《中华人民共和国民法典》实施在即,《中华人民共和国个人信息保护法(草案)》正在征求意见,互联网时代的个人信息保护持续成为焦点问题。11月7日,北京互联网法院与北京师范大学联合成立的“互联网司法治理研究中心”举办了“数字经济背景下个人信息保护的司法实践与前沿问题”研讨会。
来自全国人大法工委、中央网信办、工信部、公安部及高校、法院系统的20余位领导、专家以及互联网产业代表深入研讨,以期完善个人信息领域司法保护,实现以裁判树规则、以规则促治理、以治理助发展。
今年以来,北京互联网法院审理了一批涉互联网的个人信息保护案件,引起广泛关注。大量前沿问题的探讨和规则探索,为《民法典》实施后的理解适用和《个人信息保护法(草案)》的意见征求提供了实践素材,也为明晰网络空间个人信息保护规范、明确涉网裁判规则提供了具体探讨焦点,成为此次研讨会关注的热点。
北京互联网法院党组书记、院长张雯
研讨会上,北京互联网法院党组书记、院长张雯首先作了开场致辞。她表示,党的十九届五中全会提出坚持创新在我国现代化建设全局中的核心地位,数据是数字经济时代最活跃的生产要素,创新也是数字经济的核心。经济数字化不仅向上拓展新业态,也向下改造传统产业,并加快重构经济运行模式。因此,只有准确界定数据权属,规范数据保护、流转、交易等各环节,才能真正让数据赋能社会经济,才能在百年未有之大变局中,真正赢得未来。希望大家能够就本次研讨会涉及的司法前沿问题畅所欲言,在实践难点和理论争议焦点问题上形成更加统一的观点,共同为数字经济时代的公民个人信息保护贡献力量。
北京互联网法院审管办(研究室)主任孙铭溪
随后,北京互联网法院审管办(研究室)主任孙铭溪介绍了近期互联网法院审理的个人信息相关案件,并阐述了审判法官在案件审理过程中的司法考量和规则探索。“校友录”头像被爬案、网剧中披露他人手机号案、每日优鲜向用户发送商业短信案等一批热点案件,吸引了与会专家的目光。
整个研讨会持续了五个多小时
讨论氛围非常热烈
大咖们都关注了哪些前沿问题?
现场有哪些精彩观点?
议题一:
民法典实施、个人信息保护法颁布的背景下个人信息、隐私的合理区分
中国社科院大学互联网法治研究中心
执行主任刘晓春
本议题由中国社科院大学互联网法治研究中心执行主任刘晓春主持。个人信息的可识别性探讨、匿名化定义,隐私信息与敏感信息的关系,用户偏好、地理位置、金融信息等具体信息类型在司法实践中的定性标准,互联网中“私密空间”的理解与私密活动、私密信息关系处理等问题,成为本场议题的关注焦点。
美团数据合规法务总监刘笑岑
美团数据合规法务总监刘笑岑分享了关于“个人信息”的理解与思考。她认为,定义个人信息应从主体和对象的角度出发,即在具体的场景中理解个人信息。“主体”是信息对谁而言,是可识别的,“对象”是指识别的是特定个人还是其他。个人信息是相对概念,呈现光谱式分布,比如,我的某个信息对熟悉我的人来说是可识别的,但对于不熟悉我的人则不能识别。因此,在企业合规中如何判断个人信息的可识别性,将影响到企业用于保护个人信息的技术手段能不能被归为匿名化的信息,也直接影响到后续的数据流通中适用什么样的保护规则,因此建议立法在界定个人信息时可以考虑将其限定在合理识别特定自然人的范畴之内,给司法留有场景化判断和裁量的空间。
阿里巴巴集团数据合规专家徐彩曦
阿里巴巴集团数据合规专家徐彩曦以位置信息为例探讨了可识别的场景和构成信息的要素。识别一个地理位置是时间和空间范围的叠加,且识别的范围需要充分考虑,如此才构成可识别性。关于个人信息匿名化的定义和标准,她认为个人信息的匿名化是相对的,不是绝对的状态,无法做到对所有信息进行隔离,达到不能识别的程度。信息控制者如果尽到合理的技术控制和管理义务,实现个人信息无法识别到个人且不能复原的状态,就是一个匿名化的状态。
字节跳动集团数据安全法务总监田申
字节跳动集团数据安全法务总监田申表示,认定个人信息的可识别性有几个要点:第一,要结合处理数据的场景和目的,适用具象化和场景化的判断。单纯从一个维度评价难以认定是否属于个人信息,所以要从个人信息的识别和关联要素角度进行认定,要判断处理场景是对物的标识还是对人的标识。第二,如果相关数据可以具体关联到个人,可以增加针对性措施,保证信息处理安全。第三,考虑到目前《个人信息保护法(草案)》对个人信息定义和保护相对宽泛,建议进行梯度性保护处理,设定好规则,明确红线和具体要求,将相关场景判断和具体信息处理规则交给司法裁判者和数据处理者。
