网络隐私权的法律保护(上)
作者:王四新 阅读6752次 更新时间:2006-06-20
一 问题的提出
广泛使用的英特网技术已经引起了许多个人隐私方面的问题,它还会在将来发展的过程中对个人自由的许多方面带来意想不到的问题。成千上万的人每天使用英特网上的电子邮件服务<1>,但是在目前,还没有找到一个可行的,能够保护个人隐私的办法。电子邮件和其它网上传送的个人信息很容易被解密。例如:英特网服务提供商可以轻易破译通过其服务器上的电子邮件,可以复制网上传送的个人信息,如果网上管理人员认为这些信息违法或不宜在网上公之与众的话,甚至可以将这些信息删除。这也就是说,虽然目前很多的人使用英特网作为自己交流和传送信息的工具,但这些网上传送的信息,特别是有关自己私生活的不愿被别人知悉的信息,其保密性很难得到来自于英特网技术方面和来自于法律方面的有效保证。在美国,一个非常著名的英特网服务提供商-美国在线曾经在两年多的时间里对通过自己提供的英特网服务的用户进行跟踪监视,大肆搜集、下载用户的私人资料并将这些材料提供给美国的联邦调查局。美国联邦调查局也正是在美国在线的帮助下,在1995年9月,对涉嫌在网上传播儿童色情内容的十二名罪犯和120多个犯罪地点进行了搜查<2>.
目前,随着计算机和网络犯罪活动的猖獗,许多国家都成立了专门的网络警察来对付这些犯罪活动。今年的三月十八日,英国内政大臣斯特劳宣布,英国已经成立了一个专门的机构来对付网络犯罪,它由四十名经过专门训练的电脑高手组成,配备高精尖的设备,总投资为2500万英镑,主要任务包括跟踪和打击利用网络进行金融欺诈、发布淫秽图像及制造病毒袭击世界网络系统等犯罪行为。除此之外,英国各地的警察局都将配备至少一名专门的“网络警察”以对付该地区的网络犯罪。<3>
中国警方也已经着手建立了国际互联网安全监察专业警察。这种新型警察部队的主要目标,是打击那些在数秒钟之内就能犯下的、几乎不留下任何作案痕迹的网上犯罪行为<4>.
这里涉及到一个个人隐私权的尊重与保护和公共安全之间的冲突问题。需要指出的是,并不是在任何时候保护公共安全的需要都应当优先于保护和尊重个人隐私权的需要。但实际操作过程中的真实情况通常是出于保护公共安全的需要而忽视或根本不考虑个人隐私权方面的需要。原因是多方面的。但有一点最主要的也是不得不强调的事实是国家的法律执行机关,例如联邦调查局,通常掌握着最先进的技术。而且,在很多情况下,这些权力连同其所掌握的最先进的技术很容易被滥用。
除了国家安全部门和法律执行机关可以借助于国家赋予的特权和国家配备的高精尖技术对网上的个人信息进行解密、追踪或用作他途外,还存在大量的政府机构和商业团体,它们同样可以利用计算机和网络技术对在英特网上传播的个人方面的信息进行搜集、下载和用作商业或其它的目的<5>.犯罪分子有时也利用从网上获得的个人隐私方面的信息从事对个人权利进行侵犯的种种犯罪活动。
在英特网上,在每一个用户的个人信息都经常容易被他人窃取、存储和复制的情况下,如何保护我们每一个人的网上隐私就变得尤为重要。从历史上来看,政府可以通过法律和政策对媒体予以限制,从而达到护个人隐私不受侵犯的目的。这就意味着,政府同样可以通过法律和政策对英特网上搜集个人数据,侵犯个人隐私的行为进行规范和限制。
二、个人数据与公共数据
英特网并没有带来新的隐私权问题,它只是使已经存在的许多有关隐私权方面的问题,如信息的机密性、信息的确定性和信息的整体性变得越来越难以保证。如在美国,自六十年代以来,为了建立社会保障制度,美国政府开始大量搜集私人资料。这一做法一直持续到现在。而且随着信息高速公路的建立和开通,政府搜集个人资料的范围几乎到了无所不包的程度。凡是每一个人与外界发生联系而产生的种种资料都成为搜集的对象。个人的经济往来,就学任职、电话号码、医疗记录等方方面面的东西都被收集起来,私人几乎到了有密不保的程度。而在网络所带来隐私权问题当中,一个关键的问题就是有关个人数据的权利问题。
