2010年末闹得沸沸扬扬的“3Q大战”终于落下帷幕，但是由此引发的对整个互联网场域法律问题的探讨却在持续发酵中。这其中争议的问题很多，但是普通公众最为关切的可能并不在于若干软件兼容的问题，而是自己的隐私如何能不受“流氓”软件的窥探。

    继腾讯和360关于网络隐私的纷争不断升级引发国内网民持续关注后，全球最大的社交网站Facebook也被曝泄露用户信息，“谷歌街景”也因在加拿大搜集个人信息再次陷入信任危机。接踵而至的网络隐私事件在引发广泛关注的同时，人们不禁要问:都有谁侵犯了网民的隐私?该由谁来保护?网民何时才能脱下“皇帝的新衣”?

    重点在于市场秩序监管

    作为政府主管部门的工信部显然也看到了这一点，因此在《互联网信息服务市场秩序监督管理暂行办法(征求意见稿)》(以下简称《征求意见稿》)中对此做了专门回应。

    《征求意见稿》涉及互联网场域隐私权保护的条款主要有:“互联网信息服务提供者对其他互联网信息服务提供者产品或服务的安全、隐私保护、质量等存在异议的，应提交第三方权威机构进行检测，不得自行组织测评并发布测评结果。”

    该款旨在为互联网信息服务提供者之间有关指责对方侵犯用户隐私权等合法权益的争议提供解决方式。通过引入第三方权威机构的中立评估，避免无论在技术上还是信息上都处于弱势的用户的隐私权等合法权益，在互联网信息服务者的竞争过程中沦为牺牲者。

    该条款可以视为针对“3Q”事件的特别条款。并且，《征求意见稿》在其后的第三章“互联网信息服务争议处理机制”中对此做了进一步地详细规定。从《征求意见稿》的题目出发，我们可以发现其立法的重点在于市场秩序监管，因而这种强调争议解决的立法思路成为必要。但是从权利保护角度出发，仅仅解决这种互联网信息服务提供者之间的争议是不足够的——关键不在于哪个互联网信息服务提供者的指称是正确的，而在于如果确定存在侵犯用户隐私权等合法权益的行为，应当提供怎样的救济和保护。因此，如果《征求意见稿》能够进一步明确用户隐私权等合法权益受到侵犯时的可操作的行政救济途径，将会有更好的权利保护意义。

    《征求意见稿》第十二条:“互联网信息服务提供者应尊重用户隐私，维护个人信息安全，规范个人信息处理行为。未经法律法规的明确授权或用户的明示同意，互联网信息服务提供者不得擅自收集和处理用户的个人信息。如确需收集和处理用户身份、行为等个人信息，收集的个人信息应与所提供服务直接相关，并明确告知用户所收集和处理信息的内容和用途，不得超越服务范围收集个人信息。除法律另有规定外，任何组织或个人不得以任何理由向第三方提供用户个人信息。

    发生用户个人信息泄露情况时，相关互联网信息服务提供者应立即报告工业和信息化部及相关省、自治区、直辖市通信管理局，积极配合政府主管部门进行调查，不得以任何形式擅自发布未经证实的信息。”

    该条第一款通过规范互联网信息服务者收集和处理用户个人信息的行为，建立了互联网信息服务中用户隐私保护的具体规则。除法律另有规定。互联网信息服务提供者及其工作人员不得以任何理由向第三方提供用户个人信息。这五项内容均是互联网信息服务提供者开展收集和处理用户个人信息活动的必要条件，违反任何一条，即构成违法。

