網絡服務商侵犯他人網絡隱私權的責任研究

梁琦果，張光杰

（復旦大學法學院，上海 200433）

一、網絡隱私權的內涵

網絡隱私權是人們進入信息化時代之后，從傳統隱私權中演變出來的新型隱私權。它是公民在網絡環境中，對能夠以直接或間接方式識別他本人的信息，享有不被他人非法侵犯、知悉、收集、復制、利用和公開的權利。具體包括：個人數據，例如個人登錄的身份，個人的收入、信用、財產、消費等信息，電子郵箱等；個人私事，即用戶在網絡上進行的與公共利益無關的私人活動；個人領域，如電腦硬盤、個人主頁服務等私人領域。

網絡隱私侵權的形式分為以下幾種：（1）侵權人利用網絡平臺實施侵權。這種情況下，侵權人是指網絡用戶，他們通過網絡平臺，對其他用戶的網絡隱私信息進行非法收集、知悉、公開和利用，侵犯對方的網絡隱私權，有時也會伴隨侵犯對方名譽權等一般人格權。（2）網絡服務商侵權。網絡服務商是提供網絡服務的各種形式的網絡媒介，包括但不限于：網絡接入服務提供者、網絡空間提供者、搜索引擎服務提供者、傳輸通道服務提供者等。其侵權形式主要有非法收集、泄露、販賣用戶的個人信息，侵犯用戶網絡隱私權。例如有網站以搜集全國各地的車主信息、銀行用戶數據、股民信息并將之低價出售的方式非法獲利，嚴重侵犯了網絡用戶的隱私權。[1](p621)（3）網絡服務商的不作為侵權。它主要指，網絡服務商知道或應當知道第三人在自己運營的網絡平臺上發布了可能侵犯他人隱私權的言論，而沒有及時處理和刪除，造成侵權損害的擴大。此種不作為責任源于服務商的管理義務，我國《侵權責任法》新增的網絡隱私保護第36條對此進行了規范。

結合網絡本身的虛擬性、開放性、自由性等特征,筆者將網絡隱私侵權的特征概括為：（1）實際侵權主體難以確定。這一特點主要體現在第一種侵權形式中。因為在網絡中，人們的身份往往是虛擬的，被侵權用戶很難通過正常方式去查明；同時，網絡身份賬號與現實個人也是相對獨立的，侵權者可能借用別人的網絡身份進行侵權，使侵權主體更難確定。（2）網絡隱私侵權手段多樣，且日趨高技術化。信息技術的發展與普及為侵害隱私權提供了許多高技術手段，如使用木馬、間諜軟件、蜘蛛等打開他人系統端口從而查看私人硬盤的文件等。[2](p60)（3）網絡隱私侵權手段具有隱秘性。網絡技術特有的技術性和隱秘性會妨礙人們有效、及時地保護自己的網絡隱私權。（4）網絡隱私侵權具有持續性和擴散性。網絡的特點就是傳播速度快、范圍廣，當個人隱私信息被暴露于網絡上時，這種侵權并不因侵權主體行為的停止而終止，而會不斷地傳播下去。

二、網絡服務商在網絡隱私權侵權中的責任

在傳統觀點中，網絡服務商僅僅提供一種網絡服務，本身具有中立性，不參與信息的交流，因此不對網絡隱私侵權承擔責任。但隨著網絡的發展以及信息經濟價值的飛漲，網絡服務商逐漸變成有獨立立場的主動的特殊主體，他們需要履行一些義務，而現有法律并沒有詳細規定。筆者將實證法中網絡服務商的責任歸納為兩個方面。

