随着移动互联和大数据的飞速发展
公民个人信息
收集、保存、利用日益便捷
个人信息不再局限于身份识别
更逐步成为具有经济价值的社会资源
移动终端、互联网络
无不留下公民个人信息的“数据足迹”
如何平衡信息保护与信息利用
人格尊严与社会秩序之间的关系
显得尤为重要
大数据时代背景下
8月24日上午
朝阳法院召开
“涉个人信息保护类民事案件”研讨会
邀请法学界和实务界的专家学者
围绕司法实务中的典型案例
对个人信息民法保护中的具体问题
进行分析探讨
北京市朝阳区人民法院
此次研讨会,由朝阳法院民一庭庭长杨兵担任主持人,伊始,介绍了研讨会的时代背景。
参加此次研讨会的嘉宾有
清华大学法学院党委副书记、教授
博士生导师程啸
中央财经大学法学院院长、教授
博士生导师尹飞
中国法学会研究部副主任彭伶
北京市高级人民法院研究室副主任
刘书星
北京市第三中级人民法院民一庭庭长
齐晓丹
腾讯研究院资深专家王融
京东法律研究院总监李丽
京东法律研究院总监郑慧媛
这场理论与实践的思维盛宴,吸引了近20家媒体记者全程参与报道。
朝阳法院党组副书记、副院长亓纪致辞。
近年来,我院提出了“四个一批”的工作要求,即“办理一批对法律适用具有重要参考意义的典型案例,撰写一批对社会价值具有示范引领作用的裁判文书,推出一批在法学界和实务界具有较大影响力的学术成果,培养一批在全市乃至全国法院系统具有较高知名度的优秀法官”。希望引导法官们把“案件数量”和“工作品质”更好地结合起来,把“执法办案”和“潜心思考”更好地统一起来,不断提升审判工作的水平。
经过精心的准备和长期的酝酿,我们举办了这次以“公民个人信息保护”为主题的研讨会,我们希望以此为契机,搭建起一道理论联系实际、法官与学者相互沟通的桥梁,借助这个平台,充分地交流观点,聆听专家的见解和指导。我相信今天的研讨会必将是一次思维的盛宴,每位专家的发言都将带给大家视野的转换和知识的启迪!
朝阳法院酒仙桥人民法庭庭长吴彬介绍了我院近年来个人信息保护类案件的审理概况。
“ 公民个人信息保护案件呈现以下特点:
• 案件受理量逐年上升,但原告胜诉率呈下降趋势
• 支持经济赔偿的判决数量以及案均支持的经济赔偿额双双增长
• 权利人诉求的精神损害赔偿获赔率及赔偿金额递减
对公民个人信息保护有较大影响的行为基本呈以下分布情况:
• 不以使用信息为目的的单纯公开和披露个人信息
• 以使用信息为目的公开个人信息
• 冒用、盗用个人信息
• 信息保管人转让、泄露个人信息
• 因保管不当导致的与个人信息有关的档案丢失
• 因错误登记导致的个人信息公开
”
酒仙桥法庭副庭长罗曼结合典型案例,分析总结审判实践中涉个人信息保护类民事案件的七大审理难点,并整理了案件审理资料,包括以《民法总则》为统领的19部法律、法规规章及司法解释,域外6个国家和地区的相关规范、近几年我院受理的案件情况、侵权行为类型以及理论学说的争辩。
面对法律适用难点,各位专家阐释了各自的观点和思考。
清华大学法学院党委副书记、教授
博士生导师程啸
当前,理论界与实务界都特别关注个人信息的保护问题,朝阳法院组织的本次研讨会为个人信息保护的立法与研究提供了非常丰富的第一手的案件素材,具有重要的意义。当前民法典草案已经将人格权作为独立的一编加以规定,民法典草案人格权编第六章对“隐私权与个人信息权”作出了详细的规定。个人信息权不同于隐私权。我国属于大陆法系国家,规定了隐私权、名誉权、肖像权等具体人格权,但是个人信息权是一种新型的人格权,不同于隐私权。
对于个人信息的界定,我国《网络安全法》等法律采取的是识别说,即可以直接或者间接识别出特定个人的信息就是个人信息。个人信息与隐私权所保护的隐私信息具有重合之处,但也存在差别,因为个人信息还包括已经公开的信息。依据《侵权责任法》第六条第一款,侵害个人信息权的归责原则为过错责任原则,而非过错推定或者无过错责任。
实践中侵害个人信息的行为最典型的当然是非法公开个人信息的情形,但不限于此,还包括非法收集个人信息、非法利用个人信息、非法传输个人信息以及未尽保管义务致个人信息泄露、毁损等类型。侵害个人信息应当依法承担的侵权责任既包括停止侵害、排除妨害等绝对权请求权,也包括恢复原状、赔偿损失等损害赔偿请求权。在个人信息泄露而被第三人非法利用从而造成他人损害的情形下,信息控制者与第三人之间将构成多数人侵权责任,需要根据具体情况认定究竟是按份责任还是连带责任。
中国法学会研究部副主任 彭伶
在我国全面进入数字化时代,个人信息泄露日益严重的社会背景下,朝阳法院召开这样一个研讨会,具有非常重要的现实意义。
