《个人信息保护法》具体适用中的若干问题探讨——基于《民法典》与《个人信息保护法》关联的视角
The following article is from 法律适用 Author 郭锋陈龙业贾玉慧
作者
郭锋、陈龙业、贾玉慧
本文系2019年度国家社科基金重大研究专项“运用司法解释弘扬社会主义核心价值观研究”(批准号19VHJ002)阶段性成果。
摘 要
《个人信息保护法》中的私法规范与《民法典》属于特别法和一般法的关系。告知同意规则作为个人信息处理的核心规则,司法层面应当对“不同意就不提供服务”等违反自愿原则取得个人同意的效力予以否定评价。除个人同意外,法定许可也是个人信息处理的重要合法性基础。在信息处理者违法处理个人信息的归责原则上,《个人信息保护法》明确适用过错推定责任,实现了与《民法典》第1165条第2款的有机衔接。损害赔偿责任的承担,应当参照有关司法解释的规定予以确定。
关键词
个人信息 告知同意 法定许可 过错推定
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)已于2021年11月1日正式施行。这是我国第一部专门针对个人信息保护的系统性、综合性法律。这部法律坚持和贯彻了以人民为中心的法治理念,聚焦个人信息保护领域的突出问题和人民群众的重大关切,既立足我国国情又充分借鉴域外立法经验,从个人信息处理的基本原则、个人信息及敏感个人信息处理规则、个人信息跨境传输规则、个人信息保护领域各参与主体的职责以及法律责任等方面对个人信息保护进行了全面系统规定,极大加强了我国个人信息保护的法治保障,在世界范围都具有领先水平。与此同时,作为一部全新的、极具前沿性的法律,《个人信息保护法》所创设的个人信息保护和处理规则还有待进一步阐释,特别是在司法实践中如何适用这些规则,仍然需要深入研究。本文仅就《个人信息保护法》中与司法实务密切相关的几个问题进行探讨,以期对理解和适用个人信息保护规则有所裨益。
一
关于《个人信息保护法》与《民法典》的关系
《中华人民共和国民法典》(以下简称《民法典》)对个人信息保护作出了基础性规定,其中人格权编以专章“隐私权和个人信息保护”对个人信息的定义、私密信息的适用规则、个人信息处理的基本原则和条件、免责事由、信息处理者的义务等内容予以规定。《民法典》中相关规定与《个人信息保护法》究竟是何种关系?人民法院在审判实践中应当如何适用?这是贯彻实施《民法典》《个人信息保护法》所亟需解答的问题。
关于二者的关系问题,学界存在不同观点。有观点认为,《个人信息保护法》的义务主体、调整范围、执行机制等均明显不同于《民法典》,不能将《个人信息保护法》视为《民法典》的特别法。只有违反《个人信息保护法》的行为造成权利人民事权益损害的,《民法典》才从民事责任追究方面进行衔接,二者在法律体系中分别发挥不同的作用。有观点进一步阐释认为,《个人信息保护法》是国家履行宪法层面的保护义务的结果,而不是以保护个人对个人信息的控制性权利为目的的、民法的特别法。《个人信息保护法》生效后,《民法典》中有关信息处理的行为规范应以“新法优于旧法”的规则被整体性替代,其所剩余的是确认个人信息之于人格权益的功能。另一种观点认为,《个人信息保护法》作为全面、系统地规定个人信息保护规则的一部立法,在性质上属于“领域法”的范畴,也就是说其既涉及私法规范,也涉及公法规范,其中的私法规范在性质上属于民法规范。个人信息权益作为由《民法典》所确认的重要民事权益类型,自然也受到《民法典》的调整和规范,需要以《民法典》为基础来展开。因此,《个人信息保护法》中有关个人信息保护的私法规范应当属于民法的组成部分,其解释、适用应在《民法典》的框架体系中展开。《个人信息保护法》中的私法规范与《民法典》的规范之间应当是特别法和一般法的关系。
笔者认为,上述观点虽然对《民法典》和《个人信息保护法》的关系存在不同认识,但在法律适用层面具有内在一致性,这对司法实践准确理解二者的关系提供了理论支撑。《民法典》是民事权益的宣言书,是私权领域的权利宪章,是保障民事主体民事权益的基本法,《民法典》已经明确个人信息属于一项人格权益,即通过人格权制度来保护个人信息,根本原因是人格权制度与个人信息之间存在密切的逻辑关系:个人信息由于其与特定主体的身份相关,属于人格要素;基于人格尊严和人格自由发展,个人对其身份信息享有决定权,有权控制其信息的收集、使用和分享。因此,尽管《个人信息保护法》在承担义务主体、执行机制、法律责任等方面的规定有别于《民法典》,但单纯从私法规范层面而言,《个人信息保护法》与《民法典》规定属于特别法和一般法的关系。在适用两部法律中的私法规范时,应当遵循一般法和特别法的适用原则,即当特别法有具体规定时,应优先适用特别法;当特别法没有规定时,适用一般法的相关规定。
