内容提要：本文从网络信息监管与隐私权保护的关系着手，介绍和评析了英美等国网络信息监管立法与隐私权保护的协调，指出我国网络信息监管立法在隐私权保护方面的缺陷，并提出了改进的建议。

　　关键词：网络信息监管司法监督

　　一、网络信息监管与隐私权保护的关系

　　当今社会，互联网的发展正改变着一国乃至世界经济、科技和文化的发展，但网络所带来的负面效应诸如信息污染、网络侵权、犯罪行为等，也正在日益显现。信息监管成为互联网发展的必然要求。网络信息监管是指国家机关（以网络主管部门为代表）通过政策手段、法律手段和技术手段，对信息污染、网络侵权、犯罪行为等进行禁止或限制的监管活动。网络信息监管带有公权力的特点，以有效保障国家利益、公众利益和用户权益、维持正常的网络信息服务市场秩序、促进信息技术进步为目标。与互联网的无国界性、技术性特征相对应，网络信息监管具有超时空、高技术、综合性、专门化的特征。超时空是指网络信息监管可以实行跨国界、跨地域的全时监督模式；高技术是指网络信息资源具有电子化、数字化和通信的高速化等特点，因此网络信息监管也必须运用高技术手段；综合性特征是指网络信息监管在宏观上应该是综合性的，即应该在社会范围内进行系统化监管，从社会角度对信息资源组织的各个环节和对象进行监控；专门化特征是指专业网络的发展和相应业务的开展，要求网络监管在微观上建立与之相适应的专门监管机构，其监管业务组织及监管权力的实施以专门的业务环节为中心。[1]

　　网络信息监管必然会涉及到个人的隐私权，隐私权是典型的私权利。因此，在网络环境中，网络信息监管与隐私权保护之间有协调相容的一面，也有矛盾冲突的一面。首先，网络信息监管有利于维护计算机系统及网络的安全，有助于扼制网络侵权与犯罪。例如各国法律都认定黑客行为的违法性，对黑客侵扰个人隐私的行为都给予一定的打击和制裁。

　　但权力若不加以适当约束，则会有扩张的趋势，而权利主体也希望能最大限度地行使其权利，两者在寻求自我扩张的过程中，不可避免地会发生碰撞。一方面，相当多的网络用户利用网络的匿名性或在个人隐私的保护伞下，试图逃避网络信息监管，进行某些不为道德和法律所认可的行为，网络侵权和犯罪就是其典型表现；另一方面，网络信息监管为了达到其目的，哪怕是为了保护个人隐私，都难免会触及乃至侵犯个人隐私，如搜集、处理和利用个人资料、截获电子通信、访问或披露保存的通信信息。相对于公权力来说，私权利总是处于弱者的地位，但监管若是出于合乎法律规定的目的并且遵循一定的程序，则是合法的行为。

　　二、英美等国网络信息监管立法与隐私权保护的协调

　　为协调网络信息监管与隐私权之间的关系，保护个人隐私权，当今各国网络信息监管立法都将信息监管对于个人隐私权的影响限制在合理的限度内。特别是英美等国家，在网络信息监管立法中较早地注意到了网络隐私权的保护，对国家机关、包括网络监管机关利用个人隐私给予较为严格的限制，反映了网络信息监管立法的趋势。

　　（一）个人数据保护

　　美国对于个人数据保护倾向于采取行业自律的模式，而英国则注重法律保护。英国1998年《数据保护法》确立了个人数据保护的8项原则，很具有代表意义。

　　1、个人数据必须公平、合法地处理。收集个人数据必须符合以下条件之一：（1）个人数据主体同意处理其数据；（2）数据的处理对于与数据主体有关的合同之履行有必要时；（3）司法程序要求进行数据处理；（4）数据处理对于保护数据主体的重要利益是必需的；（5）出于公共目的的需要；（6）数据处理对于维护合法的商业利益是必需的。

　　2、个人数据必须具备充分性、相关性并且不得过多。数据用户所收集的个人数据必须充分、相关并且与处理数据的目的相匹配，也就是说，根据处理数据的目的，不得收集和使用与此目的无关或超出目的要求的数据。