清华大学法学院教授程啸
清华大学法学院程啸教授提出,《民法典》中的私密信息和《个人信息保护法(草案)》中的敏感信息不同,敏感信息与非敏感信息主要是从个人信息处理规则的不同来划分的,《民法典》对于私密信息和非私密信息主要是从民事权益保护的角度来划分。《民法典》人格权编将隐私权和个人信息权益放在一起,就意味着必定要划分清楚隐私权和个人信息权益的关系,因为我国同时承认这两种权益,私密信息与非私密信息划分的意义将会体现在诉讼之中,法院首先要判断受侵害的是隐私权还是个人信息权益,从而来决定适用何种规则,进而判断被告的行为是否违法、是否构成侵害行为。
敏感信息和私密信息二者之间有差别,但也存在着交叉部分,前者的判断标准更多考虑是否在客观上造成对人格的歧视和对人身财产安全的重大危险等,后者的判断标准更侧重主观的视角,即本人不愿为他人知晓的信息,尤其是私生活安宁方面的信息。从立法的角度来说,未来《个人信息保护法》公布后,还需要通过制定一系列相关行政法规、国家标准等,对个人信息的标准进行列明,提升规则的可预期性,减少模糊地带。但是,是否属于私密信息往往需要结合个体情况判断,最近北京互联网法院的几个判决也非常准确地把握了这一点。
中国人民大学法学院副教授丁晓东
中国人民大学法学院丁晓东副教授认为,《民法典》和《个人信息保护法(草案)》对于个人信息保护存在主体上的差别,民法以平等主体之间的私权保护为核心,而《个人信息保护法(草案)》是不平等主体之间的权利保护,具有一定的公法性质。他建议司法可创设个人信息和非个人信息之外的第三类个人信息类别,即部分受到《个人信息保护法(草案)》的保护、部分受到其他法律保护的个人信息。
在探索行为边界、确定裁判规则这个意义上,北京互联网法院承担着非常重要的使命,其所确立的裁判规则不仅是中国在个人信息保护领域的前沿实践,也引领着全球个人信息保护的方向。
对外经贸大学法学院副教授许可
对外经贸大学法学院许可副教授认为,从《民法典》1033条第二款的规定来看,私密空间是物理空间,但互联网是一个无界空间,不宜在互联网场景下,引入私密空间来讨论是否构成隐私权侵权的问题。个人信息的认定需要进行场景化讨论,在不同的具体信息的识别过程中、后续的处理过程中、个人权利的行使过程中都要结合具体使用场景。
北京理工大学法学院研究员洪延青
北京理工大学法学院研究员洪延青表示,个人信息的定义在《个人信息保护法(草案)》的规定中有一个明显的进步,就是在识别时将“身份”表述舍弃,事实上目前已经无需知道包含个人具体名字、身份的信息,根据其他的一些个性化信息就能够对应到个人。因此对于一些特殊类型化的个人信息,如地理位置等,也要引起重视,这样的做法符合个人信息保护的意义,即对风险的规避。
中央网信办政策法规局
法务处处长李民
中央网信办政策法规局法务处处长李民表示,从国内外的发展来看,个人信息是从隐私权发展而来的概念。我国的《民法典》和《个人信息保护法(草案)》充分体现了时代进步对个人信息保护的力度,未来仍要探索个人信息使用过程中的分级分层保护制度。
全国人大常委会法工委
经济法室副处长林一英
全国人大常委会法工委经济法室副处长林一英表示,在讨论和认定私密信息和敏感个人信息的关系时,还是要回到《民法典》和《个人信息保护法(草案)》的关系上来。有学者认为,《个人信息保护法(草案)》规定和《民法典》》规定不是很一致,这主要是因为《民法典》是从人格权保护的角度进行规定,通过事后侵权救济的方式予以保护;《个人信息保护法(草案)》则从明确事先的预防规则角度进行保护,并不是对《民法典》进一步的细化。
目前主要是由《民法典》进行原则性规定,具体还是由《个人信息保护法(草案)》进行解决。其次,敏感信息、非敏感信息是从明确处理规则的角度进行区分,私密信息、非私密信息的区分意义更多在于对人格权的救济,从司法实践看,权利和权益的保护还是有差别的。最后,《个人信息保护法(草案)》对于定义的规定体现了相对原则,并赋予了相关部门制定标准、规则的权力,可以在具体场景之中进一步确定。
议题二:
个人信息、隐私侵权的构成要件
北京互联网法院副院长姜颖
