随着互联网、大数据、人工智能的发展,数据资料在科技应用中所扮演的角色越来越重要,个人数据的使用让我们的生活更加便捷。然而,以支付宝、Facebook为代表的互联网企业,却在用户使用的过程中涉嫌非法使用用户个人信息数据。在对此感到恐慌过后,我们更应该思考:企业抓取个人信息数据的界限在哪儿?个人信息被利用后用户该如何得到救济?个人信息和数据保护应当如何完善?
本文为作者向无讼阅读独家供稿,转载请联系无讼阅读小秘书(wusongyueduxms)
本文继《我国个人信息的侵权法保护路径(上)》本文内容包括个人信息侵权的民事诉讼类型、比较法研究和结论。
本报告从个人信息的民法保护侵权路径出发,探究了个人信息侵权的归责原则、构成要件、举证责任制度以及民事诉讼类型,并从比较法研究的角度着重介绍了欧美在个人信息侵权诉讼上的集体诉讼制度,和个人信息侵权的损害界定以及可诉性判断,从而提出笔者观点。
五、个人信息侵权民事诉讼类型
个人信息侵权案件当中,受害人除了单个个人之外,还有可能涉及广泛的主体,如果被侵权主体人数众多,则有必要研究此类侵权案件的诉讼类型。
我国民事诉讼主要有三种类型:单独诉讼、共同诉讼和代表人诉讼,在个人信息侵权案件中,当事人一方或双方为2人但不足10人的,采用共同诉讼制度;当事人一方人数众多(一般10人以上)的,采用代表人诉讼制度。此处探讨行为人人数众多和被侵权人人数众多的情况下,个人信息侵权案件在我国的民事诉讼类型。
(一)共同诉讼
①行为人是2至10人,泄露了个人信息,构成共同侵权行为,需要承担连带责任,应适用必要共同诉讼制度;②当某一行为人实施了侵害他人个人信息的侵权行为,被侵权人主体为2至10人,这些被侵权人起诉时,可以选择分别起诉,也可以选择合并一同起诉,一同起诉则适用普通共同诉讼制度。
(二)代表人诉讼
在个人信息侵权案件中,如果当事人一方人数众多(超过10人),引起了多数人受害的群体性纠纷,则采用代表人诉讼制度,由众多一方当事人选出代表人代表自己一方进行诉讼,其裁判效力及于代表人自己和所代表的当事人,可分为起诉时人数确定的代表人诉讼和起诉时人数不确定的代表人诉讼。
(三)案例[1]
2012年CCTV“315”上曝光了招商银行、工商银行、农业银行等银行内部员工泄露、出售客户信息,其中招商银行信用卡中心风险管理部贷款审核员胡斌,向朱凯华出售个人信息300多份。中国工商银行客户经理曹晓军,通过中介向朱凯华出售个人信息高达2318多份。朱凯华逐个进入网银,用猜测的密码尝试操作,造成受害人损失3000多万元。本案中,刑事上,银行工作人员构成出售、非法提供公民个人信息罪,朱凯华构成非法获取公民个人信息罪和盗窃罪。民事上,造成损失的受害人可提起民事诉讼,如果提起民事诉讼的被侵权人人数在两人以上,十人以下,法院认为可以合并审理,当事人也同意合并审理的诉讼,可以在诉讼时合并审理,适用普通共同诉讼制度;如果被侵权人的人数在十人以上,可以依据实际情况采用代表人诉讼的方式。
六、比较法研究
(一)欧美集体诉讼制度
1. 美国
不同于我国的个人信息侵权诉讼类型,美国有集体诉讼制度,美国的集体(集团)诉讼制度在世界范围内产生了重要的影响和示范作用。美国有联邦和州两套法院制度和民事诉讼制度,联邦的集体诉讼制度规定在《联邦民事诉讼规则》中。集体诉讼规则采用四个方式予以救济:第一,集体代表提起的集体诉讼必须取得法院认可才能作为集体诉讼进行;第二,法院确认集体诉讼后,集体代表应向所有集体成员发出集体诉讼确认通知;第三,集体诉讼的和解和撤诉应通知集体成员,并取得法院批准;第四,除了从胜诉金额中分担诉讼费用外,集体成员不承担包括律师费在内的诉讼费。
根据一份关于美国个人信息侵权诉讼的实证分析报告,该类案件中私人型集体诉讼(privateclassaction)比非集体诉讼多30%[2],笔者查阅到的典型判例有:美国谷歌公司因涉嫌侵犯用户隐私于2010年10月25日遭集体诉讼,原告指认谷歌互联网搜索引擎将用户个人信息透露给第三方[3];苹果涉嫌以违法的形式收集了用户的个人信息并向第三方渠道出售,由美国波士顿的多名用户发起集体诉讼[4];Facebook面临一项集体诉讼--因其使用的面部识别技术违反了伊利诺伊州在2008年通过的一项法律--生物信息隐私法案(BIPA)[5]等。
