陈文煊 吴东霖 向帆
上期回顾
目录
下篇
六 是否应当赋予个人信息主体以人格权请求权?
七 个人信息的敏感程度对案件审理有何影响?
八 个人信息是否存在合理使用制度?有哪些构成合理使用的情形?
九 两个以上义务主体之间共同责任的类型有哪些?
十 损害赔偿如何计算?
六、是否应当赋予个人信息主体以人格权请求权?
个人信息纠纷在实务中争议很大的一个问题是,个人信息侵权判定是否应当以原告受到人身、财产损害为前提?
从侵权责任法的角度分析,这一问题实质上并不准确。因为按照一般侵权的构成要件,侵害个人信息的要件应当包括损害后果。这一问题的核心是,是否存在类似于“物上请求权”的“个人信息请求权”,在未经主体许可,或者经主体许可但其意志发生变更之后,允许主体在无需证明损害后果,或者还没有损害后果的情况下,支持原告排除妨害、消除危险的请求。
由于个人信息是内容复杂、差异化程度很高的一类信息的总称,不同类型的个人信息的敏感程度千差万别,从权利的价值位阶、权利的绝对性、控制效力而言,并非所有类型的个人信息都能够达到隐私权、名誉权之类的人格利益的高度。例如,未提供隐私政策等明确告知用户而收集用户网络昵称,但不构成一般人格权侵权的场景下,鉴于此类个人信息的可识别度、敏感度很低,使用方式也未必对用户造成影响(甚至没有进行使用),其作为一项应受保护的法益很可能并没有得以证成,此时并无通过民事诉讼解决争议的必要,进而没有必要赋予个人主体以人格权请求权以诉请删除个人的信息。进一步而言:
首先,罗马法谚:“法律不理琐碎之事”,个人信息是个包含甚广的概念,种类繁多,情况也千差万别,并非所有的个人信息的收集、使用和披露都会对个人人格利益和其他财产利益产生损害,也并非在任何情况下都有必要通过民事诉讼对轻微的违规行为进行矫正。对于单纯违反个人信息行政管理性规则,没有造成其他损害的纠纷,如果一概支持原告的“个人信息请求权”,势必导致滥诉盛行、案件堆叠,造成司法资源浪费和诉讼不经济。特别是在互联网企业之间存在高烈度竞争态势的今天,不排除个人信息纠纷成为实现竞争目的的一种工具。
其次,法律规定保护个人信息的方式多种多样,个人信息权益的行使也不必然藉由诉讼的方式进行,在发生纠纷时,由当事人协商解决或向监管机构投诉可能是更有效率的方法。例如,当发现APP存在没有隐私政策(违反明示信息收集和使用规则的作为义务)或过度索权(违反不收集非必要信息的不作为义务)的情况时,用户向监管部门进行举报,比以当事人身份起诉个人信息纠纷或隐私权纠纷诉讼,在矫正违规行为方面更有效果。
再次,民事诉讼的最重要功能是为当事人提供救济,对于未实质造成当事人人身、财产损害的,由法院介入处理并不具有必要性。正如最高人民法院在《利用网络侵害人身权益司法解释理解与适用》一书中所述:“对于个人信息的保护,应当是全方位的,从其他国家的经验看,行政手段、刑事手段、行业自律等都应当发挥应有的作用。而通过民事诉讼只能解决其中一部分问题,如果将尚未成熟的过多问题纳入民事诉讼的范围,可能适得其反。基于以上原因,本条仅对利用网络公开他人个人信息的行为作出了规定。”[¹⁰] 显然,在个人信息保护尚未建立成熟机制的情形下,由法院直接处理单纯个人信息纠纷案件,既是低效的,也未必有预期的社会效果。相反,由法院处理涉及人身、财产损害的个人信息纠纷,具有较好的司法实践土壤。
QQ同步助手是一个很典型的例子,在个人信息侵权案件中,收集和使用行为通常应当结合起来考虑,个人信息的收集与使用的方式、使用的目的、使用的范围密切相关。从我国的各项相关规定上看,信息的收集、使用总是被置于一起进行规定。单纯的收集行为本身,在某些情况下很难存在独立的损害后果,上升不到承担民事责任的高度,反而可以用于改善服务质量、提升用户体验。以QQ同步助手为例,该应用存储用户通讯录的时间是“永久”,如果严格依“个人信息请求权”的理念,QQ同步助手对用户通讯录的收集和保存势必侵犯用户的个人信息和隐私权。但是,QQ同步助手的产品目标是避免用户通讯录中姓名、手机号码等的丢失,方便“一键迁移”,无论从使用方式和使用目的上看,收集行为都具有一定的合理性。
综上,我们倾向于认为,由于个人信息所包括的客体过于庞杂且差异性极大,个人信息中所有客体在权利价值位阶上未必都足以构成应受法律保护的绝对权利,在这种情况下一概配以类似于“物上请求权”的“个人信息请求权”,不具有足够且充分的理由。换言之,个人信息侵权判定原则上应当以造成人身、财产损害为前提,个人信息主体不享有“个人信息请求权”。
七、个人信息的敏感程度对案件审理有何影响?
