劉曉穎
摘? 要:隨著數(shù)據(jù)產(chǎn)業(yè)的迅速發(fā)展,網(wǎng)絡(luò)用戶的個(gè)人信息面臨更多未經(jīng)授權(quán)即被采集、使用的風(fēng)險(xiǎn)?!睹穹ǖ洌ú莅福啡烁駲?quán)編的相關(guān)條文雖然對(duì)個(gè)人信息范圍有所界定,但是并未明確界定的標(biāo)準(zhǔn)。同時(shí)對(duì)個(gè)人信息的保護(hù)原則、免責(zé)事由等作出了原則性規(guī)定,但并未對(duì)個(gè)人信息侵權(quán)的歸責(zé)原則、侵權(quán)責(zé)任的承擔(dān)方式等作出具體規(guī)定。個(gè)人信息的保護(hù)要注重平衡其與數(shù)據(jù)流通間的關(guān)系,在此基礎(chǔ)上對(duì)個(gè)人信息權(quán)的具體人格權(quán)地位予以明晰,明確其歸責(zé)原則,完善損害賠償機(jī)制。
關(guān)鍵詞:個(gè)人信息;隱私權(quán);證明責(zé)任;歸責(zé)原則
中圖分類號(hào):D923;D925.1? ? ?文獻(xiàn)標(biāo)識(shí)碼:A? ?文章編號(hào):2096-3769(2020)05-119-04
從深度偽造技術(shù)[1]的出現(xiàn)到AI智能軟件的廣泛應(yīng)用,人工智能、大數(shù)據(jù)、云計(jì)算等技術(shù)愈發(fā)深刻地影響著我們的生活,網(wǎng)絡(luò)用戶的個(gè)人信息保護(hù)也受到愈發(fā)廣泛的關(guān)注。2019年12月19日工信部信息通信管理局通報(bào)了40余款經(jīng)督促整改后仍存在違規(guī)收集、使用用戶個(gè)人信息、不合理索取用戶權(quán)限等現(xiàn)象的APP,其中搜狐新聞、新浪體育以及QQ閱讀等APP涉及私自收集用戶個(gè)人信息;閃送、人人視頻以及學(xué)霸君1對(duì)1等APP涉及私自將用戶信息共享給第三方。在大數(shù)據(jù)技術(shù)應(yīng)用愈發(fā)普遍的今天,被“點(diǎn)名”通報(bào)涉及違規(guī)收集、使用用戶個(gè)人信息的APP可能只是冰山一角。大量智能手機(jī)應(yīng)用軟件在其冗長(zhǎng)的用戶使用協(xié)議中回避用戶個(gè)人信息的采集情況和具體使用情況,大量音樂(lè)、視頻、教育等應(yīng)用軟件要求用戶在使用時(shí)必須授權(quán)其手機(jī)的位置定位、訪問(wèn)聯(lián)系人權(quán)限等非必要功能,否則將無(wú)法使用該軟件。
事實(shí)上,網(wǎng)絡(luò)用戶在享受商家提供的便捷服務(wù)時(shí),不得不貢獻(xiàn)自己的身份、關(guān)系、行為等數(shù)據(jù),也不得不面對(duì)各種“定制”的推送和算法決策的結(jié)果。[2]《民法典(草案)》人格權(quán)編中雖然規(guī)定“自然人的個(gè)人信息受法律保護(hù)”,但并未明確網(wǎng)絡(luò)用戶的瀏覽痕跡、移動(dòng)終端的定位信息等是否屬于個(gè)人信息的保護(hù)范圍,亦未明確規(guī)定個(gè)人信息侵權(quán)的具體歸責(zé)原則與損害賠償機(jī)制。低成本的法律風(fēng)險(xiǎn)與高額的收益,無(wú)疑助長(zhǎng)了非法買賣網(wǎng)絡(luò)用戶個(gè)人信息的黑色產(chǎn)業(yè)鏈的發(fā)展,導(dǎo)致非法獲取、販賣個(gè)人信息,實(shí)施針對(duì)性垃圾營(yíng)銷等事件層出不窮。如何有效引導(dǎo)網(wǎng)絡(luò)服務(wù)提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者合法合規(guī)地使用網(wǎng)絡(luò)用戶的個(gè)人信息,切實(shí)保障公民的個(gè)人信息安全,成為亟待解決的問(wèn)題。
