互联网中非法获取、利用他人个人资料的法律分析

    [摘　要]社会物质文明愈发达，交际手段的传播媒介现代化，人们愈需要保留只属于自己内心世界的安宁和与纷繁世界相隔离的安居环境。网络时代的到来，这种需要显得更为明显，公民网上个人资料的保密问题引起了人们对个人隐私权的关注，此文就针对这个问题展开了一系列的法律分析。

    [关键词]个人资料 隐私权 行业自律

    一、引言

    科学技术的高度发展使人际间的信息交流进入了多元化的空间，信息交流技术的迅速发展在带给人类社会物质生活和精神生活满足的同时也使人类的心灵空间受到日益频繁的侵扰。网络时代，人们一方面需要享受网络带给生活的便利和快乐，另一方面人们更需要保留只属于自己内心世界的安宁和不受纷繁世界肆意干扰的安居环境。但网络技术是把“双刃剑”，它在提供强大的信息以及便捷交流方式的同时，也为一些人提供了剽窃他人作品、窥视他人隐私、??盗取他人商业秘密、进行非法交易、获取不正当利益、逃避法律责任的工具和渠道。互联网上非法获取、利用他人的个人资料，对公民的隐私权构成极大威胁。保护公民网上的个人资料不被随意侵犯，运用法律手段保护公民的网上隐私权是信息时代的需要，更是法律义不容辞的责任。

    二、个人资料与隐私权的内涵

    （一）  个人资料的概念个人资料，一般是指自然人的姓名、出生年月日、身份证号码、特征、指纹、婚姻、家庭、教育、职业、健康、财务状况、社会活动以及该自然人足以用来识别自身之信息。公民网上的个人资料问题主要包括网上通讯、购物、注册过程中，放在网上的如姓名、身份证号码、电子信箱地址、信用卡号等个人资料。

    互联网上的信息资料不仅可以为信息的使用者带来经济利益，而且还会为其带来丰富的无形资源。在具有明显网络特征的信息资料中，最具利用价值的是网络个人化信息资料。

    （二）  隐私权的概念通说认为，隐私是公民个人的秘密，隐私权是指公民个人生活安宁权和对个人信息资料支配控制的权利，即私人生活不受侵扰，私人信息不被他人非法窥视、收集、利用和披露。

    非网络时代，隐私权注重对个人生活秘密的保护，网络时代，隐私权更侧重于私人信息的保护。因为计算机和网络技术日益发展，有关个人详细资料的收集、加工、贮存、积累成为可能，从而为网络服务供应商及他人追踪并记录网络访问者的用户帐号、访问站点、下载内容等私人资料提供了技术支持，导致公民网上隐私权极易受到不法分子的侵犯。

    （三）  非法获取、利用他人个人资料和侵犯他人隐私权的关系从个人资料和隐私权的概念分析，两者之间存在逻辑包含关系，个人资料是隐私权的一项内容，对他人个人资料的侵犯也是对他人隐私权的侵犯。一般来说，具有识别性的个人资料才受隐私权的保护。所谓个人资料的可识别性是指资料反映的各种信息经过人们的判断就可以确定这些数据的法律主体，换言之，通过资料中的信息可以识别资料主体的才是受法律保护的个人资料。

    三、非法获取、利用他人个人资料的行为方式

    （一）非法获取他人个人资料的行为方式获取、利用他人个人资料的手段多种多样，有的手段是诱使用户自觉提供个人资料，有的以隐蔽的不为用户察觉的手段收集个人资料，在这些手段中，有些手段具有明显侵犯个人隐私的特征，兹分述如下：1、利用消费者购物许多电子商务网站在消费者购物前，会在屏幕上出现一张表格要求消费者将姓名、地址ID号、职业、电话、传真、邮箱地址、工作单位、婚姻状况、年收入、个人薪金等许多个人资料输入；有的网站采取会员制，必须经过登记成为会员才能购物，但在登记时则要求会员提供上述各种个人资料，这些做法与现实生活中消费者到商店或百货公司购物采取以钱易货的交易方式明显不同。有的网站认为无法辨认对方，要求用户提供个人资料是为了确定交易对象，或为日后服务方便，或为赠送奖品等原因。但有的网站未经用户同意，擅自使用用户的个人资料，侵犯了个人资料隐私权。

