入境戳印。①
2.用户信息买卖
这种情况表现为未经当事人允许,对当事人的个人信息明码标价并换取收益。针对个人用户的信息买卖:以搜索引擎为平台,大规模公布个人信息,任何网民要搜索他人信息,均可登陆相应平台,键入姓名,交纳一定的费用便可获得想要的信息;针对各类组织机构的信息买卖:以网络论坛为媒介发布个人信息买卖广告,以吸引需要该信息的组织机构前来购买。
3.恶意骚扰及犯罪
这种情况一般不涉及商业目的,而大量地体现在当下流行的SNS交友网站及具有交友、寻人职能的网站当中,例如人人网、开心网等。本应受到保护的个人注册信息,在当事人无法预知、且并不欢迎的网络用户范围内进行传播。文章开篇提及的“人人网”骚扰事件便是例证。更有甚者,利用获取的个人信息进行违法犯罪活动,危害他人生活及社会稳定。
个人信息侵权的动机及影响
目前,网络个人信息侵权行为集中于两个层面:一,网络经济层面:如网络商家对访问者访问路径的跟踪,以及利用网络进行个人信息交易等;二,网络道德层面:如SNS网站上的个人信息外泄带来的骚扰行为。
1.网络经济层面
在网络经济日益发达的今天,经济动机已经成了个人信息侵权的一大助推器。在信息社会中,姓名、年龄、学历、职业、收入、身份证号码等成了有价值的商业信息。
对消费者的个人信息进行整理、分析等二度开发,更能使商家准确把握消费者的行为习惯、消费偏好,从而促进自身产品有的放矢地销售。这种行为一方面在很大程度上促进了网络经济的繁荣发展,另一方面也加剧了对经济秩序的破坏和违法、投机行为的肆虐。
2.网络道德层面
大众的窥私心理是个人信息侵权行为的另一重要动机。而网络个人信息的易获性、零代价恰恰刺激了这种窥私心理,并进一步诱发了各类非道德行为。由于这一行为带有更为鲜明的人际传播色彩,加上网络的点对点服务功能,使得网络人际传播壁垒进一步减少,更容易导致各类网络道德危机。其中,最典型的便是利用非正当渠道得来的网友个人信息进行网络骚扰,甚至犯罪。
个人信息的法律保护困境
个人信息所体现的利益是人格尊严、人性自由、人身完整等基本利益,属于一般人格权范畴。这些利益不仅是民法对于自然人进行保护的首要利益,同时也体现了民主法治国家对人的基本尊重。②由此,即便是在网络上,人们依然应当享有独立、完整的人格。而事实上,我国内地网络个人信息却在法律保护方面遭遇尴尬困境。
1.法律法规体系不完善
在欧美发达国家,保护个人信息的法律由来已久且趋于完善。2005年,美国再次通过了包括《信息保护和安全法》、《防止身份盗用法》、《网上隐私保护法》在内的一系列法律法规,对个人信息作了全面而系统的保护,其中,《儿童网上隐私保护法》、《网上隐私保护法》、《反网络欺诈法》更直接针对网络个人隐私保护做出了细致的规定。
此外,我国香港地区也设有《个人资料(私隐)条例》,其中规定:对个人资料的搜集须以“合法及公平”的方式进行。③
早在2005年,我国第一部《个人信息保护法》就已经启动立法程序,却至今仍未出台。这使得个人信息侵权行为,尤其是网络个人信息侵权行为在法律层面处在极其尴尬的境地。
现有法律没有将隐私权作为公民一项独立的人格权加以保护,只是简单地规定了与公民隐私权有关的权利(如肖像权等)。更没有一条法律法规能够与本文所探讨的网络个人信息侵权行为相对应,大多在打“擦边球”。2009年2月28日通过的《刑法修正案》中增补了“侵犯公民个人信息安全罪”,彰显我国人权保障的进步,更“倒逼”着《个人信息保护法》尽快出台。
2009年12月26日,备受关注的《侵权责任法》经十一届全国人大常委会第十二次会议审议通过,于2010年7月1日起实施。此法第三十六条规定:“网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。”这在网络个人信息保护方面是极大的进步。但此法未对隐私进行法律的界定和适用,尚停留在名誉权保护阶段。
2.网络侵权行为定性难
网络个人信息侵权行为,由于网络媒介所具有的一些不同于物理世界的特征而具有一定的模糊性,从而显得更为复杂。首先,由于网络的匿名性,根据我国民法“谁主张,谁举证”的原则,网络侵权行为是难以举证的。其次,由于网络的无地域性,侵权行为也难以进行地域性司法界定。若侵权行为跨国界,问题则更为复杂。此外,网络个人信息侵权行为具有连带性特征,该从哪里追究责任,是否需要追究连带责任,如何追究连带责任等,都是需要进一步考虑的。
个人信息侵权的“三极归责”及对策
笔者认为,除了法律层面的缺陷之外,作为网络宏观管理者、中观运营者及微观使用者的国家机关、互联网业界及广大网民,均需要为网络个人信息侵权行为的产生及蔓延分别承担责任,并采取相应对策。
1.完善我国互联网行业的内部运营
首先,应当健全网络行业自律机制。我们的网络行业可以采取行业联盟、行业协会的形式积极寻求“自律”的途径。其次,要提高网络行业技术水平。2008年深圳孕产妇信息库泄露事件,让人们再次领略了个人信息资料被盗用滥用的可怕。这就更需要我们的网络行业不断开发新技术,以抵御不法之徒利用技术的漏洞进行非法活动。
2.网民要树立隐私保护意识
需要指出的是,很多时候如果网络使用者即广大网民具备保护个人信息的意识,便能够避免许多侵权行为。绝大多数网站在邀请用户注册时都标明了协议条款,内容涉及对个人资料的保护方式及保护程度,却少有用户认真阅读,往往盲目地注册使用。以“人人网”为例,若用户不主动对个人信息作任何分级设定,其可能产生的外泄后果是极其可怕的。
3.国家应进一步发挥在个人信息监管中的主导作用
2009年6月,广东省有关部门透露的“制定手机实名登记制度”计划,引发了人们对于个人信息安全问题的激烈争议。而该事件至少说明,政府已告别以往的“不作为”状态,开始在职权范围内寻求对个人信息的有效监管。我国香港地区设有专门机构监管个人信息的使用——个人资料私隐专员公署,大陆也可成立相应的机构,构建起行业自律、法律规范和国家主导相结合的复合型管理机制。