个人信息保护纠纷理论释解与裁判实务(第二版)
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
上一章目录下一章

第3章 《个人信息保护序说》:个人信息的范围

基本原理

一、个人信息的界定

根据《个人信息保护法》第4条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。这一界定与此前来自《网络安全法》关于个人信息的界定略有不同。《网络安全法》第76条第5项规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。[1]我国台湾地区于2016年修正之后的“个人资料保护法”第2条第1款规定:个人资料是指自然人之姓名、出生年月日、国民身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病例、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人之资料。以上关于个人信息的界定,有的仅仅是对个人信息进行定义,有的则是对于各种具体的个人信息进行了不完全的列举。但实际上,个人信息的具体类别远不止上述内容。最新修订并于2020年10月1日实施的国家标准《信息安全技术·个人信息安全规范》(GB/T 35273-2020)将个人信息区分为13大类、90多种具体的个人信息。[2]值得注意的是,随着信息科学技术的发展和人类社会活动的深入拓展,个人信息的种类还会不断丰富。就此而言,任何有关个人信息范围的列举,都可能是不完全的,我们应该对个人信息保持一种开放的态度,随时准备接纳新的个人信息种类。

二、个人信息的法律属性

(一)关于个人信息法律属性的论争

第一种观点认为,个人信息属于隐私权的客体,即个人信息属于所谓的“数据隐私”(Data Privacy)。该种观点强调对个人数据的控制与利用,对其以隐私权进行保护较为恰当。

第二种观点认为,个人信息属于人格权的客体。在个人信息之下,对其的收集、处理和利用,都直接关系到信息主体个人的人格尊严。因此,对于个人信息应该按照人格权进行保护。这一主张主要是德国、法国等欧州部分国家的观点。

第三种观点认为,个人信息属于财产权的客体,即个人信息体现的是一种财产权益。既然是一种财产权益,则其权利内容可以比照所有权,因而权利主体对个人信息享有占有、使用、收益、处分的权能。[3]

第四种观点认为,个人信息就是一种独立的权利客体,个人信息所负载的是个人信息权益,个人信息就是个人信息权益的客体。《民法典》第111条规定的个人信息,就是规定的个人信息权益,是一种具体人格权。[4]

(二)个人信息法律属性的述评

以上关于个人信息法律属性的认识各有所据,值得研究。个人信息的具体类型中,有很多都与自然人的隐私利益密切相关。比如,个人生物识别信息中的基因,个人健康生理信息中的既往病史等,都属于个人的隐私。可见,个人信息的确与隐私有很多交叉。但如果因此将个人信息确定为隐私权的客体,则又人为地限缩了个人信息的范围。因为,个人信息中也有很多信息并不属于隐私,比如,个人姓名、性别、电话号码等。因此,单纯地将个人信息确定为隐私权的客体是以偏概全了。将个人信息视为财产权的客体同样限缩了个人信息的种类和范围。虽然根据黑格尔的学说,个人信息本身并非主体的内在物,主体可以将自有的意志体现在个人信息中,且可根据自由意志对个人信息进行商业利用。[5]但如果据此认定个人信息属于财产权客体,也未尽妥当。传统民法中的肖像权,也是可以进行商业利用的权利,但是否可以据此认为肖像权属于财产权呢?所以,将个人信息作为财产权的客体,也不可取。《民法典》第111条虽然规定了个人信息受法律保护,但并没有明确将其称为“个人信息权益”,而在其他条款中,对于姓名权、身体权、健康权、物权、债权等明确将其称为“某某权”。按照体系解释的方法,应当认为立法上并没有完全承认“个人信息权益”这样的概念。在《民法典》中,第四编第六章的题目也是“隐私权和个人信息保护”,仍然没有用“个人信息权益”的表述。这表明,《民法典》并没有将个人信息利益明确承认为一种独立的权利类型。不过,随着世界范围内个人信息保护运动的兴起和发展,个人信息利益中的权利内涵已经相当丰富,而各国对个人信息利益的保护强度虽然在一定程度上不及“权利”,但也在较大程度上提供了较为完全的保护。在此情况下,不妨顺应时代发展潮流,给个人信息冠以“权利”之名,使其成为有名有实的权利。当然,作为保护个人信息的一部重要的综合性法律,《个人信息保护法》也没有用“个人信息权”而是“个人信息利益”(第1条)的表述,基于此,本书在问题探讨的层面,主要使用“个人信息权益”的表述。

根据以上分析,排除个人信息的隐私权客体说、财产权客体说,同时考虑到个人信息利益还没有被《民法典》和《个人信息保护法》确认为有名有实的“权利”的情况,本书认为,在现阶段,个人信息应当认为属于人格权益的客体,在具体的权利表述上,一般可以将个人信息利益归入一般人格权的范畴,但个人信息权益仍然不是权利,还不能将其视为与人格权完全相同的权利类型,在保护方法上也不能完全类推适用人格权作为绝对权和支配权的方法,而只能部分地类推适用,比如排除妨碍等。需要指出的是,本书将个人信息定位为人格权的客体,是在把企业数据和个人信息相区分的基础上所得出的判断。一方面,《民法典》第127条已经明确对数据进行赋权,作为数据主体的数据生成者、数据控制者、数据处理者显然不同于作为个人信息主体的自然人。数据已经成为要素市场资源的重要组成部分,中共中央、国务院也于2020年3月30日发布《关于构建更加完善的要素市场化配置体制机制的意见》,要加快推进包括数据要素在内的要素市场化配置改革,推动数据的开放共享、提升数据资源价值、加强数据资源整合与安全保护。在此背景下,数据有必要与个人信息相分离而成为独立的权利客体。另一方面,数据虽然来源于人们日常工作、生活中的言谈、举止、情绪等信息,但数据本身也与信息存在差别,数据的外延小于信息,它只是信息的媒介和载体,[6]这就决定了它们之间存在相互分离而成为独立的权利客体的可能性。也正因如此,十三届全国人大常委会才将个人信息保护和数据安全(利用)分别立法,即《个人信息保护法》和《数据安全法》,以实现自然人人格利益、企业经济利益和国家公共利益的协调与平衡。[7]

三、个人信息的分类

个人信息基于不同的标准可以划分为不同的种类,实务界和理论界对于个人信息分类的认识有所不同,不同分类项下的个人信息在归责原则、证明标准等方面亦有所差别。我们综合各种分类方式,认为可以将个人信息从以下三个方面进行分类。

(一)政府掌控的个人信息、自然人掌控的个人信息和其他组织掌控的个人信息

按照个人信息掌控主体的不同可以将个人信息划分为政府掌控的个人信息、自然人掌控的个人信息、其他组织掌控的个人信息。该分类标准虽然比较周延,但三种类别下的个人信息存在交叉,比如身份证号码由政府提供,自然人自身也控制着身份证号码。对于其他组织掌控的个人信息,主要是从消费者隐私保护的角度进行言说,体现为金融机构、医疗机构、企业经营者等主体对消费者个人信息的保护义务,在《个人信息保护法》颁行之前,对于其他不能通过隐私权保护的个人信息则缺乏体系化的保护手段。[8]不过,这一状况在《个人信息保护法》颁行之后已经得到解决。

上述分类的意义在于,学者认为,在确定侵犯个人信息的侵权责任时,对于政府掌控的个人信息应当确立无过错责任原则,而对于其他组织掌控的个人信息,应当确立过错推定责任,对于自然人掌控的个人信息,则应当确立一般的过错责任原则。[9]政府以及其他组织相较于自然人而言,获取以及通过数据自动处理(大数据)技术处理个人信息的能力更强,更有可能侵犯个人合法权益。并且,由于信息处理的复杂性,一旦发生个人信息的侵害事件,个人对于过错的举证能力相对较弱,因此,上述证明责任的分配标准是有合理性的。但是,《个人信息保护法》第69条第1款对于个人信息的侵权损害赔偿,已经统一确定为过错推定责任。在此情况下,前述基于侵权损害赔偿归责原则基础上的分类,就只有理论意义了。也就是说,在《个人信息保护法》颁行后的司法实践中,不论掌握个人信息的是谁,都统一适用过错推定原则。

(二)原生的个人信息与衍生的个人信息

按照产生来源的不同可以将个人信息划分为原生的个人信息与衍生的个人信息。原生的个人信息,是指通过合法的记录、储存而产生的个人信息,并不依赖现有数据。原生个人信息的产生是一个从无到有的过程,被记录和储存是其重要技术特征。原生的个人信息并不能被直接使用,也不是大数据交易中所要研究的对象,其可以直接被获取的价值极为有限。衍生的个人信息,是指系统的、通过计算机数据处理系统可读取的、有使用价值的个人信息,其建立在原生的个人信息被合法记录、存储后,并经过特定的算法计算、加工和聚合之后。相较于原生的个人信息,加工、计算、聚合等处理是其重要特征。[10]

上述分类的意义在于,一方面,实践中针对原生个人信息,一般不会发生大规模侵权,而针对衍生个人信息,则可能发生针对某一群体的大规模侵权,从而存在提起公益诉讼的必要性。另一方面,针对原生个人信息,司法审判中应强调保护优先。而针对衍生个人信息,因涉及国家的信息产业战略,在强调对衍生个人信息进行保护的同时,需要兼顾衍生个人信息的流通。不宜仅仅强调对信息主体的保护,而不合理地限制个人信息(数据)的流通。

(三)敏感个人信息与非敏感个人信息

按照信息内容是否直接涉及个人人格尊严和人身、财产安全,可以将个人信息划分为敏感个人信息与非敏感个人信息。根据《个人信息保护法》第28条第1款,敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息。此外,有关性生活、遗传信息等个人信息也属于敏感个人信息。[11]《信息安全技术·公共及商用服务信息系统个人信息保护指南》(GB/Z 28288-2012)第3条、第7条将个人敏感信息界定为,一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息,包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。

《信息安全技术·个人信息安全规范》(GB/Z 35273-2020)附录B将敏感个人信息界定为:一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。从效力层级看,以上关于敏感个人信息的界定当然应以《个人信息保护法》第28条第1款为准,但由于《个人信息保护法》第28条第1款关于敏感个人信息的列举是不完全列举,在实践中具体认定敏感个人信息时完全可以参照上述国家标准。与敏感个人信息相对,非敏感个人信息则是指敏感个人信息以外的个人信息。

上述分类的意义在于,敏感个人信息与个人的人身和财产权益联系得更为紧密,一旦遭到泄露或修改将直接侵犯个人的人身和财产权益,因此,对于敏感个人信息的保护应高于非敏感个人信息的保护。正如《个人信息保护法》第28条第2款规定的那样,只有在存在具体特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。在具体的司法审判中,对于敏感个人信息被侵犯的信息主体,应提供更为便捷和低成本的保护,在证明责任分配上,《个人信息保护法》第69条已经确定了对所有个人信息权益造成损害时的举证责任倒置规则,即由侵权人证明其对个人信息的处理没有过错,这对于敏感个人信息的保护无疑更具有重要意义。同时,可以考虑降低被侵权人对于侵权行为、因果关系的证明标准,从而更有效地保护敏感个人信息。

四、个人信息与非个人信息

欧盟《非个人数据自由流动条例》(Regulation on the Free Flow of Non-personal Data)第3条规定,非个人数据是指个人数据之外的数据。本书认为,个人数据之外的数据主要包括三种情况:其一,由自然人产生的单纯的无识别性的信息。例如,早高峰期间使用摩拜单车的次数、某微信公众号文章的点赞次数等。其二,由民事主体经过加工梳理产生的无识别性的信息。例如,每年11月12日淘宝统计的“双十一”交易金额、交易单数等。其三,对原始数据进行匿名化处理之后获得的增值数据。例如,高德地图对过去迁徙数据整理、分析后对下一年黄金周出行的提示等。

个人信息与非个人信息的区分,对司法实践的最大意义在于,从个人信息与非个人信息的关系上看,非个人信息可以向个人信息转化。一旦发生转化,则原本是对非个人信息的侵犯(可能并不构成侵权),嗣后可能转变成对个人信息的侵犯(构成侵权)。一般而言,非个人信息转化为个人信息的途径主要有二:一是匿名化之后的再识别;二是对若干分散的非个人信息进行分析综合,如人肉搜索。就此而言,个人信息是绝对的,非个人信息是相对的,司法实践中,只要某些信息综合到一起时可以定位到某一具体人,不论其单个的信息是个人信息还是非个人信息,对这一信息集群都应提供保护。

专题1 通讯录中的联系方式是否属于个人信息而受法律保护

◎ 案例简介

高某某于2012年年底参加某大学招聘。2013年10月19日到20日,该高校政管学院举办第二届“中国与东亚”国际学术研讨会(以下简称研讨会)。研讨会的会议手册的最后一部分通讯录中列有参会学者的个人信息,其中包含高某某的姓名、单位/职称、联系电话及电子邮箱。该大学主张高某某在研讨会中主动提出负责联系及接待俄罗斯学者方面的工作,也可以提交论文,是研讨会的参与者,因此把高某某的电话及电子邮箱载入了会议手册。高某某主张其并无主观意向参加该会议,而是执行该大学安排的工作,是研讨会工作人员。研讨会为学术性的学者论坛,会议手册仅分发给参会的专家学者,该大学主张会议手册共印70份左右,发出去50份左右。高某某认为该高校侵犯了其个人隐私权。故诉至法院,请求该高校:1.立即停止侵权,删除中英文手册上高某某的名字及私人信息;2.承担公证费1520元;3.向高某某正式道歉;4.赔偿精神损失20000元。[12]

法院裁判认为,法律意义上的隐私是指自然人拥有的与其社会生活无关的个人信息和个人生活资料,其核心属性为被自然人隐藏或不欲为外人所知晓。本案中,该大学举办的研讨会是学术性的论坛,制作的会议手册的发放对象也是特定的专家学者,并非在社会范围内无目的地随意投放。无论高某某是作为研讨会的参会人员还是工作人员,该大学将其电话号码和电子邮箱信息登载于会议手册上也是出于学者之间沟通交流的便利,并无泄露高某某个人隐私的主观恶意。高某某亦未能举证证明因为会议手册登载了其电话号码和电子邮箱而对其造成了损害。此外,电话号码和电子邮箱信息仅是现代人为与他人进行交流的通信手段,随时可以更换,并非附着于人身人格的一种权利。因此高某某的主张没有依据,法院不予支持。综上所述,法院依照《民事诉讼法》第64条之规定,判决:驳回高某某的诉讼请求。高某某不服该判决,提起上诉,二审法院驳回上诉,维持原判。

◎ 法官评析

1.高某某的姓名、单位、联系方式等不属于其隐私

本案中,法院一审判决显然认为,高某某的姓名、单位、联系方式等均与其社会生活有关,这些信息也不属于被高某某自己隐藏或不欲为外人所知晓的情况。并且,现代社会个人的联系方式可以随时更换,因而不存在与高某某人格附着的情况。而所谓的隐私权,自1890年由美国人沃伦和布兰代斯发表《论隐私权》以来,[13]其概念都在不断发展和完善。一般认为,隐私权是公民享有的私生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、收集、利用和公开的一种人格权。[14]而本案中,高某某的姓名、单位、联系方式等既不属于其私生活的范畴,也不属于其私人信息(用于社会交往,不可能是私人信息),因而不宜归入隐私权范畴。法院的认定是比较符合隐私权的一般理解的。

2.高某某的姓名、单位、联系方式等属于其个人信息

然而,虽然高某某的姓名、单位、联系方式等不属于其个人隐私,但无疑应该属于其个人信息。因为,根据《个人信息保护法》第4条对于个人信息的法律定义,高某某的姓名、单位、联系方式,应当属于以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。但是,在本案中,高某某是以其隐私权受到侵害为由起诉的,而姓名、联系方式等个人信息并不属于隐私,故法院判决驳回高某某的诉讼请求是妥当的。

3.高某某的姓名、联系方式等作为个人信息受法律保护

《民法典》第111条规定,自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。据此,虽然高某某的姓名、联系方式等不能作为隐私请求法律救济,但可以作为个人信息请求法律救济。需要注意的是,在具体的案件中,个人信息被侵害之后原告诉讼请求能否获得支持,还取决于具体诉讼请求的内容。而具体的诉讼请求内容能否获得支持,还需要在具体个案中考察。比如,在本案中,高某某以个人信息受侵害为由起诉主张损害赔偿,亦未必能获得支持。因为,根据《民法典》第1165条第1款规定,行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。也就是说,承担损害赔偿责任要符合以下四个构成要件:其一,实施了侵害行为;其二,产生了损害结果;其三,侵害行为和损害结果之间有因果关系;其四,行为人存在主观过错。据此,即使本案中的高校未经允许将高某某的姓名和联系方式放入会议手册,但如果对高某某并未造成任何损害,则高某某主张损害赔偿的请求也不能获得支持。正如该案的二审判决所指出的,高某某确实参加了该次会议,并实际完成了与俄罗斯专家相关的工作,故不存在该大学在高某某不知情的情况下,擅自公布其隐私的事实。该大学也并未将该会议手册公开发行,向社会公布。同时,高某某亦未能举证证明该大学的上述行为给其造成了相应的损害后果。因此,上诉人高某某的上诉请求和理由缺乏事实和法律依据,法院不予支持。

因此,作为个人信息主体的自然人,必须明确的一点是,在个人信息受法律保护的前提之下,每一项具体的诉讼请求能否获得法院的支持,还必须考察该诉讼请求所依据的请求权基础(法律依据)的全部要件是否具备。只有诉讼请求的请求权基础的构成要件在本案中全部具备的情况下,其请求才能获得法院的支持。

◎ 规范指引

《民法典》

第111条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

第1165条第1款 行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。

《个人信息保护法》

第4条第1款 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

专题2 住宿信息是否属于个人信息而受法律保护

◎ 案例简介

2017年7月21日晚上,原告到被告处住宿,于当天离店。嗣后,案外人楼某某以公安机关办案需要为由向被告调取原告的开房记录,被告向楼某某提供了《双盈酒店客人账单》,账单记载:姓名:吴某某;入住日期:2017年7月21日18:49;离店日期:2017年7月21日20:46;房间号:1012;消费合计168元。楼某某收到上述账单后,于2017年7月31日向原告妻子发送短信,主要内容:“吴某某同银行员工青某,7月5日、8日、21日二人到柯桥滨海酒店保(包)房间,你老公有外遇,你还不知道,人家已经闹离昏(婚)了。”“但是事情闹大了对你老公没什么好处,是不是?你等几天再说,如果我侄子他们和好的话,那什么也不说了,行吗?证据我今晚已拿到了,视频也有的,过两天再说,你把你的老公尽量挽回,谢谢。”并将从被告处得到的上述账单影印件发送给原告妻子。后原告于2018年6月1日诉至法院,请求:1.判令被告法定代表人当面向原告赔礼道歉;2.判令被告赔偿原告精神损失费10000元;3.诉讼费用由被告承担。

法院裁判认为,隐私是一种与公共利益、群体利益无关的,当事人不愿让他人知道或他人不便知道的信息,当事人不愿他人干涉或他人不便干涉的个人私事和当事人不愿他人侵入或不便侵入的个人领域。隐私权是指自然人享有的对自己的个人秘密和个人私生活进行支配并排除他人干涉的一种人格权,不允许他人非法获悉、收集、利用和侵扰。本案中,原告因私人生活需要到被告处开房,属于当事人不愿他人干涉或他人不便干涉的个人私事,其住宿信息属于具有隐私性质的人格权益,受法律保护,被告作为从事旅馆服务业的单位,更负有对客户隐私保护的义务。然被告在案外人楼某某因其个人原因索要原告的住宿信息时,在未查清其真实身份之前,即将原告的住宿信息提供给被告,致使原告的隐私被他人知道,本案事实也表明,楼某某得到原告的住宿信息后,当即发信息给原告妻子,造成一定范围内的扩散,被告之行为侵犯了原告的隐私权,且主观上有过错,依法应向原告承担侵权责任,现原告要求被告当面赔礼道歉,理由正当,法院应予支持。[15]

◎ 法官评析

1.吴某某的住宿信息属于其隐私

本案中,法院认为吴某某的住宿信息属于具有隐私性质的人格权益,实际上肯定了涉案的住宿信息属于隐私。根据当时施行的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释〔2014〕11号)第12条第1款规定,网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。对该条进行文义解释可以发现,自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等都属于个人隐私。本案中吴某某在宾馆的开房住宿信息,无疑属于其私人活动,应当属于其个人隐私。因此,法院将吴某某的住宿信息认定为个人隐私是妥当的。

2.吴某某的住宿信息同时也属于个人信息

尽管理论界与实务界关于隐私与个人信息的界分问题并未完全取得一致,但至少存在以下共识。一方面,隐私与个人信息的确存在差别。隐私常常强调私密性,一旦被公开,就不再是隐私。个人信息并不强调私密性,尽管有的个人信息也属于私密信息,但这仅仅是个人信息的一个类型,而不是其质的规定性。个人信息常常强调可识别性,能够单独或组合之后与特定自然人的人格和身份相联系。隐私则并不注重识别性,凡属私人领域不愿公开且不涉及公共利益的信息或活动都可成为隐私。以隐私为客体的隐私权主要是一种防御性、被动性的权利,只有在权利被侵害时,才能显示其权利的效力。而以个人信息为客体的个人信息权益则是一种进取性、主动性的权利,即使在其没有被侵犯时,权利主体也可以积极主动地进行利用。[16]当然,在权利被侵害时,也可以请求更正、删除或赔偿损失。就此而言,个人信息权益的效力更为丰富、饱满。另一方面,隐私与个人信息存在很多共同点。不论是隐私,还是个人信息,都只是针对自然人而言的,所谓的隐私权和个人信息权益,都只是自然人才能享有的合法权益。同时,隐私和个人信息在范围上有很多交叉。很多个人信息在没有被公开之前都属于隐私。而很多隐私,本身也属于个人信息中的私密信息。比如,个人的银行账号信息,既属于个人信息,也属于个人隐私中的财产性隐私。随着以大数据分析为基础的算法技术的发展,很多隐私可以通过技术手段予以数据化,并单独或与其他信息结合起来匹配到某一个具体的自然人。也就是说,在计算机信息技术的加持下,隐私越来越多地被通过计算机可读的数据形式予以信息化,从而成为个人信息。基于以上分析,某一类具体的个人信息,完全可能具有隐私和个人信息的双重属性。本案中的住宿信息显然就属于这种情况,虽然法院判决将吴某某的住宿信息认定为个人隐私,但这丝毫不妨碍其住宿信息本身也属于个人信息的认定。

3.自然人的住宿信息应作为个人信息给予积极的保护

本案中,吴某某的住宿信息被作为隐私权客体提供了司法保护。但需要指出的是,住宿信息作为吴某某的个人信息也可受到《个人信息保护法》的保护。并且,从隐私权和个人信息权益的不同点来考察,个人信息权益作为一种更具积极性和进取性的权利类型,可以为自然人提供更为周全、更为主动的保护。比如,根据《个人信息保护法》第13条,除特别情形外,在个人信息的收集环节,收集行为就首先需要征得信息主体的同意。信息主体还可以主动地提出要求,限定信息收集者的收集范围和目的。当收集的信息发生错误的时候,信息主体可以主动要求信息收集者予以更正和删除。信息收集者超越收集目的使用个人信息的,信息主体还可以撤回同意,并要求其删除。由此可见,个人信息权益表现出了非常积极的控制性和自主决定性。也正是因为个人信息权益具有如此积极主动的性格,德国学者将其称为“个人信息自决权”(Das Recht auf Informationelle Selbstbestimmung),并将其归为一般人格权的下位概念。[17]所以,从纯粹的权利保护效果上看,为住宿信息提供个人信息权益层面的保护,应该是更为积极、更为周全的。对于自然人而言,这样的权利保护效果更为积极有效,应该予以确认。

◎ 规范指引

《民法典》

第1165条第1款 行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。

第111条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

《个人信息保护法》

第13条 符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

(七)法律、行政法规规定的其他情形。

依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。

专题3 个人信息还包括哪些内容

◎ 案例简介

朱某在利用家中和单位的网络上网浏览相关网站过程中,发现利用“百度搜索引擎”搜索相关关键词后,会在特定的网站上出现与关键词有关的广告。为了证明该过程的真实性,2013年4月17日,朱某再次重复上述操作过程时,邀请了南京市钟山公证处对该过程进行了公证。百度网讯公司基于Cookie向用户推送个性化的信息,可以通过个性化配置限制百度对Cookie的使用。百度网讯公司在上述“个性化配置”字样下插入了超链接。点击此超链接进入“个性化配置工具设置”页面,页面内容是“为了在您访问百度联盟网站时,向您推送与您更相关或您更感兴趣的推广信息,百度联盟网站通过cookie记录您的偏好信息(不涉及任何指向您个人的信息);如果您不希望百度联盟网站利用记录到的偏好信息向您推送推广信息,可以通过下方按钮选择停用,停用后百度的联盟网站将不会再根据您的偏好信息向您推广信息。网盟隐私保护设置只适用于您当前使用的计算机上的当前浏览器,当您删除当前浏览器的cookie后,系统会自动重置您浏览器的隐私保护设置”。在上述文字下方,百度网讯公司提供了“选择停用”按钮。2013年5月6日,朱某认为,百度网讯公司利用网络技术,未经朱某的知情和选择,记录和跟踪了朱某所搜索的关键词,将朱某的兴趣爱好、生活学习工作特点等显露在相关网站上,并利用记录的关键词,对朱某浏览的网页进行广告投放,侵害了朱某的隐私权,故诉至法院,请求判令百度网讯公司:1.立即停止侵害朱某隐私权的行为;2.赔偿朱某精神损害抚慰金10000元;3.承担公证费1000元。

一审法院认为,百度网讯公司侵犯朱某隐私权的行为使朱某困扰于自己不愿为他人所知的私人活动已经被他人知晓,给其精神安宁和生活安宁带来了一定的影响,因此,朱某要求百度网讯公司停止侵权的诉讼请求,应予支持,但考虑到朱某在诉讼中已经明知“选择停用”的方法,可以实现要求百度网讯公司停止侵权的目的,故对该诉讼请求不再进行处理。最终判决百度网讯公司向朱某赔礼道歉,并赔偿朱某公证费1000元。百度网讯公司提出上诉。

二审法院认为,百度网讯公司个性化推荐服务收集和推送信息的终端是浏览器,没有定向识别使用该浏览器的网络用户身份。虽然朱某因长期固定使用同一浏览器,感觉自己的网络活动轨迹和上网偏好被百度网讯公司收集利用,但事实上百度网讯公司在提供个性化推荐服务中没有且无必要将搜索关键词记录和朱某的个人身份信息联系起来。因此,原审法院认定百度网讯公司收集和利用朱某的个人隐私进行商业活动侵犯了朱某的隐私权,与事实不符。百度网讯公司的个性化推荐利用大数据分析提高了推荐服务的精准性,推荐服务只发生在服务器与特定浏览器之间,没有对外公开宣扬特定网络用户的网络活动轨迹及上网偏好,也没有强制网络用户必须接受个性化推荐服务,而是提供了相应的退出机制,没有对网络用户的生活安宁产生实质性损害。并且,百度网讯公司在对匿名信息进行收集、利用时采取明示告知和默示同意相结合的方式亦不违反国家对信息行业个人信息保护的公共政策导向,未侵犯网络用户的选择权和知情权。最终二审法院撤销一审判决,改判驳回朱某的诉讼请求。[18]

◎ 法官评析

1.网络浏览信息可能属于隐私

本案被称为“中国Cookie隐私权纠纷第一案”,[19]一直是个人信息和隐私保护领域被人所津津乐道的案例。本案涉及的一个重要问题是,自然人在电脑终端的上网浏览记录是否属于其个人隐私,从而受到隐私权的保护。对此问题,本案的一审和二审法院持有不同意见。根据《民法典》第1032条第2款,隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。本案中朱某的上网浏览记录,是其私人活动的一部分。有的浏览记录甚至可能与其健康状况(比如经常性搜索某一慢性病的治疗文献)等核心私密信息相关联。因此,一审法院将涉案网络浏览信息认定为隐私,具有正当性。当然,二审法院否定将涉案网络浏览信息作为隐私也阐述了其理由。在本案判决的2014年,《民法典》尚未出台,人们虽然对于隐私的内涵有了大体一致的看法,但在具体案件中就某些活动或信息是否属于隐私,则不一定会形成完全一致的意见。因此,在当时,二审法院将涉案的网络浏览信息排除在隐私之外,没有按照隐私权给予保护,有其客观的社会环境。不过,从后来理论界与实务界对该案的评判来看,还是有观点认为,本案中朱某的网络浏览信息,应该构成隐私。[20]

