課題組負責人
程 嘯 清華大學法學院教授
課題組成員
王 苑 東南大學法學院講師
阮神裕 中國人民大學法學院講師
熊定中 北京清律律師事務所首席合伙人
寧 園 武漢大學法學院特聘副研究員
孫鴻亮 清華大學法學院博士研究生
向子瞭 北京清律律師事務所律師
李西泠 清華大學法學院博士研究生
說明
1、本建議稿及起草說明由程嘯教授組織的起草小組集體完成,所有成員均參與了條文的起草、修改與論證。其中,條文和說明由程嘯教授具體執筆。
2、2023年4月9日清華大學法學院個人信息保護與數據權利研究中心主辦的“個人信息保護法適用重大疑難問題研討會”上討論了本建議稿,與會各位專家學者提出了很多好的意見和建議。
3、本建議稿及起草說明的最后修改時間為:2023年4月20日。
總目
《<最高人民法院關于審理個人信息糾紛民事案件適用法律若干問題的解釋>學者建議稿及說明》
第一條【調整范圍】
第二條【域外管轄】
第三條【個人信息處理法律依據的證明責任】
第四條【告知義務履行的證明責任】
第五條【同意無效的情形】
第六條【單獨同意的認定】
第七條【隱私政策的法律規制】
第八條【非法的個人信息處理活動的侵權責任】
第九條【超越合理范圍的侵權責任】
第十條【共同處理個人信息的民事責任】
第十一條【委托處理個人信息的民事責任】
第十二條【提供個人信息的民事責任】
第十三條【不合理的差別待遇的認定】
第十四條【對個人權益有重大影響的認定】
第十五條【公開個人信息的處理】
第十六條【查閱復制權的范圍】
第十七條【更正補充權】
第十八條【刪除權】
第十九條【個人在個人信息處理活動中的權利的保護】
第二十條【死者的個人信息】
第二十一條【死者名譽等人格利益的保護】
第二十二條【侵害隱私權與個人信息權益的歸責原則的適用】
第二十三條【侵害肖像權、名譽權與個人信息權益的歸責原則的適用】
第二十四條【基于個人信息權益的人格權禁令】
第二十五條【共同危險行為的準用】
第二十六條【個人信息處理者對下游損害的賠償責任】
第二十七條【過錯推定的推翻】
第二十八條【侵害個人信息權益的財產損害】
第二十九條【侵害個人信息權益的精神損害】
第三十條【侵害個人信息權益的法定賠償】
第三十一條【合并審理】
第三十二條【個人信息保護民事公益訴訟】
第三十三條【施行時間】
為正確審理個人信息相關民事案件,保護個人信息權益,促進個人信息合理利用,根據《中華人民共和國民法典》《中華人民共和國個人信息保護法》《中華人民共和國網絡安全法》《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《中華人民共和國消費者權益保護法》《中華人民共和國電子商務法》《中華人民共和國民事訴訟法》等法律的規定,結合審判實踐,制定本解釋。
第一條【調整范圍】
因個人信息處理者處理自然人的個人信息所引起的民事案件,適用本規定。
【說明】
討論中對于該條存在的爭議問題是,是否需要對個人信息(尤其是敏感的個人信息)提出一些更具體的、更明確的判斷標準。尤其是如何協調《民法典》與《個人信息保護法》關于個人信息的定義。
第二條【域外管轄】
方案一:
個人以在中華人民共和國境外的個人信息處理者為被告,并證明符合《中華人民共和國個人信息保護法》第三條第二款規定的,由原告住所地、侵權行為發生地的人民法院管轄,適用《中華人民共和國個人信息保護法》的規定。
香港、澳門特別行政區和臺灣地區的個人信息處理者參照適用前款規定。
方案二:
個人以在中華人民共和國境外的個人信息處理者為被告,由原告住所地、侵權行為發生地的人民法院管轄,適用《中華人民共和國個人信息保護法》的規定。但是,被告證明不符合《中華人民共和國個人信息保護法》第三條第二款規定的除外。
香港、澳門特別行政區和臺灣地區的個人信息處理者參照適用前款規定。
【說明】
1、方案一要求作為原告的個人證明符合《個人信息保護法》第3條第2款中的域外適用情形,我國法院才管轄。方案二則由被告來證明不符合,以排除我國法院的管轄權。究竟適用方案一還是方案二,在本課題組內部存在爭議。
贊同方案一的理由在于:首先,《個人信息保護法》第3條第2款是準入適用,不是排除適用規定,因此只有符合該法第3條第2款的才能訴訟,而非不滿足地排除。如果采用方案二,可能導致原告在中國法院訴訟谷歌,然而谷歌完全不應訴。原告應當承擔證明被告在中國境內有第3條第2款的情形,這是原告舉證責任的一部分。其次,根據構成要件分類說,應當由主張適用個保法的原告對要件事實的存在承擔證明責任。而且這幾個要件都是積極肯定的要件,不存在證明沒有的困難。
贊同方案二的觀點認為,被告是否符合《個人信息保護法》第3條第2款的條件,最終由法院依職權判定。原告在起訴時僅需提供案件事實材料和相關證明材料,法院依其提供的案件事實及證明材料進行審查。若法院查明被告不符合第3條第2款(不管是因為原告證明材料不足還是處理者客觀不符合條件),則駁回起訴;若符合,則被告也可提出抗辯,進一步證明其不符合第3條第2款的條件。因此,無需在本條文中特別強調有關《個人信息保護法》第3條第3款的證明責任分配,其本身并不具有特殊安排的必要。因此,在方案二的基礎上,應當刪除“但是,被告證明不符合《中華人民共和國個人信息保護法》第三條第二款規定的除外”。
2、本條第2款明確了港澳臺屬于境外,港澳臺的個人信息處理者屬于境外個人信息處理者。在個人信息保護實踐中,就“境外”與“國外”是否等同,存在爭議。例如,F公司是一家為用戶提供健康規劃服務的公司,用戶數量高達百萬,其計劃前往香港上市,遂希望了解其是否需要按照《網絡安全審查辦法》第七條:“掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查”的要求,進行網絡安全審查。
之所以有此疑問,是因為業界對于各個法律法規等文件中所使用的“外國”“境外”概念所涵蓋的地理范圍理解有疑惑。最終F公司考慮到《網絡數據安全管理條例(征求意見稿)》有將“國外”和“香港”上市做區分,且在金融上市領域主流觀點都認為,如使用“境外”一詞,就默認已涵蓋了港澳臺地區,而使用“國外”就不包括,因此雖然F公司涉及處理超過100萬用戶個人信息,但暫無需申報網絡安全審查。為明確相關糾紛中的境外個人信息處理者的涵義,本條第2款明確了港澳臺的個人信息處理者屬于境外的個人信息處理者,需要適用《個人信息保護法》第3條第2款的規定。