　　3、个人数据必须准确。数据用户必须通过合理的方法确保所处理的数据是准确的，若数据具有可变性，还必须确保数据不过时。

　　4、保存个人数据的时间不得超过必要期限。数据用户必须根据处理数据的目的确定保存数据的期限，超过此必要期限，必须删除过时的数据。

　　5、数据用户采取合理的措施以保证有权限接触到个人数据的职员能够尽忠职守。

　　6、个人数据不得被传送到欧洲经济区以外的国家，除非该国有足够的保护措施。

　　7、收集个人数据必须具有明确而合法的目的。

　　8、处理个人数据必须尊重数据主体的权利。[2]

　　国家机关在处理个人数据时也必须遵循以上原则，但犯罪、税收、健康与社会工作、国家安全及司法特权构成《数据保护法》的例外情况。

　　我国台湾地区立法也体现了类似原则，台湾的《电脑处理个人资料保护法》规定：公务机关搜集，或以电脑处理个人资料的时候，除了必须具备特定目的之外，还必须符合：在“法令”规定职掌必要范围内；经当事人书面同意；当事人权益无侵害之虞。[3]

　　可见，以上国家和地区对于个人数据的保护是比较全面的，个人数据的使用受到很大的限制，尤其是个人数据主体的意愿具有决定性的意义。

　　（二）截获电子通信

　　英美两国对此都有专门的成文法予以规定，如美国的《电子通信隐私法案》和英国的《调查权规则法案》。美国的《电子通信隐私法案》对截获电子通信的适用情况、披露要求、截获目的、截获的时间和程序做出了比较明确的规定。

　　美国原则上禁止对电子通信进行截获，包括故意截获、试图截获或唆使他人截获或试图截获任何有线、口头或电子通信，故意或试图使用了解或理应了解违反该法规定而获得的信息和故意或试图向他人泄露该信息。[4]但如果通信一方事先对截获表示同意（但若截获目的在于违反美国联邦或州宪法进行犯罪或侵权除外），电子通信本身所使用的系统公开，根据外国情报监视法等法律进行的对外情报活动，以及根据具有管辖权的法官签署的法院指令截获，则不受限制。

　　通过截获所获得的电子通信的内容或从中取得的证据，可以向其他调查或执法人员披露，但披露的程度应与披露行为所涉公职人员正确履行其职责相适应。同样，对于通过截获所获得的电子通信的内容或从中取得的证据也可以加以利用，但利用程度应与调查或执法人员履行其职责的要求相适应。[5]

　　截获的目的在于获取证明犯罪行为的证据，但如果该通信是非法截获，或截获所依据的授权或批准指令在表面上不充分，或截获没有完全依照授权或批准指令进行，[6]那么在任何审判、听证程序中，通过截获获得的内容或从中取得的证据将被禁止使用。任何个人可通过民事诉讼从参与该违法行为的人员或实体处获得适当的法律救济和补偿。[7]

　　此外，对电子通信的截获必须遵循严格的法定程序。每项申请必须在发誓或法庭证实的前提下以书面形式向具备司法管辖权的法官提出，法官根据申请认为有必要使用截获手段的，将发出授权或准予截获电子通信的指令，并规定通信将被截获的人员的身份、授权截获的通信设施和具体地点的性质和位置、特别说明待截获通信的类型并陈述与之相关的特定犯罪行为、被授权截获该通信的单位及授权提出该申请的人员的身份和此类截获活动的授权期限。《电子通信隐私法案》还对截获期限进一步做了明确和有弹性的规定。[8]

　　（三）访问或泄露保存的通信信息

　　美国《电子通信隐私法案》原则上禁止访问保存的通信信息，包括：在无授权情况下故意访问提供某电子通信业务的设施；故意超过权限访问该设施，并因此获得、更改或阻止他人存取某项以电子方式存储在此系统中的有线或电子通信。但同时也设置了一些例外情况，如由提供有线或电子通信业务的个人或实体授权的行为，由该通信业务的用户或业务预定到达的用户授权的行为，执法机关根据法庭指令要求相对的业务提供商对欲获得的电子通信内容进行备份，根据具有管辖权的法官签署的法院授权或批准的访问。[9]

　　对于保存的通信信息的内容，《电子通信隐私法案》原则上禁止向公众提供电子通信业务的个人或实体故意向其他个人或实体泄露由该业务以电子形式存储的通信内容和在该业务上传送或保留的任何通信内容。但允许：

