随着互联网、大数据、人工智能的发展,数据资料在科技应用中所扮演的角色越来越重要,个人数据的使用让我们的生活更加便捷。然而,以支付宝、Facebook为代表的互联网企业,却在用户使用的过程中涉嫌非法使用用户个人信息数据。在对此感到恐慌过后,我们更应该思考:企业抓取个人信息数据的界限在哪儿?个人信息被利用后用户该如何得到救济?个人信息和数据保护应当如何完善?
本文为作者向无讼阅读独家供稿,转载请联系无讼阅读小秘书(wusongyueduxms)
本报告从个人信息的民法保护侵权路径出发,探究了个人信息侵权的归责原则、构成要件、举证责任制度以及民事诉讼类型,并从比较法研究的角度着重介绍了欧美在个人信息侵权诉讼上的集体诉讼制度,和个人信息侵权的损害界定以及可诉性判断,从而提出笔者观点。
由于本报告篇幅较长,为便于读者阅读,现分为上下篇两部分。上篇内容是个人信息侵权的归责原则、构成要件和举证责任制度。
全球个人信息泄露的情况不容乐观,2017年更是以往年份中最糟糕的一年[1],雅虎2017年10月份宣称所有30亿雅虎用户的个人信息被泄露,由此可见,加强个人信息保护迫在眉睫。本文重点讨论的是个人信息的民法保护中的侵权法路径。
个人信息保护的民事法律路径有两种,一是合同法路径,对于存在合意授权个人信息使用的情况下,如果被授权人违反了合同约定泄露了个人信息,则应承担违约责任。契约能够解决存在明示或默示合同关系的当事人之间的纠纷,但对于与合同没有直接关联的其他主体缺乏约束力,存在一定局限性。本文主要探讨的是第二种路径,即侵权法路径。
一、个人信息侵权的请求权基础
1.《民法总则》第一百一十一条:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
2.《侵权责任法》第二条:侵害民事权益,应当依照本法承担侵权责任。本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。
3.《中华人民共和国消费者权益保护法》
(1)第二十九条:经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。
(2)第五十条:经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。
4.《中华人民共和国旅游法》第五十二条:旅游经营者对其在经营活动中知悉的旅游者个人信息,应当予以保密。
有人认为我国没有明确规定个人信息权,《民法总则》也未将个人信息权作为一项明确的民事权利,侵权法路径中缺乏相应的请求权基础。[2]但笔者认为《侵权责任法》第2条明确了保护的是民事权益,包括人身和财产权益,不论将个人信息的保护基础归为人身权还是财产权,或者仅是一种利益,作为信息主体的民事权益,都可将该条作为请求权基础受到保护,而事实上司法判例中多是将隐私权保护作为个人信息侵权的请求权基础。
二、个人信息侵权的归责原则
根据现行规范,个人信息侵权应当适用过错归责原则,过错推定原则和无过错原则都需要法律的明确规定。但是有观点认为:"侵权人只在过错范围内承担侵权责任,但这种归责原则不能有效地制止侵权,因此必须课以严格责任,以过错推定的方式要求其承担侵权责任。"我国个人信息保护法的立法工作还在紧锣密鼓的进行中,但从个别建议稿中来看,基本仅针对损失赔偿责任确立归责原则,并区别不同的侵权主体:对国家机关、法律法规授权的组织,采取无过错归责原则,适用《国家赔偿法》,且免责事由仅限于不可抗力;对自然人、法人或其他组织,采取过错推定归责原则。[3]笔者查阅的资料总结了大部分国家的个人信息保护法确立的是较过错责任更严格的归责原则:过错推定或无过错责任,其中像欧盟、荷兰、比利时、冰岛等的立法例多以举证责任倒置方式推定责任的成立,免责事由多为行为与后果的因果关系不成立,并不关注过错的存在与否。[4]这种主张采用过错推定原则或者无过错原则即应适用举证责任倒置的规定,关于举证责任倒置的具体分析详见下文。
三、个人信息侵权的构成要件
