当前位置:网规研究中心 > 网规研究 > 

3Q大战所引发的隐私权法律保护思考

作者:王继丰 | 来源:chinaeclaw.com | 发布时间:2014-08-07

 3Q大战所引发的隐私权法律保护思考
王继丰 

      摘要:笔者试图从“360与腾讯QQ网络大战”入手,以事件经过为线索,各方利益诉求和手段为考察点,以其所暴露出来的法律问题为研究对象,粗略地勾画出了“3Q”之战所涉及的隐私权法律保护,并抛砖引玉式地、分项对每个问题简单地做了回应和解析,提出了自己的一点看法,希望就此为起点,和大家一起分享,并在以后进行深入分析和研讨。

      关键词:360、腾讯、隐私权、第三方监管

      引言:

      2010年,注定是不平凡的一年。

      这一年,360与腾讯QQ之间的一场网络世纪大战,让人心惊胆颤,感叹万千。

      这一场网络商战和法律纷争,无论是从交战双方所处的网络霸主地位,其所采用的新一代信息化技术,网络新媒体神速、全球范围内的传播手段来看,还是从其影响的广度和深度,至少几个亿的用户规模,带有毁灭性的、闪电式的“网络商变”的革命性危害后果来看,都足以让整个中国,包括产业从业者、用户和政府眼花缭乱、目瞪口呆,惊醒而后深思。一句话,山雨欲来,风满楼,亡羊补牢,为时不晚。作为一个网络狂热分子,一个法律从业者,笔者认为,上述事件的发生,足以让人惊醒,值得我们从法律的角度进行全面分析、评估和研讨,并从中进行历练和演习,追踪其法律意义,以便保护用户隐私权不受侵犯;使得技术专家、法律专家、政府监管部门、司法机关积极依法作为,各尽其责,最终保障我国整个互联网产业的健康、快速发展。

      一、事件经过

      2010年(下同)9月26日,晚上11点16分,360在他们的论坛中发布了最新公告:宣称其能实时监测曝光QQ的行为,并提示用户"某聊天软件"在未经用户许可的情况下偷窥用户个人隐私文件和数据。引起了网民对于QQ客户端的担忧和恐慌。

      9月27日,晨,360隐私保护器1.0beta版发布。晚上7点14分,腾讯终于通过腾讯网科技频道发布了首次官方回应:《腾讯关于<360新推软件指qq侵犯隐私>的声明》。声明回应QQ绝对没有窥探用户隐私的行为,也绝不涉及任何用户隐私的泄露。

      9月28日,360发布公告,阐明开发360隐私保护器的原因以及技术原理。

      9月30日,360隐私保护器发第二版,对腾讯TM和MSN监控。360发布致网民的一封信:用户隐私大过天。晚间7时,腾讯发布:《360“隐私保护器”真相》。

      10月1日,360再发声明:腾讯对QQ窥私解释纰漏百出。

      10月11日,腾讯以QQ产品团队名义对外再发声明,称QQ被诬蔑窥视用户隐私。360公司召开临时的新闻发布会,再次把网络隐私推到风口浪尖,并且该公司与腾讯之间的矛盾也再次升级。

      10月12日,腾讯QQ向1亿多在线QQ用户大规模弹窗称“被某公司诬蔑窥视用户隐私”。

      10月13日,360再度就QQ弹窗发布声明,回应称QQ“安全模块”监督自己不能让全社会信服。

      10月14日,腾讯发出公告称正式起诉360不正当竞争,要求奇虎及其关联公司停止侵权、公开道歉并作出赔偿。

      此后战争不断升级,直至工信部介入之后,360与QQ分别向用户赔礼道歉。

      二、“3Q”之战,所暴露出来的隐私权法律保护及其法律思考

      (一)关于隐私权及其法律保护

      1、背景回访:

      360作为一家互联网安全公司,通过发布计算机软件“隐私保护器”,提供客户端在线服务监测、显示、网站公告的方式,使用“可能、可疑、查看、偷窥”等字眼,宣称QQ涉嫌侵犯用户隐私。