2. 欧盟
欧盟集体救济制度的建构之路比较曲折,2013年6月11日,经过长时间的工作和慎重的考虑,欧盟委员会认识到建立一个强制性的欧盟层面的集体救济指令难度较大,转而以更柔软的方式发布了《欧盟集体救济建议》(European Commission‘s Recommendationon Common Principles for Injunctiveand Compensatory Collective Redress Mechanismsinthe Member States),列举了在消费者、反垄断、环境保护、金融服务等集体救济机制构建中所应遵循的一系列具有普遍价值的原则性规定,但不具有强制约束力,建议成员国在两年内将上述规定融入到本国已有的或在建的群体性诉讼机制中。[6]欧盟在集体诉讼救济制度上是否有立法权力仍是很有争议的问题。[7]
2018年5月即将实施的欧盟《一般数据保护条例》第八章救济、责任与惩罚第80条规定:“不论数据主体是否委托,成员国都可以规定,本条第1段所规定的任何机构、组织或协会如果认为本条例所规定的数据主体的权利已经因为处理而受到侵犯,都有权在成员国向第77条规定的有权监管机构提起申诉,行使第78条和第79条规定的权利。”第80条第1段规定“非盈利机构、实体或协会应具备如下条件:按照成员国法律设立,其章程目标是实现公共利益,在为了保护数据主体的权利与自由而代表个人提起申诉方面表现积极。”这种由非营利机构、组织或者协会提起的诉讼,笔者的理解是其性质属于公益集体诉讼。
笔者查阅欧盟在个人信息侵权的案件并不多,仅查到2014年,欧盟区用户向Facebook提起的集体诉讼由奥地利法院正式受理,诉讼指控Facebook侵犯用户隐私以及违反欧盟相关法律。据TechCrunch报道,超过11000人报名参与了对Facebook欧洲爱尔兰子公司的集体诉讼。法律系学生MaxSchrems在奥地利发起对Facebook的集体诉讼,指控Facebook侵犯了欧盟区众多用户的隐私,并违反了欧洲数据隐私法案。
3. 笔者思考
关于我国是否有必要引入集体诉讼制度,在法律技术层面上来讲,这并非难题,但各国都有各自不同的国情,在美国行得通未必在我国就能生根发芽。笔者认为现阶段我国不适宜引入个人信息侵权的集体诉讼制度,主要理由有两点。
第一,从审判效果上看,一例集体诉讼案件解决的问题和具有的社会影响力不是单独诉讼案件可比;从社会效果上看,集体诉讼往往针对的是大型企业,原告一方通常涉及广泛的群体,社会影响深远,关注度高。因此,集体诉讼案件中对法院的要求与普通单独诉讼案件不同,需要将法院的消极司法转变为积极,这需要落实法院的独立审判权,使之不受任何力量的干扰。集体诉讼制度的核心问题是法院的定位问题,即法院在社会中发挥什么样的作用。这个角度来讲,我国现阶段尚不适宜引入集体诉讼制度。
第二,我国现阶段有公益诉讼制度,根据《民事诉讼法》第五十五条规定:“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼。人民检察院在履行职责中发现破坏生态环境和资源保护、食品药品安全领域侵害众多消费者合法权益等损害社会公共利益的行为,在没有前款规定的机关和组织或者前款规定的机关和组织不提起诉讼的情况下,可以向人民法院提起诉讼。前款规定的机关或者组织提起诉讼的,人民检察院可以支持起诉。”对于损害众多消费者合法权益的损害社会公共利益的行为,有权机关可以提起公益诉讼。笔者认为在个人信息侵权案件中,如果侵犯了众多消费者的合法权益,也可以提起公益诉讼。如果在现有的诉讼制度框架内,可以有效解决信息侵权案件的诉讼问题,则无须再引入集体诉讼制度,浪费立法和司法成本。
(二)个人信息侵权损害界定以及可诉性判断
1. 美国判例
笔者阅读了美国最近的一个案例CareFirst, Inc. v. Attais,再次触发对个人信息泄露侵权案件中损害的界定以及原告诉讼主体资格的判断标准问题。