个人信息侵权的构成要件,关乎于诉讼当事人须举证的证明对象。一般侵权行为的四个构成要件:侵权行为、损害事实、侵权行为和损害事实之间的因果关系、主观故意或者过失。有的观点认为个人信息侵权案件中原告无须证明损害事实,凡是以非法手段征集、使用他人信息,或者毁损他人信息,非法侵害他人合法权益的行为,无论是否造成了实然损害,也无论侵权人是否从中获利,均不影响侵权行为的构成,都可以要求侵权人承担侵权损害赔偿责任。这种情况下,原告只需要证明侵权事实,而被告则要证明自己无过错和自己的行为与该事件不存在因果关系。[5]这种观点显然加重了被告的责任,在当前中国个人信息保护法尚未建立之前,对于很多领域中如何准确界定个人信息侵权事实尚是疑问,如果支持原告仅证明侵权事实,无须证明损害事实,则会产生滥诉等问题。
笔者认为个人信息侵权行为的构成要件须有损害事实,即原告需要证明其因被告的侵权行为造成了一定的损害,并且这种损害与被告的侵权行为存在因果关系。个人信息侵权侵害的损害后果主要表现为信息主体在个人信息上的精神利益和物质利益受到损害,对隐私、姓名、名誉等个人信息的传统侵权中,其损害主要表现在精神层面,而个人信息权益被侵害,则经常包括精神利益和物质利益两个层面。如果仅存在侵权行为,而原告不能证明其损害后果,法院一般会作出确认判决,即确认被告的行为系侵权行为,但不能支持原告主张的赔偿请求。
在美国,原告拥有诉讼主体的资格通常须主张其存在可以被审理的损害,以作为联邦法院主张可行的诉讼理由,从这个意义上来说,在美国损害事实是构成个人信息侵权行为的必须的构成要件之一。下文比较法研究部分会重点介绍美国在个人信息侵权损害事实认定上的判例。
四、个人信息侵权的举证责任制度
(一)个人信息侵权的证明标准
民事诉讼的证明标准高度盖然性标准。
(二)个人信息侵权的举证证明责任分配
个人信息侵权案件的举证责任分配制度在司法领域和学术界都存在争议,而举证责任的分配关乎案件最终的判决结果。下文从我国的司法案例和学术观点两方面来探讨我国个人信息侵权的举证证明责任的分配。
1. 司法案例
笔者查阅了两起比较典型的个人信息侵权案件举证责任分配存在争议的案件。
(1)庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷案((2017)京01民终509号)
庞某认为,自己在趣拿公司网站"去哪儿网"购买东航机票,导致个人信息被泄露,东航及趣拿公司应承担相应的侵犯个人隐私权的责任。
一审法院认为现无证据证明趣拿公司和东航将庞某过往留存的手机号与本案机票信息匹配予以泄露,且趣拿公司和东航并非掌握庞理鹏个人信息的唯一主体,法院无法确认趣拿公司和东航存在泄露庞理鹏隐私信息的侵权行为,故庞某的诉讼请求缺乏事实依据,法院不予支持。
二审法院采用了举证责任倒置,法院认为趣拿公司、东航、中航信都存在泄露信息的可能。而从收集证据的资金、技术等成本上看,作为普通人的庞某根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。本案为一般侵权责任纠纷,归责原则为过错责任。东航和趣拿公司均有泄露隐私的高度可能性,但其是否应该承担责任归根到底还须审查其是否有过错,东航和趣拿公司存在泄露庞理鹏隐私信息的高度可能,并且存在过错,应当承担侵犯隐私权的相应侵权责任。
(2)林念平与四川航空股份有限公司侵权责任纠纷案((2015)成民终字第1634号)
林某向四川航空公司官方网站订购机票后收到短信载明了其姓名及详细的航班信息,并提示林某所订购的航班因故将停飞,要求其通过拨打400××××020办理退票或改签手续。后林某另外订购了机票,实际原航班并未取消。林某认为自己被骗起诉四川航空,
一审认为原告承担自己的信息遭泄露的举证责任,因举证不能驳回原告诉讼请求。
