美国电子通讯隐私法(Electronic Communications Privacy Act,ECPA)是一项禁止未经授权的第三方截取或泄露通讯的美国联邦法令。美国电子通讯隐私法最初作为对1968年有线监听法(Wiretap Act)的修正案获得通过,适用于政府雇员及私人个体。该法案保障通讯的存储及传输。
美国电子通讯隐私法(ECPA)后被1994年法律执行通讯协助法案(Communications Assistance to Law Enforcement Act,CALEA)、2001年美国爱国者法案(USA PATRIOT Act)以及2006年美国爱国者法再授权法案(USA PATRIOT Act reauthorization act)所修正。
简介编辑本段回目录
电子通信隐私法 |
内容编辑本段回目录
ECPA的第一篇规范有线、口头与通讯在传输上的保障。其对于搜索的令状上的条件比其他状况更显严格。ECPA的第二篇是《储存通讯记录法》(Stored CommunicationsAct,SCA),其规范通讯上的电子储存之保障,尤其是强调储存在电脑上的讯息,然而其保障弱于第一篇,而且并未提高对于令状取得之标准。ECPA的第三篇禁止监视记录器(PenRegister)与/或追踪装置(TrapAndTrace)在未有搜索票下,去记录传递有线或电子通讯的过程中之通话、路由、定位、讯号资讯。
有一些法院的案例已经提高当在短暂储存至最终端点时,是否电子邮件的讯息可以在第一篇的条文中可以有更强的保护之疑问。在UnitedStatesv.Councilman一案中,美国地方法院以及三个陪审法官对于陪审团之上诉不予赞同,但在2005年,全美上诉法院对于第一巡回法院则否定了这个意见。隐私权的拥护者此时则可以较为放心,并且“法庭之友”状(Amicuscuriaebriefs)已经认为,如果ECPA没有在暂时性储存时保障电子邮件,当所有电子邮件在传输时至少有一次的暂时性储存,此额外的保护则没有意义;并且国会在1986年通过此法令时就已知晓(参见RFC822)。
从权利的概念观点来看,ECPA保障了个人的通讯,其在没有法院的命令之下是不能实施政府之通讯监察,而第三方在没有合法的授权是不可去接取讯息(像从ISP等营运商中截取讯息)。然而,关于雇员被雇主的设备监听通讯,却不会保障其隐私权。
美着手修正通信隐私法 编辑本段回目录
2000年, 白宫办公厅主任约翰·波德斯塔就电子隐私问题日前在美国新闻俱乐部宣布:“我们还需要针对因特网时代的情况修正现有的通信隐私法,以便我们的法律与最新的技术进展相适应。”他说,几个立法提案将提交国会。国会也已经在考虑这方面的提案。
波德斯塔说:就像莫尔斯发明的电报一样,因特网带来了新的机会,但它也给我们最根本的价值准则带来了挑战,使我们有必要制订新的法律和保护措施,以维持我们的价值准则。为了与网络犯罪活动做斗争,我们已经制订了新的立法,加大了执法力度,协调了政府与私营部门的合作,以期建立网上活动的安全和信任。
加快加密产品出口。在21世纪,通信技术的伟大革命在继续。如今(美国)有将近5000万个家庭上网,这些家庭都能通过因特网获得异常丰富的信息,其内容从莎士比亚最早的十四行诗,到医学研究,到刚刚拍摄到的火星照片,应有尽有。
今天,我们要宣布对出口管制措施作出的新的重要修改。根据我们的新政策,美国公司可以向欧盟以及其他8个贸易伙伴国内的任何最终用户出口加密产品。在向这些国家出口加密产品时,我们还将通过取消30天的待批期,以加快产品进入市场的速度。
法律修正四大目标。自从电子通信隐私法于1986年通过以来,随着移动电话的激增和万维网的开发与使用,我们经历了一场通信的革命。今天,美国有9000多万移动电话用户,5000多万家庭上网。每天的电子邮件通信量超过14亿个.
