(二)“不同意就不提供服务”模式的效力认定
《个人信息保护法》第16条规定:“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”从民事审判的角度,如何认定该条所规定的信息处理者的法律效果,是该条适用的一个难点,需要结合有效同意的要件予以判定。
关于同意的要件,不同国家和地区的规定不尽相同。比如,欧盟GDPR第4条第11款规定了有效同意必须具备四个要件:1.自由作出的(freely given);2.具体的(specific);3.被告知的(informed);4.明确的(unambiguous)。这一标准被认为提高了有效同意的门槛,欧盟的数据保护机构也倾向于严格地解释这四项标准。以违反“自由”(“freely-given”)要件为例,欧盟将此类同意认定为无效同意。巴西《通用数据保护法》第8条也对同意的要件予以规定,如果同意有瑕疵,则禁止处理个人数据。我国《个人信息保护法》第14条规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。”根据该条规定,有效的同意应当具备如下要件:1.同意是个人在充分知情的前提下作出的;2.同意是真实自愿的;3.同意是明确具体的。
具体到“不同意就不提供服务”,此类情形在App应用程序中最为常见,即平台信息处理者往往把收集并非提供产品或者服务所必需的个人信息作为提供产品或服务的前提条件,不同意就无法继续安装或使用该应用程序。对信息处理者的这种行为,有意见认为,这属于交易条件的自由选择,并不属于强迫,因为网络用户如果不同意,可以“用脚投票”,不选择使用该产品或者服务,而部分网络服务提供商提供低廉的服务正是出于能获取个人信息报偿作为对价和前提的。但是,这种观点忽略了信息网络时代对人们生活方式的改变和对信息自决权的异化。信息网络科技的高速发展使得社会的生产和生活被高度数字化、信息化,面对各种类型的信息处理者,个人实际上很难有能力拒绝或者阻止个人信息被收集,个人信息处理中的告知同意规则实际上已经被架空,个人实质上已丧失了信息自决或者同意的自由。
关于自由作出同意,欧盟数据保护委员会(EDPB)指出,数据控制者经常会争辩,尽管自己的服务需要获取个人数据用于额外的用途,市面上还存在其他数据控制者提供的与自己同样的服务,也就是说,如果数据主体不想提供个人数据给自己,完全可以寻求其他数据控制者的同等服务,因此,数据主体愿意提供个人数据给自己是一种自由选择。但是欧盟认为,这种自由选择依赖于其他市场主体如何做,以及数据主体是否认为两种服务是真正相同的。这还意味着数据控制者要实时监控市场,确保市场上存在同样的服务。因此,欧盟不认为数据控制者基于市场上还存在其他选择而获得的同意是合规的。也就是说,虽从理论上讲,用户可采取“用脚投票”的方式自由选择其交易对象,以此抵制其不愿意的授权同意行为。但很难保证市场上存在丰富的、可供选择的同质服务主体,在确实缺乏充分市场选择等情况下,实质上会导致数据主体为使用某项产品或者服务而不自由或者不自愿作出同意,而这种同意不构成有效同意。
针对此类情形,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事纠纷案件适用法律若干问题的规定》第4条规定:“有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;……”可见,为强化人脸信息保护,防止信息处理者对人脸信息的不当采集,该条对处理人脸信息的有效同意采取从严认定的思路。对于信息处理者采取“不点击同意就不提供服务”等方式强迫或者变相强迫自然人同意处理其人脸信息的,信息处理者据此认为其已征得相应同意的,人民法院不予支持。
(三)关于单独同意和书面同意