二审法院认为"结合案件的具体情况,人民法院可以根据公平原则和诚实信用原则,综合当事人举证能力等因素确定举证责任的承担。""四川航空公司占有或者接近上述证据材料人,有条件并有能力收集相关证据。林念平系远离证据材料、又缺乏必要的收集证据的条件与手段的普通消费者,四川航空公司收集证据的能力明显强于林念平,在举证中处于有利地位。在林念平已经尽自己的所能,将其客观上能够收集到的证据予以举示,证明了其信息在售票渠道被泄露的基本事实,且四川航空公司没有举示证据的情况下,要求林念平进一步举证,显然超出其举证能力,有违公平原则。"基于其他证据和理由,二审法院支持了林某的请求。
这两个案件的共同点有:从案情来看,掌握个人信息的主体以航空公司为主,原告为乘坐该航空公司飞机的乘客,原告均在向航空公司提供个人信息后收到了改签或退票的诈骗信息或电话,而信息或电话中所涉的航班信息属于该航班公司唯一和排他可获取的个人隐私信息,两个案件中所涉航空公司均出现过信息泄露的情况;从双方举证能力来看,原告均在信息掌握方面处于极度劣势地位,而被告公司却是信息控制者,有条件和能力搜集相关证据;从审判结果来看,这两个案件都是二审采用举证责任倒置改判,反映了司法实践中对于个人信息泄露侵权案件的举证责任分配存在一定争议。
上述两个案例中掌握个人信息的主体都是以航空公司为主,那么下面的案例展示的是个人信息侵权案件中主体的多元化,而举证责任基本采用"谁主张谁举证"。
(1)政府类机构
周新营与上诉人中国保险监督管理委员会、北京中科汇联科技股份有限公司网络侵权责任纠纷案((2016)琼02民终375号)
周新营为申请政府信息公开,按中国保监会网站政府信息依申请公开系统的页面提示,向网站提供了个人姓名、身份证号码、通信地址、联系电话等个人信息,2015年5月8日,周新营在百度搜索栏中输入冯勇军的名字,出现冯勇军在中国保监会网站的个人信息页面,再通过更改该页面网址中的最后一排数字便可以搜索到其他人的注册信息。2015年5月10日晚上,中国保监会在获知相关情况后,通过中汇联公司对系统进行升级;通过百度投诉平台提交删除敏感信息申请,至2015年5月13日百度已无法搜索到媒体报道的相关个人信息。据中汇联公司统计,用户编号194(周新营)的注册信息于2014年12月底至2015年5月31日期间共被访问过三次,均于2015年5月10日被访问。中国保监会于2014年底采购了中汇联公司相关网络安全设备及服务。周新营认为中国保监会在履行职责过程中获取个人信息,负有保密义务。现中国保监会未尽保密义务,致公民个人电子信息非法泄露,已构成侵权。
一审法院认为中国保监会因其网站系统漏洞原因,致使周新营在该网站的注册信息可通过非密保途径被其他网络用户查看、获取,侵犯了周新营的隐私权,但中国保监会即使采取措施避免损害扩大,且信息泄露的范围极小,损害很小;现有证据不足以证明周新营因信息泄露遭受严重精神损害。一审法院判决中国保监会在网站上赔礼道歉一天。
二审法院认为互联网网站被非法入侵,用户信息被获取,就意味着这个网站存在缺陷,应认定中国保监会网站系统存在漏洞,但是由于周新营发现其信息被泄露后,没有及时通知中国保监会采取措施,而是放任其信息泄露的扩散,并以此向中国保监会索赔,其目的不具有正当性。周某的财产损失和保监会泄露个人信息不存在因果关系;对于精神损害赔偿来说,其前提是有损害事实,并且必须是确定的,即损害后果在客观上是可以认定的,而周新营以难以确定的、臆测将来可能发生的事件,作为精神损害事实根据,没有法律依据。综上,二审改判,中国保监会无须在网站上道歉。
本案被告一方是政府类的机构,该类机构依据其职权获取个人信息的,负有保密义务。本案中,对于网站泄露个人信息的事实是由原告进行举证,法院查明该泄露原因是由于网站存在漏洞而导致的,因此一二审法院均认定该行为构成侵权。但是由于原告在获知个人信息泄露之后没有及时通知被告,而是放任其扩散,原告在漏洞发生后及时采用措施补救,综合以上事实,二审法院改判了一审要求原告网站道歉一天的判决。另外,本案还有值得关注的是,法院对于侵权结果的判断,财产损失须与本案侵权行为存在因果关系,精神损害不得以难以确定的、臆测将来可能发生的要件作为依据。
(2)电信类公司
朱迎光与中国联合网络通信有限公司连云港市分公司、傅红隐私权纠纷案((2014)连民终字第0006号)
