个人信息民事保护初探
4月16日,北京互联网法院发布通告称,其已受理涉“豆瓣”APP隐私权、个人信息保护纠纷案。通告内容显示,原告龚某认为“豆瓣”APP根据其所处的地理位置向其推送所处地区的广告信息,但他却没有授权“豆瓣”APP根收集其个人位置信息,故诉至法院。而就在两个月前,自然人罗某也以侵害隐私权和个人信息权为由将在线教育平台“51talk”诉至法院。两起案件的发生都有一个共同的大背景,即2021年1月1日生效的《民法典》明确规定自然人享有个人信息权,以及最高人民法院在《关于修改〈民事案件案由规定〉的决定》中增设“个人信息保护纠纷”,在法律和制度上为个人信息的民事保护提供了保障。在个人信息滥用日趋严重的当下,随着公众个人信息保护意识的增强,应该会有越来越多类似纠纷的发生。下文将结合近年来发生的多起个人信息保护典型案例,探讨这类纠纷中存在的突出问题,以资借鉴。
一、个人信息的定义、认定标准及常见类型
《民法典》第一千零三十四条第二款规定,“个人信息是以电子或者其他方式记录的能够单独或者和其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。除了上述信息外,根据《个人信息保护法》(草案)和《常见类型移动互联网应用程序必要个人信息范围规定》的规定,种族、民族、宗教信仰、个人生物特征、医疗健康、金融账号、个人行踪、支付信息、购物信息、婚姻状况、住宿信息、通信记录和内容等,也属于个人信息的范畴。
《网络安全技术个人信息安全规范》(GB/T 35273-2020)附录A中对个人信息的判断标准给出了细致说明。判断某项信息是否属于个人信息,应考虑如下两条:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别特定自然人;二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)。符合上述任一情形的信息,即为个人信息。如在微信读书案中,法院认为,“昵称、头像、OPEN_ID、以及多个OPEN_ID之间的好友关系链等信息的组合并未达到匿名化和去标识化的程度,特别是OPEN_ID与用户主体身份具有强对应关系,在特定场景下结合其他数据仍可还原到相对应用户的具体主体身份信息。从微信读书对上述信息组合的实际使用场景来看,微信读书准确向用户展示了共同使用应用的微信好友的昵称、头像,实际上达到了识别性标准。故而,微信读书获取的好友列表包含了可以指向信息主体的网络身份标识信息,即‘从信息到个人’;而自然人的微信好友列表,体现了该自然人在微信上的联系人信息,属于‘从个人到信息’,应认定为用户的个人信息”。
《网络安全技术个人信息安全规范》附录A中同时还给出了个人信息常见示例。
|
常见个人信息示例 |
|
|
个人基本资料 |
个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等 |
|
个人身份信息 |
身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等 |
|
个人生物识别信息 |
个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 |
|
网络身份标识信息 |
个人信息主体账号、IP 地址、个人数字证书等 |
|
个人健康生理信息 |
个人因生病医治等产生的相关记录,如病症、入院记录、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况相关的信息,如体重、身高、肺活量等 |
|
个人教育工作信息 |
个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等 |
|
个人财产信息 |
银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 |
|
个人通信信息 |
通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等 |
|
联系人信息 |
通讯录、好友列表、群列表、电子邮件地址列表等 |
|
个人上网记录 |
指通过日志储存的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等 |
|
个人常用设备信息 |
指包括硬件序列号、设备 MAC 地址、软件列表、唯一设备识别码(如IMEI/Android ID/IDFA/OpenUDID/GUID/SIM 卡 IMSI 信息等)等在内的描述个人常用设备基本情况的信息 |
|
个人位置信息 |
包括行踪轨迹、精准定位信息、住宿信息、经纬度等 |
|
其他信息 |
婚史、宗教信仰、性取向、未公开的违法犯罪记录等 |
二、请求权的选择,隐私权还是个人信息权?
在涉及个人信息保护纠纷中,很多原告会将隐私权作为请求权的基础或者基础之一。文首提及的“豆瓣”APP案和“51talk”案如是,年初由深圳市南山区法院审理的王某某诉深圳市腾讯计算机系统有限公司网络侵权责任纠纷也如是,2020年北京互联网审理的“微信读书案”和“抖音案”亦如是。那么,个人信息和隐私究竟该如何区分呢?如何主张请求权才能充分保障自身权益?
