第4章 个人信息权益受损的民事司法保护方法
基本原理
一、个人信息的保护路径
个人信息的保护,是近年来整个法律界都在考虑的问题。各个部门法领域的专家都从各自的角度出发,提出了个人信息保护的具体方案。整体来看,个人信息的保护路径有三,即从立法供给、行政执法和司法保护等三个层面分别发力,从整体上推动我国个人信息保护力度的提升。
个人信息的立法保护,主要是从个人信息立法的角度,制定个人信息保护的法律规范,推动个人信息的保护。个人信息的立法保护在个人信息保护体系中处于基础性地位。个人信息的行政执法保护和司法保护,从根本上都有赖于立法为个人信息保护提供的法律供给。
个人信息的行政执法保护,则主要是行政管理机关在执行个人信息保护法律中基于其行政管理职责,主动执法而对个人信息主体所提供的积极保护。在个人信息保护体系中,行政执法的保护是最普遍、最广泛、最积极的保护类型。日常生活中所见到的个人信息权益受损问题,绝大部分都是通过行政执法而得到保护的。
个人信息的司法保护,则主要是人民法院根据当事人的请求,通过使用严格的民事诉讼、行政诉讼或刑事诉讼程序,对当事人提供的一种事后救济。在个人信息的保护体系中,司法保护是最消极、最保守的一种保护类型,但也是个人信息保护中的最后一道关口,因而最具有权威性。实践中,很多个人信息受损的案件如果未能通过行政执法的路径解决,则可能通过个人信息的司法保护路径得到最终的解决。
二、个人信息的立法保护
从1973年瑞典颁布世界上第一部国家层面的个人数据保护立法《个人数据保护法案》(Personal Data Act)以来,全球范围内的个人信息保护立法以惊人的速度向前发展。目前,全球已经有120多个国家制定了专门的个人信息保护立法。[22]早期个人信息保护立法的典型代表有,1974年美国的《隐私法案》、1977年德国的《联邦数据保护法案》以及1983年加拿大的《个人信息保护和电子档案法案》等。进入21世纪,个人信息保护立法日益受到更多重视,涌现了一批充分反映全球个人信息发展实践的个人信息保护立法,比较典型的有2003年日本的《个人信息保护法》(该法于2017年被大幅度修改)、2016年欧盟的《一般数据保护条例》以及最近2019年印度的《个人数据保护法案》。在以上立法中,尤以欧盟《一般数据保护条例》的保护力度最大而广受关注。
我国就个人信息的保护立法起步较晚,全国人大常委会于2021年8月通过了《个人信息保护法》,并于2021年11月1日实施,我国较早的个人信息保护法律可以追溯到全国人大常委会于2000年发布的《关于维护互联网安全的决定》和2012年发布的《关于加强网络信息保护的决定》。之后2016年颁布的《网络安全法》对个人信息保护有所涉及,但仍然不是个人信息保护的专门立法。当然,此前的刑法修正案对部分涉及个人信息的犯罪有所规定。2009年2月28日颁布的《刑法修正案(七)》增设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”,2015年8月29日颁布的《刑法修正案(九)》迎应互联网时代公民个人信息被严重侵害的社会现实,扩张《刑法》第253条的犯罪主体和犯罪客体,并将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”二罪取消,改设“侵犯公民个人信息罪”。此外,在原《侵权责任法》中虽然没有直接规定个人信息保护的内容,但其关于隐私权保护的内容,实质上也是个人信息保护的立法组成部分。《民法典》人格权编第六章专门规定隐私权和个人信息保护,从民事基本法的高度对个人信息权益保护亮明了态度。
我国《个人信息保护法》的颁布,从根本上改变了我国没有个人信息保护专门立法的状况,为一般性的个人信息保护提供了最为重要的规范基础,成为个人信息保护的基本遵循。
三、个人信息的行政执法保护
