【律师视点】辛小天:《民法典》展望 | 个人信息民事救济如何解困隐私权诉之惑
德衡律师集团合伙人
隐私权的定性以及民事权利救济经历了很长时间的探索,直至2017年《民法总则》才正式作为人格权的一种进行列明。
看点
一、在司法案例中,隐私权的民事侵权主要特点包括:
1. 以“私密”为判定核心
《民法典》中对隐私的定义为“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”因此“私密”为隐私权界定的核心,也是司法案例中认定隐私属性围绕的基本原则。比如偷窥别人的私人空间、私人邮件等行为是,曝光病史等均属于隐私权侵犯的典型体现。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》列举了部分因为其属性可以直接判定隐私的信息,包括自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等。
而认定争议较大的主要集中于那些具有一定的社会识别性的,其目的是为了在一定范围公开而不能明显判断隐私性的信息。例如身份证号码、电话号码、邮件地址、住宅地址、网上交易信息以及银行交易记录等等都具有这种特征,部分法院判决中,姓名、考试成绩等信息也被视为属于在社会交往和公共管理中必须在一定范围内为社会特定人或者不特定人所周知的,而非私生活中绝对自我空间的范畴。该类信息的识别性和共享性对传统隐私权的判定和私权利制度产生了挑战,因此在具体案例中需要针对使用情景判定对私密性的侵犯,并不能因为简单的信息分类进行绝对化划分。我们看到法院的裁判中会着重考量和论述该类信息的侵犯和公开对于私人生活安宁状态的侵扰事实和风险性,但因为缺乏明确的法定标准导致了独立案件判决上的不确定性。例如以下案例中,被告均将个人社会识别信息进行公开,但法院给出截然不同的认定。
在夏欣与北京电视台隐私权纠纷案中,电视节目视频中有2秒左右的视频特写显示了原告的身份证号码,法院审理认定,单纯的身份证号码并不直接等同于公民隐私权,北京电视台在报道中未对身份证号码进行遮挡并不当然被认定为暴露隐私,并且被北京电视台在进行新闻报道时已经尽到了相关的谨慎注意义务,对夏欣面部进行了遮挡处理,以其他姓氏代称或隐去其名,这一系列处理措施足以保障原告名誉权及隐私权,并不存在过错,行为合法适当,并不构成隐私权侵权。
而在赵圣祥(原告)与新丽传媒股份有限公司案件中,被告将原告的个人信息(电话号码)通过电视播放的方式公之于众,使得原告的联系方式被不确定的第三人所知悉,法院最终认定该等行为导致原告的私人生活安宁被侵扰,因此隐私损害成立。在冯立颖、王淑娟隐私权纠纷中,被告在公共走廊安装监控,虽然公共走廊也不属于私人生活空间,但法院认定该装置可以完整地监控相邻住户出入住宅的全部情况,记录和存储原告不愿他人知悉的个人信息,容易造成个人信息的泄露,对原告的个人居住环境安宁造成了侵扰后果,应视为民事侵权。
2. 以“公开”的主要构成要件
《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(“最高院人身权益适用规定”)定调了“公开”应作为互联网环境下侵犯隐私权的构成要件。[1]
北京百度网讯科技有限公司与朱烨隐私权纠纷案中,法院认定百度网讯公司利用网络技术通过百度联盟合作网站提供个性化推荐服务,其检索关键词海量数据库以及大数据算法均在计算机系统内部操作,并未直接将百度网讯公司因提供搜索引擎服务而产生的海量数据库和cookie信息向第三方或公众展示,没有任何的公开行为,不符合《规定》第十二条规定的利用网络公开个人信息侵害个人隐私的行为特征。
