“个人信息司法保护的现状与趋势研讨会”会议综述
2019年12月25日      ( 正文字号: )
文章标签:人格权   个人信息   个人信息权
[ 导语 ]
       人格权单独成编是我国民法典的最大亮点,具有中国特色,其中关于个人信息保护的规定亦成为学界与实务界讨论的热点。2019年12月15日下午,第二届明理·清律司法实务论坛“个人信息司法保护的现状与趋势研讨会”在清华大学法学院法律图书馆大楼模拟法庭成功举行,会议围绕“个人信息保护的立法现状与价值选择”“个人信息的概念、性质与界分”“个人信息收集与处理的基本原则与行为规范”“司法实践对侵害个人信息的认定”这四个议题,对个人信息立法与司法中的一些关键问题进行了全面而细致的讨论。

2019年12月15日下午,由清华大学法学院主办,北京清律律师事务所承办,清华大学法学院个人信息保护与数据权利研究中心协办的第二届明理·清律司法实务论坛“个人信息司法保护的现状与趋势研讨会”在清华大学法学院法律图书馆大楼模拟法庭成功举行。

来自中国人民大学、北京大学、清华大学、中央财经大学、中国政法大学的专家学者,来自全国人大常委会法制工作委员会民法室的领导,来自中国法学会、北京市委网信办、中国消费者协会、北京市第一中级人民法院、北京市第四中级人民法院、杭州互联网法院、北京市怀柔区人民法院、北京市西城区人民法院、北京市昌平区人民法院、北京市海淀区人民检察院的嘉宾,以及来自北京清律律师事务所、腾讯集团、字节跳动公司、美团点评、南都个人信息保护研究中心、阿里巴巴、联想、宁波银行、北京安理律师事务所、美国翰宇公司、华为公司等企业的企业代表,来自新华社、光明日报、法制日报、民主与法制时报的媒体代表共180余人参加了本次会议。

一、个人信息保护的立法现状与价值选择

(一)民法典人格权编与个人信息保护

关于人格权单独成编的问题,全国人大法工委民法室主任黄薇认为,这是我国民法典的最大亮点,具有中国特色。全国人大宪法和法律委员会副主任委员、清华大学法学院教授周光权也指出,我国在大数据、互联网方面有着丰富的经验,进行人格权立法是符合中国国情的选择,也可以为未来其他国家制定民法典提供参考样板。

就《民法典人格权编》中个人信息保护的规定,黄薇主任指出,个人信息的定义通过总括性描述和列举的方式得以明确,人格权编草案的三审稿又在二审稿列举的基础上增加了“电子邮箱”和“行踪信息”。这一定义是在《网络安全法》中个人信息定义基础上做出的修改完善,也符合目前国际上相应立法如欧盟的GDPR的趋势。北京市第一中级人民法院民四庭负责人丁宇翔法官指出,《民法典人格权编》涉及个人信息保护的条文大部分都是不完全性规范,不符合审判实践中多运用完全性规范的需求,希望能够加以细化,便于法院适用。中国人民大学民商事法律科学研究中心执行主任石佳友教授认为,《民法典人格权编》中有很多传统公法的内容,个人信息保护就是其中一项。这实际上体现了一种新的治理模式,颠覆了传统的所谓公法和私法截然分明的界限,要求公法和私法共同应对个人信息保护等新问题。

(二)个人信息保护中人格权编与其他立法的关系

就民法典与单行立法在个人信息保护上的关系问题,黄薇主任认为,《民法典人格权编》第六章关于个人信息保护的规定是立足于《网络安全法》规定所做的修改完善。同时,考虑到将来还有专门的个人信息保护立法,所以就民法典这一长期稳定适用的民事基本立法而言,不能做出太多细致具体的规定,而只需做出基础性、原则性的规定,这样一来,既可以对其他的立法有所指引,又为将来的发展留有空间。《个人信息保护法》在性质上属于公法,更多涉及的是管理机关如何通过行政管理手段加强个人信息保护的问题。石佳友教授也认为,如果说《个人信息保护法》更多是公法属性,则民法典属于民事基本法,两者既有分工,又要衔接协调。

周光权教授认为,《民法典人格权编》是发展和完善刑法中对相应犯罪认定的重要契机。刑法对个人信息的保护,目前首要的体现为刑法打击不足。公民饱受个人信息被泄露和被非法提供的困扰,但是刑事案件数量少,刑罚打击的力度不够。除了受害人个人的报案动力不强,现行刑法只处罚向他人出售和非法提供这两种行为以及刑民在保护个人信息方面界限不清也是现实的障碍。其次,刑法还存在打击不准的问题。违反合同义务侵犯公民信息的违约行为或侵权行为是成立的,但不是每一环节都属于犯罪行为,处罚的范围也不是越大越好。所以,在个人信息保护方面,需要共同努力形成合力。北京市海淀区人民检察院第二检察部科技犯罪监察团队负责人许丹也提出,刑法目前的打击方案或许太过激进。

清华大学法学院劳东燕教授提出,在刑法对个人数据进行保护时,存在对数据滥用的行为没有进行有效规制,对个人信息权利的刑法保障明显不足(尤其是对敏感信息和生物识别信息),没有办法准确体现行为的不法性质以及保护不足、过度犯罪化并存(将很多获取类行为统规为犯罪,但从商业利用角度来讲是要开放的)等问题。故刑法关注重心应该从数据收集转移到数据使用,保护价值要从秩序导向走向权益导向,要从法权进路到利益衡量进路,控制原则与防御性原则并举(对敏感信息、生物信息等赋予积极控制性的权能,其他普通信息以防御性性质为主),并根据不同的风险类型和所侵犯的法益性质采取不同模式。这需要刑法与民法合力完成。

(三)个人信息保护中价值选择

中国法学会研究部彭伶副主任指出,当前我国在个人信息保护方面存在几对矛盾。首先是立法与现状之间存在冲突。立法对个人信息高度重视,与此同时国家、互联网平台等主体都在通过很多的渠道收集个人信息,信息主体提交信息的渠道多且密集,由此加剧了数据泄露的后果;其次,不同领域中的政策导向也存在价值矛盾。一方面需要保护个人信息和隐私,信息主体希望掌握信息的部门越分散越好,保护的力度越强越好;另一方面,智慧城市建设又需要集中更多数据,产业界不能希望被科以太严苛的政策。再者,思想上的重视与现实救济的困难存在矛盾。实践中,我们很多人甚至根本不知道信息被利用,也无从知晓以及证明。第四,个人信息安全与国家安全、社会公平正义也有潜在的矛盾。个人信息安全与国家安全之间是包含关系,还是矛盾关系,这是涉及到个人信息保护与政府监管之间平衡的问题,也是国家应怎样进行数据保护的问题。探索社会公平正义与个人信息保护的关系,需要思考能否为了追求社会公平正义而牺牲个人信息保护。对上述矛盾的解决,恐怕需要回归到价值选择上。

在个人信息保护的价值选择中,个人信息保护与合理使用的平衡备受与会专家学者的关注。黄薇主任认为,个人信息保护问题需要听取各方意见。一方面,个人信息作为人格权的一部分,要给予法律保护;另一方面,个人信息又有被收集利用的需要,况且大数据时代数据的使用趋势不可逆转,因此,对个人信息合理依法正当的使用要给予保护。目前,我国民法典人格权编规定个人信息保护的条文总量虽然不多,但是,在普通自然人和合理收集使用信息的主体、产业界之间的权利义务关系方面,立法还是进行了很多的思考和研究。

北京大学法学院王锡锌教授认为,应当建立个人信息保护和合理使用的激励相融机制。个人信息保护非常重要,但产业发展、公共福祉增进甚至国家安全等都依赖于对数据的合理使用,故此,问题的关键在于发展出一种激励相融的机制。目前,法律上的知情同意原则、必要性原则和目的一致性原则搭建了更偏向于个人信息保护的模式,如果要在此模式下落实数据的合理使用,可以考虑降低同意门槛、对告知内容标准做广义解释以及进行场景化合理预期等三种方案。但是,这些方案跟现行法律框架难以兼容且操作性不强,故此,不妨考虑引入权利保护和利益激励相结合的机制,促使用户与数据平台之间进行合作性的博弈。这在国外有很多实践经验。该机制的基本原则就是,在那些不涉及到人格尊严的高度敏感信息领域,允许用户和企业之间以经济交易的方式变通知情同意原则。在企业充分告知的基础上,用户可以自愿选择且可以随时退出。这种经济激励机制不会颠覆知情同意的基本框架,并能赋予用户或者数据主体更多选择权,同时提高数据控制的告知质量和用户同意质量,营造合作博弈的新氛围。关于引入经济激励可能会遇到的人格利益无法商品化的障碍,民法典人格权编草案引入的人格权许可使用制度已经加以化解。所以,《个人信息保护法》要在《民法典人格权编》确定的框架基础上,引入由权利为基础的保护和利益激励为基础的合理使用的双轮驱动模式,惟其如此,方能缓解个人信息保护与公共利益、产业发展之间的竞争和紧张关系。

二、个人信息的概念、性质与界分

(一)个人信息的概念

对个人信息的概念,中央财经法学院院长尹飞教授指出,目前《网络安全法》、刑法等对个人信息都有相关界定,而个人信息的重要特征是可识别性。可识别性可分为识别和关联,《网络安全法》强调识别,因为它面对网络上的海量信息。但刑法司法解释更强调关联,故个人信息概念中可以增加“或者反映特定自然人特定情况的个人信息”。北京大学法学院金锦萍教授认为,目前法律对个人信息的界定还是比较模糊,很难分辨内涵外延以及立法目的。

石佳友教授认为,敏感信息的问题比较重要。《数据安全管理办法》的征求意见稿第15条曾明确提到敏感信息,意味着单行法出现了敏感信息,且敏感信息具有极端重要性,故即使要把敏感信息的处理原则留给未来的《个人信息保护法》,敏感信息这一基本范畴在民法典中也应当提到。中国消费者协会法律部陈剑主任希望民法典立法中对敏感信息可否采集、如何采集作出相应的规定,也希望行政管理机关对敏感信息的收集进行控制,加大处罚力度。

石佳友教授还认为,对生物识别信息需要在法律上进行特别规定。现在人格权编草案的三审稿中新增了生物识别信息,但过于简约,毕竟生物识别信息几乎终生不能修改,一旦泄露会引发巨大风险,故其处理可能要在正当和必要性上高于一般个人信息,强调信息安全和禁止歧视原则。

字节跳动公司高级法律顾问刘莹莹认为,个人信息和个人数据的关系比较模糊。用户数据可以分为个人信息数据,也包括不属于个人信息的数据。可识别性是前者的基本因素,但对于后者是否具有可识别性,能否认定为个人信息并作为个人信息保护,在实践中确实存在困惑。劳东燕教授认为,两者可以用可识别性标准区分。数据作为代码,具有可再生性和可分享性,缺乏传统财物的稀缺性跟占有使用的排他性,其指向具有多元性,不能单一认定其属性或权能;美团点评数据合规法务总监刘笑岑认为,个人信息与数据集合的法律地位存在交叉,不同等级的个人信息可能需要对应不同规则。

(二)个人信息还是个人信息权

中国人民大学常务副校长王利明教授认为,民法典人格权编应当在“个人信息”之后加“权”,或者将其认定为个人信息保护权。王锡锌教授认为,个人信息受保护权更多将个人信息作为重要法益,赋予受保护的权利,但它与信息权本身是不是有差别,需要《个人信息保护法》进一步琢磨。但是,民法上将个人信息权利化仍具有基础性意义,基本概念的界定有益于已有和未来立法的展开。

关于个人信息的权利属性,王利明教授认为,从与特别法的关系来看,民法典将个人信息确定为权益,能够给特别法提供上位法依据;从域外法来看,包括欧盟GDPR在内的域外法大多都规定了个人信息权;从权利内容来讲,如果个人信息本身不是权利,则权利内容无法展开;从权利法益区分现状来看,因为当下尚不明确采用法益保护时需要什么特殊要件,故如果不确定个人信息为权利就会导致司法实践中面临很多问题。周光权教授认为,刑法第253条“侵犯公民个人信息罪”规定在刑法第四章“侵犯公民人身权利”中,第253条之一规范违反国家规定,向他人出售或者提供公民个人信息情节严重的行为。因此,根据体系解释,可以将个人信息解释为权利。

金锦萍教授认为,需要明确各类个人信息权中,有些是可以沉淀下去的基本权利,属于法律保留的事项,这些与自然人的关系非常密切,不可能被放弃,也不可能被交易。

(三)个人信息与其他人格权益的区分适用

1、个人信息与隐私的界分

王利明教授认为,现在民法典人格权编草案将私密信息归于隐私,但没有明确私密信息和个人信息的关系和区别。从大的方面讲,私密信息都是个人信息,但私密信息与其他个人信息存在保护方式、保护程度和侵害后果的不同。在保护方式上,私密信息主要跟私生活有关,同时受个人信息和隐私权保护,其他的个人信息有可能不涉及个人私生活,一般只受个人信息保护;在保护程度上,私密信息要高于其他个人信息,因为隐私是一种权利,又与个人私生活有密切关联,但不是所有私密信息都是敏感信息;在侵害后果上,私密信息属于隐私的内容,只要公开即构成侵害,但其他个人信息则不尽然。