      对此,QQ回应说,其绝对没有窥探用户隐私的行为,也绝不涉及任何用户隐私的泄露,但是,对于扫描和上传行为,其表示认可,只是其扫描的文件和数据仅限于与QQ的应用层软件,上传的木马资料中不包括用户的隐私资料。

      2、相关法律数据:

      隐私、隐私权,对于大家来说并不陌生。根对隐私最早规定的,是1981年11月18日发布的《司法部关于印发<司法助理员工作暂行规定>的通知》。就全国人大制定的法律来讲,比较新的规定,是2009年12月26日发布的《侵权责任法》。《侵权责任法》第一次明确地将隐私权作为民事权益之一进行了立法保护,并且规定泄漏或以其他方式侵犯他人隐私的,应当承担侵权法律责任。同时,根据2009年2月28日发布的,《刑法修正案(七)》,将公民个人信息,非法出售或者提供给他人,情节严重的,讲追究刑事责任,处三年以下有期徒刑或者拘役,并处或者单处罚金。另外,一些地方也将个人信息保护问题提上法律议事日程,如深圳市人大法工委已委托深圳市律师协会党委起草《深圳市个人信息保护条例》。

      具体来看,对隐私、隐私权的法律规定和司法解释主要有:

      (1)宪法,第38条“中华人民共和国公民人格尊严不受侵犯,禁止用任何方式对公民进行侮辱、诽谤和诬告陷害”;第39条“中华人民共和国公民的住宅不受侵犯”;“禁止非法搜查或者非法侵入公民住宅”;第40条“中华人民共和国公民的通信自由和通信秘密受法律保护……”。

      (2)刑法,第245条,以及刑法修正案七。

      (3)民法,《民法通则》第101条规定,公民和法人享有名誉权,公民的人格尊严受法律保护。

      (4)诉讼法,《民事诉讼法》第66条、120条,《刑事诉讼法》第152条等,都规定对涉及个人隐私的案件不公开审理。

       (5)司法解释,例如:最高人民法院在《关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》(下称《意见(试行)》)第140条规定“以书面、口头形式宣扬他人的隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。”据此可以认定,最高司法机关承认公民享有隐私权,只是在保护上适用名誉权的保护方法。

      最高人民法院《关于审理名誉权若干问题的解答》中重申了这一原则。

      最高人民法院《关于确定民事侵权精神损害赔偿责任若干问题的解释》(下称《解释》)第1条规定:违反社会公共利益、社会公德,侵害他人隐私或者其他人格利益,受害人以侵权为由向人民法院起诉请求赔偿精神损害的,人民法院应当依法予以受理。

      (6)其他法律法规保护。如《未成年人保护法》第30条、《律师法》第33条、《商业银行法》第29条等等。

      总的来说,就立法来看,对于隐私权的法律保护,在《侵权责任法》颁布之前,我国采用的是间接的、分散式的立法方式。就司法来看,我国对隐私、隐私权的法律保护确实有案例存在,但是,无论是从立法、司法解释来看,还是从判例来看,对于隐私权的概念,及其内涵、外延、存在形态和表现形式等,均没有做出明确规定和界定,另外《意见(试行)》和《解释》中对隐私保护方面的规定都过于原则、不一致,而且办案法官对此多有不同的理解和认识,所以,非常容易造成同案不同判,具体案件判决无所适从的司法困境。特别是,3Q之战所暴露的计算机、网络环境下的隐私保护,在法律上更是鲜有涉及,使得该环境下的隐私权法律保护,侵权行为的界定、规范和责任承担难度加大。这些都值得我们进一步分析、研讨和完善。

      3、相关法律思考,以及我本人的一点粗浅看法:

      (1)什么是隐私,隐私权,特别是计算机、网络环境下的隐私,隐私权?如何区别看待计算机、网络环境下的个人隐私、家庭隐私,以及与商业秘密之间的法律关系?

