作者:肖瑾 戴月 宋君 李政浩 李天任 刘润泽 周小琪 周佳欣 争议解决部 金杜律师事务所
引言
近年来,伴随着网络传输技术的提升,以及应运而生的云计算、大数据等信息技术的快速发展和传统产业数字化的转型,全球数据信息总量呈现几何级增长,据国际数据公司(IDC)预测,2020年全球信息数据总量预计可达到44个ZB(Zettabyte),我国数据量将达到8060个EB(Exabyte),占全球数据总量的18%。在数字贸易逐渐替代传统贸易模式的同时,加强个人信息以及隐私权保护的趋势也愈发明显。在现有法律基础下,我国在《民法典(草案)》中特别将“隐私权和个人信息保护”增设为独立的一个章节,对相关法律制度做出了重大改进。为顺应立法方向,有必要进一步提高对个人信息和隐私权保护的重要性认识。
一、个人信息及隐私的概念和联系
(一)个人信息的概念
个人信息在《中华人民共和国民法总则》、《中华人民共和国网络安全法》、《中华人民共和国电子商务法》及《中华人民共和国消费者权益保护法》等均有所规定。其中,《网络安全法》对其给予了明确的定义,[1]即以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。此外,我国《民法典(草案)》还将自然人的行踪信息纳入了被保护的对象,扩大了民法对于个人信息的保护范围。
(二)隐私的概念
对于隐私,《民法总则》等相关法律也作了规定。根据《民法总则》中相关条款[2]的条文释义,隐私权是指自然人享有的私人生活安宁与私人生活信息依法受到保护,不受他人侵扰、知悉、使用、披露和公开的权利。
我国的《民法典(草案)》进一步拓宽了隐私的概念。依照《民法典(草案)》第一千零三十二条的规定,“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”依照上述规定,除“私密信息”之外,自然人的“私密空间”和“私密活动”同样受到我国民法的保护,并强调了民法保护隐私权的核心价值在于维护自然人的“生活安宁”。这一规定也与目前司法实践中判断经营者是否侵犯消费者隐私权时考量的因素相一致。
例如,在某通信公司之间的合同纠纷中,对于双方之间签订的向主叫用户提供被叫用户开机提醒业务的合作合同,法院认为由于被叫用户何时处于可接通状态属于被叫用户私人空间领域的个人信息,享有允许他人知道或不知道、公众公开或不公开及不被他人所知悉的权利,即属于隐私权的保护范围,从而最终认定该合作合同因违反法律法规的强制性规定而无效。
(三)二者在消费者纠纷案件中联系
由上述概念定义可以看出,个人信息与隐私之间虽同属个人人格权的范畴,但其内容并不尽相同。例如,个人信息更注重身份识别属性,而隐私则更注重私密性;个人信息主要以信息载体形式予以表现,而隐私除信息形态外还有包括空间、活动等等。但同时,侵害个人信息或隐私的同时有可能会造成对另一种权利的侵害,故此两者之间又有较大的重合,这一点在消费者权益纠纷案件中体现的尤为明显。
例如,在消费者与某购票平台之间的隐私权纠纷案件中,对涉案的姓名、电话号码及行程安排等事项是否可通过隐私权进行救济这一问题,法院分析认为,对于个人信息是否属于隐私,属于救济和保护思路的不同,但其不应成为对个人信息在个案中具体保护的妨碍。具体而言,消费者的行程安排属于私人活动,故而可以通过隐私权主张救济;而姓名与手机号码从各自单独角度出发并不属于严格的隐私信息,但当其作为一个整体信息、特别是与行程安排组合则构成了整体的隐私信息。最终,法院认定涉案的姓名、电话号码及行程安排等均可以通过隐私权纠纷而寻求救济。
消费者在向经营者提供的个人身份信息往往综合个人基本信息(如姓名、电话号码等)以及其他隐私信息(如身份证号、银行卡号等),且经营者会据此形成针对该消费者的特有信息(如行程安排、消费信息等)。故在发生纠纷时,往往会像上述案例中一样,涉及到侵害个人信息及隐私的竞合,而法院在审理时也往往从保护消费者角度出发,结合消费者选择主张的权利及案件实际情况,对两者之间联系的问题进行适当的从宽解读。
二、消费者个人信息及隐私纠纷的举证责任
对于消费者个人信息及隐私的侵害,一般会通过以下几种形式发生。其一,经营者对消费者的个人信息进行非法收集,例如未经消费者同意即进行个人信息收集,或在收集时超出了合理必要的限度等。其二,经营者对收集到的消费者信息进行非法交易,例如经营者将收集到的个人信息进行了加工并出卖,进而从中获利。其三,个人信息被第三方窃取,例如经营者收集信息后,因疏忽或系统存在漏洞,被第三方以攻击、植入病毒等方式非法获得消费者个人信息进行。
无论通过哪种形式,最终结果均为消费者的个人信息被经营者之外的第三方所利用,从而导致消费者的损害。故此,在处理消费者个人信息或隐私权纠纷的诉讼时,除信息发生泄露、消费者存在损失这些事实之外,消费者与经营者之间的核心争议焦点往往落在消费者个人信息的泄露途径,以及经营者是否存在过错等问题上。
由于个人信息及隐私权纠纷属于我国《侵权责任法》中规定的一般侵权纠纷,对于这些问题的举证责任,传统上法院倾向于按照“谁主张、谁举证”的一般原则,要求消费者对侵权行为发生的事实以及经营者是否存在过错承担举证责任。例如,在消费者与某网购平台之间的侵私权纠纷案中,消费者在该平台网购后接到诈骗电话,对方准确提供了消费者的网购信息,从而使消费者被诈骗相应钱财。该案中,消费者举证提供了网购的信息、诈骗电话信息及受骗转账信息等,并提供了部分网络上针对该网购平台安全漏洞、发生消费者信息泄露的新闻消息,以及网络白客公布的该网购平台的安全漏洞等。但法院认为,该案经公安机关侦查尚未告破,并不确定信息泄露的实际途径,消费者提供的证据不足以证明网购平台存在侵权行为,并据此驳回了消费者的诉讼请求。
