現在位置: 首頁 > 學術文章 > 線上隱私保護在中國:當下與未來——論中國個人資料保護的法律制度-趙雲

學術文章  /  science

發表時間:06 - 06, 2016消息歸類:學術文章

線上隱私保護在中國:當下與未來——論中國個人資料保護的法律制度-趙雲


法定文書及法定程式電子化

導入:在當下法定文書及法定程式電子化這一會議主題下,現有在實踐中積極開展的嘗試眾多,包括在電子政府領域的一系列推進舉措,以及在電子司法實踐中包括遠端審判、網路直播、電子送達、電子證據、執行案件資訊管理系統、電子簽章系統在內的完整體系。在資訊化時代和互聯網高速發展的當下,電子化確已和人們的生活息息相關,尤其是在龐大的網路使用者群體以及日益發達的互聯網產業之中,每個用戶都被納入到了這個電子化的虛擬世界之中。相對在國家行政和司法領域推進電子化而言,在這裡接下來將討論的視角另闢蹊徑,從公民個人的電子化資訊角度出發,通過檢視我國目前對個人隱私的法律保護非常不完備,沒有一部獨立的個人資訊保護法,有關個人資訊保護的法律規定比較零散、缺乏系統性,回顧過去的一系列發展情況,來提出今後在電子化潮流下,如果更好得做好網路隱私保護這一塊法律制度的保障之建議。

線上隱私保護在中國:當下與未來——論中國個人資料保護的法律制度

趙雲*

摘要

隱私保護正在成為一個日益重要的話題。對隱私保護的現行法律法規的審查表明,中國缺乏對隱私保護的一致和全面的法律框架。我們見證了對於隱私權越來越多的關注,特別是在網路空間的情況下。在過去幾年裡嘗試出臺資料保護法的努力並未得到任何正式結果。因此,研究中國目前的情況,提出可行的辦法,加強中國法律制度下對網路隱私保護十分必要。

1.引言

隱私權是現代社會的一項重要權利,但到目前為止還為“隱私”的概念沒有明確的定義。一般來說,隱私屬於人權中關於保護個體私人資訊不被非法侵犯的一部分。這樣的私人資訊可以包括個人生活、個人資訊和私人通信。電子隱私資訊中心(EPIC)和隱私國際組織(PI)劃分隱私為四類:資訊隱私,身體隱私;通信隱私和領土隱私。[1]

由互聯網帶來的網路空間使世界比以往更加緊密;地域界限不再像過去那麼重要,因為資訊可以很容易地超越國界傳輸。技術的發展,使我們能夠輕鬆的採集,存儲,分析,即時披露和低成本得廣泛傳播私人資訊。[2] 這些工具,如小型文字檔(Cookies)和網路漏洞,已被廣泛用於網上資訊的收集,並且這類收集可以在使用者並不知情的情況下進行。[3]

線上共用的文化和線民們的積極參與,向線上隱私保護提出了嚴峻的挑戰。[4] 首先,網上隱私和資訊的範圍正在迅速擴大。除了傳統的資料,如電話號碼和行動電話號碼,網路個人資料,例如電子郵寄地址,用戶名,QQ號碼,接收到越來越多的公眾關注。其次,這些線上資料對商家越來越重要;因此,線上隱私和資訊,應從個人和經濟的兩個角度來理解。例如,個人資料已經成為網路交易的寶貴財富。商家在網上收集的資訊可能會致使產生表明消費者的喜好的個人檔案,它從而可以説明商家設立行銷策略。網上隱私保護已經收到了前所未有的關注。在互聯網方面,由EPICPI確定的前述四類隱私資訊應是首要關注的問題。目前如何確保合法和合理得使用這些線上資訊已經有了一些討論。因此,本文會重點討論關於線上資訊或個人資料的保護問題。

中國尚未形成比較強的隱私保護的傳統。[5] 正如有學者指出,“中國普通大眾並不知道隱私是個什麼概念。”[6] 中國過往的歷史,尤其是帝制和文革時期,都呈現了不尊重隱私保護的景象。由中國長城防火牆創建組成的審查是另一個例子,表明中國淡化隱私保護的現實。不過,這種情況正在發生變化。中國政府已經意識到網路隱私保護的重要性,並採取措施,以改善線上資訊保護的法律制度。中國公民的隱私權意識正在上升,來面對個人資料的嚴重威脅。[7] 此外,一個日益全球化的市場也需要資料保護制度的存在,和與其他法域的標準看齊,從而促進經濟發展。

在此背景下,本文首先討論中國在隱私保護的現行法律制度,當然,這方面的討論可能難以做到面面俱到。在過去的幾年裡,中國政府已經採取了重要措施來保護個人資料。其次,本文將會討論了這些新的舉措,並確信對於中國在此領域未來的發展抱有樂觀態度。然後在繼續對中國現行法律制度問題的分析中,為中國個人資料保護找尋未來可行的方法。文章的結論是,中國正在穩紮穩打,雖進程緩慢,邁向個人資料保護公平的法律制度建設。

如前文所說,個人資料的範圍是越來越寬廣的。一般來說,個人資料包括資料主體不願意分享或透露給公眾的內容,如姓名,年齡,性別,身高,體重,健康狀況,病歷,身體特徵,居住地,種族,宗教,政治關係,收入和儲蓄,教育背景,職業,婚姻狀況,性生活和性取向,家庭背景,社會網路等。

