浅谈数字环境中的隐私保护(二)
发布日期:2003-12-18 文章来源: 互联网
除了E.T型软件外,在数字世界中还有一样对个人隐私构成巨大威胁的东西,那就是网民们用的最多的电子邮件。
便捷、快速、省钱,这些都是电子邮件的诱人之处,但同时它也有致命的弱点-安全性能差。最安全的E-mail也只不过是一张明信片,而永远不可能等同于一封传统的私信。也就是说,一个人可以通过它收到询息,但并不知道它在来的路上是否已被别人读过。一般来说,如果E-mail的信息没有任何加密,例如编码,那么它就有可能被他人截走并阅读,甚至更糟。
近日,一个网络隐私监察小组意外地发现,有一种新的小技术可以让不怀好意的人利用E-mail中的安全漏洞轻易窃取别人的隐私信息。它并不需要利用E-mail客户端软件中的安全漏洞,而是由HTML格式的E-mail本身存在的一个安全漏洞引起的。
这种窃取别人隐私信息的技术只需要编写几行简单的JavaScript代码就可以了,这几行代码,一般情况下收信人不会发现,但是当收件人把邮件转寄给别人的时候,它会同样把信件的内容返回给最初的寄信者。
由于HTML格式的E-mail具有普通Web网页的优点,所以它日益流行。为了区别一封Email是否是HTML格式,只需要在阅读邮件时点击鼠标右键,如果能发现快捷菜单中有“查看源代码”等类似选项,则说明这是一封HTML格式的E-mail.用户也可以通过查看源代码轻易发现邮件中嵌入的JavaScript代码,但是不论这段代码是否要窃取个人隐私信息,对一个不熟悉计算机编程的普通用户来说,是根本无法识别这段代码的。
JavaScript已经制造了一个很大的Web漏洞,不但能够暴露收件人什么时候阅读信件,而且还会暴露信件的内容。因为许多E-mail用户在交流过程中更加喜欢使用“回复”或者“转发”功能,而不是直接撰写新的信件,如果某个人给别人发了一封E-mail,而收件人则在这封信基础之上和另外的用户进一步相互交流,这个时候,JavaScript就能够让最初的发件人偷窥Email通信的整个过程。如果收件人将其中的一封E-mail广为转发,那么最初的发件人还可以通过这种方式获得大量的E-mail地址。
包括Microsoft Outlook、 Outlook Express和Netscape Messenger在内的一些软件,在这种安全攻击面前都显得相当脆弱。避免侵害的最好方法是关闭E-mail客户端软件中的JavaScript功能。据微软公司的发言人宣称,下一个版本的Outlook Express将会关闭JavaScript.这只是E-mail技术不可靠的一个最新发现,而通过跟踪E-mail来监控员工的行为则早就是一个公开的秘密,早在1996年2月,“人力资源管理学会”就发表报告说,通过对美国经理们搞的一项民意调查表明,检索电子邮件是监督雇员的最常用的方法。在美国有电子邮件设施的机构中,有36%出于业务需要或安全原因有办法检查雇员的电子邮件通信记录;有7.7%可以任意浏览雇员的电子邮件;70%的管理者说,老板应当有权阅读公司电子通信系统中的任何信息。
今天,技术的发展使这种监控变得更加变本加厉,哪怕这些邮件被“删去”了也无妨。
对约翰 杰森来说,电子邮件毫无隐私可言。他能从磁带上找到被多次覆盖的邮件,能让“已删除”的文件复活。
10年前,杰森开始“计算机法医分析家”的工作,现在他是西雅图“电子证据侦察事务所”的执行总裁。这家公司有程序员、行为学专家、侦探共50余人,主要业务是查找“幽灵邮件”:一般人都以为按过“删除”键,邮件就不复存在了,实际上被删除的信息还存放在计算机的删除文件夹中,即便连这个文件夹也被删除,杰森他们还是能从硬盘和备份磁带里把它们挖出来。
想想1999年1月,比尔。盖茨的电子邮件作为呈堂证供出现在联邦法院指控“微软”垄断案的法庭,就是对l994年1月这位电脑巨擘在《纽约客》所言“我们的电子邮件绝对安全”的绝妙讽刺。
