互联网法治 | 数字经济视野下个人信息民事案件的审理现状与法律适用之探

点击上方“中国审判”可以订阅哦！

文 | 北京互联网法院课题组

自2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》确定保护公民电子信息，到《中华人民共和国网络安全法》（以下简称《网络安全法》）和《中华人民共和国民法总则》（以下简称《民法总则》，现已废止）明确个人信息受法律保护，再到《中华人民共和国民法典》（以下简称《民法典》）明确将个人信息作为一项重要的人格权益，以及《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）对个人信息保护进行系统性规范。我国法律对个人信息保护的规则不断完善细化。

相应地，人民法院在民事司法裁判中对个人信息保护的裁判规则也日益清晰。我们通过公开渠道查询2016年至2023年全国各级人民法院审理的有关个人信息的案件，将其作为分析样本研究涉个人信息民事案件司法审理情况。

案件受理情况

在“北大法宝”“中国裁判文书网”以“民事案件”“隐私权、个人信息保护”等关键词进行检索，共获得2016年至2023年8月涉个人信息民事案件576件。可以看出，近年来，涉个人信息权益保护的案件数量呈现稳中有增的势头。究其原因，一是法律法规对个人信息权益保护的规定不断完善；二是数字经济发展进程中个人信息的利用与保护矛盾越发凸显；三是人民群众的个人信息保护意识不断增强。

具体而言，案件呈现以下几方面的特征：

第一，从案由分布情况看，在《民法总则》生效以前，“个人信息”概念相关条文散见于不同法律法规中，致使许多个人信息侵权案件被按照其他案由进行审理。前文所述的576件样本案件主要涉及隐私权纠纷、一般人格权纠纷、网络服务合同纠纷、侵权责任纠纷、个人信息保护纠纷五类案由。

其中，隐私权纠纷案由占比最大，达到78.4%以上。2020年以前，自然人个人信息被公开、泄露，只能以隐私权纠纷、一般人格权纠纷、侵权纠纷等为案由立案追责。2020年修订的《民事案件案由规定》将个人信息保护纠纷作为单独案由后，该类案件数量逐渐增多，公民个人信息受到侵害后可以直接以个人信息保护纠纷案由进行起诉。

第二，从地域分布情况看，涉个人信息民事案件呈现出地域集中的特点。分析可知，不同地区间个人信息权益的司法救济发展不均衡，且案件集中在东部经济发展水平较高的地区。

第三，从案件当事人情况看，涉个人信息民事案件的原告均为自然人。从被告来看，自然人作为被告的案件数量为214件，占比约为37%，公司或者组织为被告的案件数量为362件，占比约为63%。

在自然人作为被告的案件中，诉讼事由多为在公共场所或网络中公开个人身份证、居住地址等个人基本信息、公开生效裁判文书、安装监控设备等。而在以公司或组织为被告的案件中，被诉的主体主要包括金融机构、酒店服务业、各类App运营商、电信服务运营商等对公民个人信息收集利用较多的单位，被诉的事由多为未经同意以收集、提供、公开等方式处理个人信息。

第四，从诉讼形态看，除了传统的平等主体的自然人或者法人之间的诉讼外，公益诉讼正成为个人信息保护的一种重要手段。

案件审理情况

案件审理具有以下几方面的特征：

第一，从案件审理级别看，基层法院、中级法院、高级法院审理案件数量分别为325件、234件、17件，由于案件涉及标的较小，一般由基层法院一审审理。其中，二审案件116件，申请再审的案件16件，一定程度上反映出涉个人信息案件争议较大，法律适用方面尚未形成较为统一的裁判观点，上诉和再审的提起率较高。

第二，从结案方式看，涉个人信息民事案件判决书424件，裁定书152件，案件的调解、撤诉率相对较低。

第三，从责任承担方式看，在涉个人信息民事案件中，法院支持的责任方式包括删除个人信息、赔礼道歉、赔偿经济损失、承担维权合理费用、支付精神损害抚慰金。由于个人信息蕴含的经济价值难以衡量，违法处理个人信息活动对个人信息权益人造成的财产损失和精神损害赔偿也难以准确评估，而维权合理费用通常只包括鉴定费用而不涵盖律师费用，精神损害抚慰金更是仅具有象征意义。从裁判结果看，个人信息民事案件中经济损失数额普遍偏低，案件样本中只有极少数的案件赔偿金额超过一万元。

案件审理难点

具体来讲，案件审理难点体现在以下几个方面：

第一，《个人信息保护法》与《民法典》的适用有待进一步协调。《民法典》确立了个人信息保护的基本框架、价值、理念，为个人信息保护确立了最基础的规则。但《个人信息保护法》与《民法典》的调整范围存在差异，如何正确理解这种差异是准确适用法律的前提。同时，个人信息权益与其他人格权利存在重合、交叉的关系，法律适用可能出现聚合、竞合等关系。如人脸信息属于个人信息，但同时也可能属于个人肖像权的范畴；个人征信信息录入错误既可能构成对个人信息的侵害，同时也可能构成对个人名誉权侵权的可能。