虽然在《个人信息保护法》颁布之前,我国没有专门的个人信息保护法律,但个人信息行政执法保护的实践却是存在的。早在2000年9月,国务院就发布《互联网信息服务管理办法》(2011年予以修订),对从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者,提出信息记录的相关要求。其后,国务院所属的工业和信息化部(以下简称工信部),先后于2000年10月颁布《互联网电子公告服务管理规定》,2006年2月颁布《互联网电子邮件服务管理办法》,2011年12月颁布《规范互联网信息服务市场秩序若干规定》,2013年7月颁布《电信和互联网用户个人信息保护规定》。上述规定的颁布和执行,构成了我国个人信息行政执法保护的重要部分。尤其是《电信和互联网用户个人信息保护规定》,成为我国通过行政管理手段保护个人信息的重要规范性文件。依据该规定,工信部及相应的地方各级工信管理部门对违反该规定第9条至第11条、第13条至第16条、第17条第2款规定的各类有违个人信息保护精神的行为进行行政管理执法,对于加强我国个人信息保护,起到了非常积极的作用。
2011年5月,国务院设立国家互联网信息办公室(以下简称网信办),落实互联网信息传播方针政策和推动互联网信息传播法制建设,指导、协调、督促有关部门加强互联网信息内容管理,负责网络新闻业务及其他相关业务的审批和日常监管等。2014年8月,国务院重组网信办,负责全国互联网信息内容管理工作,增加了网信办对互联网信息内容的监督管理执法权。至此,网络信息内容的专门行政执法机构正式产生。重组后的网信办,在加强个人信息保护方面,做了大量的行政执法工作。一方面是制定了务实的互联网内容信息的管理规范。重组后的网信办,分别于2014年8月颁布《即时通信工具公众信息服务发展管理暂行规定》、2015年2月颁布《互联网用户账号名称管理规定》、2015年4月颁布《互联网新闻信息服务单位约谈工作规定》逐步加强对互联网信息内容的规范。其中,《互联网用户账号名称管理规定》旨在落实网络用户实名制,采取了“后台实名、前台自愿”的模式。此外,国家网信办还于2019年8月颁布《儿童个人信息网络保护规定》,强化了对不满14周岁未成年人的个人信息保护;2019年12月颁布《网络信息内容生态治理规定》,以期进一步加强对网络空间的综合治理。2021年3月,国家网信办秘书局联合工信部办公厅、公安部办公厅和市场监督总局办公厅发布了《常见类型移动互联网应用程序必要个人信息范围规定》,为常见类型APP超范围处理个人信息的认定提供了极具可操作性的标准。另一方面是强化行政执法监督,严格落实上述行政管理规范。比如,在网信办重组后的第二年即2015年,全年依法约谈违法违规网站820多家、1000多次,依法取消违法违规网站许可或备案、依法关闭严重违法违规网站4977家,有关网站依法关闭各类违法违规账号226万多个,[23]在推进个人信息保护方面发挥了较为积极的作用。
不过,由于中国互联网信息产业发展速度惊人,很多发展中的问题还不能马上解决,而需要一定的时间去逐步解决消化。因此,包括个人信息保护在内的一些问题,在现阶段还会面临障碍。比如,《互联网用户账号名称管理规定》第5条第1款有后台实名要求。但是,该规定实施之前的绝大部分用户,并没有登记实名。现在网信部门虽然在逐步开展实名认证,但在没有全覆盖以前,很多用户的实名信息是无法提供的。这会导致一些个人信息被侵犯时,无法确定侵权主体,显然对于个人信息保护是不利的。
四、个人信息的司法保护
(一)个人信息的刑事司法保护
刑事司法保护通过追究侵犯个人信息犯罪行为被告人的刑事责任,对个人信息进行最强有力的保护。随着互联网信息技术的发展,近年来各种电信、网络犯罪活动越来越多,通过刑事司法手段打击各种个人信息犯罪行为,对于加强个人信息保护,具有重要意义。
刑事司法保护个人信息的重要工作首先是颁布相关的司法解释。2013年9月,最高人民法院和最高人民检察院联合发布《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》,对利用信息网络实施诽谤、寻衅滋事、敲诈勒索、非法经营等刑事案件进行了法律适用层面的解释,其中有相当部分内容涉及个人信息的保护。此后,为依法惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益,最高人民法院和最高人民检察院又于2017年5月发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。该解释对什么是公民个人信息、提供公民个人信息应如何认定、如何认定“以其他方法非法获取公民个人信息”、如何认定“情节严重”和“情节特别严重”等法律适用层面的具体问题,进行了详细的规定。该解释成为刑事司法领域专门保护个人信息免受犯罪行为侵害的重要司法解释文件,也成为个人信息刑事司法保护的重要规范性依据。
刑事司法保护个人信息的另一重要工作是实实在在地惩治个人信息方面的违法犯罪活动。通过检索中国裁判文书网可以发现,自2014年以来,全国法院至少对824起非法获取公民个人信息的涉嫌犯罪行为进行审理并作出判决,至少对5930起侵犯公民个人信息的涉嫌犯罪行为进行审理并作出判决,至少对122起出售、非法提供公民个人信息的涉嫌犯罪行为进行审理并作出判决,至少对910起窃取、收买、非法提供信用卡信息的涉嫌犯罪行为进行审理并作出判决。需要指出的是,尽管刑事司法在个人信息保护方面发挥着强有力的威慑作用,但大量的侵犯个人信息的行为并没有严重到构成刑事犯罪的地步。因此,现实中,并不严重的侵害个人信息的行为,主要通过民事司法进行保护。
(二)个人信息的民事司法保护
个人信息民事司法保护不同于刑事司法保护的显著特点是,前者需要其个人信息受到侵害的信息主体(自然人)主动站出来向侵害者主张权利救济,并由自己(或委托专业法律服务人员)直接参加民事诉讼,提供相关证据证明自己的权利主张;而后者则主要由国家公权力机关(检察院)代表国家对犯罪嫌疑人进行追诉,证据也由公安机关侦查获得,并由检察院代表国家向法庭提供证据以证明犯罪嫌疑人构成犯罪。
实践中,民事司法保护的方法主要有两种,即侵权法的保护方法和合同法的保护方法。侵权法的保护方法是最常用的保护方法。当发生侵犯个人信息权益的侵权行为时,受害人作为原告向人民法院提起侵权之诉,请求人民法院判决被告承担侵权责任。实践中,以“隐私权纠纷”“名誉权纠纷”“一般人格权纠纷”作为案由提起的民事诉讼,大部分都与侵犯个人信息权益有关。从中国裁判文书网检索的数字看,自2014年1月1日以来,全国法院受理的隐私权纠纷案件至少为1739件,受理的名誉权纠纷案件至少为47333件,受理的一般人格权纠纷案件至少为42299件。[24]在司法实践中,个人信息的侵权法保护有时会遇到困难和障碍,比如在不存在有形损害的情况下如何认定侵害是否发生,如何认定因果关系是否成立,如何认定行为人的过错等。[25]但随着个人信息侵权审判经验的逐步积累和侵权行为类型化的总结,尤其是随着《个人信息保护法》的颁布实施,上述问题将逐步得到圆满的解决。
合同法的方法也是个人信息民事司法保护不可忽视的一种方法。一方面,当事人在所有可能涉及个人信息泄露风险的合同中,约定专门的个人信息保护条款。比如,在买卖合同中专门约定,双方在买卖接洽中所获得的对方的个人信息应互相严格保密,如果泄露将向对方赔偿1万元。另一方面,当事人在签订、履行合同过程中因泄露对方当事人个人信息造成损失的,需要承担相应的合同责任。在签订合同过程中,由于当事人的直接接触,相互之间可能知悉对方的个人信息。在未经对方允许的情况下,如果一方当事人故意或过失泄露该个人信息导致对方损害的,需要承担缔约过失责任。[26]在合同签订成立后的履行过程中,当事人如果泄露此前知悉的对方的个人信息,给对方造成损害的,即使这里的保密义务属于合同法中的所谓附随义务,但泄露个人信息的一方仍应向相对人承担损害赔偿责任。[27]
