英国网络隐私权的法律保护：科技与法律的博弈

（一）英国法对隐私权的一般态度

很长一段时间以来，在英国人的认知当中，隐私权在内容以及边界方面是十分不确定的，根本不具有法定权力特征，因此在英国的法律层面也没有对隐私权进行承认。受到这样思想认识的影响，英国的整个法学界持有的普遍观点是：个人隐私是法律外事务，或者最多只是附属价值。所以，英国在隐私权的保护方面选用的是间接方式。如果英国公民的隐私权利受到损害后，受害者只能把个人隐私损害附从在其他诉讼原因当中。丹宁勋爵在“斯巴达钢与合金有限公司诉马丁”案件当中形象地指出这是一种寄生虫式的模式：“有一些损害，如果独立诉讼，将无法得到补偿，如果附着于其他诉讼请求赔偿，或许可以得到补偿。我们称之为‘寄生的’诉讼，因为像生物学上的寄生虫，它们不能独立存在，为维护其生命及营养，它们不得不依赖于其他生物。”寄生式的权利在地位上并不得到认可，如果受害人不存在其他方面的伤害，仅仅是个人隐私受侵，那么受害者的隐私利益就无法得到保护。

而在英国的司法界，曾经很多次尝试提出全面保护隐私权的观点。比如，1931年，温费尔德提出应该把侵害他人隐私看作是独立民事侵权行为。在1961年，曼克诺夫特在英国上院提出了《隐私权法案》。这一法案在英国得到了绝大多数人的认可，但是最终这一法案并没有维持下去。出现这一结果的原因是“合理的公众利益”的概念无法在司法实践当中进行推广应用。从20个世纪60年代开始，英国逐步推进隐私权保护的专门化以及系统化建设，并在这一方面投入了大量的精力。英国下院为了对隐私权保护立法工作进行全面推进，曾经专门成立政府委员会，也提出了一定的特殊措施。但是，特殊措施在全面保护隐私权方面并没有起到任何作用。

英国在保护个人隐私方面持有的态度十分保守，确定的相关法律形式主要是用判例法的形式出现，但英国在成文法方面对隐私权保护力度在逐步增强，相关的法律建设也获得了长足进展。例如，1992年制定的《性侵犯法》强调媒体在有关报道当中不能够将受侵害一方的信息进行公开报道；1999年制定的《青少年审判和犯罪证据法》强调在法庭审理案件以及展开案件调查的进程中，18周岁以下的青少年都不能够被公开报道，相关的个人信息更是不能够公布，以免让公众产生误解，误认为青少年是涉嫌人。真正在法律上明文规定要对个人隐私权进行保护的成文法是《人权法》。这一法律是在1998年通过的，其中第八条条款提出，每个人都有私人、家庭生活以及通信方面的便利，公共机构不能够对个人的这些权利进行干涉，除非是法律上另有规定的内容。

虽然伴随着时间的推移，英国在隐私权立法方面获得了很大的进步，也获得了一定的突破，但是从整体层面上看，英国的隐私权保护制度还亟待健全和发展。如今是一个网络化、信息化时代，侵害公民隐私的行为屡见不鲜，英国民众对于隐私法制定以及直接保护个人隐私的呼声日渐强烈。尽管如此，英国国会并没有回应公众的强烈呼声。正如乔纳森格里菲斯所说的：“公众强烈要求依法保护隐私，但是国会却不能立法，还真是一个民主社会的遗憾。”虽然人们对于隐私保护存有强烈的期待，但是要想真正将这样的意愿转化成为现实，还需要走很长一段路。

在英国，长期以来普通法中并没有建立起隐私权的概念，对隐私的保护主要局限于财产权、诽谤等形式，但不可否认的是英国法始终关注秘密保护。对保护秘密的案件可以追溯到1849年一件涉及皇室版画公开的诉讼，法院是通过财产权来保护的。1851年的“莫里森诉莫阿特”案件也是如此。到1969年，在“科克诉克拉克（工程）有限公司”案中，法院开始将此类案件归类，并分析共同的组成因素，即所要求保护的信息应该具有必要的秘密性质，这些信息是在具有保密义务的情况下披露的，且存在对这些信息的未经授权的使用（通过披露这种信息，给对方造成损害）。这些组成因素为此类案件归类提供了一个很好的标准，而且这个标准在后来的案件中也不断得到发展。

（二）英国网络隐私立法及重要判例

1.1998年《数据保护法》

1998年《数据保护法》是英国关于个人数据保护的主要法律，它是在1994年《英国数据保护法》和1987年《个人文件获取法》的基础上综合了其他法律制定的。尽管这部法本身没有用到“隐私”一词，但它是英国为符合《欧盟1995年指令》的要求而作的立法行动，《欧盟1995年指令》要求成员国保护人民的基本权利以及自由，保护在电子通信和营销领域的个人信息处理的隐私权。在实际中，它也为个人提供了控制本人信息的途径。