2.      中國隱私保護法律制度

當下對於“隱私”這一概念國際上還沒有一個普遍接受的定義。在國家層面,中國尚未有官方文書給予“隱私”定義。但是,在過去,北京朝陽區法院曾在“王某訴張某、大旗網和天涯網”案中解釋對“隱私”的理解。[8] 正如某學者概括過,“根據法院,隱私意味著個人生活、資訊、空間和個人生活的寧靜”正如一位元學者根據法院的總結,“個人生活、資訊、空間和個人的興趣和個性的私人生活之安寧,其不打算與他人分享。因此,上述的資訊被披露或私人資訊被發佈,構成了隱私的侵犯。” [9]

作為最高位階的中國憲法,並沒有具體規定個人資料的保護,但確實涉及了“隱私”之義。憲法確認,公民的人格尊嚴受到法律保護,禁止侮辱、誹謗和誣告陷害。[10] 它保護公民的住宅不受侵犯,禁止非法搜查或者非法侵入公民的住宅。[11] 其進一步規定,“中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要,由公安機關或者檢察機關依照法律規定的程式對通信進行檢查外,任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。” [12] 這些規定被一些學者視為在社會穩定目的下,法律框架中對公民隱私的最低限度上的保護。[13]

由於憲法不能在案件中被法庭引用,更實用的規定可以在其他法律法規中找到。全國人民代表大會常務委員會在《全國人民代表大會常務委員會關於維護互聯網安全的決定》中,將“非法截獲、篡改、刪除他人電子郵件或者其他資料資料,侵犯公民通信自由和通信秘密”定義為一種犯罪行為。[14] 《刑法》也包含若干關於侵權通信權和居住權的刑事責任的規定。在當前的討論中,我們將主要精力集中在民事方面。

1986年《民法通則》為民事權利的保護提供了法律依據。在這部法律中,“隱私”沒有被定義為一項獨立的權利,但屬於名譽的一般權利。三條相關保護隱私的規定包括:(一)姓名權,禁止他人干涉、盜用、假冒個人姓名; (二)肖像權,未經本人同意,不得以營利為目的使用公民的肖像; (三)名譽權,公民的人格尊嚴受法律保護,禁止用侮辱、誹謗等方式損害公民、法人的名譽。該法還規定損害賠償,其中包括停止侵害,恢復名譽,消除影響,賠禮道歉,並可以要求賠償損失等手段。

最高人民法院多次發佈司法解釋,闡述上述規定的適用。這些司法解釋都呈現出對隱私保護領域司法觀念的發展和變化。1988年最高人民法院關於貫徹執行《中華人民共和國民法通則》若干問題的意見(試行)司法解釋第140條規定,“以書面、口頭等形式宣揚他人的隱私,或者捏造事實公然醜化他人人格,以及用侮辱、誹謗等方式損害他人名譽,造成一定影響的,應當認定為侵害公民名譽權的行為。” [15] 這一規定說明隱私權被納入名譽權及名譽損害之下,是法律保護的一個先決條件。

五年後,最高人民法院再次作出《關於審理名譽權案件若干問題的解答》司法解釋,基本對1988年司法解釋進行了進一步闡述,並再次強調,名譽權是隱私被侵犯下採取法律措施的原因。正如這一解釋,規定“對未經他人同意,擅自公佈他人的隱私材料或者以書面、口頭形式宣揚他人隱私,致他人名譽受到損害的,按照侵害他人名譽權處理。” [16]

2001年《最高人民法院關於確定民事侵權精神損害賠償責任若干問題的解釋》在隱私保護領域取得了重大突破,承認了隱私權作為獨立的人格權,不再更多得附屬於名譽權。根據解釋,“違反社會公共利益、社會公德侵害他人隱私或者其他人格利益,受害人以侵權為由向人民法院起訴請求賠償精神損害的,人民法院應當依法予以受理。” [17] 它進一步規定,“非法披露、利用死者隱私,或者以違反社會公共利益、社會公德的其他方式侵害死者隱私”,“其近親屬因下列侵權行為遭受精神痛苦,向人民法院起訴請求賠償精神損害的,人民法院應當依法予以受理”。[18] 因此,侵權人應當承擔對隱私和名譽權損害造成的精神損害賠償責任。

直到2009年全國人大常委會通過了《侵權責任法》之前,上述司法解釋的重要突破並沒有正式上升通過成為法律法規。《侵權責任法》是第一次國家立法層面對侵權責任進行界定,如醫療事故、工傷事故、產品責任,以及線民和互聯網服務提供者(ISP)的法律責任。同時,也是第一次,在國家立法層面較為寬泛得定義了包括隱私權作為一項獨立的民事權利在內的一系列民事權利。[19]2001年的司法解釋類似,受害人可以要求精神損害賠償。[20] 《侵權責任法》對於互聯網用戶和ISP的侵權責任作出了規定,並採用了“通知-移除模式”。根據這一規定,網路使用者、網路服務提供者利用網路侵害他人民事權益的,應當承擔侵權責任。[21] 這可以被看作是建立隱私保護法律制度中的重要一步。然而,我們必須注意到,這些法律規定只是針對侵犯隱私後的補救措施;它沒有全方位得觸及到如何在各個階段處理個人資料,以確保正確收集,檢索和使用。