本议题由北京互联网法院副院长姜颖主持。与会嘉宾重点讨论了知情同意具体实践的合法性认定,损害后果的认定,安宁权侵权构成要件及多主体责任分配等问题。
腾讯集团诉讼总监刁云芸
腾讯集团诉讼总监刁云芸认为,绝对权利和合法权益的侵害应该区别对待,对于合法权益这样的相对权益受到侵害时,应当要求存在损害后果。立法和司法要充分考量多方主体的利益平衡,考虑产业发展,走出有中国特色的实践。
阿里巴巴集团数据合规专家徐彩曦
阿里巴巴集团数据合规专家徐彩曦从用户的角度回应了知情同意的问题。她认为,用户是多维的,需求是多样的,包括隐私的期待、权益的期待等,不同的用户体现不同的特点。隐私偏好不同,用户在对其个人信息处理的态度上也不同,包括收敛型、开放型,所以是否可以考虑在一定程度上给予开放型用户更多选择。希望后续的立法、标准解读中,更多考虑当事人不同维度的需求和期待。
清华大学法学院教授程啸
清华大学法学院程啸教授认为,我国《民法典》在侵权责任的构成要件上已经明确区分了侵害与损害两个概念。在侵害层面,隐私权属于法律明确的具体人格权,对其的保护属于对绝对权的保护,采用结果不法的侵权判断标准;而个人信息只是受到法律保护的利益,更适宜采用行为不法的标准来判断违法性。在损害后果层面,侵害隐私权可能带来精神痛苦、社会评价下降等损害后果;同时,因为隐私难以被商业化利用,所以损害一般难以包含经济损失;而个人信息权益的损害往往比较难以确定,侵害个人信息在实践中常被作为一种手段,最终目的是侵害个人的其他人身财产权利,如生命权、健康权、隐私权、姓名权、肖像权、财产权等。
此外,个人信息的损害较难证明,尤其是精神损害,按照民法典的规定必须是达到严重损害的程度,故此,未来实践中可能更多的是以停止侵害、排除妨碍、消除危险、赔礼道歉、消除影响、恢复名誉等侵权责任承担方式来保护个人信息。当然,如果能够证明损失或者侵权人的获利,也应当给予损害赔偿。立法上也可以规定法定数额的赔偿责任。
中国人民大学法学院副教授丁晓东
中国人民大学法学院副教授丁晓东建议,企业对于个人信息是否尽到安全保障义务,可以采用企业是否尽到了信息信托责任来判断。在用户是否知情的具体判断中,也需要沉入具体场景进行判定,比如,有些情形下企业完全告知是不现实的,反复且多次告知也不合适。个人信息保护不能完全契合侵权法的原因是,侵权法适用于因果关系、损害后果较为明确的法律行为,但是个人信息的侵害往往由多种因素造成,且损害后果因人而异。因此,可以采取风险原则,根据风险防范的措施、风险危害的程度、一般性损害后果的大小来确定侵权责任。
北京理工大学法学院研究员洪延青
北京理工大学法学院研究员洪延青认为,按照现在正在征求意见的《个人信息保护法(草案)》,在产品维持使用中所涉及的信息应分为必要个人信息和非必要个人信息。非产品维持使用的必要信息,就必须征求用户同意。必要信息的授权在原有的法律框架下可以授权给产品方,如果企业还想要获得更多的用户信息,需要显著提醒,如果影响到了用户体验,厂商应当考虑这样的后果。此外,互联网公司可以利用大数据算法得知很多用户未透露的信息,这样的衍生信息是否需要用户“同意”,很可能要由法院来明确。
中央财经大学法学院教授邢会强
中央财经大学法学院教授邢会强表示,对于侵害个人信息的行为,应当加强行政监管,因为受害人证明自身损害相对较难。他援引了国外类似侵害救济的相关处理,考虑司法救济的有限性和诉讼成本的消耗,建议《个人信息保护法(草案)》可以在规定个人信息侵权法定赔偿额的基础上,按照信息的不同进行分级分类,并适当调高判赔金额,由于受害人的损失难以计算,建议引入法定赔偿额制度。
工业与信息化部信息通信管理局
服务质量监督处副处长赵阳
工业与信息化部信息通信管理局服务质量监督处副处长赵阳表示,行政监管往往按照最小必要信息原则进行,考量的是产品索要的权限是不是产品使用的必要权限。如果不是必要权限,而产品方要求不给权限则无法使用的,就属于违法行为。
一般来说个人信息在互联网领域有两个用途,一是维持产品基本功能,二是满足企业其他商业目的。必要信息可以通过使用前的合同授权,但其他的信息必须要获得用户的额外授权。此外,尽管是必要信息,也有可能会被用于其他商业用途。信息授权使用的最小必要化原则还需要细化,要细化至让企业和用户都知道,所授权信息的限定用途是什么。确定最小必要化原则也需要融入场景。监管应当坚持用户方便、企业发展与个人信息保护的平衡。
