法律构建: 成文法与司法判例 成果与实践

规则的制定总是离不开法律制度的构建。一方面，系统的成文法制度为社会关系的调整提供了比较全面的基本原则，对信息传播活动提供了明确的法律依据；另一方面，互联网对传统制度模式带来了一定的影响和挑战。“法律是根植于自然的、指挥应然行为并禁止相反行为的最高理性。”^[4]信息隐私法的构建理应遵循技术和社会发展的自然规律。在以万维空间为特征的互联网时代，成文法制度中的原子式构建模式也显现出一定的局限性。司法判例则以其灵活性和创造性，日益表现出其作为规范的活力。司法判例与成文法之间相互补益的作用也在不断增强。

在个人信息问题上，欧盟成文法制度的完备程度堪称世界之最。在长期的立法及其实践探索中，他们建立起了比较完整的原则体系。其中值得借鉴的内容主要包括“数据质量原则”“存储限制原则”和“安全保障原则”等，这在立法技术上也具有一定的借鉴意义。

数据质量原则，是数据处理合法性的一项重要内容，该原则从1981年颁布的《有关个人数据自动化处理之个人保护公约》（下简称《1981年公约》）签署开始就一直作为一项基本原则而存在。《1981年公约》第五条指出了质量原则中的五项要求：“（1）公正、合法地获取和处理；（2）以明确、合法的目的进行存储，并不得以不符合这些目的的方法使用；（3）依据存储数据的目的，处理必须适当、相互关联并且不超越此目的范围；（4）数据必须准确，必要时随时更新；（5）数据以特定形式存储，可允许对数据主体进行与数据保存目的相应的必要的识别。”此后的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令（95/46/EC）》（下称《95指令》）基本上保留了数据质量原则的规定，去掉了允许利用个人数据进行识别的内容，而代之以对数据存储时间的限制，为数据主体向服务商主张数据删除的权利提供了基础。

实质上，在这几项要求中，只有“数据准确和保持更新”是“数据质量”本身的含义，其他则是关于数据处理的要求。2016年通过的《一般数据保护条例》对此做了调整，将“数据的准确和保持更新”作为“准确性”，同“合法、公平、透明处理”“目的限制”“数据最小化”“存储限制”以及“完整和机密性”并列为“个人数据处理原则”的六项内容。其中，“数据准确和保持更新”是数据价值得以正常发挥的要求，也是保护个人数据权利的题中之义。

存储限制原则，是互联网信息隐私保护的一项关键性制度安排。数据在互联网上集中存储、长期滞留，是互联网信息运动的重要特点，也是导致个人数据泄露的隐患。传统线下社会里并不存在明显的个人信息安全问题，一个重要原因就是传统社会信息运动过程中没有自动存储的机制。在那里，人们的谈话和行为都不会留下痕迹，也就没有包含大量隐私的存储器和数据库。互联网上的情况发生了明显的变化，长期存储的个人数据如果不被删除和清理，就会成为各种滥用行为的资源库。所以，对存储期限进行限制是非常必要的。

事实上，存储限制原则在《95指令》和2016年的《一般数据保护条例》中都有所体现。《95指令》在关于原则的安排中要求，数据应被保存在一种形式中，数据被允许用来识别数据主体，但不超过收集数据或者进一步利用数据之目的的必要。《一般数据保护条例》沿用了这条原则，并进行了完善：“数据只有在用于公共利益、科学或历史研究、统计等目的时，并且在依法提供了必要的技术和管理措施以保护数据主体的权利与自由的情况下，才可以延长存储期限。”

安全保障原则，是贯穿于欧盟个人信息制度始终的另一项基本原则。《1981年公约》第七条指出：“应当采取适当的安全措施，保护存储于自动化数据档案中的个人数据，以防止意外的或者未经过授权的破坏、遗失，以及擅自使用、修改或者传播。”后来公布的《95指令》对比又做了进一步的约定：“成员国应当规定数据处理控制人必须采取适当的技术措施和组织措施来保护个人数据以防止它们被意外或非法毁灭，以及意外遗失、变更、未经许可披露或获取，特别是涉及在网络上传输数据时，并且防止任何其他非法形式的处理。”在保护水平上，该指令这样写道：“考虑到技术发展水平以及执行的成本，这些措施应当确保一种与数据处理表现出的风险以及被保护的数据的性质相适应的安全水平。”2016年《一般数据保护条例》更是将安全保障列入个人数据处理的原则。原则条款（f）项这样写道：“（个人数据的）处理应当以确保个人数据适度安全的方式进行，包括使用适当的技术或管理措施来对抗未经授权的或非法的处理、意外遗失、灭失或损毁。”这又被称为“完整和机密性”原则。