除了上述兩個立法,還有其他方面的立法也涉及到了隱私保護相關的問題。例如,《消費者權益保護法》規定,“消費者在購買、使用商品和接受服務時,享有人格尊嚴、民族風俗習慣得到尊重的權利,享有個人資訊依法得到保護的權利。”該法還規定,“經營者收集、使用消費者個人資訊,應當遵循合法、正當、必要的原則,明示收集、使用資訊的目的、方式和範圍,並經消費者同意。”《電子簽名法》也要求認證服務機構妥善處理與認證相關的資訊。

各種行政法規也對隱私和個人資料的保護有相關規定。國務院2000年頒佈的《互聯網資訊服務管理辦法》禁止互聯網資訊服務提供者不得製作、複製、發佈、傳播含有侮辱或者誹謗他人,侵害他人合法權益的資訊

在部門規章方面,公安部和工信部是兩個主要相關的部門。早在1997年,公安部就頒佈了《電腦資訊網路國際聯網安全保護管理辦法》,意識到保護互聯網使用者自由和隱私的重要性。在2005年,公安部頒發了《互聯網安全保護技術措施規定》,再次強調保護互聯網安全和防止線上資訊非法洩漏的重要性,其規定了“互聯網服務提供者、聯網使用單位負責落實互聯網安全保護技術措施,並保障互聯網安全保護技術措施功能的正常發揮”。

工信部是負責互聯網管理的主要政府部委。2000年頒佈的《互聯網電子公告服務管理規定》要求互聯網資訊服務提供者未經使用者同意不得披露個人資料和隱私。[22]《互聯網電子郵件服務管理辦法》也作出了類似規定,其進一步重申“公民使用互聯網電子郵件服務的通信秘密受法律保護。除因國家安全或者追查刑事犯罪的需要,由公安機關或者檢察機關依照法律規定的程式對通信內容進行檢查外,任何組織或者個人不得以任何理由侵犯公民的通信秘密。”

除上述兩個部級機構的部門規章,其他一些部級機構也紛紛在其管轄範圍內制定了相應規則。例如,文化部2010年頒佈《網路遊戲管理暫行辦法》規定,“網路遊戲運營企業應當按照國家規定採取技術和管理措施保證網路資訊安全,包括防範電腦病毒入侵和攻擊破壞,備份重要資料庫,保存使用者註冊資訊、運營資訊、維護日誌等資訊,依法保護國家秘密、商業秘密和使用者個人資訊。”國家工商行政管理總局(SAIC)頒佈《網路商品交易及有關服務行為管理暫行辦法》中也規定了網路商品經營者和網路服務經營者對於收集到的使用者資料的義務,包括安全保管、合理利用,有限的保存期限和適當的銷毀。商務部在2011年發佈的《協力廠商電子商務交易平臺服務規範》規定“未經使用者同意,平臺經營者不得向任何協力廠商披露或轉讓用戶名單、交易記錄等資料”。

上面描述表明,中國已經有處理隱私保護的一些規則。最明確的立場可以通過《侵權責任法》這一非常重要的國家立法將隱私權界定為是一項獨立的權利看出。互聯網服務供應商可能被追究承擔連帶責任,如果它“忽略了關於發佈到網上的有害評論的通知,並未能作出任何合理的回應。” [23] 然而,當涉及到個人資料保護方面,2011年之前的情況一直比較令人失望。在個人資訊的收集,儲存和使用方面的相關規定都是在部委級別上,並未建立一個系統的立法體系。

3.      中國資訊保護近期發展

正如上文所述,個人資料保護領域的立法相對滯後。但是我們也不能忽視,中國已經注意個人資料保護的重要性並在學術界和政界為之努力。早在2005年,學術上對於個人資料保護法規草案已經提交給國務院,遺憾的是在過去數年並沒有取得任何進展。[24]

儘管如此,2012年仍被證明是最有成效的一年之一,我們可以看到幾個重要的規範個人資料保護的舉措被採取。在2012年,工信部發佈了兩個專門針對個人資料保護的重要文件。

3.1  2012年 工信部《規範互聯網資訊服務市場秩序若干規定》

2012年315日,工信部《規範互聯網資訊服務市場秩序若干規定》生效。這是首次對“使用者個人資訊”這一概念作出了“與用戶相關、能夠單獨或者與其他資訊結合識別使用者的資訊”這樣的定義。因此,在歐盟已應用的“個人識別碼”這一標準,被正式用來界定“個人資訊”,這個定義可以被看作是個人資料保護規定的一個重要突破。

同樣是首次,規定確立了五項在國際上普遍承認的資料保護原則:一、使用者同意原則,使用者資料被服務提供者收集並提供給協力廠商需要經過使用者同意。[25] 二、特定目的原則,“互聯網資訊服務提供者經使用者同意收集使用者個人資訊的,應當明確告知用戶收集和處理使用者個人資訊的方式、內容和用途,不得收集其提供服務所必需以外的資訊,不得將使用者個人資訊用於其提供服務之外的目的”。三、有限收集原則,互聯網資訊服務提供者僅能收集其提供服務所必需的資訊”。四、有限使用原則,“互聯網資訊服務提供者不得將使用者個人資訊用於其提供服務之外的目的”。五、安全保護原則,保管的使用者個人資訊洩露或者可能洩露時,應當立即採取補救措施。