    2、利用Cookies有的网站利用Cookies等技术来收集个人资料，这种手段隐蔽而不为用户所察觉，商家往往是通过统计分析的技术手段收集个人资料以构建自己的商业策略。其工作原理如下：在您第一次浏览带有DubleClick广告的网页时，广告上携带的Cookies会自动安装在您的硬盘上。以后在您浏览任何带有 DubleClick广告的网页时，硬盘驱动器上Cookies会把网页的URL发送到广告公司的服务器上。从此，该Cookies便负责记录日后用户到访网站的种种活动、个人资料、浏览习惯、消费习惯至信用记录，商家据此进行有针对性的销售活动。并且，每一个Cookies都含有全球唯一代码 （globallyuniqueidentifierGUID），能让广告服务器在不知道浏览者真实姓名和电子邮件地址的情况下，追踪用户的网上位置。采用这种方式的DubleClick公司，已掌握了一亿用户的上网习惯，可是该公司对此并不满足。1999年11月DC公司收购了传统市场调查公司 AbacusDirect，计划将收录的8800万美国家庭购买习惯及购买历史的资料与上网者的姓名、电子邮件地址以及其他的个人资料信息结合起来，以使广告具有更好的针对性。此举引起隐私权倡导者的强烈反对。其股票由2000年2月初的每股120美元到了3月上旬狂跌到每股只有75美元。不但如此，DC 公司还因网络隐私权面临6起诉讼。

    3、利用窃听器有些商家在网上通过搭线窃听（wiretapping）、用窃听器窃听（bugging）、通过破坏安全设施等手段非法访问他人数据文件、并收集相关个人资料，对公民个人隐私权的保护极具破坏性。

    4、监视软件的滥用许多公司开始使用监视软件，这种软件可以偷偷地监视和记录下员工的每一次击键情况，不管数据是否被保存在文件中，也不论是否通过企业的电脑网络进行传输。假如你针对老板或某位客户起草了一个长篇大论，但再三思量后全部予以删除。然而，这已经太迟了。你所有的击键都已被获取并存进了你的电脑硬盘，或者已经被作为一封e-mail发送出去，电脑系统的管理者或经理，可以在任何方便的时候加以复原。这些软件售价便宜至99美元，它可以使雇主得以了解员工的想法，进而利用这些信息达到自己的目的。

    5、第三方泄露或共享2000年由加洲健康基金和RichardSmith合作开展的一项调查表明，许多网站无视保护隐私权的规定，共享用户的敏感信息。这项调查选择了一些访问率很高的门户网站，如 Alta Vista Excite和Yahoo以及一些专业的健康网站，如Allhealth和WebMD.调查结果如下：大多数网站通过第三方提供的 cookies和标题广告来获取个人化的识别信息，并将信息传递给第三方，而用户却毫不知情。例如，报告中指出，一些网站提供自我测试，其中6家， OnHealth，Allhealth，CVS，Yahoo，HealthCentrl和InteliHealth委托第三方公司进行具体操作，而访问者并不知情，搜集数据，包括身份识别信息的第三方公司往往不受网络隐私权保护政策的约束。其结果就是第三方公司可以将用户健康信息出售给商家、保险公司或未来可能是雇主的主体。在其他一些情况下，像电子邮件地址这样敏感的信息会在不经意时就随着UTL发回给广告商或广告网站。

    （二）滥用个人资料的行为滥用个人资料是指在电子商务中，商家二次开发利用自己所掌握的个人资料建立综合数据库，为自身的营销战略服务或用于其他交易的行为。在前一种情况下，用户会收到商家发送的大量的具有推销性质的邮件或广告，又叫垃圾邮件（spam），给用户造成极大的麻烦。后者是指商家自己掌握发个人信息出售给信息需求者以赚取利润的行为，在美国有专门的网站专门从事这方面的交易，这种行为更严重地损害了用户的合法利益。

    四、网上个人资料法律问题分析

    （一）是否允许保存个人资料传统的隐私权理论认为，隐私权侵害并不要求以公之于众为要件。这意味着，仅仅是非法保有他人个人信息即构成侵权。但是，在社会的信息化过程中，个人资料已不可避免地被保存在各种各样的计算机系统中。在这种情况下，一味强求不能保存个人资料是不现实的。因为这无异于放弃计算机文明给人类带来的好处。因此，真正的问题是个人资料在何种情况下可以被保存，或者说基于何种目的的保存。这里需要加以区分的是，是否基于合理的目的和正当的用途保存个人资料。凡是具有合理目的和正当用途而保存个人信息的是合法的，否则即可能构成对隐私权的侵犯。

    个人资料的信息范围很广，例如教育、经济活动、医疗病史、工作履历、以及其他一切关于个人情况的记载，都是个人的资料。对于个人资料进行收集时应有一定的限制。信息采集者要求提供个人信息时，必须说明下列事项：该项信息用于什么目的，该项信息的常规使用，个人全部或部分地拒绝提供所要求的信息时的法律后果。