【實務場景】
F公司是一家為用戶提供健康規劃服務的公司,用戶數量高達百萬,其計劃前往香港上市,遂希望了解其是否需要按照《網絡安全審查辦法》第七條:“掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查”的要求,進行網絡安全審查。之所以有此疑問,是因為業界對于各個法律法規等文件中所使用的“外國”“境外”概念所涵蓋的地理范圍理解有疑惑。
最終F公司考慮《網絡數據安全管理條例(征求意見稿)》有將“國外”和“香港”上市做區分,且在金融上市領域主流觀點都認為,如使用“境外”一詞,就默認已涵蓋了港澳臺地區,而使用“國外”就不包括,因此雖然F公司涉及處理超過100萬用戶個人信息,但暫無需申報網絡安全審查。
如能通過司法解釋,對個人信息處理場景下的“境外”含義作認定,將對關聯的數據出境、網絡安全審查條款的適用和配套制度起草起到引導作用。
第三條【個人信息處理法律依據的證明責任】
個人主張個人信息處理者非法處理個人信息的,應當初步證明其個人信息被處理的事實;個人信息處理者應當舉證證明沒有處理個人信息的行為或者處理個人信息符合法律、行政法規的規定。
【說明】
1、本條是對于個人信息糾紛民事案件的總體舉證責任分配的一個規定。考慮到證明的難度,因此個人初步證明其個人信息被處理的事實的舉證證明要求較低,比如證明自己下載并注冊使用了被告的App即可。
2、個人信息處理者證明自己完全沒有處理作為原告的個人信息,當然就不存在個人信息處理活動,或者雖然有個人信息處理活動,但是符合法律的規定,包括取得同意或有法律、行政法規的依據,以及符合個人信息處理的基本原則等。
第四條【告知義務履行的證明責任】
個人主張個人信息處理者在處理個人信息前未依法履行告知義務的,個人信息處理者應當對已經履行告知義務承擔舉證證明責任。
【說明】
個人信息處理前個人信息處理者是否依法履行告知義務對于維護個人信息權益至關重要。履行義務者應當負有舉證證明已經履行義務的責任,這一點毋庸置疑。實踐中,個人要主張個人信息處理者未履行告知義務時,很難舉證。故此,本條將舉證責任完全交給個人信息處理者。
【實務場景】
當下網絡產品的告知義務履行,通常是通過提供《隱私政策》、產品界面展示(如彈窗)等方式來實現的。但由于App版本迭代很快,而且有的產品頁面就根本無需App版本更新即可直接替換內容(如通過H5設置的界面,其就是一個網頁,技術人員隨時都可以在后臺更改),導致用戶在發現問題后,很難去還原當時的真實使用場景,畢竟用戶并不會主動/特意去記錄使用產品的過程,因此在主張個人信息處理者未履行告知義務時,很難舉證。如果能夠通過司法解釋,將舉證義務直接賦予個人信息處理者,將極大減輕個人信息主體維護自身權益的壓力。
第五條【同意無效的情形】
有下列情形之一,個人信息處理者以已征得個人或者不滿十四周歲未成年人的父母或者其他監護人的同意為由抗辯的,人民法院不予支持:
(一)個人信息處理者以拒絕提供產品或者服務的方式脅迫個人作出同意或拒絕撤回同意的,但處理個人信息屬或者其監護人于提供產品或者服務所必需的除外;
(二)個人信息處理者以含混不清、模棱兩可的表述或功能設計,或者采取告知虛假情況、隱瞞真實情況等誤導、欺詐的方式取得同意的;
(三)沒有依據法律、行政法規的規定取得單獨同意或者書面同意的;
(四)以違反合法、正當、必要和誠信原則的方式取得同意的其他情形。
【說明】
本條對于同意無效的情形作出了規定。第一項是現有的法律以及人臉識別司法解釋有的規定。
第二項主要是針對實踐中很多個人信息處理者就是通過“模棱兩可的表述或功能設計”來進行含混的表述,從而誤導個人而作出的規定。例如,在吳夢龍訴拼多多案中,拼多多App在請用戶填寫個人信息,開通多多錢包的界面上,直接顯示的是“拼多多官方”,而無其他文本提示,極其容易讓人誤以為是拼多多自己提供的服務,而不是第三方運營。
第三項是針對單獨同意和書面同意的規定。第四項是兜底性規定,以應對實踐中的各種無效同意的情形。
【實務場景】
網絡產品服務提供者,通常是在首次用戶使用產品時,為其提供《隱私政策》請用戶閱讀并同意來履行告知義務,并作為“告知同意”規則執行的前提條件。而且有的企業,會特別在隱私政策中會強調,用戶同意《隱私政策》并不意味著一攬子授權,因為隱私政策一般會明確個人信息處理場景,列明哪些是必需收集的個人信息,如果不同意則無法使用產品,哪些情況下企業會單獨請求用戶同意處理個人信息等內容。(即通過隱私政策獲取用戶授權同意的范圍,并不當然包括需要取得用戶單獨同意的部分)
如果企業未能通過隱私政策說明清楚處理規則,則會承擔對應的不利后果,例如在“拼多多、多多錢包案”中,拼多多并未通過隱私政策或其他途徑,告知用戶其會代多多錢包收集個人信息,并提供給多多錢包,因此存在非法收集和提供個人信息的違法事實,拼多多認為其已通過隱私政策告知用戶,會將個人信息與關聯方共享,且取得了用戶同意的主張,并未得到法院的認可和支持。而且拼多多自己也在隱私政策中強調,如將個人信息提供給其他主體,改變處理目的的,會單獨獲取用戶的同意。
用戶同意是目前處理個人信息最重要的合規基礎,如何理解同意的解釋,將對各個人信息處理者后續處理個人信息活動起到積極的指引作用。
第六條【單獨同意的認定】
人民法院在認定個人信息處理者是否依據法律、行政法規的規定取得個人單獨同意時,應當綜合考慮需要取得單獨同意的處理活動與其他處理活動的場景區分度、履行告知義務的方式、個人信息的處理方式等因素。
個人信息處理者針對需要取得單獨同意的個人信息處理活動,采取下列方式之一取得個人同意的,人民法院可以認定為符合法律、行政法規規定的單獨同意:
(一)制作專門的個人信息處理同意書;
(二)采取了單獨彈窗、單獨勾選、點擊跳轉鏈接等方式的;
(三)以撥打電話,發送電子郵件或短信等方式取得個人表示同意的回復。
【說明】
如何認定個人信息處理活動中個人的單獨同意,在個人信息保護實踐中非常重要。在課題組討論時,有觀點認為,以打電話、發短信等信息推送方式取得個人單獨同意的情形很少見,除非涉及極為重要的數據處理活動才會考慮。主要是因為發送短信或打電話等需要額外時間或費用的支出,并且用戶在收到郵件或短信后給出反饋的幾率很小,大部分人不愿意回郵件或短信,而默認同意又難以被認定為與“單獨同意”相同的效果,所以短信、郵件推送多作為規則告知的方式,而不是取得同意的方式。