专题4 个人信息权益受损的侵权法保护方法
◎ 案例简介
吴某某、李某某均为湖北省恩施自治州人,两人及吴某某委托的诉讼代理人某黄律师均曾为“广州·恩施老乡”微信群成员。2018年7月24日,微信号“×××”的朋友圈发布一条消息,内容为:“唯一遇到的心机绿茶婊,佩服你从刚开始就确实有计划有心机很会玩套路也很会骗!在中国庄严的法律下你都敢扭曲事实到极点真是无耻,难怪你周围的人都说你骗男人很多已经骗惯了很有经验!打官司根本搞不赢你,但是你骗走我的钱赢了官司会输掉人格!万幸我的商铺、房子、车子等没让你再骗成功!我们去宣恩要你还钱就打我妈是事实、自己早就在广州几年是事实、骗走我那么多钱是事实、拒不归还我公司的号码是事实你赖不掉!请相信人在做天在看,终有人会收拾你的!你宁愿骗走我几十万的钱也要丧失做人最重要的名声和道德,非常后悔遇到你这么低贱的垃圾!”另附有九张图,其中包括吴某某的身份证正反面清晰照片及艺术照,还附有广东省广州市白云区人民法院(2017)粤0111民初14236号民事判决书和广州市中级人民法院(2018)粤01民终7356号民事判决书照片。吴某某认为上述消息侵犯其权利,遂向法院起诉:1.判令李某某赔偿吴某某精神损害抚慰金及经济损失120000元;2.判令李某某立即停止侵害吴某某名誉权的行为,删除“×××”微信号于2018年7月24日发布的侵权朋友圈信息;3.判令李某某使用微信号“×××”在朋友圈发布经吴某某认可的道歉声明。
法院判决认为,公民的身份证照片包括公民的姓名、肖像、住址、公民身份证号码及其对应关系,包含公民的个人信息和隐私信息,他人无合法、正当理由不得将其在公开网络传播,否则应承担相应侵权责任。本案中,李某某将吴某某的清晰身份证照片发布于自己的朋友圈,客观上会增加吴某某的个人信息被窃取、被盗用或者被他人滋扰的风险,该行为构成对吴某某个人信息和隐私权的侵害,李某某应承担相应侵权责任。[28]
◎ 法官评析
1.身份证及照片所载信息构成个人信息
自然人的身份证上载有姓名、出生年月日、民族、性别以及肖像等信息,这些信息显然是可以直接识别定位到具体的自然人的,因而确定属于个人信息。本案中,李某某在其微信朋友圈中发布了包含有吴某某身份证的正反面照片,显然包含了吴某某的个人信息。另外,即使没有吴某某的身份证正反面照片,仅仅是吴某某的其他照片,也应构成吴某某的个人信息。因为个人信息的核心属性是其可识别性,[29]即使没有身份证上的信息,但只要有信息主体的其他可识别信息如呈现面部识别特征的生活照片,因其属于个人生物识别信息,则仍然属于个人信息,可以通过这些照片识别到具体的个人,应当引起注意。
2.侵犯个人信息可以通过侵权法获得救济
前面已经述及,虽然《民法典》并没有明确将个人信息规定为权利,但从实质上看,其已经具备权利之实。而在民事权利中,在《民法典》颁布之前,对绝对权的侵害,原则上由原《侵权责任法》提供救济;对相对权的侵害,原则上由原《合同法》提供救济。个人信息权益虽然没有上升为权利,但在本质上可以归结为人格权,[30]而人格权又是典型的绝对权。因此,个人信息权益可以部分地类推适用人格权的保护方法,可以通过原《侵权责任法》获得救济。本案中,吴某某的个人信息权益受到侵害,其正是主张隐私权、名誉权被侵害,从而通过原《侵权责任法》寻求救济。法院最终判决也是依据原《侵权责任法》支持了吴某某的诉讼请求。
◎ 规范指引
《民法典》
第1165条第1款 行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。
专题5 个人信息权益受损的合同法保护方法
◎ 案例简介