    （二）网上个人资料的保存对于隐私权权能的影响传统法律理论认为，隐私权是一种消极的权利。因为隐私权只要求个人的私生活不受他人干涉，并不要求权利人为一定的行为。问题在于，信息化社会中个人信息已被贮存在各种各样的电脑之中，相应地，隐私权的权能就必须有所变化，应赋予权利人以积极的权能。隐私权不仅仅是一种消极的“不受侵扰的权利”，而且是一种积极的、能动的控制权和利用权。作为一种能动的权利，隐私权的权能首先包括了解权。个人有权知道金融、商业机构或行政机关是否存在关于他的记录，以及记录所记载的内容，并要求得到复制品。金融、商业机构或行政机关不得拒绝个人的请求。其次是修改权。个人在观看自己记录时，如果认为关于自己的记录不正确、不完整或不及时，可以请求制作记录的机关修改。修改的意义不仅包括改正也包括完全删除。最后是禁止公开。

    保护个人隐私权的最重要的规定，是禁止金融、商业机构或行政机关公开关于个人的记录。任何机关在公开个人记录以前，必须首先通知被记录入，征求他的意见，并取得个人的书面同意。当然也存在例外。需要记录的机关或他人如果能够证明存在非常紧急的情况，为了挽救某人的健康或安全，必须得到某人的记录时，可以提供某人的记录，也不需要本人事先的同意。因为在这种情况下，没有等待的时间。例如医院在对某人进行紧急治疗时，需要得到他的医疗记录等。

    五、网络个人资料保护的制度模式

    个人对于其在网上所传递的个人资料具有占有支配权，未经其同意，任何组织和个人不得擅自收集使用该信息，或者将该个人资料用于未经许可的目的。对于网络个人资料保护的模式，各国政府由于对于两种利益——即产业利益和个人隐私利益——的权衡舍取不同，存在着两种完全不同的政策倾向：一为行业自律取向 （self  regulation），一为法律规制取向（1egislatiVe  regulation）。如果注重对于产业发展及电子商务的维护，自然主张行业自律；如果注重对于个人隐私权益的充分保护和维护，自然主张法律规制。

    （一）立法规制模式立法规制模式的典型为欧盟的指令，系指欧盟1995年制定的关于个人资料的运行和自由流动的保护指令 （Europe Union‘s Directive 95／46／EC On TheProtectionOflndivididualsWithRegardTOTheProcessingOfPersonalDataAndOnTheFreeMovementSuchData） 其特点为强调对于资料隐私的强制执行和对于资料主体的救济。欧盟制定“有关个人数据处理与自由流通隐私权保护的一般指令”。早在互联网的起步阶段，欧洲人就意识到了保护个人隐私的法律问题。

    1996年夏，欧盟委员会把各国专家召集到总部开会协商，提出了发展互联网的基本原则，以“保证欧洲的价值观念能够体现在未来的信息社会的实现过程中”，基本路线之一：“制定有关法律，既要能给予公民使用公共信息的权利，又要能够保护他们的隐私权。”

    欧盟的《数据保护指令》规定：个人信息必须基于特定、明确、合法的目标收集，也不得采取与目标不一致的方式进行；确保符合目标获取的信息的准确性和完整性；采取表明个人身份的保存方式，且必须是为信息收集目标所必须。

    （二）美国的行业自律模式    .网络空间之大，容量之广，信息流动之快，使得政府单纯通过立法或司法监督来切实保护网上隐私权是不大可能的。因此，很多网络业发达的国家都在加强立法的同时鼓励行业自律。

    美国对于网络个人隐私的保护，偏重行业自律，并创造了许多新颖的形式：1、建议性的行业指导如：在线隐私联盟的指引。美国在线隐私联盟是美国的一个产业联盟，它于1998年6月22日公布了它的在线隐私指引，该指引将适用于从网上收集的消费者的个人可识别信息。根据该指引，OPA的成员公司同意采纳和执行张贴OPA的隐私政策，该政策规定了应全面的告知消费者网站的资料收集行为，包括：所收集信息的种类及其用途，是否向第三方披露该信息等。该联盟呼吁自我执行的机制，如为消费者提供某种程度救济的网络隐私认证计划。OPA的指引被许多主要的隐私认证计划所采用，并将之作为它们自身的认证标志和加入认证的条件。