3.2        2012年工信部《資訊安全技術、公共及商用服務資訊系統個人資訊保護指南》

2012年同年,工信部宣佈了《資訊安全技術、公共及商用服務資訊系統個人資訊保護指南》這一非常重要的標準。其與OECD指導檔相似,該標準提供了關於個人資訊的範圍,收集和使用個人資訊的原則上的詳細規定。我們可以注意到,“個人資訊”的定義與之前頒佈的檔非常類似。該指南更進一步通過區分個人資訊分為兩類,個人敏感資訊和個人一般資訊。並提出了默許同意和明示同意的概念。該指南還劃分了例如身份證號碼,手機號碼,種族,政治觀點,宗教信仰等資訊為個人敏感資訊。

該項標準還正式提出了處理個人資訊時應當遵循的八項基本原則,即目的明確、最少夠用、公開告知、個人同意、品質保證、安全保障、誠信履行和責任明確,劃分了收集、加工、轉移、刪除四個環節,並針對每一個環節提出了落實八項基本原則的具體要求。

總之,這一標準指南是第一次在國家層面,在技術檔和準則上開展一系列的標準化普及。其可以有效地推動中國個人資訊保護的水準,鼓勵正確使用在社會中的個人資訊。然而,我們必須注意到,這份檔只是一個指南,而不是一個具有法律約束力的檔。

雖然2012年工信部標準指南沒有有強制效力,但工信部頒佈的上述兩個檔已是中國的個人資料保護史上的一個里程碑。中國政府以前從未有過對個人資料保護呈現出如此認真的官方態度。個人資訊保護工作正式進入“有標可依”階段,,同時也有助於建立行業自律模式,彌補我國個人資訊保護相關組織機構的缺失,也為今後全面的個人資料保護立法工作奠定了基礎。

3.3  《互聯網資訊服務管理條例》修正草案修正意見稿

在《互聯網資訊服務管理條例》頒佈近12年後,在2012年,國務院開展了修訂工作。修正草案徵求意見稿在201267日公佈,供公眾諮詢,徵求意見稿包括互聯網服務供應商和互聯服務提供者涉及使用者資訊保護保密義務的一個重要規定,包括身份資訊和日誌記錄。該草案還加強了政府的執行力,在原有規定基礎上,增加對違法者的相關懲罰措施,包括“給予警告,責令限期改正;有違法所得的,沒收違法所得,處違法所得3倍以上5倍以下罰款;逾期未改正的,責令暫停或停止相關互聯網資訊服務,直至由電信主管部門吊銷其互聯網資訊服務增值電信業務經營許可證件或者取消備案”。

3.4  2012年全國人民代表大會常務委員會《關於加強網路資訊保護的決定》

2012年末,全國人民代表大會常務委員會頒佈了關於加強網路資訊保護的決定,旨在保護可用於識別公民個人或涉及公民隱私的電子資訊。它強調保護相關個人資訊和隱私電子資訊的重要性。在具體內容上和OCED準則相似,它也重申了前述的幾個一般原則。“網路服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子資訊,應當遵循合法、正當、必要的原則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意,不得違反法律、法規的規定和雙方的約定收集、使用資訊”。

為了保護個人資料,資料主體可能會採取法律行動。這一點已經通過《最高人民法院關於審理利用資訊網路侵害人身權益民事糾紛案件適用法律若干問題的規定》司法解釋得到了進一步補充。根據司法解釋,“網路使用者或者網路服務提供者侵害他人人身權益,造成財產損失或者嚴重精神損害,被侵權人依據侵權責任法第二十條和第二十二條的規定請求其承擔賠償責任的,人民法院應予支持”。

2012年全國人大常委會的關於加強網路資訊保護的決定可以被視為個人資料保護領域的一個突破。但是,它只提供了模糊的規定和一般原則。此外,針對全國人大常委會作出的決定之法律效力還存在著疑問,一些實務者而那位元這只是一個規範性檔,在實踐中很難執行。[26]

3.5  2013年工信部《電信和互聯網使用者個人資訊保護規定》

2012年後,在2013年涉及到個人資訊保護的規定相對比較少出臺。在613日,工信部出臺了《電信和互聯網使用者個人資訊保護規定》。

此規定同樣採用了“個人識別”標準來定義“個人資訊”。個人資訊同樣也包括之前尚未被考慮進來的“使用者使用服務的時間、地點等信資訊”。“其他資訊”這一術語規定提供了更多符合規定下的靈活變動的可能。《電信和互聯網使用者個人資訊保護規定》適用於電信服務運營商和互聯網資訊服務提供者收集和使用個人電子資訊的情形。因此,其應用範圍相當廣泛,適用於任何通過互聯網向線上使用者提供資訊的實體。