黄薇主任指出,《民法典人格权编》中“隐私权和个人信息保护”一章要与《民法总则》相衔接。隐私权和个人信息间在某种程度存在交叉,个人信息中有涉及私人生活的,私密信息中也有普通的信息。隐私权包含私密信息,私密信息又是个人信息中最重要的,所以,对私密信息的保护不能仅适用一般的个人信息保护规则,告知同意原则中的同意需要特别明确。

北京市第四中级人民法院民庭庭长马军认为,在现行的权利规则项下的个人信息可以借由隐私权被保护,信息主体也主要想保护不希望被别人所知晓的内容,或不想被别人利用的东西。

2、与已有权利的适用关系

王利明教授认为,个人信息是非常宽泛的概念,姓名信息、肖像信息、信用信息都涉及个人信息的内容,这引发了侵害个人信息造成姓名、肖像、名誉受损时,是不是既侵害信息权又侵害姓名权、肖像权或名誉权的问题。因此,民法典中需明确,能被其他人格权保护的个人信息,应优先适用相应的人格权的规定,因为这些个人信息在已被类型化的人格权中能够受到更全面周到的保护,要件也更充分,此时已无适用个人信息保护的必要,受害人也就无需自由选择。只有其他人格权无法保护的个人信息,才需要通过个人信息权加以保护。

尹飞教授认为,个人信息中的绝大多数内容都可以为其他具体权利涵盖,而个人信息作为独立的权利客体只有在大数据环境下才具价值,并构成对特定自然人人格持续性、整体性的评价,直接关系到主体尊严和自由,其他具体人格权无法涵盖。其整体性也导致了适用的复杂性,故在竞合时当然应优先适用其他人格权。

三、个人信息收集与处理的基本原则与行为规范

(一)个人信息收集与处理应遵循的基本原则

黄薇主任指出,收集处理个人信息时应坚持合法、正当、必要原则,这些原则看似简单,实则内涵深厚,属于国际上公认的通行原则,如有违反,需承担相应的法律责任。

刘莹莹女士认为,合理正当必要性原则缺乏合理判断标准,实践中判断什么是使用服务时必须收集的相关数据,或者什么是最小化收集较难。北京市网信办政策法规处干部伍萌女士认为,合法强调的是收集要有法律依据,而判断必要性时,产品功能类型就是重要的考量因素,如导航类的APP最多搜集信息主体此时此刻的位置信息,去收集通讯录和相册信息就应当认定为超过必要范围。

南都个人信息保护研究中心娜迪娅女士根据相应的调研指出,公众普遍认为APP在收集个人信息时的默认勾选的问题比较严重,收集信息和索要权限时APP也没有告知相应目的,不过,在有关部门的治理下,这种情况已有所好转。许丹检察官认为,数据获取方面存在默认同意的问题。刑法中未经被收集者许可收集即可定罪,但实践中有大量应被评价为被收集者默认同意的行为。

马军庭长认为,知情同意是个人信息保护的最基本原则,需要采用公开的规则,明确使用的方法、目的和范围,并且一定要经过同意。而且,这种知情同意应以更高标准进行要求,要严格限制通过格式条款约定概括授权,授权必须明确。刘莹莹女士认为,需要解决知情同意的认定问题。实践中存在过度依赖同意作为合法收集使用依据和怎么把使用收集的数据告知用户的问题。企业一般通过隐私政策或者相关特定功能进行告知,但这种透明度具有相对性,需要明确标准的认定,确定什么是显著,以及请求同意的场合。

王利明教授认为,《民法典人格权编》草案第816条关于“收集处理个人信息如果涉及公共利益,行为人不承担民事责任”的规定太过笼统和宽泛,在涉及公共利益时可能不需要告知,但是,也可能因为其他行为需要担责,如过度收集或采取不当保护错误导致信息泄露。故此,王利明教授建议将该条修改成“有下列情形涉及公共利益的,行为人有权收集处理”,以此作为告知的例外规则,同时,在立法条文的位置上也可以与814条“出现以下情况应当告知”的相互衔接。

(二)个人信息收集处理行为的规制

王利明教授指出,《民法典人格权编》中采用GDPR关于“处理”的表述值得肯定。按照对GDPR的解释,处理包括了共享,但人格权编草案中没有“处理”的定义,鉴于数据共享很普遍的事实,需要解释“处理”能不能包括共享,如果能包括,则不用单列共享,如果不能,就需要专门规定。

马军庭长认为,从正面看,个人信息受法律保护应是强调需要依法取得,从反面看,就是不得进行非法收集、使用等,包括不得非法买卖、提供、公开。腾讯集团法律诉讼中心林梦楚女士认为,个人数据产生、收集、使用到管理的整个链条都存在风险,企业有责任做好事前监管。通过系统和工具保护个人隐私和信息,在保护消费者权益的同时也能使企业对用户数据利用达到高利用率并符合法律要求。

(三)个人信息保护中的权利义务配置

黄薇主任认为,对信息主体而言,可以查询复制个人信息,发现违法收集处理时,可以要求删除。信息收集者、控制者有合理使用的权利,在合理使用的范畴内不用承担责任。石佳友教授认为,在信息的存储期限届满或者根据信息收集和持有的目的持有信息已无必要时,应赋予信息主体删除权。马军庭长建议,信息主体应当有删除和更正的权利,当其不希望他人知晓利用自己信息时可以随时不附条件地撤销,因为对人的保护应该优于对财产的保护。

黄薇主任指出,国家机关和工作人员对履职过程中知悉的个人信息有依法保存保密的义务,这也为我国很多现行立法所规定。例如,公安机关在为公民办理身份证时获取的个人信息,如被公安机关非法泄露,就需承担相应的法律责任,故此民法典人格权编中规定了公权力机关及其工作人员在履职过程中对收集的个人信息负有保护的义务。伍萌认为,网络经营者有加密的义务。个人信息在采集后怎么用,能不能用,对采集的数据是不是要加密,加到什么等级,需要严格遵照《网络安全法》的规定。

四、司法实践对侵害个人信息的认定

(一)民众诉求与司法保护现状

娜迪娅女士根据调研指出,大多数民众一般通过媒体报道、政府宣传和朋友分享获得个人信息常识,认为中介服务、网上购物、金融借贷是泄露个人信息罪严重的行业。对APP违法收集个人信息的行为,用户可能会对注销难、强制获取通讯录权限问题进行投诉,但也不乏有民众选择无奈接受,尤其对精准广告推送和用户画像的问题,公众的接受认可度还是比较高的。

杭州互联网法院研究室负责人曾宪未法官认为,个人信息保护的司法实践中存在两个难点:一是法律适用较难。现行立法整体比较原则,导致个案适用争议较大,裁判尺度难以统一。个人信息边界仍较模糊,实践中的个人信息采集囊括了行为、位置等不具有直接个人身份识别性的信息。网络平台权利义务不够明确,网络平台和用户对不同阶段的数据分别享有何种权利没有具体规定。援用条文也存在困境,例如,面对网络平台数据侵权案件,法院只能援引反不正当竞争法的一般条款判案。二是事实认定难。这类案件通常具有类型新、领域广、跨地域等特点,背后还涉及网络平台与网络平台、用户与用户的复杂关系,难以确认侵权事实。另外,这类案件一般是电子证据,电子证据在固定、存储、检验等环节存在虚拟性、脆弱性、隐匿性和易篡改性的不足,诉讼规则不是特别完善,证据认定存在难题。

刘笑岑女士认为,个人信息保护所保护的是个人信息本身还是相关主体的其他权利,是人身安全还是财产安全,多方链条中究竟谁有权授权,非法获取的损失证明等实践中的问题都需要思考。就非法获取数据行为的案例而言,单纯的爬虫行为构成犯罪的并不是特别多,刑法究竟是保护计算机系统的安全还是保护对信息系统的绝对控制权,抑或保护系统之内信息不容其他人占有或获取的法益,值得研究。

