陳文煊 吳東霖 向帆
上期回顧
目錄
下篇
六 是否應當賦予個人信息主體以人格權請求權?
七 個人信息的敏感程度對案件審理有何影響?
八 個人信息是否存在合理使用制度?有哪些構成合理使用的情形?
九 兩個以上義務主體之間共同責任的類型有哪些?
十 損害賠償如何計算?
六、是否應當賦予個人信息主體以人格權請求權?
個人信息糾紛在實務中爭議很大的壹個問題是,個人信息侵權判定是否應當以原告受到人身、財產損害為前提?
從侵權責任法的角度分析,這壹問題實質上並不準確。因為按照壹般侵權的構成要件,侵害個人信息的要件應當包括損害後果。這壹問題的核心是,是否存在類似於“物上請求權”的“個人信息請求權”,在未經主體許可,或者經主體許可但其意誌發生變更之後,允許主體在無需證明損害後果,或者還沒有損害後果的情況下,支持原告排除妨害、消除危險的請求。
由於個人信息是內容復雜、差異化程度很高的壹類信息的總稱,不同類型的個人信息的敏感程度千差萬別,從權利的價值位階、權利的絕對性、控制效力而言,並非所有類型的個人信息都能夠達到隱私權、名譽權之類的人格利益的高度。例如,未提供隱私政策等明確告知用戶而收集用戶網絡昵稱,但不構成壹般人格權侵權的場景下,鑒於此類個人信息的可識別度、敏感度很低,使用方式也未必對用戶造成影響(甚至沒有進行使用),其作為壹項應受保護的法益很可能並沒有得以證成,此時並無通過民事訴訟解決爭議的必要,進而沒有必要賦予個人主體以人格權請求權以訴請刪除個人的信息。進壹步而言:
首先,羅馬法諺:“法律不理瑣碎之事”,個人信息是個包含甚廣的概念,種類繁多,情況也千差萬別,並非所有的個人信息的收集、使用和披露都會對個人人格利益和其他財產利益產生損害,也並非在任何情況下都有必要通過民事訴訟對輕微的違規行為進行矯正。對於單純違反個人信息行政管理性規則,沒有造成其他損害的糾紛,如果壹概支持原告的“個人信息請求權”,勢必導致濫訴盛行、案件堆疊,造成司法資源浪費和訴訟不經濟。特別是在互聯網企業之間存在高烈度競爭態勢的今天,不排除個人信息糾紛成為實現競爭目的的壹種工具。
其次,法律規定保護個人信息的方式多種多樣,個人信息權益的行使也不必然藉由訴訟的方式進行,在發生糾紛時,由當事人協商解決或向監管機構投訴可能是更有效率的方法。例如,當發現APP存在沒有隱私政策(違反明示信息收集和使用規則的作為義務)或過度索權(違反不收集非必要信息的不作為義務)的情況時,用戶向監管部門進行舉報,比以當事人身份起訴個人信息糾紛或隱私權糾紛訴訟,在矯正違規行為方面更有效果。
再次,民事訴訟的最重要功能是為當事人提供救濟,對於未實質造成當事人人身、財產損害的,由法院介入處理並不具有必要性。正如最高人民法院在《利用網絡侵害人身權益司法解釋理解與適用》壹書中所述:“對於個人信息的保護,應當是全方位的,從其他國家的經驗看,行政手段、刑事手段、行業自律等都應當發揮應有的作用。而通過民事訴訟只能解決其中壹部分問題,如果將尚未成熟的過多問題納入民事訴訟的範圍,可能適得其反。基於以上原因,本條僅對利用網絡公開他人個人信息的行為作出了規定。”[¹⁰] 顯然,在個人信息保護尚未建立成熟機制的情形下,由法院直接處理單純個人信息糾紛案件,既是低效的,也未必有預期的社會效果。相反,由法院處理涉及人身、財產損害的個人信息糾紛,具有較好的司法實踐土壤。
QQ同步助手是壹個很典型的例子,在個人信息侵權案件中,收集和使用行為通常應當結合起來考慮,個人信息的收集與使用的方式、使用的目的、使用的範圍密切相關。從我國的各項相關規定上看,信息的收集、使用總是被置於壹起進行規定。單純的收集行為本身,在某些情況下很難存在獨立的損害後果,上升不到承擔民事責任的高度,反而可以用於改善服務質量、提升用戶體驗。以QQ同步助手為例,該應用存儲用戶通訊錄的時間是“永久”,如果嚴格依“個人信息請求權”的理念,QQ同步助手對用戶通訊錄的收集和保存勢必侵犯用戶的個人信息和隱私權。但是,QQ同步助手的產品目標是避免用戶通訊錄中姓名、手機號碼等的丟失,方便“壹鍵遷移”,無論從使用方式和使用目的上看,收集行為都具有壹定的合理性。
綜上,我們傾向於認為,由於個人信息所包括的客體過於龐雜且差異性極大,個人信息中所有客體在權利價值位階上未必都足以構成應受法律保護的絕對權利,在這種情況下壹概配以類似於“物上請求權”的“個人信息請求權”,不具有足夠且充分的理由。換言之,個人信息侵權判定原則上應當以造成人身、財產損害為前提,個人信息主體不享有“個人信息請求權”。
七、個人信息的敏感程度對案件審理有何影響?