(一)、个人数据 所谓个人数据,是指用来标识个人基本情况的一组数据资料。从广义上来说,一切有关个人的数据都属于个人数据的范畴。但有些数据对个人隐私构不成威胁,如身高、性别。具体而言,个人数据主要包括以下内容:
1、标识个人基本情况。这类数据有个人的自然情况,如身高体重、出生时间、性别等。
2、标识个人生活与工作经历、社会情况等。这类数据包括个人受教育的相关资料;种种各样的社会关系;政治背景;个人习惯;家庭基本情况等。
3、与网络有关的个人信息。这类信息与上面所列举的信息有重叠的地方,它是随着网络的普及与作为公民个人的网上消费行为的大量进行而形成的与个人隐私有关的一些资料,主要包括以下几个方面:
(1)个人登录的身份、健康状况。网络用户在申请上网开户、个人主页、免费邮箱以及申请服务商提供的其他服务(购物、医疗、交友等)时,服务商往往要求用户登录姓名、年龄、住址、身份证、工作单位等身份和健康状况,服务者得以合法地获得用户的这些个人隐私,服务者有义务和责任保守个人的这些秘密,未经授权不得泄露。
(2)个人的信用和财产状况,包括信用卡、电子消费卡、上网卡、上网帐号和密码、交易帐号和密码等。个人在上网、网上购物、消费、交易时,登录和使用的各种信用卡、帐号均属个人隐私,不得泄露。
(3)邮箱地址。邮箱地址同样也是个人的隐私,用户大多数不愿将之公开。掌握、搜集用户的邮箱,并将之公开或提供给他人,致使用户收到大量的广告邮件、垃圾邮件或遭受攻击不能使用,使用户受到干扰,显然也侵犯了用户的隐私权。
(4)网络活动踪迹。个人在网上的活动踪迹,如IP地址、浏览踪迹、活动内容,均属个人的隐私。显示、跟踪并将该信息公诸于众或提供给他人使用,也属侵权。比如,将某人的IP地址告诉黑客,使其受到攻击;或将某人浏览黄色网页、办公时间上网等信息公诸于众,使其形象受损,这些也可构成对网络隐私权的侵犯。
(二)、网上数据搜集对个人隐私造成的影响
1、网上数据搜集
英特网上存储了大量的资料,政府、法律执行机关、国家安全机关在、各种商业组织甚至包括个人用户都可以通过各种各样的方法或途经对在线用户的资料,其中包括大量的用户个人的隐私材料进行搜集、下载、加工整理及至用作商业或其它方面的用途……比较常见的得到自己想要的数据或资料的方法有以下几种:
(1)、可以通过用户的IP(Internet Protocol)地址进行。每当用户连接Internet时,该用户就会被分配给一个唯一的IP地址。IP地址的意义在于网上信息可以发送到这一地址上,同时,每一个被访问的站点都会得到用户的IP地址。这些地址可被用来产生出一份该用户的记录。
(2)、通过Cookies获得用户的个人信息。Cookies是一种由站点直接发送到用户计算机上的小文件。这些文件可以容纳用户在随后访问中的任何信息,包括访问过的页面和下载过的信息。Cookies可以储存在用户的硬盘上,通常只能由站点才能阅读。Cookies可以最终形成个人信息的积累。从而对用户的身份和喜好形成一个比较准确的概念。
(3)、英特网服务提供商在搜集、下载、集中、整理和利用用户个人方面的隐私材料方面具有得天独厚的有利条件。因为所有通过它所提供的网络服务的信息和内容完全可以置于它的管理员的眼皮下面,管理员可以解读用户通过英特网发送的电子邮件,可以在第一时间搜集、存储用户在使用英特网上的服务时或者是根据其要求或者是在无意间泄露出来的个人隐私材料。一般的英特网服务提供商还在自己的服务条款里面保留了自己有权删除他们所认为的不适合在网上传送的内容<6>.