黄仁宇先生曾说：“凡能先用法律及技术解决的问题，不要先就扯上了一个道德问题。”^[5]在个人信息的利用，尤其是自动化处理中，面对个人信息的安全问题，技术资源应当是制度需要考虑的重要路径。技术上对问题的克服，可以减少社会调整机制所需要的高昂成本，所以安全保障原则具有普遍的借鉴意义。如果将泄露信息的人分作“内鬼”和“黑客”，^[6]那么组织措施和技术措施则是防范这些内外危险的一套组合拳。

尽管有上述基本原则可以借鉴，但成文法在互联网问题上的局限性仍然是明显的。成文法以其稳定性、系统性长久以来受到大陆法系国家的广泛青睐，就连美国这个普通法系的担纲者，也在限制法官自由裁量权的过程中提升了成文法的地位。但就是这种稳定性、系统性，恰恰受到了互联网易变化、碎片化特点的挑战，其局限也有所显现。(www.xing528.com)

数据库权利是互联网领域备受关注的一个问题，但迟迟未见相应的法律制度对相关权属予以明确。将数据库权利作为一个整体所进行的抽象分析类研究并不少见，至今已经形成了版权说、特殊权利说、个人财产说等理论结论。但细究起来，无论是哪种结论，都无法涵盖所有的数据库权属问题。其原因在于数据库因其内容性质的不同而对应着不同的权利性质。以作品数据库为例，由于数据内容是存在著作权的作品，所以这里主要涉及与版权相关的权利；而对于名址数据库而言，由于数据内容是具有事实性的个人信息，这里除了涉及数据库整体层面的版权问题之外，还涉及数据内容层面的隐私等问题。更大的难题在于，这两种不同性质的数据库常常交叉在一起，即一个数据库中既有作品，又有用户信息，权利的定性就更加困难。一方面，实践中已经开始出现不同数据公司之间的资源之争；另一方面，法律上还没有明确的规范依据，并表现出一定的滞后性。

由于互联网行业具有快速更迭的特点，新应用、新样态日新月异，这对立法的速度也提出了更高的要求。但是，国家法律的制定需要经过一系列法定程序，需要一定的时间，而且一经公布，立即产生约束力和指引力，不能频繁变动。在这种情况下，就出现了部门规章接连出台的现象。比如，仅2017年一年，各种以互联网信息传播为主题的“管理办法（规定）”就有近十部，内容涉及互联网新闻信息服务、群组信息服务、公众号信息服务等。一方面，这些规章的密集出台，体现出政府管理层对实际问题的及时应对；但另一方面，这也体现出这种立规方式的频繁性和任意性。虽然这些规章在制定程序上都要以上位法为依据，但从内容上看，有些规定已经涉及公民基本权利义务的增减。2017年9月7日发布的《互联网群组信息服务管理规定》，要求互联网群组建立者、管理者应当履行群组管理责任，互联网群组信息服务提供者对违反法律法规和国家有关规定的群组建立者、管理者等使用者，依法依约采取降低信用等级、暂停管理权限、取消建群资格等管理措施。这实际上规定了“群主”的义务和责任，而根据相关法案，没有法律或者国务院的行政法规、决定、命令的依据，部门规章不得设定减损公民、法人和其他组织权利或者增加其义务的规范，而关于是否具有上位法依据的解释标准并不十分明确。《互联网群组信息服务管理规定》第一条所列的《网络安全法》，并没有对作为信息服务使用者的“群主”的义务进行明确规定，此规定出台后立即引发了社会各界的广泛讨论。

三段论是形式逻辑学中的一种推理方法，也是法律分析的标准形式，其结构分为大前提、小前提和结论。在标准意义上，成文法的条文应当是一则完整的“大前提”，即“在某某情况下，将遭受某某后果”。但众多信息立法的实际情况却是，不厌其烦地宣示哪些行为不可为，哪些行为必须为，“不得为……”“应当为……”的句式随处可见。例如，《全国人民代表大会常务委员会关于加强网络信息保护的决定》第三条规定：“网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。”关于处罚方式只是在最后一带而过，并无太多针对性和可行性，民事救济更是少见。