现在是采取立法保护措施以便把重要的隐私权原则纳入这种最新技术的时候了。现在是更新和协调现有法律,以使所有技术形式都能像电话交谈一样得到立法保护的时候了……我们将努力在今年完成这些任务。
第一,有成文法所规定的标准,只适用于传统的搭线窃听电话的硬件装置,而不适用于能够起到同样的监视效果的软件程序。像这样的电话时代的法律,应该得到明确的更新,以适应硬件和软件可以相互替代的因特网时代。我们的立法提案所起的作用是:修订语言过时、专门针对硬件的成文法,这样它们在技术上就会具有兼顾性。换言之,立法将对硬件和软件监视采用相同的标准。
第二,需要使法律平等对待不同的通信形式。现有法律制订的有关执法部门监视有线通信(如电话)的标准,要比针对电子通信(如电子邮件)制订的标准来得严格。我们的立法提案将协调适用于执法部门对电子邮件、电话及有线电视服务进行监视的法律标准。
第三,保护公共安全、实现经济发展和数字技术发展机遇以及保护隐私和公民自由有时是相互矛盾的,我们需要在这几个目标之间寻求更好的平衡。我们的目标是加强执法部门打击非法行为的能力,但同时也要加强对因特网上隐私和公民自由的保护。
第四,针对我们所了解到的黑客攻击的情况,我们必须修订计算机欺诈与滥用法。这项法律须得到加强,以便在实施中考虑计算机攻击所造成的全部损失。小规模的攻击——损失低于5000美元——应视为轻微犯罪,而不应像国会一些人提议的那样视为重罪。不过,多次小规模攻击应被视作一次大规模攻击,并据此对作案者予以惩罚. (硅谷动力 颜世宗)
网络环境下消费者权益保护经验编辑本段回目录
在网络环境下消费者保护涉及到两个问题,一个是消费者在接受在线商业服务、在线购物过程中权益的保护;另一个是消费者个人数据或信息的保护问题。前一个问题与传统消费者权益保护范畴基本一致;后一个问题实质上是消费者隐私保护问题,它在传统商业交易中也存在,但在网络环境下使这一问题更加突出,法律必须解决这一问题,才能使消费者信赖电子商务。因此,在国际电子商务立法中,消费者保护问题或建立消费者信任的立法占有非常重要的地位。目前国际上立法主要集中在个人数据保护方面。
1.OECD 《隐私保护和个人资料跨界流通的指南》:网络环境下信息收集和利用的示范法
面对网站对消费者信息收集、使用甚至滥用,如何在保护商家对消费者信息合理使用的同时,以维护消费者的利益,提高消费者对电子商务的信任,成为世界性课题。在这方面,经合组织1980年颁布了《隐私保护和个人资料跨界流通的指南》(Guidelines on the Protection of Privacy and Trans-border Flows of Personal Data),可谓确立了在网络环境下收集个人信息和利用个人信息世界性指南。
《指南》要求成员国在保护个人信息方面必须遵循的八项原则是:
(1)收集限制原则(Collection Limitation Principle)
(2)信息定性原则(Data Quality Principle)
(3)目的特定化原则(Purpose Specification Principle)
(4)使用限制原则(Use Limitation Principle)
(5)安全原则(Security Safeguards Principle)
(6)开放原则(Openness Principle)
(7)个人参与原则(Individual Participation Principle)
(8)可解释原则(Accountability Principle)
经合组织于1999年通过了《经合组织关于电子商务中消费者保护指南的建议》从保护消费者信任的角度,构筑一个庞大的消费者保护体系。该指南第二部分一般条款从以下七个方面对消费者保护提出了指导性建议:信息透明的、有效的保护;公平的商业、广告及销售行为;在线信息披露;确认过程;支付;争议解决和救济;隐私。该建议是将消费者保护放在建立电子商务信任环境背景下进行的。
2.欧盟《个人数据保护指令》:个人信息主体权利的确立
