本文为中天创域投资咨询有限公司《移动增值业务侵犯用户隐私权的风险与运营商的对策》之上篇。
Vodafone公司2008年针对投资者的一项社会责任调查表明,客户隐私保护问题的受关注程度仅次于气候变化问题,排名第二。
在国内,随着电信业务的快速发展和公众法律意识的不断提高,电信业务在满足用户各种需求的同时,也带来了比以往更多的、更复杂的侵犯用户隐私权的问题。这给国家的立法提出了新的课题,也给企业带来了严峻的挑战。
移动增值业务相关的隐私权的法律与涉及的业务
对隐私权的保护,我国法律主要涉及到宪法、刑法、民法,下面梳理一下与电信业务有关的条款。
(一) 宪法
宪法第38条规定。“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方式对公民进行侮辱、诽谤和诬告陷害。”
这一规定为后来其他部门法和特别法规定保护公民个人隐私权以及为相应的司法解释出台留下了广阔的空间。
宪法第40条规定。“中华人民共和国公民的通信自由和通信秘密受法律保护,除因国家安全或者追究刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”
宪法这一条文指明,通信领域中的隐私权保护是隐私权保护的重要组成部分,主要是保护公民的通信秘密和通信自由。
从通信活动特点出发,通常意义上的通信秘密范围应包括3个方面的信息:(1)通信内容信息,即公民在短信、邮件等通信活动中具体表达的内容、用户地理位置;(2)通信活动信息,包括通信业务的收发人、主被叫号码、用户手机状态(通话、会议、关机等)、邮箱地址、联络的时间、地点、频次、通信费用、开销户资料等;(3)用户基本信息,包括通信各方当事人的姓名、住址、证件号码、通信费用等情况。这些通信秘密,非经严格条件和程序,不允许随意收集、查询或调取。
通信内容信息涉及到短信、彩信、手机广告、手机邮件、移动IM、手机定位等业务;通信活动信息涉及到每类电信业务;用户基本信息涉及到已登记身份信息的每位用户。
通信自由包括个人拥有不被不想接受的通话或信息(如垃圾短信、垃圾邮件)打扰的自由。通信自由涉及到每类业务。
(二) 刑法
刑法第252条规定。“隐匿、毁弃或者非法开拆他人信件,侵犯公民通信自由权利,情节严重的,处一年以下有期徒刑或者拘役。”
该条款涉及到手机邮件、短信、彩信等业务。
刑法明确规定:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,将本单位在履行职责或提供服务过程中获得的公民个人信息,出售或非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或单处罚金。
该条款涉及到每类业务,提示运营商有保护用户个人信息的义务。
(三) 民法
《民法通则》第106条规定,公民和法人享有名誉权,公民的人格尊严受法律保护。
最高人民法院《关于贯彻执行<中华人民共和国民法通则>若干问题的意见》第140条规定“以书面、口头等形式宣场他人的隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。”
最高人民法院《关于审理名誉权案件若干问题的解答》指出:“对未经他人同意,擅自公布他人的隐私材料或以书面、口头形式宣扬他人隐私,致他人名誉受到损害的,按照侵害他人名誉权处理。”
上述条款涉及到短信、彩信、手机邮件、手机报等包含内容的业务。
未成年人保护法第39条规定:“任何组织或者个人不得披露未成年人的个人隐私。对未成年人的信件、日记、电子邮件,任何组织或者个人不得隐匿、毁弃;除因追查犯罪的需要,由公安机关或者人民检察院依法进行检查,或者对无行为能力的未成年人的信件、日记、电子邮件由其父母或者其他监护人代为开拆、查阅外,任何组织或者个人不得开拆、查阅。”
