《中華人民共和國民法典》實施在即,《中華人民共和國個人信息保護法(草案)》正在征求意見,互聯網時代的個人信息保護持續成為焦點問題。11月7日,北京互聯網法院與北京師范大學聯合成立的“互聯網司法治理研究中心”舉辦了“數字經濟背景下個人信息保護的司法實踐與前沿問題”研討會。
來自全國人大法工委、中央網信辦、工信部、公安部及高校、法院系統的20余位領導、專家以及互聯網產業代表深入研討,以期完善個人信息領域司法保護,實現以裁判樹規則、以規則促治理、以治理助發展。
今年以來,北京互聯網法院審理了一批涉互聯網的個人信息保護案件,引起廣泛關注。大量前沿問題的探討和規則探索,為《民法典》實施后的理解適用和《個人信息保護法(草案)》的意見征求提供了實踐素材,也為明晰網絡空間個人信息保護規范、明確涉網裁判規則提供了具體探討焦點,成為此次研討會關注的熱點。
北京互聯網法院黨組書記、院長張雯
研討會上,北京互聯網法院黨組書記、院長張雯首先作了開場致辭。她表示,黨的十九屆五中全會提出堅持創新在我國現代化建設全局中的核心地位,數據是數字經濟時代最活躍的生產要素,創新也是數字經濟的核心。經濟數字化不僅向上拓展新業態,也向下改造傳統產業,并加快重構經濟運行模式。因此,只有準確界定數據權屬,規范數據保護、流轉、交易等各環節,才能真正讓數據賦能社會經濟,才能在百年未有之大變局中,真正贏得未來。希望大家能夠就本次研討會涉及的司法前沿問題暢所欲言,在實踐難點和理論爭議焦點問題上形成更加統一的觀點,共同為數字經濟時代的公民個人信息保護貢獻力量。
北京互聯網法院審管辦(研究室)主任孫銘溪
隨后,北京互聯網法院審管辦(研究室)主任孫銘溪介紹了近期互聯網法院審理的個人信息相關案件,并闡述了審判法官在案件審理過程中的司法考量和規則探索。“校友錄”頭像被爬案、網劇中披露他人手機號案、每日優鮮向用戶發送商業短信案等一批熱點案件,吸引了與會專家的目光。
整個研討會持續了五個多小時
討論氛圍非常熱烈
大咖們都關注了哪些前沿問題?
現場有哪些精彩觀點?
議題一:
民法典實施、個人信息保護法頒布的背景下個人信息、隱私的合理區分
中國社科院大學互聯網法治研究中心
執行主任劉曉春
本議題由中國社科院大學互聯網法治研究中心執行主任劉曉春主持。個人信息的可識別性探討、匿名化定義,隱私信息與敏感信息的關系,用戶偏好、地理位置、金融信息等具體信息類型在司法實踐中的定性標準,互聯網中“私密空間”的理解與私密活動、私密信息關系處理等問題,成為本場議題的關注焦點。
美團數據合規法務總監劉笑岑
美團數據合規法務總監劉笑岑分享了關于“個人信息”的理解與思考。她認為,定義個人信息應從主體和對象的角度出發,即在具體的場景中理解個人信息。“主體”是信息對誰而言,是可識別的,“對象”是指識別的是特定個人還是其他。個人信息是相對概念,呈現光譜式分布,比如,我的某個信息對熟悉我的人來說是可識別的,但對于不熟悉我的人則不能識別。因此,在企業合規中如何判斷個人信息的可識別性,將影響到企業用于保護個人信息的技術手段能不能被歸為匿名化的信息,也直接影響到后續的數據流通中適用什么樣的保護規則,因此建議立法在界定個人信息時可以考慮將其限定在合理識別特定自然人的范疇之內,給司法留有場景化判斷和裁量的空間。
阿里巴巴集團數據合規專家徐彩曦
