论网络运营商对用户隐私权的侵害
管荣齐*

摘要：“网管”有必要，但过当造成对用户隐私权的侵害。隐私权是自然人的一项重要的人格权，作为隐私权客体的隐私包括私人信息、私人活动和私人领域三大类。对隐私权的保护，世界上有三种模式、两种方法，我国应建立隐私权的直接保护制度。网络运营商对网络用户隐私权的侵害，是其滥用或不当使用网管权的结果，应通过立法或建立特别制度来加强对网络用户隐私权的保护。网管软件对个人接入用户进行实时“抓屏”和监控构成对隐私权的侵害，对单位内部员工在事先未告之的情况下进行实时“抓屏”和监控也构成对隐私权的侵害。

主题词：网络运营商 网络用户 隐私权 隐私权保护

一、 从某网管软件说起
21世纪是互联网的世纪，上网在当前不但已经成为一种时尚，而且也已经成为人们生活和工作的工具和手段。但是，互联网作为除报刊书籍、广播、电视之外的第四媒体，在一些情况下或在某些板快，如BBS、聊天室、文章评论部分、寄生的个人主页等，具有相对较高的不可控性，因而就可能出现较多的侵权信息，对此，网络运营商应当承担一定的监管义务和责任，同时享有相应的权利。网络运营商对网络的监管，简称“网管”，往往通过技术手段实现，如过滤、删除信息，切断链接，登录记录，邮件查看，等等。但这样就会产生另外一个的法律问题，即网络运营商如果滥用或不当使用网管权，就会对网络用户的隐私权造成侵害。
某网络运营商新近开发了一个“网络接入认证管理系统”，该系统的一个主要卖点是它具有一种对用户端进行实时“抓屏”和监控的功能，即凡是通过该认证系统登录在线的用户和计算机，其屏幕显示的内容随时受到网络管理员（网管员）的监视和摄录。该认证系统拟在近期应用于本公司的网络接入业务，同时向社会推介。值得肯定的是，该系统从源头上、从技术上对网络信息加强了监管，有利于分清网络信息侵权责任，有可能杜绝网络信息侵权行为，但矫枉过正，无论对于个人用户还是单位内部用户，都构成了对他人人格权主要是隐私权的侵害。
1、 一般说来，单位用户对该认证系统的监控功能是比较肯定的，因为通过此功能，能够对本单位员工应用计算机的情况进行实时监控，为岗位设置与考核、人员配备与控制提供依据。但是，从员工角度来说，由于计算机本身的特点和应用的普遍性，在个人专用的单位所有的计算机中，开辟有私人领域，存储有私人信息，部分私人活动也借助其完成，对此所在单位也是默许的，因而对这些计算机进行实时“抓屏”和监控的结果，构成了对员工隐私权的侵害。单位对该侵权行为的抗辩理由是，员工在工作期间不得从事与工作无关的活动，实时“抓屏”和监控只局限于上班时间之内。
2、 个人用户对于该认证系统无疑是强烈反对的，因为个人上网属于私人活动和个人隐私，不允许任何人以任何方式加以干涉和侵害。网络运营商的抗辩理由是，对网络进行监控是为了保护社会公共利益，符合法律法规的要求。