1.網絡服務商作為信息控制者的義務。

這類義務規范的是網絡服務商自身作為侵權主體的情形。

（1）數據搜集合法合理義務。數據收集的首要原則是“合法合理”，即搜集和處理手段合法公正，必要時應得到本人同意。這里“合法合理”的概念在臺灣新出臺的《個人資料保護法》中規定得比較詳細：明確告知當事人搜集目的和范圍、對其權益可能造成的影響，并取得當事人同意，方屬合法。德國在這方面采取更為嚴謹的態度，提出了“避免和減少適用原則”，要求盡可能做到化名和匿名，以縮小個人信息被侵犯的風險。

（2）限制利用的義務。限制利用的責任換種說法是要求利用的目的必須明確、特定。具體內涵可參照聯合國1990年《關于自動資料檔案中個人資料的指南》：目的明確原則是指搜集和記錄個人資料應與特定目的相關；未經個人同意，不得以與明確目的不相關的目的利用和揭露上述個人資料。

（3）接受當事人控制的義務。經濟合作與發展組織在1980年《保護個人信息跨國傳送及隱私權指南》中將這一義務稱為保證個人參與的義務。即網絡服務商有義務把用戶視為他們自身資料的控制人：用戶有權知道自己信息被搜集的事實；有權查閱；在發現資料有誤時，有權提出異議，在異議合理時有權對資料進行修改和補正。

（4）敏感數據禁止搜集義務。該義務首次提出是在聯合國1990年《關于自動資料檔案中個人資料的指南》中，具體表述為“無歧視原則”：有可能引起非法的、武斷的歧視的資料（民族、種族、膚色、性生活、政治觀點、宗教、哲學及其他信仰、協會、公會信息等）都不應被編輯。之后歐盟等也都對敏感數據進行了規定，提出不在特殊情況下，不得搜集。在最新的臺灣《個人資料保護法》中，也新增了敏感數據的規定：敏感性個人資料，包括醫療、基因、性生活、健康檢查及犯罪前科等五種敏感資料，原則上不得搜集、處理或利用。

（5）技術安全保障義務。在2003年的《德國聯邦數據保護法》中規定了安全保障義務：數據控制人應當采取必要的技術和組織措施來保護個人數據。

2.網絡服務商作為網絡服務者的義務。

這類義務是一種基于服務管理而產生的輔助性義務，類似于一種附隨義務。筆者將它歸納為兩類：預防性的檢查義務和發現侵權時，及時采取補救措施的義務。在這種輔助義務中，網絡服務商并非直接利害關系主體，如果不加限制地介入，可能會侵犯公民的言論自由權，因此這種輔助義務還需要進一步研究，找出一種適用條件來加以限制。

預防性檢查義務。英國2000年《數據保護法》中規定了“公民有預防侵害的權利”這一原則：對于數據處理有可能對數據主體或他人造成不合理損害，數據主體有權在任何時候向數據控制人發出書面通知，要求在合理時間結束，或不得開始。在規定中，網絡服務商有一種被動接受用戶申請的義務，于是有學者認為可再增加一種主動、預防性的義務，即：網絡服務商應主動對自己平臺上的信息進行檢查，如果發現有可能對他人造成不合理損害時，有權進行事先警告。我國《侵權責任法》第36條第3款規定：網絡服務提供者知道網絡用戶利用其網絡服務侵害他人民事權益，未采取必要措施的，與該網絡用戶承擔連帶責任。這一款體現出我國立法者認為網絡服務商應當具有一種預防性檢查義務，但是“知道”這一概念有些模糊：“知道”是通過什么方式，是定期的檢查，還是偶然發現。

侵權后的補救義務。網絡隱私侵權具有持續性和擴散性，網絡服務商為信息傳播提供媒介，在控制言論傳播，停止持續損害方面有著不容忽視的地位。該義務正是我國新修訂《侵權責任法》增加的網絡侵權規范內容?！肚謾嘭熑畏ā返?6條第2款規定：網絡用戶利用網絡服務實施侵權行為的，被侵權人有權通知網絡服務提供者采取刪除、屏蔽、斷開鏈接等必要措施。網絡服務提供者接到通知后未及時采取必要措施的，對損害的擴大部分與該網絡用戶承擔連帶責任。這一條款的目的是為了及時控制侵權損害后果的傳播和擴散，是一種及時補救措施，它的出發點是為了能夠更好地保護用戶的合法權益。但在實踐中遇到了問題，它會給網絡服務商帶來兩難處境，因為他們無法在法院判決前就預判什么樣的行為是侵權行為，如果不采取行動，就要承擔不作為責任；如果貿然采取行動，則可能侵害公民的言論自由權。

