网络隐私权法律保护的缺失与对策研究

王 言

（仰恩大学 法学院，福建 泉州 362000）

网络隐私权通常泛指公民作为自然人所享有的隐私权在网络环境中的扩展和延伸。王利明认为：“网络隐私权是指公民在网络环境下借助互联网而享有的私人信息和个人生活安宁不受他人侵害的权利”[1]。由于网络空间的特殊性，网络隐私权保护的重心与传统隐私权有着较大的区别。网络隐私权所保护的对象既包括在公共领域范围内明示的个人数据或个人基本信息，也包含自动记载可查的如个人账号及密码、网络消费账单、网络浏览及聊天记录、IP地址等。任何侵扰公民的网络私人生活安宁并且导致个人财产上的损失或者精神上受损害的行为，均可能构成对公民个人网络隐私权的侵害。网络隐私权所保护的权利客体表现出的虚拟性及对其侵犯手段的隐蔽性，都使得对侵权行为的证据保全和事后维权救济变得十分困难。网络隐私的侵权行为除了侵害其人格权之外，如对用户个人信息的泄露还有可能造成相应的经济损失，给被侵权人造成二次伤害。因此，网络隐私权不应单纯包括对个人信息的受保护，同时也应该涵盖个人使用网络环境安宁的受保护，其根本目的在于维护公民的人格尊严和生活安宁。

一、对公民个人网络隐私权常见的侵权情形

（一）网络服务商未经合法授权，贩卖网络用户的个人信息

在电子商务消费过程中，许多电商企业在未经用户许可或授权的情况下，擅自将其所掌握的用户个人资料和个人消费信息与商业合作伙伴进行信息共享，有的电商甚至会与广告公司、物流公司等关联企业进行消费者个人信息和隐私数据的交易。2018年美国社交网站“脸书”已经因为滥用和泄露用户个人资料及隐私事件，而受到来自各方的抨击，最终被美国联邦贸易委员会处以高达50 亿美元的罚金。2019 年3 月，更是爆出了抖音、多闪等手机app 未经用户同意，擅自进行信息共享，侵犯用户个人隐私。虽然最高人民法院在2014 年就确立了网络运营商对用户个人信息使用和网络隐私权保护的基本原则，但各类电商企业肆意收集和互通用户个人信息的行为依然屡禁不止。

（二）利用大数据分析，对公民个人的网络隐私进行二次挖掘

无论是在电商平台消费还是使用手机APP，网络用户若要使用或接受服务往往必须牺牲或者让渡部分的个人信息权限。由于互联网电商行业普遍采取“使用即同意”的默认使用规则，这使得网络服务商对于用户个人数据的读取，变成了合法的网络服务行为。早在2018 年初，工业和信息化部就曾经针对手机应用软件存在侵犯用户个人隐私的问题，约谈过包括百度、蚂蚁金服（支付宝）和今日头条等大型的电商平台商和网络内容服务提供商。其所谓的AI 人工智能技术应用，对于用户个人网络隐私的保护存在着明显的漏洞和法律隐患。网络服务商也往往利用这一点大打擦边球，比如对用户的选择偏好、消费习惯进行数据分析，从中“破译”出用户个人网络隐私并借此获取相应的商业价值。民法总则第111条对个人信息的保护，也被堂而皇之地架空为原则性的“僵尸条款”。

（三）网络防范存在漏洞，导致公民的网络隐私遭到泄露和被侵犯

中国互联网协会《中国网民权益保护调查报告2016》显示，中国有6.88 亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失达915 亿元[2]。同年，唯品会发生海量用户信息被泄露，淘宝、京东等网络平台商更是屡次出现用户账号被盗和网购电信诈骗等情形。其原因，一是部分电子网络系统安全和用户数据库管理上存在着网络技术防范薄弱，相关的责任监管主体管理疏忽，给了一些网络黑客和诈骗分子以可乘之机。他们通过窃取、非法收集、恶意篡改等方式不同程度地侵犯着公民的网络隐私权。二是用户在电子商务过程中产生的订单、保险单等个人信息的泄露。据不完全统计，超过半数消费者曾遭受垃圾短信、邮件和诈骗电话的骚扰，尤其是个人住址和电话的泄露，成为网络隐私权遭受侵犯的主要原因。

二、目前中国网络隐私权法律保护的主要困境

（一）对网络隐私权和个人信息权的保护范畴划分不明确

第一，对网络隐私权和个人信息权法律内涵划分不清。隐私权是属于人格权范畴，网络隐私权则是典型的复合型权利，体现出一定财产利益和人身利益[3]；而个人信息权同样兼具财产利益和精神利益，网络隐私的保护与个人信息的保护存在一定范围的外延交叉，但又不尽相同，在保护的内容上二者存在着一定的重叠。目前中国对于隐私权的保护仍然是基于传统的人格权视角，尽管在民法总则第110 条已经明确了隐私权受保护的法律地位，但仅局限于义务性规则的约束，没有对隐私权的概念作出明确的法律解释或定义，也未对隐私权和网络隐私权作出明确的规定和区分[4]。而网络隐私权保护缺乏直接的法律规定，对网络隐私权客体的保护范畴也缺乏有效的调整和归纳，网络隐私权的立法保护多暗涵在针对个人信息安全的法律保护之中，也可以说，目前中国对网络隐私权的立法重视程度严重不足。