1、隐私的定义、认定标准和常见类型
《民法典》第一千零三十二条第二款规定,“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。尽管有前述规定,隐私的认定仍是一个复杂的问题,需要根据具体情况进行个案认定。最高人民法院在2014年发布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条曾列举了部分常见的隐私信息,即自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等,但随着《民法典》的生效,最高院已将该条删除。即便是在具有悠久隐私保护历史的美国,自沃伦和布兰代斯在1890年提出隐私概念以来,至今已有一百余年的历史,期间还出现了《美国宪法第四修正案》和众多隐私保护经典判例,并衍生出了在世界范围内被广泛使用的合理期待理论这一隐私判断标准,但其亦未能在立法层面对于隐私的常见类型上给出明确规定。
判断某项信息或活动是否属于隐私,就不得不提到合理期待理论这一被广泛接受的判断标准。该标准包含主观和客观两个条件:一是主观判断标准,即个人具有对其行为或信息享有隐私保护的期待(a person has a constitutionally protected reasonable expectation of privacy),“权利人希望自己的某种隐私在特定情形下应该收到保护,禁止他人非法披露、非法打扰,而不当然需要个人积极采取措施予以保护”,如果个人在明确标注为监控摄像区域的公开场合展示或为某种行为,则可以合理推断其对该等行为不具有隐私保护的主观预期。但需要指出的是,一个人对其隐私的合理期待可能与其个人经历密切相关,因此,在判断个人隐私的主观合理期待时,还需要考虑个人的特殊经历等具体情况;二是客观判断标准,社会主流观点或在普通公众看来,个人就该等信息存在隐私期待是合法、合理的(that the expectation be one that society is prepared to recognize as "reasonable"),这通常要考虑多种因素,比如特定场景、当事人、当事人的行为及其主观目的等。如在“微信读书”案,法院在分析涉案个人信息是否属于隐私项下的私密信息时指出,“关于‘不愿为他人知晓’的‘私密性’,强调主观意愿,该主观意愿不完全取决于隐私诉求者的个体意志,应符合社会一般合理认知。社会一般合理认知,可能受到地域、文化传统、法律传统、习惯风俗、经济发展状况、社会普遍价值观等因素的影响”,明显是在援引合理期待理论。
隐私的常见类型,基于目前的通识主要包括个人基因信息、性取向、尚未公开的犯罪记录、个人疾病史等。至于社交关系、个人上网记录、手机通讯录等,则需要根据实际情况判断是否构成隐私。
2、个人信息和隐私的关系
个人信息和隐私存在一定重合,个人信息中的私密信息,属于隐私。《民法典》第一千零三十四条第二款规定,“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。
同时,个人信息和隐私在特性、价值和外在表现形式方面存在明显差异:(1)从特性方面看,个人信息的突出特点在于其识别性,即单独或者与其他信息相结合,能够指向和锁定某一特定自然人;隐私的突出特点则是私密性,外化为隐私的持有主体不想为公众知悉其某一或某些特定消息/行为而采取措施主动遮掩或被动的不披露、不外传、不展示;(2)从经济价值角度看,个人信息具有很高的经济价值,尤其是在高度数字化的今天,随着大数据计算和5G技术的普遍应用,个人信息的处理和使用越来越成为数字经济的重要基石;多数情况下,隐私则不具备经济价值属性;(3)从外在表现形式看,个人信息无论是以电子形式还是以其他形式,通常都载于一定载体之上并可复制;但是隐私除了包含私密信息外,还包含私密活动。
实践中容易引发争议的往往是私密信息的判断,即该等个人信息是否属于私密信息。由于隐私判断标准基于个案审查,导致不同主体对于私密信息的认定经常莫衷一是,这也是此前南山法院关于微信好友关系不构成隐私的判决作出后引发广泛讨论的原因。
3、请求权基础的选择
鉴于隐私权侵权的构成标准相较来说更为严格,在实际起诉时建议慎选将隐私权作为唯一请求权基础。根据《民法典》的规定,明确构成侵害隐私权的行为主要有如下几种:(一)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;(三)拍摄、窥视、窃听、公开他人的私密活动;(四)拍摄、窥视他人身体的私密部位;(五)处理他人的私密信息;(六)以其他方式侵害他人的隐私权。
如果权利人无法准确判断究竟是侵害隐私权还是个人信息权,建议将二者并列起诉,以期最大限度维护合法权益,避免败诉。如上所述,个人信息的判断相对容易,但是隐私的认定存在很大弹性和不确定性。前文提及的“微信读书”案和“抖音”案莫不如是。而仅选择隐私权作为请求权基础的“微视”案,以及“爱奇艺公布观影记录”案,目前一审均败诉。