阿里巴巴集團數據合規專家徐彩曦以位置信息為例探討了可識別的場景和構成信息的要素。識別一個地理位置是時間和空間范圍的疊加,且識別的范圍需要充分考慮,如此才構成可識別性。關于個人信息匿名化的定義和標準,她認為個人信息的匿名化是相對的,不是絕對的狀態,無法做到對所有信息進行隔離,達到不能識別的程度。信息控制者如果盡到合理的技術控制和管理義務,實現個人信息無法識別到個人且不能復原的狀態,就是一個匿名化的狀態。
字節跳動集團數據安全法務總監田申
字節跳動集團數據安全法務總監田申表示,認定個人信息的可識別性有幾個要點:第一,要結合處理數據的場景和目的,適用具象化和場景化的判斷。單純從一個維度評價難以認定是否屬于個人信息,所以要從個人信息的識別和關聯要素角度進行認定,要判斷處理場景是對物的標識還是對人的標識。第二,如果相關數據可以具體關聯到個人,可以增加針對性措施,保證信息處理安全。第三,考慮到目前《個人信息保護法(草案)》對個人信息定義和保護相對寬泛,建議進行梯度性保護處理,設定好規則,明確紅線和具體要求,將相關場景判斷和具體信息處理規則交給司法裁判者和數據處理者。
清華大學法學院教授程嘯
清華大學法學院程嘯教授提出,《民法典》中的私密信息和《個人信息保護法(草案)》中的敏感信息不同,敏感信息與非敏感信息主要是從個人信息處理規則的不同來劃分的,《民法典》對于私密信息和非私密信息主要是從民事權益保護的角度來劃分。《民法典》人格權編將隱私權和個人信息權益放在一起,就意味著必定要劃分清楚隱私權和個人信息權益的關系,因為我國同時承認這兩種權益,私密信息與非私密信息劃分的意義將會體現在訴訟之中,法院首先要判斷受侵害的是隱私權還是個人信息權益,從而來決定適用何種規則,進而判斷被告的行為是否違法、是否構成侵害行為。
敏感信息和私密信息二者之間有差別,但也存在著交叉部分,前者的判斷標準更多考慮是否在客觀上造成對人格的歧視和對人身財產安全的重大危險等,后者的判斷標準更側重主觀的視角,即本人不愿為他人知曉的信息,尤其是私生活安寧方面的信息。從立法的角度來說,未來《個人信息保護法》公布后,還需要通過制定一系列相關行政法規、國家標準等,對個人信息的標準進行列明,提升規則的可預期性,減少模糊地帶。但是,是否屬于私密信息往往需要結合個體情況判斷,最近北京互聯網法院的幾個判決也非常準確地把握了這一點。
中國人民大學法學院副教授丁曉東
中國人民大學法學院丁曉東副教授認為,《民法典》和《個人信息保護法(草案)》對于個人信息保護存在主體上的差別,民法以平等主體之間的私權保護為核心,而《個人信息保護法(草案)》是不平等主體之間的權利保護,具有一定的公法性質。他建議司法可創設個人信息和非個人信息之外的第三類個人信息類別,即部分受到《個人信息保護法(草案)》的保護、部分受到其他法律保護的個人信息。
在探索行為邊界、確定裁判規則這個意義上,北京互聯網法院承擔著非常重要的使命,其所確立的裁判規則不僅是中國在個人信息保護領域的前沿實踐,也引領著全球個人信息保護的方向。
對外經貿大學法學院副教授許可
對外經貿大學法學院許可副教授認為,從《民法典》1033條第二款的規定來看,私密空間是物理空間,但互聯網是一個無界空間,不宜在互聯網場景下,引入私密空間來討論是否構成隱私權侵權的問題。個人信息的認定需要進行場景化討論,在不同的具體信息的識別過程中、后續的處理過程中、個人權利的行使過程中都要結合具體使用場景。
北京理工大學法學院研究員洪延青
