应尽快制定个保法司法解释

作者 | 程啸 清华大学法学院副院长、教授、博士生导师 编辑 | 郭丽琴  

2023年03月22日 18:36  

本文5576字,约8分钟

通过制定司法解释,可以协调不同法律中的个人信息保护规定;建议围绕个人信息处理规则、个人信息权益的行使与救济、个人信息侵权责任等三大问题作出明确具体的规定

自2021年11月1日《个人信息保护法》(下称《个保法》)正式施行,目前已过去一年半的时间,但法院受理的个人信息保护纠纷案件的总体数量依然较少。

最高人民法院副院长贺小荣曾介绍,2021年各地法院共受理个人信息保护纠纷案件307件,2022年为404件。与之相比,仅2021年,全国法院受理的一审人格权纠纷案件总量就达192675件。

一方面,这充分证明此前一些观点实属危言耸听。例如,认为法院会因过多诉讼不堪其扰,所以反对《个保法》所规定的,个人可以通过民事诉讼来维护个人信息权益。另一方面,由于《个保法》起草时备受关注的一些规定并未出现预期的民事纠纷,如“敏感个人信息处理”“自动化决策”“大型平台守门人义务”等,也导致一些人否定法院在个人信息保护中的作用。

更有观点认为,个人信息司法保护的重心应从“个体救济”转向“公共治理”。个人向法院提起的个人信息侵权之诉,如果没有损害的,则类似执法举报,法院应当承担专业化监管职能。

毋庸置疑,个人信息保护需要多部门的共同努力,并由公法与私法协力实现,但我们仍应强调个人信息司法保护的重要作用。

通过《个保法》司法解释对一些焦点、疑点与难点问题的科学系统规定,既可以为法院处理个人信息保护纠纷案件提供清晰准确的裁判规范,也能为律师、法务人员等实务人士提供指引,更能促进行政执法部门制定相应的规章和文件。

未来,建议《个保法》的司法解释围绕个人信息处理规则、个人信息权益的行使与救济、个人信息侵权责任等三大问题作出清晰具体的规定。

司法解释的重要作用

法院是审判机关,不能代替网信、工信、公安等履行个人信息保护职责的部门进行个人信息保护执法监管,查处违法行为。法院应当做的是,正确理解与适用《民法典》《个保法》等法律,居中裁判,公平公正的处理一个个具体的个人信息保护纠纷案件,从而实现保护个人信息权益、规范个人信息处理与促进个人信息的合理利用的法律目标。

最高人民法院及地方法院发布的个人信息公益诉讼指导性案例,以及个人信息保护典型案件,如“人脸识别第一案”“强制扫码点餐案”等,在宣传个人信息保护观念,明晰个人信息保护规范的适用方面起到了重要的作用。

除了发布更多指导案例和典型案例,建议未来最高人民法院针对个人信息保护实践中的焦点、热点以及疑难问题,通过制定《个保法》司法解释,协调不同法律中的个人信息保护法律规范,将抽象的、原则性的法律规定加以具体化、明确化。

虽然中国个人信息保护法律体系已经建立,但实践中仍然有很多法律理解适用上的模糊、分歧之处。例如,如何区分“同意”“单独同意”,以及“书面同意”?什么情形下构成“共同处理个人信息”?如何认定《个保法》中的“不合理的差别待遇”“对个人权益有重大影响”?怎样判断“个人明确解决处理其公开的个人信息”等。

相关部门除了制定部门规章或文件,往往不会针对以上问题作出专门解释或正式答复。这些客观存在的问题,迟迟得不到解决,对于个人信息保护的合规、律师执业、法官审判以及行政执法都造成了很大的困扰,不利于个人信息保护与合理使用。

因此,非常有必要通过制订《个保法》司法解释来解决这些问题。

建议一:个人信息处理规则需清晰具体

个人信息处理规则是《个保法》的核心内容之一。

《个保法》第二章“个人信息处理规则”采用了25个条文,对个人信息处理的合法性根据、告知同意规则、多人处理个人信息的四种情形,以及公开个人信息与敏感个人信息的处理、国家机关处理个人信息等内容作出了系统的规定。个人信息处理规则对于行政执法和司法审判中判断个人信息处理活动是否为非法行为,以及是否侵害个人信息权益至关重要。

从实践来看,个人信息处理规则中有以下问题需要明确:

1. “个人信息处理合法”的证明责任,即一旦发生个人信息保护纠纷,应当明确个人只要初步证明个人信息被处理的事实即可,处理者必须证明自己未实施处理活动,或者个人信息处理活动是合法的。