但是在网络以及大数据的广泛应用,绝对“公开”或绝对“保密”的个人信息已经越来越少。“公开”性的判定应该聚焦是否超越信息主体提供信息时允许使用和披露的范围以及是否超越了合理的公开和披露情形。根据最高院人身权益适用规定以及相关案例判决,公开隐私侵权的例外情形和理由包括:公共利益、学术研究、自行网络公开、保障雇主合法利益、履行司法行政程序和维护新闻报道自由等。
修玉婵、海阳市融昌塑编包装有限公司隐私权纠纷案中法院认定雇主公司将雇员微信、QQ聊天记录作为证据提交海阳市劳动人事争议仲裁委员会申请仲裁属于依法举证行为,不属于向社会公众公开,不存在违法、侵犯雇员隐私的情况。
丁彬、泸州市江阳区蓝田土地整理开发有限公司隐私权纠纷中,法院最终认定开发商将为购房人办理商品房贷款的过程中获取到的丁彬个人征信信息提供给行政机关的行为,属于按照相关行政机关要求提交报送,不存在购房人的个人征信信息未在不特定的人群中进行传播,一般公众无法知晓购房人个人征信信息,因此该行为不属于非法使用、提供或者公开个人信息。无证据证实开发商存在故意收集购房人个人征信记录,并将其个人征信记录刻意予以公开等行为,不足以构成承担侵权责任的过错行为。
但合理理由使用的边界以及使用限制并没有明确指导,起诉中增加了对合理使用范围和程度的举证难度,增加了裁判的不确定性。
夏欣与北京电视台隐私权纠纷,法院认定被采访人和被报道人在一定程度上对于新闻报道的自由负有配合和容忍的义务。而在2018年最高院公布的另一个案例中:某网络公司网站转载路透社在某教育心 “戒网瘾”少年的采访,其中出现了未做马赛克处理的戒除网瘾的青少年照片。该案中法院最终认定该网站作为网络服务提供者没有尽到新闻转载审核义务,未保护未成年人个人隐私,构成对未成年人隐私权的侵犯。
两个案例均提出了新闻媒体言论自由与隐私权保护的平衡问题,但是无论判例还是现有法律规定中均缺乏新闻媒体和转载网站的合理审核和保护义务的具体标准定性,因此大大减损了对于类似案例的参照意义。
3. 获赔困难,赔偿金额度太低
随着各国(地区) 20世纪以来的社会经济发生重大变化,人格权的商业化和财产价值受到重视,例如美国、德国,台湾地区等判例均承认隐私的财产价值。
但根据我国理论,隐私权作为个人享有的基本权利和自由,属于典型的人格权,受侵害获得金钱赔付的唯一民事途径是寻求精神损害赔偿。根据《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》,精神损害赔偿以严重后果为前提。因此,现实案例中被侵权人为追索精神损害赔偿能提供的法院认可的直接证据非常受限,即便出示证据,但案例赔付一般均不超过10000元,很难平衡诉讼成本,远远降低了侵权成本,对于侵权人难以起到足够的威慑和惩罚作用。
看点
二、个人信息保护是对隐私权的有力补充救济
具有人格和财产权双重属性的个人信息保护的引入可以达到对隐私权民事救济的有力补充。《民法典》沿袭《民法总则》的二分制原则,将隐私权和个人信息保护在人格权篇中区分列举,规定“隐私权侵权适用隐私权保护,隐私权无法保护的适用个人信息保护”。
虽然隐私和个人信息内涵本身就具有很多的交叉性,并且随着信息化和大数据应用的爆发,两者的外延边界区分已经越来越模糊(欧美立法上已经不再探讨两者的区分性,均采用一元制的方式整体涵盖,美国称为大隐私,欧盟则统一归入个人数据管理)。由于个人信息和隐私的属性定性、主体的控制力以及救济途径上仍存在区别,通过个人信息侵权的民事诉讼途径对弥补现有隐私权的主张难救济弱的问题应被寄与厚望:
1.隐私权为纯粹人格私权,而个人信息因为共享性,通常被视为人格权和财产权结合的产物。这意味着在个人信息诉讼索赔中被侵权人可以在精神损害赔偿的选项上,增加对于财产损害赔偿的索赔。另外,隐私权案例中主张比较单一,往往集中于对于“公开”的侵权行为,甚至隐私权概念中涉及到的收集和利用行为也很少有成功的案例。根据个人信息保护中对于数据主体控制权的进一步细分,个人信息主体享有同意权、知情权、更证权、删除权等多角度权利,在主张和行为救济上个人信息之诉具有多样的选择,。