另一種觀點認為,本條第三項要求的是以打電話、發短信等信息推送的方式取得個人同意的回復的,才能認定為單獨同意,不是說不回復就等于同意,因此,這種方式也可以作為一種單獨同意的方式。
【實務場景】
目前常見的單獨同意方式多為單獨彈窗、單獨文本勾選,例如,在使用跨國公司服務時,多需要同意相應的數據出境要求,比如在飛豬下單萬豪集團的酒店,在下單時就需要勾選對應的數據出境同意書,而信息推送方式用的較少,除非涉及極為重要的數據處理活動才會考慮。
企業主要是從經濟角度來考慮是否采取短信、郵件方式來獲取同意的,一是因為發送短信需要額外支出,二是因為用戶在收到郵件或短信后給出反饋的幾率很小,大部分人不愿意回郵件或短信,而默認同意又難以被認定為與“單獨同意”相同的效果,所以短信、郵件推送多作為規則告知的方式,而不是取得同意的方式。
單獨同意在個保法中適用的條款并不少見,而且實務中確實存在大量的需要取得單獨同意的場景,如果能夠指明單獨同意的適用要求,則對實務中請求同意流程的規范有很大的幫助。
第七條【隱私政策的法律規制】
個人信息處理者通過制定隱私政策、個人信息處理規則等方式履行告知義務、取得個人同意,個人信息處理者以個人同意為由主張與個人之間成立個人信息許可使用合同的,人民法院不予支持。
個人信息處理者在隱私政策、個人信息處理規則中要求個人授予其無期限限制、不可撤回、可任意轉授權等各類處理個人信息的權利,該個人依據民法典第四百九十七條請求確認格式條款無效的,人民法院依法予以支持。
【說明】
1、關于個人信息處理者制定的隱私政策、個人信息處理規則是否能夠因個人同意而在個人與個人信息處理者之間成立個人信息許可使用合同關系存在爭議。
一種觀點認為,隱私政策中包含的內容龐雜,有些如關于網絡服務的內容可能會在個人與個人信息處理者之間成立網絡服務合同,但是關于個人信息處理的部分不能僅僅因為個人同意就認為成立了個人信息許可使用合同,這對于個人是不利的,而且個人同意不等于個人授權。
另一種觀點認為,隱私政策屬于法律行為,因此個人同意后會成立合同關系,包括個人信息許可使用合同關系。本條第1款采取了第一種觀點。
2、將個人信息處理者制定的隱私政策、個人信息處理規則看作格式條款,并不等于就在個人與個人信息處理者之間成立了個人信息許可使用合同,所以,仍然可以依據《民法典》關于格式條款無效的規定來規范隱私政策、個人信息處理規則。故此,本條第2款作出了相應的規定。
第八條【非法的個人信息處理活動的侵權責任】
個人信息處理者處理個人信息未取得個人同意且不存在法律、行政法規規定的不需取得個人同意的情形,個人請求個人信息處理者承擔停止侵害、排除妨礙、消除危險等民事責任的,人民法院依法予以支持。
【說明】
本條是對非法的個人信息處理活動的侵權責任的概括性說明,主要是明確個人信息權益適用停止侵害、排除妨礙、消除危險等絕對權請求權,即人格權請求權。
第九條【超越合理范圍的侵權責任】
個人信息處理者處理個人信息已取得個人的同意或者具備法律、行政法規規定的不需要取得個人同意的事由,但個人信息處理活動超出了合理的范圍,違反必要、正當、誠信、目的限制等原則,個人請求個人信息處理者承擔停止侵害、排除妨礙、消除危險、賠償損失等民事責任的,人民法院依法予以支持。
【說明】
《民法典》第1036條第1項要求個人信息處理者處理個人信息,即便是取得了個人同意,也必須是在同意的范圍內合理實施。此外,我國《個人信息保護法》第13條第1款第5項、第6項也強調了在合理的范圍內處理。也就是說,合法處理不等于就不構成侵權。所謂超出合理的范圍,從實踐來看主要有兩種場景:
(1)“目的變化的不合理”,例如,用戶注冊需要實名認證的賬號,提交了個人手機號碼,但平臺未告知和取得用戶同意且無其他必要的理由,就直接向用戶發送營銷短信。此時,平臺對“手機號”這一個人信息超出了合理且必要的處理范圍。
(2)“方式手段的不合理”,例如,某平臺為用戶提供就業撮合服務,個人用戶可以將求職信息在該平臺選擇公開發布,任何人可瀏覽或以點對點私信形式提供。平臺方為了優化產品,自行將個人用戶選擇點對點私信提交的簡歷信息也通過私信的方式自動推薦給其認為符合求職者意愿的其他公司HR,甚至計算用戶求職動態向其現任職公司提供“預警”信息。這也屬于超出合理的范圍。
第十條【共同處理個人信息的民事責任】
兩個以上的個人信息處理者共同處理個人信息,侵害個人信息權益造成損害,個人主張多個個人信息處理者按照過錯程度和造成損害結果的大小承擔侵權責任的,人民法院依法予以支持;符合民法典第一千一百六十八條、第一千一百六十九條第一款、第一千一百七十條、第一千一百七十一條等規定的相應情形,該自然人主張多個個人信息處理者承擔連帶責任的,人民法院依法予以支持。共同處理個人信息的處理者以內部約定為由抗辯的,人民法院不予支持。
前款共同處理個人信息,是指兩個以上個人信息處理者共同決定個人信息的處理目的與處理方式;個人應當初步證明處理者屬于共同處理個人信息,個人信息處理者主張并非共同處理個人信息的,應當承擔舉證證明責任。
【說明】
1、個人信息處理者共同處理個人信息,侵害個人信息權益造成損害的,依據《個人信息保護法》第20條第2款,應當依法承擔連帶責任。所謂依法就是指依據《民法典》關于多數人侵權責任的規定,故此,本條第1款作出了明確。
2、實踐中,個人要證明數個處理者屬于共同處理者很難,除非處理者之間有明確的書面記錄并提供給個人,否則個人難以知悉。因此,本條第2款對個人與處理者之間的證明責任進行了分配。
【實務場景】
多主體參與個人信息處理已成為常態,在實務中,律師通常會要求客戶注意通過在活動規則處理規則中寫明雙方關系,但實務中也可能存在個人信息處理者們,在“合作”初期并沒有就處理個人信息活動中的各方法律關系約定明確,或者忽略告知用戶。所以對個人信息主體來說,需要其來證明一個處理行為,是A和B共同決定處理目的和處理方式是很難的,除非有文字明確記錄,否則用戶可能就僅知道,某個活動是AB聯合舉辦的。
例如,A運動品牌公司與B游戲公司出了聯名皮膚,并決定舉辦游戲征文活動,要求參與活動的用戶提供個人信息用于評比和寄送獎品。抽獎規則中沒有明確活動所涉及的個人信息由哪方處理,那對參與抽獎的個人來說,其可以認為個人信息會同時被A和B公司獲得,因為該活動是AB公司聯名舉辦,遂是共同處理個人信息者。但實際上,也完全存在A或B公司單獨處理個人信息的可能。
針對涉及多個主體的爭議,個人有權主張該處理行為屬于共同處理個人信息的行為,但個人需要承擔的舉證程度,值得通過司法解釋來釋明,個人作為處理活動中較為弱勢的一方,其承擔的證明責任應與能力相匹配。
第十一條【委托處理個人信息的民事責任】
受托人依照約定的處理目的、處理方式等處理個人信息侵害個人信息權益造成損害,個人請求個人信息處理者承擔損害賠償等侵權責任的,人民法院依法予以支持。個人信息處理者承擔賠償責任后,依據民法典第九百二十九條請求受托人賠償損失的,人民法院依法予以支持。
受托人超出約定的處理目的、處理方式等處理個人信息,侵害個人信息權益造成損害,個人請求受托人承擔賠償損失等侵權責任的,人民法院依法予以支持。個人信息處理者存在過錯,符合民法典第一千一百六十八條、第一千一百六十九條第一款、第一千一百七十條、第一千一百七十一條等規定的相應情形,個人主張個人信息處理者與受托人承擔連帶責任的,人民法院依法予以支持。
個人信息處理者委托處理個人信息的事項違反法律、行政法規的規定,侵害個人信息權益造成損害的,個人請求個人信息處理者與受托人承擔連帶責任的,人民法院依法予以支持。但是,受托人能夠舉證證明已盡合理注意義務仍不能知道委托處理個人信息的事項違反法律、行政法規的除外。
未經個人信息處理者同意,受托人轉委托他人處理個人信息,侵害個人信息權益造成損害,個人請求受托人與轉委托的受托人承擔連帶責任的,人民法院依法予以支持。
【說明】
本條對委托處理個人信息時的各類侵權責任作出了規定。實踐中委托處理個人信息的情形很常見,如何確定委托人與受托人在侵害個人信息權益時的侵權責任,非常重要,本條對此作出了規定。
【實務場景】
在廣告、金融等領域,有很多數據服務公司,其可能聯合通信服務商、購物平臺、調研機構為廣告主、金融機構提供數據分析服務,大部分服務需要依賴設備ID(如IMEI號)、手機號或身份證號碼來實現。在這個流程中,數據服務公司實際是作為“受托人”來處理數據,但“受托人”如何來驗證委托方數據來源的合規性則存在一定的疑問,目前主要是根據數據性質來匹配對應的審查措施,甚至有的“受托方”根本不在意這方面的風險,因為其認為法律風險應該由委托方承擔。
如果能夠通過司法解釋直接明確“受托人”與“委托方”承擔連帶責任的條件,以及例外情況,將有利于“受托人”型公司提升合規標準,更好地維護數據安全。
第十二條【提供個人信息的民事責任】
個人信息處理者向其他個人信息處理者提供其處理的個人信息,接收方未取得個人同意變更原先的處理目的、處理方式,個人請求接收方承擔停止侵害、排除妨礙等侵權責任的,人民法院依法予以支持。
個人信息處理者向其他個人信息處理者提供其處理的個人信息,未履行告知義務或者沒有取得個人單獨同意,個人請求個人信息處理者承擔停止侵害、排除妨礙等侵權責任的,人民法院依法予以支持。接收方知道或者應當知道提供方沒有履行告知義務并取得個人單獨同意的,個人請求接收方與個人信息處理者承擔連帶責任的,人民法院依法予以支持。
【說明】
1、本條第1款明確了接收方變更處理目的、處理方式處理個人信息的,構成侵權,應當承擔侵權責任。
2、本條第2款主要是對接收方與提供方承擔連帶責任的情形作出了明確,即接收方知道或者應當知道提供方沒有履行告知義務并取得個人單獨同意的,個人有權請求接收方與個人信息處理者承擔連帶責任的。因為這種情形符合《民法典》第1168條的共同侵權責任的規定,即接收方和提供方構成共同故意侵權。
在實踐中,很多公司在接收其他主體提供的個人信息時,會忽視對個人信息來源合規性的審查(無論是形式還是實質),大多是在協議中約定要求數據提供方確保合規。本款通過明確接收方承擔連帶責任的條件,有助于在實務側推動數據接收方對數據提供方合規審查的標準和重視程度,有利于保護個人信息權益,促進個人信息的合理利用。
【實務場景】
A公司是家化公司,經營多個化妝品品牌,其中某品牌在屈臣氏銷售,其希望屈臣氏能夠提供購買了該品牌的屈臣氏會員手機號信息,與自己的會員信息做匹配,以了解會員在屈臣氏的采購率。屈臣氏同意提供加密手機號,并提供了隱私政策供A公司審查。
不過根據屈臣氏隱私政策,其告知用戶的使用目的中不包括A公司的處理場景,因此還需要屈臣氏單獨取得用戶的同意。最終由于取得同意的條件難以滿足,雙方取消了數據匹配計劃。
實務中,很多公司在接收其他主體提供的個人信息時,會忽視對個人信息來源合規性的審查(無論是形式還是實質),大多是在協議中約定要求數據提供方確保合規。如能通過司法解釋明確信息接收方承擔連帶責任的條件,則會在實務側推動數據接收方對數據提供方合規審查的標準和重視程度,有利于保護個人主體權益,促進數據流通。
第十三條【不合理的差別待遇的認定】
具有以下情形之一的,人民法院可以認定構成個人信息保護法第二十四條第一款的“不合理的差別待遇”:
(一)對同一產品或者服務,基于個人的支付能力、消費偏好、使用習慣等個人特征針對個人采取不同的交易價格、交易方式或者其他交易條件;
(二)對在交易安全、交易成本、信用狀況、交易環節、交易持續時間等方面不存在實質性差別的個人采取不同的交易價格、交易方式或其他交易條件;
(三)基于有損人格尊嚴、人身自由的方式或者違背誠信、公平原則而實施的交易條件上的差別待遇。
滿足下列情形之一的,人民法院可以認定為具有合理的差別待遇:
(一)根據交易相對人的實際需求,且符合正當的交易習慣和行業慣例,實行不同的交易條件;
(二)針對新用戶在合理期限內開展的優惠活動;
(三)基于公平、合理、非歧視規則實施的隨機性交易;
(四)法律、法規規定的其他情形。
【說明】
本條對《個人信息保護法》第24條第1·款中的“不合理的差別待遇”從正反兩個方面作出了界定,主要參考了《國務院反壟斷委員會關于平臺經濟領域的反壟斷指南》第17條、《深圳經濟特區數據條例》第69條等的規定。存在的爭議是,將反壟斷中的判斷標準用于個人信息保護法是否合適!