北京理工大學法學院研究員洪延青表示,個人信息的定義在《個人信息保護法(草案)》的規定中有一個明顯的進步,就是在識別時將“身份”表述舍棄,事實上目前已經無需知道包含個人具體名字、身份的信息,根據其他的一些個性化信息就能夠對應到個人。因此對于一些特殊類型化的個人信息,如地理位置等,也要引起重視,這樣的做法符合個人信息保護的意義,即對風險的規避。
中央網信辦政策法規局
法務處處長李民
中央網信辦政策法規局法務處處長李民表示,從國內外的發展來看,個人信息是從隱私權發展而來的概念。我國的《民法典》和《個人信息保護法(草案)》充分體現了時代進步對個人信息保護的力度,未來仍要探索個人信息使用過程中的分級分層保護制度。
全國人大常委會法工委
經濟法室副處長林一英
全國人大常委會法工委經濟法室副處長林一英表示,在討論和認定私密信息和敏感個人信息的關系時,還是要回到《民法典》和《個人信息保護法(草案)》的關系上來。有學者認為,《個人信息保護法(草案)》規定和《民法典》》規定不是很一致,這主要是因為《民法典》是從人格權保護的角度進行規定,通過事后侵權救濟的方式予以保護;《個人信息保護法(草案)》則從明確事先的預防規則角度進行保護,并不是對《民法典》進一步的細化。
目前主要是由《民法典》進行原則性規定,具體還是由《個人信息保護法(草案)》進行解決。其次,敏感信息、非敏感信息是從明確處理規則的角度進行區分,私密信息、非私密信息的區分意義更多在于對人格權的救濟,從司法實踐看,權利和權益的保護還是有差別的。最后,《個人信息保護法(草案)》對于定義的規定體現了相對原則,并賦予了相關部門制定標準、規則的權力,可以在具體場景之中進一步確定。
議題二:
個人信息、隱私侵權的構成要件
北京互聯網法院副院長姜穎
本議題由北京互聯網法院副院長姜穎主持。與會嘉賓重點討論了知情同意具體實踐的合法性認定,損害后果的認定,安寧權侵權構成要件及多主體責任分配等問題。
騰訊集團訴訟總監刁云蕓
騰訊集團訴訟總監刁云蕓認為,絕對權利和合法權益的侵害應該區別對待,對于合法權益這樣的相對權益受到侵害時,應當要求存在損害后果。立法和司法要充分考量多方主體的利益平衡,考慮產業發展,走出有中國特色的實踐。
阿里巴巴集團數據合規專家徐彩曦
阿里巴巴集團數據合規專家徐彩曦從用戶的角度回應了知情同意的問題。她認為,用戶是多維的,需求是多樣的,包括隱私的期待、權益的期待等,不同的用戶體現不同的特點。隱私偏好不同,用戶在對其個人信息處理的態度上也不同,包括收斂型、開放型,所以是否可以考慮在一定程度上給予開放型用戶更多選擇。希望后續的立法、標準解讀中,更多考慮當事人不同維度的需求和期待。
清華大學法學院教授程嘯
清華大學法學院程嘯教授認為,我國《民法典》在侵權責任的構成要件上已經明確區分了侵害與損害兩個概念。在侵害層面,隱私權屬于法律明確的具體人格權,對其的保護屬于對絕對權的保護,采用結果不法的侵權判斷標準;而個人信息只是受到法律保護的利益,更適宜采用行為不法的標準來判斷違法性。在損害后果層面,侵害隱私權可能帶來精神痛苦、社會評價下降等損害后果;同時,因為隱私難以被商業化利用,所以損害一般難以包含經濟損失;而個人信息權益的損害往往比較難以確定,侵害個人信息在實踐中常被作為一種手段,最終目的是侵害個人的其他人身財產權利,如生命權、健康權、隱私權、姓名權、肖像權、財產權等。
此外,個人信息的損害較難證明,尤其是精神損害,按照民法典的規定必須是達到嚴重損害的程度,故此,未來實踐中可能更多的是以停止侵害、排除妨礙、消除危險、賠禮道歉、消除影響、恢復名譽等侵權責任承擔方式來保護個人信息。當然,如果能夠證明損失或者侵權人的獲利,也應當給予損害賠償。立法上也可以規定法定數額的賠償責任。