2012年《全國人大常委會加強網路資訊保護的決定》相配套,該規定還明確規範了收集和使用資訊、安全措施、監督檢查和法律責任的一系列標準。在2012年《全國人大常委會加強網路資訊保護的決定》的基礎上,工信部《電信和互聯網使用者個人資訊保護規定》大致上根據1980OECD準則這一個人資料收集方面的最低標準, 包括一些國際原則:1)自願原則,收集/使用前需正式通知並得到個人的同意; 2)透明性原則, 服務供應商必須披露收集的和使用的目標,範圍和方法; 3)必要性原則,資訊的收集不宜過大,應符合其既定目標相一致; 4)安全性原則,服務提供者必須採取的措施,明確管理系統、安全協定和協力廠商資料處理的持續監管,以強化IT安全的義務。眾多內部管理程式被提供以期減少每日大量個人資料處理過程中產生的經營風險。

2013年工信部《電信和互聯網使用者個人資訊保護規定》和2012年頒佈的《資訊安全技術、公共及商用服務資訊系統個人資訊保護指南》之間存在著一些差異,特別是在“個人資訊”這一概念以及明示和默示同意這幾個領域。 2013年工信部《電信和互聯網使用者個人資訊保護規定》澄清和協調了對於用戶通知和同意相關規定上,在不同法律法規間可能存在的分歧。但其並未根本解決分歧,一定程度上會導致分歧共存從而造成用戶的困惑。

與以往的規則相比,2013年工信部《電信和互聯網使用者個人資訊保護規定》彰顯了幾個重要的改進。一是對 “個人資訊”這一概念給出一個明確的定義。更重要的是,其規定了相關執法和可能承擔的責任事項,為規定的落實和實現作出了重要推進。此外,該規則不同過往,還強制增加一些要求,例如在出現嚴重資料安全性漏洞的情況下要求服務提供者通知工信部等監管部門從而合作補救。

因此,一些評論家認為2013年工信部《電信和互聯網使用者個人資訊保護規定》反映出立法既借鑒了基於亞太的OECD準則也結合了歐盟相關法律法規從而更加專注和調節各類問題。[27]

但是,我們仍需注意在個人資料保護的現行法律框架下存在的問題。首先,針對“個人資訊”在不同檔中有不同的標準和方式來定義。2012工信部《資訊安全技術、公共及商用服務資訊系統個人資訊保護指南》對個人敏感資訊和個人普通資訊作出了劃分並對應不同的用戶同意標準,而這種區別並未被其他相關法規或規定所涵蓋。因此,將術語一致化將有助於現有各類規則的實施。

其次,2012年全國人大常委會的決定和2013年的規定都明確禁止出售、洩露或者非法提供個人資訊給協力廠商。但是,12年的《指南》中允許符合特定條件的轉讓,包括:1)數據當事人被告知; 2)資料接收方符合指南所列標準資格; 3)確保資料的轉讓不會被除預期接收者以外的任何其他個人或實體獲取。這些條件的規定有助於澄清在前述兩個檔中存在的衝突,有助於補充關於個人資料的非法或合法轉讓相關的規則。

第三,一系列的安全措施在規定中被提及。然而,這些措施絕大多數只是服務提供者應採取的較為簡單的行動; [28] 並未提供最低安全標準,從而使服務提供者在何種行動中採取何種行為具有廣泛的自由裁量權。

第四,現有的規則的刑罰相對較輕,可能不足以產生威懾。例如,對於個人資訊被濫用的最高罰款為10000-30000元之間。

3.6  2013《消費者權益保護法》(新消法)

在借鑒2012年《全國人大常委會關於加強網路資訊保護的決定》和2013年《電信和互聯網使用者個人資訊保護規定》的基礎上,消費者權益保護法於20131025日作了修正並於2014315日生效。 其在個人資料保護領域對2013年《電信和互聯網使用者個人資訊保護規定》做了補充,對網上零售商收集和使用個人資料做了規定,需要遵循合法性、必要性和合理性原則等。新消法明確承認了消費者線上上和線下對於個人資訊所擁有的權利。

相較於2013年工信部《電信和互聯網使用者個人資訊保護規定》,新消法的規定了更嚴格的法律和行政制裁,其中包括沒收違法所得、處以違法所得一倍以上十倍以下的罰款,情節嚴重的責令停業整頓、吊銷營業執照等。

但是,新消法並沒有在“准入”和“退出”機制中上清晰適用。根據新消法,“經營者未經消費者同意或者請求,或者消費者明確表示拒絕的,不得向其發送商業性資訊”。 由此可以得出無論是准入或者退出機制都適用。但是並沒有更詳細的規定來說明這一機制如何運作。這樣一來,當通知消費者有權退出和消費者表明自己的反對意見時,問題可能從而產生。

3.7  2014年—2016年近期的新發展

 

3.7.1        2014年工商行政總局《網路交易管理辦法》

2014年工商行政總局發佈了《網路交易管理辦法》,比較系統得對網路線上交易行為進行了規範。在辦法中,同樣涉及到資訊保護的相關規定。

《網路交易管理辦法》第十八條規定,“網路商品經營者、有關服務經營者在經營活動中收集、使用消費者或者經營者資訊,應當遵循合法、正當、必要的原則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。網路商品經營者、有關服務經營者收集、使用消費者或者經營者資訊,應當公開其收集、使用規則,不得違反法律、法規的規定和雙方的約定收集、使用資訊。