一、個(gè)人信息保護(hù)現(xiàn)狀及問(wèn)題
如上文所言,在大數(shù)據(jù)、云計(jì)算時(shí)代網(wǎng)絡(luò)用戶的個(gè)人信息極易被侵害,這已成為現(xiàn)實(shí)生活中不可回避的問(wèn)題。而目前我國(guó)民法層面對(duì)于個(gè)人信息的保護(hù)措施極度缺乏,使得一些從事非法買賣、濫用公民個(gè)人信息但并未達(dá)到刑法入罪標(biāo)準(zhǔn)的行為無(wú)法得到法律制裁。從目前司法實(shí)踐的情形來(lái)看,由于相關(guān)立法中對(duì)個(gè)人信息權(quán)利屬性的界定不明,導(dǎo)致網(wǎng)絡(luò)用戶的個(gè)人信息極易被濫用,且尋求救濟(jì)時(shí)亦存在諸多問(wèn)題。
1.個(gè)人信息權(quán)利屬性界定不明
雖然《民法總則》第111條與《民法典(草案)》人格權(quán)編第六章均確認(rèn)了公民的個(gè)人信息受法律保護(hù),但未使用“個(gè)人信息權(quán)”的字眼,對(duì)其權(quán)利屬性亦未作出界定。理論界關(guān)于個(gè)人信息的屬性也有不同的探討,如“隱私權(quán)客體說(shuō)”“人格權(quán)客體說(shuō)”“基本人權(quán)客體說(shuō)”等。[3]事實(shí)上,網(wǎng)絡(luò)用戶通常是以個(gè)人信息作為對(duì)價(jià)來(lái)?yè)Q取免費(fèi)的在線服務(wù),而網(wǎng)絡(luò)服務(wù)提供者也具有強(qiáng)烈的收集、分析用戶各類信息的利益訴求,以便通過(guò)經(jīng)營(yíng)活動(dòng)獲取經(jīng)濟(jì)利益。在大數(shù)據(jù)時(shí)代,網(wǎng)絡(luò)用戶的個(gè)人信息在具備人格屬性的同時(shí)兼具財(cái)產(chǎn)屬性,如同可以被估價(jià)的無(wú)形資產(chǎn),正因如此驅(qū)使大量網(wǎng)絡(luò)服務(wù)提供者為了牟利采用各種技術(shù)手段收集用戶個(gè)人信息。關(guān)于確認(rèn)個(gè)人信息財(cái)產(chǎn)屬性的制度設(shè)計(jì)可以借鑒德國(guó)的相關(guān)立法,即在人格權(quán)的基礎(chǔ)上確認(rèn)信息主體對(duì)個(gè)人信息的使用、控制、收益等權(quán)利。同時(shí),增強(qiáng)信息主體對(duì)其個(gè)人信息經(jīng)濟(jì)價(jià)值的認(rèn)知和意識(shí),不僅有助于對(duì)信息保護(hù)的事后救濟(jì),也有助于主體的行動(dòng)自覺(jué),進(jìn)而不斷改進(jìn)其與企業(yè)或信息處理者的行為關(guān)系模式。[4]
2.未經(jīng)公民同意使用其信息
隨著信息技術(shù)與日常生活的深度融合,公民的個(gè)人信息也隨之呈現(xiàn)出網(wǎng)絡(luò)化、數(shù)字化的趨勢(shì)。據(jù)中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院發(fā)布的《中國(guó)大數(shù)據(jù)產(chǎn)業(yè)發(fā)展評(píng)估報(bào)告(2018年)》以及《2019中國(guó)大數(shù)據(jù)產(chǎn)業(yè)發(fā)展白皮書(上)》顯示,2018年我國(guó)大數(shù)據(jù)產(chǎn)業(yè)規(guī)模達(dá)4384.5億元,同比增長(zhǎng)23.5%,預(yù)計(jì)2021年產(chǎn)業(yè)規(guī)模將超過(guò)8000億元。