Carefirst是一家美国医疗保险公司,2015年4月遭到黑客袭击,众多客户的个人信息遭到泄露,原告组成集体诉讼起诉Carefirst,地方法院认为原告没能举证其遭受了具体的损失或者未来极大可能遭受损失,缺乏ArticleIII的诉讼资格,因此驳回起诉。上诉法院:首先论证其对该案有管辖权。其次,论证本案的争议焦点,即whether the plaintiffs have standing to bring their action against CareFirst.上诉法院的意见是认可原告已经阐明了其未来可能遭受损害的危险,并且引用了第七巡回法院的观点,这些黑客攻击数据库并窃取个人信息终是一种危险,其必有不正当目的。[8]因此,本案被发回重审,因不能超越审理范围,故未讨论个人信息泄露在何种程度上构成损害满足诉讼条件的问题。
关于个人信息泄露所受损害应达到什么程度方具有诉讼主体资格,美国联邦上诉法院间有不同的观点,联邦第六、第七、第九和华盛顿巡回法院认为只要证明存在信息盗窃的基本风险便可以提起诉请,而第三和第四巡回法院认为这样的损害属于投机性风险(speculative)。此前Clapper v. Amnesty International案中法院指出原告具有诉讼资格须证明其受到实际损害(injury in fact, injury that is concrete, particularized, and actual or imminent),2016年,Spokeo, Inc. v. Robins[9]一案确定了一个重要的标准:个人信息遭受损害的程度须是已存在的或者具有紧迫性的,而非推测或假设的(“actual or imminent, not conjectural or hypothetical”),方可构成诉讼的条件。为了满足宪法第三条的规定,原告获得诉讼资格,必须证明三个要件:1.事实上受到的损害,它是(1)具体和特定的(concrete and particularized)(2)事实已存在的或者具有紧迫性的,而非推测或假设的(actual or imminent, not conjectural or hypothetical);2.导致受害人的损害的行为可以追溯到被告的被控诉行为上;3.与仅仅是推测性的相比,这种损害有可能通过有利的法院判决得到判决。
Daniel Solove教授在Privacy and data security violations: what’s the Harm?一文中称法院通常会寻求认定损害具备“visceral and vested”的特征:损害必须是visceral--它们必须涉及一些明显的身体损害或经济损失;损害必须是vested--它们一定已经发生了。Daniel Solove教授列举了三种法院通常会驳回的损害主张及理由:1.个人信息泄露造成的精神损害,因为人们很容易说自己受到了情绪损害,精神损害很难证明;2.个人信息泄露增加了他们个人身份被窃、欺诈和其他损害的未来危险,对于未来的损害风险,法院则通常希望看到实际表现出的损害,而不是正在孵化的损害;3.个人信息泄露导致他们花费时间和金钱避免欺诈等发生,这是你自愿的支出,此前的In re Hannaford Bros. Data Security Breach Litigation(Maine Supreme Court , 2010),法院称法律并未规定时间和金钱的支出是一种损害。[10]正因为如此,一份报告中也作出了被驳回的案件中有很多是由于原告未能证明实际损害的结论。[11]
然而在很多案件中法院都支持了原告的未来可能遭受的损害赔偿的请求,为何在个人信息案件中却不能支持呢?DanielSolove教授认为有几个原因,第一,现在无论大小公司都掌握了大量的个人信息,承认损害即可能意味着大量公司面临破产;第二,个人信息泄露之后要过很久才会显现出损害,甚至在诉讼时效之内都未显现;第三,即使未来损害可能发生了,也不能就此确定该损害是由目前的信息泄露导致,不能特定性;第四,碎片化的信息很难形成证据链,需要前后间隔一定时间段组合的信息才能判断损害发生的来源。[12]也正是因为个人信息泄露案件的特殊性,法院通常不支持尚未造成的未来的损害赔偿的请求。
2. 笔者思考
