《民法典》:个人信息保护实操若干问题以及展望
2020年5月28日,第十三届全国人大第三次会议表决通过了《中华人民共和国民法典》(简称“《民法典》”)。将人格权独立成编,并将个人信息保护纳入人格权编是《民法典》亮点之一。《民法典》将于2021年1月1日起正式实施。
《民法典》总则编第一百一十一条延续了《中华人民共和国民法总则》(简称“《民法总则》”)第一百一十一条的规定,对个人信息保护做出了概括性规定,并在人格权编第六章整合了《中华人民共和国网络安全法》(简称“《网络安全法》”)等个人信息保护法律法规以及先前相关的司法解释中的个人信息保护要求,通过主要的八个条文规定了个人信息相关定义、个人信息保护要求以及责任主体和自然人的权利义务等方面。总体而言,《民法典》中的个人信息保护内容没有过多的新意,但在一些细节上进行了明确。考虑到《民法典》重在原则性地提出民事权利的范围以及边界,对个人信息保护还需依赖特别法《个人信息保护法》进行体系性和全面性的规定,这样让大家更为期待《个人信息保护法》的草案。
个人信息的定义
《民法典》对于个人信息的定义没有实质性变化,仍以识别性作为判断个人信息的标准。相比《网络安全法》第七十六条的规定[1],《民法典》第一千零三十四条[2]在个人信息定义的列举部分增加了电子邮箱、健康信息和行踪信息,明确这三类信息属于个人信息。不过这一新增并不算实质性修改,主要是对目前社会上比较关切的问题进行回应。
《民法典》未区分一般个人信息和个人敏感信息,也未对处理不同性质、不同数量的个人信息设定不同规则,但明确了个人信息与隐私权并不一致,二者之间有所区分,也存在一定重合。《民法典》第一千零三十二条将隐私定义为“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”,个人信息中的私密信息属于自然人的隐私,但是这些具体代表了哪些类型的个人信息尚未明确。考虑到《信息安全技术 个人信息安全规范》(GB/T 35273—2020)(简称“《个人信息安全规范》”)中对于个人敏感信息的定义[3],以及比如性取向、未公开的违法犯罪记录、通信记录和内容等个人敏感信息的举例,这个定义很大可能会在今后《民法典》的司法实践中被予以采用,用来判断个人私密信息。对于个人私密信息以及其他涉及隐私权部分的处理,《民法典》规定了比处理一般个人信息更高的要求,即需要个人的“明确同意”或者法律法规另有规定,否则这些处理私密信息的行为属于禁止性行为。
查询和复制权
除《网络安全法》规定的更正权和删除权[4]外,《民法典》第一千零三十七条增加了自然人可以依法向信息处理者查阅或者复制其个人信息的权利,但是并未对自然人查阅或复制个人信息的范围以及信息处理者应当如何响应该等行权请求进行细化。《个人信息安全规范》对于查询权和获得个人信息副本权的规定相比《民法典》而言更为细化,《民法典》在实施的过程中是否会从《个人信息安全规范》规定的角度进行考虑有待明确。
企业在设计内部响应个人行权机制时,如果之前按照《网络安全法》规定尚未涵盖查阅和复制权,宜尽早参考《个人信息安全规范》进行补充和修正。
责任主体
在个人信息侵权的责任主体以及责任划分上,《民法典》的人格权编和侵权责任编都没有做出更为具体的规定,有赖于之后《个人信息保护法》以及司法解释来进一步明确。
《民法典》将个人信息保护的责任主体统称为信息处理者,包含任何处理个人信息的组织或者个人。不同于欧盟的《通用数据保护条例》(General Data Protection Regulation, “GDPR”),我国《民法典》没有对责任主体的控制者和处理者身份进行区分,个人可以对处理其个人信息的控制者和/或处理者提起诉讼,控制者和处理者之间的合同(比如数据处理协议)也仅能作为是两个主体之间的法律责任分配的方式,不能对抗个人。在《个人信息保护法》以及司法解释出台之前,法院在在司法实践中如何认定参与同一个个人信息处理行为的多个主体之间的关系以及其应当承担的责任是值得大家重点关注的方面。
信息处理者承担民事责任的例外情形
《民法典》主要在第一千零三十五条和第一千零三十八条规定了信息处理者的个人信息保护义务,比如遵循合法、正当、必要原则,并且不得过度处理,满足“告知+同意”要求,以及采取技术措施保护个人信息的安全,这些规定和《网络安全法》的规定基本一致。信息处理者如违反上述义务,需要承担相应的民事责任。