1995年10月欧盟颁布的《个人数据保护指令》(全称:《个人数据处理和自由流动有关的个人保护指令》),确立了因个人信息被他人收集而产生的基本权利,其规范可以说是代表了成文法国家的立法模式。按照欧盟指令,信息收集者对于所收集的信息只有管理权,欧盟指令称之为“资料控制者”;控制者有合法处理收集个人信息义务、安全保管或保存义务、对信息利用的告知义务。另一方面,信息提供者享有查询的权利、更正、删除或封存个人信息权利和、拒绝的权利。
欧盟于1997年5月20日颁布了《远距离合同消费者保护指令》。该指令明确规定了远距离销售中经营者或供应商缔约前的义务:供应商(含货物出卖人和服务提供者)在缔约前应当向消费者提供清晰的、可理解的、确定化的信息。
1997年12月15日欧盟颁布《在公共数字通信领域个人数据处理和隐私保护1997年指令》,统一成员国规则,确保在电子通信领域个人数据处理中保护个人隐私权等基本人权,同时确保电信设备和服务过程中的个人数据的自由流动。
在这两个基础上, 2000年12月18日欧洲议会公布《关于在欧盟内部处理和自由流动个人数据的个人保护规章(Regulation)》构成对95年和97年两个指令重要补充。
另外,欧盟于2002年颁布了《2002-2006年消费者保护战略》。该战略确立三个中期目标:较高的消费者共同保护水平;消费者保护规则有效实施;消费者组织在欧盟政策中的参与。这三个目的相互促进地实现。它涉及有关消费者在市场中安全、经济和法律问题、消费者信息和教育、消费者组织鼓励和他们对消费者政策发展的贡献。2002年3月1日发布《要求根据年龄标识某些光盘游戏和计算机游戏保护消费者——尤其青年人》。
3.美国:安全港原则和特别立法
美国是非成文法国家,其在强调对特殊的个人信息制定法律规范的同时,对整体的个人信息保护则是更多地鼓励私人领域采取自治保护规则的方法。其主要考虑是,隐私问题随行业不同而不同,那种“一个尺度适用于所有情形”的立法方法不够精细。而且从产业发展和电子商务的维护出发,自律模式似是更能够激发商业企业的积极性。因此为避免不当干预,使人们尽情享受信息自由流动的好处,美国政府还是决定以自律的保护方式为主。自律组织有(1)在线隐私联盟(online privacy alliances),1998年公布了一份由其制定的旨在指导网络和其他电子行业隐私保护的指南;(2)隐私认证计划,如TRUSTe是美国最知名的第三方隐私认证机购之一。,也是美国首家网络隐私认证民间机构。获得认证的网站设立认证标志,表明其属于遵守隐私保护规则并采用TRUSTe制定的争议解决机制的网站。
美国安全港计划
尽管美国认为自治规范能使隐私得到恰到好处的保护,但是,欧盟《个人数据保护指令》第25条规定,有关跨国资料传输时,个人资料不可以被传递到欧盟以外的国家,除非这个国家能确保资料传递有适当程序给予充分的保护。而且这种充分的保护要由欧盟来认定。为了缩小保护方法的差异,为美国组织遵守欧盟个人数据保护指令提供简便渠道,美国商务部在与欧洲委员会充分协商的基础上发展出“安全港”框架,该框架已经得到欧洲委员会的批准。安全港是美国公司避免中断与欧洲国家商务往来或者避免被欧洲机构根据欧洲隐私法控诉的重要方法。获取安全港资格将确保欧洲组织认可你的公司已经提供了《指令》规定的充分隐私保护。参与安全港的公司即被认为是符合充分标准,流动到这些公司的数据即被认为是安全的。
安全港框架提供遵守欧盟指令简单和便宜的方法,对于中小企业尤其适合。欧洲组织只要浏览美国商务部网站(www.export.gov/safeharbor)确信属于上贴的安全港组织名单即可以确保它们发给参与安全港的美国组织信息的安全。这一名单已于2000年11月开始运营。商务部将维护和更新所有已经提交自我证明书的组织名单,使该名单和自我证明书可以为公众获得。
特殊立法
在某些高度敏感的领域,美国认为立法方法是适当的。这些敏感领域包括财信记录、医疗记录、遗传信息、社会保障号和涉及儿童的信息等。目前通过的法律主要是:
《儿童在线隐私保护法》(1998年,COPPA);联邦贸易法委员会根据COPPA又制定了《儿童在线隐私保护规则》(2000年4月21日生效)。网站和提供在线服务的组织收集13岁以下儿童个人资料时应当遵守这两部法律和规章。
1999年11月12日,克林顿总统签署了《格莱梅-里奇-布利雷法》(the Gramm-Leach-Bliley Act)。该法试图通过规范金融机构的责任来保护网络环境下的个人财信隐私信息。
1996年《健康保险移转性和责任法》(the Health Insurance Portability and Accountability Act of 1996 简称HIPAA)首次言及对个人健康信息的保护,不过该法只是笼统的指出病人有保护自己健康信息的权利,对于这些权利具体包括哪些内容,如何来保护这些权利并没有作出规定。为此HIPAA要求健康部据此制定健康信息隐私规则。
美国国会于1970年通过了《隐私法》(Privacy Act),该法主要用来规范美国联邦政府机构收集和使用个人资料的权限范围和应当遵守的义务。1980年国会通过了《隐私保护法》(Privacy Protection Act,简称“PPA”)。该法限制执法机构搜查或扣押记者和出版者的设备和文件材料,除非他们有充分理由想信拥有这些材料的人涉嫌犯罪或所拥有的材料应作为犯罪证据。
1986年国会重新修定了《电子通信隐私法》(Electronic Communications Privacy Act,简称ECPA)。用于规范有线和电子通信拦截及口头通信窃听。
1996年制定《信息自由法》,主要目的是要求政府机构公开每个机构的规则、观点、裁定、记录和程序,保护公众的知情权或信息权(Right to information),自1996开放电子获取政府机构记录方式。
针对滥用电子邮件行为的立法:《1997年电子邮箱保护法》对发送未经请求的电子邮件行为进行制裁;之后《2001年未经请求的商业电子邮件法》,该法并没有完全禁止传输未经请求的商业性电子邮件,只是作出具体要求:(1)在商业电子邮件中包括回复地址;(2)在遭反对后,禁止传输未经请求的商业电子邮件;(3)在未经请求的商业电子邮件中包括标识和退出键(OPT-OUT)。该法还赋予ASP关于未经请求的电子邮件政策以一定法律效力,凡是违背ASP政策向美国境内其他人传输未经请求的商业电子邮件信息是非法的。
4.其他国家和地区的消费者保护法和隐私保护立法
英国1998年制定了《1998年数据保护法》(2000年3月1日生效),取代《1984年数据保护法》。该法确立了8项原则。另外,英国在2000年颁布《2000年信息自由法》主要是对政府信息公开及其限制的规定,保护人们的信息权。
2000年4月13日加拿大参众两院通过《个人信息保护和电子文档法》(Personal Information Protection and Electronic Documents Act)。该法力图强化私人部门对隐私权的保护问题,以赋予加拿大公民“在科技极大的便利了信息的收集、整理和传输的领域内” 保护个人隐私的权利。另外加拿大各省也颁布类似法律,如英属哥伦比亚省(British Columbia)1996年颁布了《信息自由和隐私保护法》。
联邦德国:1977年通过了《个人数据保护法》(简称BDSG)。
荷兰:2001年2月1日颁布《远距离合同法》。
意大利:1996年12月31日《个人和其他主体的个人数据保护法》
芬兰:1999年3月《个人数据法》。
马来西亚:《个人数据保护法》正在制定。
澳大利亚:2001年对《1998年隐私法》进行了修改,增加了“全民隐私原则》(National Privacy Principles)等内容,以适应网络环境对个人隐私保护的需要。
爱尔兰:1997年《信息自由法》。
香港特别行政区:《个人数据条例》(1996年12月20日生效)。
台湾地区:《电脑处理个人资料保护法》。
5.小结