需要指出的是,以上所列的几种数据和资料的搜集方法仅仅指英特网上的一般用户和英特网服务提供商所可能采取的方法。这种方法可以搜集有关个人隐私方面的信息和数据,并可以在本人不知情的情况下用作商业或其它有可能是对本人不利的目的。通常它不足以对个人的隐私权造成致命的打击或非常严重的后果。因为每一个英特网服务提供商所提供的服务项目都包括一定的保密措施,每一个单个的英特网用户都可能平等地使用以上几种方法进行私人信息的搜集。
对英特网上的用户来讲,其所有的网上行为都可以被置于英特网服务提供商直接的监管和控制之下。象前文提及的美国在线对用户进行的长达两年的跟踪监视便是是很好的例子。而且更为可怕的是,政府可以和英特网服务提供商勾结在一起,非常容易地对政府或政府的法律执行机关所认为的‘捣乱分子’的所有的网上行为进行监控。我们不排除政府的这种作法可能用作有效地对付各种各样的严重的刑事犯罪活动,即用作维护社会治安和公共安全的目的。但是同时,我们又不得不承认,在此类问题上,如果用户完全处于一种被动和弱势的状态的话,就象政府或某个部门的权力过于集中后通常所产生的后果―权力被滥用一样,政府或政府的法律执行机构同样会滥用这一权力,英特网服务提供商和其它的商业组织同样也会滥用这一权利,从而对个人的隐私权造成损害的同时<7>.有可能对其它权利也造成损害,比如言论自由的权利。
2、网上数据搜集对个人隐私所可能造成的侵害
计算机网络的普及对数据的使用带来了巨大的便利,在现有的技术条件下,只要拥有一台联网的计算机,通过网络便可以使用所有计算机系统中的所有资料。这样等于每个人都可以拥有网络当中所有的数据,都可以自由使用这些信息。相应地,只要数据被输入一台计算机当中,这些数据便可以成为所有网上用户共享的资源。这一方面为用户使用这些信息、数据带来了极大的便利,同时又这政府或法律执行部门搜集个人数据提供了便利,还为别有用心之人将这些有关个人的数据用作对本人不利的目的开了方便之门,从而也为网上数据搜集行为的泛滥以及侵犯隐私权行为的产生准备了条件。通常情况下,网上数据搜集行为的泛滥对隐私权造成的影响主要表现在以下几个方面:
(1)
般来说,当事人应当享有对自己的隐私权的控制权。即当事人可以有选择地处理、利用自己的隐私方面信息。他人或其它商业组织,当然也包括政府和法律执行机关在内,在没有经过本人同意或授权的情况下,在没有经过法律所规定的程序的许可下,无权对个人和隐私材料进行搜集、处理或加工整理。这一要求在英特网没有出现之前实现的可能性比现在要大的多。但进入信息时代以后,特别是随着计算机和网络技术的普及,对私人资料的搜集变成一件非常容易、非常简单的事情。而且它可以在当事人不知情的情况下进行。在这种情况下,如果当事人知道,极有可能对这种搜集行为表示反对。但在当事人不知情的情况下搜集当事人的材料,侵犯并剥夺了当事人对自己隐私资料的控制使用权。
(2)
在现代社会,信息在更多的情况下成为商品,对个人隐私材料的搜集也越来越变成一种有利可图的事情。这在无形中助长了对他人隐私材料的搜集和加工行为的泛滥<8>.个人数据中的隐私材料,许多都与个人的切身利益密切相关。它可以被当事人用作谋取一定利益的手段。但当这些数据被除自己之外的其它人或组织搜集以后,这些数据用作何处、如何使用便都成了未知数。与自己无关的人和组织不仅使用这些数据和资料,而且极有可能在当事人不知道的情况下用来谋求商业上的利益,有的甚至还用作与当事人切身利益相背的方面。
(3)
私人在网上的资料由于被公开而使自己处于被动和尴尬的境地。英特网的最大的优势之一便是它为不同的群体、不同的人提供了一个容量可以说是无限、而且时时又在更新的交流平台。通过这一信息交流平台,用户可以在上面谈论所有在其它场合下或通过其它方式不愿意谈论的话题。想象一下无数的人在网上进行交流的情景便可以毫不夸张的说,英特网上的内容就象每一个的思想一样丰富多彩而又各不相同<9>.谈论过程中自觉不自觉地泄露出来的个人情况一旦被他人获取并公之与众,将致交流者于非常难堪的境地。使他们遭受心灵上的不必要的巨大的痛苦。对于经常访问成人网站的用户来讲,他们同样不喜欢别人知道自己在网上和行为,不论是政府还是其它的人,最好离他们越远越好。
(4)
通过网络,人们还可以谈论各种各样敏感的政治话题,但这样做通常承受着巨大的危险,如果在谈论和与他人交流的过程中有关个人身份方面的信息很容易被法律执行机关或其它别有用心的人窃取的话。目前,虽然许多国家的宪法规定公民有言论自由的权利,但通过各种方式,特别是在互联网上批评政府仍然是一件非常危险的事情,特别是与专制政府所持意见相差很大的反对派成员。对于这些人来讲,如果不能用一种有效的方法来保证他们以匿名的方式发表自己的意见,或者政府的网络警察不费吹灰之力就可能掌握和控制此类人的有关信息,这将极大地影响他们在网上的行为,挫伤他们批评政府的积极性,从而对民主政治造成难以估量的损失<10>.