在大數(shù)據(jù)時(shí)代,經(jīng)營(yíng)者可以通過(guò)對(duì)大量網(wǎng)絡(luò)用戶的個(gè)人信息的篩選、分析,從中提取有效的商業(yè)價(jià)值;或者通過(guò)繪制用戶畫像等方法個(gè)性化投放廣告,實(shí)現(xiàn)其精準(zhǔn)營(yíng)銷的目的。與此同時(shí),信息不對(duì)稱問(wèn)題在互聯(lián)網(wǎng)技術(shù)快速發(fā)展的今天愈發(fā)凸顯,網(wǎng)絡(luò)用戶一般無(wú)法了解自己每一條信息的走向與被使用情況。當(dāng)用戶使用各種購(gòu)物、醫(yī)療、導(dǎo)航等軟件時(shí)必然會(huì)產(chǎn)生大量的數(shù)據(jù),而承載這些服務(wù)的瀏覽器、搜索引擎則會(huì)自動(dòng)收集這些數(shù)據(jù),通過(guò)整合與分析提取有商業(yè)價(jià)值的信息。日常生活中從購(gòu)物軟件到訂餐平臺(tái),“訂制推薦”“猜你喜歡”這類選項(xiàng)似乎早已被用戶習(xí)以為常,而此類個(gè)性化推薦的來(lái)源則是瀏覽器或服務(wù)器通過(guò) Cookie來(lái)記錄用戶的興趣愛(ài)好、購(gòu)物偏好、個(gè)人需求等。我國(guó)目前并無(wú)相關(guān)法律法規(guī)對(duì)網(wǎng)絡(luò)用戶的瀏覽痕跡、移動(dòng)終端的定位信息等加以保護(hù)。[5]從比較法的角度看,2009年11月歐盟通過(guò)了《歐洲Cookie指令》,其中規(guī)定:用戶初次使用某網(wǎng)站時(shí),該網(wǎng)站必須關(guān)閉Cookie 插件的使用,只有用戶明確同意啟用Cookie插件時(shí)才能開(kāi)啟此項(xiàng)功能。[6]參考?xì)W盟對(duì)于網(wǎng)絡(luò)用戶瀏覽痕跡、行為痕跡的保護(hù)措施,出臺(tái)相關(guān)操作規(guī)范,監(jiān)督網(wǎng)絡(luò)服務(wù)提供者收集用戶瀏覽痕跡時(shí)遵守知情同意原則,可切實(shí)保護(hù)網(wǎng)絡(luò)用戶對(duì)于其個(gè)人信息的控制權(quán)。
3.個(gè)人信息受到侵害時(shí)難以得到實(shí)質(zhì)救濟(jì)
隨著大數(shù)據(jù)、云計(jì)算的發(fā)展,網(wǎng)絡(luò)服務(wù)提供者根據(jù)瀏覽痕跡繪制用戶畫像、投放網(wǎng)絡(luò)定向廣告等行為給網(wǎng)絡(luò)用戶的個(gè)人信息帶來(lái)更多威脅。如網(wǎng)絡(luò)服務(wù)平臺(tái)對(duì)于用戶的個(gè)人信息、行為記錄、交易信息等進(jìn)行收集后,極有可能在未經(jīng)用戶許可的情況下將數(shù)據(jù)賣給廣告商等第三方,而被侵權(quán)人往往難以得到實(shí)質(zhì)的財(cái)產(chǎn)性救濟(jì)。雖然在《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》中明確規(guī)定了“利用用戶個(gè)人信息和算法定向推送信息,未提供非定向推送信息的選項(xiàng)”,可被認(rèn)定為“未經(jīng)用戶同意收集使用個(gè)人信息”。而在司法實(shí)踐中,即使法院認(rèn)定被告實(shí)施了侵害公民個(gè)人信息的行為,原告方也難以獲得相應(yīng)的經(jīng)濟(jì)補(bǔ)償。