具体而言,一方面,相较于《民法典》,《个人信息保护法》所确立的个人信息保护规则更加具体、细化、丰富,比如个人信息处理的多元化合法性基础、敏感个人信息处理规则、同意的要件及其撤回规则、自动化决策中个人信息处理规则等,这些规则优先于《民法典》适用。值得一提的是,《个人信息保护法》对个人信息的界定与《民法典》等法律的界定稍有不同。从文义上看,《民法典》采取的是“识别说”,即能够单独或者与其他信息结合识别特定自然人作为确定该信息是否属于个人信息的标准;而《个人信息保护法》第4条第1款借鉴了欧盟《通用数据保护条例》(以下简称GDPR)的标准,在“识别说”的基础上增加了“关联说”,即与已识别或者可识别的自然人有关的各种信息。从这个层面看,《个人信息保护法》一定程度上扩张了个人信息的范围。司法实践中如何理解和适用这两种定义呢?笔者认为,《民法典》和《个人信息保护法》在此问题上的立法精神和内在逻辑上具有一致性,因此,从解释论的角度看,通过扩张解释“识别说”中的“与其他信息结合识别”的外延,可以实现二者之间的趋同。在民事审判中界定个人信息时,由于《个人信息保护法》中的私法规范是《民法典》的特别法,且《个人信息保护法》第4条第1款对个人信息的规定相对明确,不需要通过法律解释方法进行扩张,如不考量溯及力等因素,可以优先适用该规定。
另一方面,《个人信息保护法》并未包含个人信息保护的全部私法规范,《民法典》关于人格权保护、侵权责任等的规定具有兜底和补缺的重要价值,只有将《个人信息保护法》与《民法典》的相关规定相结合,才能形成完备的个人信息保护的原则、规则体系。例如,《个人信息保护法》第69条规定了过错推定原则和损害赔偿的责任形式,并将损害赔偿主要限定于财产损害赔偿。对于侵害个人信息权益造成自然人严重精神损害的,则应适用《民法典》侵权责任编第1183条的规定。另外,《民法典》第997条规定了人格权侵害禁令制度,如果当事人因个人信息权益受到侵害向人民法院申请人格权侵害禁令,也应回到《民法典》第997条,按照该条规定的条件进行审查。
在明确上述关系和适用规则的前提下,我们进一步探讨个人信息保护中的相关规则和责任承担。
二
个人信息处理的合法性基础——告知同意规则
告知同意规则,又称为“知情同意规则”,是指任何组织或个人在处理个人信息时都应当告知信息主体即其个人信息被处理的自然人,并在取得同意后,方可从事相应的个人信息处理活动,否则该等行为即属违法,除非法律、行政法规另有规定。告知同意规则是个人信息处理中的核心规则,信息处理者是否基于告知条款获取自然人的有效同意,是处理个人信息纠纷案件常见的争议焦点。告知同意规则包含了告知规则与同意规则。没有告知,自然人无法就其个人信息被处理作出同意与否的表示;即便告知了,但告知不充分、不清晰,自然人作出的同意也并非真实有效的同意。反之,虽然充分、清晰地告知,却未取得自然人的同意,对个人信息的处理也是非法的,侵害了个人信息权益。告知同意规则不仅为个人信息处理者提供了明确的行为预期,也为相关机构查处违法处理个人信息行为、人民法院认定信息处理者侵权责任提供了明确的标准。
(一)关于同意的法律性质
关于同意的法律性质,学界认识不一,主要存在如下三种观点:
一是意思表示说。该学说认为,同意本身是自然人作出的意思表示,《民法典》总则编关于意思表示的规定完全可以适用于自然人就个人信息处理所作出的同意。故此,自然人在因欺诈、胁迫或重大误解而作出的意思表示,是可以撤销的意思表示。
二是违法阻却事由说。该说认为,个人信息处理中信息主体的同意属于免责事由或违法阻却事由,而非意思表示。信息处理者对个人信息的处理行为,客观上构成对自然人的个人信息权益的侵入或干扰,违反了法秩序,具有(暂时认定的)非法性。要排除这种非法性,就必须具备法律上的正当性。在个人信息保护法上,此种正当性要么来自于个人的同意,要么来自于法律、行政法规的规定即法定的许可,二者构成了全部个人信息处理的法律基础。作为个人信息权益的所有者的个人,可以对自己的权益进行合法的处分,其可以自行处分,也可以同意他人对自己的民事权益的处分。因此,在得到民事权益所有者的同意后,被同意者实施的客观上侵害他人民事权益的行为,对于同意者而言,不构成侵害。同时,法律、行政法规也可以基于促进个人信息的合理利用、维护公共利益、国家利益等理由而特别规定,某些情形下不需要取得个人的同意就可以处理其个人信息。
三是双重属性说。该说认为,同意具有双重属性,一方面它是侵权法上阻却违法的事由,另一方面它又是法律行为。之所以有双重属性,是因为在合同领域与侵权领域中,同意有不同的涵义。在侵权领域中,“同意”作为侵权法上的免责事由可归入“受害人同意”的范畴,在构成要件上包括必须有明确具体的内容、受害人须具有同意能力、同意必须真实自愿、加害人必须尽到充分的告知说明义务;在合同领域中,同意可能成为相关合同给付内容的一部分,因此当事人须具备相应的行为能力。持双重属性说的学者,主要是从个人信息既存在消极防御的问题,也存在积极利用的问题角度出发来认识同意的性质,即从消极防御的角度说,同意就是违法阻却事由,而从积极利用的层面看,同意就是个人在授权他人商业利用个人信息。