但随着我国对个人信息保护要求的不断增加,对于这一举证责任问题,司法实践也在朝向越来越有利于消费者的角度进行权衡,并综合当事人的举证能力等因素确定各方应承担的举证责任。
目前司法实践中,法院总体倾向于认为,消费者不具备对经营者内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此,法院通常不会要求消费者提供经营者泄露了其隐私信息的确凿证据。相反,因保护消费者信息既是经营者的社会责任,也是经营者的法律义务,当消费者证明信息泄露并非其个人原因所致的情况下,法院通常会认为经营者存在泄露消费者个人隐私信息的高度可能,满足了高度盖然性的证明标准,进而认定经营者泄露了消费者的个人信息。同时,根据《消费者权益保护法》第二十九条第二款规定,“经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。故法院据此将“是否存在过错”的举证责任倒置,意味着经营者需证明自己对泄露消费者个人隐私信息的事实不存在过错。
例如,在一起消费者与某航空公司之间的侵权责任纠纷中,法院认定消费者举证证明其提供了个人信息给航空公司,而后收到载有详细航班信息的诈骗短信,该证据已达到高度盖然性,能够证明个人信息系从售票渠道泄露出去。而消费者并不具备进一步的举证能力,经营者则应举证证明其并未泄露信息或信息系由第三方泄露,以及其已经采取了确保消费者信息安全的技术措施和其他必要措施的事实,并承担举证不能的不利后果。
这一举证责任的分担重点在于要求经营者举证证明其未泄露信息或信息由第三方泄露,而单纯举证自身安全技术符合要求等则可能无法满足其举证责任。例如,在某网站信息泄露侵权纠纷案件中,虽然网站运营者提交了公安部信息安全等级保护评估中心的测评报告以证明其网络符合相应的安全标准。但法院认为在互联网技术不断发展的情况下,网络安全没有绝对安全,而网站被非法入侵、用户信息被获取,就意味着网站存在缺陷,从而认定网站平台存在漏洞。
由此可见,目前针对消费者个人信息和隐私权纠纷案件中,由于经营者在一定程度上承担自身没有泄露信息或由第三方泄露这一消极事实的证明责任,故其举证责任较大、举证难度也非常高。这一认定方式,虽然较好保护了消费者的利益,也促使经营者不断改进和完善自身网络环境和安全,但对于法院审理尺度的把握也提出了更高的要求,否则也有矫枉过正的风险。
三、侵犯隐私权或个人信息的法律责任
(一)民事责任
当法院最终认定经营者对信息泄露等侵犯个人信息或隐私的事实存在过错后,如何确认经营者应付的法律责任也是值得讨论的问题。对此,我国《侵权责任法》、《消费者权益保护法》、《网络安全法》等均有对于民事责任的原则性规定。目前看来较为常见的责任主要包括经济损失赔偿及停止侵权、赔礼道歉等。
当然,法院也会结合个案中消费者自身的行为及过错程度,对经营者责任承担问题进行综合考虑。例如,在消费者与某网购平台个人信息泄露纠纷案中,法院认为网购平台具有对收集的用户信息严格保密并建立保护制度的义务,并对未能履行该义务承担责任。同时,消费者作为完全民事行为能力的成年人,其在网购时也应具备适当的安全防范意识。本案中,网购平台已经明确答复消费者不提供无理由退换货服务,而消费者后续仍然轻信诈骗分子的退货链接,并提供了卡号、动态密码等,因此其也具有疏忽大意的过失。最终,法院认定消费者承担40%的责任,经营者承担60%的责任。
(二)行政及刑事责任
除民事责任之外,《消费者权益保护法》第五十六[3]条以及《网络安全法》第六十四条[4]等均规定了经营者侵犯消费者隐私或个人信息应当承担的行政责任。除责令改正、罚款及停业整顿等传统处罚事项外,处罚机关还可能将经营者记入信用档案,向社会公布。近年来,涉及隐私权以及个人信息保护的规定、国家标准等数量不断增多,可以预计今后主管部门对经营者利用消费者个人信息的监管会更加严格。
此外,当经营者不履行信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正并造成相应后果的,经营者的行为还可能构成拒不履行信息网络安全管理义务罪[5],依法承担刑事责任。
四、结语
对于经营者而言,保护消费者个人信息及隐私,完善相关技术措施是决定企业能否赢得消费者信誉的重要因素。对消费者而言,增强保护个人信息及隐私权的意识,也是数字经济时代中每一个个体需要具备的素质。数字经济对经营者及消费者均提出了更高的要求,只有时刻谨记个人信息及隐私权保护的重要性,才能最终实现数字经济和个人信息、隐私保护之间的协调发展。
[1]《网络安全法》第七十六条第(五)项
[2]《民法总则》第一百一十条
[3]《消费者权益保护法》第五十六条:经营者有下列情形之一,除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照:
(九)侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的;
经营者有前款规定情形的,除依照法律、法规规定予以处罚外,处罚机关应当记入信用档案,向社会公布。
[4]《中华人民共和国网络安全法》第六十四条:网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
[5]《刑法》第二百八十六条之一 【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。