隨著移動互聯和大數據的飛速發展
公民個人信息
收集、保存、利用日益便捷
個人信息不再侷限於身份識別
更逐步成為具有經濟價值的社會資源
移動終端、互聯網絡
無不留下公民個人信息的“數據足跡”
如何平衡信息保護與信息利用
人格尊嚴與社會秩序之間的關係
顯得尤為重要
大數據時代背景下
8月24日上午
朝陽法院召開
“涉個人信息保護類民事案件”研討會
邀請法學界和實務界的專家學者
圍繞司法實務中的典型案例
對個人信息民法保護中的具體問題
進行分析探討
北京市朝陽區人民法院
此次研討會,由朝陽法院民一庭庭長楊兵擔任主持人,伊始,介紹了研討會的時代背景。
參加此次研討會的嘉賓有
清華大學法學院黨委副書記、教授
博士生導師程嘯
中央財經大學法學院院長、教授
博士生導師尹飛
中國法學會研究部副主任彭伶
北京市高級人民法院研究室副主任
劉書星
北京市第三中級人民法院民一庭庭長
齊曉丹
騰訊研究院資深專家王融
京東法律研究院總監李麗
京東法律研究院總監鄭慧媛
這場理論與實踐的思維盛宴,吸引了近20家媒體記者全程參與報道。
朝陽法院黨組副書記、副院長亓紀致辭。
近年來,我院提出了“四個一批”的工作要求,即“辦理一批對法律適用具有重要參考意義的典型案例,撰寫一批對社會價值具有示範引領作用的裁判文書,推出一批在法學界和實務界具有較大影響力的學術成果,培養一批在全市乃至全國法院系統具有較高知名度的優秀法官”。希望引導法官們把“案件數量”和“工作品質”更好地結合起來,把“執法辦案”和“潛心思考”更好地統一起來,不斷提升審判工作的水平。
經過精心的準備和長期的醞釀,我們舉辦了這次以“公民個人信息保護”為主題的研討會,我們希望以此為契機,搭建起一道理論聯繫實際、法官與學者相互溝通的橋樑,藉助這個平臺,充分地交流觀點,聆聽專家的見解和指導。我相信今天的研討會必將是一次思維的盛宴,每位專家的發言都將帶給大家視野的轉換和知識的啟迪!
朝陽法院酒仙橋人民法庭庭長吳彬介紹了我院近年來個人信息保護類案件的審理概況。
“ 公民個人信息保護案件呈現以下特點:
• 案件受理量逐年上升,但原告勝訴率呈下降趨勢
• 支持經濟賠償的判決數量以及案均支持的經濟賠償額雙雙增長
• 權利人訴求的精神損害賠償獲賠率及賠償金額遞減
對公民個人信息保護有較大影響的行為基本呈以下分佈情況:
• 不以使用信息為目的的單純公開和披露個人信息
• 以使用信息為目的公開個人信息
• 冒用、盜用個人信息
• 信息保管人轉讓、洩露個人信息
• 因保管不當導致的與個人信息有關的檔案丟失
• 因錯誤登記導致的個人信息公開
”
酒仙橋法庭副庭長羅曼結合典型案例,分析總結審判實踐中涉個人信息保護類民事案件的七大審理難點,並整理了案件審理資料,包括以《民法總則》為統領的19部法律、法規規章及司法解釋,域外6個國家和地區的相關規範、近幾年我院受理的案件情況、侵權行為類型以及理論學說的爭辯。
面對法律適用難點,各位專家闡釋了各自的觀點和思考。
清華大學法學院黨委副書記、教授
博士生導師程嘯
當前,理論界與實務界都特別關注個人信息的保護問題,朝陽法院組織的本次研討會為個人信息保護的立法與研究提供了非常豐富的第一手的案件素材,具有重要的意義。當前民法典草案已經將人格權作為獨立的一編加以規定,民法典草案人格權編第六章對“隱私權與個人信息權”作出了詳細的規定。個人信息權不同於隱私權。我國屬於大陸法系國家,規定了隱私權、名譽權、肖像權等具體人格權,但是個人信息權是一種新型的人格權,不同於隱私權。