需要注意的是,侵害隐私权的行为并不以涉案信息为隐私信息为前提,利用他人个人信息实施侵害权利人私人生活安宁的,同样构成隐私权侵权。如作为个人信息的姓名、手机号、邮箱等,单纯、独立的来看,其并不属于私密信息,在正常的社交活动中,权利人经常主动将该等信息提供给他人。但是擅自收集该等信息并实施侵害权利人私生活安宁的,仍然构成侵害隐私权,海淀法院审理的王某诉北京淘友天下科技发展有限公司侵害隐私权纠纷就是一例。该案中,被告通过其所运营的“脉脉”平台注册会员上传的信息(原告有朋友注册并成为“脉脉”会员)获得了未在平台注册的原告的手机号码,通过与该号码相关的用户情况,计算评估形成原告的关系网,未经原告同意擅自向原告发送了含有原告本人及朋友姓名的推荐信息。
此外,多种个人信息的结合,也有可能使得个人信息变成私密信息。如在庞某诉北京趣拿信息技术有限公司、中国东方航空股份有限公司隐私权纠纷案⑪,二审法院认为,“本案中,即使单纯的庞理鹏的姓名和手机号不构成隐私信息,但当姓名、手机号和庞理鹏的行程信息(隐私信息)结合在一起时,结合之后的整体信息也因包含了隐私信息(行程信息)而整体上成为隐私信息”。
三、管辖法院的选择
个人信息保护纠纷案件,根据《民事诉讼法》的第二十八条的规定,“由侵权行为地或者被告住所地人民法院管辖”,其中侵权行为地包括侵权行为实施地、侵权结果发生地。如果侵权行为是通过信息网络实施的,基于《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第二十五条的规定,“侵权行为实施地包括实施被诉侵权行为的计算机等信息设备所在地,侵权结果发生地包括被侵权人住所地”。鉴于此,个人信息保护纠纷案件的管辖法院包括被告住所地人民法院、侵权行为实施地人民法院(含被诉侵权行为的计算机等信息设备所在地人民法院)、侵权结果发生地人民法院(含被侵权人住所地人民法院)。
需要强调的是,在通过信息网络环境下的个人信息保护纠纷,部分系涉嫌侵权主体超范围使用个人信息,在此情况下,存在合同违约(即平台违反《用户协议》或《隐私政策》的约定)之诉和侵权之诉的竞合。该种情况下的管辖法院,应根据权利人选择的案由确定管辖法院。
四、部分请求权不受诉讼时效限制
《民法典》第995条规定:“人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权,不适用诉讼时效的规定”。个人信息权是人格权的一种,因此同样适用上述人格权的规定,请求权中与人身权益相关的部分不受诉讼时效的限制。
参考文献:
1.详见北京互联网法院微信公众号2021年4月15日发布的题为《e案快讯| 北京互联网法院受理涉“豆瓣”APP隐私权、个人信息保护纠纷案》的报道;
2.详见《南方都市报》2021年2月2日刊载的题为《首例!手机号被注册51talk账号,公民诉商家侵犯安宁权》的报道;
3.黄某诉腾讯科技(深圳)有限公司、腾讯科技(北京)有限公司、深圳市腾讯计算机系统有限公司隐私权、个人信息权益网络侵权责任纠纷,一审北京互联网法院,案号:(2019)京0491民初16142号;
4.详见国家市场监督管理总局国家标准化管理委员会于2020年3月6日发布的《信息安全技术 个人信息安全规范》,编号:GB/T 35273-2020,2020年10月1日起实施;
5.王某某诉深圳市腾讯计算机系统有限公司网络侵权责任纠纷,一审深圳市南山区人民法院,案号:(2020)粤0305民初825号;
6.凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷,一审北京互联网法院,案号:(2019)京0491民初6694号。该案中,原告凌某某使用的手机通讯除本人外没有其他联系人,利用该手机注册、登陆“抖音”APP,发现大量好友被推荐为“可能认识的人”,包括多年未联系的同学、朋友。凌某某认为“抖音”APP非法获取、保存、利用其手机号码、社交关系、地理位置、手机通讯录等个人信息和隐私,侵害了其隐私权和个人信息权益,故起诉至法院;
7.源自Mr. Justice Harlan 在Katz v. United States, 389 U.S. 347(1967)案中的陈述;
8.王利明,《论美国隐私权法中的合理期待理论》, 摘编于《王利明学术文集-人格权编》,北京大学出版社2020年8月版;
9.吴某诉北京爱奇艺科技有限公司隐私权纠纷, 一审上海市青浦区人民法院,案号:(2020)沪0118民初18295号,该案中,原告认为被告在二者的网络服务合同纠纷案中,公开披露其于爱奇艺平台的观影记录,构成对其个人隐私权的侵犯;
10.详见北京市海淀区人民法院官网于2021年2月7日发布的题为《以朋友名义向未注册用户发送信息,“脉脉”网站被判侵害隐私权》的报道;
11.庞某诉北京趣拿信息技术有限公司、中国东方航空股份有限公司隐私权纠纷案,一审北京市海淀区人民法院,案号:(2015)海民初字第10634号;二审北京市第一中级人民法院,案号:(2017)京01民终509号;再审北京市高级人民法院,案号:(2017)京民申3835号。
注:学会官方公众号原创,未经授权禁止转载。