(5)
目前越来越多的人通过互联网进行商业和个人消费行为。现在,有许多的公司,其中也包括许多电子商店,通过网络销售各种各样的商品。其品种几乎涉及人们生活的各个领域和各个方面。这些交易多通过信用卡进行支付。在这种情况下,用户要想获得交易的快捷,必须将自己的有关信息通过互联网告知商家,如信用卡号、身份证号等。而用户在一般情况下,都希望信用卡号不至于被别人盗用,自己其它经济方面的信息不至于被不怀好意的人用作有损他本人的用途,特别是当这种交易是在一种跨越国界的情况下进行的时候。而事实上的情况是,有许多犯罪分子已经将自己的目光盯上了别人在网上的财务信息,一些电脑黑客还利用自己高超的技术和自己从网上获取的信息,非法侵入银行或他人的帐户,盗取他人钱财<11>.
(6)
存储在计算机中的个人资料或通过网上行为(如聊天,发送电子邮件、BBS留言)而无意间泄露出来的个人情况在相当长的时间内,有可能处于一种相对静止的状态,也就是说,这些资料不可能随着当事人自身情况的改变而相应地作出修改,在这种情况下,他人对这些个人材料的搜集乃至利用完全有可能导致对当事人不利的后果<12>.
(7)
存储在计算机中的资料或通过网上行为泄露出来的个人信息在许多情况下都是片面而不是系统或完整的,他人对之进行的搜集与加工整理,多数时候都要利用计算机软件对这些资料进行重新组合,而重新组合出来的结果可能与当事人本人的真实情况相差很远甚至与当事人的真实情况大相径庭。对这些资料的运用往往容易对当事人造成伤害<13>.
三、国外对个人数据与隐私权的立法对策
从上面所列举的情况来看,在信息时代随着计算机的广泛使用和英特网技术的全球范围内的普及,通过互联网对个人数据的搜集也由此达到了前所未有的程度。它所带来的直接的后果之一便是个人隐私权保护变得更加困难。鉴于此,人们越来越强烈地呼吁政府通过立法或其它有效的方式来保护人们的隐私权<14>.
但是,无论是政府机关,还是各种各样的商业组织,当然也包括个人,对数据的搜集和利用在信息社会里是一个司空见惯的事情。不可能因为存在非法搜集和非法使用个人隐私材料的现象就因此而因噎废食。更何况政府或其它商业组织对网上个人数据的搜集和使用在大多数的场合下都是出于公共利益的目的,或者完全是在经过合法授权的情况下进行搜集和使用。因此,无论是从个人的角度,还是从社会的角度来讲,解决这一问题的关键是如何在两种相互冲突的利益之间,通过法律及法律的实施来保持二者之间的平衡,既不能因过分考虑社会利益而忽视个人利益,更不能仅仅从维护个人隐私权的角度出发,盲目限制政府或其它商业组织对网上数据的搜集和利用。在这一方面,西方国家的一些成功作法有值得我们借鉴的地方。
(一)、《联邦隐私法案》(Privacy Act of 1974) 该法案是1974年美国国会通过并公布实施的美国最重要的一部保护个人隐私权方面的法律。该法案不仅对政府和法律执行机关应当如何收集个人资料、什么内容的个人资料能够存储、收集到的个人资料如何向公众开放以及材料相对人的权利等都作出了比较详细的规定<15>.