對於個人信息的界定,我國《網絡安全法》等法律採取的是識別說,即可以直接或者間接識別出特定個人的信息就是個人信息。個人信息與隱私權所保護的隱私信息具有重合之處,但也存在差別,因為個人信息還包括已經公開的信息。依據《侵權責任法》第六條第一款,侵害個人信息權的歸責原則為過錯責任原則,而非過錯推定或者無過錯責任。
實踐中侵害個人信息的行為最典型的當然是非法公開個人信息的情形,但不限於此,還包括非法收集個人信息、非法利用個人信息、非法傳輸個人信息以及未盡保管義務致個人信息洩露、毀損等類型。侵害個人信息應當依法承擔的侵權責任既包括停止侵害、排除妨害等絕對權請求權,也包括恢復原狀、賠償損失等損害賠償請求權。在個人信息洩露而被第三人非法利用從而造成他人損害的情形下,信息控制者與第三人之間將構成多數人侵權責任,需要根據具體情況認定究竟是按份責任還是連帶責任。
中國法學會研究部副主任 彭伶
在我國全面進入數字化時代,個人信息洩露日益嚴重的社會背景下,朝陽法院召開這樣一個研討會,具有非常重要的現實意義。
在我們國家,對於個人信息的認識也是在逐步的發展完善當中。從實踐來看,個人信息已不僅僅屬於民法範疇,在刑法中還有其他行政法規中也都涉及到。因此,個人信息權在法律上到底是一種什麼樣的權利?我們的憲法保護人格權,但是沒有明確隱私權是憲法權利,更沒有提到個人信息權。目前隨著科技發展日新月異,萬物互聯指日可待,我們的衣食住行、生活工作已經全面數字化,個人信息涵蓋了社會生活的各個方面。如果缺乏對個人信息權的有效保護,那麼公民權利保護體系必然不完整。我認為,就重要性而言,個人信息權應該是一種憲法性權利,只有權利上升到憲法權利才能得到更全面有效的保護。
對於個人信息的定義,我個人比較傾向GDPR的界定,有關個人的所有信息即為個人信息。只要是個人信息都應受到保護。因為在實踐中,很難把每一條個人信息區分為哪條個人信息是不屬於保護的信息,哪條應保護。在不同的案件中,一條同樣的信息,它的價值是不一樣的,因為需要將它同其他信息結合起來考慮。普遍保護的一個好處就是無需討論哪些個人信息才是屬於法律保護範疇,只需按個案的實際情況判定。在具體案件中判定個人信息的標準有二:一是識別,信息有助於識別到特定個人,這種信息就是個人信息;二是關聯,特定個人的活動產生的信息也是個人信息。普遍保護並不等於排斥利用。
對於個人信息的保護,立法重點一是應加大對非法利用個人信息的打擊力度,產生威懾與預防作用。二是應強化並細化個人信息控制者(大多是企業、政府機構)的保管責任,因為相比起一般大眾,他們具有科技優勢,強調他們的保管責任,有助於推動信息保管的科技發展,可以從源頭上有效控制信息洩露的風險。
騰訊研究院資深專家王融
當前,收集個人信息的渠道數不勝數,包括電信運營商、各類網站、APP、手機設備本身。特別是國內近年來隨著AI的快速發展,手機硬件廠商在設備上增加各類功能,實現跨APP平臺的數據處理。此外,各類爬蟲技術也能實現跨平臺的數據抓取。
並且,在外部環境下,智慧城市中各類物聯網設備也在無時無刻的收集個人信息,形成城市管理的“超級大腦”。
個人信息的收集、處理渠道增加,意味著洩露的渠道也在增加,因此,在個人信息洩露相關的侵權案件中,很難在損害後果和洩露事件中找到確定的因果關係,也很難證明到底是哪一個渠道洩露的個人信息。儘管可以探索性的適用高度蓋然理論來解決一部分問題,但在外部環境收集渠道越來越多的情況下,此類問題將面臨更大挑戰,需要在侵權法上找到新的思路。
