主 管:上海市司法局
主 辦:上海市律師協會
編 輯:《上海律師》編輯部
編輯委員會主任:邵萬權
副 主 任: 朱林海 張鵬峰
廖明濤 黃寧寧
陸 胤 韓 璐
金冰一 聶衛東
徐宗新 曹志龍
屠 磊 唐 潔
潘 瑜
編 委 會:李華平 胡 婧
張逸瑞 趙亮波
王夏青 趙 秦
祝筱青 儲小青
方正宇 王凌俊
閆 艷 應朝陽
陳志華 周 憶
徐巧月 翁冠星
黃培明 李維世
吳月琴 黃 東
曾 濤
主 編: 韓 璐
副 主 編:譚 芳 曹 頻
責任編輯:王鳳梅
攝影記者:曹申星
美術編輯:高春光
編 務:許 倩
編輯部地址:
上海市肇嘉浜路 789 號均瑤國際廣場 33 樓
電 話:021-64030000
傳 真:021-64185837
投稿郵箱:
E-mail:tougao@lawyers.org.cn
網上投稿系統:
http://www.aineast.com/wangzhantougao
上海市律師協會網址(東方律師網)
www.aineast.com
上海市連續性內部資料準印證(K 第 272 號)
本刊所用圖片如未署名的,請作者與本刊編輯部聯系
一、為何要保護網絡個人的信息及隱私?
個人信息泄露與濫用,以及侵犯個人隱私并不是互聯網所特有的現象。但進入互聯網時代以來,個人信息復制、散播極其便捷,濫用個人信息給公眾造成騷擾甚至傷害的現象普遍存在,侵犯個人隱私的事件也層出不窮,因而對個人信息進行保護以預防和制止濫用以及保護網絡隱私已逐漸成為多數人的共識。個人信息被極端濫用的典型事件以2005年在韓國發生的女子因未清理寵物糞便導致的所謂“狗屎女”事件為典型,該事件是如今被稱為“人肉搜索”的第一次公共事件。因其個人信息被公布,給當事人造成了巨大的負面影響,退學、搬家直至罹患精神疾病都難以擺脫困擾,是導致韓國一度實行網絡實名制的標志性事件。侵犯網絡隱私也很普遍,具體表現則與個人信息有交叉也有不同。同時,大數據應用也是機遇的,必須對大數據應用的商業利益與公眾的隱私保護需求做出適度的平衡。
二、個人信息與隱私的含義、區別與聯系
個人信息是指與自然人個人或家庭密切相關數據或者資料,有些能夠定位或者識別個人身份,有些雖然不能定位或者確定身份,但與個人特征、信仰、健康狀況、行為習慣、聯絡方式等有關。隱私在我國是歷史上早已有之的概念,但1949年至今,新中國法律意義上的隱私最早是于1956年《全國人大常委會關于不公開審理案件的決定》里首次在立法中使用了“陰私”的提法:“人民法院審理有關國家機密的案件,有關當事人陰私的案件和未滿十八周歲少年人犯罪的案件,可以不公開進行。”此后,在1979年的《刑事訴訟法》和《人民法院組織法》,最高法院在批復中也使用的是“陰私”這個提法,并界定了陰私案件的范圍。從1982年《民事訴訟法(試行)》開始,到之后1991年實行的《未成年人保護法》39條也規定了“任何組織和個人不得侵犯未成年人隱私”,從此我國法律和司法解釋開始使用“隱私”而不再用“陰私”的提法。隱私的含義主要是指當事人不愿意他人知曉或者他人不便知曉的個人信息、事宜或不愿意或者不便他人介入的領域。《現代漢語詞典》第五版對“陰私”的解釋是不可告人之事,多指不好的事情。1998年重印的《現代漢語詞典》修訂本對“陰私”的解釋則為“不可告人的壞事”;對“隱私”的解釋為:“不愿意告人或者不愿公開的個人的事”。可見,即使從普通人的理解來看,隱私范疇大于陰私,隱私概念更為中性,沒有貶義,除了陰私還有個人信息的內容可以構成隱私。