      隐私,隐私,一是隐,二是私,也就是说,隐蔽,不公开的私事或秘密。1890年,美国私法学者布兰戴斯和沃伦在《哈佛法学评论》(《Harvard Law Review》)上发表了《论隐私权》一文,首次提出了隐私权(the right to privacy)的概念。一般来讲,隐私权作为一种基本人格权利,是指公民“享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。”一般认为,隐私权的主体只能是自然人,其内容具有真实性和隐秘性,主要包括个人生活安宁权、私人信息保密权、个人通讯秘密权及个人隐私利用权等。隐私权是公民的人格权利中最基本、最重要的内容之一,伴随着人类对自身的尊严、权利、价值的认识而产生。

      根据360《隐私保护白皮书》的规定,360将电脑中的信息分为三类: 

      第一类是系统信息,绝大多数情况下指微软Windows操作系统的信息资源。应用软件必须要调用Windows操作系统的信息资源才能完成工作。 

      第二类是软件信息,即用户下载或者购买的各种应用软件信息。当一种应用软件要完成一项工作,可能会调用其他应用软件信息。例如,当您使用微软的Word文字编辑器的时候,会调用输入法软件信息,以完成文字编辑工作。 

      第三类是个人信息,即通常意义上的隐私信息。“个人信息”指任何可以与某特定个人相关联的信息,包括姓名、签名、工号、社会保障号、电话号码、保险单号码、工作职衔、财务状况、账户号等。

      笔者认为,计算机、网络环境下的个人隐私是指以计算机、网络为存储载体或传播途径,以光、电、磁等形式作为存在、传输介质、媒介的,涉及到自然人个人相关的,与特定个人相关联的,隐蔽的、不公开的文件、资料或数据信息等。上述个人隐私,如果是作为一个家庭成员身份出现的,或涉及到家庭其他成员的,则构成。商业秘密不属于隐私,但是个人在计算机、网络环境下存储、传播的文件、资料或数据信息等属于其他单位商业秘密的,则构成商业秘密,也应当受到法律保护。

      非法获得、持有、使用、公开上述隐私的,必然会导致相关个人或家庭其他成员人格权受到损害,例如名誉受损,其正常的工作、居住、生活、学习等受到侵扰或伤害。

      上述文件、资料、数据信息等,包括但不限于:个人姓名、签名、工号、社会保障号电话、单位、住址、E-mail、QQ号、账号、个人喜好、身体状况、财务状况、通信交易记录等,以及个人文档、图表、照片、视频等。
计算机、网络环境下的隐私权,要求除个人本人之外,任何第三方未经授权、同意或法律规定,不得非法收集(包括但不限于搜索、扫描、上传等)、查看、存储、传播(包括网络传播)和公开,以及用于其他非法目的。另外,对于根据法律规定或授权,以及其本身职责或约定需要,已经或拟将获得到上述隐私的,则应当具备一定的安全保障条件或措施,以便保障上述隐私不受侵犯,同时,相关单位和个人不得借机或职务之便侵犯上述隐私。

      (2)关于360隐私保护器,以及其报告出的,针对QQ涉嫌扫描用户隐私信息的表达方式及内容,其本身是否违法?

      360的上述做法并不违法,主要事实和理由是,360作为一家互联网安全公司,其职责本身要求其对用户计算机、网络安全状况做出报告,就像保安一样,对于出入既定场所的人员有盘查、报告可疑行为,以及对危险和危害后果警示的义务和责任,360并不违法。

      笔者认为,360的上述做法,关键是一个度的问题,如果其行为超出了本身职责或权限,或者其报告的信息不是事实的,或者恶意报告的,则应当向用户和相关第三方承担法律责任。

      (3)如何处理好扫描、上传等计算机、网络行为,与隐私权法律保护的关系?

      对于用户计算机进行扫描、上传的行为,笔者认为:

      第一,非计算机信息系统安全专用产品提供商,以及互联网安全公司,不得对用户的计算机进行扫描和上传。

      第二,计算机信息系统安全专用产品提供商,以及互联网安全公司在对用户的计算机进行扫描和上传,必须限定在其职责范围之内,不得借机或凭职责便利,侵犯用户隐私。

      第三,通过立法和司法加大惩处侵犯用户隐私的单位和个人,尤其是计算机、网络环境下的隐私。

      (4)如何保证第三方在用户计算机上实施的扫描、上传等行为,是可供用户知情,自由选择的?