上述学说均有一定道理。那么,我国《个人信息保护法》对同意的性质是如何界定的呢?《个人信息保护法》第14条第1款规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。”从上述规定看,立法并未明确“同意”的性质。《个人信息保护法(草案一审稿)》第14条第1款第1句规定“处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示”。可见,立法机关曾将个人的同意界定为意思表示。但是,《个人信息保护法(草案二审稿)》删除了“意思表示”一词,将该句改为“处理个人信息的同意,应当由个人在充分知情的前提下自愿、明确作出”。从上述起草过程看,立法机关基于一定考量,暂时回避了对“同意”性质的界定。
笔者认为,违法阻却事由说从侵权的角度对个人信息中的“同意”进行了相对周延的解读。进一步而言,个人信息处理活动的“同意”,不完全等同于传统民法中的意思表示,二者既有区别也有联系。首先,纵观各国立法,个人信息领域的“同意”有着其特殊的适用规则,比如通行的“撤回同意”规则,不同于意思表示的“撤回”和“撤销”,不能用传统的民法理论进行严格意义上的逻辑推演。其次,我国《民法典》第993条规定:“民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外。”尽管此处并未规定个人信息的许可使用,但从体系解释上看,第993条属于人格权编的一般规定,对于个人信息也可适用。许可使用又是典型的意思表示行为。因此,对《个人信息保护法》中的“同意”的解读既不能脱离意思表示,又不能完全适用意思表示的相关规则,比如:胁迫、欺诈的可撤销。
(二)“不同意就不提供服务”模式的效力认定
《个人信息保护法》第16条规定:“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”从民事审判的角度,如何认定该条所规定的信息处理者的法律效果,是该条适用的一个难点,需要结合有效同意的要件予以判定。
关于同意的要件,不同国家和地区的规定不尽相同。比如,欧盟GDPR第4条第11款规定了有效同意必须具备四个要件:1.自由作出的(freely given);2.具体的(specific);3.被告知的(informed);4.明确的(unambiguous)。这一标准被认为提高了有效同意的门槛,欧盟的数据保护机构也倾向于严格地解释这四项标准。以违反“自由”(“freely-given”)要件为例,欧盟将此类同意认定为无效同意。巴西《通用数据保护法》第8条也对同意的要件予以规定,如果同意有瑕疵,则禁止处理个人数据。我国《个人信息保护法》第14条规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。”根据该条规定,有效的同意应当具备如下要件:1.同意是个人在充分知情的前提下作出的;2.同意是真实自愿的;3.同意是明确具体的。
具体到“不同意就不提供服务”,此类情形在App应用程序中最为常见,即平台信息处理者往往把收集并非提供产品或者服务所必需的个人信息作为提供产品或服务的前提条件,不同意就无法继续安装或使用该应用程序。对信息处理者的这种行为,有意见认为,这属于交易条件的自由选择,并不属于强迫,因为网络用户如果不同意,可以“用脚投票”,不选择使用该产品或者服务,而部分网络服务提供商提供低廉的服务正是出于能获取个人信息报偿作为对价和前提的。但是,这种观点忽略了信息网络时代对人们生活方式的改变和对信息自决权的异化。信息网络科技的高速发展使得社会的生产和生活被高度数字化、信息化,面对各种类型的信息处理者,个人实际上很难有能力拒绝或者阻止个人信息被收集,个人信息处理中的告知同意规则实际上已经被架空,个人实质上已丧失了信息自决或者同意的自由。
关于自由作出同意,欧盟数据保护委员会(EDPB)指出,数据控制者经常会争辩,尽管自己的服务需要获取个人数据用于额外的用途,市面上还存在其他数据控制者提供的与自己同样的服务,也就是说,如果数据主体不想提供个人数据给自己,完全可以寻求其他数据控制者的同等服务,因此,数据主体愿意提供个人数据给自己是一种自由选择。但是欧盟认为,这种自由选择依赖于其他市场主体如何做,以及数据主体是否认为两种服务是真正相同的。这还意味着数据控制者要实时监控市场,确保市场上存在同样的服务。因此,欧盟不认为数据控制者基于市场上还存在其他选择而获得的同意是合规的。也就是说,虽从理论上讲,用户可采取“用脚投票”的方式自由选择其交易对象,以此抵制其不愿意的授权同意行为。但很难保证市场上存在丰富的、可供选择的同质服务主体,在确实缺乏充分市场选择等情况下,实质上会导致数据主体为使用某项产品或者服务而不自由或者不自愿作出同意,而这种同意不构成有效同意。