個人信息與隱私有區別也有聯系:個人信息的內涵和外延都較大,與隱私有一部分交集,也有不完全相同之處。通常個人的信息包括:姓名、性別、年齡、婚姻家庭情況、聯絡方式(特別是手機等通訊設備號碼,或者其他用戶身份識別標識,包括碼號、電子郵箱、即時通訊賬戶ID和家庭住址,可用以判斷用戶地理位置的移動或者其他設備的地理位置信息等)、健康狀況、病史、基因信息、生物識別信息(指紋、腳印、血型等)、行為信息包括個人活動的信息,如因使用移動計算機終端設備而產生的瀏覽、搜索、交易和支付等信息。個人信息的概念比較中性,原來不是法律術語,2003年實行的《居民身份證法》開始對警察泄露個人信息的行為予以法律約束;2009年在《刑法修正案(七)》中規定將非法提供、獲取個人信息定為犯罪。此后,該概念成為法律用語。換言之,刑法先于民法對個人信息進行了保護。但目前還沒有法律對個人信息的含義與范圍作出規定或者限定,根據目前技術發展迅速的特點,個人信息的概念可能還會隨著技術和商業的發展有所變化。
目前,正在從個人計算機為主的互聯網時代走向移動互聯網時代,因此隱私主要表現為:與性有關的行為或者其他信息,不宜公開的照片及音視頻資料、財產,個人金融信息、生理情況、個人衛生和排泄等行為,以及不便公開的健康和疾病信息等,在互聯網時代比較突出的網絡隱私主要還有:個人計算機終端設備產生、訪問的敏感信息,用戶通訊內容和用戶的各類賬戶密碼信息等。
目前開始嶄露頭角的可穿戴設備,以及具備檢測人體各項指標的手環、手表等各種設備,其對人體各種數據的采集即使是個人信息也屬于隱私。因而,如何確定個人信息的使用將平衡個人隱私保護與新技術給人類帶來的福音。
三、中外個人信息與隱私的案例比較與分析
我國已經發生的個人信息泄露與濫用的案件很多都與隱私受到侵犯密切相關,比較典型的案例有“海運女”案件、“微博開房門”事件、“郭美美”事件和王菲訴張樂奕“北飛的候鳥”侵犯隱私案等。美國發生過的有較大影響的個人信息案例包括2012年FTC調查谷歌隱私案,因safari瀏覽器隱私問題而對谷歌處以2250萬美元的罰款。
在“海運女”的案件中,法院判決搜索引擎因未履行《互聯網信息服務管理辦法》規定的監管責任,即“百度公司在知道或應當知道網絡用戶利用其服務傳播侵權內容的情況下,未采取合理的必要措施,應當承擔責任。”本案判賠金額僅僅為2.2萬元人民幣。在另外一個影響甚廣的王菲訴張樂奕“北飛的候鳥”的案件中,法院公開召開了研討會,之后判決侵權成立,賠償原告人民幣5000元。如果說后案因為存在道德上的爭議,法院判決賠償較低可以理解的話,那么前者的賠償金額較低就是我國目前常見的“贏了官司輸了錢”現象的反映了。相比較而言,早在2001年Double Click公司就設立了首席隱私官職位,2007年該公司并入谷歌,2012年谷歌還是發生了因safari瀏覽器的隱私問題而被罰款了2250萬美元。可見網絡個人信息和隱私保護必須從長計議,不是簡單采取某個措施就可以解決了的。
四、個人信息保護的法律途徑
《刑法修正案(七)》規定了非法獲取個人信息罪,這是刑法對于新興網絡現象又一次走在了民事立法之前,刑法率先對個人信息的販賣等行為采取了嚴厲的刑事制裁措施。
2011年修訂的《居民身份證法》第6條規定:“公安機關及其人民警察對因制作、發放、查驗、扣押居民身份證而知悉的公民的個人信息,應當予以保密。”第13條規定:“有關單位及其工作人員對履行職責或者提供服務過程中獲得的居民身份證記載的公民個人信息,應當予以保密。”第19條規定:“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員泄露在履行職責或者提供服務過程中獲得的居民身份證記載的公民個人信息,構成犯罪的,依法追究刑事責任;尚不構成犯罪的,由公安機關處十日以上十五日以下拘留,并處五千元罰款,有違法所得的,沒收違法所得。”
2012年底通過的《全國人大常委會關于加強網絡信息保護的決定》,明確提出了保護能夠識別個人身份和涉及隱私的電子信息。2014年3月15日實施的《消費者權益保護法(修正案)》規定了個人信息依法得到保護,確立了工商行政機關可以對侵犯個人信息進行行政處罰的職能,確認了公民可以向法院起訴。但這兩部法律都沒有解決如何賠償的問題。因而,在法律實施到現在,還沒有發生過有影響力的個人信息被濫用方面的民事案件。日常生活經驗表明,個人信息廣泛被販賣和濫用的情況并沒有取得明顯的好轉,仍需要思考如何從制度上確立預防和制止個人信息泄露與濫用的有效機制。
