(第一节)侵害个人资料行为概述
一、侵害个人资料行为与个人资料侵权行为
侵害个人资料行为,从广义上理解是指所有侵害个人资料的行为。至于本人资料侵权行为构成何种法律责任在所不问,即引起民事责任、行政责任以及刑事责任的本人资料侵权行为均为侵害个人资料行为。从狭义上说,侵害个人资料行为是指构成民事责任的侵权行为,又称个人资料侵权行为。我国台湾“资料法”第四章“损害赔偿及其他救济”第27、28条,分别对“公务机关”、“非公务机关”的本人资料侵权行为予以界定:即公务机关违反本法规定,致当事人权益损害,应负损害赔偿责任的行为和非公务机关违反本法规定,致当事人权益损害,应负损害赔偿责任者,若不能证明无故意过失时应负损害赔偿责任的行为。这是从侵害个人资料行为引起民事责任角度所作的规定。我们认为,个人资料侵权行为是指国家机关违反法定义务、非国家机关由于过错违反法定或约定的义务侵害个人资料,致使本人遭受到财产性或非财产性损失,能引起民事法律责任的违法行为。
二、侵害个人资料行为的特征
在非网络环境下的个人资料侵权行为可以按照既有的各个领域的法律规范调整,但是在网络环境下的侵害个人资料行为体现了与非网络环境传统侵权行为全然不同的特征,这些特征在很大程度上源于并充分反映了网络区别于传统物理世界的特征,直观地表现在个人资料及相关信息被盗、侵权行为的泛滥化、侵权的速度快速、侵权行为跨国界、侵权影响范围广、侵权行为智能化、对侵权的调查、追诉、救济困难重重等各个方面和环节。总的来说,侵害本人资料行为的特点概括起来有以下几点:
(一)无地域性
基于网络的无地域性,网络中的个人资料侵权行为也体现出了无地域性特征。其一,收集环节无地域性。利用网上跟踪技术非法收集个人资料的行为,完全打破了传统侵权地域的限制,个人资料完全有可能被不当收集。其二,利用环节无地域性。即使收集环节完全合法、正当,但收集资料者完全可能在利益的驱使下或基于其他某种动机非法利用,如未经本人同意出售个人资料,此时,无权使用个人资料的主体的位置(如住址)及无权利用的行为的实施也几乎不会受到地域因素的限制。其三,侵害后果处于无地域限制的状态。侵权行为人、侵权行为本身、个人资料本人的确定在无地域限制的前提下,侵权的损害后果也将处于无地域限制的状态。这直接导致传统侵权行为基于侵权行为诸要素的地域性特征而确定的管辖、适用法律、确定及计算损失等一系列原则、方法,在个人资料侵权行为的适用中受到严峻的冲击与挑战。网络中的个人资料侵权行为无地域性特征,在客观上要求确立灵活的甚至是全新的原则和方法。
(二)技术性
网络作为20世纪最伟大的发明,闪烁着人类智慧的耀眼光芒,史无前例的高技术内容令人叹为观止。高技术一方面带给普通民众梦幻般的虚拟世界的享受,但高技术的内核却永远难以同柴、米、油、盐一般为公众所掌握:表面上广泛地,但实质上过于集中地掌握在“网络精英”的手中,使他们具有翻云覆雨的能力。网络中个人资料侵权行为成为集高智商、高技术于一身的“人”,在开发与利用网络技术过程中不可避免的副产品,比如,大家耳熟能详的“Cookies”跟踪技术、网络监视监听技术、黑客攻击技术、计算机病毒技术;再如,英特尔PⅢ处理器的“序列码”与Win98的“识别码”技术,等等。个人资料保护法如果不能有效规制上述掌握网络高科技技术的主体,则势必导致越来越多的网络上个人资料侵权行为的产生。网络上个人资料侵权行为充分反映了高技术的“双刃剑”性质,个人资料保护法有责任规范手持这把“利剑”
的人,鼓励其利用手中的巨大能量为人类社会造福,防止高技术从“中立”走向“罪恶”,避免破坏行为产生。因此,网络时代个人资料侵权行为的技术性特征成为其最具表征性的特征之一。
(三)隐蔽性