例如,在孫某某訴中國(guó)某通信有限公司隱私權(quán)糾紛案中,法院經(jīng)審理認(rèn)為電信運(yùn)營(yíng)企業(yè)將手機(jī)用戶的信息披露給第三人時(shí)即構(gòu)成對(duì)權(quán)利人隱私權(quán)的侵犯,電信運(yùn)營(yíng)企業(yè)應(yīng)向手機(jī)用戶承擔(dān)侵權(quán)責(zé)任。但是,被告的行為雖侵犯了原告的隱私,但并未造成原告生活上嚴(yán)重的不安寧,故不予確認(rèn)原告所主張的精神受到嚴(yán)重?fù)p害,對(duì)其所提出的精神損害撫慰金亦不予支持。(1)
二、《民法典(草案)》中個(gè)人信息權(quán)的界定與完善
1.確立個(gè)人信息權(quán)
應(yīng)當(dāng)明確的是,個(gè)人信息性質(zhì)的界定是分析并解決上述問(wèn)題關(guān)鍵。關(guān)于個(gè)人信息的性質(zhì)有不同的學(xué)說(shuō),根據(jù)《民法典(草案)》第1034條可看出,在我國(guó)立法中對(duì)個(gè)人信息界定較為核心的概念是“可識(shí)別性”的結(jié)論,包括單獨(dú)可識(shí)別以及組合可識(shí)別。個(gè)人信息與隱私權(quán)雖然在概念上相互獨(dú)立,但是權(quán)利范圍實(shí)際上存在交集,例如個(gè)人信息不僅包括涉及隱私內(nèi)容的私密信息,還包括可公開(kāi)、可利用的個(gè)人信息。從《民法典(草案)》人格權(quán)編第六章的條文來(lái)看,個(gè)人信息被認(rèn)為是一種民事權(quán)益,而隱私權(quán)作為一種民事權(quán)利,具有適用的優(yōu)先性。司法實(shí)踐中,法院也通常是采取隱私權(quán)的保護(hù)方法處理個(gè)人信息侵權(quán)案件。例如,在方某某等訴南京市明華新村8號(hào)住宅小區(qū)業(yè)主委員會(huì)隱私權(quán)糾紛案中,法院經(jīng)審理認(rèn)為被告不適當(dāng)?shù)毓_(kāi)了原告的身份證號(hào)碼和電話、家庭住址,上述內(nèi)容屬于公民個(gè)人的重要信息,屬于個(gè)人隱私;被告侵犯了原告的個(gè)人隱私,應(yīng)當(dāng)向原告賠禮道歉。(2)事實(shí)上,司法實(shí)踐中參照隱私權(quán)來(lái)保護(hù)公民個(gè)人信息的做法存在諸多弊端。相較于隱私權(quán),公民的個(gè)人信息不僅蘊(yùn)含人格屬性,更具備財(cái)產(chǎn)價(jià)值,而傳統(tǒng)的隱私權(quán)無(wú)法保護(hù)公民個(gè)人信息權(quán)中財(cái)產(chǎn)價(jià)值受到侵害的情形。
故此,在《民法典(草案)》人格權(quán)編中將個(gè)人信息權(quán)與隱私權(quán)的相關(guān)規(guī)定分別開(kāi)來(lái)更為合理,一方面有利于厘清二者的范圍與界限,另一方面也有利于司法實(shí)踐中當(dāng)事人提出更為明確的訴訟請(qǐng)求。同時(shí),由于個(gè)人信息權(quán)無(wú)法為其他權(quán)利所涵蓋,例如大量具備經(jīng)濟(jì)價(jià)值的個(gè)人信息很難通過(guò)隱私權(quán)進(jìn)行保護(hù),本文認(rèn)為將其確認(rèn)為具體人格權(quán)更為合適,可具體包括:第一,個(gè)人信息的控制權(quán)具體是指用戶對(duì)個(gè)人信息的處理、保存以及處理方法與收集的范圍擁有知情權(quán)與控制權(quán)。第二,個(gè)人信息的使用權(quán)是指?jìng)€(gè)人有權(quán)使用自己的信息并形成利益。第三,個(gè)人信息的損害賠償請(qǐng)求權(quán)是指網(wǎng)絡(luò)服務(wù)提供者未經(jīng)用戶同意對(duì)其信息進(jìn)行收集、使用,或者對(duì)用戶個(gè)人信息的使用、收集超出了其授權(quán)的范圍,被侵權(quán)人有權(quán)要求停止侵害、主張損害賠償?shù)臋?quán)利。