第十四條【對個人權益有重大影響的認定】
通過自動化決策方式作出對個人權益有重大影響的決定,個人請求個人信息處理者予以說明或者通過非自動化決策的方式作出決定,個人信息處理者拒絕,個人向人民法院提起訴訟的,人民法院應當依法予以受理。
具有以下情形之一的,人民法院可以認定不構成個人信息保護法第二十四條第三款的“僅通過自動化決策的方式”:
(一)個人信息處理者或其委托方參與了決策;
(二)參與決策的人有能力改變決定的。
具有以下情形之一的,人民法院可以認定構成個人信息保護法第二十四條第三款、第二十七條“對個人權益有重大影響”:
(一)排除或者限制個人的主要權利;
(二)加重個人的義務或者法律責任;
(三)導致個人的經濟、社會地位發生了不合理的變化;
(四)對于個人權益產生法律效力或造成重大影響的其他情形。
【說明】
1、本條第1款主要為《個人信息保護法》第24條第3款的規定提供司法救濟程序。該款規定:“通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。”如果個人信息處理者拒絕說明,或者拒絕采取非自動化決策的方式作出決定的,那么個人可以針對個人信息處理者提起訴訟,法院可以判決個人信息處理者作出說明,或者按照非自動化決策的方式重新作出決定。
2、本條第2款對于非自動化決策的情形進行了明確。
3、《個人信息保護法》第24條、第27和第55條中都出現了“對個人權益有重大影響”的表述,本條第3款在參考《民法典》第496-497條對格式條款中限制排除權利的規定的基礎上,結合個人的法律上的權利、義務、責任的角度提出了相應的判斷標準。
【實務場景】
A場景:2021年,某唯品會用戶向唯品會運營方提出行使個人信息復制權的要求,被唯品會以未實名拒絕,遂提起訴訟【(2022)粵01民終3937號 】。在訴訟過程中,針對用戶要求披露哪些信息被唯品會用于用戶畫像的請求,法院認為用戶并未提交證據證明唯品會作出了對其個人權益有重大影響的自動化決策,因此不予支持用戶畫像相關的個人信息披露請求。
B場景:E公司運營有一家金融借貸信息撮合平臺,其計劃根據用戶提供的金融需求信息,通過算法推薦匹配的借款方,撮合雙方達成貸款協議。某用戶認為該模式所做出的決定對其個人權益有重大影響,要求E公司給出合理解釋。
《個人信息保護法》除第24條外,在第27和第55條中也涉及了“對個人信息權益有重大影響”的表述,且都關聯有后續的配套合規要求,但何謂“重大影響”并不明確,各個法條之間對“重大影響”的認定標準是否一致也不確定。而個人信息處理者需要結合“重大影響”的判斷標準,決定在業務中是否需要配備對應的合規手段,以及能否正確應對個人主體可能提出的要求。如能夠明確各條款中關于重大影響的認定標準,不僅有利于個人信息處理者更好地處理個人信息,也為個人信息主體主張相關權利提供了法律支持。
第十五條【公開個人信息的處理】
個人信息處理者在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息,個人已經明確拒絕而個人信息處理者沒有及時停止處理,或者對個人權益有重大影響而個人信息處理者沒有依法規定取得個人同意,個人請求個人信息處理者承擔停止侵害、排除妨礙、消除危險、賠償損失等民事責任的,人民法院依法予以支持。
具有以下情形之一的,人民法院可以認定構成個人信息保護法第二十七條的“在合理的范圍內”:
(一)個人信息被公開時有明確的用途,個人信息處理者的處理目的和方式符合該用途;
(二)個人信息被公開時未明確用途,個人信息處理者遵循合法、正當、必要、誠信、目的限制等原則,合理、謹慎地處理該信息。
個人在自行公開其個人信息時明確作出禁止他人處理的書面表示,或者個人以書面形式向個人信息處理者提出不得處理已公開的個人信息的,人民法院可以認定為個人信息保護法第二十七條的“個人明確拒絕”。
【說明】
1、本條第1款明確了對于合法公開個人信息的處理原則上是不承擔侵權責任的,除非兩種情形:其一,個人已經明確拒絕而處理者沒有及時停止處理;其二,對個人權益有重大影響而個人信息處理者沒有依法規定取得個人的明確同意。
2、本條第2款對什么是合理的范圍作出了界定。
3、本條第3款對于如何認定個人明確拒絕作出了規定。
【實務場景】
E公司運營有一家直播平臺,平臺中設置有用戶打賞主播的功能,且用戶打賞后將在相應的直播間展示“昵稱、頭像、打賞道具”信息。M公司通過技術手段收集E平臺上所有用戶的打賞信息,編輯匯總后,可供公眾付費后通過“帳號昵稱”的方式查詢對應賬號的打賞情況。(目標受眾主要是MCN機構或平臺公會,用來判斷哪個主播值得投資或哪個榜一大哥值得拉攏進公會)E公司近幾月來連續收到用戶投訴,稱其認為E公司泄露了用戶個人信息,因為自己的打賞信息可以在其他平臺可以被查詢。
由于公眾存在“公開信息即可以隨便使用”的一些錯誤認知(信息所對應產生的商業利益),公開個人信息被不當利用的可能性和風險性更大,因此如果能夠通過司法解釋再次強調和明確公開信息的使用邊界、原則,有利于后續合規解釋工作的開展。
