社交网络上的个人信息保护

【内容摘要】 隐私的核心不在于是否有人知道，而在于在什么时间和场合，让谁知道。个人信息控制权就是个人空间和生活不被窥探、窃取、跟踪、记录、挖掘、传播和曝光的权利。一般人即便踏入公共场合，隐私权也不必然尽失，而是看其具有怎样的合理隐私期待。网络时代，要区分公共媒体（或称大众媒体、社会媒体）和以社交网络个人主页为代表的自媒体，前者旨在服务公众，后者旨在服务用户个人，目的在于展现自我，尤其是与熟人实现互动。因此，用户对于社交网络可能存在完全不同程度的合理隐私期待，社交网络服务商则对之负有安全保障义务。

社交网络（social networking，又称社交媒体，social media）的兴起使得一些人对传统的个人信息保护准则提出了质疑。这种观点认为，基于社交网络的特点，用户的个人信息不再有什么隐私可言，所谓“个人信息自决”更是明日黄花。那么，“社交网络兴起之日乃隐私消亡之时”的观点是否成立呢？以下，本文围绕社交网站就公民个人信息保护是否以及如何负有义务展开探讨。

一、个人信息控制权的伦理基础

公民对其个人信息的可控性直接关乎生存，它是一个普通人保有安全感、意志和行动自由以及尊严感的屏障。 ①当一个人感觉自己的秘密被不相关的人，甚至隐藏在不知何处的人所掌握，或者感觉自己置身于《1984》所描写的处境而不能保有秘密，就会表现出安全感尽失而终日战战兢兢，变成惊弓之鸟。即便行为本无不当，也会疑神疑鬼，草木皆兵。不能自主决定个人信息的流动与否，个人的意志就会溃散，就会出现行为的自我强制，自主选择交往对象的可能性就会大打折扣，变成关在心理铁窗之内的囚徒。“当人们接受了被观察和记录的不可避免性，他们的习惯就发生了改变，他们也改变了”，进而“将自己的很多观点和自我强加的行为限制，从被监视的公共空间带入到了自己的私人生活里”。 ②每个人的尊严感都和个人信息的可控性紧密相连，甚至可以说，对个人信息的控制权是人格尊严的基石。如果一个人非自愿地在全世界面前被一丝不挂地加以展览，也就很难再有什么尊严。从这个意义上说，“隐私权”的表述有误导性，会让人们望文生义地将其理解为就未披露信息享有支配权。其实比隐私权更为准确的表述是公民就其个人生活的自我决定权，即“对私生活领域的权利”。

赋予个人对其信息发布的控制权，不仅基于人身财产安全的考虑，更是基于一项更高的伦理价值考虑，即原则上应当由本人来塑造个人的外在形象，编织个人的社会交往。一个人在不同的场合下呈现不同的面目并不一定就是虚伪，几乎每个人在生活中都要分饰不同的角色，因此拥有多个真实的一面。一个男人对父亲和对子女的言谈应对当然是不同的，这其中并没有哪一面是装出来的。在庄严的典礼场合上一个人这样表现，在同学聚会的麻将桌上那样表现，都是恰当的，并不意味着此人是变色龙。如果选择在庄严的场合向公众传递某人的搞笑或不雅信息，反而是不当的。当其不牵涉社会公益，在不同的场合下如何呈现自我应该属于本人的权利。对个人进行断章取义的呈现，将当事人刻意隐瞒的无关公益的信息加以披露，恰恰是对个人形象自决权的侵犯。

