LCOUNCIL专家点评丨从司法实践看个人信息的归属、共享和知识产权保护
作者:通力律师事务所 杨迅 | 杨坚琪
个人信息属于谁?
个人信息如何保护?
个人信息的使用如何授权?
虽然中国法律原则性地规定了个人信息受到法律的保护,但是在个人信息的归属、授权和使用上却缺少明确的规定。笔者从近期的案例出发,探究司法实践中对个人信息的权利保护和授权规则。
个人信息的归属和占有
在中国法律提下下,虽然自然人的个人信息受到法律的严格保护,但是法律却从未明确个人信息是一种法律上的“权利”,也未承认任何的自然人或者法人组织可以对“个人信息”宣称“所有权”。从法律层面上来说,无论是《民法总则》第一百十一条,还是《网络安全法》第四十二条,均没有明确地对于“个人信息”的法律定位及其归属的问题做出具体的规定。换言之,根据目前中国法的规定,没有任何的民事主体能够对单纯的“个人信息”主张所有权。
但这并不意味着在中国法下,个人信息可以自由地被任何主体收集、持有、储存与披露。相反,个人信息对于自然人的日常生活、精神自由甚至人格尊严都有着重要的影响,因此中国的监管机构,根据不同行业、不同场景、不同用途等,逐步构建起了一种“场景化”的个人信息保护制度。例如,在网络环境下,根据《网络安全法》的要求,网络运营者收集个人信息都需要经过收集者的同意,并且应当采取技术措施和其他必要的措施,以确保其收集的个人信息的安全,防止信息泄露、毁损或丢失;而在医疗场景中,医疗机构而非病患对病历为载体的病人诊疗信息有“占有权”:根据《医疗机构病历管理规定》规定,医疗机构及其医务人员应当严格保护患者隐私,禁止以非医疗、教学、研究目的泄露患者的病历资料。在金至宝与江苏省人民医院医疗服务合同纠纷案中,法院认为:医院有报管病历的法定义务,病人要求返还病历资料的请求不予支持。类似地,在电子商务环境中,以淘宝诉美景“生意参谋数据”案等典型性案例也表明,电子商务经营者对其在经营活动中获得的客户交易数据的整合拥有“竞争性财产权益”,并且以判例的形式表明该等数据的占有权受到法律保护,未经许可,任何人不得以窃取、电子侵入或者其他非法手段获取该等含有个人信息的数据。
可见,中国法没有明确地或直接对于个人信息的法律地位做出规定,而是采取通过对不同场景下个人信息的收集者或使用者(例如网络运营者、医疗机构、电商平台等)赋予权利或增设法律义务的方式,确认了其对个人信息的“占有权”:即在符合法律要求的情况下,个人信息收集者能够合法地“占有”个人信息的权利。类似的规定对于个人信息收集者而言意义重大,因为在法律上承认个人信息收集者有权“占有”个人信息不仅仅是其能够进一步处理个人信息的前提,也是其能够避免民事、行政、刑事犯罪风险的重要原因。
我国《民法总则》规定了,个人信息受法律保护,未经许可收集使用个人信息给民事主体造成损害的,应当承担民事责任,而《网络安全法》还为违法收集使用个人信息的行为设定了严峻的行政处罚。进一步地,《刑法》第二百五十三还规定,窃取或者以其他方法非法获取公民个人信息的,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。可见,对于个人信息的非法获取的行为而言,其判断并非以个人信息的“所有权”为前提,而是以个人信息是否属于合法“占有”为依据。如果个人信息的收集者没有合法的理由或者“法律依据”能够“占有”个人信息的,在民事方面可能构成民事责任,在行政方面可能受到行政处罚,在情节严重的情况下,甚至可能触及到严重的刑事犯罪。在过去的2018年中,“山东特大侵犯公民个人信息系列案件”(本案中上市公司“数据堂”涉案)、“浙江瑞智华胜特大侵犯公民个人信息案件”等案例均表明非法“占有”个人信息的情形下,个人信息的收集者将会面临严峻的刑事处罚。
这给与我们的提示是,至少在目前的中国,并不是所有主体都有权“占有”其他人的个人信息。在进行任何获取个人信息的行为之前,我们建议个人信息的收集者(尤其是企业)至少从法律的角度上,核实其是否有权“占有”这些个人信息。
个人信息共享的“三重授权”原则
如上文所述,中国的司法实践在一定程度上明确了个人信息的“占有”规则,那么与他人共享其收集和占有的个人信息的行为边界在哪呢?