      时代在改变,隔行如隔山。鉴于当今社会,新一代信息技术在不断飞速发展,而且人们对于计算机、网络环境及其行为,非专业和内行人士,已经很难通过自身的肉体、感官,以及常识所感悟和理解,而且上述行为的产生和传播速度之快,造成的影响和后果之严重,很难被大家所掌控和承受,所以,笔者认为:

      第一,相关第三方在进行扫描、上传之前,有义务和责任书面告知用户,其即将进行的计算机行为的技术原理和使用说明,若该行为可能会对用户合法权益造成损害或影响,或存在现实、潜在的不良后果或威胁的,则应当以显著、易被理解的书面方式,向用户做出书面警示和提醒。

      第二,相关第三方应当给予用户便捷的选择权,以便由用户决定是否进行计算机扫描或上传,同时,对于存在的不良后果或威胁、损害、影响等,可以采取相应的补救或救济措施。

      (5)对于第三方的扫描、上传行为如何进行第三方监管,以便确保其确实没有扫描和上传用户的隐私文件或数据,并且没有不当或非法使用?

      鉴于扫描、上传行为,有权限,有机会和可能侵犯用户隐私,甚至第三方商业秘密,而且仅凭单位和个人的商业道德,不足以控制上述风险的发生,因此笔者建议:

      第一,只有计算机信息系统安全专用产品才可以对用户的计算机进行扫描和上传。

      第二,计算机信息系统安全专用产品在进行销售或提供在线服务之前,在进行计算机软件监测和办理相应的销售许可时,测试和审批机关,应当对产品的扫描、上传行为的对象和范围,以及其侵犯用户隐私和他人商业秘密的可能性和后果做出专项监测、分析和评估,并且专项报告其结果,对于有可能、涉嫌侵犯用户隐私或他人商业秘密的产品,应当做出特别说明,并责令相关单位和个人,将产品交由第三方进行监管。

      第三,监管单位只能是独立于产品之外的第三方,最好是由公安系统网络监察处,或者由不以营利为目的的其他社会团体或公益组织承担。监管单位应当对产品运行或提供在线服务时产生的数据进行全过程或抽样备份,进行分析、调查取证、行政惩处和司法处理,以便履行其监管职责。

      (6)如何从证据法的角度,对于第三方的扫描、上传行为,进行证据巩固、保全、查验和再现?

      就目前来看,电子证据是一个比较棘手的问题,因为它要靠技术手段实现法律目的。笔者建议:

      第一,所有的电子证据,应当进行司法鉴定,并给出鉴定结论。但是,鉴于现在的计算机物证鉴定单位少、费用高的客观现实,政府单位和司法机关应当从补助经费和增加人手的角度,尽早解决这一问题。

      第二,第三方在进行扫描、上传时,所形成的数据信息,应当在其服务器上备份、保留至少10年,并保证其完整性和未被修改性。若有投诉,或遇监管、司法需要时,第三方有义务和责任提供上述数据信息,以便进行查验和再现。

      第三,监管单位应当对第三方的扫描、上传行为进行数据信息抽查、备份、分析和监控,并对违规单位做出或建议做出处罚。

      (7)从法律意义上讲,计算机信息系统安全专用产品与其他软件,其权限和法律责任有何不同?

      软件一般可以分为系统软件和应用软件,网络结构分为七层。腾讯马化腾在被问及为什么不技术屏蔽360时,他说QQ是应用层的,360是底层的。笔者认为,360和QQ都属于应用软件,总体上应该都算是应用层的东西,但360是安全软件,所以一般要比QQ在操作系统层面深一些。打个比方说,360就像是保安,QQ就像是出入既定场所的人员。保安可以检查行人,也可以把人拦下,甚至把人赶出去,而人却不能把保安怎么的。所以,笔者建议将计算机信息系统安全专用产品与其他软件进行分拆经营,以便杜绝保安只把自己的人放进来卖东西,而把竞争对手给赶了出去,避免进行不正当竞争。同时,要加大计算机信息系统安全专用产品的市场准入门槛和责任,以便保护用户和其他相关各方利益不受侵害。

      (8)计算机信息系统安全专用产品(例如杀毒软件、防火墙等)是否有权对用户计算机文件、行为进行扫描、比对、审计?其对用户计算机进行控制、处理的权限,以及法律禁区如何?