二、 隐私权的概念及其法律保护
上述认证系统是否侵害了网络用户的隐私权呢？为了回答这个问题，我们首先探讨一下隐私权的概念及其法律保护。
（一）隐私权
隐私权一词最早是由美国法学家路易斯.布兰蒂斯和萨莫尔.华伦于1890年发表的一篇著名论文《隐私权》中提出的，演变至今，已成为一项公认的独立的人格权。它是指自然人所享有的一种不愿或不便他人获知或干涉的私人信息的支配和保护的人格权。
隐私权的主体是个人，法人不应划入主体范围，因为隐私权的本意所要保护的是自然人的自由与人格尊严，法人的“隐私”属于商业秘密；只有自然人生存时才享有隐私权，死者是没有隐私权的，因为当自然人死亡后，其个人利益随着本身物质载体的终止而消亡，不再具备维护自身利益的可能性，并且死者无权利能力，鉴于权利主体与客体的一致性，死者不能成为隐私权的主体。
隐私权的客体即隐私，乃是一种与公共利益、群体利益无关的，当事人不愿他人干涉的个人私事和当事人不愿他人侵入或他人不便侵入的个人领域。隐私主要包括三大类，即私人信息、私人活动及私人领域，其中私人信息属无形的隐私，主要包含健康状况、财产状况、宗教信仰、医疗记录、身体缺陷、过去经历等等；而私人活动则属于动态的隐私，如日常生活、社会交往、两性关系等等；再商是私人领域，也称作私人空间，如个人居所、日记本、通信（包括电话、电报、信函）、旅客行李等。
（二）隐私权的法律保护
综观世界各国对隐私权的保护，都极为重视，将其确认为人格权，以严格的法律有效地加以保护，主要的立法模式可以分为三种：
一是大陆法模式，以法国、德国为典型，在民法典中明确规定“任何人有权使个人生活不受侵犯”、“法官在不影响赔偿所受损害的情况下，得规定一切措施，诸如对有争议的财产保管、扣押以及专为防止或停止侵犯个人私生活的其他措施。在紧急情况下，法官得紧急下令采取以上措施”。
二是英美法模式，又有直接保护和间接保护两种具体方式：
1、 直接保护方式，如美国。美国直接保护隐私的做法是：其一，联邦最高法院宣称在宪法中存在一般隐私权的事实；其二，对侵害隐私权的行为直接认定为侵害隐私权的侵权行为，并责令侵权行为人承担精神损害赔偿的责任。
2、 间接保护方式，如英国。英国对于侵害隐私权的行为不直接定为侵害隐私权的侵权行为，而是认定为其他类似的侵权行为，按照其他类似的侵权行为承担民事责任，如名誉、信息侵害的赔偿等等。
三是北欧法模式，瑞典比较典型，采用的是古老的政务公开原则和现代的数据保护立法。瑞典1766年宪法确定了政务公开原则， 1973年《数据保护法案》规定了监控对象接触自动处理的个人数据的一般权利。
在我国，1986年制订的《民法通则》没有将隐私权规定为公民的人格权，但在我国《宪法》、最高人民法院的司法解释特别是一些民法特别法中包含有隐私权保护的内容，如《未成年人保护法》第30规定了任何组织和个人不得披露未成年人的个人隐私；《妇女权益保障法》第39条规定了禁止用侮辱、诽谤、宣扬隐私等方式损害妇女的名誉和人格；在《残疾人保障法》和《老年人权益保障法》中，都设置了保护残疾人、消费商和老年人合法权益的条文。但这些规定或者存在法律适用上的局限性，或者通过名誉权对隐私权进行间接保护，或者仅是针对社会中的特殊群体（未成年人、残疾人等）。随着电脑与网络的进一步发展，隐私权问题在现代社会变得更加尖锐起来，将会导致立法上的严重缺漏与司法的无所适从。基于此，建议我国的立法机关尽快进行隐私权保护的立法，完善我国隐私权的法律直接保护制度。