2. “告知义务履行”的证明责任。当个人主张处理者在处理个人信息前没有依法履行告知义务的,应当由处理者对履行了告知义务承担举证证明责任。

3. “单独同意”的认定,这也是实践中争议最大的问题。建议法院在认定处理者是否取得个人的单独同意时,应当综合考虑需要取得单独同意的处理活动与其他处理活动的场景区分度、履行告知义务的方式、个人信息的处理方式等因素。对于制作专门的个人信息处理同意书,采取了单独弹窗、单独勾选、点击跳转链接等方式取得个人同意的,可以认定为属于单独同意。

4. 明确处理者虽有合法根据处理个人信息,但超出合理范围的,仍要承担民事责任。

5. 对于“共同处理个人信息”的证明。在个人初步证明处理者属于共同处理个人信息之后,建议由处理者来举证推翻,不能举证推翻的,即认定为共同处理个人信息。

6. 针对实践中广泛存在的“委托处理个人信息”的情形,建议依据处理事项合法与否以及委托人、受托人的过错等情形,分别明确各自的义务与责任。

7. 明确利用自动化决策对个人在交易条件上形成的哪些差别待遇属于不合理的差别待遇。我们认为,具有以下情形的,属于不合理的差别待遇:

· 对同一产品或者服务,基于个人的支付能力、消费偏好、使用习惯等个人特征,针对个人采取不同的交易价格、交易方式或者其他交易条件;

· 对在交易安全、交易成本、信用状况、交易环节、交易持续时间等方面不存在实质性差别的个人,采取不同的交易价格、交易方式或其他交易条件;

· 基于有损人格尊严、人身自由的方式,或者违背诚信、公平原则而实施的交易条件上的差别待遇。

满足下列情形之一的,建议认定为具有合理的差别待遇:

(a)根据交易相对人的实际需求,且符合正当的交易习惯和行业惯例,实行不同的交易条件;

(b)针对新用户在合理期限内开展的优惠活动;

(c)基于公平、合理、非歧视规则实施的随机性交易;

(d)法律、法规规定的其他情形。

8. 《个保法》第24条、27条、55条中“对个人权益有重大影响”的判断。建议参考《民法典》第496条-497条对格式条款中限制排除权利的规定的基础上,结合个人的法律上的权利、义务、责任的角度作出相应的判断标准。具有以下情形之一的,应当认定为对个人权益有重大影响:

· 排除或者限制个人的主要权利;

· 加重个人的义务或者法律责任;

· 导致个人的经济、社会地位发生了不合理的变化;

· 对于个人权益产生法律效力或造成重大影响的其他情形。

9. 明确公开个人信息处理规则中“合理范围”的认定与“个人明确拒绝”的界定这两问题。本文有两条建议:

首先,具有以下情形之一的,可以认定“在合理的范围内”:

· 个人信息被公开时有明确的用途,处理者的处理目的和方式符合该用途;

· 个人信息被公开时未明确用途,处理者遵循合法、正当、必要、诚信、目的限制等原则,合理、谨慎地处理该信息。

其次,如果个人在自行公开其个人信息时,明确作出禁止他人处理的书面表示,或者个人以书面形式向处理者提出不得处理已公开的个人信息的,则法院可以认定为构成《个保法》第27条的“个人明确拒绝”。

建议二:解决个人信息权益行使与救济争议

个人信息权益是个人针对其个人信息享有的人格权益,《个保法》对于个人信息权益的内容专章作出了详细规定,明确了个人针对其个人信息处理享有知情权、决定权、查阅权、复制权、可携带权、更正权、补充权、删除权、解释说明权等。并且,《个保法》还专门规定,如果处理者拒绝个人行使权利的请求的,个人可以依法向法院提起诉讼。

从实践来看,围绕着个人信息权益的行使与救济问题产生了不少争议,如个人是否必须先向处理者主张权利,甚至先向履行个人信息保护职责的部门投诉无果后,才能起诉等。建议司法解释规定以下内容:

1.明确个人向处理者行使查阅、复制其个人信息的范围应当包含以下内容:

· 个人信息处理者是否处理其个人信息;

· 个人信息的处理目的、方式;

· 处理的个人信息种类、内容、保存期限;

· 个人信息的其他共同处理者、受托人;

· 个人信息的提供方、接收方;

· 处理的合法公开的个人信息及其来源;

· 其他可以查阅、复制的个人信息。

2. 对更正补充权的行使,以及错误更正补充的赔偿责任加以明确,即个人发现其个人信息不准确或者不完整的,请求处理者更正、补充;处理者怠于或者拒绝更正、补充,个人可以起诉;如因处理者怠于、拒绝,或者错误更正、补充不准确或不完整的个人信息,侵害民事权益造成损害的,受害人可以请求处理者承担民事责任。