      根据软件功能和服务本身的需要,笔者认为,计算机信息系统安全专用产品有权对用户计算机文件、行为进行扫描、比对、审计、上传,甚至是控制和处理,例如杀掉病毒等。但是上述职责和权利,不是无边界的。法律应该规定,对于与计算机、网络安全无关的文件和行为,计算机信息系统安全专用产品不得进行扫描和上传,更不得侵犯用户的隐私和他人的商业秘密等合法权益,否则,应当承当相应的法律责任,并加重处罚。

      (9)除计算机信息系统安全专用产品之外,其他的一般应用软件,是否有权对用户计算机进行扫描和上传?
根据笔者的建议,计算机信息系统安全专用产品和其他应用软件,应当分拆经营,所以,计算机、网络的安全基本上是靠计算机信息系统安全专用产品解决的,另外,分拆经营,实际上限制了计算机信息系统安全专用产品提供商的业务范围,因此,根据公平原则,除计算机信息系统安全专用产品之外,其他的一般应用软件,不得以检查自身软件是否安全为由,再对用户的计算机进行扫描和上传。

      (10)计算机信息系统安全专用产品与其他的一般应用软件,是否应当分拆经营?
正如上所述,应当分拆经营,理由是,分拆经营可以防止不正当竞争行为发生,避免用户隐私和他人商业秘密被侵犯,同时,在立法上,我们有先例可循,例如,根据《网络游戏管理暂行办法》的规定,虚拟货币的发行和交易,必须分业经营。

      (11)腾讯QQ安全检查模块,是否属于一个完整法律意义上的、独立的计算机软件,是否需要办理计算机软件产品登记?QQ医生,以及QQ电脑管家,是否属于计算机信息系统安全专用产品?是否需要办理相应的销售许可?

       简单的说,一个功能就是一个模块,这些功能的组合就是一个软件。腾讯QQ安全检查模块,不属于一个完整法律意义上的、独立的计算机软件,不需要办理计算机软件产品登记。QQ电脑管家是一个软件,并且其有对用户电脑进行安全检查、处理和防范的功能。因此,根据《软件产品管理办法》的规定,未经软件产品登记和备案或被撤消登记的软件产品,不得在我国境内经营或者销售;以及《计算机信息系统安全专用产品检测和销售许可证管理办法》的规定,安全专用产品的生产者在其产品进入市场销售之前,必须申领《计算机信息系统安全专用产品销售许可证》。QQ电脑管家应当在销售之前,办理相应的软件产品登记和销售许可证。

      (12)计算机软件的公开测试,或者在线信息网络服务的试运行,以及免费提供,是否属于销售行为?

      笔者认为,公开测试不属于销售,所以无须办理相应的登记和销售许可证登记。但是,公开测试也有可能会对用户和他人合法权益造成损害,因此,公开测试之前,相关单位应当事先告知可能存在的不良后果或危险,并提供相应的补救或解决措施,否则,应当承担相应的法律责任。笔者认为,销售就是介绍商品提供的利益,以满足客户特定需求的过程,这与是否收费没有必然联系。另外,现实社会中,存在很多有买有送的行为,特别是计算机、网络环境下,对用户不收费,不代表着没有从第三方获得利益。因此,免费提供不能成为其不属于销售行为的抗辩。也就是说,即使在免费的情况下,计算机软件及其在线信息网络服务的提供,也属于销售行为,应当办理相应的登记和销售许可登记。

      三、我们的倡议

      1、我的隐私,我做主

    就隐私权进行司法解释,或者制定专门法律规定,进行全面保护

      弥补《侵权责任法》的不足之处,对隐私权的定义,范围,表现形式和内容等,特别是计算机、互联网、网络环境下的隐私权,进行立法,并明确其及权利补救和救济措施、法律责任等

      2、分业经营

 计算机信息系统安全专用产品与其他应用软件及其信息网络服务提供者,分业经营。
 

--------------------------------------------------------

上一篇:基于淘宝“十月围城”的案例研究

下一篇:互联网服务提供商的法律风险与对策研究