网络隐私保护中的政府管理.docVIP

网络隐私保护中的政府管理 　　随着腾讯360之争以及谷歌街景、Facebook等用户信息泄露等事件在国内外纷争不断，网络隐私的保护问题已经早就超越“是否应当保护”的必要性问题，转向了“应当如何保护”的对策性问题。而其中体现的各种利益纠葛乃至形成的产业链，为解决方案的提出以及管理机制的建立，增加了阻力和复杂性。 　　隐私权作为中国人的一项民事权利，直到2009年12月发布的《侵权责任法》才在立法上予以明确，在此之前的司法实践中也已经有了多年的保护。隐私权保护的重要内容就是个人信息，包括能够对主体构成识别的各种信息，例如姓名、住址、出生日期、身份证号码、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动、照片等等。 　　而对于长期与互联网亲密接触的网民来说，网络上的隐私保护问题恐怕比现实当中更为突出，也更为迫切，从早期的垃圾邮件、垃圾短信，到愈演愈烈的账户、身份盗用，隐私的泄露与保护问题，越来越与每个人的日常生活息息相关。因为在网络上人们从早期单纯的获取信息，已经发展到全方位的生活方式，包括工作、购物、交往、娱乐乃至与不特定的人互动。在这个过程中，与现实物理世界不同的是，每个人的身份很大程度上脱离了物理性的身体，而都是以数字代码的形式体现的，一个用户名和一串密码，构成了虚拟世界主体识别的关键信息。 　　在这个意义上，网络上的个人信息已经超越了单纯的“人身权”范畴，由于其在网络交易活动中的重要作用，也具有了非常重要的财产功能。目前网络上层出不穷的“木马”软件，其目标正是在于窃取这些重要的身份认证密码，包括网络银行、网络游戏账号等，在此基础上甚至形成了庞大的地下产业链。 　　 　　国内立法现状 　　 　　对于网络隐私问题的管理，与其他网络管理尝试所面临的难题是一致的。互联网本身固有的主体分散性、匿名性，传播手段的瞬间性，控制技术的专业性，凡此种种，对于管制者和受害者而言，都给有效的防范措施带来了诸多壁垒。就我国目前的管理来看，还是体现了传统立法行为的局限性，几乎都是采抽象性的法律禁止性规定。 　　例如，如果要从《侵权责任法》来寻找侵害隐私权的根据，其中第三十六条(通常称为“互联网专条”)很原则地规定：“网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。”这其中当然也包括隐私权。在刑法的领域，2009年2月通过的《刑法修正案(七)》增加了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名，分为“获取”和“提供”两种情形规定了“三年以下有期徒刑或拘役，并处罚金”的刑事责任。此外，在立法机关和行政主管机关早期出台的、与互联网有关的法律、行政法规和部门规章里面，同样可以见类似的禁止非法利用个人信息的原则性规定，例如，《全国人大常委会关于维护互联网安全的决定》(2000)，《计算机信息网络国际联网安全保护管理办法》(1997)，《互联网电子公告服务管理规定》(2000)，等等。 　　上述这些立法中原则性的规定，更多地具有一种权利宣告的价值，但是并未形成将权利保护落到实处的技术性的手段，更不要说形成一套行之有效的保护机制了。从这个角度看，工信部公布的《互联网信息服务市场秩序监督管理暂行办法(征求意见稿)》(以下简称《征求意见稿》)是一个可喜的突破，其中涉及到网络隐私保护的具体条款(第十二、十三、十四条)，已经具体化为明确的义务性规定，确立了相对细化的规范和标准，从而增强了管制在规则层面的可操作性。 　　 　　网络隐私管理框架的三个层次 　　 　　要建立一个网络隐私管理的理想机制，首先要了解网络隐私是如何被侵犯和被利用的，了解了个人信息的利用机制，才有可能对症下药，形成有针对性的管理框架。 　　在林林总总的网络隐私不当行为中，可以抽象出三个关键环节：个人信息的获取、个人信息的利用、个人信息的维护。例如，腾讯与360之争的缘起原因之一，就是奇虎360推出针对腾讯QQ的“360隐私保护器”，指责腾讯未经用户许可获取(“偷窥”)用户个人信息，这涉及的是个人信息的“获取”环节。而Facebook网站因为“不恰当地与广告商和互联网追踪公司分享用户个人信息”，也深陷所谓“隐私门”，这指向的是个人信息的不当利用环节。而个人信息的维护，指的是网络商对于其获取的用户个人信息承担安全保障义务，应当采取适当措施防止他人从其数据库窃取信息，在未能尽到此种义务时而导致用户损失时，需要承担法律责任。 　　根据这三个环节作为层次，可以分别建构不同层次的保护制度。 　　第一个层次是个人信息的获取。对于个人信息的获取可以分为两种做法，一种是未经用户同意的获取，可以俗称为“窃取”，而另一种则是经过用户同意的获取。对于前一种获取，应当明确予以禁止――这实际上已经体现在刑法的“非法获取公民个人信息罪”