第二，对网络隐私权中涉及个人信息权的保护范围未做明确规定。网络隐私权的保护重点之一就是个人信息安全的维护，但网络隐私权所保护的个人信息主要是个人敏感的信息，其仅仅是个人信息其中的一部分。隐私权的保护客体一般包括私人信息、私人活动和私人空间，对应到网络隐私权客体范围通常包括网络私人信息、私人网络活动以及私人网络空间。对于公民网络权中隐私信息尤其是个人敏感信息的侵犯，这无疑侵犯了个人信息权[5]；而通过对非敏感的个人信息的提取和利用，同样会导致网络隐私权遭到侵犯。因此，不宜将个人信息权和网络隐私权简单地区分看待。由于中国尚未对个人信息权作出明确立法定义，对于侵犯网络隐私权中所涉及的公民个人信息的审核标准，主要是依据2014年发布的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》。虽然其中明确对个人敏感信息包括私人活动信息等作出了列举式的保护，但仅限于网络公开及造成侵害的前提条件，这种偏于消极的立法保护模式，面对现有的强大的大数据系统分析和云计算技术的运用，是不足以有效避免网络隐私不受非法侵犯的。

（二）对网络隐私侵权责任主体的划分范围和归责原则的适用不合理

第一，对于网络隐私侵权的责任主体范围划分不清。根据侵权责任法第36 条的规定，网络隐私侵权行为中常见两类责任主体——“网络用户和网络服务提供商”，其常见于电子商务行为中的民商事关系法律关系中。然而网络隐私的侵权主体实际上并不局限于这两类主体，电子政务系统中同样存在着网络隐私侵权的现象或隐患。比如运营电子政务系统的行政管理部门，或涉及公民信息管理的行政主体机关及其派出机构的从业人员，都可能存在个人信息泄露甚至是违宪侵犯公民网络隐私权的行为，但侵权责任法没有将这些主体纳入调整的范围之列。

第二，对于网络隐私权侵权行为的归责原则适用不当，过于单一。现今中国针对网络隐私侵权采用过错责任原则和“避风港”规则，所以一般情况下网络隐私侵权行为适用一般侵权情形的法律规定，采用“谁主张，谁举证”的举证原则。在信息网络环境下，网络隐私侵权行为方式多变，无论对于用户网络信息及数据的收集和保护，还是相关网络隐私侵权证据的举证和保全，网络服务提供商比普通的个人网络用户明显处于优势地位。将相关举证责任交由普通的个人网络用户来承担，无论从法理还是技术层面上都存在着明显的不合理，尤其要证明或分辨网络服务提供商是否存在主观故意还是过失。由于举证困难，所承担的举证难度和成本都过高，导致部分个人网络用户放弃诉求，这也变相地导致了网络隐私侵权行为的泛滥。

第三，对于提供不同性质网络服务的运营商，其归责原则的适用缺乏进一步的区分。网络服务提供商的种类形式多样，不同的网络服务提供者其功能和职责也不尽相同。常见的网络服务提供商包括网络接入服务提供者（IAP）、网络平台提供服务者（IPP），以及网络内容提供者（ICP）。但是前者通常只负责提供数据传输，不同于后两类网络服务提供者，其对于网络信息通常不具有审核信息的义务和必要，一般也极少发生侵犯网络用户隐私的情况；后两类网络服务提供者IPP 和ICP 之间也存在着承担责任大小之争议。通常认为ICP 具有直接信息网络发布的能力，对于个人信息及网络隐私权的侵犯往往也存在着直接侵权的可能；而IPP 责任由于其监管网络空间辐射较广，且往往不大可能参与到每个环节的监控。因此对于网络隐私侵权行为，如果对不同类型的网络服务运营商不加区别地适用过错责任原则显得不甚合理，甚至有失公平，毕竟不同类型的网络隐私侵权主体对个人信息所具备的审核责任和保护能力不尽相同。

（三）网络隐私权的立法保护不足且缺乏系统性

中国对于隐私权的保护本身就比较滞后。2017年颁布的民法总则才明确将隐私权纳入民事权利的保护范畴[6]，明确其法律地位。此前，一直对隐私权采取间接保护为主，而对网络隐私权的立法保护并没有细化，相关的法条规定和司法解释往往点到为止，没有深入地展开阐述。比如电子商务法第23 条，虽然提及了电商经营者对于用户个人信息的保护义务，但对其保护的边界和方式都没有清晰的规定。对于网络消费者个人隐私权方面的保护并没有具体细则的适用，更多的还是从对电商经营者及电商行业的规范角度考虑。再比如网络安全法第41 条对个人信息的“收集限制原则”和侵权责任法第36 条的“通知删除规则”，虽然明确规范了网络服务提供者对于个人信息合理使用的范围并予以对应的监控责任，但尚未对网络服务商对网络用户隐私权的保护范围和职责划分作出进一步的规定。