针对此类情形,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事纠纷案件适用法律若干问题的规定》第4条规定:“有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;……”可见,为强化人脸信息保护,防止信息处理者对人脸信息的不当采集,该条对处理人脸信息的有效同意采取从严认定的思路。对于信息处理者采取“不点击同意就不提供服务”等方式强迫或者变相强迫自然人同意处理其人脸信息的,信息处理者据此认为其已征得相应同意的,人民法院不予支持。
(三)关于单独同意和书面同意
单独同意区别于一般同意,单独同意实际上属于一种特别同意。所谓“单独同意”,是指在处理特殊的个人信息或处理个人信息的特殊行为、场景时,个人信息处理者必须就其处理目的、行为等单独向个人告知并取得同意。“单独同意”要求个人信息处理者将相应的场景的同意与其他同意区分开来,做到“一处理一告知一同意”,而不能将其与其他场景下个人信息处理的同意揉合在一起,或者隐匿在其他事项中,通过一揽子授权的方式取得个人同意或接受,避免过度索权、随意收集等违法违规情形。而一般同意应理解为概括同意,虽然也要求“明确、自愿”,但并不一定针对一个具体的事项,可以是针对将来信息处理行为概括的、一揽子的同意。《个人信息保护法》规定,在向第三方提供个人信息时(第23条)、公开所处理的个人信息时(第25条)、公共场所设备所收集的个人图像、身份识别信息用于其他目的时(第26条)、处理敏感个人信息时(第29条)、个人信息跨境时(第39条)需要取得单独同意。单独同意对应的特殊的个人信息处理情形,伴随有特殊的个人信息告知要求。除《个人信息保护法》规定的需要单独同意外,其他法律、行政法规有明确规定的,从其规定。从同意作出的形式来看,法律并未规定“单独同意”必须以书面形式作出,因而应当理解为“单独同意”可以包含口头、书面或其他形式。
“书面同意”,应当是指在处理特殊的个人信息或处理个人信息的特殊行为、场景时,个人信息处理者必须就其处理目的、行为等向个人告知并取得个人“书面”的同意,这是《个人信息保护法》对特殊情形下的同意作出的形式要求和规定。根据《民法典》第469条的规定,书面形式一般与口头形式对应,包括合同书、信件、电报、电传、传真等形式,数据电文也可以视为书面形式。简单而言,此处的书面可以理解为必须取得个人以纸质或电子形式作出的同意。至于“书面同意”的情形是否必须同时取得“单独”同意,根据《个人信息保护法》第14条第1款的规定,单独同意与书面同意处于并列关系,从文义解释角度看,无法得出“书面同意”当然包括“单独同意”的结论。而该法第29条规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”从该条来看,在敏感个人信息方面,书面同意的情形更为严格,单独同意可以是口头、书面或者其他形式作出,而书面同意必须是书面的单独同意。
实践中,线上具有人脸识别功能的应用程序设计是否符合单独同意?我们在起草人脸识别司法解释时,与洪延青教授对此进行了研究,认为下列模式可作为具体认定时的参考:以具有人脸识别功能的应用程序为例,应用商可在用户首次开启人脸识别功能时,通过弹窗、跳转专门页面等形式同步告知该功能的信息处理规则(以满足“充分知情”的要求);该规则应仅包含对人脸识别功能及其信息处理规则的描述而不包括对其他不相关事项的描述(以满足“单独”的要求);用户通过点击“同意”或“已知悉,并继续使用”等主动性动作清楚地表达自己的意愿(以满足“明确”的要求);如果人脸信息并不属于该应用的必要个人信息,用户在阅读信息处理规则后,既可以选择开启该功能,也可以选择不开启该功能。如果选择不开启该功能,用户仍然可以通过其他替代性方式继续使用应用程序的其他功能(以满足“自愿”的要求)。当然,上述模式只是线上平台实现单独同意的方式之一,人民法院可结合具体情形进行综合认定。
三
个人信息处理的合法性基础——法定许可
个人同意与法定许可共同构成个人信息处理的合法性基础。《个人信息保护法》第13条在参考GDPR相关规定的基础上,对《民法典》第1036条进一步细化,除取得个人同意外,明确规定了个人信息处理活动的其他法定事由。具体而言:
(一)缔约或履约之必需,制定劳动规章制度或签订集体合同实施人力资源管理所必需
《个人信息保护法》第13条第1款第2项关于“订立、履行个人作为一方当事人的合同所必需”的规定借鉴了GDPR第6.1(b)条的规定。合同当事人应当按照约定全面履行自己的义务,如果对于合同一方当事人信息的处理,系另一方当事人与之缔结或者履行合同义务所必需的,那么处理信息的合法性可以理解为“法定义务”甚至“控制者的合法利益”的特殊情况。当然,这种例外情形仅适用于信息处理者与个人作为平等民事主体之间订立或履行合同的场景。关于认定个人信息处理属于“为订立或履行合同所必需”,一方面,应当符合比例原则;另一方面,要从处理者与信息主体等双方当事人的角度来考虑合同的目的,即对于实现合同目的而言,信息的处理是否必不可少。