第二，个人信息范围和认定在司法实践中仍需进一步明确。《个人信息保护法》将个人信息界定为“已识别或者可识别的自然人有关”的信息，即通常所说的“识别说+关联说”。而在司法实践中，可以直接认定为个人信息，如居民身份证号码、手机号等几乎不会引发争议的个人信息类型，大多数情况下法官需要结合个案情况进行分析判断。

第三，个人信息案件举证责任分配仍存在争议。民事诉讼遵循“谁主张，谁举证”的原则，因此，个人信息权益受侵害方应当举出其受到加害方侵害的初步证据。然而，个人信息收集者和处理者本就处于信息处理的优势地位，个人实际上难以知晓其是否存在过错。且实践中受侵害方需要举证的证据往往被集中控制于加害人一方，这也进一步加重了受侵害方的举证难度。

第四，个人信息侵权行为认定的裁判标准需进一步细化。虽然《个人信息保护法》进一步强化了处理个人信息“告知—同意”的合法性基础，并明确了告知、同意的标准，但从司法实践看，对有效告知、同意的标准和方式的认定仍需要进一步细化。同时，《个人信息保护法》还规定了无须同意即可处理个人信息的情形，对于该种情形如何把握还存在争议。

第五，个人信息侵权的损害赔偿有待进一步明确。实践中，除个人信息泄露导致直接财产损失外，侵害个人信息导致的财产损失、收益较难计算，且规模化处理场景下，个体个人信息权益受到侵害的财产损失是否应得到支持及其计算标准也存在争议。就是否可以适用精神损害赔偿，理论和实践中也存在争议。有观点认为，个人信息权益损害赔偿规则侧重救济的是个人信息权益人因其权益被侵害而造成的财产损失，是“个人对其个人信息”在“人身财产安全”方面利益的损害赔偿，因而不应适用精神损害赔偿。也有观点认为，《个人信息保护法》第六十九条第二款规定的损害适用于所有的损害，既包括财产损失也包括精神损害。而在实践中，个人信息受到侵害更多表现为一种精神上的损害，如焦虑、不安等，对此种损害是否支持精神损害赔偿存在争议。

个人信息保护纠纷的法律适用

《民法典》与《个人信息保护法》均有保护个人信息权益、协调个人信息的保护与利用的目的。根据学者相关观点进行总结，二者的关系包括：第一，《个人信息保护法》是对《民法典》相关规定更具体、更详细的规定；第二，《个人信息保护法》对相关民事问题通过转介条款或相关规范指向《民法典》；第三，《个人信息保护法》与《民法典》的某些规定虽然规范对象相同，但由于规范目的不同，故二者适用的情形不同，并行不悖；第四，《个人信息保护法》相较于《民法典》是对相关问题的特别规定，应优先适用。

在具体适用方面，我们认为需要注意以下六个方面的问题：第一，《个人信息保护法》丰富了个人信息处理的基本原则和告知同意原则。对合法、正当、必要原则进行了细化，新增了公开透明原则、诚信原则、目的限制原则、质量原则及责任原则作为个人信息处理的基本原则，并且对告知同意原则的具体规则、标准进行了细化。第二，需要准确理解《民法典》与《个人信息保护法》对个人信息的定义。第三，《个人信息保护法》中关于处理个人信息合法依据的规范是对《民法典》的完善，二者共同构成个人信息处理的合法性基础。第四，涉及个人信息保护的权利实现、责任承担、共同处理和委托处理的责任承担、格式条款规制等，需要通过转介条款，适用《民法典》的相关规定。第五，涉及私密信息与敏感信息、死者个人信息处理，因两法的适用情景不同而分别适用。第六，涉及个人信息保护纠纷的归责原则、损害赔偿归责原则，因《个人信息保护法》有特别规定而适用该规定。

此外，行政规范在个人信息民事裁判中的意义也不容忽视。近年来，各相关职能部门也颁布了诸多个人信息保护相关的规章和规范性文件，涉及个人信息处理的具体领域。如《个人信息保护法》对个人信息收集范围提出了最小必要原则，但并未对“最小必要”进行解释说明，而国家互联网信息办公室等四部门联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》即明确了39类常见类型移动应用程序必要个人信息范围，正好与这类案件的争议焦点匹配，因此可以在司法裁判的说理部分进行参照。

个人信息的概念和范围

个人信息的概念与范围是个人信息法律保护的基础问题。《民法典》第一千零三十四条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”《个人信息保护法》第四条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”从《民法典》到《个人信息保护法》的规定，我国法律、相关标准对个人信息定义经历了从“识别”到“识别+关联”的变化。