　　1、向此项通信接收人或预定接收人或接收人或预定接收人的代理人透露；

　　2、根据具有管辖权的法官签署的法院指令授权或批准的披露；

　　3、业务提供商为保护自身权利或财产，在正常工作中披露电子通信内容(但禁止随机性的抽查阅读)；

　　4、执法机关根据法庭指令要求相对的业务提供商对寻求获得的电子通信内容进行披露；

　　5、经此类通信的发送人、接受人或预定接受人或远程计算机业务中用户的明确同意；

　　6、向执法机关透露，如果此类内容是在业务提供商无意中获得或怀疑与犯罪有关。[10]

　　受以上行为侵害的任何电子通信业务提供商、用户或客户可以通过民事诉讼从参与此类违法行为的个人或机构获得适当的法律救济和补偿。[11]

　　相对来说，英国《调查权规则法案》则饱受诟病。该法要求英国的网络服务提供商跟踪经过他们电脑的所有数据，并发送到政府技术协助中心（该中心建立在伦敦的英国情报五处的总部）。法院可以要求得到任何通信数据的密码，如不服从将被判两年徒刑。此外，公司高层人员被要求将密码交给政府后，还必须向他人（包括公司内部人员）保密，如违反将被判五年徒刑。《调查权规则法案》建构了一个使用监控和扫描技术的法律框架，其影响远远超过了网络信息监管的技术工具。

　　从以上规定可以看出，在隐私权保护方面，英美等国的网络信息监管立法具有以下特征：

　　1、原则上，国家机关包括网络监管机关不应触及个人在网络环境下的隐私。

　　2、对于网络隐私的利用属于例外情形，前提条件是隐私权主体的许可，或牵涉公共利益。

　　3、对于网络隐私的利用必须严格遵循法律规定，使用应控制在最低限度，必须符合严格的程序要求。

　　4、针对网络监管行为设置司法监督，若被监管对象因非法监管而遭受损失可以通过诉讼寻求救济。

　　三、我国网络信息监管立法在隐私权保护方面的缺陷和改进建议

　　（一）我国网络信息监管立法在隐私权保护方面的现状和缺陷

　　我国关于网络信息监管的立法层次较低，散见于网络管理、计算机安全等行政法规和规章之中。其中，与隐私权有关的规定包括：

　　1、国际出入口信道管理。境内计算机信息网络直接进行国际联网，必须使用邮电部国家公用电信网提供的国际出入口信道。[12]这使我国境内计算机网络与互联网的接口完全被国家掌握。

　　2、原则上禁止截获通信。用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。[13]电信经营单位及其工作人员应当依法保护用户的通信自由和通信秘密，不得窃听或复录用户的通信内容。[14]立法明确了个人在网络上的隐私不容侵犯。

　　3、个人资料使用的登记备案制度。在中国境内，通过物理通信信道直接或间接与境外(含港、澳、台地区)的计算机信息系统进行联网的计算机信息系统的使用单位和个人应当登记备案。[15]这使监管机关有权力收集和使用网络用户的个人资料。

　　5、监管范围。任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密，不得侵犯国家、社会和集体的利益和个人的合法权益，不得从事违法犯罪活动。任何单位和个人不得利用国际联网制作、复制、查阅和传播有损国家安全、公共利益和他人权益的有害信息。任何人不得从事非法侵入计算机系统、破坏计算机系统内数据、程序及传播病毒等危及计算机信息网络安全的行为。[16]

　　同一些国家对于网络信息的宽容相比，我国法律规定较为严格，不仅禁止发布、传播有害信息，浏览这些信息亦属违法行为。这一方面更有效地禁绝了网络信息污染，另一方面也使得监管对象范围扩大，普通的网络用户，纵使不在网络上发布信息，也会成为被监管者。

　　6、通信资料的保存和使用。互联单位、接入单位和用户对国家有关部门依法进行国际联网信息安全的监督检查应予依赖，并提供必要的资料和条件。[17]互联单位、接入单位应当设置具有保存3个月以上系统运行日志和用户使用日志记录功能的安全保护技术措施；互联单位、接入单位和用户还应提供用户注册登记、IP地址分配、网页栏目设置等通信资料的内容。[18]这些通信资料记录下了有关用户网络活动的一切信息，即使是一些匿名活动，也可以通过追查IP地址最终找到活动主体。因此，在监管技术面前，网络的隐秘性事实上已荡然无存。

