《个人信息安全规范》中个人信息收集规则及侵权救济初探
关键词 个人信息 个人信息控制者 个人信息主体 授权 侵权救济
作者简介:陈思,北京大成(杭州)律师事务所专职律师。
中图分类号:D922.1? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文献标识码:A? ? ? ? ? ? ?? ? ? ? ? ? DOI:10.19387/j.cnki.1009-0592.2020.01.134一、个人信息的立法规定及特征
“个人信息”一般是指通过某种信息可以直接或者间接识别到特定的自然人,该类信息合称为个人信息。
《网络安全法》第76条第5款的相关规定解释了个人信息,在网络环境中就个人信息来讲,一般是指通过电子或者其他的方式记录下来的信息,该种信息可以单独或者通过与其他信息结合起来,达到识别到特定自然人个人身份的效果,因此个人信息包括但不限于自然人的姓名、生日、身份证号码、住址、通讯方式以及个人生物识别信息等。而在《电信和互联网用户个人信息保护规定》第4条中也对“用户个人信息”作出了规定:电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的信息,包含但不限于用户姓名、生日、身份证号码、住址、通讯方式、账号和密码等全部信息,该种信息可以单独或者通过与其他信息结合起来,达到识别到特定用户个人身份以及用户使用服务的相关信息的效果。
而欧盟于2018年5月25日颁布的《一般数据保护条例》(以下简称“GDPR”)第4条中定义了个人数据:“个人数据”是指任何已识别或可识别的自然人(“数据主体”)的相关信息;一个可识别的自然人是可以通过姓名、身份编号、地址、网上标识或者其所持有的一项或多项身体性、生理性、经济性、文化性或者社会性身份而能够被直接或者间接识别的个体。
从以上国内外的立法中可以看出,对个人信息一般都采用识别定义方式,即个人信息这一概念的显著特征即为“可识别性”。“可识别性”即是收集的信息可以确定指向某一具体的信息主体,具有确定可能性,通俗来讲即是可以通过这些收集信息将信息主体(用户)对应起来,如无法与用户对应起来则只能称之为数据。 同时,在上述立法规定中可以看出,国内的个人信息可以分为单独识别用户的信息与结合其他信息识别用户的信息两种,GDPR中直接定义为“直接识别”与“间接识别”。因此,在个人信息“可识别性”的特点下,又可将个人信息区分为“直接识别”信息和“间接识别”信息。例如在用户的互联网使用留存记录中,如果记录的是用户姓名、电话号码、家庭住址此类信息,即可以作为用户身份的直接识别信息;但如果通过时间的积累或利用一些数据挖掘分析技术如cookie技术,可以通过对这些用户的网络流量记录、消费信息、医疗信息、位置信息等进行分析甚至是反向推导来识别用户的身份。
因此,个人信息的根本特点即“可识别性”,无论是通过信息直接确定到自然人或是通过信息的结合间接确定到自然人,均属于个人信息的范围。确定了什么是个人信息才可以在此基础上对个人信息的保护进一步展开讨论。二、个人信息的分类及其必要性
根据本文第一段个人信息特征的分析,个人信息即可以通过信息特别分为“直接识别信息”与“间接识别信息”。此种分类最根本的目的在于:确认个人信息的范围,直接识别信息与间接识别信息都需要通过法律进行保护。
虽然直接识别信息因可以直接识别到个人与个人信息主体的利益更为紧密,需要重点保护,但是在大数据时代,间接识别信息也发挥出越来越大的经济效益。间接识别信息涉及的数据类型广泛,其中的有些信息,比如定位信息、消费信息、个人浏览记录等,通过时间的积累再利用技术手段加以分析,也是可以将其加工为个人信息,甚至推断出个人的隐私信息或敏感信息,一旦泄露则会造成重大的影响。因此,个人信息不仅要从特点上进行区分,也需要从对个人信息主体的重要性角度加以区别。
根据前文所述,个人信息与个人隐私属部分重合的交叉关系,因此可以根据个人信息是否涉及隐私为判断依据,可将个人信息分为两种:个人一般信息和个人敏感信息。国家标准的《个人信息安全规范》在第3条术语定义了“个人敏感信息”:个人敏感信息属于一旦泄露、被非法提供或滥用的,可能会造成信息主体人身和财产安全遭到危害,同时也容易因信息泄露导致个人的名誉贬损、身心健康受到伤害或遭受到歧视性待遇。从该条规定可以看出,个人敏感信息应多为有关个人隐私,一旦泄露则可能会造成损害后果。而在欧盟的GDPR第9条中,通过列举规定了“特殊类型个人数据”:此类个人数据可以显示个人信息主体的种族、民族、政治观念、宗教和哲学信仰或工会成员的个人数据、基因数据,同时也包含了自然人的生活数据,例如生物性识别数组、与自然人健康相关的数据、个人性生活或性取向相關的数据。从以上规定的表述中可以得出结论,个人敏感信息具有较强的隐私属性,需要进行重点关注与保护。而反过来,将个人一般信息与个人敏感信息的区分也可以采取不同的保护规则和手段,进而平衡个人信息安全风险与成本。
因此,直接识别信息与间接识别信息分类的意义在于确认了个人信息保护的范围,而一般个人信息与个人敏感信息的区分,则对应了确认个人信息保护的方式。三、网络用户个人信息收集的困境
2015年5月6日,朱烨与北京百度网讯科技有限公司(以下简称“百度公司”)隐私权纠纷案二审终审判决由南京市中级人民法院作出,法院认定百度公司进行的个性化推荐行为不构成隐私权侵权,这也被称为中国互联网定向广告第一案。其中一条裁判理由即为百度已经在《使用百度前必读》中向用户说明了cookie技术及如果使用cookie技术会造成的后果以及通过向用户提供了禁用按钮让用户可以自主选择退出机制。朱烨在百度已经明确告知上述事项以后,仍然使用百度搜索引擎服务,应视为对百度公司未侵犯用户的选择权与知情权。
在网络服务提供者与用户签订的涉及网络服务内容的协议该领域,有研究证明在美国,网络用户如果每次访问新网站时都仔细阅读网络服务者提供的用户隐私政策,那么平均每个人都要花费半个小时以上。而在这个互联网定向广告第一案中,即使百度在《使用百度前必读》中详尽地进行了披露与说明,用户主动去读完至读懂并不容易,因为用户需要逐级点击《使用百度前必读》、“隐私权保护声明”、“百度隐私政策总则”和“查看详情”等内容,在阅读了近一万字以后才会找到关于cookie使用的说明,虽然百度履行了告知义务,但是在如此庞大的信息量中,用户是无法接收到有效信息的。
其次,《网络安全法》第41条第1款规定了信息收集的同意原则:即网络运营者如需要收集、使用个人信息,除了应当在公开收集、使用此规则的前提下,也应遵循着合法、正当、必要的原则进行个人信息的收集,同时也需要向被收集者明示收集、使用信息的目的、方式和范围,且需要经被收集者明确同意。但是未有具体的规定确认“正当”或“必要”原则如何进行实施及保证。但是对于网络运营者来说,用户在使用服务之初进行注册时捆绑订立隐私政策是最简单高效的获得用户同意或授权的方式,但该种“协议打包”的方式除了前文提到的让用户忽略了授权内容以外,也使得用户在拒绝接受隐私政策或协议时即属拒绝网络运营者提供的产品或服务。
因此,在这类情况下,用户的知情权与选择权是否受到了保障实际是存疑的。四、网络用户个人信息收集困境的拆解
在《个人信息安全规范》第5条,通过个人信息来源合法性、收集必要性、业务功能区分、授权同意、隐私政策等几个角度,对个人信息的收集进行了规范。其中业务功能的区分与明示授权对个人信息收集的前述困境进行了拆解。
(一)业务功能区分与告知原则
《个人信息安全规范》第5.3条不强迫接受多项业务功能中规定了个人信息控制者应尊重个人信息主体的自主意愿提供产品或者服务,不得强迫个人信息主体接受产品或服务及相应的个人信息收集请求。根据此项要求,可在个人信息收集时做出产品或服务提供者区分核心业务功能与附加业务功能的设定。第5.4条规定了个人信息控制者收集个人信息时应向个人信息主题告知收集、使用个人信息的目的、方式和范围。