(二)明确个人信息的保护范围

马军庭长认为,从司法角度来讲,首先要明确保护范围如何界定。个人信息保护实际是一种信息识别上的保护,保护主体是人,基于人和人格权项下的各种权利延伸出整体的保护,延伸到跟人关联的或者是其他相关的能够反馈识别的各种信息。比如,实践中有手机通讯录、地理位置等信息是不是在个人信息保护范围内的问题。再如,社会关系以及相互关系、行为轨迹、特定范围内人与人之间的表达、生活习惯、消费行为和消费能力,包括理财、租赁、投资以及家庭成员等,都是个人信息可能会面对的范围。而完整的个人信息只是理想化状态,每个人的信息就是可以被识别的某个时间段、某个阶段的信息,这些与个人相关的信息的保护边界在哪里,需要思考。

许丹检察官认为,电子邮箱和轨迹信息能否归于个人信息保护范围是实践中较为棘手的问题。对于电子邮箱,对犯罪分子掌握公民邮箱和邮箱密码,能否认定其非法获取公民个人信息,需注意到有些邮箱并非跟个人一一绑定,有的可能是企业注册的邮箱或僵尸邮箱。实践中,一般用非法获取计算机数据罪处理,倾向于不能当然地就将邮箱认定为公民个人信息。

(三)侵害个人信息的侵权法救济路径

1、侵权行为类型

陈剑主任提出,个人信息侵权行为主要有信息的收集、使用与转移。首先是信息过度采集,江苏省消保委曾就百度手机APP过度索取消费者的个人权限提起过公益诉讼。实践中有的APP隐私政策没有达标,有的甚至没有隐私政策。在进行告知同意时提请同意的方式不显著,条款繁多复杂,导致消费者有时难以看懂,或者难以知晓风险。有的同意书有格式条款性质,消费者通过被概括授权的方式,把自己的信息完全置于企业的控制下,而没有任何其他的介入能力。这在敏感信息收集时问题更明显。敏感信息的泄露会直接导致未来相关财产安全、人身安全损害的问题。同时,当下有多种方式要求提供或者收集个人信息,综合抓取收集形成对个人的精准识别,使个人趋向明白无误地在网上存在;在信息使用方面,侵害个人信息的行为主要体现为相关信息的泄露,比如酒店、快递企业和订票平台都可能泄露所掌握信息,且在被概括授权之后无限期地长期占有,这可能需要通过设立相应期限来解决。公司可以充分利用挖掘个人信息,消费者却无法知悉个人信息的状况,无法修正、删除,对此维权困难;在数据移转方面,存在企业合并、收购、破产过程中如何保护用户信息的问题,而企业收购的原因也往往在于通过各种方式占有信息,最终形成一个综合的更大的信息占有以及对用户的精准画像。

2、归责原则

丁宇翔庭长认为,应当在民法典人格权编的“隐私权和个人信息保护”这一章明确侵害个人信息的归责原则,如果没有规定,就只能适用《侵权责任法》第6条或者《民法典侵权责任编》第644条第1款。在侵犯个人信息的案例中,不宜适用传统过错原则,因为原告甚至对此根本没有举证能力。民法典对此应表明态度,或者参考程啸老师在为最高人民法院起草的《个人信息纠纷司法解释学者建议稿》中给出的建议,至少可以采取列举和一般条款相结合的方式,列举最重要的侵害个人信息的类型。在很多情况下可以适用过错推定,同时区分个人信息保护泄露和个人信息错误,确定不同的归责原则。

刘莹莹认为,因为侵犯个人信息权利是民事侵权,故应遵循民事侵权认定的构成要件。从个人用户的举证能力和很多平台都在收集数据的现状来说,用户难以准确判断信息泄露是由哪一个平台造成,但企业举证没有泄露这一消极事实也很困难,故还应适用民事侵权的过错原则,但可以根据个案情况做具体平衡。或采用场景下的合理预期规则,推定用户授权同意平台使用哪些信息。或者根据签订或者履行用户合同和隐私政策所必须收集的信息,考虑平台收集以及使用信息的合理性,而不是简单局限于知情同意或者最小化收集信息。司法机关处理这些案件时要更多考虑到互联网技术发展的现状,避免对互联网服务提供者施以过多苛刻的责任。

刘笑岑女士认为,《网络安全法》或者其他行政法规强调安全保障义务,如未尽到则由此推定在信息泄露问题上企业存在相应过错,确定举证责任倒置原则等。但要求企业证明已尽到保护用户的义务的前提在于,每个动作都要进行记录,而按照监管机关的要求有些记录没有办法进行。故对企业而言,基于个人信息保护要求数据或者权限最小化的要求,与诉讼中的举证义务本身存在相悖的地方。