網路商品經營者、有關服務經營者及其工作人員對收集的消費者個人資訊或者經營者商業秘密的資料資訊必須嚴格保密,不得洩露、出售或者非法向他人提供。網路商品經營者、有關服務經營者應當採取技術措施和其他必要措施,確保資訊安全,防止資訊洩露、丟失。在發生或者可能發生資訊洩露、丟失的情況時,應當立即採取補救措施。

網路商品經營者、有關服務經營者未經消費者同意或者請求,或者消費者明確表示拒絕的,不得向其發送商業性電子資訊。”

3.7.2        2015年《中華人民共和國網路安全法(草案)》[29]

為了應對日益嚴峻的網路安全形勢,2015年全國人大常委會發佈了《中華人民共和國網路安全法(草案)》,徵詢公眾意見。草案17條規定了國家實行網路安全等級保護制度,對網路運營者要求其“採取資料分類、重要資料備份和加密等措施”。同時,在草案第四章,第3439條,對個人資訊保護進行了詳細的規定。此外,草案第22條規定使用者需提供真實身份資訊,推行網路實名制,以保障網路資訊的可追溯。同時在第40條明確了網路運營者處置違法資訊的義務,規定“網路運營者發現法律、行政法規禁止發佈或者傳輸的資訊的,應當立即停止傳輸,採取消除等處置措施,防止資訊擴散,保存有關記錄,並向有關主管部門報告”。第41條規定“發送電子資訊、提供應用軟體不得含有法律、行政法規禁止發佈或者傳輸的資訊”。第43條賦予有關主管部門處置違法資訊、阻斷違法資訊傳播的權力。

3.7.3        其他政策性動態

12015年第二屆世界互聯網大會《烏鎮倡議》

2015年12月,來自120多個國家(地區)20多個國際組織的2000多位元代表,共聚第二屆“世界互聯網大會——烏鎮峰會”。在大會“互聯互通•共用共治——構建網路空間命運共同體”主題下,與會代表圍繞互聯網建設、發展和治理等問題展開討論。經高級別專家諮詢委員會討論,大會組委會提出《烏鎮倡議》,在第四點倡議中,“保護個人隱私和智慧財產權,共同打擊網路犯罪和恐怖活動“同樣強調了個人隱私保護議題的重要性。

2  57日上午,全國資訊安全標準化技術委員會(以下簡稱“信安標委”)在北京組織召開座談會,學習貫徹中共中央總書記習近平在網路安全和資訊化工作座談會上的重要講話精神。信安標委秘書長、工信部信軟司副司長高林透露,有關資料獲取的國家標準已經在報批過程中,“(標準)是一個底線,不是強制性的。標準推出以後,可能會有一些政策來推動使用和落實。”

4.      中國個人資訊保護法律制度的未來發展

我們目睹了中國在隱私保護相關立法和規範上在過去幾年取得了一些令人鼓舞的進展。[30] 不過,這種進展還沒有完全令人滿意。現有多數規範是較為零碎,且多為部門規章。[31] 單單是工信部就頒佈了若干檔,這可能會導致在理解和應用這些規則可能出現混亂和複雜的情況。

在討論綜合性立法開展過程中的各種困難的同時,我們也可以看出中國政府在這一過程中採取了謹慎的態度。相關的討論仍在進行,許多建議被回饋給國家,在國家立法層面上出臺個人資料保護立法仍十分可能。

一個主要問題是如何平衡隱私保護與中國的意識形態和價值觀之間的關係。傳統上中國並不強調隱私保護。然而,尊重網路中的隱私權和隱私保護已受到世界的關注。停滯在過往,侵犯隱私權的習慣已經不再適合主流的道德標準和社會的發展。對比例如歐盟在內的境外相關制度,中國似乎需要滿足所謂的“最低標準”來向國際標準看齊。那麼,在未來數年裡,中國應做些什麼呢?

首先,一個全面的資訊保護法是必要的。在互聯網行業一直主張行業自律來處理各類問題,然而,中國社會大眾尚未廣泛接受隱私保護這類議題;認識或理解如何保護線上隱私和防止隱私被侵犯的民眾比例仍比較低。例如,一項實證研究表明,中國很多網站顯示的隱私權聲明未能遵守隱私保護的一些普遍原則。[32] 此外,中國的行業自律標準也相對較弱。[33] 在國家立法層面來促進隱私保護,並呼籲服務提供者採取措施有效處理侵犯隱私的行為是十分有益的。我們可以樂觀地預計,這樣的立法將會在短期內開展。在目前階段,我們需要研究針對個人資訊的若干問題。首先,何種立法模式能夠最好得適合中國?技術中立的方法還是技術具體的方法更好?從立法方面的經驗來說,我們不難發現,技術中立方法的優點。《電子簽名法》就提供了一個極好的例子。鑒於時下科技發展十分迅速,中立的辦法能夠平衡國家立法的靈活性和穩定性。