2006年4月25日,本案第三人傅红驾驶小客车沿康泰南路由南向北行驶时,将同向步行的本案朱迎光撞伤,二人因赔偿纠纷诉至法院,庭审期间,第三人傅红向法庭提交了原告朱迎光享有使用权的130××××0202、130××××0739两号码自2006年4月至2007年11月的缴费记录(其中含漫游费用项目)。原告朱迎光以联通连云港市分公司未经朱迎光同意,也未通过司法机关合法途径,将朱迎光的两个手机号码的缴费记录和漫游记录非法泄露给第三人,侵犯其隐私权为由,要求联通连云港市分公司赔礼道歉和赔偿双倍话费。联通连云港市分公司不认可该通讯记录是其提供;且缴费记录并不涉及通话内容,并未侵犯朱迎光的隐私权。第三人傅红承认该缴费记录是由联通连云港市分公司提供。
一审法院认为朱迎光未举证证明该份缴费记录是被告提供,故不支持其诉讼请求。朱迎光上诉称一审对举证责任的分配错误。上诉人两个联通手机号码的使用情况作为上诉人个人隐私,被上诉人作为通讯商有责任和义务进行保密,非经法定合法途径,不得泄漏给他人。被上诉人辩称该案是普通侵权案件,不适用举证责任倒置的规定。
二审法院仍以"谁主张谁举证"的举证责任分配驳回上诉。
本案的被告方是电信类公司,原告主张的是其手机号码缴费记录被泄露侵犯隐私权,两级法院均采用了"谁主张谁举证"的举证证明责任。
(3)金融服务机构
原告孙秀峰与被告中国工商银行股份有限公司北京市分行、肖宽隐私权纠纷案
原告与第二被告肖某(原中国某银行总行职员)经法院判决解除婚姻关系,肖某庭审期间出具了原告某银行卡的交易明细,原告认为第一被告中国某银行分行擅自为第二被告提供原告的账号存款明细,侵害了个人隐私权,诉至法院。第一被告中国某银行认为原告应对银行卡明细的来源承担举证责任且账户交易记录也非法律意义上的隐私权,法院认为原告没有提供直接证据证明其诉争的事实,故驳回原告的诉讼请求。
该案的被告主体是金融服务机构,从该案原告诉争事实的举证难度可以看出金融服务中存在严重的信息不对称,使得金融消费者举证困难,金融业务的专业性又使金融消费者处于弱势地位。
2. 学界观点
举证责任倒置是与"正置"的"谁主张谁举证"相对的,即对侵权行为的构成要件中的某一项或者某几项的证明责任由被告一方承担。根据笔者查阅的关于个人信息侵权案件举证责任的文献,发现主流的观点是个人信息侵权案件应采用举证责任倒置,但侵权行为的构成要件中的哪一要件需要倒置看法不一。如傅蔚冈[6]认为破解个人身份信息泄露的难题来自于举证责任,他认为破解这个困境的可行举措是改变民事诉讼中的举证责任,将"谁主张谁举证"改为"举证责任倒置",原来需要原告提供证据证明被告以不恰当的方式获得个人身份信息,现在原告只要证明被告与本人联系这一事实就可以被告非法获得身份信息提起民事诉讼,而被告则需要提供其合法获得原告身份信息的证明。还有的认为原告(即个人信息主体)证明损害事实和与被告(即掌握个人信息的相关机构)存在某种关联的事实,被告则须证明无侵权行为和无主观过错,以及其行为与损害后果之间不存在因果关系。北京市西城法院法官凡咏齐认为金融消费者信息侵权中应采用举证责任倒置规则,而且他还主张此类案件中侵权行为的构成要件不必包括损害事实,原告只需证明侵权事实(如拨打了骚扰电话),无须证明损害事实的发生,是否能确认泄密者也在所不问,而金融机构则须就其已尽注意义务,制定有严格保密措施,且近期该消费者账户无访问记录提供证据。[7]
现阶段我国关于举证责任倒置的规定主要在《最高人民法院关于民事诉讼证据的若干规定》第四条第(一)(三)(七)(八)项,即新产品专利、环境污染、共同危险、医疗损害侵权案件,这四类侵权行为均有相应的明确的实体法法律依据。总结这四类适用举证责任倒置的案件,发现它们有一些共同特征,可以引用王利明教授在《论举证责任倒置的若干问题》一文中列举了举证责任倒置的条件:(1)实行举证责任倒置必须要有明确的法律依据;(2)原告须离证据较远;(3)根据案件的具体需要,确有必要保护受害人的利益。为了实现正义,举证责任倒置对受害人利益的保护很大程度上是因为受害人就某种事由具有举证障碍。(4)被告就某种事由的存在与否具有证明的可能性。[8]由此可见,个人信息侵权案件如适用举证责任倒置需要满足一定的条件。