单独同意区别于一般同意,单独同意实际上属于一种特别同意。所谓“单独同意”,是指在处理特殊的个人信息或处理个人信息的特殊行为、场景时,个人信息处理者必须就其处理目的、行为等单独向个人告知并取得同意。“单独同意”要求个人信息处理者将相应的场景的同意与其他同意区分开来,做到“一处理一告知一同意”,而不能将其与其他场景下个人信息处理的同意揉合在一起,或者隐匿在其他事项中,通过一揽子授权的方式取得个人同意或接受,避免过度索权、随意收集等违法违规情形。而一般同意应理解为概括同意,虽然也要求“明确、自愿”,但并不一定针对一个具体的事项,可以是针对将来信息处理行为概括的、一揽子的同意。《个人信息保护法》规定,在向第三方提供个人信息时(第23条)、公开所处理的个人信息时(第25条)、公共场所设备所收集的个人图像、身份识别信息用于其他目的时(第26条)、处理敏感个人信息时(第29条)、个人信息跨境时(第39条)需要取得单独同意。单独同意对应的特殊的个人信息处理情形,伴随有特殊的个人信息告知要求。除《个人信息保护法》规定的需要单独同意外,其他法律、行政法规有明确规定的,从其规定。从同意作出的形式来看,法律并未规定“单独同意”必须以书面形式作出,因而应当理解为“单独同意”可以包含口头、书面或其他形式。
“书面同意”,应当是指在处理特殊的个人信息或处理个人信息的特殊行为、场景时,个人信息处理者必须就其处理目的、行为等向个人告知并取得个人“书面”的同意,这是《个人信息保护法》对特殊情形下的同意作出的形式要求和规定。根据《民法典》第469条的规定,书面形式一般与口头形式对应,包括合同书、信件、电报、电传、传真等形式,数据电文也可以视为书面形式。简单而言,此处的书面可以理解为必须取得个人以纸质或电子形式作出的同意。至于“书面同意”的情形是否必须同时取得“单独”同意,根据《个人信息保护法》第14条第1款的规定,单独同意与书面同意处于并列关系,从文义解释角度看,无法得出“书面同意”当然包括“单独同意”的结论。而该法第29条规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”从该条来看,在敏感个人信息方面,书面同意的情形更为严格,单独同意可以是口头、书面或者其他形式作出,而书面同意必须是书面的单独同意。
实践中,线上具有人脸识别功能的应用程序设计是否符合单独同意?我们在起草人脸识别司法解释时,与洪延青教授对此进行了研究,认为下列模式可作为具体认定时的参考:以具有人脸识别功能的应用程序为例,应用商可在用户首次开启人脸识别功能时,通过弹窗、跳转专门页面等形式同步告知该功能的信息处理规则(以满足“充分知情”的要求);该规则应仅包含对人脸识别功能及其信息处理规则的描述而不包括对其他不相关事项的描述(以满足“单独”的要求);用户通过点击“同意”或“已知悉,并继续使用”等主动性动作清楚地表达自己的意愿(以满足“明确”的要求);如果人脸信息并不属于该应用的必要个人信息,用户在阅读信息处理规则后,既可以选择开启该功能,也可以选择不开启该功能。如果选择不开启该功能,用户仍然可以通过其他替代性方式继续使用应用程序的其他功能(以满足“自愿”的要求)。当然,上述模式只是线上平台实现单独同意的方式之一,人民法院可结合具体情形进行综合认定。
三
个人信息处理的合法性基础——法定许可
个人同意与法定许可共同构成个人信息处理的合法性基础。《个人信息保护法》第13条在参考GDPR相关规定的基础上,对《民法典》第1036条进一步细化,除取得个人同意外,明确规定了个人信息处理活动的其他法定事由。具体而言:
(一)缔约或履约之必需,制定劳动规章制度或签订集体合同实施人力资源管理所必需
《个人信息保护法》第13条第1款第2项关于“订立、履行个人作为一方当事人的合同所必需”的规定借鉴了GDPR第6.1(b)条的规定。合同当事人应当按照约定全面履行自己的义务,如果对于合同一方当事人信息的处理,系另一方当事人与之缔结或者履行合同义务所必需的,那么处理信息的合法性可以理解为“法定义务”甚至“控制者的合法利益”的特殊情况。当然,这种例外情形仅适用于信息处理者与个人作为平等民事主体之间订立或履行合同的场景。关于认定个人信息处理属于“为订立或履行合同所必需”,一方面,应当符合比例原则;另一方面,要从处理者与信息主体等双方当事人的角度来考虑合同的目的,即对于实现合同目的而言,信息的处理是否必不可少。