在我们国家,对于个人信息的认识也是在逐步的发展完善当中。从实践来看,个人信息已不仅仅属于民法范畴,在刑法中还有其他行政法规中也都涉及到。因此,个人信息权在法律上到底是一种什么样的权利?我们的宪法保护人格权,但是没有明确隐私权是宪法权利,更没有提到个人信息权。目前随着科技发展日新月异,万物互联指日可待,我们的衣食住行、生活工作已经全面数字化,个人信息涵盖了社会生活的各个方面。如果缺乏对个人信息权的有效保护,那么公民权利保护体系必然不完整。我认为,就重要性而言,个人信息权应该是一种宪法性权利,只有权利上升到宪法权利才能得到更全面有效的保护。
对于个人信息的定义,我个人比较倾向GDPR的界定,有关个人的所有信息即为个人信息。只要是个人信息都应受到保护。因为在实践中,很难把每一条个人信息区分为哪条个人信息是不属于保护的信息,哪条应保护。在不同的案件中,一条同样的信息,它的价值是不一样的,因为需要将它同其他信息结合起来考虑。普遍保护的一个好处就是无需讨论哪些个人信息才是属于法律保护范畴,只需按个案的实际情况判定。在具体案件中判定个人信息的标准有二:一是识别,信息有助于识别到特定个人,这种信息就是个人信息;二是关联,特定个人的活动产生的信息也是个人信息。普遍保护并不等于排斥利用。
对于个人信息的保护,立法重点一是应加大对非法利用个人信息的打击力度,产生威慑与预防作用。二是应强化并细化个人信息控制者(大多是企业、政府机构)的保管责任,因为相比起一般大众,他们具有科技优势,强调他们的保管责任,有助于推动信息保管的科技发展,可以从源头上有效控制信息泄露的风险。
腾讯研究院资深专家王融
当前,收集个人信息的渠道数不胜数,包括电信运营商、各类网站、APP、手机设备本身。特别是国内近年来随着AI的快速发展,手机硬件厂商在设备上增加各类功能,实现跨APP平台的数据处理。此外,各类爬虫技术也能实现跨平台的数据抓取。
并且,在外部环境下,智慧城市中各类物联网设备也在无时无刻的收集个人信息,形成城市管理的“超级大脑”。
个人信息的收集、处理渠道增加,意味着泄露的渠道也在增加,因此,在个人信息泄露相关的侵权案件中,很难在损害后果和泄露事件中找到确定的因果关系,也很难证明到底是哪一个渠道泄露的个人信息。尽管可以探索性的适用高度盖然理论来解决一部分问题,但在外部环境收集渠道越来越多的情况下,此类问题将面临更大挑战,需要在侵权法上找到新的思路。
中央财经大学法学院院长、教授
博士生导师尹飞
在《民法典》各分编即将提交全国人大常委会审议,尤其是人格权编作为独立一编纳入民法典被提交审议之际,朝阳法院举办此次会议,对审判中个人信息保护的重点难点问题进行研讨,相信对于立法的完善、学术研究的深入以及法院审判工作,都有十分重要的意义。刚才程啸教授、彭伶老师对咱们归纳的问题已经从各个方面、不同角度做了比较全面的讨论,王融女士也从企业的角度进行了阐释,我再做几点补充。
首先,关于个人信息的判断。主要讲两个观点:其一,我们还是要回到最基础的界定上,也就是说,个人信息本质上属于人格权,即民事主体对其自身进行支配的权利。因此,在社会高速发展的当下,很难一一罗列出哪些信息属于个人信息。在个人信息的判断标准上,还是应当坚持识别说,个人信息必须与特定主体的人格联系起来。这就要求我们在个案中,也必须在个案中,根据具体情况判断某项信息是否指向了特定人格。如咱们提到的机票案,一般情况下,票号、班次之类可能都是一般性的信息,但当它们在案件中同时出现,受害人完全有理由认为它们指向了为之订票的特定人,从而构成个人信息。其二,在隐私权被现行法明确承认为绝对权的情况下,实践中能够通过隐私权保护的,要尽量通过隐私权而非个人信息来保护。当然,对二者的界分,将来可以考虑在立法或者司法解释中进一步完善。
其次,关于信息保管义务以及相关责任。信息的持有者当然要负有保管义务。这里可以类比有体物的法理。从《物权法》《合同法》《担保法》等法律来看,合法占有人,例如质权人、承运人等,都对其占有的物负有善良管理人的保管义务。在个人信息方面,当然也是如此。当然,《网络安全法》《消费者权益保护法》更是明确规定了这种义务。在违背此种义务造成损害的情况下,当然要承担过错责任。但是,考虑到个人信息的特殊性,在具体举证责任的认定上,可以考虑更多地依据常识以及社会一般观念,适当降低受害人举证责任的标准。对于妥善保管义务的认定,不好一概而论,应当结合具体行业、行为人等因素具体确定。当泄露个人信息侵权和第三人侵权竞合造成同一损失时,在目前,可以考虑参照违反安全保障义务的规定来处理。但在未来的立法中,我倾向于坚持原先人身损害赔偿司法解释的做法,认定二者直接结合造成同一损失,应当承担连带责任。