1、美国法律对隐私权的界定 按照美国有关法律的规定:所谓隐私权是指任何法律主体所享有的‘与他人毫不相干的权利’,也就是说,隐私权等于借助于法律为每一个人划定了一个相对确定的私人领地或仅仅属于自己才能随意支配的权利空间范围。在这一范围内,私人完全可以摆脱来自于国家、社会或其它群体的介入,并且可以通过司法救济的手段排除来自于其它方面的对自己独自享有的权利的‘不受欢迎的介入’或非法干涉。根据《美国侵权行为法(第二次)重述》的归纳,侵犯个人隐私权的行为主要有⑴、对公民个人宁居以及私人事务或私人关系的侵扰;⑵利用他人的姓名或肖像谋利;⑶分开他人私生活;⑷公开他人不实之形象<16>.
美国联邦和各州的法律在保护个人隐私权的同时,也对隐私权的具体的权利范围作出了适当的限制。1976年,在Paul v. Davis一案中,美国最高法院的判决指明:隐私权的范围限于“婚姻、生育、节育、家庭关系、子女教育和私人的外表”<17>.另外,隐私权的保护还在很多情况下与宪法所保护的其它权利或利益发生冲突,在这种情况下,美国法院并没有仅仅考虑保护公民隐私权的需要而忽视了其它方面的需要。法院通常要在各种相互冲突的利益之间进行权衡,然后再来决定是优先保护公民的隐私权还是隐私权让位与保护其它更重要的利益的需要<18>.
2、美国法律对个人数据的隐私的保护 美国法律,这里主要介绍《联邦隐私法案》对个人数据的隐私的保护的内容有以下几个方面:
①个人数据资料的搜集 按照《联邦隐私法案》的规定,联邦机构、财政金融机构和私人及商业组织都享有搜集、整理和利用个人数据材料的权利。但这种权利在行使的时候,必须严格按照法律的有关规定。该法对不同主体在搜集利用个人数据时所必须遵守的规定作出了比较详细的要求:
i.联邦机构只能搜集与其本身职能相关的或是与实现法律所授予的任务有关的资料,这些机构在搜集材料的过程中各种记录的保存必须做到精确、相关、完整和公平。
ii.法律执行机关在执行法律或在对刑事犯罪分子侦查的过程中,必须向个人直接获取对其本人有害的或不利的材料。获取植被的过程应当表明:收集人是根据何种权(利)力来搜集资料的,资料的提供是出于相关人员的自愿还是法律执行机构采取了强制性的措施后获得的,所搜集到的资料如何使用,个人不提供资料将要承担的后果等。
iii
金融机构、财政部门对其在经营金融业务的过程中所接触到的、所使用和所保存的私人方面的资料负有为材料的相对人保密的义务,在一经过本人同意或授权的情况下,这些机构无权对外公布、泄露客户的私人信息,更不得将这些信息用于谋取商业或其它方面的利益。联邦政府或法律执行机关不利随意接触或使用个人资料,除非出于合法、正当的目的并经过正当法律的授权。如果上列机构违犯法律规定,当事人可以请求法院判定违犯规定的机构承担相应的法律责任,并对当事人所遭受到的损失予以一定的赔偿。
iv.私人机构搜集必须保证资料的真实性,在资料的搜集和保存期间必须保持所搜集资料的原貌。搜集资料所使用的计算机系统必须能够核查输入输出的资料,也应当具有维护和修正资料的方法。
②资料的公开 资料的公开是指政府、法律执行机关或其它民间机构所搜集的有关个人隐私方面的资料在特定条件下向公众进行开放,公众如果愿意,可以非常容易地获得这些资料。这种开放有两种情况,一种是不涉及具体的人、具体的事,比如在搜集大量的个人资料或信息的基础上对这些材料所作的分析或加工处理。这种公开由于与具体的个人隐私没有非常直接的联系,公开时所受到的限制比较少。但当这种公开涉及到具体的人或具体的事,或者公开的材料与某个人的私生活或关时,则必须受到非常严格的限制。例如社会保险机关一般不能公开公民个人的工作和财务状况,但在非常特定的情况下则可以向有关机构出示自己所搜集到的相关人员的情况<19>.