三、 网络用户隐私权及其法律保护
在探讨了隐私权的一般概念和法律保护方法之后，我们再进一步探讨网络用户隐私权及其法律保护的要求。
（一）网络用户隐私权
对网络用户而言，隐私权主要体现为决定是否向他人公开个人信息的权利，自己使用或许可他人使用个人信息的权利，个人信息被收集前收到相关通知的权利，确保信息准确无误的权利，个人信息安全受到保障的权利，等等。如上文所述，加强网管是网络运营商为了防止网络用户对其他网络用户的隐私权造成侵害而采取的保护措施，但如果矫枉过正，措施不当，网络运营商本身也会侵害网络用户的隐私权。网络运营商的以下行为显然属于侵犯网络隐私权的行为：
1、 未经用户许可，以不合理的用途或目的保存或收集个人数据。计算机系统的工作原理决定了一定的信息被自动保存下来的可能性和必然性。对于这部分自动保存的信息，如果不影响网络的正常营运，应当及时删除。未经许可并以不合理的目的保存或收集个人信息，就会构成对该用户隐私权的侵犯。
2、 不当泄漏或故意传播个人信息。合法取得个人信息，但未经许可而不合理的利用个人信息，或者超出许可范围滥用个人信息，则侵犯隐私支配权。
3、 擅自篡改个人信息或披露错误信息。网络运营商应保证个人信息的客观性和准确性，隐私权决定了网络用户有权查询网络运营商收集的信息，更正错误的信息。
4、 非法打开他人的电子邮箱和非法进入私人网上信息领域。网络空间虽然是一种虚拟空间，但存在于其中的个人信息同样不得被侵扰、刺探或窥视。
（二）网络用户隐私权的法律保护
随着计算机的普及和互联网的广泛应用，网络运营商对网络用户隐私权的侵害行为呈明显的上升趋势，因而有必要特别针对网络用户隐私权的法律保护，在以下方面做出特别规定：
1、 借鉴和吸收美国在《数字化千年之际版权法案》中采取的通知方式。只要权利人向网络运营商发出了通知，告知在其所提供的个人主页或者BBS上有侵权信息，如果其在得到通知后没有证据表明这个信息没有侵权，那么他必须删除，否则权利人可以控告他；如果被指控方也发出反通知给网络运营商，担保他的言论并没有侵权，而网络运营商不能对这些言论是否侵权作出判断，那么网络运营商不必删除这些言论，其法律后果由发表言论者本人承担。
2、 网络运营商发布隐私政策声明。在主页上的醒目位置设置隐私政策声明栏目，以表明对用户隐私权的充分重视，并且在声明中包含有下列内容：绝不非法收集、披露、使用、传播个人信息的承诺，特定情况下收集、转移资料的可能性，网络运营商取得个人信息前的通知义务，用户查阅及改正错误资料的权利和程序，用户权利受侵害时的救济途径，个人信息的安全保护措施，网络运营商最方便的联系方式以及与隐私政策声明的链接。
3、 网络隐私认证。从促进电子商务产业发展的角度来说，行业自律是隐私保护模式的首选。因此，不妨考虑在该行业组建一个独立的、非营利性的组织，由这个组织对每个申请认证的网络运营商的隐私政策和实施情况进行审查，凡是符合隐私行业指引的网络运营商，可以通过认证，并可以在其网站或网页上张贴认证标志。这既有利于提高网络运营商的商业信誉，也可以增添用户使用互联网的信心，扫除消费商对个人隐私保护的忧虑。
4、 不断更新技术，保障数据安全。其一，网络运营商可以研发或使用个人隐私偏好的软件，通过这些软件，用户可以发现哪些是合乎隐私权保护要求的站点，哪些不是，从而决定是否浏览；或者通过这些软件，用户可以了解网上购物必须输入哪些信息，且可以肯定输入这些信息不会使自己的隐私权受到侵害；其二，网络运营商应该不断更新技术，防止黑客的攻击。面临越来越多的黑客现象，对于个人数据安全的保护，网络运营商负有不可推卸的责任，因为在众多案例中，并非黑客的技术高明，而是网络运营商的安全措施本身漏洞百出。

四、 结语
在探讨了隐私权、网络用户隐私权及其法律保护等课题之后，我们重新回到本文一开始所提及的“网络接入认证管理系统”，评判一下它对用户隐私权的侵害。
我们知道，该认证系统的用户有两类，一类是网络接入商，一类是设有内部局域网的单位。网络接入商应用该系统的目的是加强对接入用户的监控，以满足网络安全和社会公共利益的需要；设有局域网的单位应用该系统的目的是加强对本单位员工上网和运用计算机情况的监控，为岗位设置与考核、人员配备与控制提供依据。网络接入商应用该系统后对接入用户隐私权造成的侵害，属于“非法进入私人网上信息领域”；设有内部局域网的单位应用该系统后对本单位员工隐私权造成的侵害，在于未事先履行告之义务。
关于抗辩理由，网络接入商的“维护网络安全和保护社会公共利益”不成立，其理由是只有政府和社会公共团体才可代表社会干预和调控社会经济生活，其他任何组织和个人均没有此权利；设有内部局域网的单位的“员工在工作期间不得从事与工作无关的活动，实时‘抓屏’和监控只局限于上班时间之内”的抗辩理由，只有在单位履行了对员工的告知义务的情况下才可得以主张，换句话说，单位未事先通知员工该认证系统具有实时“抓屏”和监控的功能，就构成对员工隐私权的侵害，就应当承担相应的法律责任。