2.主流学者观点,隐私权是被动的防守型人格权,个人信息的保护上目前制度和监管上已经越来越重视赋予数据主体的主动控制权,包括附属于个人信息保护上的数据主体的知情权、删除权、被遗忘权、修改权等均体现了该等控制力。因此在诉讼争议中,相对于隐私权之诉证明私密性的难点和困惑,数据主体应更容易直接证明对个人信息的失控。例如数据主体可以直接通过平台未设置数据删除的操作界面、为提供隐私政策说明信息使用的范围来证明对个人信息的删除权、知情权的失控性。
3.隐私权之诉中对于“私密”性论述和举证是首要解决问题,很多用户主张因为这第一道“坎”而失败(例如上述百度案件以及美国的Patrick E . Dwyer v . American Express Company 案中,法院都认定数据分析获得用户消费习惯以及上网习惯均不属于用户的隐私),导致了在隐私权案件中公众与其个人数据信息的使用者之间出现严重的信息能力差异。个人信息是能够直接或间接识别到主体身份的信息,该等信息的范围无论是抽象的概念定性还是具体的种类列举已经很详尽的反映在各法律法规标准中。个人信息侵权的案件在证明被侵害客体与主张方的关系上是直接和简单的,例如姓名、身份证号、邮箱、住址、生物识别信息都是天然具有身份的关联性,避免隐私权之诉中对于“私密”性论述和举证的困扰。
4.在证明侵权方过错方面,近年行政处罚和刑罚体系对于个人信息保护已经先行和成熟,已构成刑事犯罪、公开行政处罚、整治活动黑名单等可以直接作为侵权要素中过错的重要证明,缓解被侵权方因技术和对抗地位的失衡导致的传统举证难题。
看点
三、个人信息民事诉讼救济实现的展望
个人信息的侵权处理目前还是主要通过行政手段和刑法打击犯罪,不能弥补被侵权人的财产和非财产的损失。而由于缺乏明确的个人信息独立民事救济规定[2],现有案例中个人信息只能通过游移和附着于独立人格权(包括“名誉权”、“姓名权”、“隐私权”)等进行迂回处理,增加了法院论证、裁判和当事人适用的不确定性。在考虑到现有案例体现的问题以及借鉴国外私法保护经验,笔者特别关注和期待个人信息侵权救济途径中能实现如下问题的解决:
1. 重塑个人信息侵权的举证责任原则
《侵权责任法》普遍适用过错责任制[3],仅针对个别特殊个人信息,例如病历信息侵权规定了无过错责任。在没有引进其他辅助资源的前提下,数据主体对个人信息侵权行为一直存在举证难的问题。2014年庞理鹏与趣拿和东方航空纠纷案中,二审法院对举证责任进行了变通,认为作为普通公民很难对一家大型企业内部数据信息的运用举证,原告只要证明被告数据使用方存在侵权的高度可能性且被告提出的反驳或者反证不能排除可能性就认定被告侵权。
从个人信息侵权案件特征来看,大部分侵权人是具有相当实力的技术和商业公司,增加了加害行为的隐蔽复杂性,对于非具备专业知识的被侵权个人或消费者承担专业领域的举证对抗成为了不可能完成的任务。因此现有《侵权责任法》过错责任制显然在这类案件中不能作为普适性举证原则。
举证责任标准如果不能明确, 会导致每个案例中过于依赖法官自由裁量权从而影响着相关法律的正确适用。英美法系中对于举证责任分配适用“对实现个案正义”原则,比如按证据的距离来规定判定当事人对控制证据的可能性,从而分配举证责任。从这个原则出发,在隐私权和何人信息案件中显然对于证据更强控制方应为侵权的技术或商业公司。该原则在《欧盟通用数据保护条例》(GDPR)的数据控制者自证责任要求有典型的体现——数据控制者有责任提供内部文件证明以及数据使用书面的记录,支持自身是否遵循规定。
针对个人信息和隐私权案件,国外立法上有进一步细分侵权主体的性质来进行举证责任的区分,例如德国对于“公权力”主体(例如政府)的行政侵权行为适用无过错责任,对于非公务机关过错的认定适用过错责任原则,采举证责任倒置主义。我国香港的《个人资料条例》中针对雇主对资料受害人的法律责任和补偿,采取过错推定归责原则,由雇主举证证明免责要素。