　　从以上规定可以看出，我国现行的网络信息监管立法存在两大问题：

　　一是立法层次低并且不成体系。我国规范网络监管行为的行政法规和规章相比英美等国家的立法，立法层次明显过低，而且缺乏一部统一性的法规，立法之间存在重复现象。而且，由于监管的大多数条文过于原则性，增加了操作的难度，不仅造成工作中的不便，还为滥用权力提供了可能性。

　　二是未对监管行为做出必要的限制。这在三个方面有所体现：

　　首先，现行立法未规定监管条件。立法者仅规定在网络上禁止发布的信息和禁止施行的行为，这些正是监管的对象。但现行法律未明确规定监管机关可以在何种情况下实行监管，是为预防违法行为而对所有人监管呢，还是怀疑某用户有违法行为而对其进行监管？

　　其次，现行立法未从程序上保证监管的正当性。美国《电子通讯隐私法案》制定了严格的监管程序规则，违反程序将会导致监管违法。这体现了英美法中的程序正当性理论。而我国法律规定则过于原则性，未规定监管机关权力行使的程序，可能导致现实中随意行使权力的现象发生。

　　最后，现行立法对司法监督重视不够。在国务院制定的《信息网络国际联网管理暂行规定》及其实施办法和公安部制定的《计算机信息网络国际联网安全保护管理办法》中，居然都无法找到“不服处罚可提起行政复议或行政诉讼”之类的条文。尽管这并不代表对依据这些法规做出的处罚不可以寻求司法救济，但这毕竟反映了立法的不足。

　　（二）我国网络信息监管立法在隐私权保护方面的改进建议

　　1、我国网络信息监管立法在隐私权保护方面应确立的原则

　　（1）以保护网络隐私权为最终价值目标。隐私权是重要的人身权利，设置信息监管的权力，部分原因也是为了能够防止网络上的种种侵权，保护网络用户的隐私。纵使信息监管会触及个人隐私，仍必须以保护网络隐私、推动网络发展为最终目的。绝不可通过监管，以保障之名，行侵权之实。

　　（2）原则上不应触及个人隐私。权力的行使一般是为了进行公共事务的管理，而个人隐私与公共利益无关，因此权力的行使原则上不应触及个人隐私，网络信息监管也是如此。出于管理的必要，网络信息监管无可避免地会接触到个人的隐私，但必须基于两个前提：一是隐私权主体明确同意；二是与公共利益相关，确有必要进行监管。如网络用户利用网络的隐秘性从事危害公共安全的行为，或当隐私权与公共安全、公共利益等相冲突时，为保护公共利益，可以对隐私权进行一定的限制。

　　（3）监管机关利用个人隐私应具有正当性。作为监管机关，本着依法行政的原则，对网络用户进行的监管应该严格依照法律进行。不得依权力拥有者的意愿任意限制隐私权，造成隐私权的贬损。通过比较英美等国立法，可以看到英美国家的监管机关利用个人隐私，必须严格遵循法律规定的程序，通过程序的正当性，来保证监管行为本身具备正当性。这是值得我们借鉴的。

　　（4）监管机关接触个人隐私应控制在最小限度。从技术的角度看，监管机关很容易扩大其监管范围，将与公共利益无关的网络用户都纳入到监管对象之中，造成监管权力对隐私权利的侵犯。因此，一方面在确有必要的情况下，才可对其进行监管；另一方面也应通过技术手段最低限度地实行监管，将监管严格控制在能够顺利执行管理职能的职权限度内。

　　如前所述，英国监管机关所采取的监管措施，很明显已超出了必要限度，实践中也遭到了网络用户的反对。国内有学者主张，要让每一台上网的终端都在有监督状态下运行。[19]这种观点事实上剥夺了每一个网络用户在网络环境中的隐私权，是不可取的。

　　（5）对监管采取司法监督。为防止监管机关滥用职权，弥补被监管对象因监管机关不当行为而遭受的损失，有必要对监管行为实行司法监督。