《个人信息保护法》在二审稿的基础上,新增了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的情形,为用人单位处理员工个人信息提供了相应的法律依据。这里需要注意的是,用人单位不能随意以“人力资源管理所必需”而对其处理个人信息的行为主张免责,必须是“按照依法制定的劳动规章制度和依法签订的集体合同”实施的人力资源管理所必需,防止企业任意扩大处理范围。
(二)为履行法定职责或者法定义务所必需
所谓的法定职责,包括法定职权和法定责任,是指立法机关、行政机关以及司法机关等公权力机关依据法律法规的规定而享有的职权以及必须履行的义务。为确保公权力机关能够履行法定职责,为履行法定职责必须处理个人信息的,不需要取得个人同意。例如,我国《出境入境管理法》第30条第2款规定:“申请办理外国人居留证件,应当提交本人的护照或者其他国际旅行证件,以及申请事由的相关材料,并留存指纹等人体生物识别信息。”据此,外国人所持签证注明入境后需要办理居留证件的,必须向拟居留地县级以上地方人民政府公安机关出入境管理机构提供相应的个人信息。又如,我国《刑事诉讼法》第132条第1款规定:“为了确定被害人、犯罪嫌疑人的某些特征、伤害情况或者生理状态,可以对人身进行检查,可以提取指纹信息,采集血液、尿液等生物样本。”显然,这种情形下,公安机关或检察机关为侦查犯罪而强制收集个人生物识别信息等,就属于履行法定职责,无须取得个人同意。
所谓法定义务,是指信息处理者依据法律法规的规定而负有的义务。法定义务的主体限于普通的民事主体即自然人、法人和非法人组织。我国法律中规定了很多的法定义务。例如,根据《反洗钱法》的规定,金融机构应当按照规定建立客户身份识别制度。金融机构在履行反洗钱的法定义务时所收集的用户相关个人信息,不需要取得个人同意。又如《社会保险法》《劳动合同法》《劳动法》《工伤保险条例》等法律法规要求,职工应当参加工伤保险,由用人单位缴纳工伤保险费,职工不缴纳工伤保险费。据此,用人单位在为职工投保工伤保险时,就必须收集职工的相关个人信息,否则就无法履行该义务。再如,《传染病防治法》第31条规定:“任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。”据此,直接发现和疫情相关的信息应当主动向主管部门报告,不需要取得个人同意。
(三)应对突发公共卫生事件或紧急情况之必需
《个人信息保护法》第13条第1款第4项规定了应对突发公共卫生事件或紧急情况下为维护自然人利益所必需的情形。自新冠肺炎疫情发生以来,围绕“早发现、早隔离”的防治原则,借助大数据分析手段,位置信息、行动轨迹等个人信息在疫情预测预警方面发挥了极其重要作用。因此,《个人信息保护法》专门对此予以规定,为了应对突发公共卫生事件,对相关个人信息的处理,可以不经个人同意。
关于“紧急情况下为保护自然人的生命健康和财产安全所必需”,系在《民法典》第1036条第3项规定的基础上进一步扩大处理个人信息的范围,并不限于为了维护 “该自然人合法权益”。只要是为保护自然人的生命健康和财产安全所必需,均可不经过自然人或其监护人的同意而合理实施个人信息的处理行为,行为人不承担民事责任。例如,甲突发疾病而生命垂危,急需在掌握其既往病史等个人信息的基础上进行对应的抢救治疗,为了挽救甲的生命,此时可以实施个人信息的处理行为,而不需要征得其本人或者亲属同意。又如,为了寻找失踪儿童或者追踪犯罪分子的行踪,而使用远距离人脸识别设备进行识别比对等等。
(四)为公共利益实施新闻报道或舆论监督等行为之必需
《个人信息保护法》第13条第1款第5项规定了“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”的情形。本项规定适用必须符合两点:首先,必须是新闻报道、舆论监督等行为。其次,必须是为了公共利益。为公共利益而实施新闻报道、舆论监督的行为,对于维护广大民事主体的合法权益,保护表达自由,具有不可替代的重要作用。至于与公共利益无关,完全是娱乐性的新闻报道或者仅仅是涉及个人的不道德或违法行为的舆论监督,不能适用本项规定,如果处理者未经同意而处理他人的个人信息,就构成侵权。
需要注意的是,本项并不限于实施新闻报道或舆论监督,为了与其他基于公共利益的信息流通规则相协调,本项中的“等”宜作“等外等”解释。因为以公共利益的必要性作为考量,对个人信息进行处理的情形至少包括“监控疫情和人道主义救援、确保网络和信息安全、基于劳动和社会保障目的、维护公共健康、新闻和文学艺术创作自由、科学研究等”。