    2、网络隐私认证计划网络隐私认证计划是一种私人行业实体致力于实现网络隐私保护的自律形式。该计划要求那些被许可在其网站上张贴其隐私认证标志的网站必须遵守在线资料收集的行为规范，并且服从多种形式的监督管理。网络隐私认证计划类似于商标注册的网上隐私标志张贴许可，它使得消费者便于识别那些遵守了特定的信息收集行为规则的网站，同时也便于网络服务商显示自身的遵守规则的情况。这意味着网络隐私认证计划的认证标志具有商业信誉的意义，是一种特殊的认证标志。目前，美国国内存在多种形式的网络隐私认证组织，最为有名的是TRUSTe和BBBonline.（三）对我国互联网上个人资料保护的建议目前我国对互联网上个人资料的保护没有专门的法律规定，涉及相关问题，只有信息产业部2000年11月7日发布施行的《互联网电子公告服务管理规定》。按照该规定，“电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意，不得向他人泄露”，违反此规定者，由电信部门管理机构责令改正，人的收集可不经本人同意，但也应该通知或说明。非政府机构的收集信息行为经法律授权或有关主管部门许可，亦可不经本人同意。经本人同意后应按原定范围、渠道、方式收集。

    第二，使用和公开个人资料，应坚持限制利用、合法公开的准则。个人资料的使用，应有明确的法律依据（如统计的需要），或经由本人的同意（收集前己征得意见）。经本人同意而使用个人资料的，应在原定范围内（含向第三人提供）使用和公开。政府机构对个人资料使用公开的情况应记录在案，供本人在一定期限内查阅。也有人建议，非政府机构向第三人公开个人资料的，应通知本人，本人可查阅更正。为避免依法利用、公开与经本人同意的利用、公开相混淆引起信息权利人的不满，可要求网络服务供应商或其他收集人向用户作出说明。如SOHU信箱服务条款中的用户隐私声明称：SOHU一定不会公开、编辑或透露用户的邮件内容，除非：A.在遵守有关法律法规，遵从搜狐合法服务程序的情况；B.为保护维护SOHU的商标所有权；C.在紧急情况下，竭力维护用户个人和社会大众的隐私安全；D.符合其他相关要求。用户可授权SOHU向第三方透露其注册资料，但SOHU不能公开用户的姓名、邮件地址、帐号和电话；除非：A.用户要求 SOHU或授权某人通过电子邮件服务透露这些信息；B.相应的法律及程序要求SOHU提供用户的个人资料。

    2、关于网站自律除此之外，保护公民个人资料隐私权主要寄希望于网站的自我约束，现在国内很多网站都设立了保护用户隐私的相关制度。但这些制度弹性太大，漏洞很多，许多隐私声明常常在没有通告消费者和相关网站的情况下被随意篡改。笔者认为，应当参照国外的一些做法，建立互联网个人资料保护的认证制度，如果不能通过个人资料保证安全的认证，网站不能开业。同时，在鼓励业者自律的基础上，加快互联网个人资料保护的立法步伐，完善相应的法律体系。在保护公民网络隐私权方面，应有明确的规定，比如，强制性要求互联网站在显著的位置张贴清晰明了的隐私保护通告；规定消费者对他们个人资料使用的选择权；允许消费者合法访问互联网站收集的个人资料；要求互联网站采取合理措施以确保所收集信息的安全。

    总之，我们一方面要尽快完善我国网络隐私权保护体系，另一方面以我国加入WTO为契机，通过签定双边或多边条约与网络发达国家和地区进行广泛协商，提出我们共同认可的用户网上隐私保护的要求与标准。把公民网络隐私权的保护纳入国际化轨道，实施泛全球性保护。唯其如此，才能促使我国的网络技术在与全球化一体发展的同时，其负面作用如公民网络隐私权时常被侵犯的现象才会受到法律的遏制，并得到国际法的有效保护。

    六、  结论

    个人资料的保护，公民网络隐私权的保护，迄今为止各国尚在探索之中。互联网实在是太年轻了，年轻得使我们几乎来不及对它做充足的理性思考。作为人类社会的新生事物，人类高级理性成果之一，它对人类数千年形成的和平与战争、建设与破坏这种千篇一律的传统文化的冲击的确令人匪夷所思。面对这个令人既愉快又恐惧的时代巨人，没有人知道到底怎么做才是最好的。唯一可以肯定的是，随着时间的流逝，网络会越来越成熟，而我们人类智慧的大所衍生的伟大理性也一定会对这个理性产物施加有效的控制以满足人类对幸福生活的渴求。

    主要参考文献：

    1、王云斌著，《互联法网》，经济管理出版社，2001年第一版。

    2、于志刚主编，《计算机犯罪疑难问题司法对策》，吉林人民出版社，2000年10月版 . 3、杨力平编著，《计算机犯罪与防范》，电子工业出版社，2002年1月版。

    4、吴弘著，《计算机信息网络法律问题研究》，立信会计出版社，2000年10月版。

    5、孙江主编，《21世纪法律热点问题研究》，中国检察出版社，2002年第二版。

佘质斌