第二,我們需要區分這三個術語:“隱私”,“個人資訊”和“個人資料”。這些術語彼此密切相關,可能將會應用於未來立法之中。“隱私”是一個比較寬泛的概念,《侵權責任法》已經確認了隱私權。在電子時代,我們更關心的是資訊隱私。一般來說,“個人資料”和“個人資訊”概念已在國際立法中得到廣泛的比較。事實上,“個人資訊”已在工信部頒佈的幾個檔中被採納。術語“個人資訊”的通過將能夠同時與國際慣例和中國現有的法律相一致。因此,在未來立法中採用“個人資訊”將是可取的。

第三,我們應該考慮“個人資訊”和“敏感資訊”這一概念的範圍。此議題已在2012年工信部的指南以及2013年的規定中得到了部分解決。我們也應該考慮到隨著技術的發展,給予這兩個概念一個更通用的定義也是可以嘗試的。例如,歐盟資料保護指令規定“成員國應禁止個人資料洩露種族或民族,政治觀點,宗教或哲學信仰,工會會員資格,以及有關衛生或性生活資料”。[34] 法律對此規定的賠償責任應能反映出被告人引發的,包括對資訊侵犯在內的危害。

第四,個人資訊保護不應忽視國家安全和商業秘密的保護。雖然在過往的討論中強調隱私權的重要性,言論自由也同樣應該得到尊重。在隱私保護和言論自由之間應當取得適當平衡。在這方面,我們需要認真考慮基於公眾利益的例外,一些有用的參考可以在香港的《個人資料(私隱)條例》中找到。[35] 該條例第八部分專門討論了例外情況,包括司法職能、家庭用途及刑事犯罪等情況。[36]

第五,執行一直是中國各領域法律中的一個難題。由哪個監管機構來監督這些法律法規的執行值得討論。應由哪個政府部門來執行這些資料保護法律法規?目前的制度下,主要依賴於工信部和省一級的電信部門來行動。的確,工信部可以作為監督機構的一個選項。但是,如果這樣安排,其是否能足夠保障個人資料保護仍是問號。工信部擔任了多種職能,可能並不是最好的選擇。為此我們可以參考其他法域的監管安排。以香港為例,個人資料私隱專員,根據《個人資料(私隱)條例》設立的監督機構,可能是一個很好的例子。一個相對獨立的監督機構能夠以中立和公正的方式來確保個人資料保護的規則得以實施。這樣的安排,按照國際制度,可以進一步強化有關規定的執行,有助於贏得公眾的信任。中國也可認真考慮建立具體的監管機構來保障個人資料的可能性。

最後同樣重要的是,我們也應通過宣教教育來提高公眾的個人資訊保護意識。[37]不同團體的參與和宣傳普及也是同樣有益於推進個人資訊保護的整體發展。

5.      結論

新世紀以來,中國互聯網領域得到了極大的發展。根據中國互聯網路資訊中心(CNNIC)最新的統計資料顯示,截至201512月,中國線民規模達6.88億,互聯網普及率達到50.3%,半數中國人已接入互聯網。[38] 互聯網廣泛的普及和應用,同時也給用戶帶來了更大的資訊隱私和安全的考驗。[39]

隱私權在過去一直是人權律師的熱門話題。[40] 中國雖只在過去二十餘年裡才開展討論,但發展迅速。在資訊時代,資訊隱私是主要議題之一。相關的法律法規,多數停留在部委規章級別,雖然情況並不盡如人意,但在現實中確實已經發揮作用。我們需要認真考慮如何促進個人資料保護的法律制度的進一步發展。

一個較為全面的個人資料保護法似乎是唯一可行的最好辦法,來保護個人免受“干擾或被侵犯”。[41] 目前這一工作已經在開展中。在2005年就已經有學者提交了關於個人資訊保護法草案給國務院。2011年到2013年也見證了前文所述的一系列巨大進展,令人欣喜,同樣也促進了公眾在個人資訊保護的意識。這一系列發展也能為中國在加入世貿組織後於其他交易夥伴加強聯繫提供幫助。在日益全球化的社會,我們有充分的理由相信,在該領域的國家立法的推進將有助於中國與國際社會的進一步整合,也能為當下的“互聯網+”佈局提供法律層面的保護。


* 香港大學法律學院教授。感謝香港大學法律學院博士生林暘協助作者就本文寫作進行的研究工作。

[1] “EPIC—Privacy and Human Rights Report,” WorldLII, accessed December 27, 2013, http://www.worldlii.org/int/journals/EPICPrivHR/2006/PHR2006-Defining.html.

[2] Fuping Gao, “The E-commerce Legal Environment in China: Status Quo and Issues,” Temple International and Comparative Law Journal 18 (2004): 76; Guosong Shao, Internet Law in China (Oxford: Chandos Publishing, 2012), 141.

[3] Kuang-Wen Wu et al., “The Effect of Online Privacy Policy on Consumer Privacy Concern and Trust,” Computers in Human Behavior 28 (2012): 889-897.

[4] Miriam J. Metzger and Sharon Docter, “Public Opinion and Policy Initiatives for Online Privacy Protection,” Journal of Broadcasting & Electronic Media 47 (2003): 350-374.

[5] Jingchun Cao, “Protecting the Right to Privacy in China,” Victoria University Wellington Law Review 36 (2005): 646.

[6] Bo Zhao, “Posthumous Reputation and Posthumous Privacy in China: The Dead, the Law, and the Social Transition,” Brook Journal of International Law 39 (2014): 269.