该条款涉及到手机邮件业务。运营商应对手机邮件的内容和附件内容加以保护,防止内部的不当利用,也防止外来的非法获得。
(四) 其他法律
《全国人大常委会关于维护互联网安全的决定》第四条第二款禁止以下行为,非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密。第六条规定,利用互联网侵犯他人合法权益,构成民事侵权的,依法承担民事责任。
该条款主要涉及移动互联网的相关业务。该条款主要涉及移动互联网中涉及到内容承载的相关业务,包括手机阅读、移动IM、手机邮箱、手机社区、手机博客、手机电视。
移动增值业务相关的隐私权的行政法规与涉及的业务
《互联网信息服务办法》第15条第8款规定,互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息:侮辱或者诽谤他人,侵害他人合法权益的。《互联网新闻信息服务管理规定》、《互联网电子公告服务管理规定》也强调了上述内容。
该条款主要涉及移动互联网中涉及到内容承载的相关业务,包括手机阅读、移动IM、手机邮箱、手机社区、手机博客、手机电视。
对移动增值业务相关的隐私权法律、法规的分析和展望
对我国隐私权法律、法规的分析
我国法律对隐私权的保护比较零散,没有一个比较系统全面保护隐私权的立法。
我国法律不承认隐私权为一项独立人格权,当公民个人隐私权受到侵害时,受害人不能以侵害隐私权作为独立的诉因寻求法律保护与救济,而只能将这种损害附从于其他诉因(如名誉损害、非法入侵等)寻求保护与救济。这是隐私权的间接保护方法。这不利于公民隐私权 的保护。
隐私权法律、法规涉及所有业务。可分为三类:内容承载类业务,包括短信、彩信、手机邮件、手机广告、手机报、手机阅读、移动IM、手机邮箱、手机社区、手机博客、手机电视;位置类业务,包括手机定位、手机导航;;其他业务。前两类业务我们在下文中重点讨论。
上述法律、法规对用户的基本信息、用户通信活动的记录也提出了保护的要求。
我国隐私权法规建设的展望
(一) 法规将进一步完善
2009年2月,中国第十一届全国人大常委会第七次会议通过了《中华人民共和国刑法修正案(七)》,明确规定:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,将本单位在履行职责或提供服务过程中获得的公民个人信息,出售或非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或单处罚金。
自此我国对个人信息的保护已经有法可依。不久的将来,民法,行政法以及各行业内部的法律法规等也会对隐私权的保护如防止个人信息泄露方面做出明确的规定。
电信业务的快速发展,一些新业务将会具有新的特点,这会促使相关法律规章的进一步完善,包括隐私权的法规。
(二) 将会出现电信业务涉及隐私权法规的灰色地带
我国快速发展的电信业,特别是3G移动通信技术的发展,给隐私保护带来新的挑战。一些业务,如人们可将银行卡、交通卡、钱包等诸多个人信息集成在一部3G手机上,这将使互联网经济中很多虚拟身份得以还原为现实身份,而隐私泄漏所可能带来的危害也将显著增长,这增加了个人隐私保护的难度。再如,随着手机上网用户越来越多,网络隐私保护的问题也将成为需要电信运营商关注的另一领域。
即使是在相关立法相对完备的欧美国家,对于信息通信技术领域新出现的客户隐私问题的法律适用,也仍处于探索和争论过程中。
所以,通信隐私权保护的法规可能会出现一些空白点,尽管有宪法和已有法律的原则性约束,但会缺乏具体的法规约束,这使得通信企业在客户隐私保护的相关实践中有时会缺乏法规的具体指导。
国外通信隐私权保护法规的发展动向与启发
美国通信隐私权保护立法的原则
1997年10月,克林顿政府在《全球电子商务发展框架》报告中,把保护网络隐私权作为一项基本原则提了出来。1998年6月,联邦贸易委员会提出网络隐私权立法的四项原则:
(一) 知会原则
这是最基本的原则,是指政府或企业在收集公民个人信息时,应当向其告知有关信息收集的情况,否则公民就无法在充分了解的前提下决定对其个人信息是否予以披露以及披露到何种程度。未被告知的信息收集行为侵犯了对个人信息的自主占有和处分权,即侵犯了公民的网络隐私权。
(二) 选择权原则
公民的选择权是指公民对于被收集的个人信息的使用目的和使用方式有完全的决定权,即是否同意某种特定类型的个人信息的某种使用,尤其是信息的二次利用。
(三) 通道与参与原则
这一原则是指公民有权查阅政府及企业收集的相关个人信息并有权质疑信息的准确性和完整性。
(四) 安全与完整性原则
这一原则是指政府及企业应采取管理和技术上的足够措施以防止未经授权对信息的查阅、损毁、使用或披露。
欧盟通信隐私权法规的相关内容
目前,欧盟关于个人信息保护的立法主要是1995年通过的《个人数据处理和自由流动有关的个人保护指令》(以下简称“个人数据保护指令”)和2002年发布的《隐私与电子通信指令》。
两个指令中值得注意的内容:
(一) 关于通信保密的规定
指令要求,成员国必须通过国内立法保证通信的保密性,尤其是必须禁止除用户外的人收听、窃听、存储或者其他截接或者监听通信和相关的话务量数据。
(二) 关于主叫号码和连接线相关数据显示的限制
服务提供商必须为用户提供相关的技术支持,确保用户对其呼叫号码、呼叫对象和接入来电享有选择是否予以显示的权利。
(三) 关于位置数据的规定
指令给与位置信息使用以特殊的保护。根据指令的定义,位置信息指可以用来识别和认定用户设备所在的地理位置的数据信息。提供位置信息服务必须事先获得用户的同意。
指令还规定,在取得用户明示同意前,服务商应向用户说明哪些地理位置信息将被使用、如何使用、时间需要多长以及用户是否需要向第三方提供同样的地理位置信息以便获得相关的订阅服务内容。指令还规定,在事先同意的情况下,用户仍可在任何时间撤回其关于提供其地理位置信息的同意,服务商为用户设计的、用于其撤回同意的机制和手段应尽量简单易于操作,且无须付费。
(四) 关于发送非需求信息的规定
1) 除非用户“事先同意”使用其通信地址接收促销性信息,否则,服务商不得向任何个人通过传真、自动语音电话、电子邮件或手机短信发送任何促销性信息。
2) 服务提供商可以将以往接受过其产品或服务的顾客视为已表明其事先同意的用户而向其合法地发送促销信息,但条件是发送信息的服务提供商必须是最初获得消费者通信地址的商家,并且所发的促销信息是有关与消费者已购买产品或服务相类似的产品或服务的信息。既使在这种情况下,指令要求服务提供商仍然要就该促销信息的发送与接受提请消费者进行订阅与否的选择,消费者明示不选择的,服务商无权继续向其发送。
国外通信隐私权保护对我国运营商的启发
(一) 在用户的个人信息搜集和使用时,运营商应对用户充分告知相关情况,如信息的具体项目、信息的利用方法、范围,使用户在充分了解的前提下决定其个人信息是否予以披露以及披露到何种程度。
(二) 在业务使用和订购中,设计用户选择的界面,并使用户了解业务特点、使用方法、资费、退订规则,让用户在充分了解业务的前提下自主选择是否使用该业务。
(三) 运营商应妥善保存客户的个人信息,并方便个人用户本人查询或质疑;并且采用一定的身份验证和技术手段,防止他人未经授权查询个人用户信息。
(四) 运营商向用户提供定位业务,应首先告知哪些地理位置信息将被使用、如何使用、时间需要多长以及用户是否需要向第三方提供同样的地理位置信息以便获得相关的订阅服务内容;然后在用户了解资费并同意的前提下提供该业务;提供免费、随时退出的、方便操作的退订机制。
(五) 对于促销信息的发送,运营商自身或SP应事先征得用户的同意,并方便用户随时退订;促销信息的内容应是合法的,不涉及侵犯他人权利的。