钉钉是智能移动办公软件,钉钉会员通过软件使用聊天、网络电话、设置企业通讯录、创建群、考勤、签到等功能。用户申请服务管理账号并注册企业钉钉,通过点击已同意、阅读《钉钉服务协议》《钉钉隐私权政策》,并填写企业名称、行业类型、人员规模、管理密码、联系人姓名等信息,即可完成注册。用户注册企业钉钉后,可以通过输入姓名及手机号码添加他人为企业全员群成员。用户注册钉钉会员,通过输入手机号码及短信验证码,同意《钉钉服务协议》《钉钉隐私权政策》,并设置登录密码,即可完成注册。乔某通过手机号码“170××××8831”注册成为钉钉会员。乔某称“自己于2017年8月30日加入深圳市德宏厨卫有限公司钉钉企业群,上下班钉钉打卡考勤。2018年4月30日离职”。2018年10月29日,乔某向深圳市龙华区劳动人事争议仲裁委员会提起劳动仲裁,要求深圳市德宏厨卫有限公司支付其工资、加班工资等。后乔某不服劳动仲裁结果,向深圳市龙华区人民法院提起诉讼。深圳市龙华区人民法院经审理,于2019年6月28日作出(2019)粤0309民初2088号民事判决。乔某不服,向广东省深圳市中级人民法院提起上诉。同时,乔某向一审法院起诉,要求钉钉公司:1.提供深圳市德宏厨卫有限公司邀请乔某加入公司钉钉的信息;2.提供从2017年8月30日起至2018年4月30日止乔某在深圳市德宏厨卫有限公司的钉钉考勤打卡信息;3.提供深圳市德宏厨卫有限公司的工商登记信息。
一审法院判决认为,乔某起诉要求钉钉公司向其提供在深圳市德宏厨卫有限公司工作期间的钉钉打卡考勤信息,其前提是在钉钉公司处有相对应的考勤信息存在。但从本案现在的证据来看,乔某提供的证据尚不足以证明乔某加入深圳市德宏厨卫有限公司钉钉企业群进行打卡考勤。退一步来讲,即使有钉钉打卡考勤信息存在,根据《钉钉隐私权政策》的约定,乔某在公司的考勤信息属企业控制数据,信息处理者为企业,钉钉公司没有义务向乔某提供。同时,乔某的主张也不属于《钉钉隐私权政策》中约定的共享、披露信息的例外情形,故乔某要求钉钉公司向其提供在深圳市德宏厨卫有限公司工作期间的钉钉考勤信息等请求依据不足,一审法院不予支持。[31]在二审中,因已查明广东省深圳市中级人民法院已要求钉钉公司提供乔某加入深圳市德宏厨卫有限公司钉钉群的起止时间、其在该公司钉钉群的考勤信息、该公司的注册信息,故乔某在本案中的诉求在其与深圳市德宏厨卫有限公司劳动争议一案中已得到支持,故二审不另行支持。最终,二审判决维持原判。
◎ 法官评析
1.考勤信息是否属于个人信息
考勤信息是记录员工在工作时间到岗情况的信息,其本身虽然不能直接识别出员工本人,但与员工本人的其他信息相结合,可以识别出特定的员工,因而属于其个人信息。根据《信息安全技术·个人信息安全规范》(GB/T 35273-2020)附录A对个人信息的列举,考勤信息与培训记录类似,属于个人教育工作信息。因此,个人的考勤信息,属于个人信息,应受个人信息相关法律规范的保护。
2.考勤信息的处理者是谁
所谓个人信息处理者,根据《个人信息保护法》第73条第1项,就是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。此前,个人信息控制者是个人信息保护研究领域使用较广的一个概念。《民法典》和《个人信息保护法》中没有使用“信息控制者”的概念而使用“信息处理者”的概念。但从外延来看,“控制”和“处理”应都包括个人信息的收集、存储、使用、加工、传输、提供、公开等各个环节。因此,信息控制者和信息处理者的范围应是相当的。只是,从内涵来看,信息控制者的概念侧重于强调“控制力”这一核心要素,[32]而信息处理者则侧重于从客观上描述其存储、使用信息的样态。本书认为,从个人信息保护的视角分析,信息控制者的概念与其承担的法律义务更为契合。正是因为其对个人信息具有法律或事实上的控制力,所以才科以其对个人信息较为广泛的保护义务。[33]不过,由于《民法典》和《个人信息保护法》均采用了个人信息处理者的概念,本书也与其保持一致,多采个人信息处理者的概念。