    该条第二款设定了在发生用户个人信息泄露情况时，相关互联网信息服务提供者的报告义务和配合调查义务。

    隐私权背后的积极意义

    经济合作与发展组织(OECD)在1981年制定了《隐私指南》，提出了隐私保护的八项原则，这对于其后世界各国隐私权的立法保护具有重要的指导意义。这八项原则分别是:(1)收集限制原则。任何个人数据都必须用合法、公平的手段收集，必要时，应该通知数据主体并征得同意。(2)数据质量原则。个人数据应该与使用的目的相关，而且尽可能保持准确、完整和及时更新。(3)目的既定原则。决定个人数据收集的目的时间不得晚于数据开始收集的时间，数据的后续使用权限于预定目的或与预定目的不冲突的其他地方，如目的变更后指定的地方。(4)使用限制原则。不得披露个人数据，不得将个人数据用于与《隐私指南》第9章规定不符的目的，但数据主体同意或法律授权的除外。(5)安全防范原则。必须采取合理的安全防范措施保证个人数据的安全，防止诸如丢失、未经授权的访问、毁坏、使用、修改或披露的风险。(6)公开原则。有公开的个人数据发展、实践和管理的一般政策措施。必须公开个人数据的形态、性质、主要用途以及数据控制人的身份和住所。(7)当事人参与原则。当事人有权从数据控制人或其他人得到数据控制人是否保存其个人数据的确证;有权与跟其有关的数据保持联系;有权知悉理由和提出异议，如果当事人按照前述内容提出请求被驳回的;有权对关涉本人的数据提出异议，异议成立的，有权对数据进行删除、校正、补充或修改。(8)尽责原则。数据控制人应该尽力遵守上述原则确定的规则。

    不难发现，该条确立的互联网信息服务中用户隐私保护规则的主要内容基本涵盖在《隐私指南》八项原则中。但是，反而言之，《隐私指南》八项原则内容并未完全为该条所体现。除了《征求意见稿》其他条文已经规定的保密条款(详见下文)外，尚有几项重要内容为《征求意见稿》所遗漏:为保障信息的质量，信息服务提供者应保持信息的准确、完整和及时更新;对用户信息的形态、性质及控制人身份和住所的公开;用户的参与权。这几项内容对于保障用户的信息自主权具有重要的意义，就此而言，可以理解为隐私权背后的积极意义。而其他几项内容则是隐私权的消极意义，即不受非法、不合理的侵犯。由此可见，《征求意见稿》只引人了隐私权的消极保护，对隐私权积极保护的规定存在不足。

    畅通司法救济渠道

    《征求意见稿》第十三条:“互联网信息服务提供者对用户信息依法承担保密义务，应加强系统安全保护，实施严格的保密措施。除法律另有规定外，任何组织或个人不得以任何理由对用户信息内容进行检查。”

    该条为《隐私指南》的保密条款，规定了互联网信息服务提供者对用户信息的保密义务，要求其实施严格的保密措施，并禁止法律授权以外的用户信息内容检查。

    隐私权在互联网场域中更易受到侵害，在于互联网信息服务提供者与用户之间信息的不对称，更在于二者技术地位的不对称。以“3Q”事件为例，如果没有360公司提出QQ侵犯用户隐私的指控，许多公众可能一直不知自己信息处于窥探之中。360公司提出指控的依据不是别的，而是其实实在在的技术。也就是说，如果没有一定的技术手段监控和防范各种潜在的窥探用户信息的技术，在互联网场域中保护隐私权可能就沦为空谈。

    设定技术准入规范，要求互联网信息服务提供者采取最低标准的保密技术措施，将是在互联网场域中有效保护隐私权的首要选择。就此而言，《征求意见稿》第十三条设定了互联网信息服务提供者的保密义务，要求其实施“严格的保密措施”。应当说，《征求意见稿》意识到了该项内容对于隐私权保护的重要性，但是，该条内容在实际上并没有具体的操作性，即并未指明怎样的保密措施才构成“严格”的保密措施。

    隐私权的保护是一个重大的法律课题，互联网场域中的隐私权保护则是一个更为复杂的法律课题。互联网场域中互联网信息服务提供者及其用户间信息及技术地位的不对等，进一步加大了隐私权保护的难度，为了突破这一困难，除了规范化的强有力的行政介入外，还需要进一步畅通司法救济的渠道。

    在通过行政规范设定互联网信息服务提供的约束性条件，加强行政抽监督查的同时，也要充分发挥“人多力量大”的机制，通过开放更多的通道让处于弱势的普通用户有发出质疑、提出诉求，无论是行政裁决机制还是相关的集团诉讼机制或者公益诉讼机制都是必要的。这对于《征求意见稿》也许是不能承受之重，但毕竟互联网隐私权保护立法不可能止步于此。所以，在《征求意见稿》打开了一扇窗之后，我们要努力去放进更多的阳光。