个人信息民事司法保护开启新篇章——速评最高院对民事案件案由的修改

刘新宇宋海新中伦视界 2022-03-20

2020年12月30日，最高人民法院举行贯彻实施民法典全面完成司法解释清理和首批司法解释新闻发布会，并公开印发修改后的《民事案件案由规定》，自2021年1月1日起施行。

根据《最高人民法院关于修改〈民事案件案由规定〉的决定》（法〔2020〕346号），最高人民法院对2011年2月18日第一次修正的《民事案件案由规定》进行修改，其中，“17.在第二级案由‘一、人格权纠纷’项下：……变更‘6.隐私权纠纷’为‘8.隐私权、个人信息保护纠纷’，……44.在新变更的第三级案由‘8.隐私权、个人信息保护纠纷’项下：增加‘（1）隐私权纠纷’‘（2）个人信息保护纠纷’……”。这意味着，“个人信息保护纠纷”成为能够单独适用的民事案由，个人信息民事司法保护终于不再受制于无独立的民事案由的禁锢。

可以说，最高院对民事案由的修改，开启了个人信息民事司法保护的新篇章。

一、个人信息司法保护在民事案由方面面临的困境

大数据时代，个人信息的流通和使用，大大提供了生产效率，也为人们生活带来了很多的便利。但与此同时，企业违法违规收集、使用、对外提供个人信息屡见不鲜，个人信息泄露事件也频频出现，侵犯个人信息主体权益的情形也屡屡被曝光，个人信息亟待民事司法保护。

然而，当个人信息主体想要通过提起民事诉讼保护个人信息权益时，却发现存在着这样的困境：《民事案件案由规定》（2011年修正，现已失效）并未设置与个人信息保护直接相关的案由，存在关联的案由主要集中在第二级案由“人格权纠纷”项下的“隐私权纠纷”、“名誉权纠纷”和“一般人格权纠纷”三个第三级案由。

细究这三个案由，其在适用个人信息保护方面均存在较为明显的不足，具体表现为：

1、个人信息包含私密信息和非私密信息，私密信息可以适用有关隐私权的规定，非私密信息却无法适用隐私权的规定[1]。这也就意味着，要想适用隐私权的规定，以“隐私权纠纷”作为案由提起诉讼并被法院支持诉请，条件之一即是需要论证所受侵犯的确为个人隐私。

根据《中华人民共和国民法典》（以下简称“《民法典》”）第一千零三十二条第二款，“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”参照《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（法释〔2014〕11号，现已修订）第十二条[2]，“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持”，自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人信息被认定为个人隐私的可能性相对较高，除此之外，若想被认定为个人隐私，需要结合社会公众的一般合理认知、不同类型人群的隐私偏好、是否采取相应保密措施等针对具体场景充分论证该等个人信息是否符合隐私的特征要求，难度之大，可想而知。

再加上，即便受侵犯的个人信息确实构成个人隐私并被法院支持诉请，通过“隐私权纠纷”案由提起诉讼和能够得到保护的也只是私密信息，对于个人信息中的非私密信息，仍然缺乏有效的民事司法保护。因此，适用“隐私权纠纷”案由主张个人信息保护存在明显不足。

2、名誉是对民事主体的品德、声望、才能、信用等的社会评价[3]，要想论证侵犯个人信息的行为侵犯了个人名誉，必须要论证侵犯个人信息的行为导致个人社会评价的降低。然而，很显然的是，侵犯个人信息的行为不必然导致个人社会评价的降低，比如未经个人同意收集使用了个人的手机号码，侵犯了个人信息主体的权益，但一般来说不会造成对个人社会评价的降低。所以，适用“人格权纠纷”案由主张个人信息保护亦存在明显不足。

3、人格权是民事主体享有的生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等权利。[4]“一般人格权纠纷”更多的是作为兜底性案由使用，看似适用范围较广，但也正因为其兜底的特点，真要适用却非易事，更多的是因为没有可适用的具体案由而进行的“无奈之举”。因此，适用“一般人格权纠纷”案由主张个人信息保护亦可能无法实现预期的效果。

基于以上分析可以看出，适用“隐私权纠纷”、“名誉权纠纷”和“一般人格权纠纷”三个案由，均无法有效实现个人信息保护的诉求，因此，亟需单独的、具有针对性的案由来适用个人信息保护纠纷。

二、个人信息司法保护在民事案由方面的有益探索

1、立法先行

《中华人民共和国网络安全法》于2017年6月1日正式生效，成为我国网络安全领域的“基本法”，其中第四章专章规定“网络信息安全”，明确了收集使用个人信息的合法性基础、对存储和对外提供个人信息的要求、以及个人信息主体的删除权、更正权等内容，开启了我国个人信息保护有法可依的新时代。

