互联网+时代用户的隐私需要法律保护

今天上午11时许，携程网突然陷入瘫痪。5月27日，也就是昨天下午。支付宝出现网络故障，账号无法登录。尽管两家网站都迅速发表声明，表示数据安全，用户隐私保护良好，但是关于用户信息泄露的担忧却如水银泻地一般，迅速蔓延于网络之上。

一个是国内最大的第三方支付平台，一个是处于领先地位的网上旅游公司。一方拥有用户的交易支付信息，一方拥有用户的旅程线路安排。试想，如果这些用户隐私被泄露，那么将会引起怎样的轩然大波。

昨天支付宝，今天携程，那么明天又有可能是谁呢？大数据时代下，用户的数据隐私不仅仅是“互联网+”时代的核心资源，更是法律应该重点保护的对象。

我国法律对隐私权的保护规定

我国法律对隐私权保护规定目前处在初级阶段，在民事法律层面上，2001年《关于确定民事侵权精神损害赔偿责任若干问题的解释》中，对侵犯隐私的损害结果规定了精神损害赔偿责任。《侵权责任法》第2条第一次明确规定了隐私权作为一种正式权利的出现。但是可以看出，在私权懵懂的年代，对于隐私权的理解实则处于原则性的描述之中。

对于使用隐私权的主体规制上，相关规定分散于零散的行政法规之中。《全国人大常委会关于加强网络信息保护的决定》第2条规定：“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息，应当公开其收集、使用规则。”放到实践中来，如果姑且这次支付宝是因为“网络故障”的意外事件导致无法使用的，那么去年12月份其在十年账单活动中晒“账单”所带来的用户金融信息裸奔则更加令人堪忧。

在惩罚约束上，我国现有《刑法》主要通过“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名对公民个人信息保护做出规定。但是通过法条分析可以看出，“出售、非法提供公民个人信息罪”的主体为国家机关或者金融、电信、交通、教育、医疗等单位的工作人员。这无疑极大的限缩了此罪的定罪主体范围。而在“非法获取公民个人信息罪”的规定中，虽然主体容纳了如攻击携程网的黑客，但是其获取信息的客体上却依然定位为“上述信息”，即“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”获得的信息。这样，使得刑法对于泄露信息本身的惩治力度大为减弱。

现有的法律对策

面对这样的情况，立法层已经开始重视，在2014年底公开的《中华人民共和国刑法修正案（九）（草案）》中，立法层将公民个人信息犯罪的犯罪主体范围进一步扩大，《修正案草案》第十六条规定：“未经公民本人同意，向他人出售或者非法提供其个人信息，情节严重的，处二年以下有期徒刑或者拘役，并处或者单处罚金。”这条补充无疑改变了刑法原文第253条犯罪主体规定过窄的局面，将一般犯罪主体包含在内，进一步拓宽了刑法对于个人信息保护的范围。另外，对于掌握大量用户信息的互联网公司信息泄露问题，《修正案草案》也有规定。《修正案草案》第25条就明确规定了网络服务提供者应该履行的义务，并列举出如果违反此义务所可能承受的法律制裁。

在《新消法》的基础上，国家工商行政管理总局于2015年1月5日正式发布《侵害消费者权益行为处罚办法》（以下简称“《处罚办法》”）。其亮点在于对消费者的“个人信息”在法条中进行了详细的列举，在此基础上，《处罚办法》对经营者利用消费者个人信息进行了详细的规定，首次明确了经营者在收集中应遵守的消费者同意原则，并对经营者的禁止行为进行了说明。

虽然立法层已经开始觉醒，但这些法条毕竟大多数停留在“只见人上楼，不见靴落地”的尴尬境地之中。其实现有法律框架内，如果用户的隐私权受到了侵犯，可以考虑引用《合同法》第43条的规定“当事人在订立合同过程中知悉的商业秘密，无论合同是否成立，不得泄露或者不正当地使用。泄露或者不正当地使用该商业秘密给对方造成损失的，应当承担损害赔偿责任”获得救济。另外，《侵权责任法》第21条规定“侵权行为危及他人人身、财产安全的，被侵权人可以请求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任。”如果信息泄露造成伤害威胁或结果，用户可以要求相关网站立即停止侵害、消除影响、赔礼道歉以及赔偿损失。

保护用户隐私其实从来就不单单是法律的事情，互联网企业在提供服务的时候对于用户进行充分的提示和保护，高度自律其实才是现在保护用户隐私最可行的方案。

企业隐私条款——互联网公司的必备风险缓冲阀

支付宝有《隐私权规则》，携程网有《隐私条款及服务说明》。面对不断攀升的隐私泄露隐患，保护隐私权不仅仅对于用户至关重要，对于以大数据为核心资源的互联网公司本身风险防控，也有着至关重要的作用。

笔者认为，未来的互联网公司在起草企业隐私条款时，至少有如下几项需要列举：

第一、对于网站收集信息和用户在使用过程中产生信息的使用权限及使用方式进行说明。

第二、详细列举网站的各项服务对于隐私的设置和保护方式。

第三、说明免责条款或是例外。

其中，“关于免责或是例外”应该详细向用户说明以下几点：

首先是同意原则：即网站只会在用户同意的前提下使用用户的信息，公开用户的个人资料。这已经是世界隐私权保护的共识法则。某种程度上来说，隐私的边界应该以用户自己的同意作为前提条件。

其次，用户的使用满足适用法律、法规、法律程序的要求或强制性的政府要求。服从当地法律法规和政府指令是保护隐私权的应有之义。但笔者在查阅部分互联网公司的免责声明时，发现很多网站把“因黑客行为或用户的保管疏忽导致帐号、密码遭他人非法使用”作为免责条款，根据《合同法》第53条规定，因故意或者重大过失造成对方财产损失的免责条款无效。保障用户的信息安全应属互联网金融平台的基本义务，所以此项条款的合法性需要商榷。在此基础上，此次携程如果数据泄露，则不能因此免责。

最后是紧急避险条款，隐私固然重要，但是如果当个人隐私与公众利益产生直接冲突时，应该允许网站在法律要求或允许的范围内，保护用户或公众的权利、财产或安全免遭损害。

隐私权的未来——从消极应对到积极主张

隐私权最初的定义为right to be alone，即独处的权利。随着互联网的发展，信息已经作为一种核心资源被利用和支配，在这样的前提下这种消极应对的权利已经不能满足互联网的发展。所以在这样的前提下，隐私的群己权界应该为用户所自治。然而，随着谷歌这样的数据怪兽的出现，隐私权的定义正在发生新的变化。

2014年5月13日，欧洲法院裁定，欧洲普通公民的个人隐私拥有“被遗忘权”（right to be forgotten），这项权利是对于搜索引擎这头信息怪兽的警惕和反制，根据法院的裁定，如果用户通过网络搜索引擎发现与自己相关的信息是错误、无关或过时的，那么用户就可以要求搜索引擎将其删除。赋予个人被遗忘权（right to be forgotten）是一种法律上重新平衡的尝试——这种权利脱胎于隐私权，但又可以看做是隐私权的升级版。换句话说，隐私权的发展从“你们都别侵犯我的信息”，经过“我可以管理我自己的信息”，现在最前沿已经过渡到“为了我的权利，我可以请求网络平台删除我的信息”的进化过程。

昨天支付宝，今天携程。明天呢？不得不说，这样的隐患依然存在，在完善立法的同时，我们希望看到的是各大互联网公司完善隐私条款，在法律和自律的框架下，为用户提供更好的服务。在用户的隐私权保护和个性化服务中，找到最佳的平衡点。

责编/王大莹

实习编辑/孙显

为无讼供稿/tougao@wusongtech.com