美国网络隐私权保护的立法状况和保护规则

所谓网络隐私权,是指随着互联网的出现而产生的对于个人在网上提供的信息进行保护的隐私权保护形式。侵害网络隐私权包括:侵害个人通信内容;收集他人信息卖钱;散播侵害隐私权的软件身份证号的设计;侵入他人系统以获取资料;不当泄露他人信息;网上有害色情信息和其他不利于人们精神健康的信息等。

美国的网络隐私权保护模式是将宪法、联邦和各州的法规、以及行业自律规则结合起来,为网络隐私权提供了较为全面的保护。

• 宪法依据

美国宪法本身并没有特别指明隐私权,但是根据美国联邦最高法院的司法解释,联邦宪法的第一和第四修正案为信息隐私权的保护提供了依据。

第一修正案主要涉及保护言论和宗教信仰不受政府的干预,其中同样涉及保护信息隐私。第一修正案指出:“国会不得制定关于下列事项的法律:确立国教或禁止信教自由,剥夺言论自由或出版自由;剥夺人民和平集会和向政府诉冤请愿的权利。”虽然第一修正案仅仅在字面上透露出通过保护言论自由和出版自由而维护信息的自由流通,但美国联邦最高法院在纽约时报诉 Sullivan 一案中,根据第一修正案判决政府官员在涉及名誉诽谤案时,必须指明诽谤言论是错误的并且该言论是出于真实的恶意。此判决确认了应该为私人准确和真实的言论提供更高水平的保护。

与第一修正案类似,第四修正案同样为个人信息隐私提供了保护依据。第四修正案指出:“人民保护其人身、住房、文件和财物不受无理搜查扣押的权利不得被侵犯;除非有合理的根据认为有罪,以宣誓或郑重声明保证,并详细开列应予搜查的地点、应予扣押的人或物,否则不得颁发搜查和扣押证。”修正案中关于禁止不合理的搜查和扣押即是有关保护隐私权的依据。联邦最高法院在 Katz 诉美利坚合众国一案中判决,对在公用电话亭进行的电话交谈进行干涉,构成了第四修正案中的搜查和扣押,确定第四修正案保护是否存在的首要问题便是个人是否对隐私权有合理的期待。

• 1974 年《隐私权法》

作为保护隐私权的基本法令, 1974 年制定的《隐私权法》为包含有个人信息的联邦政府记录提供了保护。《隐私权法》指出:除非有信息所有人的书面请求或事先做出的书面同意,任何行政机关都不能通过任何通讯方式向任何个人或其他机关泄露存储于信息系统中的任何个人记录。也就是说《隐私权法》禁止未经授权的个人记录泄露。此外《隐私权法》还赋予个人权利检查他们的个人记录、查看这些记录是否被泄露、以及请求更正或修改这些记录,除非记录已经被删除。《隐私权法》同时规定了行政机关可以公开个人记录,无需本人同意的 12 种例外:( 1 )为执行公务在机关内部使用个人记录;( 2 )根据《信息自由法》公开个人记录;( 3 )记录的使用目的与其制作目的相容、没有冲突,即所谓“常规使用”;( 4 )向人口普查局提供个人记录;( 5 )以不能识别出特定个人的形式,向其他机关提供作为统计研究之用的个人记录;( 6 )向国家档案局提供具有历史价值或其他特别意义值得长期保存的个人记录;( 7 )为了执法目的向其他机关提供个人记录;( 8 )在紧急情况下,为了某人的健康或安全而使用个人记录;( 9 )向国会及其委员会提供个人记录;( 10 )向总审计长及其代表提供执行公务所需的个人记录;( 11 )根据法院的命令提供个人记录;( 12 )向消费者资信能力报道机构提供作为其他行政机关收取债务参考之用的个人记录。《隐私权法》还强制规定每个政府机关必须建立起行政的和物质的安全保障措施,以防止对个人记录的不正当泄露。

• 信息隐私条例

到目前为止,美国并没有一部综合性法典对个人信息的隐私权提供保护,但是联邦和州政府制定的各种类型的隐私和安全条例,已足以承担起保护相应的个人信息的重任。其中,最为重要的条例是 1986 年颁布的《电子通讯隐私法》。

• 《电子通讯隐私法》

尽管《电子通讯隐私法》还存在不足,但它是目前有关保护网络上的个人信息最全面的一部数据保护立法。《电子通讯隐私法》涵盖了声音通讯、文本和数字化形象的传输等所有形式的数字化通讯,它不仅禁止政府部门未经授权的窃听,而且禁止所有个人和企业对通讯内容的窃听,同时还禁止对存贮于电脑系统中的通讯信息未经授权的访问及对传输中的信息未经授权的拦截。

如果系统经营者违反了《电子通讯隐私法》保护下的用户的网络隐私权,将用户的私人邮件公之于众,用户有权提起诉讼,追究经营者的侵权责任。系统经营者则必须立刻删除已经发布的私人信息,并可能就隐私侵权承担损害赔偿责任,侵权的经营者还可能被要求支付对方的律师费。因为在某些情况下,证明经营者的错误行为和确定赔偿数额十分困难,受到侵害的用户在提起诉讼前可能会花费大量的财力,而让败诉的经营者承担律师费则解决了用户的后顾之忧。此外,违反《电子通讯隐私法》还可能引发刑事责任。

• 其他的信息隐私条例

除《电子通讯隐私法》之外,国会还颁布了一系列的保护信息隐私的法案。一是《信息自由法》,该法规范了第三方对包含个人信息的政府记录的获取。二是《金融隐私权法案》,它对银行雇员披露金融记录,及联邦立法机构获得个人金融记录的方式做出了限制。三是《美国金融改革法》,其中第五部分规定了金融机构最低限度的个人数据保护标准。它规定除非征得了消费者的同意,否则金融机构不能直接地或间接地或通过一个附属机构,将非公开的个人信息透露给没有关联的第三人。四是《有线通讯隐私权法案》,它禁止闭路电视经营者在未获得用户事先同意的情况下利用有线系统收集用户的个人信息。五是《电视隐私保护法案》,它将隐私权保护范围从闭路电视用户扩展到了录像带销售或租赁公司的顾客。六是《电话用户保护法案》,它调整了主动的电话呼叫行为,对不愿意接到此种呼叫的电话用户提供了隐私权保护。七是《儿童在线隐私权保护法案》,它规定网站经营者必须向其父母提供隐私权保护政策的通知,以儿童为目标的网站必须在网站主页上或是从儿童处收集信息的每一网页上提供链接连接到此通知。它还详细规定了网站对 13 岁以下儿童个人信息的收集和处理。

从以上美国有关隐私权保护的法案可见,美国还没有一部综合性法典对个人信息的隐私权提供保护,目前出台的有关网络隐私权保护方面的法律法规还极其有限,制定全面的网络隐私权保护的立法还遥遥无期,于是立法者们鼓励制定行业自律规则或是网站的经营者自愿采取隐私权保护政策来保护隐私权。

• 行业自律规则

除了上述分散的网络隐私权保护法律法规之外,美国还倾向于采取行业自律政策对网络隐私权提供保护。由于网络技术发展迅速,而立法总是滞后于现实状况,所以采用自律政策作为立法之外的补充受到行业联盟、国会和政府部门的一致鼓励和支持。总体而言,美国目前的行业自律形式有三类:建议性的行业指引、网络隐私认证、技术保护模式。

• 建议性的行业指引

许多从事网上业务的行业联盟都发布了本行业网上隐私保护准则,如“在线隐私联盟”、“银行家圆桌会议”、“直销协会”、“互动服务协会”等等。其中,“在线隐私联盟”最为著名,由超过 80 家的国际公司和协会组成,致力于为商业行为创造互信的良好环境和推动对个人网络隐私权的保护。它于 1998 年 6 月发布了以联邦商业委员会的建议为原则的在线隐私指引。

• 网络隐私认证

不同于适用于同一行业内部的建议性行业指引,网络隐私认证适用于跨行业的联盟。他们授权那些达到其提出的隐私规则的网站张贴其隐私认证标志,以便于用户识别。美国著名的网络隐私认证组织有 TRUSTe 、 BBBOn-Line 、 WebTrust 等。

• 技术保护模式

技术保护模式为更好地鼓励甚至是强制推行隐私权保护提供了基本的技术支撑。最常见的一种模式是由互联网协会推出的个人隐私选择平台( P3P )。 P3P 能让网站指明对个人数据使用和公布的状况,让用户选择个人数据是否被公布,以及哪些数据能被公布,并能让软件代理商代表双方达成有关数据交换的协议。在这种模式下,个人能够利用充足的信息做出明智的决定,同意或是拒绝提供本人的数据,并且能够委托软件代理商将决定付诸实践。

2010.01.25     来源:赛迪网