第十六條【查閱復制權的范圍】
個人向個人信息處理者查閱、復制以下個人信息,個人信息處理者沒有正當理由拒絕,個人向人民法院提起訴訟的,人民法院應當依法予以受理:
(一)個人信息處理者是否處理其個人信息;
(二)個人信息的處理目的、處理方式;
(三)處理的個人信息種類、內容、保存期限;
(四)個人信息的其他共同處理者、受托人;
(五)個人信息的提供方、接收方;
(六)處理的合法公開的個人信息及其來源;
(七)其他可以查閱、復制的個人信息。
【說明】
本條主要明確了《個人信息保護法》第45條第1款個人行使查閱復制權所查閱復制的個人信息的范圍。
【實務場景】
2021年《個人信息保護法》即將生效時,B游戲公司啟動了隱私政策修訂工作,在修改過程中,公司對“復制權”如何履行產生了疑義,因為難以判斷需要給出哪些信息、以什么方式給出信息,以及個人信息主體身份驗證方式的設置復雜性要有多高。最終B公司計劃暫時設置了常見的賬號個人信息(昵稱、頭像、游戲等級等內容)復制路徑,如用戶有疑問再聯系公司做個案處理,如此即給用戶提供了復制權行使的渠道,不至于完全忽略個人的該項權利。
對于個人主張復制權的應對方式和范圍,實務中尚未形成統一慣例,判決也僅有一例,如果可以通過司法解釋出具指引,則對此類權利行使和司法判決提供指導。
第十七條【更正補充權】
個人發現其個人信息不準確或者不完整的,請求個人信息處理者更正、補充,個人信息處理者怠于或者拒絕更正、補充,個人向人民法院提起訴訟的,人民法院應當依法予以受理。
因個人信息處理者怠于、拒絕或者錯誤更正、補充不準確或者不完整的個人信息,侵害民事權益造成損害,受害人請求個人信息處理者承擔賠禮道歉、賠償損失等民事責任的,人民法院依法予以支持。
【說明】
本條主要對于更正補充權的行使以及錯誤更正補充的賠償責任作出了規定。
第十八條【刪除權】
存在法律、行政法規規定的應當刪除個人信息的情形,個人信息處理者未刪除,個人向人民法院提起訴訟請求個人信息處理者刪除的,人民法院依法予以支持,但法律、行政法規另有規定的除外。
個人信息處理者違反法律、行政法規或者違反約定處理個人信息,個人向人民法院提起訴訟請求個人信息處理者刪除的,人民法院依法予以支持。
個人信息處理者未及時主動刪除個人信息,侵害民事權益造成損害,個人向人民法院請求個人信息處理者承擔賠償損失等民事責任的,人民法院依法予以支持。
【說明】
1、本條第1款和第2款是兩種不同的情形,雖然在《個人信息保護法》第47條中違法和違約處理個人信息也被作出刪除的情形之一,但其與其他情形的刪除不同,因為前者本身已經構成了侵害個人信息權益,所以依據本條第2款,個人可以直接起訴,請求處理者停止侵害、排除妨礙等。但是其他情形的刪除,則應當先向處理者提出請求,被拒絕后才能起訴,這是第1款的規定。
2、本條第3款對于不履行刪除義務的侵權責任作出了規定,明確了刪除義務不是單純的行政法上的義務,也是民事義務,違反了會產生民事責任。
【實務場景】
B公司因與E公司簽訂的游戲授權協議到期,根據協議約定,將在我國內地停止運營游戲“泡泡大作戰”,但E公司表示會繼續在我國內地尋找其他廠商,運營“泡泡大作戰”游戲,目前“泡泡大作戰”游戲處于停止服務的狀態。停止提供游戲運營服務后,由于游戲服務器中所存儲的用戶個人信息和其他不涉及個人信息的數據,如游戲知識產權代碼未做區隔,難以拆分,而B公司其與E公司之間并未就服務器中數據如何處理達成一致,所以B公司決定暫時保持“停止除存儲和采取必要的安全保護措施之外的處理”,但B公司有如下兩點疑惑:(1)如果在暫時存儲期間,有玩家提出要求復制數據等主張個人信息權益的情況發生,其是否需要滿足玩家的需求?(2)如果在數據拆分完畢后,公司是否可以基于防范訴訟爭議需要舉證的目的,繼續存儲玩家的個人信息,以便應對訴訟時效期內可能發生的訴訟爭議,即B公司可以調取存儲的玩家數據,用于舉證。
游戲停止運營后,B公司應根據《個人信息保護法》第47條關于刪除的規定,刪除存儲的個人信息,但由于徹底刪除全部數據會影響其他非個人信息數據的安全性,因此個人信息保持在存儲狀態,此時個人信息的狀態是否應被認定為等同“刪除”,不得做任何其他處理?也即個人信息主體主張個人信息權益的期限,也應該截止于個人信息處理者決定“刪除”數據當天?上述疑問的厘清有助于幫助個人信息主體和個人信息處理者厘清權利義務履行的時間節點和方式。
針對問題2,疑問點在于“法律、行政法規規定的保存期限”概念的理解,該定義所指向的“保存期限”是指類似于網安法所要求的“網絡安全日志需存儲6個月”,此類有明確數據類型和保存期限指向的規定,還是包括了,基于類似民訴法規定了3年的訴訟時效,而訴訟當事人在訴訟中可能需要使用數據用于舉證,因此在這個目的下個人信息處理者至少可以留存數據3年的,這種“推論式”保存期間認定?