中國人民大學法學院副教授丁曉東
中國人民大學法學院副教授丁曉東建議,企業對于個人信息是否盡到安全保障義務,可以采用企業是否盡到了信息信托責任來判斷。在用戶是否知情的具體判斷中,也需要沉入具體場景進行判定,比如,有些情形下企業完全告知是不現實的,反復且多次告知也不合適。個人信息保護不能完全契合侵權法的原因是,侵權法適用于因果關系、損害后果較為明確的法律行為,但是個人信息的侵害往往由多種因素造成,且損害后果因人而異。因此,可以采取風險原則,根據風險防范的措施、風險危害的程度、一般性損害后果的大小來確定侵權責任。
北京理工大學法學院研究員洪延青
北京理工大學法學院研究員洪延青認為,按照現在正在征求意見的《個人信息保護法(草案)》,在產品維持使用中所涉及的信息應分為必要個人信息和非必要個人信息。非產品維持使用的必要信息,就必須征求用戶同意。必要信息的授權在原有的法律框架下可以授權給產品方,如果企業還想要獲得更多的用戶信息,需要顯著提醒,如果影響到了用戶體驗,廠商應當考慮這樣的后果。此外,互聯網公司可以利用大數據算法得知很多用戶未透露的信息,這樣的衍生信息是否需要用戶“同意”,很可能要由法院來明確。
中央財經大學法學院教授邢會強
中央財經大學法學院教授邢會強表示,對于侵害個人信息的行為,應當加強行政監管,因為受害人證明自身損害相對較難。他援引了國外類似侵害救濟的相關處理,考慮司法救濟的有限性和訴訟成本的消耗,建議《個人信息保護法(草案)》可以在規定個人信息侵權法定賠償額的基礎上,按照信息的不同進行分級分類,并適當調高判賠金額,由于受害人的損失難以計算,建議引入法定賠償額制度。
工業與信息化部信息通信管理局
服務質量監督處副處長趙陽
工業與信息化部信息通信管理局服務質量監督處副處長趙陽表示,行政監管往往按照最小必要信息原則進行,考量的是產品索要的權限是不是產品使用的必要權限。如果不是必要權限,而產品方要求不給權限則無法使用的,就屬于違法行為。
一般來說個人信息在互聯網領域有兩個用途,一是維持產品基本功能,二是滿足企業其他商業目的。必要信息可以通過使用前的合同授權,但其他的信息必須要獲得用戶的額外授權。此外,盡管是必要信息,也有可能會被用于其他商業用途。信息授權使用的最小必要化原則還需要細化,要細化至讓企業和用戶都知道,所授權信息的限定用途是什么。確定最小必要化原則也需要融入場景。監管應當堅持用戶方便、企業發展與個人信息保護的平衡。
議題三:
個人信息利用特定場景的規則構建
互聯網司法治理研究中心執行主任吳沈括
本議題由“互聯網司法治理研究中心”執行主任吳沈括主持。與會嘉賓重點討論了處理已公開個人信息的規則、個人信息合理使用的規則等問題。
搜狗法律政策研究院院長臧雷
搜狗法律政策研究院院長臧雷梳理了司法判決對抓取搜索數據的態度變化,他認為未來有兩個趨勢:一是從允許抓取通用搜索引擎數據擴展到允許抓取帶有天然公益屬性的產品數據,如果對后者給予過多保護容易造成壟斷,阻礙信息的流通。二是從允許通用搜索引擎數據的抓取發展到允許聚焦爬蟲數據的合理抓取,建議個人信息使用的三重授權原則也需要場景化處理和限定化使用。如果數據是用戶主動公開希望他人獲取的,那么屬于可以公開訪問的數據,應當允許抓取;如果是用戶使用平臺而衍生的數據,那么也應當讓渡給平臺部分權利。