我们认为,虽然我国法律对此问题没有明确规定,但是观察现有的法院案例表明,中国的司法实践已经产生了一套颇为成形的规制制度。典型的是,天津市滨海新区人民法院披露的关于腾讯诉抖音的(2019)津0116民初2091号的民事裁定书(“2091号裁定”),就个人信息的分享,不仅仅是重申了在微博诉脉脉系列案件中确立的“三重授权”规则,并更加进一步的明确了在“三重授权”下获得的个人信息的使用边界。
我国司法系统对“三重授权原则”的讨论始于有关“微博诉脉脉系列案件”的(2016)京73民终588号判决。该判决首次提出:个人信息使用者从开放平台获取个人信息的,必须获得开放平台的同意,以及个人信息主体的同意。具体而言,“三重授权”规则是一种对于“分享”个人信息情景下“个人信息提供方”与“个人信息接受方”权利义务的进一步调整:首先,“个人信息提供方”必须获得相应的“个人信息主体”的授权同意,同意“个人信息提供方”因特定的目的向“个人信息主体”收集该等个人信息(即“用户授权”);其次,“个人信息提供方”与“个人信息接受方”必须就特定目的下的“个人信息”的使用进行进一步约定,在“个人信息接收方”同意约定的情形下,就“个人信息提供方”提供的特定范围的“个人信息”进行使用(即“平台授权”);最后,“个人信息接受方”在通过“平台授权”获得个人信息时,还需要再次获得“个人信息主体”的同意(即第二次“用户授权”)。此外,“个人信息接受方”应当按照与“个人信息提供方”的约定,在约定的目的达成之后就,“个人信息接受方”应将该等个人信息进行删除或者匿名化处理。在“微博诉脉脉系列案件”中,北京知识产权法院认为这样的方式能够充分地“保护消费者隐私权、知情权和选择权”。
腾讯诉抖音的2091号裁定中,法院进一步发展了“三重授权”规则。原告腾讯使用“微博诉脉脉系列案件”中类似的技术手段(即OPENAPI),通过QQ开放平台和微信开放平台分别向被告抖音提供用户的“个人信息”(主要有微信/QQ用户头像、昵称等数据),提供该等个人信息的目的是“帮助抖音实现用户鉴权、识别身份,以及授权使用有微信/QQ用户头像、昵称等数据的登录功能”。此外,在该等个人信息分享的过程中,双方之间应当遵守腾讯方面拟定的“微信/QQ开放平台开发者服务协议”,其中的第2.6.4条明确约定抖音不得“在未经过用户同意的情况下,向任何其他用户即他方显示或以其他任何方式提供该用户的任何信息。”但抖音在获得“第二次用户授权”后,作为“个人信息接受方”,其能在多大程度内对于获得的“个人信息”进行“二次”使用,则成为了当事人双方论证的焦点。天津滨海新区人民法院认为,“二次使用”应该受到二重限制:
第一,“平台授权”下的目的限制,即“个人信息接受方”不得在“平台授权”时约定的目的之外,以任何方式处理个人信息。腾讯诉抖音一案中,抖音作为“个人信息接受方”在“平台授权”下的目的仅为“接入抖音(程序)并在该应用程序运行状态下使用”,而“不能用于授权登录外的其他任何用途”。就抖音将自微信开发者平台获取的“个人信息”进行二次推广—即在抖音产品中向其他抖音用户“推荐”该等用户并展示其个人信息,这样的使用方式无疑已经超过了“平台授权”时约定的目的。同样地,抖音也不可以违背QQ开放平台和微信开放平台的开发者协议,将该等“授权登录服务”向其关联方提供;或者以“平台授权”模式下获得的个人信息为基础,进一步开发其他的功能,例如将通过“平台授权”后获取的QQ头像和微信头像添加至其陌生人社交功能之中。
第二,更为重要的是,法院进一步论述了“三重授权”下方式获得的“个人信息”应当与经营者从用户处“直接收集”而来的相关的信息相“区别”,即“来源于开放平台的用户信息并不同于抖音从用户处直接收集而来的信息”。这是对于第一点“目的限定”的进一步细化:从法律上看,确实,两种渠道下获得的不同类型的数据,即使是同一主体的,但是同一主体授权时同意的情形也是不同的,因此应当在不同情形下进行区别使用。但这两类不同渠道获得的信息应当区别到何种程度,法院并未表现出明确的态度。