《个人信息保护法》在二审稿的基础上,新增了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的情形,为用人单位处理员工个人信息提供了相应的法律依据。这里需要注意的是,用人单位不能随意以“人力资源管理所必需”而对其处理个人信息的行为主张免责,必须是“按照依法制定的劳动规章制度和依法签订的集体合同”实施的人力资源管理所必需,防止企业任意扩大处理范围。
(二)为履行法定职责或者法定义务所必需
所谓的法定职责,包括法定职权和法定责任,是指立法机关、行政机关以及司法机关等公权力机关依据法律法规的规定而享有的职权以及必须履行的义务。为确保公权力机关能够履行法定职责,为履行法定职责必须处理个人信息的,不需要取得个人同意。例如,我国《出境入境管理法》第30条第2款规定:“申请办理外国人居留证件,应当提交本人的护照或者其他国际旅行证件,以及申请事由的相关材料,并留存指纹等人体生物识别信息。”据此,外国人所持签证注明入境后需要办理居留证件的,必须向拟居留地县级以上地方人民政府公安机关出入境管理机构提供相应的个人信息。又如,我国《刑事诉讼法》第132条第1款规定:“为了确定被害人、犯罪嫌疑人的某些特征、伤害情况或者生理状态,可以对人身进行检查,可以提取指纹信息,采集血液、尿液等生物样本。”显然,这种情形下,公安机关或检察机关为侦查犯罪而强制收集个人生物识别信息等,就属于履行法定职责,无须取得个人同意。
所谓法定义务,是指信息处理者依据法律法规的规定而负有的义务。法定义务的主体限于普通的民事主体即自然人、法人和非法人组织。我国法律中规定了很多的法定义务。例如,根据《反洗钱法》的规定,金融机构应当按照规定建立客户身份识别制度。金融机构在履行反洗钱的法定义务时所收集的用户相关个人信息,不需要取得个人同意。又如《社会保险法》《劳动合同法》《劳动法》《工伤保险条例》等法律法规要求,职工应当参加工伤保险,由用人单位缴纳工伤保险费,职工不缴纳工伤保险费。据此,用人单位在为职工投保工伤保险时,就必须收集职工的相关个人信息,否则就无法履行该义务。再如,《传染病防治法》第31条规定:“任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。”据此,直接发现和疫情相关的信息应当主动向主管部门报告,不需要取得个人同意。
(三)应对突发公共卫生事件或紧急情况之必需
《个人信息保护法》第13条第1款第4项规定了应对突发公共卫生事件或紧急情况下为维护自然人利益所必需的情形。自新冠肺炎疫情发生以来,围绕“早发现、早隔离”的防治原则,借助大数据分析手段,位置信息、行动轨迹等个人信息在疫情预测预警方面发挥了极其重要作用。因此,《个人信息保护法》专门对此予以规定,为了应对突发公共卫生事件,对相关个人信息的处理,可以不经个人同意。
关于“紧急情况下为保护自然人的生命健康和财产安全所必需”,系在《民法典》第1036条第3项规定的基础上进一步扩大处理个人信息的范围,并不限于为了维护 “该自然人合法权益”。只要是为保护自然人的生命健康和财产安全所必需,均可不经过自然人或其监护人的同意而合理实施个人信息的处理行为,行为人不承担民事责任。例如,甲突发疾病而生命垂危,急需在掌握其既往病史等个人信息的基础上进行对应的抢救治疗,为了挽救甲的生命,此时可以实施个人信息的处理行为,而不需要征得其本人或者亲属同意。又如,为了寻找失踪儿童或者追踪犯罪分子的行踪,而使用远距离人脸识别设备进行识别比对等等。
(四)为公共利益实施新闻报道或舆论监督等行为之必需
《个人信息保护法》第13条第1款第5项规定了“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”的情形。本项规定适用必须符合两点:首先,必须是新闻报道、舆论监督等行为。其次,必须是为了公共利益。为公共利益而实施新闻报道、舆论监督的行为,对于维护广大民事主体的合法权益,保护表达自由,具有不可替代的重要作用。至于与公共利益无关,完全是娱乐性的新闻报道或者仅仅是涉及个人的不道德或违法行为的舆论监督,不能适用本项规定,如果处理者未经同意而处理他人的个人信息,就构成侵权。
