一、研究背景
党的二十大报告指出,要加快发展数字经济,促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群。要健全国家安全体系,提高公共安全治理水平,加强个人信息保护。2022年12月,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》,以基础制度破解数据要素价值释放中的基础性问题。个人信息作为数据资源中的重要组成部分,在数据要素市场中扮演着不可替代的角色。个人信息处理活动的规范性直接决定着数据在生产、流通、使用过程中的规范性。
2021年11月1日,个人信息保护法正式实施,与网络安全法、数据安全法共同构筑了我国个人信息安全、网络安全、数据安全的制度保障体系。同时,从民事主体的私权保护的角度,民法典与个人信息保护法共同构筑了个人信息保护的制度屏障。在司法实践中适用好上述法律规范,平衡好保护民事主体个人信息权益与数据合理流动的关系,对保障数字经济健康发展有着重要作用。
在数字经济背景下,为保护个人信息与隐私,全球已有140多个国家和地区制定了个人信息保护有关的法律。从我国实践来看,个人信息保护法颁布之前,关于个人信息保护的规定散见于不同的法律规范中,个人信息保护法围绕个人在个人信息处理活动中的权利、个人信息处理者的行为义务等进行了全面性规定,是个人信息保护领域的基本法律。同时,个人信息保护法是兼具公法、私法的领域法,为更好促进法律落实,相关行政职能部门围绕个人信息保护法制定了一系列细化的部门规章、规范性文件等,相关国家标准也在不断出台,以促进个人信息保护法的更好实施。
二、个人信息民事司法保护的实践考察
1.个人信息民事司法保护的重要意义。由于个人信息保护法兼具公法和私法性质,因此对于个人信息权益的性质、个人信息保护的主要路径等,一直以来存在观点争议。有观点认为,个人信息权是一种新型的公法权利,应当建立“国家保护”为中心的基本制度。事实上,民法典明确了个人信息权益作为一项重要人格权益的基本性质,强化通过行政手段规制大规模、组织化个人信息处理行为与强化个人权益保护并行不悖。在个人信息保护法颁布以前,最高人民法院已经通过制定相关司法解释,指导各级法院审理涉及侵害隐私权、个人信息权益等案件,切实发挥了保护个人信息权益的重要作用。比如,2014年颁布的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》明确规定了利用信息网络侵害自然人隐私或个人信息的责任。又如,针对社会生活中不规范使用人脸识别技术带来的个人信息安全隐患,2021年颁布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,特别针对侵害人脸信息这一敏感信息的行为进行规制,从举证责任、损害赔偿范围、公益诉讼等各方面明确加强个人权益保护,同时促进数字经济健康发展。
2.司法实践中的主要问题。通过对2016年1月至2023年8月全国范围内与个人信息保护相关的500余件民事案件进行统计分析,向二十余家主流互联网企业、百余位互联网企业员工或代理人发放调查问卷,课题组总结发现个人信息民事司法保护的主要争议问题如下:
一是个人信息保护法与民法典的适用有待进一步协调。两法在调整范围、调整方法、具体规范等方面既有共性也有差异,如何选择法律适用,需要进一步明确。二是个人信息范围认定在司法实践中仍存争议。个人信息有着突出的场景化特点,往往需要结合个案情况进行分析判断,如何认定某项信息是否属于个人信息、是否属于“匿名化”信息等,尚无统一标准。三是侵害个人信息权益与其他人格权的关系仍需协调。个人信息权益与其他人格权利存在重合、交叉的关系,法律适用可能出现聚合、竞合等难点。四是个人信息处理的合法性基础需进一步细化。无论是“告知同意”这一基本合法性原则,还是其他无需同意即可处理的情形,都需要进一步细化和统一。五是多主体处理个人信息的责任承担仍需明确。六是个人信息请求权的实现程序、方式等方面仍缺乏统一标准。七是个人信息侵权损害赔偿的认定标准有待进一步明确。除个人信息泄露导致的明确财产损害外,个体损害的微小性成为确定损害的最大难点。个人信息的精神损害是否需以“严重性”作为前提条件亦存在争议。