（1）个人数据

该法所针对的个人数据仅指在世的可识别的个人的数据，不包括匿名或整体数据，但要求这种数据不是从相反方式得到的。该法律的适用范围十分局限，存储或者是将要被用在计算机或有关文件当中的数据才能够得到该法律的保护。

（2）数据保护的原则

1998年《个人数据保护法》规定个人数据必须公平合法地处理，除非满足该法附件2所列的任一条件，否则不能进行数据处理（如果涉及敏感数据，则要满足附件3所列的条件之一）。此外，数据保护还需要遵循以下原则：①数据的使用必须符合它们收集时的目的。②数据未经本人同意不得向第三方披露，除非法律另外规定或其他更重要的法律原因来共享数据（如防止或侦查犯罪）。③个人有权获取有关自己的信息，个人信息的保存不能超过必要的期限，而且要保持更新。④个人信息不能发送至欧洲经济区域。此外，除非该信息相关的个人同意或得到足够的保护。除为内部使用而仅做简单处理的机构外，所有处理个人信息的机构必须在信息高级专员办公室登记。持有个人信息的机构必须有足够的安全措施，包括技术手段（如防火墙）和组织手段（如人员培训）。法律主体有权要求不正确的信息得以更正，以使其与事实相符，但主观性的意见除外。

而对于其信息被存储的个人，可以向存储有其信息的机构主张下列权利：①以廉价的费用查看各机构持有的本人信息；②要求更正不正确的信息，如果该公司拒绝其请求，法庭可要求更正或删除，并在某些案件中判决补偿，如果数据的使用可能导致潜在的损害或痛苦，则要求禁止使用；③要求禁止数据用于直接的营销。

（3）禁止性行为

1998年《数据保护法》为保护个人数据还把一些禁止行为用刑事处罚来威慑，主要包括以下几方面。

其一，禁止在没有得到登记许可的前提条件下对私人数据进行处理。首先，所有人不可以掌握私人数据，当然得到登记许可的数据排除在外。其次，得到登记许可的人禁止发生以下行为：①不能掌握除登记许可外的个人数据；②不能够将掌握的登记许可的数据，用于其他目的；③不能从登记许可渠道之外的其他途径获得此类数据涵盖的信息内容；④不能向登记许可范围外的他人泄露个人数据信息；⑤不能运用直接或者间接的方式将信息传递给联合王国外的其他国家或地区。(www.xing528.com)

其二，电脑服务未经授权的数据披露。该罪是指电脑服务社经营者未经被服务者预先许可而提供与服务相关的被服务者的个人数据。

其三，非法获取个人数据。该罪是指：①意图进入计算机存储程序或数据想要对计算机功能进行操纵；②意图的进入行为没有得到授权许可；③在对计算机功能进行操纵的过程中本人了解自身行为是未经许可授权的行为。

英国在隐私权保护方面，通常会将关注点放在存储资料物质层面，也就是有形财产，而忽视物质上存储的信息资料等内容。所以，对通过非法手段获取他人秘密物质载体的行为，可以认定为侵犯财产罪，并对其进行相应的惩处。但是，如果仅仅是阅读记忆或者运用拍照的方法获得有关信息资料等无形体，则超出刑法调控和适用范围。上面所提到的和财产犯罪法规相关的内容虽能够保护隐私，但是不能够将其作为隐私权保护的条款，因为这些内容存在着明显的局限性。

2.R V. Gold & Schifreen案与1990年《计算机滥用法》

R V. Gold & Schifreen案是英国隐私保护及计算机隐私保护史上非常重要的一个案例，而1990年《计算机滥用法》则是英国议会对于该案的反应。该法案虽然成为加拿大和冰岛等国相关立法的范本，但也受到了不少批评，主要是“意图”的标准过于主观，很难加以证明。

