在现行中国法下,个人信息受刑法、行政法、民法三重保护,其中民法保护借由个人信息侵权之诉得以实现。伴随个体意识的强化、监管机关的引导及新闻媒体的推动,个人信息侵权纠纷日益引起当下法律界乃至整个社会的关注。欲通过侵权诉讼来保护个人信息,关键之一在于侵权的类型化,即通过对个人信息侵权纠纷分门别类,厘清不同侵权类型的构成要件、免责事由及责任承担方式等。
在此领域优秀著述很多,仅以其中有代表性者论:求其全面者,则有刁胜先教授等所撰《个人信息网络侵权问题研究》;求其新颖者,则有李怡所著《个人一般信息侵权裁判规则研究》。本文拟在前述研究基础上,为个人信息侵权纠纷的类型化做一种新的尝试,为相关研究“再添一把薪柴”,以期引起更深入的讨论。
需要说明的是,现行司法实践中,在裁判个人信息相关纠纷时,相应判决常不加区分地使用“个人信息”、“个人隐私”、“隐私”等概念,这一点与学界部分有影响力的观点有明显出入,但相关术语的辨析不属于本文的讨论范围,也不影响本文提出的类型化方案。
个人信息侵权纠纷类型化的思路
类型化工作的首要任务在于找到合适的分类标准或维度。所谓“合适”,至少要满足:1. 与法律规定的个人信息保护义务对应、衔接;2.考虑司法实践和实际案例的发展情况,避免过于理论化的分类;3.逻辑上尽量做到类别清晰,不重不漏;4.颗粒度足够细,能够为当事人行为和司法裁判提供足够的指引;5.有足够的灵活性,为未来新的侵权纠纷留下空间。我们认为,在上述因素中,第1点是最根本的,因为个人信息侵权责任成立的前提是存在个人信息保护义务,违反不同的保护义务产生不同的侵权责任,因此,应在个人信息保护义务类型化的基础上,结合其他因素完成侵权纠纷的类型化。
在现行法律中,关于个人信息保护义务的规则集中在《中华人民共和国网络安全法》(以下简称“《网安法》”)第40-45条。《民法典·人格权编(草案)》第813-817条将个人信息作为具体人格权之一种作了规定,其中大部分条文与《网安法》相同或近似,少数条文有所增益。基于这些条文规定的个人信息保护义务,结合司法实践及上述其他考虑因素,我们将个人信息侵权纠纷分为九类:未经同意收集个人信息、未经同意使用个人信息、未经同意将个人信息用于高风险目的、故意使用错误信息、未经同意向他人提供个人信息、未经同意公开个人信息、拒不履行删除义务、未尽数据安全保护义务、平台侵权责任。
《网安法》第41条、第42条规定,网络运营者收集、使用和向他人提供个人信息,应当经相关个人同意。当前个人信息保护以个人对信息的自主权和控制权为核心,强调以个人同意为主要的合法性基础,因此,缺乏个人同意是最主要的侵权类型。个人同意的要求贯穿于个人信息生命周期各个阶段,包括收集、使用和向他人提供等,这也是欧盟《统一数据保护条例》(以下简称“GDPR”)将合法性基础统一适用于各种数据处理活动的原因。但是在进行侵权纠纷的类型化时,如果将所有缺乏同意的行为作为一个类型,则颗粒度太粗,不能充分反映各种侵权场景的细微差异,不能为当事人行为和司法裁判提供充分的指引,因此,我们认为,应当根据个人信息生命周期,对因缺乏同意而引起的侵权纠纷进行区分。
个人信息生命周期是实践中被广泛接受的一种分析进路,《网安法》第41-44条分别提到了个人信息的收集、使用、保存、提供、出售、删除等,正是这一分思路的体现。个人信息保护领域的另一重要文件《信息安全技术-个人信息安全规范》(以下简称“《安全规范》”)也是以个人信息生命周期为主线展开的。
根据生命周期的不同阶段,可将缺乏同意的侵权纠纷细分为五类:未经同意收集个人信息、未经同意使用个人信息、未经同意将个人信息用于高风险目的、未经同意向他人提供个人信息、未经同意公开个人信息。诚然,存储也是个人信息生命周期的一个阶段,不过,考虑到存储行为很难脱离收集或使用而独立存在,实践中也几乎不见仅因存储而起诉侵权的案例,故而没有单独成型。
另外,中国法下个人信息的“使用”一词涵盖的范围极其广阔,故“未经同意使用个人信息”和“未经同意将个人信息用于高风险目的”这两类具有相当的灵活性和伸缩性,可以容纳未来新的侵权类型,在一定程度上起到兜底条款的效果。
《网安法》第41条规定:“网络运营者不得收集与其提供的服务无关的个人信息……”《安全规范》亦明确,收集个人信息须满足“最小必要”要求。尽管如此,如果将“收集与所提供服务无关信息”或“收集非为提供服务所必要信息”专门列为侵权类型,落实相关侵权责任,则意味着需要明确“与服务有关”或“为服务所必须”的个人信息的具体种类。