2.明晰個(gè)人信息侵權(quán)的歸責(zé)原則
由于目前沒(méi)有相關(guān)法律對(duì)于個(gè)人信息侵權(quán)的歸責(zé)原則進(jìn)行規(guī)定,導(dǎo)致司法實(shí)踐中法官在處理個(gè)人信息侵權(quán)案件的舉證責(zé)任問(wèn)題時(shí),通常將個(gè)人信息侵權(quán)案件籠統(tǒng)地按照一般侵權(quán)責(zé)任糾紛的思路進(jìn)行審理,即要求原告承擔(dān)侵權(quán)責(zé)任全部構(gòu)成要件的證明責(zé)任,而過(guò)錯(cuò)要件與因果關(guān)系對(duì)于原告而言證明難度無(wú)疑過(guò)大。從比較法的角度看,不同國(guó)家、地區(qū)及國(guó)際組織對(duì)于個(gè)人信息侵權(quán)所采取的歸責(zé)原則存在著一定的差異。第一種類型是采取過(guò)錯(cuò)推定原則,如歐盟GDPR中規(guī)定,數(shù)據(jù)控制者、處理者應(yīng)就其不存在過(guò)錯(cuò)承擔(dān)證明責(zé)任。第二種類型是混合歸責(zé)原則,例如在德國(guó)、冰島以及我國(guó)臺(tái)灣地區(qū)對(duì)于個(gè)人信息保護(hù)的相關(guān)立法中規(guī)定,對(duì)于包括黑客、網(wǎng)絡(luò)服務(wù)提供者、網(wǎng)絡(luò)用戶實(shí)施侵權(quán)行為應(yīng)根據(jù)其過(guò)錯(cuò)承擔(dān)責(zé)任,而政府機(jī)構(gòu)和其他特殊主體通常要承擔(dān)無(wú)過(guò)錯(cuò)責(zé)任。本文認(rèn)為我國(guó)網(wǎng)絡(luò)用戶個(gè)人信息的侵權(quán)歸責(zé)原則采用過(guò)錯(cuò)推定原則更合適,由于網(wǎng)絡(luò)服務(wù)提供者收集用戶的個(gè)人信息往往是為了獲取商業(yè)利益,且收集用戶信息的技術(shù)手段具備隱蔽性,在個(gè)人信息被侵權(quán)的案件中,要求信息主體證明網(wǎng)絡(luò)服務(wù)提供者存在過(guò)錯(cuò)這一要件無(wú)疑是過(guò)于苛責(zé)的,且網(wǎng)絡(luò)服務(wù)提供者收集用戶信息的技術(shù)手段通常具備隱蔽性,基于技術(shù)水平的不對(duì)等性,將過(guò)錯(cuò)要件倒置由侵權(quán)方承擔(dān)更可體現(xiàn)實(shí)質(zhì)正義。同時(shí),確立過(guò)錯(cuò)推定原則有利于強(qiáng)化網(wǎng)絡(luò)服務(wù)提供者的安全和責(zé)任意識(shí),從而更好地保護(hù)網(wǎng)絡(luò)用戶的權(quán)益。
3.完善損害賠償機(jī)制
在立法層面應(yīng)明確非法竊取公民個(gè)人信息進(jìn)行牟利的損害賠償標(biāo)準(zhǔn),如根據(jù)侵權(quán)方獲利數(shù)額或被侵權(quán)方損失數(shù)額進(jìn)行補(bǔ)償,可以更好地保護(hù)公民的個(gè)人信息。有學(xué)者指出“維權(quán)成本高、賠償數(shù)額低”是民事侵權(quán)案件中推進(jìn)個(gè)人信息保護(hù)的主要障礙。[7]由于缺少明確的法律依據(jù),導(dǎo)致司法實(shí)踐中法院更多的是要求侵權(quán)方進(jìn)行口頭或者書面賠禮道歉,而鮮有要求其進(jìn)行損害賠償?shù)那闆r。