（1）R V. Gold & Schifreen案

罗伯特·迟夫端（Robert Schifreen）和斯蒂芬·戈尔德（Stephen Gold）在1984年到1985年两年间入侵了英国电信的PRESTEL图像数据交互服务系统（Prestel interactive viewdata service），并且观察到（也就是以后所称的“肩窥”）了一位工程师的用户名和密码，甚至进入了菲力普亲王的邮箱。这引起了很多针对英国电信数据安全保护不力的指责。罗伯特·迟夫端和斯蒂芬·戈尔德并不知道这个系统还有重大的军事意义。英国军方当时打算将这个系统作为战时“热备份”系统，即在军方网络瘫痪的时候，启用这个系统来控制和发射英国的核导弹。经过几个月的调查之后，司法部门依据1981年《伪造和变造法》第一节起诉了罗伯特·迟夫端和斯蒂芬·戈尔德，理由是编造“虚假工具”，即在英国电信设备处理了Gold窃取的密码以后的内部条件。萨瑟克区王室法院审理了该案，最后分别处罚了罗伯特·迟夫端和斯蒂芬·戈尔德750英镑和600英镑。两人随后向上诉讼法院刑庭提出了上诉，理由是缺乏两人试图从中获得实质利益的证据，而且1981年《伪造和变造法》适用错误，法庭宣布他们无罪。随后，检察官又上诉到了参议院，但参议院维持了无罪判决。

（2）1990年《计算机滥用法》

R V. Gold & Schifreen判决做出后，许多法学家据此认为计算机的侵入活动（就是我们常说的黑客活动）并不违法。英格兰法律委员会（English Law Commission，ELC）及苏格兰法律委员会（Scottish Law Commission）均讨论了这个问题，苏格兰法律委员会的结论认为“网络入侵”能够在苏格兰普通法中用“诈骗”部分加以解决，但英格兰法律委员会则认为有必要通过新的法律，并向英国议会提出了建议， 促使1990年《计算机滥用法》的通过。该法第1～3节明确规定未经授权获得、修改计算机材料是犯罪，可处以监禁（英格兰地区12个月以下，苏格兰地区6个月以下）或一定数额的罚款。

2004年，各方因特网小组公布了他们对该法的评估报告，并提议修改该法，希望能与《欧洲网络犯罪公约》相符，并且把6个月最高刑期提高到2年。

（三）信息高级专员办公室

信息高级专员办公室（Information Commissioner’s Office，ICO）是一个非部长公共机构，该机构属于独立管制机构，有直接向议会报告的权利，同时拥有司法部门的支持。英国在全面推进权力下放的过程中，这一机构还设置了很多地区办公室。

信息高级专员办公室负责处理的事务主要是处理与1998年《数据保护法》、2003年欧盟《隐私与电子通信指引》相关的事项，在威尔士、苏格兰、英格兰等范围内处理有关2000年《信息自由法》和《环境信息规制条例》相关的事项。

2010年前，信息高级专员办公室仅仅在极少情形下能够发出执法通知，并向法院提起诉讼，说明违反《数据保护法》行为。2010年，高级专员才开始具备了处罚权力，并且能够独立给出罚款方面的决定。其承担的主要任务是“为公众利益而支持信息权利，促进公共机构的公开及个人数据隐私”。在理查德·托马斯担任专员时，ICO对英国政府所推进的国民身份证与数据库以及其他几个类似数据库（如公民信息工程通用儿童数据库卫生服务IT国家计划）进行密切关注，认为英国正处于沦为监视社会的危险。

2010年7月8日，信息高级专员办公室发布了《网上个人数据收集隐私实践规范》（A Code Of Practice For The Collection Of Personal Data Online），该规范主要是针对政府部门和公共机构遗失个人数据提出的。它对收集个人信息的商业机构、政府部门等提出了详细的建议，如在使用Cookies时定期删除冗余数据，删除使浏览器能够存储数据的小型文本书件（如日志文件）。该规范也明确指出，在网上填表时，如果针对不是必需的信息而使用“必需”一词也属违法。此外，还要求收集个人数据的机构必须透明，消费者可以做出网络隐私方面的选择，并且知道他们的信息是如何使用的。但这份规范受到了批评，主要是对个人隐私的保护不够，并且缺乏针对大型跨国公司的措施。

概括而言，英国的普通法传统十分强大，同时英国对判例法遵守相当严格。正是因为这些特征的存在，使英国在立法建设方面存在着过于保守的问题。英国在立法过程当中往往无法接手新权利类型，其中隐私权作为一种新权利种类，也无法在立法的过程当中被接纳。尽管如此，也不表示英国法对隐私权是完全漠视不管的，因为英国法官在竭尽所能利用现有制度对人们的隐私权保护呼声进行回应，并且接受隐私权观念。但随着网络信息技术的迅猛发展，隐私权保护呼声更加强烈，英国迫于欧盟压力和内部的推动，开始在隐私权保护方面设置立法，并且建立了专门的机构来保护个人数据信息，保护人们的隐私。尽管受到了种种批评，但英国对隐私的保护还是非常重视的。而对于个人数据和信息的保护，不仅要防止私法主体的侵犯，更要防止国家权力的侵犯，甚至能够阻挡一些在我们看来非常重要的公共政策，如英国政府推进的国民身份证计划，正是这一精神的体现，这也正是我国需要学习借鉴的地方。