网络中个人资料侵权行为的技术性特征直接导致侵权行为全过程中技术人员具有优势地位,这引出了个人资料侵权行为又一重要特征——隐蔽性。具体表现在:个人资料侵权行为实施的过程大多是在本人无法察觉的情况下进行的;行为实施后往往不易被发现和识破;隐蔽性和技术性特征共同导致个人资料本人对于侵权行为举证困难。在网络时代侵权法律关系双方当事人举证能力差别悬殊,且差距在一定时期内难以消除、难以平衡的条件下,如果仍恪守“谁主张,谁举证”的原则,势必造成事实上利益的不平衡——可能使加害人逍遥法外,个人资料本人承担难以举证的损害后果,最终导致整个社会陷入不利益的危险——这种状况动摇了传统侵权责任“谁主张,谁举证”的举证方式在网络时代侵害个人资料法律责任中的适用。
(四)严重破坏性
个人资料侵权行为的损害后果一般是信息价值的灭失,且损失难以计算。这一特征直接源于:个人资料丧失后的不可恢复性;个人资料集合体的价值远远超过了单一个人资料的价值;个人资料具有极强的跨国流动性,传输范围广。上述几个个人资料自身特征决定了网络个人资料侵权行为具有了波及范围广,且破坏后果极其严重的特征。有一案例,真切地反映了危害的严重性:美国一位31岁妇女因不慎将自己电邮、电话号码、地址泄露于网上,随即有人不当利用该资料,对她展开匿名的诽谤性宣传,向她发送内容污秽的电邮,并将她的资料与色情网站相关连。该妇女不堪忍受恶梦般的生活,屡屡搬家,但无法缓解紧张情绪,她不得不申请携枪执照并学会了射击。毫无疑问,网络中的侵权行为可能引起被害者现实生活中的无限恐惧、愤怒或无奈,网络虚拟性与现实这种近乎残酷的联系,体现在对本人一般人格利益严重的破坏及无以弥补的损害之中。
(五)侵害个人资料行为涉及的法律关系的复杂性
欧盟95指令中对资料控制者的定义范围较广,不限于网络、不限国家机关或者非国家机关,指“单独或与他人联合决定个人资料运行目的和方式的自然人、法人、公权力机构、代理人或其他个体”。这里显示出主体的复杂性,这将直接导致难以认定侵害个人资料责任主体之责任,难以确定责任的大小及承担,使法律适用比传统侵权行为增加了几分不确定性。但是这种难题是因为法律关系在欧盟的指令中无法体现,而欧盟各国在执行指令的时候,势必转化为国内法,根据大陆法系的法律关系理论,我们在理论上应该分清楚欧盟95指令中所指的法律关系。与侵害个人资料行为相关的主体包括:1个人资料保护执行主体;2个人资料本人;3侵害个人资料行为人。这些主体在侵害个人资料行为涉及的法律关系中的权利义务、能引起一定法律后果的行为,全都是围绕着本人的个人资料展开的,都与本人的个人资料有着极为密切的联系,但是分属不同的法律关系。侵害个人资料行为涉及的法律关系有三个:一是民事法律关系;二是行政法律关系;三是刑事法律关系。
就本人资料侵权行为引起的民事法律关系而言,法律关系主体为侵害个人资料的侵权行为人,客体为个人资料,内容为本人资料权利以及侵权人所负之义务。在本人资料侵权行为引起的民事法律关系的三要素中,法律关系主体的问题较为复杂。本人资料侵权行为引起的民事法律关系主体是侵权实施者和本人资料权人。侵权行为实施者是直接受个人资料保护法规制的主体,包括有权与无权收集利用个人资料的主体。企业和商家——为了迎合消费者的需求,总是力图积累大量有关消费者的个人资料,以便通过网络直接同个人进行“一对一”联系,在利益的刺激下他们可能利用高技术的手段非法收集并利用消费者个人资料。网络个人用户——一些网民在保护自己个人资料的同时,又想尽办法获得他人的个人资料,因此也可能利用网络非法收集并利用他人个人资料。
如美国的哈里斯数字出版公司研发了名为“网络侦探”的软件,利用该软件可以掌握朋友、邻居、雇员甚至是老板的个人资料,这种技术往往成为个人用户侵害个人资料的工具。网络黑客——他们在抱着多种多样的目的广泛开展黑客攻击的过程中,存在侵害个人资料的情况。网络服务商——追踪网上个人资料并予以利用的网络服务商,美国1998年《儿童网上隐私权保护法》(Copa:
Children’sOnlinePrivacyProtectionActof1998)中网上经营者的定义是:
“任何经营互联网的站点和提供在线服务的人、以及那些收集和保有访问该站点和接受网上服务的用户和访问者的个人资料或者这些收集和保有的个人资料的使用人,同时这些站点和网上服务应当具有商业目的。”网络服务商包括:
ISP(InternetServiceProvider)提供通路以使使用者与网络相联的从业者,为用户提供接入网络服务;IAP(InternetAccessProvider)主要投资建立网络中转站、租用信道和电话线路,以及提供中介服务;ICP(InternetContentProvider)网络内容提供商,利用IAP线路,通过设立的网站提供信息服务;OSP(OnlineServiceProvider)在线服务提供商;IPP(InternetPresenceProvider)网络平台提供商,为用户提供信息交流、技术服务空间;IEP(InternetEquipmentProvider)为ICP、ISP等提供接入设备和技术服务的专用化网络产品的生产商;ASP(ApplicationServiceProvider)应用服务供应商;IMP(InternetMediaProvider)网上媒体提供商。这些网络服务商在提供服务和经营行为时与网络用户和访问者有密切接触,有的经营和服务行为以掌握用户个人资料为前提,因此网络服务商手中掌握着大量的用户个人资料,出售用户个人资料的侵害个人资料行为在无相关立法的时代比比皆是。目前,世界大部分国家已经意识到这个问题,许多国家已经开始了卓有成效的保护方针、计划的制定与实施。
对于行政法关系而言,个人资料侵权行为涉及了行政法律关系和监督行政法律关系两种。个人资料侵权行为涉及的行政法律关系主要是行政主体对个人资料的保护所引起的,个人资料保护执行主体,即各国或地区为保护本人资料权而专门成立的具有独立性的特别机构。而国际组织对个人资料保护执行须通过内国的行政组织进行,不能直接面对加害人。内国个人资料保护执行主体是具有个人资料保护职责的特别行政主体,主要是个人资料保护行政法律关系的行政机关,个人资料保护行政法律关系的客体为个人资料,内容即为行政主体依法律、法规授权而享有的职权与应承担的职责。个人资料侵权行为涉及的监督行政法律关系,是由于行政机关侵犯本人资料权引起的。监督行政法律关系主体是监督机关和行政主体,监督机关包括法院、检察院、行政主体的上级行政机关、专门的行政监督机关、人民代表大会等。行政主体主要是指行政机关,行政机关实施对网络安全管理的同时有可能侵害个人资料。个人资料侵权行为涉及的监督行政法律关系客体是违法侵权的行政行为。如英国实施《管理和调查权力法》授权政府行使广泛的行政权力包括截收并破译公民间的电子邮件和其他信件以监控网络空间活动和打击犯罪,使行政机关滥用职权侵害个人资料行为成为可能。另外,除了网上侵害个人资料的行政主体及相关行为以外,与网络没有直接联系,但也掌握着大量民众个人资料的国家机关尤其是行政机关(但不限于行政机关),一旦实施侵害行为对社会的危害也会十分巨大,因为在一定程度上政府对公共事务的有效管理及自身运作,很大程度上依靠其手中的大量信息,特别是个人资料,其中有相当比例的个人资料对于政府政策的形成及推广具有决定性作用和最直接的影响。同时政府机构本身组织结构复杂、“多头”管理、相互间还可能存在许多形式的“资料互通”,再加上计算机处理技术在政府部门高效政务中起到了重要推动作用,其实施加害行为的机会、可能性、容易程度有了大大的增加。在职能、权力、势力均强大的政府面前,对公众个人资料的保护具有重大的社会意义——成为现代社会稳定及快速发展的重要原因及契机。个人资料侵权行为引起的监督行政法律关系的内容,分散于行政复议、行政诉讼、国家赔偿等法律关系的权利义务之中。由于本章主要探讨本人资料侵害问题,因此,下文着重论述的是本人资料侵权行为引起的监督行政法律关系。
就侵害个人资料行为涉及的刑事法律关系而言,侵害行为已经危害到刑法所保护的社会关系,国家要通过刑事制裁的方式来恢复刑法保护的法益,维护社会的安全和秩序。
三、侵害个人资料行为的种类
根据不同的标准可以对侵害个人资料行为作不同的分类,其主要分类如下: