作者:孫彬彬 邢路
摘要
個人信息業已成為經濟和社會發展中極為重要的數據資源,個人信息保護由此成為法律實踐中的新熱點。《民法典》頒布之前,相關的民事法律規範所确定的個人信息法益請求權,存在結構性缺陷:請求權依據阙如、請求權要件不明确、請求權事實基礎的證成标準和舉證責任不确定、請求權法律效果單一等。《民法典》通過設置專章,明确了個人信息的性質是一種法律保護的民事權益,确定了個人信息權益的基本原則、權利義務的基本内容和構成要件、個人信息免責事由、個人對自己個人信息上的決定權等。通過上述規定,《民法典》構造了個人信息權益請求權的基本結構,使得個人信息法益的可訴性大大強化,從而為個人通過民事訴訟途徑保護自身個人信息法益,提供了更為可行的救濟途徑。
21世紀以來的社會是一個大數據信息化社會。大數據技術能夠有效整合碎片化的個人信息,實現對海量信息的快速分析和處理,使個人信息在物理世界和虛拟世界之間實現越來越頻繁的交互穿梭,由此成為了極為重要的經濟資源。因此,個人數據保護漸成社會經濟和法律中的熱點領域。在保護個人信息安全的法律實踐方面,自2018年5月出台《通用數據保護條例》(GDPR)以來,歐盟在個人數據的法律救濟領域,形成了以公法保護為主、強力行政執法模式的基本格局。而我國前期相關立法,同樣建立起了一套以行政法規及一系列國家标準為主的個人信息保護公法法規體系,以及多部門分工執法的執法格局。
此種強力行政執法模式體現出政府對個人信息安全保護的重視和态度。而随着個人越來越多地介入到物理世界和虛拟世界的交互過程中,個人對個人信息安全的重視與日俱增,個人信息作為一種私法上權益,通過民事訴訟途徑予以救濟成為司法實踐中的新興領域。最近數年内,以個人信息權益被侵犯為由進行的民事訴訟逐漸增多。盡管此前我國對個人信息安全保護的法律法規已較為嚴密,行政執法力度也不可謂不強,但既有的法規體系以公法為主,作為一種民事合法利益,通過民事訴訟對個人信息進行救濟的成功案例,仍為數寥寥。這體現出既往民事法律法規中,對個人信息安全的定位、界限、内容、證明責任等請求權行使的基本要件,均存在不同程度的缺乏。而《民法典》的頒布施行,則在一定程度上彌補了這些缺陷。本文拟通過對《民法典》實施前,個人信息保護相關裁判案例所呈現的個人信息法益請求權行使的困境,與《民法典》所确立的相關制度進行對比,歸納《民法典》所建構的個人信息法益的請求權結構,及後續仍有待立法澄清的相關問題。
一、《民法典》頒布前個人信息民事訴訟的困境《民法典》頒布之前,司法實踐中以個人信息保護為訴請的案例為數寥寥。通過檢索,以如下三件較有代表性的案件為例,剖析此前個人信息保護民事訴訟的困境。
案例1
任某某訴百度公司侵犯名譽權(被遺忘權)案(北京市海澱區人民法院(2015)海民初字第17417号)
原告任某某稱其是國家高級人力資源師,在教育及管理領域均享有極高的聲譽。曾在無錫陶氏生物科技有限公司從事相關教育工作,2014年11月與陶氏教育解除勞動關系。從2015年2月初開始,任某陸續在百度公司的網站上發現“陶氏教育任某某”“無錫陶氏教育任某某”等字樣的内容及鍊接。由于陶氏教育在外界頗受争議,上述信息給自己的名譽造成極大侵害,因此曾多次發郵件給百度公司要求删除相關内容,但至今百度公司仍未删除或采取任何停止侵權的措施。因此向法院提起訴訟,請求判令百度公司删除侵權信息。
二審法院在審理過程中,探索了任某主張的一般人格權中的所謂“被遺忘權”的法律适用問題。法院認為我國現行法律中并沒有具體稱謂為“被遺忘權”的權利類型,國外的法律及判例不能成為我國此類權利保護的法律淵源。而從我國侵權責任法的規定來看,該利益能否成為應受保護的民事法益,關鍵在于該利益的正當性與受法律保護的必要性,在法院看來,任某某的從業經曆信息也同時也構成了相關客戶學生知悉其資質、能力并據以做出選擇的參考依據,也即任某某所主張的“被遺忘權”因對公衆的知情權或選擇權構成限制缺乏正當性。因此依法駁回了其訴訟請求。
該案涉及到個人信息保護民事司法保護路徑的兩大基本障礙:(一)個人信息在以往的民事法律規範中,并無具體、明确的定位,其是否是法律所保護的權益,以及司法應将其歸于何種民事權利類型以便對相關規範予以類推使用,完全沒有規定,造成個人信息在司法實踐中很難成為一種可訴法益,既往民事訴訟中一般将其歸為侵犯人格權案由之中;(二)個人信息權益的邊界不清晰,如何平衡這一權益與其他社會權益的标準,亦不清晰,因而确定司法是否應當給予救濟,須完全依賴法官的自由裁量。故在司法實踐中,此類案件的裁判結果具有很大的不确定性。
案例2
龐某訴趣拿公司、某航司隐私權糾紛(個人信息被洩漏)案(北京市第一中級人民法院(2017)京01民終509号)
龐某訴稱,其于2014年10月11日,委托魯某通過北京趣拿信息技術有限公司(以下簡稱“趣拿公司”)下轄“去哪兒網”平台訂購了某航司機票1張,于2014年10月13日收到一條以機械故障為由取消航班的來源不明的短信,後經航司客服的确認,該短信為詐騙短信。龐某認為趣拿公司與某航司洩露了其隐私信息包括其姓名、手機号、行程安排(包括起落時間、地點、航班信息),要求趣拿公司與某航司承擔隐私權的侵權責任。
一審法院認為沒有證據證明趣拿公司和某航司将龐某過往留存的手機号與本案機票信息匹配予以洩露,且趣拿公司和某航司并非掌握龐某個人信息的唯一介體,因此無法确認被告存在洩露其隐私信息的侵權行為,駁回了龐某的全部訴訟請求。
二審法院認定某航司和趣拿公司存在洩露龐某隐私信息的高度可能,并且存在過錯,且某航司和趣拿公司的反證不足以推翻隐私洩露的高度可能,應當承擔侵犯隐私權的相應侵權責任。
該案涉及到個人信息保護糾紛的事實證成标準與舉證責任分配的兩大障礙。由于在相關法律規範中,缺乏相應的具體規定,因此法院運用類推适用方法确定了本案證成事實标準和舉證責任分配的原則。從一審法院在本案中的說理可以看出其基本思路是嚴格按照一般侵權的構成要件,要求原告承擔證明被告存在洩露其隐私信息的侵權行為。這也意味着原告不僅需要證明兩被告趣拿公司和航空公司對外洩露的旅客行程信息能夠與其姓名、手機号碼等具有高度身份識别性的信息相吻合,還需證明該信息為兩被告洩露或證明兩被告為個人信息唯一介體以推定洩露行為,否則不能認定兩被告的行為侵犯了被納入原告隐私權(本案中同樣須首先将原告相關權益歸入某類民事權利下)的合法權益;二審法院則進一步重新分配了要件事實的舉證責任,即運用高度蓋然性标準判斷兩被告洩露原告個人信息的可能性較大,減輕了一審法院要求原告舉證證明其個人信息被兩被告洩露的舉證責任,而是要求被告承擔否定洩露行為的舉證責任。
案例3
劉某某訴工商銀行上海分行侵犯隐私權(個人信息受保護權)案(上海市第一中級人民法院(2015)滬一中民六(商)終字第107号、上海市高級人民法院(2016)滬民申2161号)
2011年6月,劉某某向工行上海分行申領牡丹暢通卡一張。申請表背面印制的《牡丹暢通卡領制合約》第五條規定:甲方同意乙方可通過電子郵件或短信方式向其發送與牡丹信用卡有關的信息。2013年2月至2014年6月,銀行通過“95588”短号碼向劉某某發送各類旅遊、購物、打折促銷等商業信息短信30餘條。2013年10月至2014年5月,劉某某向“95588”三次發送短信,要求停止發送垃圾短信,否則将起訴。期間,“95588”亦三次回短信回複,稱将解決問題。此後,劉某某訴至法院,要求工行上海分行停止侵害,賠禮道歉,賠償公證費及律師費損失,賠償其他損失人民币5萬元。
一審法院認為,《牡丹暢通卡領制合約》系被告方拟定的格式條款,對格式條款有争議時應做出不利于提供條款一方的解釋,因此其第5條“信息”應做限縮性解釋,僅指“與身份确認、餘額變動、消費提醒、轉款到賬等相關的金融信息”,與此無關的商業性信息應被排除在外。由此确認被告确實侵犯了原告的隐私權,部分地支持了原告的訴請。
二審法院則指出,格式條款中的信息包括一般性商業信息,并認為劉某某在收到系争信息後未立即表示異議,此種不作為可視為以默示方式表達了其同意接收系争電子信息的意思表示,劉此後拒收信息的意思表示則屬于對合同的變更,因未獲得銀行一方的同意而不能生效。二審法院特别認為,銀行的行為雖有不當,但因發送頻次很少、信息數量和對硬件占用非常少,故顯屬輕微,尚未達到明顯破壞劉某某生活安甯的民事侵權的程度,“類似具有輕微瑕疵的行為廣泛存在于社會生活之中,尤其商業活動中更為多見,如均要求相關行為人承擔侵權法律責任,不僅缺乏現實意義,亦将使民事主體限于動辄犯法的境地”,故推翻一審判決,駁回劉某某的全部訴訟請求。
本案則體現出個人信息民事訴訟保護路徑深層次的兩大障礙:(一)侵權行為的所侵犯的法益,在何種程度上必須依賴司法救濟得以回複圓滿狀态,這涉及到在某類并不成熟的法律關系中,司法對相關法益保護的尺度。在既往相關法律中,無論是隐私權、姓名權還是其他具體人格權的請求權構造,都很難幫助法官參照以确定個人在社會生活中依賴個人信息的程度,及此種法益被侵犯後回複圓滿狀态與司法救濟間的關聯程度;(二)個人信息作為一種私法法益,與其作為一種社會資源間的平衡标準,是司法需要突破的更大障礙。盡管司法所面對的具體個案總是需要司法以保護具體權利為出發點和落腳點,但對于商業活動中存在着大量有瑕疵但顯然未達到民事侵權程度的違法行為,是否有必要通過訴訟全部予以糾正,而使得其他民事主體動辄限于犯法的境地,這确實是司法需要慎重把握的問題。
由此可見,在《民法典》頒布之前,通過民事訴訟途徑對個人信息予以救濟性保護的路徑,至少存在着權益法律定位模糊、權益界限不明、事實證成标準不明确、缺乏舉證責任分配标準、法益可訴性不強、與國家及社會公共需要平衡标準難把握等多重障礙。這些障礙使得通過民事訴訟行使個人信息法益請求權,存在結構性障礙。
二、《民法典》對個人信息請求權的構造如前所述,《民法典》頒布前,個人信息通過民事訴訟獲得救濟,一般是以侵犯人格權為由提起的侵權損害賠償之訴。其所存在的諸般障礙,可以歸結為相關制度所确立的個人信息權益的請求權結構存着基本缺陷。
如下圖所示,民事訴訟中的請求權,其一般結構由三部分組成:作為請求權大前提的規範依據,作為請求權小前提的要件事實,以及最終的法律效果。而明确請求權的過程,一般則需要通過四個步驟完成:第一步,檢索請求權;第二步,明确請求權要件;第三步,以要件涵攝事實;第四步,得出結論。
與請求權之一般構造相對比不難發現,《民法典》頒布前的個人信息權益請求權,存在如下結構性缺陷:
第一,盡管法律規範中存在個人信息法益上位民事權利的請求權規範依據,但個人信息法益請求權的直接規範依據并不存在,這就導緻請求權定位不明、構成要件不确定。在此前的相關民事規範中,并未給予個人信息以準确的法律定位,故其究竟是一種獨立的民事權利,還是一種合法權益,一直存在争議;而個人信息的外延,盡管有多項行政法規、強制性标準予以規定,但面對豐富的社會生活時,總有部分未被公法确認的個人信息形式,如被遺忘權及由此衍生的要求删除權等,是否是一種可訴的法益,既有規範無法給出明确的裁判标準。這就為以類推适用保護個人信息的訴訟路徑帶來極大的困難和障礙。
第二,請求權事實基礎的證成标準和舉證責任不确定。對于侵權行為,究竟是按照高度蓋然性标準,還是優勢蓋然性标準進行證明,司法實踐中一直存在完全不同的做法。由此導緻大量案件因為當事人無法直接證明個人信息被相關主體不适當、不合法地洩漏,而無法通過訴訟途徑維護自身權益。這也是實踐中阻礙個人通過民事訴訟途徑維護自身信息安全的最大障礙。
第三,法律後果的單一性。在此前類似案件的裁判中,個人信息保護一般多以侵犯名譽權或隐私權等具體人格權糾紛進入司法過程。而具體人格權作為一種防禦性權利,被認為僅僅在權利被侵犯時,其訴訟才具有必要性。質言之,權利圓滿狀态本身,并不能為當事人帶來任何直接或間接的經濟利益。因此,以侵犯具體人格權為由提起的民事訴訟,其主要救濟手段是對精神權利的救濟,即判令賠禮道歉等。而在損失賠償方面,除非特定的具體人格權(如名譽權)能夠與當事人的經濟利益存在明顯的直接關聯,司法會考慮支持經濟損失,否則司法僅考慮當事人在被侵權後,為維權及減少損失等支出的費用。個人信息法益請求權法律後果的單一性,也使得通過民事訴訟對侵犯個人信息法益進行救濟的方式,既缺乏震懾力,也難以真正對侵權行為的不法獲利予以剝奪,從而回複利益的均衡狀态。
因此,《民法典》頒布前,個人信息法益請求權存在的上述結構性缺陷,是制約當事人通過民事訴訟途徑進行救濟的結構性原因。
2021年1月1日正式施行的《民法典》,在一定程度上彌補了個人信息法益請求權的上述結構性缺陷,為通過民事訴訟維護個人信息合法權益,提供了可訴化路徑。《民法典》在第四編《人格權編》内,設置第六章《隐私權和個人信息保護》(第1032條—第1039條),其中,除了第1032條、1033條規定了隐私權的一般内容和具體規定外,其餘條款,以及第四編第一章人格權一般規定的相關條款,構成了我國個人信息民事權益的基本民事法律框架,被視為《民法典》編纂的一大創新和亮點。如下表所示,我國《民法典》個人信息保護相關條款及其主要功能為:
|
法條内容 |
制度功能 |
|
第一千零三十四條 自然人的個人信息受法律保護。 個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識别特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件号碼、生物識别信息、住址、電話号碼、電子郵箱、健康信息、行蹤信息等。 個人信息中的私密信息,适用有關隐私權的規定;沒有規定的,适用有關個人信息保護的規定。 |
1、明确了個人信息的法律性質,為具體人格權下的法律權益,而非獨立的民事權利類型。 |
|
2、以定義和列舉方式明确了個人信息的内容,即:足以識别特定自然人身份為内涵,外延則既包括個人身份識别信息,也包括個人蹤迹識别信息,還包括個人生物識别信息;并以“等”字方式兜底,保持個人信息内容的開放性。 | |
|
3、明确了私密信息的特殊保護,首先選擇隐私權保護,隐私權無法涵蓋,返回個人信息法益保護。 | |
|
第一千零三十五條 處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理,并符合下列條件: (一)征得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外; (二)公開處理信息的規則; (三)明示處理信息的目的、方式和範圍; (四)不違反法律、行政法規的規定和雙方的約定。 個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。 |
本條确立了個人信息基本的權利和義務内容,既明确了請求權的基本要件: 1、不再列舉侵犯個人信息的收集、使用、加工、傳輸、買賣、提供、公開等形态,而是采用GDPR模式,以“處理”概括,保持了吸入新的侵權形态的開放性; 2、确定個人的“知情-同意”為處理個人信息的基本原則,這一原則在實踐中雖頗多争議,但作為民事基本法律,《民法典》采此原則在于與民事法律行為意思自治基本原則相一緻。 3、确立了合法、必要、正當原則,以及适度标準,并明确了公開、明示的方式。 |
|
第一千零三十六條 處理個人信息,有下列情形之一的,行為人不承擔民事責任: (一)在該自然人或者其監護人同意的範圍内合理實施的行為; (二)合理處理該自然人自行公開的或者其他已經合法公開的信息,但是該自然人明确拒絕或者處理該信息侵害其重大利益的除外; (三)為維護公共利益或者該自然人合法權益,合理實施的其他行為。 |
本條确立了個人信息請求權的界限,即:符合“知情-同意”原則進行處理的、對已公開信息進行處理的、為公共利益合理處理的,為個人信息使用免責事由。 |
|
第一千零三十七條 自然人可以依法向信息處理者查閱或者複制其個人信息;發現信息有錯誤的,有權提出異議并請求及時采取更正等必要措施。 自然人發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的,有權請求信息處理者及時删除。 |
本條明确了個人信息法益的特殊請求權:個人信息決定權,即任何個人有權要求查閱本人的個人信息,并要求糾正、删除錯誤信息。 |
|
第一千零三十八條 信息處理者不得洩露或者篡改其收集、存儲的個人信息;未經自然人同意,不得向他人非法提供其個人信息,但是經過加工無法識别特定個人且不能複原的除外。 信息處理者應當采取技術措施和其他必要措施,确保其收集、存儲的個人信息安全,防止信息洩露、篡改、丢失;發生或者可能發生個人信息洩露、篡改、丢失的,應當及時采取補救措施,按照規定告知自然人并向有關主管部門報告。 |
本條再次強化了信息處理者對個人信息的安全保護義務。 |
|
第一千零三十九條 國家機關、承擔行政職能的法定機構及其工作人員對于履行職責過程中知悉的自然人的隐私和個人信息,應當予以保密,不得洩露或者向他人非法提供。 |
本條特别規定國家機關、承擔行政職能的法定機構(如社保中心、房産交易中心、醫療機構等)及其工作人員的個人信息保障義務。 |
通過梳理不難發現,《民法典》中與個人信息保護相關的條文,明确界定了個人信息權益的民事法律權益性質及所歸屬的具體人格權(隐私權),以及權利義務的具體内容,從而使得個人信息權益請求權的基本結構大大完善,從根本上構造了個人信息法益的請求權。與此相呼應,最高人民法院在最新修訂的《民事訴訟案由》司法解釋中,也增加了“個人信息保護糾紛”案由。因此,在《民法典》時代,個人信息法益請求權的結構已基本齊備,當事人通過民事訴訟途徑維護自身個人信息法益,已發生了本質性的改善。當然,不可否認的是,通過司法途徑保護個人信息法益,仍有不少重要問題有待進一步澄清,如:侵犯個人信息法益适用過錯責任原則還是過錯推定原則的問題;個人信息處理者應盡到一般注意義務還是高度注意義務,如果是高度注意義務,其注意的标準問題;新的侵權形态的認定問題;以及在大數據廣泛共享情況下确定真正侵權人的問題等一系列司法實踐必将面臨的現實問題,《民法典》并未明确予以規定。特别是,《民法典》無法解決作為商事法和經濟法内容的個人信息作為一種基礎數據資源,在商業和社會發展中必須被許可使用的利益平衡這一重大問題。而這些問題,則有待于個人信息保護法、數據安全法等特别法予以進一步解決和完善。
特别聲明:
以上所刊登的文章僅代表作者本人觀點,不代表北京市中倫律師事務所或其律師出具的任何形式之法律意見或建議。
如需轉載或引用該等文章的任何内容,請私信溝通授權事宜,并于轉載時在文章開頭處注明來源于公衆号“中倫視界”及作者姓名。未經本所書面授權,不得轉載或使用該等文章中的任何内容,含圖片、影像等視聽資料。如您有意就相關議題進一步交流或探讨,歡迎與本所聯系。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