法院的上述观点实际上回应了中国业界的现实:即在中国的个人信息收集和使用体系中,虽然企业相对而言比较容易获得信息主体的同意,但获得信息主体的同意、收集其个人信息并且加以使用的工作仍然需要经营者付出巨大的商业努力。在2091号裁定案件中,抖音通过复制和使用微信平台/QQ平台而积累的用户信息,虽然获取了信息主体的同意,但实际上也以“搭便车”的方式不正当地利用了腾讯就其用户个人信息的收集与使用付出的努力。
针对该种现象,2091号裁定确认了这样的原则:从开放平台获得的用户信息不仅仅受到目的限制,其也不能(或不应当)与“个人信息接受方”直接收集的相关个人信息主体的数据进行混同使用,这是对于“微博诉脉脉系列案件”的进一步突破。该原则的实质是,在保护个人对其个人信息的合法权益的同时,也认可了个人信息收集者就收集信息和积累信息的努力,也是法律所认可和保护的一种“权益”。
“个人信息”作为知识产权受到的保护
除了现行的法律体系对个人信息“占有权”的认可,以及“三重授权”模式下对个人信息收集者就个人信息收集和积累的努力的认可外,我国法律和一系列司法案例实际上确认了在不同场景中,个人信息的收集、使用、占有者在一定程度上对个人信息拥有知识产权或类似知识产权的独占性权利。
首先,虽然单纯的个人信息无法获得著作权、专利或其它知识产权法的保护,但是如果将个人信息进行有意识的选择并加以编辑,那么类似于这样“编辑后的个人信息”,如果其选择或编排满足“独创性”的要求,那么其可以作为“汇编作品”(或其他法域下的数据库权利)受到保护力度最大的著作权法的保护。当然,如何界定“独创性”,简单的收集和目标明确的选择是否构成“独创”的作品,目前无论是理论界还是实务界仍有争议:这样的争议与30年前有关“电视节目预告表”是否能够得到著作权保护的争论类似,其本质都是对于信息的选择本身是否具有“独创性”,是否存在“表达唯一性”进行的讨论。
其次,即使个人信息的收集者/控制者对“个人信息的整合”无法获得著作权法下等同于“作品”的法律或保护,如同前文所述,现有的司法实践也表明了整合信息在实践中也受到相当高程度的保护,这种保护往往是扎根于《反不正当竞争法》的原则之中的。比如在淘宝诉美景案中,法院认为:“生意参谋”数据产品系淘宝公司耗费人力、物力、财力,经过长期经营积累形成,数据收集、整理、使用具有合法性,经过深度开发与系统整合,信息可供消费者参考、使用,淘宝公司对“生意参谋”大数据产品应享有独立的“竞争性财产权益”;在2091号裁定中,法院认为,尽管用户对其提交的头像、昵称等个人信息依法享有相应的权利,微信/QQ平台通过与用户之间的一系列协议,在用户同意的情况下,在保证用户隐私权等其他合法权益不被侵害的前提下,对基于自身经营活动收集并进行商业性使用的用户数据整体同样享受相应的数据权益。这实际上在一定条件下,肯定了企业对其整合的个人信息享有的独占性权利。
再次,如果收集整理的个人信息储存在非公开的计算机系统(或者采取了其他的保密措施),他人在未经授权情况下的侵入计算机系统,或者通过违反Robots协议使用爬虫获取。那么该种行为可能构成非法入侵计算机系统,危害网络安全的侵权、甚至犯罪行为,也可能构成《反不正当竞争法》下新增的“电子侵入”的侵犯商业秘密行为。
最后,就个人信息的进一步使用,如果个人信息收集者在采集或者使用中对技术方案有了实质性改进,那么还可以结合一定的流程与方法,根据个人信息收集者的不同要求,在满足一定的条件下,作为专利、专有技术或者商业秘密受到法律保护。
2019年5月29日,LCOUNCIL联合通力律师事务所,成功举办了“数字经济赋能下,实现企业数字信息利益最大化“Workshop,聚焦数字经济中,企业如何实现数字信息利益最大化全流程问题,特别邀请了通力律师事务所杨迅律师、潘永建律师、辜鸿鹄律师,分别从数据权利规范、合规体系建立、劳动雇佣三大维度进行分享。来自快消零售、医药医疗、TMT、汽车汽配、化工、房地产、教育、物流、金融等行业70余位法务同行齐聚一堂,共同探讨。
点击下方图片查看三位律师分享内容精华总结!
最新活动
精彩回顾