三、个人信息民事司法保护规则的完善建议
1.个人信息保护民事纠纷的法律适用。民法典与个人信息保护法是个人信息保护民事司法裁判中最重要的法律渊源。从二者联系来看,个人信息保护法对民法典的相关规定进行了丰富发展,作出了更具体、更详细的规定;个人信息保护法与民法典的某些规定虽然规范对象相同,但是由于规范目的不同,故二者适用的情形不同;相对于民法典的一般性规定而言,个人信息保护法对相关问题的规定属于特别规定,故应优先适用个人信息保护法的规定。
具体而言,在信息处理者处理个人信息这一关系下,应当优先适用个人信息保护法的相关规定,涉及自然人因个人或者家庭事务处理个人信息,因被明确排除在个人信息保护法之外,则适用民法典人格权编中个人信息保护、侵权责任编中的规定;在认定个人信息处理者是否合法处理个人信息时,个人信息保护法的相关规定对民法典进行了扩充和完善,两者的规范共同构成个人信息处理的合法性基础;涉及个人信息保护纠纷的过错认定,因个人信息保护法有特别规定而应适用其规定;涉及个人信息保护的权利实现、责任承担、共同处理和委托处理的责任承担、格式条款规制等,需要通过转介条款,适用民法典的相关规定。
2.个人信息保护民事纠纷的裁判原则。个人信息保护民事纠纷作为信息时代技术高度发展的产物,关乎私人领域的人格利益和财产利益,更涉及信息流通、数据要素价值释放,甚至国家安全等公共利益。审理个人信息保护民事纠纷,要注意把握好以下原则:一是平衡权益保障与数据利用原则,即充分考虑个人信息的场景性、动态性,平衡好保护与利用的关系;二是人格利益优先保护原则,要充分保障个人对于处理信息的自我决定权,重点保护与隐私、名誉等高度相关的个人信息,维护信息社会中的人格尊严;三是合理运用技术原则,利用好新技术,对规模化、自动化个人信息处理行为准确予以界定,正确维护各方合法权益;四是公私法结合原则,要充分考虑行政法规、部门规章、规范性文件的规范内容,促进行政执法与司法裁判标准的统一,为市场主体提供稳定的规则预期。
3.具体规则的完善建议。第一,保护对象:个人信息的定义和范围。个人信息保护法明确了个人信息认定需遵循“识别+关联”加“匿名化排除”的方法,以最大限度地将个人信息纳入保护范围。考虑到如果机械地理解个人信息保护法的定义,可能出现个人信息“无所不包”的情况,实践中个人信息认定应按照“客观标准”+“动态识别”标准。对于已经被相关法律法规、国家标准认定为个人信息的,应认定为个人信息;在尚无明确标准的情形下,应充分考虑识别主体、识别场景、识别成本、识别效果等因素认定个人信息。
第二,行为规制:个人信息处理规则。告知同意是个人信息处理最重要的合法性基础,是保障个人对个人信息处理决定权的重要制度。个人信息保护法明确了告知同意和无需同意即可处理的具体规定。实践中,要结合个人信息的类型、处理方式等认定告知同意的有效性,有效规制默认同意、变相强迫收集、超范围收集、未按照法定要求单独征得同意、以模棱两可或目的不明的语言告知或征得同意的情形。同时,应进一步明确无需同意即可处理的实践标准。
针对大型企业在关联主体中共享个人信息的情形,应重点区分“对外提供”和“信息共享”的关系,有效规制关联企业之间随意共享数据的问题。对于利用个人信息进行自动化决策的,信息处理者应当就其自动化决策没有提供差别待遇、已经向个人作出说明、不存在过错承担举证责任。关于近亲属对死者个人信息享有的权利,死者的近亲属请求对死者个人信息行使查阅、复制、更正等权利的,应证明其利益合法、正当,应考虑死者的生前意愿、第三人的合法利益等综合予以判断。死者生前通过订立遗嘱或与信息处理者订立合同的方式,明确限定了行使个人信息权利的主体,或者明确任何人都不得使用其个人信息的,应认定为个人信息保护法第四十九条规定的“死者生前另有安排”的情形。