特别要指出的是，一个人出于私人目的而进入公共场所，例如超市、银行，从而将自己置于公众的视线，绝不意味着接受他人的过分接近。长时间注视、跟踪尾随乃至全程记录，这些行为将会引起本人强烈的紧张和不快，并产生尽可能甩掉跟踪盯视的心理。无论是对普通人、还是明星人物，情况都是如此。在世界的各个地方，银行、机场、商场、车站柜台等公共场所往往标有一米线，其中反映的正是对他人隐私和可支配空间的尊重。在Galella vOnassis案中，美国联邦法院判决禁止著名的“狗仔”Ron Galella在25公尺范围内接近美国前总统肯尼迪的遗孀（即杰奎琳·肯尼迪，肯尼迪遇刺后嫁给希腊船王奥纳西斯，并改姓奥纳西斯）及有任何接触等行为。判决理由特别指出，基于公共需要，对公众人物隐私权的侵害固难避免，但新闻记者的长期跟踪则属于不合理的侵害行为，不受新闻自由保障。 ③

欧洲涉及公共场合隐私权的著名案例为卡洛琳公主案。卡洛琳为摩洛哥公主，后嫁给德国贵族Von Hannover，成为德国媒体追踪堵截的对象。由于杂志未经同意刊登其在公共场合从事私人活动的照片，卡洛琳愤而向德国法院起诉。此案一直打到欧盟人权法院，法院认为，本案需要权衡私人生活保护与言论自由两者间的冲突，原告并未担任任何公职，且媒体所摄照片及相关文章仅仅与原告私人生活的细节相关，对于公共议题的讨论并无贡献，因此，这里应当更加强调私生活的保护。原告虽然是名人，但是大众对了解其私人生活，包括以私人身份出现在公共场所，并无正当利益可言，至于杂志社在刊登照片和文章上存有的商业利益，必须在原告私人生活应受到有效保护的权利前退让。 ④上述判决确立的原则是，除非是政治人物，否则即便是公众瞩目的人物也享有在公共场合内纯粹私人生活的不受干扰、不受记录和传播的权利，至于普通人有此权利自不待言。这样一种立场有其历史和价值观背景，是否完全妥当可以讨论，但一般人即便处于公共场合也不必然隐私全失，却是公论。 ⑤在个人信息保护方面较为保守的美国联邦最高法院也承认，人并不是一旦走出家门就没了隐私。 ⑥

二、社交网络环境下个人信息保护的必要性

作为21世纪互联网世界的新宠，社交网站对公民活动信息实现了同步、持续和全方位的把握，社交网络服务让个人过度曝光的机会空前增加，表现在信息保存的永久性、信息主体的交互性和信息拼合的肖像性上。

首先，网络前时代个人信息主要依靠口耳相传，仅仅凭借感官摄入而留存于大脑的信息会随时间流逝而淡化、变形，最终被遗忘，当时所激起的情绪会渐渐平息，社交网络却非如此。除非本人主动加以删除，社交网络个人主页上的信息将一直保留，供本人和“好友”、粉丝乃至访客浏览。其次，所谓社交网络，顾名思义就是围绕用户编织起虚拟空间的人际关系网，用户之间交互性的存在，加上在线联络的空前便捷性，使得结识朋友的朋友的机会比以往大大增加。事实上，社交网络的服务商也常常弹出“你的朋友还关注了哪些人”、你和尚未建立联系的某人有“共同的好友”等提示，这反过来又使得个人信息的扩散范围增加了。最后，通过追踪、记录和分析用户的个人身份信息和个人活动信息，用户的肖像（profile）在分析者眼前逐渐清晰。我们知道，整体比部分能够提供更多的信息。仅仅知道一个人在一天之内拨打的几个电话号码，还不一定得出这个人行踪喜好的确切结论，但是一份囊括某人在一周内拨打的所有电话的清单却可以轻易地暴露这个人生活中的亲密对象。 ⑦追踪一位女士的一次外出不一定能有什么收获，但是连续追踪几周之后，发现她去了几家婴儿用品商店，则会给我们呈现一个不同的故事。 ⑧相比于一般人的耳闻目见，服务商收集的用户信息不但可以是最真实最私密的，而且可以是最全面的，掌握了这些信息，就拥有了合成用户肖像（profiling）的能力，信息一旦泄露或被滥用，引发的危险难以预料。