其实，法律，尤其是成文法，在互联网时代遇到的问题，反映出传统思维模式受到冲击和解构。“我们这样的文化，长期习惯于将一切事物分裂和切割，以此作为控制事物的手段。如果有人提醒我们说，在事物运转的实际过程中，媒介即讯息，我们难免会感到有点吃惊。”^[7]信息本身并不具有固定的物理形态，以“确立区隔性”见长的法律，其优势的发挥自然也会受到一定影响。所以，互联网社会中的关系调整方式，需要吸纳市场、社区和个人等更多因素。

正视成文法的局限性并不意味着承认法律无用论。相反，作为制度构建的能动过程，一种力量消减必然促成另一种力量的生长。于频繁诉讼中显现的典型案例，不仅在个人信息利用问题的处理标准上不断给出范例，而且呈现出一种更加接近公平的利益诉求机制。在这个机制中，作为利益最相关的原被告双方当事人，获得了主张权利、申明理由的机会，裁判官也需要考虑双方的意见，衡量这些或对立、或一致的诉求，平衡诉求背后的各种利益，从而做出相对公正的裁判。

前面介绍的百度诉奇虎案的判决结果，是网络服务商通过自力救济在司法上获得公权力肯定的一个典型案例。法院的新闻稿中如此写道：“原告既没有充分阐明如此设置Robots协议的理由，又拒绝修改其Roberts协议，故而其请求法院判令禁止被告抓取原告网站的主张不应得到支持。”与其说拒绝了百度请求法院禁止360搜索引擎抓取信息的请求，不如说默许了百度通过机器人协议在技术上成功实现自力救济的做法。这种默许行为，将对其他的数据库利用活动产生一种示范效应，鼓励数据库创建者通过技术手段自行确立利用边界，而这种边界的确立者正是作为当事人的百度公司自己。

互联网信息传播活动的流动性、交互性，也在一定程度上要求司法解释发挥更多的作用。以“人肉搜索”治理为例，在留日学生遇害事件中，受害人江歌的母亲急于找到女儿室友刘鑫询问细节，在刘鑫未出面的情况下，江歌母亲在互联网上公布了刘鑫及其家人的个人信息，有网友对刘鑫一家进行辱骂、骚扰。此后，有文章称刘鑫质问：“为什么不将实施网络暴力的人绳之以法？”引发了舆论的广泛讨论。回到法律，关于个人信息滥用问题最严重的后果应该是承担刑事责任。我国《刑法修正案（九）》将刑法第二百五十三条之一修改为：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”依据“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释［2017］10号，下称“司法解释10号文”）第三条规定：“通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。”这意味着江歌母亲的行为属于刑法规定的“违反国家有关规定，向他人提供公民个人信息”。但这种行为是否构成犯罪，还要看是否达到了“情节严重”或“情节特别严重”的程度。对此，司法解释10号文第五条列举了具体的情形。那么，刘鑫发出的法律责任之问，还要看这些个人信息提供行为是否具有司法解释列举的属于“情节严重”或“情节特别严重”的情形。在这里，司法解释使法律适用有了明确的依据。

对于一些法律领域的新问题，越来越多的机构开始搭建法官与公众交流的平台。这种研讨性质的交流，有助于各界对共同关心的重要问题进行对话，并形成共识。比如，2017年夏天，腾讯研究院组织了为期数日的“网络法青年工作坊”。北京知识产权法院法官就《反不正当竞争法》在企业之间抓取数据活动中的适用问题与学员进行了交流与探讨。用户个人数据能否在不同企业之间被任意抓取？由于尚未出台明确的法律规定，该问题一直以来都是业界、学界和法律实务界共同关注的热点问题。在交流中，法官详细介绍了案情和争议焦点，同时，对法院的审判思路做了介绍和解释，并从理论角度对司法案件的主要问题进行了归纳和探讨。学员们对判决书中的具体内容以及实践中遇到的类似问题展开讨论，同主审法官进行了面对面的交流，许多学员表示，经过法官的讲解，对案件审判的理由和依据有了更深入的理解，在实践操作中也有了更明确的标准参照。同时，法官也表示，这是一个很好的交流机会，也希望大家畅所欲言，更加深入地来探讨这个问题。