中央財經大學法學院院長、教授
博士生導師尹飛
在《民法典》各分編即將提交全國人大常委會審議,尤其是人格權編作為獨立一編納入民法典被提交審議之際,朝陽法院舉辦此次會議,對審判中個人信息保護的重點難點問題進行研討,相信對於立法的完善、學術研究的深入以及法院審判工作,都有十分重要的意義。剛才程嘯教授、彭伶老師對咱們歸納的問題已經從各個方面、不同角度做了比較全面的討論,王融女士也從企業的角度進行了闡釋,我再做幾點補充。
首先,關於個人信息的判斷。主要講兩個觀點:其一,我們還是要回到最基礎的界定上,也就是說,個人信息本質上屬於人格權,即民事主體對其自身進行支配的權利。因此,在社會高速發展的當下,很難一一羅列出哪些信息屬於個人信息。在個人信息的判斷標準上,還是應當堅持識別說,個人信息必須與特定主體的人格聯繫起來。這就要求我們在個案中,也必須在個案中,根據具體情況判斷某項信息是否指向了特定人格。如咱們提到的機票案,一般情況下,票號、班次之類可能都是一般性的信息,但當它們在案件中同時出現,受害人完全有理由認為它們指向了為之訂票的特定人,從而構成個人信息。其二,在隱私權被現行法明確承認為絕對權的情況下,實踐中能夠通過隱私權保護的,要儘量通過隱私權而非個人信息來保護。當然,對二者的界分,將來可以考慮在立法或者司法解釋中進一步完善。
其次,關於信息保管義務以及相關責任。信息的持有者當然要負有保管義務。這裡可以類比有體物的法理。從《物權法》《合同法》《擔保法》等法律來看,合法佔有人,例如質權人、承運人等,都對其佔有的物負有善良管理人的保管義務。在個人信息方面,當然也是如此。當然,《網絡安全法》《消費者權益保護法》更是明確規定了這種義務。在違背此種義務造成損害的情況下,當然要承擔過錯責任。但是,考慮到個人信息的特殊性,在具體舉證責任的認定上,可以考慮更多地依據常識以及社會一般觀念,適當降低受害人舉證責任的標準。對於妥善保管義務的認定,不好一概而論,應當結合具體行業、行為人等因素具體確定。當洩露個人信息侵權和第三人侵權競合造成同一損失時,在目前,可以考慮參照違反安全保障義務的規定來處理。但在未來的立法中,我傾向於堅持原先人身損害賠償司法解釋的做法,認定二者直接結合造成同一損失,應當承擔連帶責任。
第三,關於損害賠償。在沒有證據證明受侵害信息主體有實際損失時,我並不贊成適用獲利剝奪的制度。主要是因為在個人信息侵權案件中,往往是大規模的個人信息洩露、買賣,摺合下來,單個人的信息對應的價款是微乎其微的。我更傾向於直接由法院根據實際情況酌定賠償數額。至於精神損害賠償,在沒有嚴重後果的情況下恐怕很難適用。但需要強調的是,精神損害賠償的目的在於克服受害人的精神痛苦,但這種克服未必都是需要通過賠償來實現的。在侵害個人信息案件中,賠禮道歉,尤其是書面的、正式的、公開場合的賠禮道歉,或者在互聯網上賠禮道歉,可能更有利於制裁加害人、克服受害人的精神痛苦。
北京市高級人民法院研究室副主任劉書星
隨著網絡科技的發展,大家逐漸明白了一件事,控制風險實際上可以通過技術手段來實現,成本也許沒有想象的那麼高。如果控制風險,成本是可控的,技術是可實現的,那麼在個人信息保護的問題上,何不從企業是否運用了最合理的技術,真正防止了個人信息被洩露,這個點出發呢?有關個人信息保管的問題,其實保管問題涉及到收集和使用,《網絡安全法》中指出如果要收集和使用應該遵循合法、正當、必要和同意原則。
北京市第三中級人民法院民一庭庭長齊曉丹