根据敏感程度的不同,将个人信息分为个人敏感信息和个人一般信息,是业内的通行做法。例如,国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2017,“《规范》”)对个人敏感信息的定义为:“个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”据此,《规范》进一步认为,通常情况下14岁以下(含)儿童的个人信息和自然人的隐私信息属于个人敏感信息。
司法实践中,部分法院也有意识地区分个人敏感信息和个人一般信息,并进行了有差别的处理。例如,在安阳市殷都区人民检察院诉被告人李某侵犯公民个人信息罪一案中[¹¹],法院认为:“基于不同类型公民个人信息的重要程度,最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,分别设置了‘五十条以上’‘五百条以上’‘五千条以上’的入罪标准。对于侵犯公民的踪轨迹信息、通信内容、征信信息、财产信息这四种个人敏感信息的行为设置了五十条以上入罪,五百条以上情节特别严重,其原因在于敏感信息涉及人身安全和财产安全,其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。这是认定公民个人敏感信息应当考量的关键因素。”
因此,凡是容易给个人信息主体的人身、财产带来重大风险的信息项,应当被判定为个人敏感信息,如公民个人身份证件号码、银行账号、征信信息、疾病史等。一般来说,个人信息的敏感程度越高,法益受侵害的风险越大,信息控制者应施以更高的注意义务,相应的法律责任越大;反之,对于个人一般信息,通常并不对信息控制者提出过高的要求。
同理,个人信息“知情同意”的具体方式也应具体视个人信息的性质、敏感程度、使用方式、使用目的和使用范围而定,不宜一概地要求信息控制者采取弹窗提示的方式以满足“知情同意”的条件。对于非敏感的个人信息,通过用户在注册或者使用有关产品前提醒用户查看用户协议、隐私政策等予以告知,并以用户点击同意或者注册、确认接受有关协议的方式获得个人授权即可。对于敏感的个人信息,则在此基础上应通过特别弹窗提示,并提供同意或不同意选项给予用户选择的方式来获得个人授权。
八、个人信息是否存在合理使用制度?有哪些构成合理使用的情形?
个人信息的合理使用概念是从著作权制度中移植而来的,是指有正当理由,虽然未经个人信息主体的明示授权,收集、使用、公开了相关个人信息,但不具有违法性、也无需承担侵权责任的情形。由于个人信息兼具个体权益属性和社会公共利益属性,在以下三大情况下,可能构成合理使用:
第一种情况是为了整体公共利益的需要,且未明显损害个人信息权益的。例如,为了信息自由传播、言论表达、新闻报道、社会正常交往的需要而使用个人信息而收集、使用个人信息;又如,为了科学研究、执行公务、公共管理等促进人类整体利益而收集、使用个人信息;又如,收集个人信息用于数据统计以改进产品服务质量。
第二种情况是为了保护其他个体利益的需要,且未显著影响个人信息权益的。例如他人在微信中上传了用户的联系方式,用于向其推荐用户的微信账户从而建立起好友关系。
第三种情况是为了促进用户本人的个体利益,且未显著影响个人信息权益人合法权益的。例如,虽然未经用户本人同意,但为用户提供个性化推荐服务而收集、使用个人信息且未超过合理的范围,这通常被称为“信息换服务”,在个人信息主体享受大数据科技给人们生活带来的便利的同时,也应当允许企业和社会在一定情况下持有、处理和使用个人信息而无需事事授权。
上述三种情形只是为判定合理使用提供了一个大致的方向,确定个人信息合理使用的边界是个非常复杂的问题,应当根据个案中具体的行为类型和使用方式、涉及的个人信息敏感程度、其他介入因素、所涉各方利益的性质等进行综合判断,以求在保护个人信息权益和促进社会进步和发展之间保持平衡。
值得注意的是,个人信息的合理使用与个人信息的默示许可、“个人信息合理期待”等制度和理论密切相关,相关问题我们将另文阐述。
九、两个以上义务主体之间共同责任的类型有哪些?