议题三:
个人信息利用特定场景的规则构建
互联网司法治理研究中心执行主任吴沈括
本议题由“互联网司法治理研究中心”执行主任吴沈括主持。与会嘉宾重点讨论了处理已公开个人信息的规则、个人信息合理使用的规则等问题。
搜狗法律政策研究院院长臧雷
搜狗法律政策研究院院长臧雷梳理了司法判决对抓取搜索数据的态度变化,他认为未来有两个趋势:一是从允许抓取通用搜索引擎数据扩展到允许抓取带有天然公益属性的产品数据,如果对后者给予过多保护容易造成垄断,阻碍信息的流通。二是从允许通用搜索引擎数据的抓取发展到允许聚焦爬虫数据的合理抓取,建议个人信息使用的三重授权原则也需要场景化处理和限定化使用。如果数据是用户主动公开希望他人获取的,那么属于可以公开访问的数据,应当允许抓取;如果是用户使用平台而衍生的数据,那么也应当让渡给平台部分权利。
字节跳动集团数据安全法务总监田申
字节跳动集团数据安全法务总监田申表示,在实际业务发展过程中,社会公开信息对于互联网行业发展有非常重要的作用。同时,社会公开信息对社会经济运行也起到了基础作用,公开信息的合理使用可以构建行业繁荣的基础,建议在明确数据合理流动的范围上,结合处理目的和使用方式,在整体性场景分析后再认定是否构成合理使用。
阿里巴巴集团数据合规专家徐彩曦
阿里巴巴集团数据合规专家徐彩曦表示,目前互联网企业拥有一定的风险识别能力、风险分析能力,但因为合规的要求无法做任何商业性输出。希望能够从立法、司法、监管等角度进行更多探讨。她建议在合理使用的规则构建上,充分考虑特定场景、特定行业下的规则,探讨一些有行业特殊需求、能够促进产业发展以及用户权益保护、国家利益保护的规则制定。她还建议,在知情同意当中可以尝试制定尽职免责的规则,激励企业主动进行数据治理机制建设。
对外经贸大学法学院副教授许可
对外经贸大学法学院副教授许可认为,由于按照《个人信息保护法(草案)》第28条规定来确定个人信息被使用的用途存在一定困难,所以某些公开的个人信息应该转变为公共信息,从28条第一款对于用途的限制中解除出来。除了《个人信息保护法(草案)》13条所涵盖的几种个人信息合理使用的情形,还可以考虑信息处理者的正当利益条款。此外,为了打击网络黑灰产进行的个人信息处理,也可以认为是合理使用。
公安部网安局法制处副处长张钢强
公安部网安局法制处副处长张钢强介绍了公安部在个人信息保护方面的工作,包括打击犯罪、安全监管、安全防护三个方面。目前信息保护的形势具有挑战性,网络犯罪高发多发,应当加大监管规制的力度。在数据的防护方面,应当分级分类保护,与网络安全等级保护制度等衔接。在制定《个人信息保护法》时,要平衡好借鉴国外经验与立足中国国情之间的关系,个人信息保护与数字经济发展之间的关系,个人信息保护与维护公共安全之间的关系,同时,做好与相关立法之间的衔接平衡。
最高人民法院民一庭三级调研员危浪平
最高人民法院民一庭三级调研员危浪平认为,就个人信息和隐私的区别而言,隐私更加侧重个人意愿,而个人信息则是在客观层面的综合认定。法律对于隐私权的保护相对更加明确,对处理使用规定得更加严格;而个人信息使用的同意主体可以是权利人、监护人,法律位阶层面也放宽到了行政法规。保护竞合的情况下当事人可以选择保护的方式。
从价值引领权益判断来看,隐私权是具体人格权,更强调人格利益的保护,个人信息权益兼有人格利益和财产性利益属性,侧重信息的流通交流。从国家战略来看,在大数据时代,对于一般个人信息更加强调利用识别,促进产业发展,对于隐私信息也会进一步加大保护力度,从行业监管导向、产业政策研究方向,强调形成合力,进行诉源治理。
互联网司法治理研究中心执行主任吴沈括
最后,吴沈括教授作了总结发言。他表示,本次研讨会体现了三个度。第一,体现了研讨的高度。从数字经济乃至数字化转型的高度探讨了个人信息流转利用和司法保护的问题,特别是深入探讨了“处理已公开个人信息的规则”以及“个人信息合理使用的规则”等问题。第二,体现了研讨的角度。从司法适用的角度切入,探讨了《个人信息保护法(草案)》的完善建议,例如损害后果的认定、侵权构成要件的认定等问题,相信有利于草案的进一步完善。第三,体现了研讨的深度。着眼于场景,针对棘手问题和疑难问题探讨解决路径,例如知情同意的合法性认定、信息匿名化问题以及地理位置等信息类型的司法认定问题。