明晰刪除數據后的個人信息狀態,將對個人信息處理者如何調整刪除數據的流程,以及個人信息主體如何正當行使自己的權利有積極的指導意義。目前來看,數據刪除階段的合規監督還是較為薄弱的,一方面是因為“刪除”狀態難以簡單核驗,多需要借助技術手段來實現,或者通過個人信息處理者單方承諾,另一方面也是因為數據應用的隱蔽性,不易被察覺。因此如果能夠通過司法解釋對“保存期限”范圍予以明確,以及“暫存”狀態定性,則對刪除爭議的處理有所幫助。
第十九條【個人在個人信息處理活動中的權利的保護】
個人信息處理者拒不履行、不完全履行、遲延履行個人行使個人信息權益的請求,個人向人民法院提起訴訟要求繼續履行、采取補救措施或者賠償損失的,人民法院依法予以支持。
個人沒有向個人信息處理者提出查閱、復制、轉移、更正、補充其個人信息的請求,或者沒有要求個人信息處理者對其個人信息處理規則進行解釋說明,向人民法院提起訴訟主張行使權利的,人民法院依法駁回起訴。
【說明】
本條明確的是個人行使查閱、復制、補充、更正、補充等權利,原則上是個人信息處理者拒絕的情形下。
【實務場景】
在杭州互聯網法院在(2022)浙0192民初4330號民事判決書裁判的案例中,杜某訴稱,其是某網購平臺用戶,曾在該平臺多次購買商品。某日,其在購物過程中,被平臺發布的“好友圈好友等你開拼手氣紅包”字樣吸引,遂點擊該字樣,隨后頁面跳出“進圈并邀請好友”的跳轉鏈接,杜某繼續點擊進入“好友圈”。
隨后,杜某發現其在該平臺的購物記錄被自動公開并分享,部分購物記錄被朋友看到和提醒,使其產生隱私受到侵犯的感受。杜某認為,依據《個人信息保護法》第十四條和第四十四條的規定,被告在處理用戶個人信息時,侵犯其知情權和決定權,嚴重違反誠實信用原則,造成了相應精神損失,故向法院提起訴訟,要求被告停止侵權、賠禮道歉并賠償損失。
平臺辯稱,杜某在用戶注冊時,平臺已通過協議約定明確告知用戶收集及使用用戶個人信息的方式、范圍及目的,并獲得用戶同意,且未收到杜某對其個人信息處理活動的查詢申請或投訴信息,故不存在侵犯個人信息權益的行為。同時,平臺提交了關于行使個人信息權利的申請受理和處理機制路徑的相關材料。
本案中,被告平臺通過協議約定和后臺設置,構建了個人行使權利的申請受理及處理機制,杜某可通過以上方式行使個人信息知情權和決定權。但杜某提起本案訴訟前并未向平臺(信息處理者)提出請求,而是徑行向本院請求救濟其在個人信息處理活動中享有的權利,顯然不符合法律規定中關于“個人信息權利請求權”的起訴受理條件。
綜上,杭州互聯網法院作出駁回起訴的裁定。
該條款對應的應該是《個人信息保護法》第50條,50條第2款規定為“個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院提起訴訟。”其中針對“可以”的理解有兩種模式,一方主張如杭互的理解,向個人信息主體提出權利請求為必要前提,另一方主張,該條款僅是為了提醒個人信息主體,如果其個人信息權利主張不順,還可以通過訴訟的方式維護自身權益,而不是局限個人信息主體行使權利的條款,如按照杭州互聯網法院的觀點,法條規定為:“個人應當向個人信息處理者請求處理行使權利的訴求,對處理結果不服的,可以向人民法院起訴”可能更為適宜。因此為了統一司法適用,需要通過司法解釋明確該條款的具體含義。
第二十條【死者的個人信息】
死者近親屬具有下列情形之一的,人民法院可以認定構成個人信息保護法第四十九條的“自身的合法、正當利益”:
(一)維護死者的名譽、隱私的需要;
(二)維護近親屬對死者的崇敬、追思之情的需要;
(三)其他維護近親屬自身的人身、財產權益的需要;
【說明】
本條對于如何判斷《個人信息保護法》第49條的死者近親屬自身的合法、正當利益的標準作出了明確。
第二十一條【死者名譽等人格利益的保護】
自然人死亡后,個人信息處理者處理死者個人信息,侵害死者的姓名、肖像、名譽、榮譽、隱私的,死者的近親屬依據民法典第九百九十四條請求個人信息處理者承擔民事責任的,人民法院依法予以支持。
【說明】
本條明確了死者名譽、隱私等人格利益的保護是不同于死者的近親屬行使針對死者的個人信息的權利。
第二十二條【侵害隱私權與個人信息權益的歸責原則的適用】
個人信息處理者處理私密信息侵害個人信息權益造成損害的,個人請求個人信息處理者承擔損害賠償等侵權責任的,人民法院依法予以支持,個人信息處理者能夠舉證證明自己沒有過錯的除外。
自然人因個人或者家庭事務處理個人信息侵害個人信息權益、隱私權等民事權益造成損害,個人請求具有過錯的個人信息處理者承擔損害賠償等侵權責任的,人民法院依法予以支持。
【說明】
司法實踐中,如何區分侵害隱私權與侵害個人信息權益的民事責任究竟是競合還是聚合,原告是否有權利選擇等問題存在很大的爭議,特別是在《個人信息保護法》和《民法典》分別規定了不同的歸責原則的情形下。
本條區分了《個人信息保護法》第69條第1款的過錯推定責任與《民法典》第1165條第1款在個人信息保護領域的適用范圍。依據本條第2款,只要是自然人因個人或者家庭事務處理個人信息,無論是侵害個人信息權益、隱私權還是其他民事權益,都適用《民法典》第1165條第1款,是過錯責任。因為《個人信息保護法》已經將自然人因個人或者家庭事務處理個人信息的情形排除在該法的調整范圍之外,自然不能適用該法第69條第1款的過錯推定責任,只有本條第1款規定的情形才能適用。
第二十三條【侵害肖像權、名譽權與個人信息權益的歸責原則的適用】
個人信息處理者處理人臉信息、信用信息等侵害個人信息權益造成損害的,個人請求個人信息處理者承擔損害賠償等侵權責任的,人民法院依法予以支持,個人信息處理者能夠舉證證明自己沒有過錯的除外。
個人信息處理者處理人臉信息、信用信息等侵害肖像權、名譽權造成損害的,個人請求具有過錯的個人信息處理者承擔損害賠償等侵權責任,人民法院依法予以支持。
【說明】
與隱私權和個人信息權益的關系一樣,實踐中對于侵害個人信息權益與侵害肖像權、名譽權的侵權責任之間的關系究竟是競合還是聚合,也存在很大的爭議。本條區分了個人信息權益與肖像權、名譽權的侵權責任歸責原則的適用,對于侵害個人信息權益,適用的是過錯推定責任,對于侵害肖像權、名譽權則適用的是過錯責任。至于實踐中,這些責任之間是聚合還是競合,需要根據案件具體情況加以判斷。
第二十四條【基于個人信息權益的人格權禁令】