1993年,马萨诸塞州一家食品公司两个新来的大学毕业生就掉进了电子邮件的陷阱。为了解闷,贝丝。冈恩和亚历克。迈尔斯在同事中散发笑话邮件,其中若干封给老板起了外号叫“老秃羊”。不幸的是,老板本人居然也收到了这些邮件!调查开始了,“计算机法医分析家”在公司硬件系统挖出了“老秃羊”事件的来龙去脉,贝丝和亚历克因“蓄意不轨行为”被炒了鱿鱼。天真的贝丝还以为设了密码,别人就看不到她的邮件了,现实给她上了很好的一课。
类似“老秃羊”的故事正在成为越来越多的美国人的教训。1994年10月的一天,史密斯先生给公司总部发了一封电子邮件,抱怨他所在的宾夕法尼亚分公司给他穿“小鞋”,同时揭露了分公司老板的某些丑行。分公司曾再三向员工保证,他们的电子邮件绝对属于隐私。但是,几天之后,史密斯还是被解雇了。他向法庭起诉,法庭却拒绝受理这个案子,因为法庭认为雇主是公司计算机上所有资料的所有者。
不仅在美国,欧洲大陆上情况也是如此。比如法国KTT-Webexpert公司的老板亨利。卡姆感觉手下一位重要职员不大对头,这家网络技术公司有160多名员工,“不大对头”的那个正负责公司最重要的项目。不敢当面询问的老板查阅了公司的上网记录,不到10分钟,他就弄明白了-该员工与多个招聘网站有E-mail往来!再一个不到10分钟,该员工就被解雇了。
据国际数据公司的统计,每天共有9000万美国员工发出11亿封商业电子邮件。大量邮件在改善工作环境的同时,也使员工在工作场所中面对面交流的减少、造成公司内部电子邮件交通量的不必要增加和无法管理;更大的麻烦是,它们有朝一日或许会成为对公司或员工不利的证据。
美国有关电子邮件的法律制定于1986年,规定所有使用公司系统发送的邮件都属于公司财产。那时,电子邮件比较稀罕,一般都在公司内部的封闭系统之间;现在有了互联网,没有哪个系统可以完全封闭,但是法律却没有修改,员工的通信过程还是像放在玻璃柜台里的大蛋糕一样,感兴趣的人想看就可以看上一眼。如果被起诉的是整家公司,老板的通信过程又何尝不是如此?
随着电子邮件越来越多地成为呈堂证供,西雅图“电子证据侦察事务所”的约翰。杰森的事业也日渐发达。6年来,他接了1000多项委托,请他挖邮件的人和请他藏邮件的人一样多。
他的得力助手琼。弗里曼接受《美国新闻与世界报道》采访时说过一句话:“或许数字时代的疑犯权利应该这样措辞:‘你有权保持沉默和不发电子邮件,如果你放弃这个权利,任何你讲的话和你发的电子邮件都有可能在法庭上成为对你不利的证词。’”
这听起来很象是一段网络幽默,但是联想到去年10月在英国生效的一项新法案,规定雇主可以使用网络技术监视员工在网上的活动,察看他们的电子邮件,便很难让人幽默起来了。
据报道,这项规定是英国于2000年7月通过的“管理和调查权力法案”的一部分。按照这项规定,雇主如能提出符合法案要求的理由,就能在不征求员工同意的情况下,监视其网上活动,防止员工在上班时间浏览“不合适”的网站;检查员工的E-mail,掌握员工与客户交流的情况,防止他们工作失当或搞小动作等。
这个新法案的出台,在英国国内引起了相当大的争议。支持者认为,这有助于提高员工的工作效率,防止病毒入侵,保护企业利益。反对者则说,雇主有可能滥用这种权力,侵犯员工隐私权。而且在此之前不久,英国还出台了一项“数据保护法案”,规定雇主拆阅员工私人电子邮件的行为是违法的,将被处以高额罚款。专家分析说,这两个法案的用意都是好的,但在实际操作中如何能并行不悖,难度相当大。
面对数字世界里如此这般的“高新”技术,和现实社会中让人无所适从的保护措施,对于用户来说,要想维护个人的隐私,最安全的方式似乎只有一种,远离网络。 很显然这并不是一个合适的选择,而且也有悖社会的发展与人们的真实意愿。所以,更多的用户做出了另外一种选择:上网,但是不在网上传送敏感信息,或者只在网上传送虚假的信息。
网络研究人员在最近的一次调查中发现,网络隐私之战好像正在掀开新的一页,“谎言=保护网络隐私”,正在成为用户们的共识和他们的防身利器。
研究人员发现一些了解电脑技术的网络用户开始在提供个人信息,获取免费服务的时候,谎称自己的身份,例如:伪造自己的电子邮件、身份,以此在网络之上保持匿名,避免垃圾邮件的威胁。这种“隐私卫士”的比例有可能在美国网络用户中占到了1/4.大多数用户通常会提供伪造姓名。