第三,权利实现:个人信息请求权的具体适用。查阅、复制、异议、删除等权利是个人信息人格权请求权具体表现形式。民法典第一千零三十七条以及个人信息保护法第四十五条到五十条规定的查阅复制权、异议权、删除权等权利为人格权请求权的具体表现形式,可根据义务主体不同区分适用规则。
针对个人信息人格权请求权的具体行使,如果个人仅以个人信息处理者拒绝个人行使查阅、复制等权益请求,向法院提起诉讼的,应提供个人信息处理者拒绝其行使权利的初步证据。但是,如果个人信息处理者的申请受理和处理机制未建立、合理时间内未答复、无正当理由拒绝、提起诉讼的内容还包括其他侵权行为等情况下,个人起诉不受前款规定的限制。个人信息查阅和复制的范围应以被告收集和存储的个人信息范围为限。信息处理者可以就查询和复制的方式与用户进一步约定,并就查询复制的方式和渠道进行告知,具体方式可以根据个人信息的种类、储存方式、复制成本等多方面因素综合考虑。实践中,判断删除权的行使效果往往存在困难,例如,在诉讼过程中,如何举证证明删除与否的事实,法院在执行阶段如何确定信息处理者是否履行了删除义务等,应采信息外观衡量标准。
第四,责任承担:个人信息侵权责任认定。个人信息权益作为人格权的一项具体权益,其受到侵害,受害人理应享有人格权请求权,人格权请求权行使的前提为个人信息权益受到侵权人侵害,并不问加害人是否有过错。个人信息作为人格权益,其保护位阶并不优于隐私权、肖像权等精神性人格权和标表性人格权,故其侵权判定当然亦应遵循“动态系统论”的规定,也有利于协调和平衡个人信息权益与其他权益之间的冲突。关于个人信息保护是否适用人格权禁令,从体系解释的角度,民法典第九百九十七条的规定应该包含人格权益。个人信息权益本身作为人格权益,严重的侵害行为可能导致难以修复的损害后果,有必要明确个人信息权益也可适用人格权禁令,使人格权益保护更为周延。
关于个人信息侵权的损害赔偿责任,社会公众较为关注企业合规对民事责任的影响。考虑到现有法律难以穷尽个人信息处理过程中的过错情形,因此,直接规定“合规免责”,难以应对实践中复杂的情况,也过于绝对。应通过规定一般性的免责推定,同时赋予个人一方主张其他过错的权利,为实践中较为复杂的情况预留空间。此外,对于侵害人格权,民法典采用过错责任,而个人信息保护法采过错推定责任,即信息处理者对不存在过错承担举证责任。当个人信息和其他人格权复合侵权发生时,当事人面临着同一纠纷就过错事项的举证责任不同的情形。考虑个人信息保护立法的初衷旨在解决信息时代规模化处理个人信息所造成的主体之间信息处理能力不对等的问题,因此,当针对同一信息处理行为当事人主张既侵害个人信息权益又侵害其他人格权的,均可统一适用过错推定责任。
精神损害赔偿应以严重精神损害为前提,但具体判断应结合个人信息侵权的特点。因个人信息遭到违法处理或泄露产生不安或焦虑,是个人信息侵权致害的常见形态,不宜直接依照传统观点对此类后果引发的精神损害赔偿均予以否定。此类情况能否被视为严重精神损害,还需结合涉案特定情况,综合考虑身份特点、信息类型、侵权手段、影响范围等因素予以判定。对于财产损害赔偿,实质性风险和商业化利用获益可纳入考量因素。鉴于个人信息侵权的特性,其损害往往具有无形、隐蔽、分散的特点。若损害风险已达实质性风险的程度,可认定其满足损害的确定性条件,作为实际损害难以确定的情形,由法院酌情裁量赔偿数额。当个人信息权益被侵害时,权利主体本可通过个人信息授权他人进行商业化利用而实现的经济价值将发生减损,从而产生财产损失。当此种损失在具体案件中难以量化和计算时,可由法院酌情确定。
(清华大学、北京互联网法院、中国信息通信研究院联合课题组,主持人:申卫星 姜颖 敖立)
来源:人民法院报