法律执行机关为了维护公共安全,打击刑事犯罪,可以接触公民的个人隐私材料,并将这些材料用作办案的过程中去。比如警察机构对于正在追击和查找的罪犯,完全可以将罪犯的个人情况公之与众,并获得公众的支持<20>.民政部门在调查一些意外事件时,这也查明不明身份的人的身份情况,也可以将自己掌握到的材料公之与众。但即使是出于维护公共安全或打击刑事犯罪的需要而对公民隐私材料的公开,也必须遵守法律的有关规定。如这种公开必须是出于社会公共利益的需要,如果不将之公开,有可能对有关机构的活动造成难以估量的损失;资料在公开时,将资料公开的人或机构必须是已经经过了合法的授权,取得了相关的法律手续;任何资料的公开都必须有完整的记录,对公开的时间、性质、目的、和对象都必须有清楚的记载,记录必须保持5年;如果公开的资料最后证明没有公开的必要,而且由于这种公开给被公开的公民个人造成了物质或精神上的损害,做出资料正当公开的机构或个人应当就自己的过错或失职行为承担相应的法律后果,受到损害的个人可以据此提起诉讼,要求有关机构或相关人员进行赔偿。如果资料的公开没有非常紧迫的公共利益之需要,则这些资料的公布在没有经过本人的同意的情况下,都是非法的。
政府或公共机构所控制的资料可以为公民自由取用,但与私人有关的资料,特别是隐私材料则必须保密。因为这些资料如果被他人取用,很有可能对本人造成心理或事实上的伤害。这类资料主要包括:医疗档案;执法机关在执法的过程中所取得的调查材料;个人在求职、求学或任职期间因申请等原因而留下的个人人事资料;个人在进行商业活动的过程中所积累下来的商业方面的秘密、财务秘密等。
值得一提的是,美国的有关法律对各类在校学生的资料,特别是涉及个人隐私的材料给予了应有的重视。按照美国的相关法律,在校读书的学生,不管其是否成年,都应当象成年人一样享有隐私权。各个学生在校读书期间的学习成绩、操守表现、违规记录等与个人隐私有关的资料即使是在学校或同学中间也不能随便公开。学校当局不得将学生在校读书期间而产生的隐私材料透露给无关工作需要的人或机构,家长也不能随便查询其子女在读书期间的教育资料。学生在校期间的资料只能提供给‘有需要知情的’学校管理人员、联邦或州的教育机构、研究单位或合法的收集人。
③个人对其私人资料所拥有的权利
按照美国的法律,个人有权查询并要求更正官方机构中有关自己的资料,接到个人的申请后,有关机构必须在十天内对是否接受申请作出答复。如果当事人认为官方拒绝自己的申请没有充足的事实或法律上的理由,当事人可以在向官方机构提出审查请求失败后向司法机关请求司法救济。
个人有权从官方机构取用已经被公开的资料。
对于收集资料的私人机构,个人有权接触与其本人相关的资料,并且有权对错误的资料要求更正。如果这些机构对本人不负责任地进行收集资料,将搜集到的个人资料进行使用并导致当事人的损失,当事人有权要求这些机构予以赔偿。拥有私人资料的机构有义务在六个月内告知当事人其资料被取用的情况、性质和请求取用人等内容,并且必须有合理的等量程序来保证资料被正确地使用。
各机构还应当制定相应的行为规范来要求信息系统的工作人员遵照执行。必须采取一切措施保证材料的安全和保密。同时还必须有相应的程序和制度以保证个人能够查对和更正有关本人的不实资料。
(二)、欧洲的作法
1、英国 在欧洲国家当中,英国于地1984年制定的《数据保护法》是比较具有代表性的一部保护个人数据的一部法律。在与个人隐私有关的数据的保护方面,该法承袭了《欧洲数据保护公约》的基本内容,规定了在保护个人数据方面的八项基本原则:
(1)
无论是政府、法律执行机关,还是其它机构或个人,在收集和取得个人数据时必须通过公平合法的方式取得;
(2)
收集和持有个人数据的机构和和个人在进行数据收集之前,必须依法进行登记。只能在出于特定、合法的目的时,有关机构和个人才能持有数据;
(3) 使用和披露个人数据的方式不能和收集这些数据、持有这些数据时的目的相违背;
(4) 持有个人数据的目的本身必须适当、中肯、不显得过分;
(5) 个人数据必须准确,那些必须以最新材料存档的内容还必须不沉旧和过时;
(6) 如果依法持有的某些个人数据是附期限的,在到期之后不得持有这些数据;
(7)