3、因果关系

刘笑岑认为,关于侵害个人信息的因果关系怎么建立,是不是只要没尽到安全保障义务即可认定为信息泄露源,存在进一步论证空间。至于多因一果的责任分配,目前民法典人格权编草案提到处理者,但并没有给出相关定义。GDPR明确提出了控制者和处理者的概念,也进行了相应的责任和义务分配。但是,它忽略了多重控制者的存在可能,以及互联网企业在数据安全上跟处理者谈判时可能处于弱势地位的现状,故需考虑不同身份主体的责任分配。

4、责任与赔偿

尹飞教授指出,需要明确个人信息受侵害时的非物质损害赔偿责任即精神损害赔偿责任。同时,对于国家机关及工作人员泄露个人信息时的损害赔偿责任的性质究竟是国家赔偿,还是侵权赔偿责任,也需要加以明确。

陈剑主任认为,可以考虑将网上的传播范围作为损害赔偿计量金额的尺度。在发现最终端的侵权者时,还应当相应的链条之上的行为人追究连带责任。

(四)合同法与个人信息保护

金锦萍教授认为,个人信息中有些是可以作为交易标的,但需要考虑交易信息不是与基本权利相关,以及有无支付对价。支付使用费情形下形成的平台性权利,完全可以交易。但问题在于,可能存在产业利用优质资源低价收购的问题。这当中不仅包括侵权,还涉及到契约关系。有时可能是整个行业规则都构成侵权,需要考虑行业本身惯例或者规则本身的违法性问题。

(五)个人信息保护展望

曾宪未法官建议在司法实践中需要把握两个重点。一是更加注重利益平衡,合理界定网络平台的责任。应坚持鼓励创新、包容审慎的司法理念,兼顾用户、平台和社会公众的利益,促进个人信息保护和信息资源利用的平衡。二是更加注重协同创新,完善个人信息保护制度。确立和完善互联网裁判规则,吸收学术界与实务界的智慧,不断创设完善个案规则,推动个人信息保护制度与经济社会发展相适应。在协同创新中,还注意与行政机关的协同。

陈剑主任认为,希望司法裁判理念能够更多从消费者保护的角度切入,因为人身、财产、信息、安全应处于首要保护地位,如果过于保护产业利益,可能会造成消费者所受到的歧视待遇和差别待遇。

石佳友教授就网络画像、精准营销的问题指出,这是信息自动化处理构成对个人信息的损害,但因为机器没有伦理,所以要强调赋予主体申请人工复审的权利,对网络画像比如算法歧视,要运用个人信息处理的透明度和非歧视原则,防止算法黑箱的操纵。

伍萌女士认为,个人信息保护中有个人责任、平台责任也有监管部门的责任,三方要形成利益均衡点和良性互动。在互联网管法方面,需要探讨管理尺度和方法的问题。另外,也需要建立与其他行政机关、司法机关的联动机制,由网信办进行源头治理,如对关键信息基础设施要进行检查等。



(全文转载自人工智能与网络法前沿公众号)

[ 学术立场 ]
2
67%
1
33%
发表评论
推荐阅读
王利明:人格利益许可利用规则蕴含五大价值
人格利益的许可使用极其重要,不仅不能删除,而且应当进一步丰富其内容。这是对现实生活的积极回应与尊重。
杨会:再论侵害承租人优先购买权的救济
承租人向出租人主张行使优先购买权后,其获得法律救济的程度,取决于买受人是否善意及房屋是否办理物权变更登记。
2019年全年12期《最高人民法院公报》裁判摘要汇览
2019年全年《最高人民法院公报》共出版12期,共刊登典型案例(含裁判文书)38篇,值得同类案件参考借鉴。
热门排行
学术公告
问答集锦
相关文章
本期评价
0个赞
0个踩
敬请关注中国法学会民法典编纂项目领导小组组织撰写的《中华人民共和国民法典•民法总则专家建议稿(征求意见稿)》

编辑:王红丽

向编辑提问:

分享

扫二维码
用手机看民商
用微信扫描
还可以分享至
好友和朋友圈

中国民法学研究会
教育部人文社会科学重点研究基地
中国人民大学民商事法律科学研究中心

本网站由王利明教授创办并提供全部运作资金 Copyright◎2000-2015 All Rights Reserved 京ICP备05066828号-27 
E-mail: ccclarticles@126.com