字節跳動集團數據安全法務總監田申
字節跳動集團數據安全法務總監田申表示,在實際業務發展過程中,社會公開信息對于互聯網行業發展有非常重要的作用。同時,社會公開信息對社會經濟運行也起到了基礎作用,公開信息的合理使用可以構建行業繁榮的基礎,建議在明確數據合理流動的范圍上,結合處理目的和使用方式,在整體性場景分析后再認定是否構成合理使用。
阿里巴巴集團數據合規專家徐彩曦
阿里巴巴集團數據合規專家徐彩曦表示,目前互聯網企業擁有一定的風險識別能力、風險分析能力,但因為合規的要求無法做任何商業性輸出。希望能夠從立法、司法、監管等角度進行更多探討。她建議在合理使用的規則構建上,充分考慮特定場景、特定行業下的規則,探討一些有行業特殊需求、能夠促進產業發展以及用戶權益保護、國家利益保護的規則制定。她還建議,在知情同意當中可以嘗試制定盡職免責的規則,激勵企業主動進行數據治理機制建設。
對外經貿大學法學院副教授許可
對外經貿大學法學院副教授許可認為,由于按照《個人信息保護法(草案)》第28條規定來確定個人信息被使用的用途存在一定困難,所以某些公開的個人信息應該轉變為公共信息,從28條第一款對于用途的限制中解除出來。除了《個人信息保護法(草案)》13條所涵蓋的幾種個人信息合理使用的情形,還可以考慮信息處理者的正當利益條款。此外,為了打擊網絡黑灰產進行的個人信息處理,也可以認為是合理使用。
公安部網安局法制處副處長張鋼強
公安部網安局法制處副處長張鋼強介紹了公安部在個人信息保護方面的工作,包括打擊犯罪、安全監管、安全防護三個方面。目前信息保護的形勢具有挑戰性,網絡犯罪高發多發,應當加大監管規制的力度。在數據的防護方面,應當分級分類保護,與網絡安全等級保護制度等銜接。在制定《個人信息保護法》時,要平衡好借鑒國外經驗與立足中國國情之間的關系,個人信息保護與數字經濟發展之間的關系,個人信息保護與維護公共安全之間的關系,同時,做好與相關立法之間的銜接平衡。
最高人民法院民一庭三級調研員危浪平
最高人民法院民一庭三級調研員危浪平認為,就個人信息和隱私的區別而言,隱私更加側重個人意愿,而個人信息則是在客觀層面的綜合認定。法律對于隱私權的保護相對更加明確,對處理使用規定得更加嚴格;而個人信息使用的同意主體可以是權利人、監護人,法律位階層面也放寬到了行政法規。保護競合的情況下當事人可以選擇保護的方式。
從價值引領權益判斷來看,隱私權是具體人格權,更強調人格利益的保護,個人信息權益兼有人格利益和財產性利益屬性,側重信息的流通交流。從國家戰略來看,在大數據時代,對于一般個人信息更加強調利用識別,促進產業發展,對于隱私信息也會進一步加大保護力度,從行業監管導向、產業政策研究方向,強調形成合力,進行訴源治理。
互聯網司法治理研究中心執行主任吳沈括
最后,吳沈括教授作了總結發言。他表示,本次研討會體現了三個度。第一,體現了研討的高度。從數字經濟乃至數字化轉型的高度探討了個人信息流轉利用和司法保護的問題,特別是深入探討了“處理已公開個人信息的規則”以及“個人信息合理使用的規則”等問題。第二,體現了研討的角度。從司法適用的角度切入,探討了《個人信息保護法(草案)》的完善建議,例如損害后果的認定、侵權構成要件的認定等問題,相信有利于草案的進一步完善。第三,體現了研討的深度。著眼于場景,針對棘手問題和疑難問題探討解決路徑,例如知情同意的合法性認定、信息匿名化問題以及地理位置等信息類型的司法認定問題。