同时,他们还发现,许多用户会提供一个次要的电子邮件地址,以避免垃圾邮件的困扰。有不到10%的用户采用了更高级的策略,其中包括发送加密电子邮件,或者使用软件,在再次访问网络站点时,隐藏电脑ID.这些“隐私卫士”,大多数都是上网历史超过3年的网络老用户,大多数为男性,其中35%年龄位于18到29岁之间,网络研究人员说如果这些用户认为公司在个人信息用途上不实,他们也会毫不犹豫地以自己的谎言回击。他们预计随着上网人数的增长,这类“隐私卫士”的比例也会相应增加。
这种消极抵抗的方式显然不是网络经营者们所意愿的,也不是网络经济发展所应该倡导的。虚假信息的泛滥,无论是对数字世界还是现实社会而言,都是一件极为糟糕的事情,它不仅会动摇以信息流通为根本基础的数字大厦的基石,而且还会导致“诚信”的失落,乃至整个社会秩序的失衡。
应当承认数字时代的到来,网络的诞生,对社会生活的影响是极为广泛的。无论是人们的交往方式、商业模式,还是社会管理、法律规范,都不得不面对它的冲击。但同时,人类对于秩序似乎又始终存在着一种内在的需求,即便在那个被称为最自由、最平等、最无疆界、最不受约束的互联网上,人们的这种需求也没有根本的改变。秩序和结构依然有自己的一席之地,只不过更多的具有了它自己的特色。
一个人独处的权利
尽管如本文一开始所探寻的那样,对于人有隐私的认识,或许古已有之,但是它作为个体的一种权利被认识,受到法律的保护,则是一百年以来的事情。在1890年美国法学家路易斯。布兰蒂斯(Louis.Brandeis)和华伦在哈佛大学《法学评论》上发表《隐私权》一文之前,隐私并不是一个权利。只是在此之后,人们才逐渐认识了隐私权及其重要性,各国法律陆续确认其为人格权,并加以严格的法律保护。
作为现代宪法权利或国际人权 ,隐私指的是与公共利益无关的个人私生活隐秘,它所包括的内容,是私人信息、私人活动和私人空间。
一个完整意义上的隐私权的概念似乎可以直观地表达成:消极被动的不受干扰的权利(Leave me alone!)+ 积极主动的对个人资料的支配权。
前者在布兰蒂斯的笔下被描绘成:“一个人独处的权利是所有权力中最广泛的权力,是自由人最珍视的权力。”
这一点,在今天这个互联网时代,不仅没有丝毫的削弱,反而更显珍贵。因为在这个垃圾信息充斥的世界里,现代人无时无刻不在被打扰。街头林立的广告牌、电视中频频出现的广告插播、以及电子邮箱里不请自来的垃圾邮件,无一不是打扰,更不用说前文所提到的在线公司对用户的窥探行径和老板对雇员的监控了,对于这种“一个人独处的权利”来说,都是不折不扣的侵犯。
然后,随之而来的,无论是出于疏忽导致用户信息的泄露也好,还是蓄意利用用户信息牟取利益也好,从本质上来说都是剥夺了用户对其个人资料的专有的支配权。这是对隐私权的极大的践踏。
和以往社会形态不同的是,在数字化环境中,一个人显然更容易失去对其私人信息的掌控能力。这是由“数字化”的特点所决定的。
首先,网络传播的便捷性和广泛性,对个人隐私构成了极大的威胁。你固然可以在网上任意向大家讲述你的邻居经常穿着睡衣裤上街的逸事,但同样无法阻止你的邻居把你只有嚼完口香糖才敢去约会的故事当做笑话在聊天室里与所有人共同分享。由于在网上信息的发布和传播都只在一瞬间,而且复制与搜寻都比以前容易的多,加之Internet早就把个人电脑、政府办公电脑和公司商用电脑系统串联在了一起,因此个人信息一旦进入了公众领域,不管是疏忽、故意还是盗用,只要是以某种形式泄露了,你就根本没有办法控制或阻止个人信息的散布。
其次,由于在数字环境下搜集信息和检索信息的高效与便利,以及不需要任何物化的形式,使某些人简直难以抵御这种窥视的诱惑。和以往社会不同的是,一个人的点点滴滴的信息,在网上都很容易(甚至是自动)被聚集、分类、整理,加之各种数据库的存在,交叉检索的结果,很可能不费吹灰之力就能把你了解得非常透彻,从你有几颗假牙到你的购物习惯,从你的业余爱好到医疗记录,乃至你的身分证号码,统统透明。
再者,由于技术的飞速发展,曾经让007大为骄傲的监视手段已从军事用途转移到了商业,加之如前文所分析的,在信息社会中用户信息是在线公司最有价值的财产,那么在利益的驱动下,商家尤其是经营电子商务的公司自然就会不顾一切地搜集用户的信息并企图从中获得利益。