三、完善我國相關制度的建議

1.立法方面的完善。

（1）補全網絡服務商的義務和責任。

目前我國對網絡服務商對網絡隱私權的具體行為規范只有《侵權責任法》第36條，而且主要是規定了網絡服務商在服務過程中的輔助性義務（第二、三款規定），對于其他國家著重立法的網絡服務商作為信息控制者的義務，只在該條第1款簡單列出，即“網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的，應當承擔侵權責任”。信息控制義務是網絡服務商的嚴格義務，必須落實，因此應當在本條款中明確列舉網絡服務商的信息控制義務：數據的搜集合法合理義務，限制利用的義務，接收當事人控制的義務，敏感數據禁止搜集義務，技術安全保障義務。這些義務規定得比較原則性，可以結合我國具體國情對他們進行更為具體的規定。

至于第2款規定中的輔助義務，因其會給網絡服務商造成兩難處境，所以還需進一步完善，以探索出更為明確、合理的行為規范。例如在第二、三款中可以增加：網絡服務提供者在面臨判斷時，向其監督機構提出申請，如果判定確有侵權可能性，再采取必要措施。這種制度類似于訴訟法中的訴前保全制度。筆者認為不應讓網絡服務商自己來進行內容的審查和判斷，因為這種法律審查需要較高的專業性，一般的網絡服務商都不具備，美國一法院曾在一起網絡誹謗案的判例中寫道，要求網絡服務商對每一個可能帶有詆毀的信息進行審查，就像要求經銷商審查公共圖書館里面的圖書內容一樣，是不切實際的。

（2）立法模式改進。

目前世界各國針對網絡隱私權保護的立法模式有三種：以歐洲為代表的是統一立法模式，即對隱私權的保護通過一部綜合性的法律規范來實現；以美國為代表的是分散立法模式，即根據不同需要，采取針對不同對象的有區別的行業立法與行業自律；以日本為代表的綜合模式，一方面出臺綜合性的個人信息保護法，另一方面也鼓勵非公共部門進行行業自律。

總的來說目前我國還是未將網絡隱私權從一般人格權中分離出來。隨著網絡的進一步發展，對此進行專門立法是必然趨勢。根據我國國情，建議采用漸進式的立法模式改進：首先可以根據司法實踐，出臺網絡服務商和隱私權的相關司法解釋，形成一個完整、有體系的專題；接著鼓勵行業自律，讓網絡服務商們在原則性的義務下，發揮主觀能動性，建立多元、靈活的行業規范；經過長期的實踐后，方可出臺網絡隱私權的統一法律。

2.監督機制完善。

針對本文中提到的對網絡服務商的監督，可借鑒國外模式：（1）在基層法院下設立專門的網絡隱私權監督機構，人員由該院法官和一定數量的網絡技術專業人士組成。在需要進行審核是否侵權時，由幾位法官和技術專員組成臨時小組來決定。（2）可能進行信息控制的網絡服務商在當地進行行政登記，每個網絡服務商都設立一名網絡隱私保護員，負責定期對平臺信息進行檢查，接受用戶的侵權投訴，聯絡監督機構。

[1]張璐.侵權責任法與網絡隱私權法律保護研究[A].Proceedings of the 2010 International Conference on Information Technology and Scientific Management（Volume 2）[C].2010.

[2]張秀蘭.網絡環境下的隱私權.[M]北京：北京圖書館出版社，2006.