國外關于個人信息的保護,主要立法經驗有:美國頒布了《隱私權法》、《電子通訊隱私法》等多部法律,主要是隱私保護。在美國隱私觀念深入人心,用戶有較強的隱私保護意識。歐盟以《個人數據保護指令》確立了個人數據保護模式,德國于1976年頒布了《聯邦資料保護法》,法國于1978年通過了《法國自由、檔案、信息法》,1984年英國制訂了《數據保護法》等。根據筆者與來華的這些國家的朋友交流的情況看,這些國家個人信息濫用遠不如中國嚴重,筆者分析認為主要原因還在于這些國家有較強的隱私意識文化傳統及其成熟的法治,一旦侵犯個人隱私會承擔較為嚴重的法律后果。
筆者認為,根據目前已經能看到的個人信息在移動互聯網時代的廣泛采集和應用,原有隱私權已不能滿足對個人信息應用和保護的需要,因此有必要在民法上創設個人信息權的概念,其是一種具有人身權(人格權)兼具財產權性質的權利,類似于知識產權的一種復合型民事權利。具體權能為:知情權(對采集、應用、存儲、管理和銷毀個人信息有知情了解的權利)、處分權(允許采集、應用、存儲、銷毀個人信息)、受益權(對個人信息的商業性使用獲得收益的權利)和不作為請求權(對不符合個人意愿的個人信息采集使用行為有拒絕、請求停止、消除的權利,此權可以包含美歐目前已經被廣泛討論的“被遺忘權”)。隱私權中的生活安寧權雖能涵蓋一部分前述的權能內容,但個人信息可以許可被他人使用,并從中獲取經濟收益,這些行為與傳統意義上的隱私權、人格權的特征有著較大的出入,因而單獨確立個人信息權可以成立。
五、個人信息民事立法的基本制度構建
雖然我國已經在個人信息保護上進行了若干立法,但仍然存在明顯的缺陷,即沒有懲罰性的民事制裁措施,無法從制度上預防個人信息被濫采濫用,也無法斬斷由于個人信息的被濫采濫用而產生的灰色利益鏈條。由于行政處罰需要證據,而刑事處罰需要一定的門檻,因而法律規定的行政懲罰措施和刑事打擊在日常生活中罕見使用,因此在經濟利益的驅動下,幾乎每個人在生活中都仍然難免經常性地遭遇個人信息被泄露與濫用的危害。借鑒博弈論的經濟學理論,筆者建議在個人信息的保護立法中應建立以下基本的民事制度,以引導企業遵守保護個人信息的法律規范。
首先,個人信息使用者和收益者對個人信息的來源應承擔合法性審查的合理謹慎義務。即要求使用個人信息進行商業宣傳或者其他推廣的機構和個人應當對信息來源的合法性進行合理謹慎的注意,為避免企業通過子公司或者第三方規避此義務,因而有必要加上受益人也負有此責任,包括廣告主和實際受益人,不限于廣告經營者或者直接發布者。只有建立了此制度,才能杜絕正規企業采購營銷服務時不審查個人信息的合法性,從而在客觀上助長個人信息被泄露與濫用的現象。同時,如果能夠較好地執行本制度,等于打擊和消滅了非法采集和濫用個人信息的銷售、變現渠道,使其失去違法的經濟驅動力。
其次,建立遞進式的懲罰性賠償制度。我國立法已經確立了企業對個人信息和隱私的保護義務,可以在此基礎上擴展為企業承擔對個人信息的安全保障義務。對于違反企業信息安全保障義務的,可以對其進行遞進式的懲罰性賠償。我國《侵權責任法》已經有懲罰性賠償制度的規定,但由于法院在確定賠償時過于審慎,迄今為止沒有看到有影響力的適用《侵權責任法》關于懲罰性賠償的民事判決案件。《消費者權益保護法》自立法之初即確立了對欺詐的懲罰性賠償制度,二十年來,通過典型案例的媒體報道,在社會上產生了廣泛的影響,這是我國民事法律中發揮了較好引導作用的法律規范。而且,我國的懲罰性賠償僅限于欺詐或者主觀惡意,《消費者權益保護法》修改后,欺詐的懲罰性賠償額限于實際損失的三倍以下,也規避了美國司法制度中賠償過于龐大的負面作用。