(五)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息
“个人自行公开”自己的个人信息就是个人主动将自己的某些个人信息向社会公开,如患者主动向社会公开自己的生病经历,自然人主动公开自己的性取向或宗教信仰。个人自行公开自己的个人信息意味着其在一定程度上同意他人对这些信息的处理。“其他已经合法公开”的个人信息,是指除个人自行公开的以外,其他以合法形式公开的个人信息,如媒体在新闻报道中依法处理这些已公开的个人信息、国家机关依法公开的个人信息。但是,必须在合理范围内处理上述个人信息。例如,结合《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,对于自然人在互联网上发布照片或者视频,尽管没有明确表示拒绝人脸识别,但是信息处理者使用人脸识别技术对其照片进行识别,已经超出了“合理”的范畴,对自然人的人格利益有重大影响,甚至可能侵害其隐私权、名誉权或者财产权等。因此,擅自对自然人自行公开的人脸图像进行人脸识别,不属于《个人信息保护法》第13条第6项以及《民法典》第1036条第2项所规定的情形。
需要注意的是,告知是取得同意的前提,但告知义务并非依附于个体同意而存在。“同意”的例外并不必然导致“告知”的例外。虽然在法定许可情形下可以未经同意即处理个人信息,但并不代表可以同时免除告知义务。例如,《个人信息保护法》第13条规定在“为应对公共卫生事件或者紧急情况所必需”的情形下处理个人信息可以不需取得个人同意,但第18条第2款同时规定“紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知”。也就是说,在法定许可情形下处理个人信息,虽然不需要取得个人的同意,但是仍然要适用告知规则。之所以如此规定,主要是贯彻《个人信息保护法》第7条所规定的公开透明原则,保护个人对个人信息处理的知情权。
四
关于侵害个人信息侵权行为的归责原则
侵害个人信息权益的归责原则,是确定侵害个人信息侵权责任的基本规范依据,是《个人信息保护法》在法律责任部分尤为重要的规定内容,是人民法院处理相关民事纠纷的基本法律遵循。《个人信息保护法》颁布前,关于个人信息侵权的归责原则存在不同认识。多数观点主张过错推定原则,适用举证责任倒置规则,即在法律对个人信息保护有特别规定的情况下,基于损害事实的客观存在,推定信息处理者存在过错并由其对自身没有过错承担举证责任。适用过错推定原则主要理由在于,网络环境的技术性较强,让信息主体举证信息控制者在信息收集、加工、存储、利用过程中存在过错,难度较大。另有观点认为,侵害个人信息的侵权责任应当适用过错责任原则。其主要理由在于,任何侵权责任类型适用过错推定责任或无过错责任,必须以法律有明确规定为前提,但是个人信息保护领域尚无此类特别规定。而且侵害个人信息侵权行为的基本性质是侵害隐私权,属于一般侵权行为,因此必然适用过错责任原则。
上述观点都有道理,在法律和司法解释对此并未作出明确规定的情况下,也确实存在适用法律上的争议。但从法理上讲,在个人信息领域,同样存在着信息处理者与作为信息主体之间经济实体不对等、专业信息不对称的问题,适用过错推定责任,有利于减轻自然人一方的举证责任负担,更有利于保护受害者的合法权益,更符合公平正义的民法要求。而且,从规范适用上看,依照《民法典》第1165条第2款的规定,过错推定责任原则适用的基本要求是,“依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任”。换言之,对于某一侵权行为是否适用过错推定责任要以法律对此情形作出具体规定为前提,如果没有相应法律对某一侵权行为明确要求适用过错推定责任,则无该归责原则适用的余地。因此,从规范功能上讲,《民法典》第1165条更具有规范指引的体系化功能,其本身不能单独作为裁判规范,而需要与其他具体法律规定结合来作为适用过错推定责任的依据。也是基于这个原因,对于侵害个人信息的侵权行为,是否适用过错推定责任的问题,需要在《个人信息保护法》中明确作答,否则,就会存在适用法律的分歧,甚至会产生向过错责任这一侵权责任的一般条款逃逸的问题。正因如此,《个人信息保护法》在综合各方意见、反复调研论证的基础上,在第69条明确了侵害个人信息适用过错推定责任的归责原则。
在《个人信息保护法》起草过程中,《个人信息保护法(草案)》中就作出过明确规定,其第65条规定:“因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”此规定侧重于损害赔偿规则的确定,并从免责或者减责事由的角度,对于个人信息处理者能够证明自己没有过错的情形作出规定,并没有从侵害个人信息侵权责任的责任构成以及归责原则角度作出规定。一些全国人民代表大会常务委员会委员和地方立法机构、部门、专家、企业建议,根据过错推定责任原则确定侵害个人信息权益的损害赔偿责任。全国人民代表大会宪法和法律委员会经研究认为,有必要根据《民法典》有关规定,将上述规定修改为:“个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”《个人信息保护法(草案二审稿)》第68条依照上述意见进行了修改完善。由此,侵害个人信息的侵权责任归责原则及损害赔偿规则已经成型。《个人信息保护法》第69条除对个别文字作出调整外,基本沿袭了草案二审稿的内容。