这也就是为什么,这两年来,隐私保护问题如此沉重又如此热门话题,倍受人们的关注。甚至已经阻碍到了消费者网上的商业活动,以及电子商务的发展。
也许的确是到了我们正视这个问题的时候了。
事实上,到目前为止,还没有一个国家对网络隐私问题进行全面的立法保护,尽管美国联邦贸易委员会(FTC)-这一国家级的消费者保护机构在过去两年每年的春季听证会上都威胁使用立法手段保护隐私,实际上是希望通过此举促使更多商业网络站点进行自律。该委员会主席Robert Pitofsky认为,该行业在隐私保护问题上动作迟缓,没有及时在其商业模式中,加入通知,选择,获取以及安全方面地信息规范。他说消费者网上隐私的保护需要自律以及立法手段,同时也需要技术以及消费者教育。
而消费者的愿望似乎更倾向于政府立法保护来保护他们的隐私权。据1998年美国“图形、视觉和应用性组织”对10000多名网上用户的调查显示,72%的互联网用户认为应该有新的法律保护网上的隐私,82%的用户反对出售个人信息。而后,在美国《商业周刊》进行的民意调查中,53%的受访者认为政府应该通过法律以规范网上个人信息的获取和利用,这一数字比认为政府应该让行业组织自愿制定出隐私的标准保障的人高出3倍。
另一方面,在互联网个人隐私立法问题上,欧盟与美国的意见也一直充满分歧。欧洲各国政府认为个人隐私是法律赋予个人的权利,而美国政府则认为这个问题应该让公司来处理。
从1997年起,克林顿政府对互连网的发展一直持放任态度,反对垄断,鼓励竞争,充分相信市场的作用,因而在网络隐私保护的问题上,也一直把自由竞争基础上的行业自律作为首选政策。即使在其唯一的一部关于网络隐私的立法,1998年颁布、2000年44月21日生效的《网上儿童隐私保护法》中也没有放弃行业自律的政策。而本届新当选的布什政府也未对隐私立法发表明确意见,尽管在竞选中布什曾表示有必要保护网上隐私权,但同时又反对过多的立法。
欧洲人在公司收集处理个人数据的管理上比美国人更加谨慎敏感。1998年10月生效的《关于个人资料的运行和自由流动的保护指令》规定这类数据不能传送到美国和其他不符合个人信息保护标准的非欧盟国家中。而美国则没有相关的管理条例,只是更多地依赖公司进行自我管理。
欧盟不仅不遗余力地制定保护网络隐私的标准,要求各个成员国的私营组织和公共机构都遵守统一的原则,而且还努力将其制定的规则提升为国际标准。
1980年由经济合作发展组织(OECD)颁布的《保护隐私及跨国交流个人资料准则》,可以说是协调欧洲资料保护方面法律的第一次尝试。该《准则》为保护隐私确立了10条基本原则,以后世界上大多数隐私保护的立法都从中受益。美国和加拿大也是该《准则》的签约国。不过《准则》是自愿参加的,并没有法律效力。
随后欧盟又制定了一系列关于网络隐私保护的指令性文件:1995年通过了 “关于个人资料的运行和自由流动的保护指令”,1997年“关于个人资料向第三国传递的第一个指令――评估充分性的可能方式”,1999年“关于在信息高速公路上收集和传送个人资料的保护指令”,构建起了一套相应的法律保护框架。
尽管,美国和加拿大在网络个人隐私方面存在做法上的分歧,但是其终极目标还是一致的,还是对个人的隐私权有充分的肯定并努力加以保护。而且欧盟的《关于个人资料的运行和自由流动的保护指令》中关于不能将个人信息传送到美国和其他不符合个人信息保护标准的非欧盟国家中的规定,对美国而言或多或少也是一种压力,因此新年伊始,《计算机世界》的网站里就有了美国国会讨论网上隐私保护问题,预计将有几十个相关法案需进行讨论的报道。并指出一些提案要求给予最终用户选择是否接受Cookie的权利,还有的提案要求网站必须提供它如何使用顾客信息。
而2000年6月美国与欧盟终于在一轮轮艰苦的会谈后签署的个人数据保护协议,就更能反映在互联网世界中走得最快的两个利益集团之间的相互影响。这个被称为“安全港”的协议于当年夏季起正式生效,它要求美国商家负责捍卫收集到的欧洲消费者的个人信息。它要求美国互联网公司通告欧洲网民他们的个人数据将怎么被用的,并最终得到网民的同意才能使用。任何违反该条令的公司都将被视为从事商业欺诈行为。美国商业贸易部赞成这种工业自律手段,美国总统克林顿和欧盟官员称赞这一协议的签署将是推动经济增长的国际电子商务领域的里程碑般的事件,但消费者组织显然对此有不同的认识。