第三,关于损害赔偿。在没有证据证明受侵害信息主体有实际损失时,我并不赞成适用获利剥夺的制度。主要是因为在个人信息侵权案件中,往往是大规模的个人信息泄露、买卖,折合下来,单个人的信息对应的价款是微乎其微的。我更倾向于直接由法院根据实际情况酌定赔偿数额。至于精神损害赔偿,在没有严重后果的情况下恐怕很难适用。但需要强调的是,精神损害赔偿的目的在于克服受害人的精神痛苦,但这种克服未必都是需要通过赔偿来实现的。在侵害个人信息案件中,赔礼道歉,尤其是书面的、正式的、公开场合的赔礼道歉,或者在互联网上赔礼道歉,可能更有利于制裁加害人、克服受害人的精神痛苦。
北京市高级人民法院研究室副主任刘书星
随着网络科技的发展,大家逐渐明白了一件事,控制风险实际上可以通过技术手段来实现,成本也许没有想象的那么高。如果控制风险,成本是可控的,技术是可实现的,那么在个人信息保护的问题上,何不从企业是否运用了最合理的技术,真正防止了个人信息被泄露,这个点出发呢?有关个人信息保管的问题,其实保管问题涉及到收集和使用,《网络安全法》中指出如果要收集和使用应该遵循合法、正当、必要和同意原则。
北京市第三中级人民法院民一庭庭长齐晓丹
关于举证责任的分配和证明标准要进行区分,大家都清楚谁主张.谁举证的基本原则,公民个人主张其个人信息受到侵害,其应承担举证责任。在证明标准上,民事诉讼法和刑事诉讼法的举证责任不同,民事诉讼法是高度盖然性,刑事诉讼法是排除合理怀疑。法院在判断被告是否侵害了原告的个人信息,要考虑到原告的举证能力,结合日常经验法则,以社会理性人的标准进行判断。
我注意到,朝阳法院审理的涉个人信息保护类案件的原告胜诉率是50%左右,这里面也体现了原告承担举证责任的问题,原告败诉的多是未完成举证责任。作为被告的个人信息的收集和保管方是否存在违法行为以及是否存在过错,是审判中的难点,我们可以从这样的角度考虑,个人信息的收集和保管方具有保管个人信息的义务,一旦认定他存在泄露个人信息的违法行为,其实也就认定了他违反上述义务,主观上存在过错,应当承担侵权责任。
京东法律研究院总监李丽
在互联网企业工作使我对于个人信息保护数据安全问题对企业有多么的重要更有切身体会。我国多个法律规定了个人信息受到法律保护,但是个人信息的内涵和外延还需进一步统一和确定。厘清个人信息权和隐私权的边界以及个人信息权的范围有利于建立系统的个人信息保护制度。
很多互联网企业与我们一样,对于企业履行个人信息保护义务的范围,特别是今天讨论的信息保管主体的销毁义务,有困惑。这个困惑随着个人信息保护立法不断推进变得更大了。这是由于数据主体权益范围不明确以及权益内容本身存在一些交叉和不明确造成的。比如很多客户已经长时间不活跃了,但是企业本身不敢轻易销毁,因为用户拥有知情权,如果作为数据控制者的企业将数据删除了,用户这项权益将无法实现。个人认为,如果法律规定企业需要履行删除义务,应当同时配套不同业务场景的保存期限,这样保管期限届满,企业就可以把用户数据删除,才能保证几项义务同时履行。
公民个人信息保护的法律溯源
2012年12月28日,全国人民代表大会常务委员会通过的《关于加强网络信息保护的决定》,提出了对公民的个人电子信息进行保护。
2014年8月21日颁布的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》明确规定,公开个人信息造成损害的应当承担侵权责任。2017年6月起施行的《中华人民共和国网络安全法》确立了网络环境下对个人电子信息进行保护的具体规则。
民事领域
《中华人民共和国民法总则》
第一百一十一条 自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
刑事领域
2009年2月,公布施行的《刑法修正案(七)》,增设了“出售、非法提供公民个人信息罪”和“购买、非法获取公民个人信息罪”两个罪名,主要适用于以“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”为犯罪主体的、履行职务活动过程中产生的犯罪行为。
2015年11月1日起施行的《刑法修正案(九)》将上述两罪名合并修改为“侵犯公民个人信息罪”,犯罪主体不再局限于上述人员,在履行职务活动中犯罪的构成从重处罚情节。2017年3月15日《中华人民共和国民法总则》颁布,其中“民事权利”一章单列一条规定:“自然人的个人信息受法律保护”,至此对公民信息的民法保护已不再局限于网络环境下的电子信息。
知识延伸
摄影:曹璐、李想
閱讀更多 京法網事 的文章