主要参考文献
【1】 张新宝，《隐私权的法律保护》（M），群众出版社1997年版。
国家药监局


关于执行药品GMP认证办法有关事宜的通知

国药监安[2003]110号

各省、自治区、直辖市药品监督管理局：

为贯彻落实2003年全国药品安全监管工作会议精神，切实加强药品GMP认证管理，依法做好认证工作，现就执行《药品生产质量管理规范认证管理办法》（国药监安〔2002〕442号）有关事宜通知如下：

一、各级药品监管部门要认真做好开展药品GMP认证的各项准备工作，并在组织实施认证前，将药品GMP认证的工作方案等详细情况报我局。自各省、自治区、直辖市药品监督管理局正式开展药品GMP认证工作之日起，我局将不再受理该省（区、市）所辖企业提出的规定类别或剂型的GMP认证申请。

二、已开展药品GMP认证的省、自治区、直辖市药品监督管理局，应按月制订认证工作计划，并于每月的28日前将下月的认证工作计划（包括企业名称、受理编号、认证范围、现场检查时间、检查员名单等）以传真或电子邮件形式发送至我局安全监管司。传真号码：（010）88363227。电子邮件地址：Xiao@sda.gov.cn。

三、为保证药品GMP认证的科学性和公正性，增加透明度，同时便于社会监督，我局决定对药品GMP认证企业进行统一公告，并实行事前公告审查制度。凡经国家药品监督管理局或省、自治区、直辖市药品监督管理局认证通过的药品GMP认证企业，在向企业发放《药品GMP证书》前，均由我局预先在国家药品监督管理局网站（网址：WWW.sda.gov.cn）向社会发布“药品GMP认证审查公告”。公告发布10日后，对无异议的企业，由我局在国家药品监督管理局网站和《中国医药报》同时发布“药品GMP认证公告”，并由国家药品监督管理局或省、自治区、直辖市药品监督管理局颁发《药品GMP证书》；对有异议的企业，我局将组织调查，在调查期间暂缓发布公告和颁发《药品GMP证书》。

“药品GMP认证审查公告”定期发布，每月1日和15日发布两次（遇有节假日顺延）。请各省、自治区、直辖市药品监督管理局将已通过本省、自治区、直辖市GMP认证的企业情况（包括企业名称、证书编号、认证范围、现场检查时间、审批日期、检查员名单等）及时报我局安全监管司，以便统一发布公告。

四、根据《药品管理法》及《药品管理法实施条例》的规定，由国家药品监督管理局和由省、自治区、直辖市药品监督管理局颁发的《药品GMP证书》具有同等法律效力，各有关部门在药品价格、招标采购及监督管理等活动中应予以同等对待。

五、我局将组织对各省、自治区、直辖市药品监督管理局认证工作进行检查和指导，并将采取派遣观察员参加认证现场检查工作和对认证情况进行抽查等方式，随时发现和处理认证工作中存在的问题，以确保认证工作质量。

六、关于省、自治区、直辖市药品监督管理局药品GMP认证收费标准问题，我局已报国务院有关部门核定。为保证该项工作的正常开展，在国家收费标准出台前，各地可结合本地情况报经当地政府及有关部门同意后，参照《国家计委、财政部关于调整药品生产质量管理规范（GMP）认证收费标准的通知》（计价格〔2001〕904号）的规定收取认证费用。


国家药品监督管理局
二○○三年三月二十四日