2.网络浏览信息应属于个人信息

虽然涉案网络浏览信息是否属于隐私存在争议,但就该信息是否属于个人信息,则似乎应该有更明确的答案。不论是《民法典》第1034条第2款,还是《个人信息保护法》第4条第1款,抑或是《网络安全法》第76条第5项,都明确规定个人信息是以电子或者其他方式记录的与已识别的或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。也就是说,有的信息能够单独识别特定的自然人,固然应当认定为个人信息。有的信息即使不能单独识别特定的自然人,但只要该信息与可识别的自然人有关,仍然应认定为个人信息。本案中,百度网讯公司通过Cookie技术收集用户网络浏览信息,虽然经过了匿名化处理(《个人信息保护法》第4条第1款所界定的个人信息,不包括匿名化处理后的信息),并且其是从电脑浏览器上收集,不针对具体的人,然而,众所周知,随着大数据抓取和分析技术的发展以及人工智能技术的进步,数据的匿名化并非不可逆。在信息系统后台抓取的数据越来越丰富的情况下,由于机器学习能力的不断提升,通过对海量匿名数据进行深入的梳理分析,从而对信息主体进行溯源,是存在高度可能的。更主要的是,即使朱某的网络浏览信息是匿名化处理且不可逆的,但是,朱某是其个人电脑的固定且规律性用户。在一段时期内,朱某电脑Cookie中保存的信息与朱某个人电脑中的其他信息如用户名、个人文件信息相结合,完全可能识别到朱某本人,属于《个人信息保护法》第4条第1款规定的与已识别或者可识别的自然人有关的各种信息。在此情况下,如果将Cookie记录的网络浏览信息排除在个人信息之外,将与当前信息化技术的发展实践和人们对个人信息保护的权利要求相背离。从域外关于个人信息保护的实践来看,欧盟《一般数据保护条例》第4条中的“网络在线信息”应当认为包括Cookie记录的网络浏览信息。2012年,美国联邦贸易委员会(FTC)在一份报告中,也将Cookie用户编号和处理器编号作为与电子邮箱地址等并列的个人信息。[21]而我国2017年的国家标准《信息安全技术·个人信息安全规范》(GB/Z 35273-2017)在附录A的个人信息示例中已经将包括网站浏览记录、点击记录在内的个人上网记录纳入个人信息的范围。2020年新修订的《信息安全技术·个人信息安全规范》(GB/Z 35273-2020)对此予以保留,甚至还进一步将收藏列表也列入个人信息的范围。根据以上分析,本案所涉及的利用Cookie技术记录的个人网络浏览记录,应属于个人信息。

3.个人信息还应包括哪些内容

个人信息是一个开放性、包容性很强的概念,其外延非常广泛。日常生活中常见的姓名、住址、电话号码、电子邮箱、健康信息、行踪信息等都属于个人信息。当然,前面案例中所提到的住宿信息、网页浏览信息等也都属于个人信息。根据我国国家标准化委员会发布的最新《信息安全技术·个人信息安全规范》(GB/Z 35273-2020)附录A对个人信息的列举,个人信息至少可以分为个人基本资料(姓名、生日、性别、住址等)、个人身份信息(身份证、军官证、驾驶证、护照等)、个人生物识别信息(DNA、指纹、声纹、虹膜等)、网络身份标识信息(账号、IP地址、个人数字证书等)、个人健康生理信息(病历、体检报告、家族病史、传染病史等)、个人教育工作信息(职业、职位、工作经历、学历等)、个人财产信息(银行账户、存款信息、房产信息、虚拟货币信息等)、个人通信信息(短信、彩信、电子邮件等)、联系人信息(通讯录、好友列表、电子邮件地址列表等)、个人上网记录(网站浏览记录、软件使用记录、点击记录等)、个人常用设备信息(硬件序列号、设备MAC地址、软件列表等)、个人位置信息(行踪轨迹、精准定位信息、经纬度等)、其他信息(婚史、宗教信仰等)等13类具体个人信息。需要指出的是,即使以上所列举的个人信息,也不是穷尽的。随着人类与机器交互技术的进一步发展和人类活动空间的进一步拓展,记录或呈现个人活动的数据种类也将进一步扩展,个人信息的具体项目和种类也将进一步扩展。

◎ 规范指引

《民法典》

第1034条第2款 个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

《个人信息保护法》

第4条第1款 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

上一章目录下一章