根据此项规范的要求,实践中可以将个人信息收集和使用的必要性进行区分,将区分后的业务功能对应的个人信息收集授权分别进行。面对产品使用或业务开展核心业务功能所必要收集的个人信息,网络运营者可在信息收集之时即进行明确的告知,并明确告知个人信息主体同意或拒绝带来的影响,此时,网络运营者仍然可以选择在用户初次使用或注册时签订统一的隐私政策或服务协议;但是对于产品或服务的附加业务功能,应当在个人信息主体开启此项附件业务功能之时进行单独的个人信息收集授权。如手机App读取个人通讯录、个人相册等涉及个人隐私的信息时,可在用户调用此功能时再行勾选授权,而拒绝授权也并不会影响个人信息主体对核心业务功能的使用。因此,面对可能涉及个人隐私等关键信息收集业务功能,在个人信息收集的授权上,网络运营者应当采取具体、明确的告知,如在功能调用时启动弹窗等,以便个人信息主体在作出具体的授权同意前能明确考虑该授权对其个人权利的影响。
实践中,多数App或网络服务平台也采取此类方式区分了部分个人信息收集的授权方式。但随着《个人信息安全规范》及相关细则逐渐完善及信息技术、商业模式的发展,产品和服务的核心功能与附加功能有可能会产生重大的变化,未来也必然要求网络运营者对业务功能进行更为细致的划分以应对个人信息的分类及授权。
此外,网络运营者在区分其核心业务时,也应当以“必要性”为原则。例如2018年中旬,某地消保委对各类地图软件进行调查显示,几家主流的地图软件收集用户的通讯录信息,这显然并地图核心业务需要的个人信息数据,这明显违背了《个人信息安全规范》中对个人信息数据收集“必要”原则。
(二)明示授权与默示授权
同样是百度與朱烨的隐私权纠纷案中,法院在判决中认定朱烨在百度公司已经向其明确说明了cookie技术及如果使用cookie技术会造成的后果以及通过向用户提供了禁用按钮让用户可以自主选择退出机制的前提下,而朱烨仍然使用搜索引擎服务的,应视为朱烨默认“选择同意”方式的认可。同时,法院在前述论证的基础上又援引了《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28828-2012)第5.2.3条规定了在处理个人信息前是需要征得个人信息主体同意的,个人信息主体同意的方式包括两种:默许同意或明示同意。
依照现阶段实践惯例,个人信息收集的授权一般采取的是“默示同意”为原则,“明示同意”为补充。也就是我们在使用网络产品或服务时,一些用户协议的勾选均会提示“一旦勾选/确认/使用即视为同意协议”此类内容,这即使默示同意的使用。在此情况下,默示同意的授权方式也要求网络运营者的隐私政策承担更高的质量要求。
但在《个人信息安全规范》第5.4条收集个人信息时的授权同意规定了收集个人敏感信息、未成年人的此类的特定信息时,均需要获得个人信息主体的明示同意,这即是补充使用了“明示同意”方法。而根据欧盟GDPR第4条第11款规定了数据主体的“同意”应当是数据主体通过一个声明,或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其个人数据处理的意愿。该种明示同意的方式会最大程度上保护用户的知情权与选择权,但另一方面可能会降低数据收集的效率。但通过立法规范对个人信息或特定情况下使用的个人信息进行更加细致的划分,确认默示同意与明示同意的使用范围则更有利于保护个人信息的安全。
(三)个人信息自决控制的撤销权
个人信息的自决控制是个人信息保护的重要核心之一,在信息收集的源头即赋予个人信息主体信息自主决定的权利。即每项信息的收集,无论是否涉及个人信息或个人信息主体是否已经明确授权,均应当让其在一定范围内决定是否进行收集使用及在何种范围内进行公开。