如何提高用户和消费者的信心,建立可信赖的电子商务运营环境,是电子商务法制环境建设的重要内容。从世界上已经颁布的立法来看,立法可以分为两类,一类对在线交易中消费者加以保护,一类是保护消费者隐私。这两类问题可以说在传统商务环境下均存在,但是,在电子商务环境下产生了一些特殊问题或变得更加严重,以致各国形成一种共识:没有消费者信任体系的建立,就没有电子商务。
美国网络隐私权保护的立法状况和保护规则编辑本段回目录
所谓网络隐私权,是指随着互联网的出现而产生的对于个人在网上提供的信息进行保护的隐私权保护形式。侵害网络隐私权包括:侵害个人通信内容;收集他人信息卖钱;散播侵害隐私权的软件身份证号的设计;侵入他人系统以获取资料;不当泄露他人信息;网上有害色情信息和其他不利于人们精神健康的信息等。
美国的网络隐私权保护模式是将宪法、联邦和各州的法规、以及行业自律规则结合起来,为网络隐私权提供了较为全面的保护。
• 宪法依据
美国宪法本身并没有特别指明隐私权,但是根据美国联邦最高法院的司法解释,联邦宪法的第一和第四修正案为信息隐私权的保护提供了依据。
第一修正案主要涉及保护言论和宗教信仰不受政府的干预,其中同样涉及保护信息隐私。第一修正案指出:“国会不得制定关于下列事项的法律:确立国教或禁止信教自由,剥夺言论自由或出版自由;剥夺人民和平集会和向政府诉冤请愿的权利。”虽然第一修正案仅仅在字面上透露出通过保护言论自由和出版自由而维护信息的自由流通,但美国联邦最高法院在纽约时报诉 Sullivan 一案中,根据第一修正案判决政府官员在涉及名誉诽谤案时,必须指明诽谤言论是错误的并且该言论是出于真实的恶意。此判决确认了应该为私人准确和真实的言论提供更高水平的保护。
与第一修正案类似,第四修正案同样为个人信息隐私提供了保护依据。第四修正案指出:“人民保护其人身、住房、文件和财物不受无理搜查扣押的权利不得被侵犯;除非有合理的根据认为有罪,以宣誓或郑重声明保证,并详细开列应予搜查的地点、应予扣押的人或物,否则不得颁发搜查和扣押证。”修正案中关于禁止不合理的搜查和扣押即是有关保护隐私权的依据。联邦最高法院在 Katz 诉美利坚合众国一案中判决,对在公用电话亭进行的电话交谈进行干涉,构成了第四修正案中的搜查和扣押,确定第四修正案保护是否存在的首要问题便是个人是否对隐私权有合理的期待。
• 1974 年《隐私权法》
作为保护隐私权的基本法令, 1974 年制定的《隐私权法》为包含有个人信息的联邦政府记录提供了保护。《隐私权法》指出:除非有信息所有人的书面请求或事先做出的书面同意,任何行政机关都不能通过任何通讯方式向任何个人或其他机关泄露存储于信息系统中的任何个人记录。也就是说《隐私权法》禁止未经授权的个人记录泄露。此外《隐私权法》还赋予个人权利检查他们的个人记录、查看这些记录是否被泄露、以及请求更正或修改这些记录,除非记录已经被删除。《隐私权法》同时规定了行政机关可以公开个人记录,无需本人同意的 12 种例外:( 1 )为执行公务在机关内部使用个人记录;( 2 )根据《信息自由法》公开个人记录;( 3 )记录的使用目的与其制作目的相容、没有冲突,即所谓“常规使用”;( 4 )向人口普查局提供个人记录;( 5 )以不能识别出特定个人的形式,向其他机关提供作为统计研究之用的个人记录;( 6 )向国家档案局提供具有历史价值或其他特别意义值得长期保存的个人记录;( 7 )为了执法目的向其他机关提供个人记录;( 8 )在紧急情况下,为了某人的健康或安全而使用个人记录;( 9 )向国会及其委员会提供个人记录;( 10 )向总审计长及其代表提供执行公务所需的个人记录;( 11 )根据法院的命令提供个人记录;( 12 )向消费者资信能力报道机构提供作为其他行政机关收取债务参考之用的个人记录。《隐私权法》还强制规定每个政府机关必须建立起行政的和物质的安全保障措施,以防止对个人记录的不正当泄露。
• 信息隐私条例
到目前为止,美国并没有一部综合性法典对个人信息的隐私权提供保护,但是联邦和州政府制定的各种类型的隐私和安全条例,已足以承担起保护相应的个人信息的重任。其中,最为重要的条例是 1986 年颁布的《电子通讯隐私法》。
• 《电子通讯隐私法》