出現(xiàn)該現(xiàn)象的原因一方面是現(xiàn)有法律并未對(duì)個(gè)人信息所附的財(cái)產(chǎn)屬性予以確認(rèn),另一方面是缺少可參考的損害賠償確定標(biāo)準(zhǔn)。本文認(rèn)為關(guān)于個(gè)人信息侵權(quán)造成的損害賠償?shù)拇_定標(biāo)準(zhǔn)主要有以下兩種方式:一是根據(jù)信息主體受到的損失數(shù)額進(jìn)行賠償,但僅包括直接損失,對(duì)于間接損失的賠償則要根據(jù)個(gè)案進(jìn)行分析。二是當(dāng)難以確定信息主體具體損失數(shù)額時(shí)根據(jù)侵權(quán)人的獲利情況進(jìn)行賠償。特別地,大數(shù)據(jù)、云計(jì)算等技術(shù)的應(yīng)用不僅增加了信息流轉(zhuǎn)的速度和復(fù)雜性,而且使信息收集的手段變得更加隱蔽。在大數(shù)據(jù)背景下,信息控制者與信息處理者能從侵權(quán)行為中獲得巨大的財(cái)產(chǎn)利益,而基于信息的不對(duì)等情況,作為被侵害人的信息主體往往很難發(fā)現(xiàn)該侵權(quán)行為。因此,對(duì)于牟利性惡意侵犯?jìng)€(gè)人信息的情況,從有效遏制和預(yù)防角度出發(fā),可以借鑒國(guó)外個(gè)人信息保護(hù)中對(duì)懲戒功能的重視,[8]引入懲罰性賠償機(jī)制(3),以保護(hù)處于弱勢(shì)地位的信息主體的權(quán)益。
注釋:
(1)參見(jiàn)上海市浦東新區(qū)人民法院(2009)浦民一初字第9737號(hào)民事判決書。
(2)參見(jiàn)江蘇省南京市鼓樓區(qū)人民法院(2017)蘇0106民初3250號(hào)民事判決書。
(3)歐盟《一般數(shù)據(jù)保護(hù)條例》(簡(jiǎn)稱:GDPR)第83條規(guī)定企業(yè)在泄露個(gè)人信息后可能面臨著前一年全球總營(yíng)業(yè)額4%或 2000 萬(wàn)歐元(兩者取其高)的罰款;美國(guó)《加州消費(fèi)者隱私法案》第1798.155節(jié)規(guī)定任何企業(yè)、服務(wù)提供商或其他違反本法案的人應(yīng)受到禁令的約束,并應(yīng)承擔(dān)每次違規(guī)不超過(guò)2500美元、每次故意違規(guī)不超過(guò)7500美元的民事罰款。
參考文獻(xiàn):
[1]王祿東.論“深度偽造”智能技術(shù)的一體化規(guī)制[J].東方法學(xué),2019.
[2]馬長(zhǎng)山.智慧社會(huì)背景下的“第四代人權(quán)”及其保障[J].中國(guó)法學(xué),2019(5):10-18.
[3]齊愛(ài)民.個(gè)人信息保護(hù)法研究[J].河北法學(xué),2008(4):16-18.
[4]蔡培如,王錫鋅.論個(gè)人信息保護(hù)中的人格保護(hù)與經(jīng)濟(jì)激勵(lì)機(jī)制[J].比較法研究,2020(1):110-112.
[5]鄧佑文,王文文.從身份識(shí)別到行為識(shí)別:個(gè)人信息侵權(quán)認(rèn)定的路徑選擇[J].浙江師范大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2019(4):40-43.
[6]張靜.個(gè)人信息保護(hù)立法模式選擇[J].法治社會(huì),2019(3):75-78.
[7]張新寶.《民法總則》個(gè)人信息保護(hù)條文研究[J].中外法學(xué),2019(1):72-73.
[8]葉名怡.個(gè)人信息的侵權(quán)法保護(hù)[J].法學(xué)研究,2018(4):90-95.