美國“監控門事件”中網絡隱私權保護之反思——以網絡隱私權與國家安全之間的沖突為視角

曹亞偉

（北京大學 法學院，北京 100871）

一、“監控門”事件下的網絡隱私權保護

2013年6月，美國人斯諾登披露了美國國家安全局等情報系統對于通話記錄和互聯網的監控情況。其披露的具體情況中包含“棱鏡”項目以及其它國家安全局的項目。“棱鏡”項目的監控范圍非常廣泛，包括電郵、即時消息、視頻、照片、存儲數據、語音聊天、文件傳輸、視頻會議、登陸時間和社交網絡資料的細節等。通過“棱鏡”項目，美國國安局甚至可以實時監控一個人正在進行的網絡搜索內容［1］。除了“棱鏡”項目外，美國國安局還有其它范圍更加廣泛的監控項目，比如美國《華盛頓郵報》披露的“主干道（MAINWAY）”、“碼頭 （MARINA）”和 “核子（NUCLEON）”三個秘密項目［2］。更為關鍵的是，許多全球知名的互聯網公司也參與到這些項目的運行之中。比如在“棱鏡”項目中，美國情報部門即與包括微軟、谷歌、雅虎、Facebook、PalTalk、AOL、Skype、YouTube以及蘋果等美國IT巨頭的公司合作，直接從這些公司的服務器上收集個人信息。作為回報，這些公司也會享有分享情報部門相關信息的權利。2010年，谷歌表示該公司遭到黑客攻擊。消息人士表示，谷歌聯合創始人謝爾蓋·布林從美國情報機構處獲得了高度機密的相關信息，從而知曉了攻擊來源。當時布林獲得了臨時的機密情報授權，得以了解相關情況［3］。如此廣泛的情報搜集已經足以涵蓋普通人的健康狀況、政治或宗教傾向、商業秘密甚至極其細微的個人隱私暴露在美國情報部門的監控范圍之下［2］，從而嚴重威脅到個人隱私權保護。不僅如此，美國的監控領域已經遠遠超出美國本土，包含歐洲、中國等地，發展為覆蓋全球的監控系統。該事件為網絡環境下的隱私權保護提出了諸多法律問題：網絡環境下的隱私權保護到底與傳統隱私權保護存在哪些區別？國家安全與網絡隱私權保護的界限何在？國際互聯網企業在網絡隱私權保護中應當扮演何種角色？網絡隱私權保護如何克服主權地域性與網絡全球性之間的矛盾？這些問題都亟待我們探討。網絡環境的特點導致傳統的隱私權保護手段受到挑戰，也因此使得網絡隱私權在諸多方面區別于傳統隱私權。首先，網絡環境的虛擬性決定了網絡環境下個人隱私的信息范圍遠遠超過傳統隱私權的范圍。網絡空間的隱私利益一般是以數據形式表現出來，一切個人的信息資料都可以用個人數據等無紙化的行使表現出來，日常生活中的姓名、性別、年齡等在網絡世界中，隨時都可能成為個人隱私的客體［4］。其次，網絡環境的高度普及性使得人們的生活可以在網絡環境中開展，網絡環境的虛擬性已經滲透了足夠多的生活真實性。因此，網絡環境中的個人隱私能夠直接為網絡用戶所感受，并且直接關系到網絡用戶的人格尊嚴。第三，網絡的全球化特征使得網絡環境下的隱私權保護迫切需要國際協調與合作。網絡公司往往按照法律的規定歸屬于特定國家，比如微軟、谷歌等公司通常被法律識別為美國公司。但是，這些公司的軟件和網站卻為全球用戶所使用。因此，這些公司的服務器上便會相應存儲有全球用戶的個人信息。美國政府作為一個主權國家，是否有權力對全球用戶的個人信息進行監管這本身就是一個值得討論的問題。第四，網絡在經濟領域的大量應用，使得網絡環境下的個人隱私保護同時兼具人格利益和經濟利益。因此，網絡環境下的個人隱私保護往往作為商業秘密保護的基礎和前提。