用户在社交网络上过度曝光，不一定是充分了解网络服务特点基础上的理性举动，相反常常是不十分清楚行为可能导致的后果使然。服务商不断收集个人信息用于商业目的，用户并非乐见其成，而常常是无力反对。在没有国家强制力介入的情况下，利益的天平不可避免地发生倾斜，服务商必然会将行动边界推到最远，挤压用户的权利空间。早在上世纪八十年代，德国联邦宪法法院通过审理人口普查案提出个人信息自决权理论，针对的正是“自动化数据处理”的技术发展。判决中指出，在自动化数据处理的现代化条件下，人格的自由发展取决于个人有权对抗个人资料被无限制的搜集、储存、使用与传送。因此，人格权应进一步加以具体化，其内容需包括个人基于自主决定的价值与尊严、自行决定何时及于何种范围内、公开其个人的生活事实。 ⑨社交网络服务的属性是为公民个人提供一个私人交往空间，在为用户提供交往便利的同时，服务商不但有义务保障用户对其个人信息的可控性，而且更应是第一责任人。

有关信息自主权的内容国际上已有共识。早在1980年，经济合作和发展组织（简称OECD）就制定了《隐私保护与个人数据跨境流动指南》，该指南已经成为制定个人信息保护文件的国际标准文本。指南规定了个人信息保护的八项基本原则：（1）收集限制原则，个人信息的收集应当获得相应个人的授权、同意，并且通过合法方式获取；（2）数据质量原则，所收集的个人信息应当与预设的特定目的相关、并且是准确的；（3）目的特定原则，应当对收集个人信息的目的在不迟于数据收集时予以说明，对于个人信息的使用限于完成这一说明的目的；（4）使用限制原则，未经数据主体的同意，不得为上述特定目的之外的其他目的而披露个人信息；（5）安全保障原则，应当通过合理的安全保障措施对个人信息进行保护；（6）公开性原则，对于个人信息持有者、处理者的相关行为和政策，应当告知相应信息主体；（7）个体参与原则，对于自己的个人信息，个人有权向控制者查询，并且有权对这些数据进行修改、完善；（8）责任承担原则，数据控制者应当承担执行、落实上述原则的责任。这些原则对于社交网站完全适用。

三、社交网络服务商在个人信息保护上的十项注意义务

社交网络环境下，用户仍然有权控制其个人信息的流动，尤其是控制社交网站的信息收集与利用行为。社交网络服务商的义务主要包括两个方面：一是将个人主页真正设计为用户个人的小天地，对该“新个人空间”有主宰权，换言之，由用户来决定和谁交往；二是就网站自己收集、利用个人信息所负有的义务。就此下文详细予以说明。 瑏瑠

1准确完整告知网站将要实施的数据收集、利用及移转行为

这一义务包括，在用户注册时，应该标明哪些信息是用户应当提供的，哪些是自愿提供的。其次，服务商应当告知，何种个人信息被加以收集和利用，具体出于何种目的。还应当告知，某些情况下这些数据还向哪些接收人或者何种类型的接收人，以及出于何种目的予以提供。在用户注册时，网站应当清楚显示个人信息保护说明，应当使用户确认读到了声明，例如通过点击网页或对话框中的按钮。用户注册以后，数据保护声明仍然应当随时可以调取。

2为用户提供隐私设置功能和相关提示

服务商应当在注册程序完成后或在第一次登陆后马上明确告知隐私设置的存在以及改变隐私设置的可能性。如果某一项隐私设置功能是第一次使用，那么应当对单项设置的可能性予以告知。服务商应当通过隐私设置说明对用户进行全面的告知，使之能够自觉和自主地进行隐私设置。服务商应当在一开始就说明，用户放在网络上的内容具有怎样的公开性，可以通过使用隐私设置功能调整公开性。隐私默认设置应该尽可能保护用户的个人信息免于曝光。