值得关注的是,《民法典》规定了信息处理者不承担民事责任的三种情形:情形一,在自然人或者其监护人同意的合理范围内;情形二,合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;情形三,为了维护公共利益或者该自然人合法权益,合理实施的其他行为。上述三种情形在《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条[5]的规定中已经有所体现,但是《民法典》在之前的规则的基础上作了一些明确和限制,特别是情形二中增加了处理的“合理性”要求,并以该自然人未明确拒绝或者处理该信息不会侵害该主体重大利益为限。这一限制可能会对目前业务中涉及处理较多公开个人信息的企业产生较大影响。
在《民法典》出台前,处理公开的个人信息是否需要承担责任还存在一定的不确定性。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中规定的例外情形,仅适用于利用信息网络公开自然人自行在网络上公开或者其他已合法公开的个人信息,可以不承担侵权责任。近期一些执法机关的一些个案也体现了企业在处理公开的个人信息时仍面临一定的限制,不可以随意处理和使用。比如在“杭州浙荣商务信息咨询有限公司侵害消费者依法得到保护的个人信息权利案”[6]中,当事人因将从企查查、企信宝等APP的下载的个人信息用于推销贷款中介业务被执法部门认定侵害消费者依法得到保护的个人信息权利,进而面临责令停止违法行为以及12万元罚款的行政处罚。虽然涉案信息属于公开信息,但是个人公开涉案信息的目的是为了满足企业登记注册等目的,而非允许当事人推销贷款中介业务,当事人的个人信息处理行为已超出了个人的同意范围。由此可见,处理公开的个人信息也应注意个人信息的合规要求。信息处理者在处理公开的个人信息前,也需要重点考虑个人信息公开的目的、公开时是否有限制性声明、个人信息的性质以及拟开展的处理行为可能对个人的影响等方面进行评估,避免因超出合理范围处理个人信息而承担相关责任。
个人信息保护纠纷中的举证责任问题
《民法典》下的个人信息保护纠纷仍属于一般侵权纠纷,因此对于个人信息保护纠纷中的举证责任,还是适用“谁主张、谁举证”原则。原告需要对侵权责任构成要件(即具有侵权行为、侵权行为造成了损害后果、侵权行为与损害后果有因果联系以及侵权人存在过错)承担举证责任。
由于《民法典》与《民法总则》在个人信息保护的侵权责任归责上没有实质性变化,因此目前司法实践中存在的原告举证难的问题还将继续留待观察。2018年8月17日,最高人民法院发布的第一批涉互联网典型案例将“去哪儿网案” [7]列为了个人信息保护领域的典型案例。“去哪儿网案”中,法院虽然没有突破“谁主张、谁举证”原则,但在认定侵权事实发生“具有高度盖然性”的情况下即认定原告完成了举证。“去哪儿网案”中的“高度盖然性”的认定方法一定程度上反映了最高人民法院关于个人信息保护纠纷的态度。但是,“高度盖然性”的认定较为复杂,且司法实践中尚无统一的标准。在“去哪儿网案”前后,有许多法院的裁判都是严格按照谁主张谁举证的原则进行举证责任分配,例如在“苏宁易购案”[8]和“京东案”[9]中,法院都主张由原告对侵权责任的构成要件承担举证责任,由于原告在两个案件中仅能证明损害事实,无法证明其他的侵权责任构成要件,最终法院没有支持原告的诉讼请求。也存在另外一些个案是往过错推定方向倾斜,但是这种尝试在法律规则上可能会存在一定问题,比如在“四川航空案”[10]中,法院认为由于原告举证能力有限,根据公平原则和诚实信用原则要求被告企业对其已经履行了个人信息安全保护义务承担举证责任,实际上将举证责任倒置给了被告企业。
中国目前的个人信息保护水平以及司法实践是否需要对个人信息的侵权责任适用过错推定原则在现阶段还有待考量,因为这种规定会增加企业和组织极大的合规和诉讼压力,在对个人信息的行政以及刑事多头执法的今天,在加一道民事诉讼无疑是需要深思熟虑的。GDPR中规定的诉权与因侵权提起的诉讼完全不同,并且GDPR第82条规定的是过错推定原则,即除非控制者和/或处理者能够证明其没有过错,否则要承担损害赔偿责任。此外,GDPR第82条还明确了可以就精神损失单独请求损害赔偿。欧盟很多国家在很多领域内都没有规定类似美国的集团诉讼制度,然而在GDPR实施两年多的今天,GDPR的第82条在英国已经出现了类似集团诉讼的事态。由于目前许多诉讼在英国也还在具体的流程中,英国法院也还没有对具体的集团诉讼机制的注册规则、损失要求等进行明确,GDPR第82条关于降低个人的起诉难度的社会效果尚未能够明确评估,这也是国内值得关注的一个方向。这也让大家十分期待我国今年立法工作计划中的《个人信息保护法》以及最高人民法院拟于2021年上半年制定《关于审理个人信息权纠纷案件适用法律若干问题的解释》是否会明确该问题。