網絡隱私權區別于傳統隱私權的很重要的一個方面就是網絡隱私權的保護比傳統隱私權保護面臨更多的利益沖突，其中一個非常重要的利益沖突便是與國家安全利益之間的沖突。網絡的出現除了給人類生活帶來極大的便利之外，還為犯罪提供了絕佳的手段。愈來愈多的有組織犯罪（比如恐怖主義襲擊）都通過網絡手段進行。因此，出于維護國家安全的考慮，各國政府都有可能針對網絡信息和網絡活動進行監管。在監管過程中，政府安全機構會不可避免地獲取和占有大量個人信息以及個人網絡活動記錄，并可以通過這些信息和活動記錄精確地掌握一個人的生活軌跡，甚至細微的個人隱私，從而嚴重威脅個人隱私的保護。由此，便形成了網絡隱私權保護與國家安全之間的沖突。一方面，網絡隱私權關系到個人的人格尊嚴以及人格獨立與自由，網絡的發展應當促進人格之獨立與思想之自由，而不應當適得其反。顯然，只有在網絡社會發展過程中對隱私權提供充分的保護才不至于背離人類創建和發展網絡的初衷。另一方面，國家安全不僅僅為主權政府提供保護，更重要的是為整個社會的公共安全提供保護。在這方面，恐怖主義襲擊便是最好的例證。恐怖主義最主要的襲擊對象不是政府和軍隊，而是無辜平民。政府安全機構通過監管獲取一定的網絡用戶信息從維護國家安全這個角度講是必要和必需的。因此，我們不能簡單地將兩者中的任何一方凌駕于另一方之上，而是必須尋求網絡隱私權與國家安全之間的協調方法。

二、網絡隱私權保護與國家安全的協調

國家安全與網絡隱私權保護之間進行協調的關鍵在于規范政府安全部門對于網絡信息和網絡活動的監督權，從而最大限度地避免基于國家安全利益的網絡監控行為對網絡隱私權可能造成的侵害。

（一）權利地位——明確網絡隱私權的憲法地位

作為一種基本人權，網絡隱私權的法律保護必須獲得明確的憲法地位。大多數國家憲法條文中都規定了對傳統隱私權的保障。我國《憲法》中雖然沒有明確提及隱私權的保護問題，但是在第33條規定了“國家尊重和保障人權”，并在第38條規定了“中華人民共和國公民的人格尊嚴不受侵犯”，以及第39條和第40條規定了對公民住宅、通信自由和通信秘密的保護，這些規定都為隱私權的法律保護提供了憲法上的間接依據。當然，為了更好地保護隱私權，我國應當在憲法中明確將隱私權作為一種獨立的權利予以專門規定。誠然，網絡隱私權在本質上是一種私權利。但是，出于維護國家安全的需要，公權力的行使和影響在網絡領域大量存在［5］。面對如此龐大的公權力，網絡隱私權的法律保護除了需要普通法律的支持之外，更需要憲法的保護和支持。因為通過限制公權力來保障人權是憲法的基本功能，離開了憲法的地位依據和保護支持，普通法律即使規定再多的保護條款，在面對公權力時，也只能成為無源之水、無根之木。所以，要想明確網絡隱私權保護與國家安全利益之間的法律界限，協調兩者之間的法律沖突，就必須首先肯定網絡隱私權的憲法地位，明確網絡隱私權法律保護的憲法依據。

（二）權力行使——適用行政法基本原則規范網絡監督權的行使

國家安全部門所行使的網絡監督權的授權依據、權力范圍以及行使方式，均與其他行政機關存在不同。但是，其公權力的本質決定了我們依然可以運用行政法規范行政權的基本原則來規范其所享有的網絡監督權的行使。

1．運用比例原則規范網絡監督權行使手段，建立利益衡量機制

比例原則作為行政法的基本原則之一，是指行政行為的實施應兼顧行政目標的實現和保護相對人的利益，如為實現行政目標可能對相對人權益造成某種不利影響時，應將這種不利影響限制在盡可能小的范圍和限度內，保持二者適度的比例［6］。比例原則所產生的初衷就是以對人的尊嚴的尊重和性惡論的人性預設來對權力進行規范，其目的被稱為“調和公益上的必要和自由與權利之侵害”，是相對于公權力的強勢地位而對私權利主體的保護［7］。基于該原則，國家安全部門在行使網絡監督權對網絡用戶信息和用戶網絡活動進行監控和采集時，應當采取對網絡隱私權傷害最小的方式，并建立安全部門采取的措施所獲得的利益與對隱私權侵害造成的損害之間的衡量機制。如此，安全部門才能夠使得網絡監控的目的和網絡監控的手段成比例。