3为用户提供个人信息查询和更正功能

服务商应当确保，用户能够方便地就服务商储存用户信息的服务加以查询和更正。服务商可以提供自动化的数字程序来满足查询或更正要求。服务商也可以选择替代方案，即由用户自己对储存在个人帐号下的不正确信息予以更正。

4为用户提供终止成员资格的功能，并在成员资格终止时删除用户个人信息

服务商应当确保，用户能够方便地终止成员资格并删除服务商为用户储存的个人数据。用户应当能够随时终止使用服务。在用户终止成员资格之后，服务商应当立即删除用户输入的个人信息，除非法律允许保留。服务商应当做到，用户能够方便地通过电子手段终止服务的使用，如按钮、表格、电子邮箱等。

5为用户提供的交友功能应当进行明显提示，并使用户拥有控制权

服务商要在功能设计上做到，用户享有个人主页的支配权，包括享有随时发布、随时删除信息，允许、删除或禁止他人评论，乃至将特定人拉入黑名单的权限。以普遍存在的地址匹配功能为例，这一功能将用户保存的地址信息上传给服务商，帮助用户找到同样使用该社交网络服务的熟人，也可以服务于和尚未成为同一社交网络成员的人建立联系。社交网络服务商应该全面告知用户地址匹配功能的特点，并对第三人的信息进行保护。无论地址匹配功能是一次性还是自动重复的，都应该由用户加以启动，由用户决定向何人发出注册同一社交网络的邀请。服务商不得自行发出邀请。邀请中应当说明，收信人何以收到邀请。此外，邀请中还要说明，收信人不想加入的话，如何阻止此类邀请在未来的继续发送。

6就第三方插件收集个人信息的行为向用户进行提示，并使用户拥有控制信息流动的可能性

社交插件又称第三方应用，是指由服务商选择的第三方应用开发商提供的软件。第三方开发商以社交网站提供的网页为依托平台，在其中开发、投放特定的在线应用程序、软件供用户使用的个人或机构，此类应用程序、软件有的是为社交网站用户提供具有社交互动、休闲娱乐功能的相关在线服务、游戏，有的是借助社交网站的相关页面发布广告来进行市场营销。服务商应当向用户说明社交插件的工作方式，尤其应当说明社交插件是否收集用户的个人数据及其范围。服务商应提供由第三方向访问用户说明社交插件工作方式的可能性。

7服务商自行合成的用户肖像应仅仅用于改善服务之目的

服务商会利用用户的个人信息自行建立个人兴趣爱好肖像，这一用户特征并非由用户所掌握和了解。因此，除非是为了给用户提供本服务下的个性化功能，任何为其他目的而建立用户形象都必须获得用户许可。

在用户不反对的情况下，服务商可以出于广告、市场调查和改善服务的目的，通过使用匿名而不经许可地建立用户行为特征。服务商应当在服务的开始告知用户有反对权。这一用户行为特征不得与存储的用户其他数据加以合并。

8服务商应确保用户界面友好，服务信息透明及联络渠道的便捷畅通

服务商应致力于用户界面的设计，使得用户容易识别，其邀请、消息和通讯发送往何种接收人。服务商做出的个人信息保护说明、隐私设置、查询和更正功能等应当是便于访问和便于理解的。服务商的联系方式、隐私设置功能、用户调取和更改信息的功能等应当放在网页显著位置。服务商应当通过文字或页面为服务提供方便的在线帮助。服务商应当提供至少一种免费联系方式，应当做到用户能够方便地通过电子手段终止服务。

9服务商应在基础设施和安全管理上建立合乎当前技术水准的风险防控体系

服务商应当采取与技术水平相称的技术和组织措施，这些措施适合于为因个人信息的加工和方式而产生的风险提供适当的安全保障。尤其是要采取防范信息泄漏的措施。建议服务商通过独立机构对其安全措施和管理进行认证。服务商应当指定个人信息保护方面的专门工作人员。