个人信息的收集和使用涉及众多环节的多个义务主体,在发生个人信息纠纷时,往往伴随着共同责任的承担问题。由于目前尚无现行法对个人信息纠纷涉及的共同责任问题进行规定,我们根据《侵权责任法》中的一般规定、在吸收《个人信息纠纷司法解释建议稿》中的相应条款[¹²]的基础上,提出以下共同责任类型及其场景的立法建议:
实践中一个有争议的问题是,情形2中的信息控制者应负有何种义务,进而对第三人侵权致损承担何种法律责任?例如,《个人信息纠纷司法解释建议稿》第9条第3款规定,对于情形2,信息控制者有过错的,应当根据过错与原因力承担相应的责任。这里的“相应的责任”并未明确为连带责任还是补充责任,应当理解为何种责任形态呢?
有观点认为,信息控制者对其合法收集、使用的个人信息所负有的责任应类似于《侵权责任法》37条的安全保障义务[¹³],进而应当承担相应的补充责任。例如,在申某诉上海携程商务有限公司、支付宝(中国)网络技术有限公司侵权责任纠纷案中,原告主张在订机票后随即收到诈骗短信,因对方完整报出原告的姓名、身份证号、航班号等具体信息,原告遂按照提示转账导致被骗。法院认为《侵权责任法》第37条规定的安全保障义务也同样适用于网络空间。信息控制者负有安全保障义务的理由在于:(1)信息控制者通过对用户数据的搜集和维护,获得了巨大的财产收益,从危险中获取利益者应负担制止危险的义务;(2)用户对电商平台等信息控制者保障其数据安全具有合理的信赖,形成了用户预期免受第三人侵害的合理信赖利益;(3)信息控制者在反应机制和技术储备,还是人力财力的支持,都具有高度的应对便利和条件。[¹⁴]
我们赞同这一观点。如前所述,信息控制者负有“采取技术措施和其他必要措施,防止个人信息被入侵、泄露、损毁或丢失”的义务,该义务可以视为《侵权责任法》第37条的安全保障义务在网络环境下的延伸,在《侵权责任法》已经将安全保障义务规定为补充责任的情况下,个人信息领域不宜将其严格化为连带责任。因此,我们建议情形2中的信息控制者对第三人侵权致损承担按照过错和原因力承担相应的补充责任,即在收集和使用过程中采取必要手段尽到信息数据保护义务的,不承担责任;未尽到信息数据保护义务的,在其过错和原因力范围内担相应的补充责任,发挥对用户利益进行“保底”的功能。
还有观点认为,应用商店等第三方应用平台对接入其中的第三方应用收集、使用的个人信息负有监督管理义务,第三方应用泄露或造成损害时,如平台未尽到监管义务或有其他过错,应当承担相应的赔偿责任。我们不赞同这一观点:
首先,第三方应用才是用户个人信息的收集和使用者,平台并无任何方法对第三方应用收集和使用信息进行控制或施加影响,让平台履行信息安全监管职能在客观上不具有可行性,在主观上平台方也不具有可责性;其次,在第三方应用已经依法承担“安全保障义务”的情况下,又给平台设定信息安全监管义务,并无充分理由,反而因强拉一个责任主体,导致过错判定的复杂化,更容易引起推诿塞责;再次,即便认为对第三方应用有必要进行信息安全监管,考虑到监管手段最终也是落地到第三方应用的信息收集和使用行为,相比由平台介入承担民事责任这种间接的方法,由现有的APP归口管理部门进行监管更加直接,统一标准的信息安全行政责任可能对第三方应用的震慑力更大、效果更好。
实践中存在的另一个重要争议问题是,如情形4中侵害个人信息权益的行为为第三人侵害自然人的其他人身、财产权利提供了便利,那么信息控制者是否与该第三人构成共同侵权?信息控制者是否应当对第三人的行为后果承担连带责任或者补充责任?对这一复杂问题,我们认为需要具体情况具体分析,即在个案中根据证据和全案的情况进行判断,详细内容将另文讨论。从原则上来说,信息控制者并不应对第三人的全部行为承担连带责任,但依据可预见规则,根据个人信息的敏感程度、行为人的主观过错、信息控制者的行为与损害后果之间的原因力大小等因素,综合确定信息控制者是否应对第三人的部分行为后果承担连带责任。
十、损害赔偿如何计算?