在具體運用這個衡量機制的過程中，同樣要用到比例原則的三個子原則，即適當性、必要性與衡量性。換句話說，就是要分別衡量三個方面：（1）網絡監督的手段和監督內容是否能夠實現維護國家安全的目的，或者至少是有助于實現該目的。這要結合具體情形來判斷，比如一般來講，對不特定的個人的身體健康狀況和興趣愛好的網絡信息進行采集，如果離開具體的情境，便很難解釋為有助于實現國家安全的目的。（2）網絡監督的手段和內容是否是實現國家安全所必需和必要的。網絡監督的手段和內容應當針對不同情形有所區分，只有針對特定危險和風險保護國家安全必需時，才可以對用戶的個人信息、網絡活動記錄、電子郵件內容等進行細微的跟蹤式的全面采集。反之，若非存在特定危險，則僅需采取對網絡隱私權傷害較小的一般監控即可。（3）衡量網絡監督對網絡隱私權造成的損害與所獲得的國家安全利益之間的大小。該步驟是運用比例原則對安全部門網絡監督權行使進行規范的關鍵。通過該步驟的衡量，避免基于維護國家安全的名譽而毫不顧忌網絡隱私權保護的行為。

2．建立網絡監督的正當法律程序，規制網絡監督權的行使過程

正當法律程序可以保證公權力及法律的正確實施，是制約公權力的重要機制，同時也可以使得決策結果和法律適用結果獲得合理性和正當性［8］。正當法律程序原則要求安全部門行使網絡監督權的過程中，應當就其權力的獲得、權力的范圍、權力的內容、權力的消滅以及權力行使的效果建立一定的法律程序和評估機制。國家安全部門的權力的最終來源在于憲法，但是更重要的是，具體權力的行使也應當有明確的授權。如果遇到特殊情形需要擴大權力的行使范圍，則應當經過特定部門的明確授權。同時，就權力行使的效果和權力行使過程中產生的損害，應當有專門機構進行評估和審查，并且，該評估機構的人員構成應當保證能夠代表網絡用戶的權益。基于國家安全的特殊考慮，安全部門網絡監督權行使的透明度顯然遠低于其他行政權的行使，同時，其職能的特殊性也決定了其權力行使享有比其他行政權更大的自由裁量權。但是，以維護國家安全為目的的網絡監督權的行使同樣應當遵守正當法律程序，只是該法律程序應當根據安全部門職能的特點有針對性地制定，但是同樣應當遵循依法授權、授權明確、權力行使具有合理性的基本要求。唯有如此，才能保證該網絡監督權的規范行使，并保護網絡隱私權不被隨意侵犯。

3．建立嚴格的信息防火墻機制，禁止濫用所收集的網絡信息

安全部門的特殊地位以及工作性質決定了其所進行網絡監督活動通常是秘密進行的，其途徑也非普通網絡用戶所能夠運用。同時，其所獲得的網絡信息的廣泛性和全面性也非普通用戶所能夠獲得。一言以蔽之，安全部門與普通網絡用戶相比較，具有絕對的信息優勢，兩者之間存在嚴重的信息不對稱。但是，在傳統環境下，安全部門與普通民眾的生活是幾乎完全隔離的，即便安全部門可以獲得普通民眾所不能獲得的私密信息，也不能將其應用于普通民眾的生活中，并從中獲利。

同樣，在網絡環境中，一方面，基于國家安全利益的考慮，安全部門不可避免地獲得網絡用戶的隱私信息；另一方面，安全部門也必須僅僅基于國家安全利益的目的方可采集和收集隱私信息。這兩個方面決定了安全部門在網絡監管過程中所采集的隱私信息應當禁止被應用于普通網絡用戶的生活中，安全部門應當將其信息優勢圈禁于該部門范圍內，并使得該范圍與普通網絡用戶的生活范圍分隔為兩個世界，將可能的交叉情形限制到最小。