[7] Yong Jin Park, Scott W. Campbell and Nojin Kwak, “Affect, Cognition and Reward: Predictors of Privacy Protection Online,” Computers in Human Behavior 28 (2012): 1019-1027.

[8] Beijing Chaoyang District Court, No. 10930 of 2008.

[9] Rebecca Ong, “Recognition of the Right to Privacy on the Internet in China,” International Data Privacy Law 1 (2011): 175.

[10] The Constitution, Article 38.

[11] Id., Article 39.

[12] The Constitution, Article 40.

[13] Arthur J. Cockfield, “Legal Constraints on Transferring Personal Information across Borders: A Comparative Analysis of PIPEDA and Foreign Privacy Laws,” in Surveillance, Privacy, and the Globalization of Personal Information: International Comparisons, ed. Elia Zureik et al. (McGill: McGill-Queen’s University Press, 2010), 64.

[14] NPCSC Decision in Safeguarding Internet Security, December 28, 2000, Article 4(2).

[15] Opinions of the Supreme People’s Court on Several Issues concerning the Implementation of General Principles of Civil Law (For Trial Implementation), April 2, 1988, Article 140.

[16] Reply to Certain Issues Concerning Trials of Cases Involving the Right to Reputation, June 15, 1993.

[17] Interpretation of the Supreme People’s Court on Problems regarding the Ascertainment of Compensation Liability of Emotional Damages in Civil Torts, March 8, 2001, Article 1.

[18] Id., Article 3(2).

[19] Tort Law, Article 2.

[20] Tort Law, Article 22.

[21] Tort Law, Article 36.

[22] 根據中華人民共和國工業和資訊化部令第28號《工業和資訊化部關於廢止和修改部分規章的決定》的規定,2000108日中華人民共和國資訊產業部令第3號公佈的《互聯網電子公告服務管理規定》自2014923日起廢止。

[23] Tort Law, Articles 8-9. Qingxiu Bu, “’Human Flesh Search’ in China: the Double-edged Sword,” International Data Privacy Law 3 (2013): 191.

[24] See generally Hanhua Zhou, Personal Data Protection Law (Expert Draft) and Legislation Research Report (Beijing: Law Press, 2006), 1.

[25] Evelyne Beatrix Cleff, “Privacy Issues in Mobile Advertising,” International Review of Law, Computers & Technology 21(2007): 225-236.

[26] Philip Cheng, Andrew McGinty and Jun Wei, “China Turns up the Heat in the Battle against Abuses of Personal Data: Corporate China Alert—20 August 2013,” Hogan Lovells, accessed December 31, 2013, http://www.hoganlovells.com/china-turns-up-the-heat-in-the-battle-against-abuses-of-personal-data-08-20-2013.

[27] Mark Parsons and Xun Yang, “New Rules for Online Personal Privacy in Force 1 September 2013: Implications for Doing Business in China,” Freshfields Bruckhaus Deringer, accessed December 31, 2013, http://online.wsj.com/news/articles/SB10001424127887324338604578328393797127094.

[28] Graham Greenleaf, Asian Data Privacy Laws: Trade & Human Rights Perspective (Oxford: Oxford University Press, 2014), 213.

[30] Graham Greenleaf, “China’s Internet Data Privacy Regulations 2012: 80% of a Great Leap Forward?” Privacy Laws & Business International Report 116 (2012): 1-5.

[31] Chunyan Ding, “Patient Privacy Protection in China in the Age of Electronic Health Records,” Hong Kong Law Journal 43 (2013): 245.

[32] Lingjie Kong, “Online Privacy in China: A Survey on Information Practices of Chinese websites,” Chinese Journal of International Law 6 (2007): 166-170.

[33] Jorg Binding and Kai Purhagen, “Regulations on E-Commerce Consumer Protection Rules in China and Europe Compared – Same Same but Different?,” Journal of Intellectual Property, Information Technology and E-Commerce 3(2011): 190-191.

[34] EU Data Protection Directive, Article 8.

[35] Cap. 486, Personal Data (Privacy) Ordinance, Gazette Number: E.R.1 of 2013, Version Date: April 25, 2013.

[36] For details, see id., Sections 51-63D.

[37] Matthew Sundquist, “Online Privacy Protection: Protecting Privacy, The Social Contract, and the Rule of Law in the Virtual World,” Regent University Law Review 25 (2012): 182.

[38] China Internet Network Information Centre (CNNIC) released its 37th Statistical Report on Internet Development in China, January 22nd 2016, https://cnnic.cn/gywm/xwzx/rdxw/2015/201601/t20160122_53283.htm

[39] Aimee Boram Yang, “China in Global Trade: Proposed Data Protection Law and Encryption Standard Dispute,” International Journal of Law and Information Technology 18 (2012): 197.

[40] Lynn Chuang Kramer, “Private Eyes are Watching You: Consumer Online Privacy Protection—Lessons from Home and Abroad,” Texas International Law Journal 37 (2002): 387-420.

[41] Hao Wang, Protecting Privacy in China: A Research on China’s Privacy Standards and the Possibility of Establishing the Right to Privacy and the Information Privacy Protection Legislation in Modern China (Berling: Springer, 2011), 169.

© 2014 · 澳門法律公共行政翻譯學會