任何个人均有权在支付合理费用之后,向数据持有人了解有关自己的信息是否已经被作为个人数据存储下来。如果自己的数据被存储了下来,自己有权要求查询自己的数据并可以要求对自己所认为的不实之处进行修改;
(8) 数据持有人必须采取安全措施,防止个人数据未经许可而被扩散、更改、透露或是销毁。
2、瑞典 在隐私权保护方面,瑞典是一个走在其它欧洲国家前面的国家,1973年,瑞典制定了《数据法》(Data Act of 1973)和《瑞典资料库条例》(The Swedish Date Bank Statute),与此同时,瑞典还还成立了“瑞典数据库监督局”。1982年,瑞典又制定了《瑞典情报法案》(The Swedish Date Bank Act)。这些几部法律对计算机数据库可以搜集的数据种类、数据库系统的设计、数据的存储、数据的安全、数据的开放等都作了详细的规定。
按照瑞典的法律,有关机构或个人在收集涉及个人隐私方面的数据时,必须告知有关人员他自己的个人资料被收集保存的情况,不能在当事人不知情的情况下进行数据的搜集。有关刑事犯罪记录、政治和宗教观点、有关精神病治疗或智力障碍的资料,或有关个人疾病、个人健康状况的资料只有在特别批准的情况下才能加以搜集和保存。对于不准确的个人资料必须及时加以更正,对于不完整的个人资料必须适时加以补充,必须尽一切努力避免不适当地暴露个人资料以致侵犯个人隐私。非常接触或篡改数据的处2年以下徒刑,对于因有关机构搜集整理个人数据的过程中因过失导致的材料失实,当事人可以请求司法机关判定有关机构和个人对此负责并赔偿自己因此而受到的损失。
3、德国、法国 在德国没有统一之前的1974年,也出台过《联邦数据保护法》 (Federal Data Protection Act),其所规定的内容与瑞典的法律规定相差不大。1978年,法国也通过了一个有关资料处理、档案及有关权利的立法(The French Data Processing, Files and Liberties Law)。它要求资料的处理不利损害个人身份、私生活、个人及公众的自由。规定数据库必须公布其搜集资料的授权、目的和种类等,同时还规定私人接触计算机数据库必须首选经过专门委员会的审查,以决定该数据库是否应予开放。
(三)、经济合作与发展组织(OECD) 1984年,经济合作与发展组织向其成员国发布了一份《关于保护隐私与个人数据之跨国流动指南》(Guidelines on the Protection of Privacy and Transborder Flow of Personal Data),作为对其成员国有关隐私权的国内立法的最低要求。该指南所确立的一项基本原则就是“个人参与原则”(individual participation principle),根据此项原则,任何个人都应当应有以下权利:
(1)、有权从数据控制者或其它类似者处获得该处是否存储有关其本人的数据的确切消息;
(2)要求数据控制者按照以下条件向其传送与本人有关的数据:①在合理的时间以内;②可支付不过分的费用;③以合理的方式;④采用其可以直接接触的方式;
(3)在前两项要求遭到拒绝后,有权要求数据控制者说明理由,并有权对该项拒绝提出反对意见;
(4)有权对其有关的数据提出意见,并在意见被接受的情况下删除、纠正、补充或修改有关的数据。
(四)欧盟 欧盟在1995年通过了一项有关数据保护的指令(European Privacy Directive)。该指令的主要目的是给它的成员国及其公民个人相互间进行的信息交流提供一整套的方法,确保在自由交流信息的同时,用指令中所规定的最低标准来保证信息交流的安全。
1、指令的内容
该指令的主要内容包括:数据的品质要求、数据操作的合法程序、数据主体的其它权利、数据的安全、有关情况的通报以及数据的一些特殊的分类。
2、数据的品质要求
该指令的第六条中规定了对数据品质的要求。指令要求收集的令人数据必须是①通过公正合法的程序获得;②具有合法、明确的目的而收集和使用数据;③对数据的搜集必须是适当的、相关的和不超出一定范围的;④保证准确和尽可能地更新;⑤一旦认定数据不再为以上的目的所需要时就不利再对此类数据进行利用和保存。