需要注意的是,本项并不限于实施新闻报道或舆论监督,为了与其他基于公共利益的信息流通规则相协调,本项中的“等”宜作“等外等”解释。因为以公共利益的必要性作为考量,对个人信息进行处理的情形至少包括“监控疫情和人道主义救援、确保网络和信息安全、基于劳动和社会保障目的、维护公共健康、新闻和文学艺术创作自由、科学研究等”。
(五)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息
“个人自行公开”自己的个人信息就是个人主动将自己的某些个人信息向社会公开,如患者主动向社会公开自己的生病经历,自然人主动公开自己的性取向或宗教信仰。个人自行公开自己的个人信息意味着其在一定程度上同意他人对这些信息的处理。“其他已经合法公开”的个人信息,是指除个人自行公开的以外,其他以合法形式公开的个人信息,如媒体在新闻报道中依法处理这些已公开的个人信息、国家机关依法公开的个人信息。但是,必须在合理范围内处理上述个人信息。例如,结合《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,对于自然人在互联网上发布照片或者视频,尽管没有明确表示拒绝人脸识别,但是信息处理者使用人脸识别技术对其照片进行识别,已经超出了“合理”的范畴,对自然人的人格利益有重大影响,甚至可能侵害其隐私权、名誉权或者财产权等。因此,擅自对自然人自行公开的人脸图像进行人脸识别,不属于《个人信息保护法》第13条第6项以及《民法典》第1036条第2项所规定的情形。
需要注意的是,告知是取得同意的前提,但告知义务并非依附于个体同意而存在。“同意”的例外并不必然导致“告知”的例外。虽然在法定许可情形下可以未经同意即处理个人信息,但并不代表可以同时免除告知义务。例如,《个人信息保护法》第13条规定在“为应对公共卫生事件或者紧急情况所必需”的情形下处理个人信息可以不需取得个人同意,但第18条第2款同时规定“紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知”。也就是说,在法定许可情形下处理个人信息,虽然不需要取得个人的同意,但是仍然要适用告知规则。之所以如此规定,主要是贯彻《个人信息保护法》第7条所规定的公开透明原则,保护个人对个人信息处理的知情权。
四
关于侵害个人信息侵权行为的归责原则
侵害个人信息权益的归责原则,是确定侵害个人信息侵权责任的基本规范依据,是《个人信息保护法》在法律责任部分尤为重要的规定内容,是人民法院处理相关民事纠纷的基本法律遵循。《个人信息保护法》颁布前,关于个人信息侵权的归责原则存在不同认识。多数观点主张过错推定原则,适用举证责任倒置规则,即在法律对个人信息保护有特别规定的情况下,基于损害事实的客观存在,推定信息处理者存在过错并由其对自身没有过错承担举证责任。适用过错推定原则主要理由在于,网络环境的技术性较强,让信息主体举证信息控制者在信息收集、加工、存储、利用过程中存在过错,难度较大。另有观点认为,侵害个人信息的侵权责任应当适用过错责任原则。其主要理由在于,任何侵权责任类型适用过错推定责任或无过错责任,必须以法律有明确规定为前提,但是个人信息保护领域尚无此类特别规定。而且侵害个人信息侵权行为的基本性质是侵害隐私权,属于一般侵权行为,因此必然适用过错责任原则。
上述观点都有道理,在法律和司法解释对此并未作出明确规定的情况下,也确实存在适用法律上的争议。但从法理上讲,在个人信息领域,同样存在着信息处理者与作为信息主体之间经济实体不对等、专业信息不对称的问题,适用过错推定责任,有利于减轻自然人一方的举证责任负担,更有利于保护受害者的合法权益,更符合公平正义的民法要求。而且,从规范适用上看,依照《民法典》第1165条第2款的规定,过错推定责任原则适用的基本要求是,“依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任”。换言之,对于某一侵权行为是否适用过错推定责任要以法律对此情形作出具体规定为前提,如果没有相应法律对某一侵权行为明确要求适用过错推定责任,则无该归责原则适用的余地。因此,从规范功能上讲,《民法典》第1165条更具有规范指引的体系化功能,其本身不能单独作为裁判规范,而需要与其他具体法律规定结合来作为适用过错推定责任的依据。也是基于这个原因,对于侵害个人信息的侵权行为,是否适用过错推定责任的问题,需要在《个人信息保护法》中明确作答,否则,就会存在适用法律的分歧,甚至会产生向过错责任这一侵权责任的一般条款逃逸的问题。正因如此,《个人信息保护法》在综合各方意见、反复调研论证的基础上,在第69条明确了侵害个人信息适用过错推定责任的归责原则。