根據敏感程度的不同,將個人信息分為個人敏感信息和個人壹般信息,是業內的通行做法。例如,國家標準《信息安全技術 個人信息安全規範》(GB/T 35273-2017,“《規範》”)對個人敏感信息的定義為:“個人敏感信息是指壹旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。”據此,《規範》進壹步認為,通常情況下14歲以下(含)兒童的個人信息和自然人的隱私信息屬於個人敏感信息。
司法實踐中,部分法院也有意識地區分個人敏感信息和個人壹般信息,並進行了有差別的處理。例如,在安陽市殷都區人民檢察院訴被告人李某侵犯公民個人信息罪壹案中[¹¹],法院認為:“基於不同類型公民個人信息的重要程度,最高人民法院、最高人民檢察院《關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》,分別設置了‘五十條以上’‘五百條以上’‘五千條以上’的入罪標準。對於侵犯公民的蹤軌跡信息、通信內容、征信信息、財產信息這四種個人敏感信息的行為設置了五十條以上入罪,五百條以上情節特別嚴重,其原因在於敏感信息涉及人身安全和財產安全,其被非法獲取、出售或者提供後極易引發盜竊、詐騙、敲詐勒索等關聯犯罪,具有更大的社會危害性。這是認定公民個人敏感信息應當考量的關鍵因素。”
因此,凡是容易給個人信息主體的人身、財產帶來重大風險的信息項,應當被判定為個人敏感信息,如公民個人身份證件號碼、銀行賬號、征信信息、疾病史等。壹般來說,個人信息的敏感程度越高,法益受侵害的風險越大,信息控制者應施以更高的註意義務,相應的法律責任越大;反之,對於個人壹般信息,通常並不對信息控制者提出過高的要求。
同理,個人信息“知情同意”的具體方式也應具體視個人信息的性質、敏感程度、使用方式、使用目的和使用範圍而定,不宜壹概地要求信息控制者采取彈窗提示的方式以滿足“知情同意”的條件。對於非敏感的個人信息,通過用戶在註冊或者使用有關產品前提醒用戶查看用戶協議、隱私政策等予以告知,並以用戶點擊同意或者註冊、確認接受有關協議的方式獲得個人授權即可。對於敏感的個人信息,則在此基礎上應通過特別彈窗提示,並提供同意或不同意選項給予用戶選擇的方式來獲得個人授權。
八、個人信息是否存在合理使用制度?有哪些構成合理使用的情形?
個人信息的合理使用概念是從著作權制度中移植而來的,是指有正當理由,雖然未經個人信息主體的明示授權,收集、使用、公開了相關個人信息,但不具有違法性、也無需承擔侵權責任的情形。由於個人信息兼具個體權益屬性和社會公共利益屬性,在以下三大情況下,可能構成合理使用:
第壹種情況是為了整體公共利益的需要,且未明顯損害個人信息權益的。例如,為了信息自由傳播、言論表達、新聞報道、社會正常交往的需要而使用個人信息而收集、使用個人信息;又如,為了科學研究、執行公務、公共管理等促進人類整體利益而收集、使用個人信息;又如,收集個人信息用於數據統計以改進產品服務質量。
第二種情況是為了保護其他個體利益的需要,且未顯著影響個人信息權益的。例如他人在微信中上傳了用戶的聯系方式,用於向其推薦用戶的微信賬戶從而建立起好友關系。
第三種情況是為了促進用戶本人的個體利益,且未顯著影響個人信息權益人合法權益的。例如,雖然未經用戶本人同意,但為用戶提供個性化推薦服務而收集、使用個人信息且未超過合理的範圍,這通常被稱為“信息換服務”,在個人信息主體享受大數據科技給人們生活帶來的便利的同時,也應當允許企業和社會在壹定情況下持有、處理和使用個人信息而無需事事授權。
上述三種情形只是為判定合理使用提供了壹個大致的方向,確定個人信息合理使用的邊界是個非常復雜的問題,應當根據個案中具體的行為類型和使用方式、涉及的個人信息敏感程度、其他介入因素、所涉各方利益的性質等進行綜合判斷,以求在保護個人信息權益和促進社會進步和發展之間保持平衡。
值得註意的是,個人信息的合理使用與個人信息的默示許可、“個人信息合理期待”等制度和理論密切相關,相關問題我們將另文闡述。
九、兩個以上義務主體之間共同責任的類型有哪些?