归责原则决定构成要件的内容。明确了归责原则之后,侵害个人信息侵权责任的构成要件也就相应明晰起来,包括违法行为、损害后果、因果关系和主观过错四个要件。在此要注意的是,这里的过错要件要采取客观化标准,对相应注意义务的违反,就应当认定为有过错。此主观过错要件与行为违法性要件在个人信息侵权责任构成上,更加呈现趋同或者合一的特点。具体而言,以行为表征的不同为标准侵害个人信息的具体行为类型主要包括:非法获取个人电子信息、非法出售个人电子信息、非法向他人提供个人电子信息、非法泄露个人电子信息、非法篡改个人电子信息、非法毁损个人电子信息、丢失个人电子信息和对个人电子信息侵权单位进行补救的行为。这一概况具有可参考性。侵害个人信息的行为在本质上必须具有违法性,即违反法律、行政法规的规定,这不仅包括违反本法的规定,还包括但不限于违反《民法典》人格权编的规定。
就举证责任而言,考虑到专业能力及举证能力不对等的问题,从控制掌握证据的有力地位、便于查明案件事实以实质性解决纠纷的角度出发,依据过错推定责任原则的要求,信息处理者应当对其处理个人信息的行为没有过错承担举证责任,如果其举证不能,就应当依法认定侵权责任成立。在过错认定愈加客观化的背景下,这里的举证责任也是要更加聚焦在行为的违法性上,即信息处理者要对其行为的合法性承担举证责任。对于这一问题,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》率先在人脸信息保护领域作出了规定,其第6条第2款规定:“信息处理者主张其行为符合民法典第一千零三十五条第一款规定情形的,应当就此所依据的事实承担举证责任。”
《民法典》第1035条第1款是关于个人信息处理的原则和条件的规定。因该司法解释施行在《个人信息保护法》出台之前,故在法律依据上只能援引《民法典》的规定,从法律适用的角度,《个人信息保护法》施行后,当然要包括《个人信息保护法》的规定。而且,这一规定对于敏感个人信息乃至一般个人信息的保护在法律适用上一定会有“溢出”效应,即具有参照适用的效力。据此,从举证责任分配规则上讲,信息处理者要证明其行为符合合法、正当、必要、诚信等原则的要求,也要符合《个人信息保护法》所规定的其他合法性基础的内容,比如该法第13条的规定。进而言之,对此要以有关法律、行政法规的规定为依据,在缺乏法律、行政法规规定的情况下,有关部门的规章等也具有参照适用的效力。由于这些情形涉及专业判断问题,有关部委出台的规范性文件及有关国家标准或者行业标准等,也都可以作为案件裁判说理的理由,但同样不得作为裁判依据。信息处理者如果不能证明其行为符合上述要求,则要承担相应的举证不能的法律后果。
至于原告方的举证责任,依据民事诉讼举证责任的一般法理,原告方应当对其受到的损害,明确的被告,被告的信息处理行为与其受到的损害存在因果关系承担举证责任。但是考虑到侵害个人信息纠纷案件的特殊性,尤其是在网络空间涉及多个信息处理者的情形,明确的被告以及因果关系问题的举证都有一定难度,正因此,如《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(2020年修正)第3条第1-2款规定:“原告起诉网络服务提供者,网络服务提供者以涉嫌侵权的信息系网络用户发布为由抗辩的,人民法院可以根据原告的请求及案件的具体情况,责令网络服务提供者向人民法院提供能够确定涉嫌侵权的网络用户的姓名(名称)、联系方式、网络地址等信息。网络服务提供者无正当理由拒不提供的,人民法院可以依据民事诉讼法第一百一十四条的规定对网络服务提供者采取处罚等措施。”对于网络空间中涉及个人信息侵权案件,可以直接适用上述规则。
五
关于侵害个人信息的损害赔偿责任