2. 突破侵权的财产赔偿额度
根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十八条,在利用信息网络侵权案件中,当损失和利益都不能确定时,人民法院自由裁量的限额应为 50 万元。而隐私权和个人信息主要涉及的数据由于抽象性的特点,使得具体损害的数额的举证以及法院自由裁量的基础成为实践中的难点,在个体的实际案例中,获得的赔偿金额往往极低。笔者认为,最终让个人信息充分体现财产属性才是二分制增强被侵权人救济途径的意义所在。个人信息商业化利用中财产价值的体现和商业直接受益不言而喻,以往我们能看到最直接体现在倒卖的非法获利,最近两年拥有众多客户数据的企业在融资和股权交易中数据也作为估值定价的有力依据。
数据资产在价值上有明显的特殊性,单个主体的个体信息的独立价值或数据主体的消极损失认定并不高(这点从倒卖个人信息案件获利单价完全可以体现出来),但是伴随大数据利用手段的加持,包括碎片化信息的画像组合、海量化大数据挖掘、分析等,整体数据包的商业价值会被急速提升,而且远远超过数据本身的简单集合,影响链条也会很长。无论是受影响的数据主体个人或是法官都很难按当时的状态准确直接判断整体后果和损失额度。
在美国的Patrick E . Dwyer v . American Express Company 案中,被告将作为客户的原告们的个人姓名等数据库商业出租给第三方是否是对原告姓名的不当使用问题上,法院认为:不可否认,每个开户人的名字对于被告都是有价值的。名字越多就越有价值。但是对于被告(或者某商人)来说单一的和随机的名字是几乎没有价值的。相反,只有将个人名字与被告的名单结合在一起才有价值。被告通过对这些名字的分类和集合才产生了价值。
海量大数据个人信息的侵权也往往意味了更直接的侵权人的主观恶意性以及社会影响。因此传统的以财产实际损失为赔付计算基础的直接损失计算方式并不具有威慑意义,在个人信息侵权中类似GDPR的高额、惩罚性的赔偿制度应更具有意义。
3. 加强行业自律组织作用,扩展集体诉讼共同诉讼模式
可以通过扩展行业自律、集体诉讼等模式解决隐私权和个人信息侵权诉讼中个人主体诉讼实力的天然薄弱性。以美国为例,在对隐私权的保护上采用以行业自律模式为主,具体而言分为两种方式:一是网络平台中较大的企业或者商家共同制定一套行业准则,该准则规定网络中的企业“应当遵循什么”,“违反规定会受到何种惩罚”,参与的成员必须保证将遵守网络隐私权作为其行动的指导原则。在这种自律模式下,若出现纠纷,个人、企业、政府都可以参与到谈判过程中去。二是成立隐私权的认证机构,只需要认证机构的“印章”便能确定该内容为隐私权,减轻司法程序中对于隐私范畴的举证和论证负担。
公权力的加持和更多庇护也是解决诉讼能力不平衡,弥补以个人诉讼困难的可选方式。美国《儿童在线隐私保护法》实施中赋予了政府检察官很大的权力来对违反者提起民事诉讼,而不是依赖权利人个体来实施有关法律。我国《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》中明确了对于公益诉讼案件的举证应当由法院搜集,但由于公益诉讼在原告范围、请求类型以及受案范围方面目前规定过窄,在现有个人信息案件中公益诉讼并未向欧美等过被规模性适用和发挥明显的作用。
个人信息的民事诉讼之路的宽度由立法和司法实践的深度和广度决定,本次《民法典》未就个人信息侵权要素、构成和落地途径进行规定,只能期盼司法解释以及专项《个人信息保护法》的出台填补。另一方面随着个人信息诉讼的打开,隐私权侵权是否可能会逐步沦为宣示性的权利,逐步丧失民事救济的实际意义,也许会成为立法者另一个需要思考的问题。
注释:
[1]《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条:”网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持……”
[2]《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》规定,行为人利用信息网络侵害他人的个人信息,只有在侵害他人姓名权、名誉权、荣誉权、肖像权、隐私权等人身权益并造成损害时,才需要承担民事责任。
[3]《中华人民共和国侵权责任法》第六条的规定,行为人因过错侵害他人民事权益,应当承担侵权责任。根据法律规定推定行为人有过错,行为人不能证明自己没有过错的,应当承担侵权责任。
参考文献:
[1]王利明:《论个人信息权的法律保护———以个人信息权与隐私权的界分为中心》
[2]王成:《个人信息民法保护的模式选择》
[3]吴伟光:《大数据技术下个人数据信息私权保护论批判》
[4]张新宝:《<民法总则>个人信息保护条文研究》
[5]张新宝:《从隐私到个人信息: 利益再衡量的理论与制度安排》
[6]毕玉谦:《民事证明责任研究》
[7]徐卉:《通向社会正义之路-公益诉讼理论研究》
[8]李永军:《论<民法总则>中个人隐私与信息的“二元制”保 护及请求权基础》
[9]REPORT TO THE PRESIDENT BIG DATA AND PRIVACY: AT ECHNOLOGICAL PERSPECTIVE Executive, Office of the President, President’s Council of Advisors on Science and Technology , M ay 201 4, https: //www .whitehouse.gov/sites/default/files/microsites/ostp/PC A ST/pcast_ big_ data_ and_ privacy_ -_m ay_201 4.pdf
或许您还想看
【律师视点】辛小天:无人驾驶车辆信息和数据保护的法律监管思考
【律师视点】辛小天:数据合规的中西大餐, 能否尝出融合的味道?
【律师视点】辛小天:信息保护标准解读系列之二 | 《生物特征识别信息的保护要求》解读
【律师视点】辛小天、王婧宇:长租公寓、业主、租客三方叫苦,租金都去哪儿了? ——再次认识“租金贷”
【律师视点】辛小天、杨玥祺:“Facebook”们在印度将面临的新数据监管要求
【律师视点】辛小天:印度屏蔽59个中国app的“胆量” ——了解印度IT法案第69A条
作者简介
辛小天
德衡律师集团合伙人,互联网与TMT业务中心总监, 网络空间安全战略与法律委员会委员,清华大学创业引导年度荣誉导师。
辛小天律师曾就职于MayerBrown JSM 律师事务所,美国美富律师事务所,通用电气及奇虎360 。擅长投融资以及并购法律、互联网法律及合规风控、反垄断法、公司法及劳动相关法律、外商投资及外资公司设立相关法律、中国房地产开发、房产租赁、融资及抵押相关法律、酒店管理相关法律经验。主要业绩:奇虎360多个对外投资项目、奇虎360内部反舞弊等风控制度设立参与、阿里全资收购瀚海源项目法律顾问、乌云公司海外融资项目法律顾问、清华大数据产业联合会法律顾问,并协助多个投资项目、三里屯房地产项目法律咨询、喜来登、万豪、凯宾斯基、悦榕庄等数个酒店管理项目法律顾问、Apollo 基金中国反垄断申报等。
手机:13911159437
邮箱:xinxiaotian@deheng.com
质控人简介
高级联席合伙人
互联网与TMT业务中心副总监、金融科技合规应用专业委员会主任
邮箱:chenguoyu@deheng.com
✦本文仅代表作者观点,如需转载、节选,请在后台留言