個人信息的收集和使用涉及眾多環節的多個義務主體,在發生個人信息糾紛時,往往伴隨著共同責任的承擔問題。由於目前尚無現行法對個人信息糾紛涉及的共同責任問題進行規定,我們根據《侵權責任法》中的壹般規定、在吸收《個人信息糾紛司法解釋建議稿》中的相應條款[¹²]的基礎上,提出以下共同責任類型及其場景的立法建議:
實踐中壹個有爭議的問題是,情形2中的信息控制者應負有何種義務,進而對第三人侵權致損承擔何種法律責任?例如,《個人信息糾紛司法解釋建議稿》第9條第3款規定,對於情形2,信息控制者有過錯的,應當根據過錯與原因力承擔相應的責任。這裏的“相應的責任”並未明確為連帶責任還是補充責任,應當理解為何種責任形態呢?
有觀點認為,信息控制者對其合法收集、使用的個人信息所負有的責任應類似於《侵權責任法》37條的安全保障義務[¹³],進而應當承擔相應的補充責任。例如,在申某訴上海攜程商務有限公司、支付寶(中國)網絡技術有限公司侵權責任糾紛案中,原告主張在訂機票後隨即收到詐騙短信,因對方完整報出原告的姓名、身份證號、航班號等具體信息,原告遂按照提示轉賬導致被騙。法院認為《侵權責任法》第37條規定的安全保障義務也同樣適用於網絡空間。信息控制者負有安全保障義務的理由在於:(1)信息控制者通過對用戶數據的搜集和維護,獲得了巨大的財產收益,從危險中獲取利益者應負擔制止危險的義務;(2)用戶對電商平臺等信息控制者保障其數據安全具有合理的信賴,形成了用戶預期免受第三人侵害的合理信賴利益;(3)信息控制者在反應機制和技術儲備,還是人力財力的支持,都具有高度的應對便利和條件。[¹⁴]
我們贊同這壹觀點。如前所述,信息控制者負有“采取技術措施和其他必要措施,防止個人信息被入侵、泄露、損毀或丟失”的義務,該義務可以視為《侵權責任法》第37條的安全保障義務在網絡環境下的延伸,在《侵權責任法》已經將安全保障義務規定為補充責任的情況下,個人信息領域不宜將其嚴格化為連帶責任。因此,我們建議情形2中的信息控制者對第三人侵權致損承擔按照過錯和原因力承擔相應的補充責任,即在收集和使用過程中采取必要手段盡到信息數據保護義務的,不承擔責任;未盡到信息數據保護義務的,在其過錯和原因力範圍內擔相應的補充責任,發揮對用戶利益進行“保底”的功能。
還有觀點認為,應用商店等第三方應用平臺對接入其中的第三方應用收集、使用的個人信息負有監督管理義務,第三方應用泄露或造成損害時,如平臺未盡到監管義務或有其他過錯,應當承擔相應的賠償責任。我們不贊同這壹觀點:
首先,第三方應用才是用戶個人信息的收集和使用者,平臺並無任何方法對第三方應用收集和使用信息進行控制或施加影響,讓平臺履行信息安全監管職能在客觀上不具有可行性,在主觀上平臺方也不具有可責性;其次,在第三方應用已經依法承擔“安全保障義務”的情況下,又給平臺設定信息安全監管義務,並無充分理由,反而因強拉壹個責任主體,導致過錯判定的復雜化,更容易引起推諉塞責;再次,即便認為對第三方應用有必要進行信息安全監管,考慮到監管手段最終也是落地到第三方應用的信息收集和使用行為,相比由平臺介入承擔民事責任這種間接的方法,由現有的APP歸口管理部門進行監管更加直接,統壹標準的信息安全行政責任可能對第三方應用的震懾力更大、效果更好。
實踐中存在的另壹個重要爭議問題是,如情形4中侵害個人信息權益的行為為第三人侵害自然人的其他人身、財產權利提供了便利,那麽信息控制者是否與該第三人構成共同侵權?信息控制者是否應當對第三人的行為後果承擔連帶責任或者補充責任?對這壹復雜問題,我們認為需要具體情況具體分析,即在個案中根據證據和全案的情況進行判斷,詳細內容將另文討論。從原則上來說,信息控制者並不應對第三人的全部行為承擔連帶責任,但依據可預見規則,根據個人信息的敏感程度、行為人的主觀過錯、信息控制者的行為與損害後果之間的原因力大小等因素,綜合確定信息控制者是否應對第三人的部分行為後果承擔連帶責任。
十、損害賠償如何計算?