美国关于个人信息泄露损害程度的可诉性问题,与我国的个人信息侵权案件中的证明对象问题一致。个人信息泄露侵权行为的构成要件是否应当包含损害事实,以及损害事实应当达到什么样的程度。从我国目前的个人信息侵权案件来看,基本都要求原告举证其已遭受的损失,若原告未能举证证明其因被告的信息泄露而遭受损失,法院是不支持原告的诉讼请求的。《民事诉讼法》第119条规定了起诉的条件,其中之一是原告须与本案有直接利害关系,而侵权案件起诉需要有相应的请求权基础,即被告的行为侵犯了原告的什么民事权益,原告需要证明自己的某一项民事权益遭受损害。
但在个人信息侵权案件中,其特殊性在于个人信息泄露之后,尚未造成损害之前,个人可否以个人信息权、隐私权等民事权利在未来可能遭受损失为由提起诉讼。对这种个人信息泄露后未来才会可能显露损害的特点,DanielSolove教授举了一个生动的例子:假设你感染了一种在你的血液中默默等待10年然后突然有一天可能会杀死你的病毒,法院不会受理直到你有了实际损害,然而这时可能损害已经很严重了,因此,你只有放任自己的信息暴露,等着损害的实际发生,法院才会受理并支持你的请求,而且你还要祈祷在诉讼时效内实现。[13]我国有的观点认为当前个人信息泄露状况严重,原告只要证明其个人信息遭泄露,不需要证明实际损害,就可以提起诉讼,并且适用举证责任倒置,加重被告的举证证明责任,以此来督促掌握个人信息的机构和组织妥善保管个人信息和从合法渠道获得个人信息。
但笔者认为这样的个人信息侵权法律制度构造存在很大问题,第一,只要证明被告与本人联系这一事实就可以被告非法获得身份提起诉讼,很容易引起当事人滥诉。原告还应该继续举证这种联系侵犯了自己的隐私权等民事权利,因此而遭受了一定的损害。第二,当事人滥诉会给司法带来沉重负担,浪费司法资源,在当前法院案件激增而人手紧张的情况下,无异于雪上加霜。司法权应当保持克制和自律,司法作为解决冲突的工具,但不是唯一的工具,在任何一个社会,纠纷的解决机制应当是多元的,可以依靠其他方式来救济,比如行政上的救济,成本会更低。退一万步,如果社会个人信息泄露侵权到了无可复加的程度,可以由国家相关行政机关设立专业性更强的纠纷解决机构,专门受理此类问题。如欧盟《一般数据保护条例》规定的救济途径之一为每个数据主体都有向监管机构进行申诉的权利,监管机构往往具有更强的专业性,掌握更多信息,能够更有效处理纠纷。第三,这种制度设计使被告的举证负担过重,采用了过错推定原则,类似于“有罪推定”,被告要对自己知晓原告的信息正当进行举证,这使得社会上的每个个人和组织在获取他人信息的时候都要格外留意,注意留存证据。个人信息侵权案件中体现了信息自由流通和隐私保护之间的价值平衡,隐私属于信息,不仅承载了个人人身权利,也具有消除交易成本的作用,未来的社会必将是信用的社会,信用社会的建立基础是对个人信息的搜集和分析。被告举证责任负担过重无疑加大了社会互联互通的成本和负担,也不利于信用社会和诚信社会的建设。
七、结论
个人信息保护的问题得到高度重视,本文着重研究了个人信息的民法保护中的侵权法路径,总结了个人信息侵权案件的归责原则、构成要件、举证证明责任分配以及民事诉讼类型,并从比较法的角度介绍欧美集体诉讼制度以及对损害程度的界定。笔者在个人信息侵权的举证责任分配、构成要件和民事诉讼类型等存在争议的问题上提出了个人观点。
第一,关于举证责任分配,可以区分不同的侵权主体,针对政府机关和法律法规授权的组织,宜采取举证责任倒置的规则;针对自然人、法人和其他组织,更宜沿用“谁主张谁举证”的举证证明责任分配,但在具体案件中,法官有权根据案件情况行使自由裁量权,如采用举证责任倒置,则必须说明充足的理由。
第二,关于个人信息侵权案件的构成要件,笔者认为原告除须证明被告的行为与个人信息泄露相关之外,还应该继续举证这种联系侵犯了自己的隐私权等民事权利,并因此而遭受了一定的损害。
第三,关于我国是否可引入个人信息侵权的集体诉讼制度,笔者认为我国个人信息侵权案件中,如果侵犯了众多消费者的合法权益,可以在现有的制度框架内提起公益诉讼。如果在现有的诉讼制度框架内,可以有效解决信息侵权案件的诉讼问题,则无须再引入集体诉讼制度,浪费立法和司法成本。
注释:
[1] http://jingji.cntv.cn/20120315/122436.shtml