然而,由于互联网变易不居,不同网络运营者所提供服务彼此间也存在密切差异,确定前述类型将十分困难。不仅如此,确定服务需收集信息类型,并要求运营者为超出相应范围的收集行为承担责任,这一点可能构成对数字产业的强监管,进而阻碍发展。全国信息安全标准化技术委员会曾尝试为主流APP划定必要个人信息范围,并于今年5月发布《移动互联网应用业务功能个人信息收集必要性规范》。作为引导行业发展的参考性、示例性文件,这样的规范并无不妥,但若以此作为判别侵权与否的标准,则未免失之于武断。即使退一步,将“必要性”交给法院依据个案事实来判断,也容易造成裁判标准参差不齐,不能为行业发展提供足够的司法确定性。综合考量,现阶段不宜将“收集与所提供服务无关信息”或“收集非为提供服务所必要信息”单列为侵权类型。
《网安法》第43条前半段规定,个人发现网络运营者违法或违约收集、使用其个人信息的,有权要求删除其个人信息,网络运营者应当采取措施予以删除。《民法典·人格权编(草案)》第815条扩展了个人享有删除权的情形,增加的情形包括侵害自然人合法权益、信息存储期限届满、于收集或使用目的已无必要以及其他缺乏正当理由继续持有的情形。删除权部分与信息主体的自主选择有关,但违法、违约收集个人信息的情形较多,不能完全归入缺乏同意收集和使用个人信息的侵权类型之中;存储期限届满或目的实现后的使用可视为超出同意的时间范围,但与缺乏同意毕竟不同;侵害自然人合法权益则与同意无关。综合考虑,宜将不履行删除义务单独列为一类侵权行为。唯从减轻网络运营者负担、防止恶意诉讼、节约司法资源的角度而言,不宜赋予个人径行起诉的权利,而应将个人先行私力救济(即通知网络运营者删除)作为提起侵权之诉的前置条件。
《网安法》第43条后半段规定,个人发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。更正权与数据质量有关。在大数据时代,网络运营者收集和使用的数据是海量的,错误在所难免,因此法律没有对网络运营者课以确保数据质量的一般性义务,而仅规定在个人提出更正要求且经证实存在错误时,网络运营者才负有更正义务。侵权行为的成立以存在违法性和过错为前提,故仅仅收集和使用错误信息本身不足以构成侵权,还需要具备行为后果(对个人人身、财产权益的损害)和主观过错(明知或应知)。综合考虑,可将故意使用错误的个人信息作为一种侵权类型。个人的更正权可在此类诉讼中通过适用停止侵害、消除影响等责任形式来实现。这意味着,如无人身或财产损害,个人不得单独提起更正个人信息错误的诉讼。
《网安法》第42条规定,网络运营者应采取技术措施和其他必要措施,确保个人信息安全,防止信息泄露、毁损和丢失。基于此项数据安全义务,相应产生“未尽数据安全保护义务”的侵权类型。数据安全保护义务也贯穿于个人信息生命周期的各个阶段,但是各个阶段的侵权行为相似,没有进一步区分的必要,故只作一种侵权类型。
除了上述八种侵权类型外,还有一种特殊的侵权类型:平台侵权。网络运营者与对其负有监督管理义务的平台之间如何承担侵权责任,是实践中经常遇到的情形,作为多人侵权的一种类型,宜单列一类。
个人信息侵权纠纷的九种类型
以下逐次说明九种侵权纠纷类型。对每一类型,首先列举侵权成立的要件,再辅之以典型案例。
未经同意收集个人信息
此类侵权的要件包括:首先,行为人实施了收集个人信息的行为;其次,收集个人信息未经信息主体同意;最后,不存在无需同意的例外情形,包括执法要求、出于信息主体重大利益、已自行或以其它合法途径公开、法律法规确立的其它情形,等等。
实践中,行为人既可能直接从信息主体处收集个人信息,也有可能接收他人传输的个人信息。无论是直接收集还是间接收集,是否具备相应的合法性基础,都是界定收集者有无侵权的关键。通常而言,于直接收集信息场景,需要考察行为人对信息收集、使用的规则等要素的明示是否完备、告知是否充分、同意是否有效。于间接收集场景,需要考察信息源头是否合法、信息转移是否为信息主体所同意等。
针对“未经同意收集个人信息”,目前仍在审的“刘瑞博与乐元素科技(北京)股份有限公司隐私权纠纷”可为适例。该案原告诉称,被告在未取得原告明示同意的前提下,擅自开启“存储”、“位置”、“电话”、“相机”、“短信”、“通讯录”等多种权限,并收集个体位置等信息。原告诉请被告赔礼道歉,并支付精神损害赔偿1元。
相关典型案例又有“罗某诉某保险公司隐私权纠纷案”。在该案中,被告多次致电原告推销车辆保险,并准确说出其姓名与车辆保险到期日;原告询问被告如何得以获知其姓名、手机号码及车辆保险到期日等信息,被告始终未能清晰回答。原告遂起诉,要求被告赔礼道歉、赔偿过程中的话费损失,并赔偿1元精神损害抚慰金。法院判决支持原告各项诉求。
未经同意使用个人信息
此类侵权的要件包括:首先,行为人实施了使用个人信息的行为;其次,相应使用行为未经信息主体同意,并且,相应使用行为不在同意的合理关联范围之内;最后,不存在无需同意的例外情形,包括执法要求、出于信息主体重大利益、法律法规确定的其它情形,等等。
典型案例有“XX跃、浙江岩亨信息技术有限公司、浙江岩亨信息技术有限公司杭州分公司隐私权纠纷”。本案中,被告擅自将原告个人信息录入税收系统,导致原告所就职企业误认为原告在外兼职,并对原告工作造成一定负面影响。法院判决被告行为构成侵权,要求被告赔礼道歉,并支付5000元精神损害抚慰金。
另一典型案件是“刘福忠与金石期货有限公司、中国工商银行股份有限公司新疆维吾尔自治区分行营业部姓名权纠纷”。在该案中,在申请开立期货账户时,原告向前一被告提交了身份证复印件。之后,在原告不知情前提下,前一被告用前述复印件向后一被告申请消费贷款且逾期,造成不良记录。原告诉请消除影响并赔偿精神损害抚慰金,获法院判决支持。
未经同意将个人信息用于高风险目的
此类侵权的要件包括:首先,行为人实施了使用个人信息的行为;其次,相应行为属于高风险使用,包括汇聚融合、用户画像、定向推送、自动化决策,等等;再次,相应使用行为未经信息主体同意;最后,不存在无需同意的例外情形。
需要说明的是,在“未经同意使用个人信息”与“未经同意高风险使用个人信息”间,实有两点差别。第一,前者主要是指按照收集信息的原初目的使用个人信息,为销售商品和提供服务所需,风险通常较低;后者则系近年引起监管、学界及舆情关注,且为《数据安全管理办法(征求意见稿)》、《信息安全技术个人信息安全规范》所单独列举的特殊使用方式,包括汇聚融合、用户画像、定向推送、自动化决策等,风险通常较高,宜单独列为一类侵权。第二,相比前者,后者去掉了“相应使用行为不在同意的合理关联范围之内”的表述。实践中,鉴于“合理”一词宽泛而难确定,被行为人的举证责任,将因此有比较明显的下降。同时,这一安排也进一步激励了个人信息使用者在高风险使用个人信息前获取清晰、确切的明示同意。
这一侵权类型的典型案例当属“北京百度网讯科技有限公司与被上诉人朱烨隐私权纠纷”。在这一案件中,被告在原告使用电脑网页浏览器中置入cookie,并以cookie所获信息进行个性化广告推送。原告诉请停止侵权、赔礼道歉并支付精神损害抚慰金。一审法院部分支持原告诉求,不过,二审法院撤销了一审判决,并驳回原告全部诉请。
故意使用错误个人信息
此类侵权的要件包括:首先,行为人实施了使用个人信息的行为;其次,相应个人信息为错误信息;再次,行为人明知或应知相应个人信息错误;最后,使用错误个人信息的行为对信息主体造成了人身或财产方面的损害。“信息主体自身有过错”可作为这一侵权的抗辩。
关于这一侵权类型,已有案件多集中于银行征信领域。在“石某某与上海银行股份有限公司一般人格权纠纷案”中,原告与单位同事共同申领信用卡,但因有不良信用记录被拒绝。后证明,前述决定系上海银行错误录入信用记录、导致个人信息串户所致。法院判决被告须在原告工作单位范围内书面道歉,并支付精神损害抚慰金4000元人民币。
同出于征信领域的另一典型纠纷,是“中国工商银行股份有限公司个旧支行与段明波人格权纠纷上诉案”。其中,原告向被告贷款,并提前还清。然而,被告向征信中心报送错误信息,导致原告征信记录中出现9次错误的逾期记录,并长期未更正。原告起诉侵权,法院判决被告应赔礼道歉,并赔偿原告信誉损失4万元。被告上诉,二审维持原判。
未经同意向他人提供个人信息
此类侵权的要件包括:首先,行为人实施了向特定少数人提供个人信息的行为,提供包括共享与转让;其次,相应提供行为未经信息主体同意;最后,不存在针对“同意提供”的例外情形,包括执法要求、出于信息主体重大利益、委托处理、法律法规确定的其它情形,等等。