尽管《电子通讯隐私法》还存在不足,但它是目前有关保护网络上的个人信息最全面的一部数据保护立法。《电子通讯隐私法》涵盖了声音通讯、文本和数字化形象的传输等所有形式的数字化通讯,它不仅禁止政府部门未经授权的窃听,而且禁止所有个人和企业对通讯内容的窃听,同时还禁止对存贮于电脑系统中的通讯信息未经授权的访问及对传输中的信息未经授权的拦截。
如果系统经营者违反了《电子通讯隐私法》保护下的用户的网络隐私权,将用户的私人邮件公之于众,用户有权提起诉讼,追究经营者的侵权责任。系统经营者则必须立刻删除已经发布的私人信息,并可能就隐私侵权承担损害赔偿责任,侵权的经营者还可能被要求支付对方的律师费。因为在某些情况下,证明经营者的错误行为和确定赔偿数额十分困难,受到侵害的用户在提起诉讼前可能会花费大量的财力,而让败诉的经营者承担律师费则解决了用户的后顾之忧。此外,违反《电子通讯隐私法》还可能引发刑事责任。
• 其他的信息隐私条例
除《电子通讯隐私法》之外,国会还颁布了一系列的保护信息隐私的法案。一是《信息自由法》,该法规范了第三方对包含个人信息的政府记录的获取。二是《金融隐私权法案》,它对银行雇员披露金融记录,及联邦立法机构获得个人金融记录的方式做出了限制。三是《美国金融改革法》,其中第五部分规定了金融机构最低限度的个人数据保护标准。它规定除非征得了消费者的同意,否则金融机构不能直接地或间接地或通过一个附属机构,将非公开的个人信息透露给没有关联的第三人。四是《有线通讯隐私权法案》,它禁止闭路电视经营者在未获得用户事先同意的情况下利用有线系统收集用户的个人信息。五是《电视隐私保护法案》,它将隐私权保护范围从闭路电视用户扩展到了录像带销售或租赁公司的顾客。六是《电话用户保护法案》,它调整了主动的电话呼叫行为,对不愿意接到此种呼叫的电话用户提供了隐私权保护。七是《儿童在线隐私权保护法案》,它规定网站经营者必须向其父母提供隐私权保护政策的通知,以儿童为目标的网站必须在网站主页上或是从儿童处收集信息的每一网页上提供链接连接到此通知。它还详细规定了网站对 13 岁以下儿童个人信息的收集和处理。
从以上美国有关隐私权保护的法案可见,美国还没有一部综合性法典对个人信息的隐私权提供保护,目前出台的有关网络隐私权保护方面的法律法规还极其有限,制定全面的网络隐私权保护的立法还遥遥无期,于是立法者们鼓励制定行业自律规则或是网站的经营者自愿采取隐私权保护政策来保护隐私权。
• 行业自律规则
除了上述分散的网络隐私权保护法律法规之外,美国还倾向于采取行业自律政策对网络隐私权提供保护。由于网络技术发展迅速,而立法总是滞后于现实状况,所以采用自律政策作为立法之外的补充受到行业联盟、国会和政府部门的一致鼓励和支持。总体而言,美国目前的行业自律形式有三类:建议性的行业指引、网络隐私认证、技术保护模式。
• 建议性的行业指引
许多从事网上业务的行业联盟都发布了本行业网上隐私保护准则,如“在线隐私联盟”、“银行家圆桌会议”、“直销协会”、“互动服务协会”等等。其中,“在线隐私联盟”最为著名,由超过 80 家的国际公司和协会组成,致力于为商业行为创造互信的良好环境和推动对个人网络隐私权的保护。它于 1998 年 6 月发布了以联邦商业委员会的建议为原则的在线隐私指引。
• 网络隐私认证
不同于适用于同一行业内部的建议性行业指引,网络隐私认证适用于跨行业的联盟。他们授权那些达到其提出的隐私规则的网站张贴其隐私认证标志,以便于用户识别。美国著名的网络隐私认证组织有 TRUSTe 、 BBBOn-Line 、 WebTrust 等。
• 技术保护模式技术保护模式为更好地鼓励甚至是强制推行隐私权保护提供了基本的技术支撑。最常见的一种模式是由互联网协会推出的个人隐私选择平台( P3P )。 P3P 能让网站指明对个人数据使用和公布的状况,让用户选择个人数据是否被公布,以及哪些数据能被公布,并能让软件代理商代表双方达成有关数据交换的协议。在这种模式下,个人能够利用充足的信息做出明智的决定,同意或是拒绝提供本人的数据,并且能够委托软件代理商将决定付诸实践。