關於舉證責任的分配和證明標準要進行區分,大家都清楚誰主張.誰舉證的基本原則,公民個人主張其個人信息受到侵害,其應承擔舉證責任。在證明標準上,民事訴訟法和刑事訴訟法的舉證責任不同,民事訴訟法是高度蓋然性,刑事訴訟法是排除合理懷疑。法院在判斷被告是否侵害了原告的個人信息,要考慮到原告的舉證能力,結合日常經驗法則,以社會理性人的標準進行判斷。
我注意到,朝陽法院審理的涉個人信息保護類案件的原告勝訴率是50%左右,這裡面也體現了原告承擔舉證責任的問題,原告敗訴的多是未完成舉證責任。作為被告的個人信息的收集和保管方是否存在違法行為以及是否存在過錯,是審判中的難點,我們可以從這樣的角度考慮,個人信息的收集和保管方具有保管個人信息的義務,一旦認定他存在洩露個人信息的違法行為,其實也就認定了他違反上述義務,主觀上存在過錯,應當承擔侵權責任。
京東法律研究院總監李麗
在互聯網企業工作使我對於個人信息保護數據安全問題對企業有多麼的重要更有切身體會。我國多個法律規定了個人信息受到法律保護,但是個人信息的內涵和外延還需進一步統一和確定。釐清個人信息權和隱私權的邊界以及個人信息權的範圍有利於建立系統的個人信息保護制度。
很多互聯網企業與我們一樣,對於企業履行個人信息保護義務的範圍,特別是今天討論的信息保管主體的銷燬義務,有困惑。這個困惑隨著個人信息保護立法不斷推進變得更大了。這是由於數據主體權益範圍不明確以及權益內容本身存在一些交叉和不明確造成的。比如很多客戶已經長時間不活躍了,但是企業本身不敢輕易銷燬,因為用戶擁有知情權,如果作為數據控制者的企業將數據刪除了,用戶這項權益將無法實現。個人認為,如果法律規定企業需要履行刪除義務,應當同時配套不同業務場景的保存期限,這樣保管期限屆滿,企業就可以把用戶數據刪除,才能保證幾項義務同時履行。
公民個人信息保護的法律溯源
2012年12月28日,全國人民代表大會常務委員會通過的《關於加強網絡信息保護的決定》,提出了對公民的個人電子信息進行保護。
2014年8月21日頒佈的《最高人民法院關於審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》明確規定,公開個人信息造成損害的應當承擔侵權責任。2017年6月起施行的《中華人民共和國網絡安全法》確立了網絡環境下對個人電子信息進行保護的具體規則。
民事領域
《中華人民共和國民法總則》
第一百一十一條 自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得並確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。
刑事領域
2009年2月,公佈施行的《刑法修正案(七)》,增設了“出售、非法提供公民個人信息罪”和“購買、非法獲取公民個人信息罪”兩個罪名,主要適用於以“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”為犯罪主體的、履行職務活動過程中產生的犯罪行為。
2015年11月1日起施行的《刑法修正案(九)》將上述兩罪名合併修改為“侵犯公民個人信息罪”,犯罪主體不再侷限於上述人員,在履行職務活動中犯罪的構成從重處罰情節。2017年3月15日《中華人民共和國民法總則》頒佈,其中“民事權利”一章單列一條規定:“自然人的個人信息受法律保護”,至此對公民信息的民法保護已不再侷限於網絡環境下的電子信息。
知識延伸
攝影:曹璐、李想
閱讀更多 京法網事 的文章