总体而言，目前中国对于网络隐私权的立法保护仍就比较分散，或者对应的相关立法文件的法律效力位阶偏低。网络隐私权保护相关的法律设置过于分散，在法律保护上呈现出权益保护“碎片化”。

三、完善中国网络隐私权保护的建议

（一）合理区分网络隐私权和个人信息权的保护范围，采取二元制保护方式

第一，要厘清网络隐私权和个人信息权的保护范围，不宜简单地将个人信息作为隐私的上位概念来看待。什么类型的个人信息应当被纳入网络隐私权的保护范畴，什么样的个人信息不得非法收集或使用，什么样的个人信息是可以公开供网络服务商进行读取和信息共享的，均应得到明确的法律解读。

第二，应当对网络隐私权的保护范围采取二元制灵活认定。首先，根据2018 年由全国信息安全标准化技术委员会颁布并正式实施的《信息安全技术个人信息安全规范》，明确区分个人信息和个人敏感信息的划分范畴。其次，对于个人敏感信息侵犯，也属于直接侵犯公民网络隐私权的侵犯，可以直接通过对个人信息权的保护进行法律救济。最后，对于网络个人信息中的非敏感部分，则可以通过划入网络隐私权的保护范围之列，采用网络安全法第41 条的标准，根据具体情况判定其是否属于对个人信息的合理使用。比如根据网络个人用户的网页浏览记录和消费记录，分析该用户的消费喜好和网络使用习惯，那么这种行为就可以纳入网络隐私权的保护范畴。再比如，对于网络个人用户使用网络社交媒体，如使用微信朋友圈、博客、QQ 空间及个人网站等行为进行互联网大数据分析，其属于处分非个人敏感信息但又有侵犯个人网络隐私嫌疑的行为，也可以纳入网络隐私权保护的监控范畴。

（二）明确网络隐私侵权责任主体的范畴并区分其适用的归责原则

第一，要进一步细化和明确网络隐私侵权的责任主体的适用范畴。扩大侵权责任法第36 条适用的主体范围，将网信部门和业务中涉及到公民个人信息和数据安全保护的公共职能部门，包括相应电子政务系统的运营负责人员，以及高校和基层政务网站等非经营性主体，都纳入到网络隐私侵权的责任主体范围[7]。

第二，采取网络隐私侵权举证责任倒置，合理分配举证责任。目前，中国对网络隐私的侵权纠纷仍不加区分地统一采取过错原则的举证模式，这对于普通的个人网络用户既不现实也不合理，应当增加过错推定原则的举证责任模式的适用。设置举证责任倒置的意义在于客观考虑到当事人双方的举证能力和举证成本的巨大差异。如果将举证责任交由网络服务提供商，一方面可以有效地降低被侵权人的举证负担，另一方面对于电子证据的保存和举证网络服务商显然更为便利。同时，也能促使网络服务商更加注意对被侵权对象网络隐私和个人数据的保护和重视。

第三，根据网络隐私侵权责任主体职能和性质的不同，进行归责原则的区分适用。现阶段，中国对网络隐私权侵权行为的归责原则的适用过于单一，应当根据网络服务提供者其对个人网络隐私数据的使用程度及网络服务的监管能力，区别对待。具备直接或明知存在侵犯他人网络隐私情形而不作为的网络责任主体，应承担直接侵权责任。对在网络平台上侵犯他人网络隐私的负有监管责任的电商平台经营者，在其过失范围内承担间接侵权责任；而对于辐射范围较广的公共职能部门，其对于个人数据的掌握和保护相对封闭，但一旦泄露个人隐私或信息后果将十分严重，且监管职责人员一般难辞其咎，应该使用无过错责任原则，加强其责任意识。

（三）建立完备的网络隐私权和网络信息安全的立法体系保护

第一，明确中国网络隐私权的法律地位。民法总则确立了对个人信息的立法保护，现今民法典各分编正在编纂中，其对于隐私权和个人信息的重视程度都是空前的，应当抓住这一时机明确网络隐私权的立法保护地位，明确网络隐私权的释义、权利内容及保护客体范围，将其确认为独立的人格权作专项保护[8]。

第二，加快制定专项的个人信息保护法和数据安全法等涉及信息安全的各类部门法和部门规章，将各类涉及网络信息安全的部门法、部门规章等，进行有效的完善并整合，建立健全公民网络安全保护的立法体系。对于网络隐私权的保护，个人信息是外核，个人隐私是内核，二者的法律保护不但没有冲突还存在着交集。比如在《互联网行业自律公约》中完善、规范信息控制者合理利用个人信息内容的规定；再比如2017 年最高人民法院、最高人民检察院联合颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题》所提及公民个人信息范围的进一步明确，还有现阶段中国人民银行对《个人金融信息（数据）保护试行办法》的草拟和征集，以及2020 年即将制定的个人信息保护法。各项网络信息安全法规在各自领域互为补充，相互协调，最终构建成完备的个人网络安全立法体系，既可以有效地规范和约束相关责任主体对公民个人网络信息合理合法的使用，又能够从侧面为公民的网络隐私权提供安全保障。