個人有證據證明個人信息處理者正在實施或者即將實施侵害個人信息權益的行為,不及時制止將使其個人信息權益受到難以彌補的損害,向人民法院申請采取責令信息處理者停止有關行為的措施的,人民法院可以根據案件具體情況依法作出人格權侵害禁令。
【說明】
個人信息權益能否適用人格權禁令程序,理論界存在不同的看法。本條明確了個人信息權益也可以適用《民法典》規定的人格權禁令程序。
第二十五條【共同危險行為的準用】
兩個以上的個人信息處理者處理相同個人信息危及個人信息權益,其中一個或者數個個人信息處理者的個人信息處理行為侵害個人信息權益造成損害,個人不能確定具體侵權人,請求行為人承擔連帶責任的,人民法院應當予以支持,但個人信息處理者能夠證明自己的處理行為與個人信息權益被侵害沒有因果關系的除外。
【說明】
實踐中個人信息被多個處理者所處理,一旦出現侵害個人信息權益的行為,往往很難判斷究竟是誰造成的,這種情況下,參照適用《民法典》關于共同危險行為的規定可以加以解決。但是,必須對于適用的條件作出嚴格的限定,否則就會濫科連帶責任。
【實務場景】
拼多多和“多多錢包”案(拼多多向付費通提供用戶信息,被判違法!https://xueqiu.com/2744910577/206059208)中,拼多多在其App中增加“多多錢包”功能,開通界面僅提示用戶填寫姓名、身份證號碼可開通“多多錢包”,該功能是“拼多多官方”服務,界面上無任何服務協議、隱私政策文本,用戶在開通界面無法知曉該功能實際是由“多多錢包”的運營方付費通來提供。
用戶在使用多多錢包過程中,才發現多多錢包的實際運營方與拼多多不一致,因此認為開通“多多錢包”的過程中應該有非法處理個人信息,侵犯其個人信息權益的行為,特提起訴訟。而且用戶是在庭審過程中,才知曉其填寫的實名信息,是先由拼多多收集,再通過拼多多轉交給付費通的,用戶在前端界面中根本無法感知具體的數據傳輸情況。
對用戶來說,在無明顯提示和告知的情況下,其是難以判斷多主體(如拼多多和多多錢包之間)是如何分工來處理個人信息的,因為個人既無法獲知多主體間簽訂的協議或約定內容,也無法知曉個人信息實際流轉情況,如果能通過司法解釋直接要求個人信息處理者來承擔處理關系解釋的義務,則為個人積極維護自身權利掃清了一個大的舉證障礙。
第二十六條【個人信息處理者對下游損害的賠償責任】
方案一:
個人信息處理者沒有依法采取相應的措施保護敏感的個人信息安全,發生個人信息泄露、丟失,第三人利用該信息侵害個人的民事權益造成損害,個人請求個人信息處理者與第三人承擔連帶責任的,人民法院應當予以支持。
個人信息處理者沒有依法采取相應的措施保護非敏感的個人信息安全,發生個人信息泄露、丟失,第三人利用該信息侵害個人的民事權益造成損害,由實施侵權行為的第三人承擔賠償責任,個人信息處理者根據其過錯和原因力承擔相應的賠償責任。
方案二:
個人信息處理者沒有依法采取相應的措施保護個人信息的安全,發生個人信息泄露、丟失,第三人利用該信息侵害個人的民事權益造成損害,由實施侵權行為的第三人承擔賠償責任;個人信息處理者有過錯的,應當在能夠防止或者制止損害的范圍內承擔相應的補充賠償責任。
方案三:
個人信息處理者沒有依法采取相應的措施保護個人信息的安全,發生個人信息泄露、丟失,第三人利用該信息侵害個人的民事權益造成損害,由實施侵權行為的第三人承擔賠償責任,個人信息處理者根據其過錯和原因力承擔相應的賠償責任。
【說明】
就個人信息處理者對下游損害的賠償責任,目前有三種不同的觀點。
第二十七條【過錯推定的推翻】
個人信息處理者能夠舉證證明個人信息處理活動符合法律、行政法規規定的個人信息處理規則、履行了個人信息處理者的義務并滿足了個人行使權利的請求的,人民法院依法認定個人信息處理者沒有過錯。
【說明】
本條對個人信息處理者如何推翻《個人信息保護法》第69條第1款規定的過錯推定,作出了明確,主要就是綜合依據法律法規的規定等加以判斷,即通過反向運用“違法推定過失”的理論,來推翻對過錯的推定。
第二十八條【侵害個人信息權益的財產損害】
個人信息處理者處理個人信息侵害個人信息權益,造成財產損失,被侵權人依據個人信息保護法第六十九條第二款請求個人信息處理者承擔賠償責任的,人民法院應當予以支持。
個人為制止侵權行為所支付的合理開支,可以認定為個人信息保護法第六十九條第二款規定的損失。合理開支包括個人或者委托代理人對侵權行為進行調查、取證的合理費用。人民法院根據當事人的請求和具體案情,可以將合理的律師費用計算在賠償范圍內。
【說明】
本條是對侵害個人信息權益的財產損害的規定。第1款明確了個人信息權益也保護自然人針對其個人信息享有的經濟利益,而第2款明確了個人為制止侵權行為所支付的合理開支等也屬于財產損失。
第二十九條【侵害個人信息權益的精神損害】
個人信息處理者處理個人信息侵害個人信息權益,造成個人嚴重精神損害的,被侵權人依據民法典第一千一百八十三條第一款請求個人信息處理者承擔賠償責任的,人民法院應當予以支持。
個人信息發生泄露、篡改、丟失,個人沒有證明其遭受的實際損失,只以其將來遭受損失的風險為由請求個人信息處理者賠償損失的,人民法院不予支持。
【說明】
本條對侵害個人信息權益的精神損害的規定。重點是明確了個人信息泄露后可能引發身份盜竊的風險等風險性損害,還不能作為民法上的損害,獲得賠償。
第三十條【侵害個人信息權益的法定賠償】
個人因個人信息權益被侵害而受到的損失以及個人信息處理者因此獲得的利益難以確定的,人民法院可以根據實際情況在100萬元以下的范圍內確定賠償數額。
【說明】
本條對侵害個人信息權益的法定賠償作出了規定,明確了100萬元的限額。
第三十一條【合并審理】
基于同一個人信息處理者處理個人信息發生的民事糾紛,多個受害人分別向同一人民法院起訴的,經當事人同意,人民法院可以合并審理。
【說明】
本條對個人信息民事糾紛案件的合并審理作出了規定。
第三十二條【個人信息保護民事公益訴訟】
個人信息處理者處理個人信息的行為符合個人信息保護法第七十條或者其他法律關于民事公益訴訟的相關規定,人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織提起民事公益訴訟的,人民法院應予受理。
【說明】
本條對個人信息保護民事公益訴訟作出了規定。
第三十三條【施行時間】
本解釋自2023年 月 日起施行。