在理论和实务中,侵害个人信息的损害事实如何认定是一个难点问题。特别是对敏感个人信息,如果非要等到这些泄露的敏感个人信息被他人恶意利用,造成现实的物质损害时才可认定为权益侵害,则会显得过于机械。并且,这样的观念也没有考虑到信息主体因其敏感个人信息被泄露而产生的恐惧、焦虑等非物质损害。因此,确认敏感个人信息的泄露本身即构成权益侵害,无疑是法律应对信息科技和大数据社会到来的一种有效选择。另有观点认为,侵害个人信息侵权可以分为财产损失和个人信息权益受到侵害但没有财产损失或者难以证明财产损失两种情况。这一见解较有道理。具体包括:其一,侵害个人信息权益导致财产损失,即利用非法取得个人信息实施电信诈骗等侵害受害人的财产权益,如“申某与上海某某商务有限公司等侵权责任纠纷案”,原告因个人的手机号码和航班信息被他人泄露而被犯罪分子实施电信诈骗,损失了118900元。此外,有关财产损害又包括直接财产损害和间接财产损害,如司法实践中,因个人信息被泄露导致后续被诈骗导致的财产损失属于直接的财产损害;个人信息被非法使用或进行交易买卖,为了维护个人信息权益而花费的费用,包括更换账号密码、挂失银行卡等花费的时间与金钱成本属于间接的财产损害。其二,个人信息权益受到侵害但没有财产损失或者难以证明财产损失。例如,被告未经原告的同意利用原告的房产信息和身份证件信息为另一个被告办理了居住证,导致原告在为其亲戚办理居住证时无法办理,该案原告虽然要求被告承担10万元的经济损失,但其并未能提出相关的证据加以证明。
在侵害人格权益以及知识产权领域都一定程度上存在损害后果认定难的问题。为此,原《侵权责任法》第20条曾规定:“侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失赔偿;被侵权人的损失难以确定,侵权人因此获得利益的,按照其获得的利益赔偿;侵权人因此获得的利益难以确定,被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的,由人民法院根据实际情况确定赔偿数额。”《民法典》在此规定基础上,又对相应规则作了完善,依据其第1182条的规定,侵害他人人身权益造成财产损失的确定,不再强调先以所受损害来赔偿,后再以侵权人获得利益的标准进行赔偿的规则,而是把这两个赔偿标准修正为并列关系,这更符合实际情况,也更有利于惩治和预防有关侵权行为。《个人信息保护法》第69条第2款也是遵循了《民法典》的这一思路,明确了所获利益和所受损失并行的规则,同时规定了个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。此与《民法典》第1182条规定的被侵权人和侵权人协商不成时人民法院根据实际情况确定的规则是一致的。按照对《民法典》的体系化理解,一方面这一规则适用的前提条件包括被侵权人所受损失或者侵权人所获利益无法确定和双方当事人对此协商不成两个条件,尤其是第一个条件,如果被侵权人所受损失或者侵权人所获利益其一可以确定,则应当适用前面的标准,这里的可以确定不仅包括事实上的可以确定,还包括依据有关法律或者司法解释规定的标准或者方法能够确定相应的损失或者所得利益的情况。另一方面,人民法院根据案件实际情况的适用,也不可随意进行,这不仅要求于法有据,还要说理充分。
需要强调的是,利用信息网络侵害人身权益的案件,有几个特点:一是维权成本比较高。维权成本高体现在确定侵权人的成本高、取证成本高、律师费用高等几个方面。二是通过诉讼维护个人权益具有一定的外部性,这些诉讼尤其是原告胜诉的案件,在倡导正确的网络观念、确立良好的网络行为规范、建立规范的网络秩序等方面,有重要作用。因此,合理分配维权成本有利于促进网络秩序的良性循环。三是在侵害隐私权、个人信息的案件中,被侵权人往往并无具体的财产损失或者不能证明具体的财产损失,结果造成维权成本过高、违法成本过低的不平衡状态。有鉴于此,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(2020年修正)在侵害人身权益造成财产损失的赔偿方面作出了有益探索,其第12条规定:“被侵权人为制止侵权行为所支付的合理开支,可以认定为民法典第一千一百八十二条规定的财产损失。合理开支包括被侵权人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情,可以将符合国家有关部门规定的律师费用计算在赔偿范围内。被侵权人因人身权益受侵害造成的财产损失以及侵权人因此获得的利益难以确定的,人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。”
概言之,该条将维权成本,包括调查取证的合理费用和合理的律师费用作为侵害人身权益的财产损失,由侵权人予以赔偿;同时,明确了法定赔偿最高限额,即在被侵权人的财产损失或侵权人获益无法确定的情况下,人民法院可在50万元以下根据具体案情作出裁量。这一规定对于确定利用信息网络侵害个人信息造成的财产损害时依法具有直接适用的效力。此外,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第8条也参考这一规定,对于侵害人脸信息造成财产损害的情形予以明确,这对其他敏感个人信息的保护乃至一般个人信息的保护相关纠纷案件具有参照适用的效力。
●个人信息保护法全文发布,为你的个人信息安全上把锁(附历次审议报告)
声明:本文来源“法律适用”微信公众号,在此致谢!
编辑:刘宇星
排版:何一泓
审核:刘 畅
觉得内容还不错的话,给我点个“赞”和“在看”呗