[2] Sasha Romanosky, David Hoffman, Alessandro Acquisti,Empirical Analysis of Data Breach Litigation,the Journal of Empirical Legal Studies, Temple University Legal Studies Research Paper No. 2012-30,Electronic copy available at: http://ssrn.com/abstract=1986461.
[3] https://news.qq.com/a/20101105/000161.htm
[4]http://www.feng.com/apple/news/2014-01-17/Apple_to_sell_user_information_to_third_parties_due_to_the_involvement_of_a_class_action_574133.shtml
[5] http://www.biometricupdate.com/201702/facebook-facial-recognition-lawsuit-put-on-hold
[6] 范晓亮:《群体性诉讼探索的新经验——<欧盟集体救济建议>述评》。
[7] http://roadmap2014.schoenherr.eu/ecs-recommendation-collective-redress-mechanisms/
[8] As the Seventh Circuit asked, in another data breach case where the court found standing, "Why else would hackers break into a . . . database and steal consumers' private information? Presumably, the purpose of the hack is, sooner [*629] or later, to make fraudulent charges or assume those consumers' identities."
[9] 该案介绍详见Daniel Solove :When is a person harmed by a privacy violation? http://www.teachprivacy.com/thoughts-on-spokeo-v-robins/
[10] Daniel Solove, Privacy and data security violations:what's the Harm, linkedin, June 25, 2014.
[11] Sasha Romanosky, David Hoffman, Alessandro Acquisti,Empirical Analysis of Data Breach Litigation,the Journal of Empirical Legal Studies, Temple University Legal Studies Research Paper No. 2012-30,Electronic copy available at: http://ssrn.com/abstract=1986461
[12] Daniel Solove, why the law often doesn’t recognise privacy and data security harms? https://teachprivacy.com/law-often-doesnt-recognize-privacy-data-security-harms/
[13] Daniel Solove, Privacy and data security violations:what's the Harm, linkedin, June 25, 2014
编排/郗博鸣