在《个人信息保护法》起草过程中,《个人信息保护法(草案)》中就作出过明确规定,其第65条规定:“因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”此规定侧重于损害赔偿规则的确定,并从免责或者减责事由的角度,对于个人信息处理者能够证明自己没有过错的情形作出规定,并没有从侵害个人信息侵权责任的责任构成以及归责原则角度作出规定。一些全国人民代表大会常务委员会委员和地方立法机构、部门、专家、企业建议,根据过错推定责任原则确定侵害个人信息权益的损害赔偿责任。全国人民代表大会宪法和法律委员会经研究认为,有必要根据《民法典》有关规定,将上述规定修改为:“个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”《个人信息保护法(草案二审稿)》第68条依照上述意见进行了修改完善。由此,侵害个人信息的侵权责任归责原则及损害赔偿规则已经成型。《个人信息保护法》第69条除对个别文字作出调整外,基本沿袭了草案二审稿的内容。
归责原则决定构成要件的内容。明确了归责原则之后,侵害个人信息侵权责任的构成要件也就相应明晰起来,包括违法行为、损害后果、因果关系和主观过错四个要件。在此要注意的是,这里的过错要件要采取客观化标准,对相应注意义务的违反,就应当认定为有过错。此主观过错要件与行为违法性要件在个人信息侵权责任构成上,更加呈现趋同或者合一的特点。具体而言,以行为表征的不同为标准侵害个人信息的具体行为类型主要包括:非法获取个人电子信息、非法出售个人电子信息、非法向他人提供个人电子信息、非法泄露个人电子信息、非法篡改个人电子信息、非法毁损个人电子信息、丢失个人电子信息和对个人电子信息侵权单位进行补救的行为。这一概况具有可参考性。侵害个人信息的行为在本质上必须具有违法性,即违反法律、行政法规的规定,这不仅包括违反本法的规定,还包括但不限于违反《民法典》人格权编的规定。
就举证责任而言,考虑到专业能力及举证能力不对等的问题,从控制掌握证据的有力地位、便于查明案件事实以实质性解决纠纷的角度出发,依据过错推定责任原则的要求,信息处理者应当对其处理个人信息的行为没有过错承担举证责任,如果其举证不能,就应当依法认定侵权责任成立。在过错认定愈加客观化的背景下,这里的举证责任也是要更加聚焦在行为的违法性上,即信息处理者要对其行为的合法性承担举证责任。对于这一问题,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》率先在人脸信息保护领域作出了规定,其第6条第2款规定:“信息处理者主张其行为符合民法典第一千零三十五条第一款规定情形的,应当就此所依据的事实承担举证责任。”
《民法典》第1035条第1款是关于个人信息处理的原则和条件的规定。因该司法解释施行在《个人信息保护法》出台之前,故在法律依据上只能援引《民法典》的规定,从法律适用的角度,《个人信息保护法》施行后,当然要包括《个人信息保护法》的规定。而且,这一规定对于敏感个人信息乃至一般个人信息的保护在法律适用上一定会有“溢出”效应,即具有参照适用的效力。据此,从举证责任分配规则上讲,信息处理者要证明其行为符合合法、正当、必要、诚信等原则的要求,也要符合《个人信息保护法》所规定的其他合法性基础的内容,比如该法第13条的规定。进而言之,对此要以有关法律、行政法规的规定为依据,在缺乏法律、行政法规规定的情况下,有关部门的规章等也具有参照适用的效力。由于这些情形涉及专业判断问题,有关部委出台的规范性文件及有关国家标准或者行业标准等,也都可以作为案件裁判说理的理由,但同样不得作为裁判依据。信息处理者如果不能证明其行为符合上述要求,则要承担相应的举证不能的法律后果。
评论留言