根据上述关于个人信息处理者的分析,考勤信息一方面被乔某所在的公司存储并使用(作为考察其工作是否尽职尽责的重要依据,也可作为发放薪酬奖金的重要依据),因而其所在公司应是其考勤信息的个人信息处理者(前提是乔某确实在该公司入职,且打考勤卡);另一方面考勤信息也被钉钉公司的后台服务器所记录和存储,钉钉公司对该数据显然是有控制力的,因而钉钉公司也应成为这里的信息控制者。《钉钉隐私权政策》(2019年11月27日更新)第一部分“定义”第12条“个人信息处理者”中也认可:“本协议钉钉服务中的部分个人信息处理者为钉钉企业/组织用户。”但其在隐私政策后面的部分又指出:“您理解并同意,企业组织用户为上述企业所控制数据的控制者”,将自己排除在部分个人信息处理者之外。实际上,在此情况下,乔某所在公司与钉钉公司构成共同信息处理者。[34]
3.一审不支持原告诉讼请求的原因
本案被告钉钉公司主要以其隐私政策作为抗辩理由,一审法院在很大程度上采纳了钉钉公司的抗辩。对一审判决书的内容进行深入分析可以发现,钉钉公司拒绝乔某的请求,主要基于以下几点原因:第一,在钉钉公司的隐私政策中已经将自己排除在个人信息处理者之外。不过,如上所述,这一点似乎不大成立,因为是否为个人信息处理者,是一个事实问题,不取决于合同的约定或隐私政策的规定。第二,尚无任何证据能够证明存在乔某所称的相关考勤打卡信息。这一点也容易解决,只要钉钉公司查一下就可以知道。在所有的考勤都是通过钉钉软件进行的情况下,乔某其实无法提供证据证明存在其所称的相关考勤打卡信息,而只能由钉钉公司说明有或无。第三,根据隐私政策,钉钉公司仅能根据该企业用户管理员的选择进行处理,未经权利人授权,钉钉公司无权查询或披露。其实,这一点抗辩意见也不成立。根据《民法典》第1037条,自然人当然有权向个人信息处理者查阅和复制其个人信息。只是,这一权利在具体的场景中,需要有相关的程序性控制。所以,钉钉公司的抗辩理由,并不充分,亦不有效。
但是,一审判决的结果是可以接受的,其背后的法理不在于钉钉公司所主张的那些抗辩理由,而主要在于合同当事人的利益衡平问题。目前,钉钉软件的基础功能是免费的,而考勤打卡是其重要的基础功能。在该功能免费的情况下,如果没有任何程序控制而要求钉钉公司向任何人随时提供考勤信息,一方面客观上不大可能做到,另一方面该功能本就是无偿提供的,要求钉钉公司自己花费人力物力提供该信息,无疑违背比例原则,会造成钉钉公司的不合理负担。所以,比较可行的处理思路是,涉及考勤等免费功能的个人信息,应首先由乔某所在企业提供,因为其企业也是乔某个人信息的控制者,并且是乔某的用人单位,负有为乔某提供实现和维护其劳动权利所必需的相关信息的义务。在用人单位不能提供的情况下,才可以由司法机关以调查取证的方式,要求钉钉公司提供(如同本案二审判决指出的那样,由深圳市中级人民法院调查取证而取得)。或者,乔某也可以通过付费的方式,私下协商由钉钉公司提供。
4.考勤信息的提供可以通过合同法的路径进行救济
本案的案由是网络服务合同纠纷,乔某是基于其与钉钉公司之间的合同关系而提起诉讼。之所以认为二者之间存在合同关系,是因为乔某是自愿注册为钉钉用户,并且同意接受《钉钉服务协议》《钉钉隐私权政策》的内容。因此,乔某与钉钉公司之间已就上述协议形成了合意,二者之间成立网络服务合同关系。作为合同一方当事人,当乔某认为其个人信息权益受到来自合同对方当事人的违约行为的影响时,可以依照二者之间的合同约定提起合同之诉。
◎ 规范指引
《民法典》
第501条 当事人在订立合同过程中知悉的商业秘密或者其他应当保密的信息,无论合同是否成立,不得泄露或者不正当地使用;泄露、不正当地使用该商业秘密或者信息,造成对方损失的,应当承担赔偿责任。
第1037条第1款 自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。