《中华人民共和国民法总则》（现已因《民法典》生效而失效）于2017年10月1日生效，其第一百一十一条规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”，进一步强化了我国个人信息的民事立法保护。

《民法典》于2020年5月28日通过并正式颁布，于2021年1月1日正式生效。其中，第四编人格权编第六章专章规定“隐私权和个人信息保护”，明确了个人信息的定义、个人信息的处理原则和条件、处理个人信息的免责事由、自然人查阅、复制、更正删除个人信息的权利、信息处理者的信息安全保护义务、未经同意不得对外提供个人信息等内容，将我国个人信息保护推向新的高度。

2、司法探索

《民法典》的正式颁布，为个人信息民事司法保护的探索起到了有益的促进作用。2020年7月，某法院先后一审判决两起“隐私权、个人信息权益网络侵权责任纠纷”案件，“个人信息权益网络侵权责任”正式写入法院的判决书，而在审理过程中法院也正式就被告企业是否侵犯原告的个人信息权益作出了实质审理和判决，其中一起案件的承办法官表示“该案是《民法典》颁布后，体现民法典对互联网时代自然人人格权保护精神的案件。”两份判决书一经公布，引起了社会各界的广泛关注和热烈讨论，这两起案件也成为个人信息民事司法保护的“排头兵”。

可能也有人担心，这两起案件会不会是“昙花一现”，因为在2020年12月29日最高人民法院修订民事案由之前，“个人信息权益网络侵权责任”并非可以适用的独立案由。这样的担心不无道理，但随着民事案由的修订，这样的担心也就可以烟消云散了。

三、个人信息司法保护前景展望

可以预见，随着《民事案件案由规定》（2020修正）的正式施行和个人信息主体维权意识的不断加强，将会有更多的个人信息主体不再沉默，不再受制于无独立案由的困境，通过以“个人信息保护纠纷”为案由提起民事诉讼，将会有更多个人信息主体的合法权益得到司法保护。

但与此同时，对于处理个人信息的企业而言，除了刑事高压、行政监管之外，也将可能面临更多的个人信息保护的民事案件，因此，企业需要为此做好充分的准备。当然，与其花费大力气准备好如何应诉以及付出较大代价承担败诉带来的企业声誉、用户好感度等的负面影响，不如做好个人信息合规安排，依法依规依约处理个人信息，这样才能“防患于未然”。

此外，不得不指出的是，“个人信息保护纠纷”作为可以独立适用的民事案由，仅仅是为个人信息民事司法保护建立了良好的开端。个人信息民事司法保护还面临着论证是否属于个人信息、是否存在侵权行为、如何分配证明责任、承担何种侵权责任等一系列后续问题，这些问题还有待理论探讨和司法实践的进一步探索，更有待结合具体案件进行具体分析。

当然，如果最高人民法院能够适时出台个人信息保护方面的司法解释，将能够对个人信息保护相关法律规定的理解和适用以及提起个人信息民事诉讼提供更加详细、更加有效的指导。正如最高人民法院分管日常工作的副院长贺荣就最高人民法院如何进一步贯彻实施民法典回答记者提问时指出：“对于民法典的部分新增制度如性骚扰、自然人声音、自然人的隐私权和个人信息保护等涉及人格权的司法保护，还有待继续立足审判实践、不断总结经验。我们将对这些新规定、新情况深入调查研究，适时出台相关司法解释，以回应新时代人民群众对新类型权益保护的迫切需求。”[5]

总之，虽然个人信息司法保护前路漫长，也可能面临很多坎坷，但“个人信息保护纠纷”案由的确定，为个人信息民事司法保护征程迈出了踏实、有力的第一步，个人信息民事司法保护前景可期。

[注]

[1] 参照《民法典》第一千零三十四条第三款。

[2] 根据最高人民法院关于修改《最高人民法院关于在民事审判工作中适用＜中华人民共和国工会法＞若干问题的解释》等二十七件民事类司法解释的决定（法释〔2020〕17号），此司法解释已被修订，其中，第十二条已被删除。

[3]《民法典》第一千零二十四条第二款。

[4]《民法典》第九百九十条第一款。

[5] 最高人民法院：《贺荣就最高人民法院如何进一步贯彻实施民法典回答记者提问》，载https://mp.weixin.qq.com/s/dYuSZX8AIh7-Oy6PI-e8GQ，最后访问日期2020年1月4日。

The End

作者简介

刘新宇律师

上海办公室合伙人

业务领域：资产证券化与金融产品, 收购兼并, 诉讼仲裁