3. 明确删除权的司法救济以及民事责任,即存在法律、行政法规规定的应当删除个人信息的情形,处理者未删除,个人有权向法院起诉,要求处理者删除,除非法律、行政法规另有规定;如果处理者违反法律、行政法规,或者违反约定处理个人信息的,个人可以请求处理者删除,也可以向法院起诉。

4. 明确个人针对处理者行使查阅、复制、补充、更正、补充等权利的,原则上在处理者拒绝的情形下,才可以向法院起诉。

5.界定死者的近亲属针对死者的个人信息行使查阅、复制、更正、删除等权利的要件,即将以下情形认定为,死者的近亲属是为了“自身的合法、正当利益”:

· 维护死者的名誉、隐私的需要;

· 维护近亲属对死者的崇敬、追思之情的需要;

· 其他维护近亲属自身的人身、财产权益的需要。

建议三:明确侵权的归责原则、构成要件与赔偿责任

个人信息侵权责任涉及到《民法典》与《个保法》的关系,以及个人信息权益与隐私权、肖像权等其他人格权益的适用,还包括对于个人信息侵权责任的构成要件的理解与适用问题。因此,建议司法解释至少应当明确以下问题:

1. 侵害隐私权与个人信息权益的归责原则的适用关系。

一方面,处理者处理私密信息侵害个人信息权益造成损害的,个人有权请求处理者承担损害赔偿等侵权责任的,此时适用的是《个保法》第69条第1款的过错推定责任,必须由处理者举证证明自己没有过错,才能不承担责任。

另一方面,自然人因个人或者家庭事务处理个人信息时侵害了个人信息权益、隐私权等民事权益造成损害,不适用《个保法》的过错推定责任,而应适用《民法典》过错责任,即具有过错的处理者才需要承担损害赔偿责任。因为在《个保法》中,只有处理者才可能承担损害赔偿责任。

2.考虑到个人信息权益与肖像权、名誉权的重叠关系,应当尊重个人的选择。即处理者处理人脸信息、信用信息等侵害个人信息权益造成损害的,个人当然可以依据《个保法》第69条,要求处理者承担损害赔偿等侵权责任;倘若个人信息处理活动同时也侵害了肖像权、名誉权造成损害的,个人可以依据《民法典》,要求具有过错的处理者承担损害赔偿等侵权责任。

3. 明确个人信息权益适用《民法典》第997条规定的人格权禁令。

4. 实践中个人信息被多个处理者所处理,一旦出现侵害个人信息权益的行为,往往很难判断究竟是谁造成的问题。建议明确规定,两个以上的处理者处理相同个人信息危及个人信息权益,个人不能确定具体侵权人,可以请求行为人承担连带责任,除非处理者能够证明自己的处理行为与个人信息权益被侵害没有因果关系。

5. 就处理者泄露个人信息导致被第三人非法利用,进而侵害个人合法权益的情形,建议明确处理者对此种下游损害的赔偿责任。该问题学界争论很大。建议区分敏感与非敏感的个人信息,分别作出规定。

具体而言,如果处理者没有依法采取相应的措施保护敏感的个人信息安全,发生个人信息泄露、丢失,第三人利用该信息侵害个人的民事权益并造成损害,个人有权要求个人信息处理者与第三人承担连带责任;如果处理者没有采取相应的措施保护非敏感的个人信息安全,发生个人信息泄露、丢失,第三人利用该信息侵害个人民事权益造成损害,由实施侵权行为的第三人承担赔偿责任,处理者根据其过错和原因来承担相应的赔偿责任。   

6. 明确处理者如何推翻对其过错的推定,即如果处理者能够举证证明其处理活动符合法律、行政法规规定的个人信息处理规则、履行了处理者义务,并满足了个人行使权利的请求的,法院应当认定处理者没有过错。

7.关于侵害个人信息权益的财产损害,建议规定处理者侵害个人信息权益,造成财产损失的,被侵权人有权依据《个保法》第69条第2款,要求处理者承担赔偿责任。同时,个人为制止侵权行为所支付的合理开支,如调查取证的费用、聘请律师的费用等,也属于财产损失。

8,对于侵害个人信息权益的精神损害,建议明确,如果处理者侵害个人信息权益,造成个人严重精神损害的,被侵权人有权要求处理者承担赔偿责任。如果只是个人信息发生泄露、篡改、丢失,个人没有证明其遭受实际损失,只以其将来遭受损失的风险为由请求处理者赔偿损失的,则不应予以赔偿。

9.明确侵害个人信息权益的法定赔偿,即个人因个人信息权益被侵害而受到的损失,以及处理者因此获得的利益难以确定的,法院可以根据实际情况在100万元以下的范围内确定赔偿数额。