针对“未经同意向特定少数人提供个人信息”,“孙xx诉中国xx网络通信有限公司上海市分公司隐私权纠纷”属较为典型案例。被告为原告提供电信服务,由此收集了“姓名”、“身份证号”、“家庭住址”等个人信息。之后,被告将相应个人信息有偿提供给彼此独立的一家人寿公司,后者又以此营销。法院判决被告侵权,并要求被告赔礼道歉。
未经同意公开披露个人信息
此类侵权的要件包括:首先,行为人实施了公开披露个人信息的行为;其次,相应公开披露行为未经信息主体同意;最后,不存在法律法规确立的、针对“公开披露”的例外情形。
此类侵权与前一种“未经同意向他人提供个人信息”存在两点区别:一是“向他人提供”仅面向特定少数人,通常风险较小,而“公开披露”则面向不特定多数人,通常风险较大。二是责任形式存在差异,在“未经同意公开披露个人信息”的情形中,无法适用“停止侵害”、“恢复原状”,原因在于,在“永不删除”或“永不遗忘”的年代,公开是一次性的,个人信息一经公开,便不太可能再从网络中彻底消除。
此类侵权的典型案例有“吴贝贝与江苏金统贷网络科技有限公司隐私权纠纷”。在该案中,被告擅自将未隐去出生日期、身份证号码、家庭住址等原告个人信息的法院《民事裁定书》及《协助执行通知书》公布于官方网站,后又转发至QQ群。法院判决被告行为构成侵权,并要求被告向原告赔礼道歉。
拒不履行删除义务
此类侵权的要件包括:首先,存在违法或违约收集个人信息、存储期限届满、目的已经实现、侵犯个人权益等应当删除个人信息的情形;其次,信息主体向行为人提出了删除相关个人信息的明确要求;再次,行为人未在合理时间内予以删除;最后,不存在依法可不予删除的例外情形。
针对“拒不履行删除义务”,“张某与江苏如皋农村商业银行名誉权纠纷”属典型案例。本案中,原告向被告借款10万元,后未能按期还款,被告遂诉至法院。双方达成和解,原告一次性清偿相应款项,合计共17万元。判决已执行完毕。之后,被告始终未删除原告借款逾期记录,且在张某以书面方式提出异议要求删除后仍不予删除,导致原告无法申请贷款。原告遂诉至法院,一审判决被告应向中国人民银行征信中心报送删除原告张某案涉不良信息的申请,并赔偿原告精神损害抚慰金5000元。二审维持原判。
未尽数据安全保护义务
此类侵权的要件包括:首先,行为人没有采取必要的技术措施和其他措施保护个人信息,或存在其它过错;其次,因为上述必要措施的缺失或过错,导致了个人信息的泄漏、损毁或丢失。
针对“未尽适当安全防护义务,造成数据泄漏、损毁或丢失”,除知名的“庞某某诉东航及趣拿”案外,尚有事实相近的“林念平与四川航空股份有限公司侵权责任纠纷”。本案中,原告购买机票后,即接到包含详尽的、与航班相关联的个人信息的短信,导致受骗损失财物。四川航空则未能证明自身已采取“技术措施和其它必要措施”。一审判决原告未达到举证责任要求,并驳回其诉讼请求;二审判决原告已达相应要求,并撤销一审判决,判令被告赔偿损失并赔礼道歉。对此类侵权,“存某与北京市肛肠医院隐私权纠纷”一案亦可参考。本案中,原告至被告医院就诊,形成由后者保存的病历。之后,病历遭泄漏,并被制作成光盘在网上售卖。法院一审判决原告构成侵权,需赔礼道歉,支付12000元精神损害抚慰金。二审维持原判。
平台侵权责任
此类侵权的要件包括:首先,作为平台经营者的行为人对平台内的网络运营者负有法律上的监督管理义务;其次,行为人没有履行前述监督管理义务;最后,因为上述监管管理义务未履行或过错,导致平台内的网络运营者得以未经同意收集或使用个人信息。
此类议题在理论层面争议甚大,在实践层面暂时未发现相关案例。不过,可以想象以下情形,其中可能存有类似的侵权行为:行为人在其运营的平台中安置第三方应用。由于平台本身设计,导致用户难以在使用第三方应用之前,以简便方式了解第三方应用隐私政策。于是,在用户同意之前,第三方应用即已获得部分个人信息。若由此引发纠纷,则可援引这一类型下的侵权。因关于平台侵权问题的责任形式仍系众说纷纭,此处不妨先令平台及第三方应用各自承担“相应的责任”。(袁立志 竞天公诚律师事务所合伙人;朱悦 竞天公诚律师事务所研究助理)
声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。