《民法典》在制定的过程以及最后出台的版本都考虑了一段时间内的个人信息保护司法以及执法实践,特别是《个人信息安全规范》等这些作为短期的制度试水的经验总结的吸收。随着《民法典》的颁布,我国民事领域的个人信息保护规则日臻完善,将为我国的个人信息保护领域的司法实践带来较大影响,个人信息相关的民事诉讼案件可能会出现大幅度上升。单纯看《民法典》在个人信息保护的规则的变化,企业如果已经按照《网络安全法》和《个人信息安全规范》建立合规机制,该等合规机制并不需要进行太大变化,可能只需要在短期内进行微调。但如果企业尚未建立个人信息保护机制,则应尽快着手。同时应注意到,在《个人信息保护法》最终出台之前,个人信息保护的合规水位仍在很大程度上依赖于行政执法和司法实践,因此,企业应当时刻关注数据保护执法和司法实践的外部环境以及相应合规水位的变化,及时调整自己的合规策略以及具体的措施。
[1]《网络安全法》第七十六条 本法下列用语的含义:
(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
[2]《民法典》第一千零三十四条 个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
[3]《个人信息安全规范》个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
[4]《网络安全法》第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
[5]《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条 网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。但下列情形除外:
(一)经自然人书面同意且在约定范围内公开;
(二)为促进社会公共利益且在必要范围内;
(三)学校、科研机构等基于公共利益为学术研究或者统计的目的,经自然人书面同意,且公开的方式不足以识别特定自然人;
(四)自然人自行在网络上公开的信息或者其他已合法公开的个人信息;
(五)以合法渠道获取的个人信息;
(六)法律或者行政法规另有规定。
网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开前款第四项、第五项规定的个人信息,或者公开该信息侵害权利人值得保护的重大利益,权利人请求网络用户或者网络服务提供者承担侵权责任的,人民法院应予支持。
[6] 杭江市监稽罚处字〔2019〕21号。
[7]参见“庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷二审民事判决书”,北京市第一中级人民法院,(2017)京01民终509号。
[8]参见“原告李洋与被告江苏苏宁易购电子商务有限公司隐私权纠纷一审民事判决书”,江苏省南京市玄武区人民法院,(2016)苏0102民初1123号。
[9]参见“赵亚琼等与北京京东叁佰陆拾度电子商务有限公司隐私权纠纷一审民事判决书”,北京市大兴区人民法院,(2017)京0115民初15827号。
[10]参见“林念平与四川航空股份有限公司侵权责任纠纷二审民事判决书”,四川省成都市中级人民法院,(2015)成民终字第1634号。
本文为
方达律师事务所与威科先行法律信息库合作系列,
未经许可,不得转载。
尹云霞(Kate Yin)
合伙人
kate.yin@fangdalaw.com
执业领域:专攻政府调查及公司合规业务
张毅(Gil Zhang)
资深律师
gil.zhang@fangdalaw.com
郭庆营(Patrick Guo)
方达律师事务所
张文豪(Katharina Zhang)
方达律师事务所
本微信公众号所发布的资讯或文章仅为交流讨论目的,不代表方达律师事务所出具的任何法律意见。任何依据本文的全部或部分内容而作出的判断或决定(无论作为或不作为)以及因此造成的法律后果,方达律师事务所不承担任何责任。如果您需要相关法律意见或法律服务,欢迎与方达律师事务所相关律师联系。