不少用户在使用互联网服务时,不清楚为何在浏览器中输入的搜索信息却在使用其他网络服务时收到了精准的营销广告。从上文百度协议多次点击阅读近一万字方可看到相关隐私政策来看,很多网络运营者在进行用户告知或寻求授权的方式使得个人信息保护权利形同虚设,很多用户往往在使用网络产品或服务的过程中才意识到了个人进行了信息收集的授权。因此在《个人信息安全规范》第7.11条规定了个人信息主体撤回授权同意的要求,需要个人信息控制者提供撤回授权的方案且保障个人拒绝接收推送商业广告的权利。而网络运营者根据此要求提供的撤回方法应当简单易于查询,不得给用户再次制造障碍。五、个人信息违规收集的司法救济难点
目前关于个人信息保护的价值基础即人格尊严和信息自由,《民法总则》第111条规定自然人的个人信息受法律保护。这表示个人信息首次成为了独立的人格权进行保护。
但是如果网络运营者违规收集个人信息,除了行政部分的处罚以外,个人信息主体如何通过司法途径寻求救济也是一大难点。
个人信息同时具有人身权与财产权的属性,如受到侵害除了信息主体因隐私曝光受到的精神压力以外,有可能因为信息泄露的下游犯罪导致受到其他侵害,如电信诈骗等。而一般在个人信息被侵害以后一般寻求法律帮助均援引侵权相关领域的法律规定。然而据《侵权责任法》第6条、第7条规定了侵权行为的过错归因的原则,一共有三个原则:其一,过错责任:如果是行为人因过错导致他人的民事权益遭到侵害的,其应当承担侵权责任;其二,过错推定责任:面的侵权后果,如根据相关法律规定可推定行为人有过错且行为人不能证明自己没有过错的,应当承担侵权责任;其三,无过错责任:如因行为人造成他人民事权益被损害,在此情况下,法律规定行为人应当承担侵权责任的,不论行为人有无过错应依照其规定承担责任。因此,在一般侵权行为的判定中,“过错”是一个重要的构成要件,行为人需要存在故意或者过失的过错行为才应当承担相应的法律责任,且成立构成侵权的要件中包含了“损害结果”。
而《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《规定》)第12条第1款也规定了,如果自然人个人隐私和其他个人信息被网络用户或者网络运营者通过网络进行公开的,一旦造成损害被侵权人请求其承担侵权责任的,人民法院应予支持。但在上文的中国互联网定向广告第一案中,南京市中级法院援引了《规定》第12条认定“利用网络公开个人隐私和个人信息的行为”和“造成损害”该两个要件属于互联网中侵害个人隐私或者个人数据的侵权构成要件。在百度公司并未直接将因提供搜索引擎服务而产生的海量数据库和cookie信息向第三方或公众展示的前提下,系不存在公开行为,不符合《规定》第12条规定的利用网络公开个人信息侵害个人隐私的行为特征。
但笔者认为,《规定》第12条确认的侵权构成要件应当是“过错行为”“造成损害”两个应有之意。因為对于个人信息违规收集此类行为,如单纯从侵权行为来看,个人信息控制者仅需要收集个人信息,而不需要公开用户的个人隐私更无须对外展示,因此《规定》中的“公开”并非是网络侵权构成要件,而应当视为网络侵权行为的一种形式,如果在用户未授权的情况之下,网络运营者或个人信息控制者对个人信息进行收集和分析,也应当属于对他人人身权益的侵犯;此外,因本案中朱烨也没有提供证据证明百度的个性化推荐服务对其造成了事实上的实质性损害因此未支持侵权赔偿的诉请,而这也是个人信息侵权行为中维权的难点。因当在个人信息主体在明知其信息遭受泄露的情况下,导致的侵权后果往往是受害人的精神损害,即使面对下游犯罪侵害造成的损失亦不属于直接损失且属于第三方侵害,若个人信息主体无法证明实际损失或者损害结果,仅以权利被侵犯为由寻求司法救济很可能花费时间精力却得不到任何赔偿。
因此,当个人信息主体在面对个人信息侵权事件时,简单根据现行有关侵权责任的法律规定进行维权,有可能处于无法证明构成侵权或即使证明构成侵权也难以得到赔偿的尴尬境地,与此同时我国在个人信息侵权类维权的公益诉讼或集体诉讼领域立法也尚为空白。六、结语
在大数据时代,个人信息的价值愈加显现,随着欧盟GDPR的颁布的影响,我国也越来越重视个人信息的保护。面对我国的迅猛发展的互联网信息产业,如何在做到在保护个人信息的同时兼顾个人信息使用的效率则是未来我们需要不断关注与探讨的一个话题。