（三）權利的保障——建立專家委員會評估機制

網絡隱私權的保護除了事前對安全部門網絡監督權的規制之外，還需要建立完善的權利救濟和保障機制，以應對網絡隱私權保護與安全部門網絡監督權之間的法律糾紛。鑒于安全部門職能和工作性質的特殊性，在涉及安全部門網絡監督權與網絡隱私權之間的糾紛時，法院的司法救濟機制在事實認定中必然存在取證困難和法律認定困難的問題。因此，應當建立針對網絡監督權與網絡隱私權之間法律糾紛的專門審查機制，并成立專門的專家委員會負責進行相關的事實認定，并給出相應的裁決意見。與普通的法院司法救濟程序相比，專家委員會評估機制對于解決涉及安全部門網絡監督權的網絡隱私權糾紛的解決具有如下優勢：（1）保密性。專家委員會的組成人員有限，相對封閉，可以使得糾紛的解決具有嚴格的保密性，從而顧及安全部門工作性質的秘密性。（2）集中性。對于一般的網絡隱私權糾紛，法院的司法途徑有利于個案正義的實現。但是，對于涉及國家安全利益的網絡隱私權糾紛，通常關系到整個社會的公共利益之間的權衡（1）。在這種情形下，僅僅通過法院的司法救濟途徑是很難實現這兩種公共利益之間的權衡的。相反，專家委員會評估機制則可以實現問題的集中解決，從而實現兩種利益之間的恰當平衡。（3）靈活性。安全部門基于國家安全利益考慮的網絡監督權的行使強度和范圍并不是一成不變的，通常需要基于國際環境和國家安全環境的變化而改變。比如，即便是和平年代，在恐怖襲擊頻繁的時期與恐怖活動相對平靜的時期，各國安全部門采取的網絡監控活動范圍和強度肯定不同，相應的，對網絡用戶隱私信息的采集范圍和強度也是不同的。此時，專家委員會可以靈活地根據國際環境和國家安全環境的變化，對涉及國家安全利益的網絡隱私權糾紛適用不同的評估標準，從而使這兩者因為環境的不同而此消彼長、靈活變化。

三、國際環境下的網絡隱私權保護與國家安全

互聯網的國際性決定了網絡隱私權保護與國家安全之間的沖突已經不再是特定主權國家之內的問題，而成為繼環境問題、核安全問題之后的新的全球性問題。比如，根據前美國中情局雇員斯諾登的披露，美國政府長期竊取中國大陸及香港網絡用戶信息［9］。“棱鏡”計劃也同時暴露了美國政府與微軟、思科、IBM、谷歌等互聯網巨頭之間的密切合作關系。該事件反映出美國政府試圖建立覆蓋全球的“大數據系統”，為其經濟發展和國家安全提供大力支持，以便維持其在全球的霸主地位。但是，類似美國“棱鏡”的國家安全項目以及美國想要建立的“大數據系統”都不僅僅涉及到美國本國公民的網絡隱私信息，還涉及到包括中國在內的其他國家公民的網絡隱私信息，從而使得網絡隱私權與國家安全之間的沖突不再是一國范圍內的事情，而迫切需要國際間的協調與合作，以便制定相互之間具有約束力的規則，維護兩者在全球范圍內的平衡，從而構建國際網絡新秩序。筆者認為，國際網絡新秩序的構建應至少包含以下三個方面：

（一）國際互聯網企業的責任和義務

美國“棱鏡”事件暴露出美國政府與微軟、思科等國際互聯網企業之間就信息的采集和監督之間存在的合作關系。國際互聯網企業的產品在全世界范圍內被廣泛應用，從而使得這些企業可以通過技術手段獲取采用本企業網絡產品的政府信息和某一國的網絡用戶信息。因此，這些互聯網企業必須承擔一定的國際責任和義務，以便實現網絡隱私權保護與國家安全之間的協調。這些國際責任和義務應當包括但不限于：

第一，國際互聯網企業應當承擔國際環境下的網絡隱私保護責任，并建立與國家安全相關的嚴格披露程序和審查機制。一方面，國際互聯網企業基于其產品和技術優勢完全可以獲取所有應用其產品和技術國家的網絡用戶隱私信息。因此，國際互聯網企業必須承擔網絡隱私保護責任，建立全球范圍內的網絡用戶隱私權保護機制，實現對網絡用戶隱私信息的充分保護。另一方面，同樣基于技術優勢，國際互聯網企業是政府國家安全部門采集與國家安全相關的信息和數據不可或缺的合作伙伴。兩者之間的合作確實可以更好地實現維護國家安全的目標。但是，國際互聯網企業必須建立與國家安全相關的完整的披露程序和審查機制。國家之間應當就該披露程序和審查機制制定相關協議，以使得基于國家安全目的的信息采集和網絡監督被限制在一定范圍內，以最大限度地維護網絡隱私權。