关于“识别”的理解，“识别”是个人信息的核心要素。《网络安全法》及《信息安全技术——个人信息安全规范》（以下简称《个人信息安全规范》）中均将“识别”的对象指向了“个人身份”或“特定自然人身份”，有学者将其归纳为“身份识别说”，但该说在个人信息还未从隐私概念中析出时，易致隐私与个人信息难以区分。一个典型案件为我国“cookies侵害隐私权第一案”，即朱某与百度公司隐私权纠纷案。该案中，原告朱某认为，百度公司利用cookies技术收集其信息，未经其知情和选择，记录和跟踪了其所搜索的关键词，将其兴趣爱好、工作特点等暴露在相关网站上，对其浏览的网页进行广告投放，侵害了其隐私权。二审法院经审理认为，百度公司在提供个性化推荐服务中运用网络技术收集、利用的是未能与网络用户个人身份对应识别的数据信息，在此过程中没有且无必要将搜索关键词记录和朱某的个人身份信息联系起来，因此，百度公司未侵犯朱某隐私权。虽然该案以隐私权纠纷为案由，当时法律尚无个人信息的定义，但该案判决中也围绕着“身份识别”与个人信息的关系进行了论述，该案对于“身份识别”的理解即要求必须识别至现实社会中的“朱某”这一具有社会属性身份的具体个人。

我们认为，如果仍以“现实身份”作为个人信息识别的对象，则可能使得大量应被规制的个人信息处理行为不能为法律所规制。个人信息权益诞生的重要背景是规模化、自动化个人信息处理行为广泛出现。在此情境下，实施自动化处理的“机器”或“系统”无须确认处理信息的主体在现实社会中的身份，依然可以达到大量个人信息处理的商业化目的，其典型如个性化推荐、商业广告，以及被广泛诟病的“大数据杀熟”等。系统仅依赖数字化标签、算法即可实现上述功能，进而可能出现侵害自然人知情、公平交易等权利，完全无须知晓、也不关心是否与现实中的“朱某”或“张某”对应。如果因无法识别至具体个人即不属于个人信息，则将使得上述行为无法受到个人信息保护的法律规制，这显然无法达到信息化、数字化时代保护个人信息的目的。

《民法典》对识别的对象确定为“特定自然人”，《个人信息保护法》仅以“自然人”作为识别对象，实际上弱化了“身份识别”概念。笔者认为，个人信息识别性的最低标准，应明确为识别对象是自然人，且为区别于其他自然人的存在即可。

我们认为，从“识别”到“识别+关联”，区分“识别说”和“关联说”的意义，主要在于对《民法典》和《个人信息保护法》中个人信息定义的理解。《民法典》和《个人信息保护法》在此问题上的立法精神和内在逻辑具有一致性。审判中，由于《个人信息保护法》为《民法典》的特别法，且其作为更为明确具体的规定，可以优先适用。

在《个人信息保护法》出台前，已经有相关裁判进行了探索。如在黄某诉广东深圳市腾讯计算机系统有限公司隐私权中，涉及对用户的好友关系、阅读记录等信息的收集使用，法院在案件中参考了《个人信息安全规范》的判断方法，指出已经识别的自然人的相关信息，属于个人信息。《个人信息保护法》实施后，上述《个人信息安全规范》的个人信息判断方法，事实上也可以作为依据《个人信息保护法》判断个人信息的方法。当然，《个人信息保护法》相对宽泛的个人信息概念，也导致了可能“包罗万象”的适用困境。理论界提出了诸多关于个人信息的“场景化”“合理技术能力”等理论，试图为个人信息的范围划定相对确定的界限，这仍需要实践不断积累。

关于匿名化的认定问题，匿名化是平衡个人信息保护与使用的重要内容。匿名化的要求是使得信息不再具备可识别性，由此个人信息处理者可以合理流转和利用个人信息，个人也不会因此遭受个人信息权益的侵害。我们认为，“匿名化处理”标准虽然具备强烈的技术性和专业性，但其本质仍是以信息处理者在客观上保护个人信息权益的措施效果为主，以信息处理者在主观上保护个人信息权益的意愿为辅，来判断信息处理者是否可以不适用对信息处理活动规范更严格的《个人信息保护法》。由于特定个人信息在特定行业、特定处理场景下的匿名化可能涉及整个行业的数据处理标准，影响行业发展，人民法院在案件审理过程中要特别注意是否存在特定领域相对成熟的匿名化技术标准、行业标准等。

随着技术的发展，个人信息处理活动的类型始终处于变化中，法律要面临的适用场景和裁判需要解决的争议问题也层出不穷。笔者认为，在个人信息保护案件的裁判中，人民法院要充分把握平衡权益保障与数据利用、人格权优先保护、合理运用技术、规范与发展并重的原则，做好案件“三个效果”的统一。

【该课题为最高人民法院 2022年度司法研究重大课题 “个人信息保护司法路径研究”（项目批准号:ZGFYZDKT202212-01）研究成果；课题主持人：张雯（现为北京金融法院院长），执笔人：姜颖、孙铭溪、颜君、张亚光、高雅、侯荣昌、赵琪、毛春联】

本期封面及目录

<<  滑动查看下一张图片  >>

《中国审判》杂志2023年第19期

中国审判新闻半月刊·总第329期

（关注“中国审判”微信号，获取更多精彩资讯）

编辑/徐畅