跨大西洋消费者对话组织(TACD),是一个包括电子个人隐私信息中心机构的联合组织,它认为认为欧盟和美国政府达成的互联网个人隐私协定对两个地区的网民都算不上有多安全。因为该计划并没有为欧盟网民提供一个法律所要求的个人隐私保护计划。TACD在一份声明中说:“根据他们的以往经验,美国消费者组织对用自我约束的系统来保护欧洲网民的个人信息没有半点信心。”
不过,对中国而言,主要的问题似乎还不是用立法的形式来对网络隐私权进行保护的问题,而是,尽快地明确界定隐私和隐私权在公民生活中所处的地位,并对其进行直接保护。
众所周知,在1986年制定《中华人民共和国民法通则》的时候,由于立法者对隐私权还没有充分的认识,因而在这部法律中仅仅规定了生命健康权、姓名权、名称权、肖像权、名誉权、荣誉权等人身权,没有将隐私权规定为公民的人格权。
这不能不说是立法上的一个疏漏。好在,人们很快就认识到了这个问题,并给予了补救。1988年,最高人民法院在《关于贯彻执行<中华人民共和国民法通则>若干问题的意见(试行)》中,将隐私解释为名誉权下的一项人格利益加以保护。它的第140条规定:“以书面、口头形式宣扬他人隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。”这是最高司法机关对于公民隐私权保护的第一次司法解释,从而确认了公民享有隐私权,对隐私权采取间接保护方式进行保护。
后来在《未成年人保护法》和《妇女权益保障法》这两部法律中,对未成年人的隐私权、妇女的隐私权,都作了明文规定。如:《未成年人保护法》第三十条规定:“任何组织和个人不得披露未成年人的个人隐私。”《妇女权益保障法》第三十九条规定:“妇女的名誉权和人格尊严受法律保护。禁止用侮辱、诽谤、宣扬隐私等方式损害妇女的名誉和人格。”等。而且在刑事诉讼法、民事诉讼法等法律也都规定了对涉及隐私(阴私)内容的案件不公开审理的原则,同样也是对隐私权的保护。
但是,这些保护方式都只能说是间接的。实践证明,采用间接保护的方式保护隐私权,不够完备也不够周密。最高人民检察院民事行政检察厅厅长杨立新就认为:“在我国,因为制定《民法通则》时没有规定隐私权,因而采用了目前的这种以保护名誉权的方式保护隐私权的间接保护方式。按照我国司法解释确定的对隐私权的保护方法,只有擅自公布、恶意宣扬他人隐私,造成名誉损害后果的,才能认定为侵害名誉权的侵权行为,追究行为人的民事责任;对于其他侵害隐私的行为,例如刺探他人私人情报信息,擅闯他人私人住宅,跟踪私人活动,等等,就都无法追究民事责任。这里既有立法上的原因,也有法官和法院对法律理解的问题。事实上,在一些民法特别法中对隐私权的规定,是应当依照、可以参照的,直接按照侵害隐私权追究侵权行为人的民事责任,是完全有法律根据的。”
他还认为,对隐私权采用直接保护方式,既是隐私权自身的要求,也是社会发展的必然。因此,司法机关在其中应当有所作为,推动这一进程。同时,立法机关也应当采取措施,在适当的时候,采用适当的方式,通过立法或者立法解释,确认公民的隐私权,规定对其进行直接保护。
毫无疑问,在数字环境下,用户或者说消费者的个人信息,是重要的有利可图的商品,但它又是一种不能滥用的商品。任何想从这种商品中得到好处的公司都必须尽快意识到并承担起他们尊重个人隐私的责任。他们必须让消费者确信,他们在浏览、询问、购物时给出的信息,是被安全地发送、接受、储存的,这些信息不会被用来侵犯他们的隐私,正如技术的发展也是为了让网络世界变得更为友好,而不是用来侵犯个人的隐私。当用户在网上时,他依然是自由自在的,拥有个人的独立空间的。
而法律的作用,则是规范双方的行为,即用户与网络服务商两者;并敦促企业学会把保护网络隐私视为其生产经营的一个内在的不可缺少的部分,就如他们目前正在学习的把环境保护作为他们必不可少的责任之一一样。
0发布咨询
相关文章
相关法律知识