3、数据处理的合法程序
数据处理的合法程序包括数据的搜集、输入、使用和传播。按照指令的要求,符合下列条件的行为都是合法的:①得到数据主体的同意,必须将收集数据的目的、数据潜在的使用人告知数据主体并得到数据主体的同意;②符合履行与数据主体间合同的要求或合同签订之前数据主体的要求;③符合数据管理人的法定义务的要求;④符合保护数据主体基本利益的要求;⑤为履行公共事务或行使公共权力的数据管理人和第三方可以披露的数据;⑥基于数据管理人和接受数据的第三方的合法利益的目的可以披露数据,但这种利益不能超数据主体和利益、自由和基本权利。
该指令强调了一个基本的要求,就是使用和披露个人数据必须被限制在最初收集这些数据的目的之上。按照指令,欧盟各成员国有三年的时间按照指令的要求进行相应的国内立法。指令还禁止私人向不符合它所规定的安全规范要求的国家传递信息。这一规定无疑给欧盟以外的国家施加了压力,迫使它们来修订法律来适应欧盟的要求。
(五)美国和欧盟当前在保护网络隐私权方面的异同
综上所述,无论是在美国,还是在欧洲的一些国家,都有比较成形的、完备的保护个人数据和个人隐私权的法律。将这些法律适用于信息时代的网络,便产生了网络隐私权的法律保护问题。从总体上来讲,网络个人隐私的法律保护要:在没有告知当事人并获得其同意之前,网上个人资料的收集者不得将当事人为某一特定目的提供的资料用于另一目的上,比如电子邮箱的提供是用于联络,但如果被用于向别的商业网站销售的商业目的,则属于非法。所以,对于网络个人隐私进行保护就是限制对于个人资料的非法收集和非法利用。根据目前各国以及国际上已经成文的法律或政策性文件的记载来看,保护网络个人隐私的基本原则可以概括为:收集资料要告知;使用资料要许可;保证资料的安全性和秘密性;对于违反规定的机构和个人,应当承担相应的责任;受到损害的当事人能够得到救济。
以美国的《联邦隐私法案》法案为代表的各个法律来看,它虽然涉及到了比较全面的对隐私权的法律保护,但它毕竟是在网络还没有成形的时代制定的,还无法将其中的规定完全适用于网络时代隐私权保护<21>.其它提到的英国、德国、法国瑞典等国家的法律也存在同样的问题,即这些法律规定在为网络时代的隐私权保护提供了一定的依据的参考的情况下,还不能从根本上满足目前英特网日益普及所带来的新问题。为此,不仅是作为网络最为普及最为发达的美国还是在区域化立法<22>始终走在前列的欧盟,都在政策和法律上作出了相应的补充和调整,以适应网络时代保护个人隐私权的需要。
目前,各国虽然在政策性的文件中大量使用“网络个人隐私”的措辞,但是在真正的立法文件中却避免使用这一概念。其原因各不相同:一种是出于扩大保护的需要,不使用网络隐私而使用个人“资料隐私”的概念,这样对于潜在的信息技术可能产生的对于个人隐私的影响,在立法上具有一定的前瞻性,这类国家地区如欧盟、我国香港;另一种是出于保护信息产业和网上商家的需要,甚至避免使用隐私权的措辞,这是防止与传统的隐私权适用同样的司法救济,可能会使英特网服务提供商处于不利的境地,从而影响整个英特网产业的发展,美国是这一类型的典型的代表。
不论哪一类国家,都主张通过在原有的基础上制定新法,以适应保护网络隐私权的特殊需要。比如前文提到的欧盟1995年通过1998年10月生效的“关于个人资料的运行和自由流动的保护指令”对于网络个人隐私保护就制定了特别的规则。这一规定并没有完全放弃在保护隐私权方面各国所采取的传统的作法,而是对不同的隐私权问题采取区别对待,原来传统隐私的一切例外照样可以适用于网络个人隐私权的保护,指令只是在保护个人隐私权的水平上比传统隐私保护标准低一些。美国对英特网所带来的隐私权问题的规范和限制上一直采取比较宽松的政策,但对儿童的隐私权还是提出了特别的保护<23>.对于其他的一般消费者则适用不公平贸易的原则由联邦贸易委员会(FTC)进行管辖,其缺憾是只能针对那些履行了告知义务的网站,对于没有履行告知义务的网站则难以适用。正如美国在线(AOL)的发言人在著名McVeigh一案中所声称的:不能因为我们制定了保护个人隐私的政策就责备我们。在一个法律上缺乏对于网络个人隐私进行专门规范的国家(美国也不例外),这样的言论不是没有道理。