因而,在個人信息侵權行為的民事賠償方面,有必要繼承前述法律已經有的成果。鑒于個人信息侵權的行為往往難以證明其損害后果,如果法律不具體規定法定賠償的標準或者計算方法,那么由于我國法院堅持填平式的賠償原則,在實際訴訟中的賠償費用將延續目前較低的局面而不會具有威懾力,將仍然無法改變在利益驅使下泄露濫用個人信息的局面。因而,比較現實可行的是建立遞進式的懲罰性賠償制度,即對于三次以上侵犯個人信息權的以及經行政處罰或者訴訟判決侵權成立的,但仍然拒不改正的,法律應設定較大的法定賠償責任,或者是按照普通民事侵權三倍以下予以賠償。對于經由消費者保護組織起訴的,可以設定較大的額賠償,由消費者組織在受害者中予以分配。只有在違法行為人了解了一旦實施了違法行為后其法律責任將超過其獲得的收益時,才可能從根本上扭轉個人信息被過度收集、隨意泄露和普遍濫用的混亂局面。
第三,建立個人信息規范、合理使用的制度。在大數據應用前景極為廣闊的今天,應該為企業大數據的應用留下空間,引導企業規范使用,而不能因噎廢食,導致因限制過嚴使企業無法開展大數據的應用,公眾也無法享受網絡技術發展帶來的便捷與進步。因而,建議在確立滿足下面三個條件的前提下,允許企業采集、應用、存儲、管理并銷毀個人信息:1、經公示或者告知信息收集的目的和收集、應用、存儲、銷毀的規則,并且采取合理措施履行保護個人信息避免泄露和濫用;2、不披露具體個人的信息,也不能根據數據應用的結果反向聯系或者確定到具體的個人;3、不違反隱私保護的強制性規定。個人信息的合理使用,是指為履行與用戶所訂立合同的目的,或者為保護用戶之合法權益,按照最低必要限度的原則收集個人信息,并誠實信用使用個人信用,包括身份驗證、通知聯絡、履行合同訂立的先合同義務以及履行合同后的附隨義務等。合理使用應當是具有非商業目的的,并且不得違反法律的強制性規定。
第四、建立個人信息舉證責任倒置的制度。網絡時代的信息由企業收集,存儲于企業的服務器,用戶往往難以舉證,因而在個人信息收集、存儲、管理、應用和銷毀等相關事實發生爭議時,應由服務器所有人的企業進行舉證,否則維權人將因為舉證不能而無法獲得保護。有必要說明的是,鑒于可能泄露信息的環節很多,為避免企業承擔過重的舉證責任以及被濫用,因而舉證責任倒置應該是指企業提供存儲的個人信息,以及舉證證明自己按照法律和相關行業標準履行了對個人信息保護的軟件、硬件和管理等相關標準及要求,即履行了信息安全保障的法定合理謹慎義務。
六、立法要考慮國情和實際情況,應當參考國際立法經驗,但不能照抄照搬
根據我國目前個人信息普遍存在隨意收集、過度使用和普遍濫用的現狀,我國的個人信息立法應當遵循“規范收集,約束使用,預防、制裁濫用”的原則。刑事打擊雖然對個人信息被非法采集和濫用等違法行為有一定的遏制作用,但只要不鏟除因個人信息獲得利益的土壤和個人信息被買賣濫用的黑色產業鏈條,就會永遠有人由于受利益驅動而甘愿受行政處罰甚至冒刑罰制裁的風險。客觀來說,非法獲取或者非法提供個人信息罪的法定刑期在三年以下,這在我國刑法體系中并不算重,按照我國司法機關較為重視有形財產損失的觀念,這種對受害人造成騷擾而沒有明顯物質損害的犯罪,也難以提升處罰的力度,因而刑事和行政處罰制裁的實效是有限的。就像刑法可以制裁犯罪,但社會治理卻不能僅僅依照刑法,還是應該注重研究人性的客觀規律,引導市場主體謹慎收集信息、規范使用,如果正規企業都約束了自己的采購信息服務的行為,這樣個人信息被采集和濫用失控的局面才會因為失去利益來源而逐步好轉。●
[版權聲明] 滬ICP備17030485號-1
滬公網安備 31010402007129號
技術服務:上海同道信息技術有限公司
技術電話:400-052-9602(9:00-11:30,13:30-17:30)
技術支持郵箱 :12345@homolo.com
上海市律師協會版權所有 ?2017-2024