四、结语

远离监控和记录是私密空间和不受干扰的私人生活的题中之义，这不仅是针对公权力，对社会中形形色色的组织和个人同样适用。时至今日，如果新浪微博或腾讯微信的后台管理人员愿意，可以随时把某个账户所有人与他人的互动包括悄悄话在内调取出来“欣赏”，这一情况启示人们，社交网络的出现不是让个人信息保护失去了意义，而是让其意义得到了空前提升。

当然，对个人信息的保护并不是绝对的，个人信息的收集、储存与公开是否应当受到本人的控制，要结合信息产生时间、发布主体、空间范围及所处语境以及信息的涉他性程度和公共利益等因素加以权衡。社交网络服务商在收到行政机关、法院的命令时，也可以不经本人同意而提供他的个人信息。 瑏瑡

此外，对个人信息的收集和传播即使出于正当目的，也应该做到收集、公开方式和范围与其目的合乎比例，不得造成让当事人过度曝光的结果。所谓“千夫所指，无疾而终”，私下的指指点点和公开的站在所谓道义制高点上的责难给当事人带来的冲击有本质的区别。这方面的一个典型例子是我国法院审理的所谓人肉搜索第一案。法院断然认定，当事人的出轨行为也属于其隐私，网络服务商不得对该事实加以指名道姓的传播或有意识地为传播创造条件。 瑏瑢其实，如果这一事实仅仅在当事人的近亲属和密友间传播、品评，甚至受害一方的亲友站出来痛斥另外一方，恐怕无可厚非，问题是本案中的被告网站制作专题网页，将事实告白于天下，这对当事人来说就难谓合比例了。

注释：

① 美国学者Alan FWestin提出隐私保护的四项功能，即实现个人自主（personal autonomy）、情感释放（emotional release）、自我评估（self evaluation）及有限度与受保护的沟通（limited and protected communication）。Alan FWestin，Privacy and Freedom，Atheneum，1st ed（1967）

② Nicholas CBurbules，Privacy，Surveillance and Classroom Communication on the Internet Access，Vol16，No1（1997），pp42－50转引自胡建淼、岑剑梅：《论公共摄像监视》，《法律科学》，2008年第4期。

③ Galella vOnassis，487 F2d 986（1973）

④ Von Hannover v Germany，ECHR，2004，（Application no59320/00）

⑤ 王娟：《公共场所隐私权》，《法律适用》，2007年第10期；胡建淼、岑剑梅：《论公共摄像监视》，《法律科学》，2008年第4期。

⑥ United States vKatz，389 USat 351

⑦ Justice Stewart，dissenting opinion in Smith vMaryland，442 US735（1979）

⑧ USvMaynard，615 F3d 544（2010）

⑨ BverfGE 65，1－Volksz？hlung

⑩写作中参考了如下文献：国际电信数据保护工作组《关于社交网络个人信息保护的工作报告》，http：//wwwdatenschutzberlinde/attachments/897/675365pdf？1347350362；德国多媒体服务提供商自律协会（FSM）关于社交网络个人信息保护的报告，http：//wwwfsmde/ueberuns/veroeffentlichungen/FSM＿Closing＿Report＿SocialCommunitiespdf。

(11)至于国家公权力对人民信息自主权领域的规范，应受法律保留原则、授权明确性原则及比例原则的拘束，并有义务在组织及程序上采取相应的预防措施，使个人的信息自由得到保障，而有效发挥其功能。BverfGE 65，1Volksz？hlung；王泽鉴：《人格权法》，北京大学出版社2013年版，第200页。

(12)2008年，北京市朝阳区人民法院作出了全国首例“人肉搜索”案判决，认定了相关网络服务提供者的侵权责任，参见王菲诉大旗网侵犯名誉权案，北京市朝阳区人民法院（2008）朝民初字第29276号民事判决书；王菲诉天涯网侵犯名誉权案，北京市朝阳区人民法院（2008）朝民初字第29277号民事判决书。

（作者系中国传媒大学文法学部副教授）

【责任编辑：潘可武】