壹般而言,個人信息糾紛訴訟案件中當事人的損害包括:(1)當事人因其個人信息被侵害導致的精神痛苦;(2)當事人因他人非法利用其個人信息導致的財產損失。對於前者,當事人可以提起精神損害賠償;對於後者,當事人則可以主張壹般損害賠償。
目前,在涉及個人信息的幾個典型侵權案件中,當事人主張的賠償請求和法院的判決情況如下:
由此可見,目前法院對於財產損失的支持限於有證據證明直接經濟損失和維權的合理費用;對精神損害賠償則較為謹慎,在原告沒有證據證明其受到了嚴重精神痛苦的情況下壹般不予支持,且支持的案例也多是采用酌定的方式在原告主張的數額內予以確定。
值得註意的是,個人信息糾紛是否適用法定賠償也在司法實踐中存有爭議。壹種觀點認為,應當在個人信息糾紛案件適用法定賠償,即在不能查清自然人損失或侵權人獲利的情況下,由人民法院根據案情在壹定金額以下(如50萬元)的範圍內確定賠償數額[¹⁵]。
我們認為,在個人信息糾紛案件中不宜適用法定賠償。法定賠償是知識產權部門法的特殊規定,蓋因知識產權屬於無體財產權,侵權損失難以準確界定,且需要考慮相關知識產權對產品獲益的貢獻率、知識產權的許可費率、市場價值等問題,為了充分維護權利人的利益,才從立法上加以變通,以法定賠償的方式以加強對知識產權的保護。然而,個人信息糾紛是因非法收集、存儲或者使用個人信息導致的人身、財產利益損害,這種損失在計算和舉證方面,並沒有區別於其他人格權利或者人格利益——例如隱私權、名譽權、姓名權等的特殊性,如果適用法定賠償規則,有可能反而使輕微的侵害人格利益的行為承擔比具體人格權更重的責任,違反了民法和侵權責任法在損害賠償方面的“填平原則”。
【註釋】
[10] 最高院民壹庭編著:《最高人民法院利用網絡侵害人身權益司法解釋理解與適用》,人民法院出版社,第184頁。
[11] 安陽市殷都區人民法院(2018)豫0505刑初117號壹審刑事判決書。
[12] 《個人信息糾紛司法解釋建議稿》第9條第2款規定:“信息收集者、信息存儲者、信息使用者在發生或者可能發生個人信息泄露、損毀、丟失的情況時沒有及時采取補救措施,造成他人損害擴大的,原告請求其就損害的擴大部分承擔賠償責任的,人民法院應予支持。”第9條第3款規定:“第三人利用非法取得的個人信息造成他人損害的,應當承擔民事責任;信息收集者、信息存儲者或者信息使用者有過錯的,應當根據過錯與原因力承擔相應的責任。”第10條規定:“信息收集者、信息存儲者或者信息使用者故意向第三人非法提供或者泄露個人信息,造成他人損害的,被收集者請求信息收集者、信息存儲者或者信息使用者與第三人承擔連帶責任的,人民法院應予支持。雇傭、組織、教唆或者幫助他人非法收集、使用或者公開個人信息,造成損害的,被收集者請求行為人承擔連帶責任的,人民法院應予支持。”第11條規定:“第三方應用泄露個人信息造成他人損害的,自然人請求第三方應用承擔全部賠償責任的,人民法院應當予以支持;網絡運營者未按照法律、行政法規的規定對接入其平臺的第三方應用的個人信息安全履行監督管理義務或者存在過錯的,自然人請求網絡運營者承擔相應的賠償責任的,人民法院應予支持。”
[13] 《侵權責任法》第37條規定:“賓館、商場、銀行、車站、娛樂場所等公共場所的管理人或者群眾性活動的組織者,未盡到安全保障義務,造成他人損害的,應當承擔侵權責任。因第三人的行為造成他人損害的,由第三人承擔侵權責任;管理人或者組織者未盡到安全保障義務的,承擔相應的補充責任。”
[14 北京市朝陽區人民法院(2018)京0105民初36658號民事判決書。
[15] 如《個人信息糾紛司法解釋建議稿》第12條第2款規定:自然人因個人信息被侵害造成的財產損失或者侵權人因此獲得的利益無法確定的,人民法院可以根據具體案情在50萬元以下的範圍內確定賠償數額。
北京世寧律師事務所在知識產權、競爭法、商事訴訟和仲裁領域深耕多年,由背景多元兼具豐富實踐經驗的資深從業者組成,曾為來自不同行業的眾多領先企業贏得關鍵性訴訟,以服務客戶的專業態度、精專的法律知識技能及豐富的實踐經驗而獲得認可。