第二，國際互聯網企業應當承擔不利用其技術優勢和產品優勢獲利的義務。國際互聯網企業的技術優勢和產品優勢可以瞬間轉化為信息優勢，該信息優勢又蘊含著巨大的經濟價值。國際互聯網企業必須恪守職業道德，不得利用其產品和技術優勢，通過獲取和出售網絡用戶隱私信息的方式獲利。需要注意的是，國際互聯網企業已經在一定程度上形成了壟斷，其對信息的絕對控制是維護其壟斷地位的一種重要方式。在短時間內，主要國際互聯網企業的壟斷地位不會改變。通過締結國際協議的形式，國家之間可以對世界上主要的國際互聯網企業增加禁止從信息優勢中獲利的義務，該義務的范圍應當涵蓋全球所有網絡用戶的網絡隱私信息，包括作為企業的網絡用戶的商業秘密。

（二）國家之間相互保護網絡隱私權的義務

網絡隱私權的保護與傳統隱私權的保護不同，其不再是一國范圍內的事情，而是全球問題。因此，國家之間應當通過國際協議的方式確定各國之間網絡隱私權保護的最低標準，從而使得網絡隱私權的保護在全球范圍內取得一定的一致性。特別是針對網絡隱私權與包括國家安全利益在內的其他利益之間的沖突問題，各國應共同協商，制定解決問題的基本原則，以消除在網絡隱私權保護方面各國之間的沖突。網絡隱私權保護是網絡安全這個大問題之下的子問題，各國應當就網絡安全新秩序的基本原則和框架規則達成一致，在這個框架下，建立網絡隱私權保護的基本原則和最低標準。唯有如此，網絡隱私權才能在全球范圍內獲得充分保護。也只有在各國就保護的最低標準和基本原則形成共識后，網絡隱私權的充分保護才成為可能。

（三）各國國家安全部門之間網絡監督權的限制

國家安全部門基于國家安全利益的考慮，不可避免地會通過行使網絡監督權的方式獲取網絡用戶隱私信息，甚至通過“黑客”行為入侵用戶系統和國家信息系統的間諜方式，獲取私密信息。在短時間內想要完全禁止這種行為幾乎是不可能的。但是，各國如果相互指責，完全放任這種行為的發展，那么就會危及全球網絡安全，引發國家之間的沖突，甚至網絡戰爭，從而給全球政治和經濟發展帶來不穩定因素，也會誘發其他風險。國家之間必須就基于國家安全利益行使的網絡監督權進行限制，最主要的限制就是針對特定領域的限制。網絡發展至今，已經與我們的實際生活緊密結合。網絡監督權對信息的獲取不應當威脅整個社會的穩定。因此，各國國家安全部門行使的網絡監督權必須在與核設施有關的信息、金融領域隱私信息等方面受到限制，以維護全球經濟和社會發展的基本秩序。另一方面，國家必須就采集的隱私信息的處置方式達成基本一致。國家安全部門不得利用其獲得的隱私信息從普通網絡用戶的生活中獲利。國家安全部門應當僅僅基于國家安全利益的考慮對采集的網絡用戶隱私信息加以利用。除此目的之外的對隱私信息的利用，都應當視為對網絡隱私權的侵犯。

四、結語

美國“監控門”事件凸顯了網絡隱私權保護與國家安全利益之間的沖突，解決兩者之間的沖突是實現網絡隱私權保護的重要前提。各國應當首先明確隱私權的憲法地位，同時，運用行政法的基本原則規范基于國家安全利益的網絡監督權的行使，并為網絡隱私權與國家安全利益之間的沖突解決建立專家委員會機制，以便于網絡隱私權的充分保護。同時，互聯網的國際性決定了解決該問題還需要國際協調與合作。各國應當意識到，網絡隱私權的保護涉及網絡安全，只有各國之間通過共同協商，制定共同的具有拘束力的國際規則，才能解決網絡隱私權與國家安全利益之間的沖突，實現網絡隱私權在全球范圍內的充分保護。

注釋：

（1）安全部門行使的網絡監督權通常針對的是網絡公共空間，并非特定個人，因此，在涉及國家安全利益的網絡隱私權糾紛中，實際是國家安全利益與作為整體的網絡隱私權兩種利益的權衡。