一般而言,个人信息纠纷诉讼案件中当事人的损害包括:(1)当事人因其个人信息被侵害导致的精神痛苦;(2)当事人因他人非法利用其个人信息导致的财产损失。对于前者,当事人可以提起精神损害赔偿;对于后者,当事人则可以主张一般损害赔偿。
目前,在涉及个人信息的几个典型侵权案件中,当事人主张的赔偿请求和法院的判决情况如下:
由此可见,目前法院对于财产损失的支持限于有证据证明直接经济损失和维权的合理费用;对精神损害赔偿则较为谨慎,在原告没有证据证明其受到了严重精神痛苦的情况下一般不予支持,且支持的案例也多是采用酌定的方式在原告主张的数额内予以确定。
值得注意的是,个人信息纠纷是否适用法定赔偿也在司法实践中存有争议。一种观点认为,应当在个人信息纠纷案件适用法定赔偿,即在不能查清自然人损失或侵权人获利的情况下,由人民法院根据案情在一定金额以下(如50万元)的范围内确定赔偿数额[¹⁵]。
我们认为,在个人信息纠纷案件中不宜适用法定赔偿。法定赔偿是知识产权部门法的特殊规定,盖因知识产权属于无体财产权,侵权损失难以准确界定,且需要考虑相关知识产权对产品获益的贡献率、知识产权的许可费率、市场价值等问题,为了充分维护权利人的利益,才从立法上加以变通,以法定赔偿的方式以加强对知识产权的保护。然而,个人信息纠纷是因非法收集、存储或者使用个人信息导致的人身、财产利益损害,这种损失在计算和举证方面,并没有区别于其他人格权利或者人格利益——例如隐私权、名誉权、姓名权等的特殊性,如果适用法定赔偿规则,有可能反而使轻微的侵害人格利益的行为承担比具体人格权更重的责任,违反了民法和侵权责任法在损害赔偿方面的“填平原则”。
【注释】
[10] 最高院民一庭编著:《最高人民法院利用网络侵害人身权益司法解释理解与适用》,人民法院出版社,第184页。
[11] 安阳市殷都区人民法院(2018)豫0505刑初117号一审刑事判决书。
[12] 《个人信息纠纷司法解释建议稿》第9条第2款规定:“信息收集者、信息存储者、信息使用者在发生或者可能发生个人信息泄露、损毁、丢失的情况时没有及时采取补救措施,造成他人损害扩大的,原告请求其就损害的扩大部分承担赔偿责任的,人民法院应予支持。”第9条第3款规定:“第三人利用非法取得的个人信息造成他人损害的,应当承担民事责任;信息收集者、信息存储者或者信息使用者有过错的,应当根据过错与原因力承担相应的责任。”第10条规定:“信息收集者、信息存储者或者信息使用者故意向第三人非法提供或者泄露个人信息,造成他人损害的,被收集者请求信息收集者、信息存储者或者信息使用者与第三人承担连带责任的,人民法院应予支持。雇佣、组织、教唆或者帮助他人非法收集、使用或者公开个人信息,造成损害的,被收集者请求行为人承担连带责任的,人民法院应予支持。”第11条规定:“第三方应用泄露个人信息造成他人损害的,自然人请求第三方应用承担全部赔偿责任的,人民法院应当予以支持;网络运营者未按照法律、行政法规的规定对接入其平台的第三方应用的个人信息安全履行监督管理义务或者存在过错的,自然人请求网络运营者承担相应的赔偿责任的,人民法院应予支持。”
[13] 《侵权责任法》第37条规定:“宾馆、商场、银行、车站、娱乐场所等公共场所的管理人或者群众性活动的组织者,未尽到安全保障义务,造成他人损害的,应当承担侵权责任。因第三人的行为造成他人损害的,由第三人承担侵权责任;管理人或者组织者未尽到安全保障义务的,承担相应的补充责任。”
[14 北京市朝阳区人民法院(2018)京0105民初36658号民事判决书。
[15] 如《个人信息纠纷司法解释建议稿》第12条第2款规定:自然人因个人信息被侵害造成的财产损失或者侵权人因此获得的利益无法确定的,人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。
北京世宁律师事务所在知识产权、竞争法、商事诉讼和仲裁领域深耕多年,由背景多元兼具丰富实践经验的资深从业者组成,曾为来自不同行业的众多领先企业赢得关键性诉讼,以服务客户的专业态度、精专的法律知识技能及丰富的实践经验而获得认可。