支持个人信息侵权案件举证责任倒置的主要原因如下:1.个人信息权利主体的举证能力较弱,而掌握个人信息的机构对信息具有较强的占有和控制能力。2.个人信息权利主体的证据距离更远,难以承担相关证明责任,而掌握个人信息的机构与待证事实之间的证明距离更近。3.立法价值取向而言,实行举证责任倒置是对当事人之间明显失衡的权利义务关系的再平衡,体现了对在财力、信息等方面处于弱势地位的当事人的倾斜保护。4.就行为的可责性而言,金融信息泄露往往是金融信息占有、使用者没有或者不充分履行信息安全保护义务的结果,通过举证责任倒置的方式也可以促使身份信息获取的主体妥善保管信息,以及其他机构与个人只使用合法渠道来源的信息。
3. 笔者思考
笔者认为是否适用举证责任倒置的规则,需要对个人信息侵权案件进行区分,正如上文司法案例中,可以将侵权主体分为政府类机构、金融服务机构、电信类、航空公司类等,法律上的主体地位可归纳为政府机关、法律法规授权的组织,以及自然人、法人和其他组织。
关于如何根据不同主体分配举证责任,笔者初步的想法的是,针对政府机关和法律法规授权的组织的个人信息侵权行为,宜采取举证责任倒置的规则,原因如下:第一,该类机构相较于个人来说,在收集和掌握信息的能力上占有明显优势和更强的控制能力;第二,作为具有公信力的政府组织,应当对收集的信息负有更高的注意义务和保密义务,针对该类机构采用举证责任倒置规则也是将个人信息保护提前至事前防范的一种手段;第三,从证据距离来看,个人相比于政府机关,个人距离待证事实更远,更难以通过个人的力量通过政府的渠道获得相关侵权事实。针对自然人、法人和其他组织的个人信息侵权行为,更宜沿用一般侵权行为的举证证明责任的分配规则,即"谁主张谁举证",但在具体案件中,法官有权根据案件情况行使自由裁量权,灵活处理举证责任的分配,以实现个案的公平正义,但如采用举证责任倒置,则必须说明充足的理由。
个人信息侵权的民事诉讼类型、比较法研究和结论请见《我国个人信息的侵权法保护路径(下)》。
注释:
[1] 正如Daniel Solove所说“Last year was the worst year in recorded data breach history. More than 5,200 breaches were reported in 2017, with more than 7.8 billion records compromised. By comparison, there are 7.6 billion people on Earth, so 2017 saw the number of records compromised surpass the total world population.”见Data security is worsening: 2017 was the worst year yet. https://www.linkedin.com/pulse/data-security-worsening-2017-worst-year-yet-daniel-solove/
[2] 刘斌:《大数据时代金融信息保护的法律制度构建》,载《中州学刊》2015年3月。
[3] 详见2009年5月在重庆大学举办的“中国个人信息保护立法国际论坛”论文集(未出版)中黄进教授主持、齐爱民教授执笔的《中华人民共和国个人信息保护法专家建议稿》。转引自刁胜先:《个人信息网络侵权问题研究》,上海三联出版社,第128页。
[4] 刁胜先:《个人信息网络侵权问题研究》,上海三联出版社,第87页。
[5] 刘永祥:《论个人信息侵权责任制度之构建》,载《商品与质量》2011年10月。
[6] 傅蔚冈:上海金融与法律研究院执行院长。
[7] 凡咏齐:《金融消费者个人信息保护中的疑难问题及对策》,载《法律适用》2013年第7期。
[8] 王利明:《论举证责任倒置的若干问题》,载《广东社会科学》2003年第1期。
编排/郗博鸣