个人信息权保护前沿研究与案例分析
文/林浩鼎 李娜
前言:在第十三届全国人大常务委员会第十五次会议排定备受关注的民法典草案在大会上全文公开。按照编纂工作计划,民法典草案提请全国人大常务委员会会议审议后,由全国人大常委会作出决定,将作为民商事基本原理、各种合同的规则、财产归属与变动、侵权行为的条件与后果、人与人身份关系的成立与继承生效等规定的民法典草案将提请第十三届全国人大第三次会议审议。在此次即将出台的民法典,有别于我国之前法律与许多国家立法例,特别之处在于民法典草案的人格权编独立成编于民法典草案的第四编,尤其是对于个人信息保护的规定。
其中有关隐私权与个人信息保护,在民法典草案的第四编人格权编的第六章用了8条法律规范了隐私权与个人信息保护。(1)将对现在与未来大数据行业、网路搜索行业、金融信息公司与征信产业的实务合规运作和以此规定为法律基础的法院裁判,会有立即的重大变更与长远影响。
一、案例导读
案件索引
一审:江苏省南京市鼓楼区人民法院(2013)鼓民初字第3031号(2014年10月13日)
二审:江苏省南京市中级人民法院(2014)宁民终字第5028号(2015年5月6日)
案例概述
南京市中级人民法院对“北京百度网迅科技公司”(以下称百度公司)与朱某的隐私权纠纷案审理并裁判。
原告(被上诉人)朱某诉称:其在在家中和单位上网浏览相关网站过程中发现,利用百度搜索引擎搜索“减肥”“丰胸”“人工流产”等关键词,并浏览相关内容后,在www. 4846. com、 www. paolove. com、 www. 500kan. com等一些网站上就会相应地出现“减肥”“丰胸”“人工流产”的广告。北京百度网讯科技公司(以下简称百度网讯公司)未经朱某的知情和选择,利用网络技术记录和跟踪了朱烨所搜索的关键词,将朱烨的兴趣爱好、生活学习工作特点等显露在相关网站上,并利用记录的关键词,对朱某浏览的网页进行广告投放,侵害了朱烨的隐私权,使朱某感到恐惧,精神高度紧张,影响了正常的工作和生活。故诉至法院,请求判令百度网讯公司立即停止侵害,赔偿精神损害抚慰金1万元、公证费1000元。
被告(上诉人)百度网讯公司辩称:cookie技术是一项合法的、基础的、中立的工具,在全球范围内被谷歌、雅虎、亚马逊等网络服务商普遍采用。百度网讯公司收集的cookie并不包含任何个人身份识别信息,无法识别特定网民在现实世界的个人信息,更无法与特定的人身相联系。百度网讯公司在合作网站上展示推广的内容仅是个性化展现在朱烨控制的电脑中,并未公开、宣扬朱某隐私为公众所知悉,不涉及隐私侵权。百度网讯公司网站首页《使用百度前必读》中的“隐私权保护声明”中已经明确告知用户,使用cookie技术是为用户提供服务,保障了用户的知情权。而且网站也提供了选择退出机制,朱某可以通过关闭设置,非常轻松且没有任何成本地阻止推广结果的展现。同时,朱某也可以通过浏览器对cookie进行设置,包括禁用cookie或清除cookie。综上,百度网讯公司并未侵犯朱烨的隐私权,请求驳回朱烨的诉讼请求。
二、裁判要旨与理由
裁判结果
二审法院认为能够识别公民个人身份和涉及公民个人隐私的电子信息。网络精准广告中使用cookie技术收集、利用的匿名网络偏好信息虽具有隐私属性,但不能与网络用户个人身份对应识别,网络服务提供者和社会公众无法确定该偏好信息的归属主体,不符合个人隐私和个人信息的“可识别性”要求,因而该行为不构成侵犯隐私权。(2)
理由
法院经审理查明:朱某在家中和单位上网浏览相关网站过程中发现,利用百度搜索引擎搜索相关关键词后,会在百度网络联盟的特定的网站上出现与关键词相关的广告。例如,朱烨在通过百度网站搜索“减肥”“人工流产”“隆胸”关键词后,再进入“4816”网站、“500看影视”“泡爱网”等网站时,就会分别出现有关减肥、流产和隆胸的广告。2013年4月17日,朱烨通过南京市钟山公证处对“上述过程”进行了公证并支付了1000元公证费。
百度网讯公司个性化推荐服务的技术原理是:当网络用户利用浏览器访问百度网站时,百度网站服务器就会自动发送一个cookie信息存储于网络用户浏览器。通过建立cookie联系后,百度网站服务器端对浏览器浏览的网页内容通过技术分析后,推算出浏览器一方可能的个性需求,再基于此种预测向浏览器的不特定使用人提供个性化推荐服务。
三争议焦点分析
第一、百度公司利用cookie技术收集针对用户个人浏览网站的信息群并且发布相关的广告给用户,这种收集信息并披露给商家而取得营利的作法,其性质在法律上能被认定是合法收集信息?亦或有可能构成侵犯个人信息利益呢?
百度公司在庭审中,主张收集个人浏览网路信息是碎片化信息,并不属于用户的隐私的范围。百度公司及其聘请的律师们,强调隐私权是保护私人生活安宁,所以不属于侵犯隐私权。但在现代社会与信息社会如何判定企业的提取利用信息行为是否属于侵犯隐私的行为呢?
实际在我国民法典尚未施行前,个人信息权与隐私权尚未进行严格的区分,在司法实践中仍然还是按照固有隐私权定义进行认定与裁判。但实际上,因为“实名制上网规定”及使用网际网路去搜索与浏览个人想知道并了解的知识、信息及解决方案与相应的商品及服务公司(医疗、法律、征信服务等),就属于隐私权与个人信息保护的范围,是充分体现自然人信息特征、身份家庭状况、健康信息,与其“私密活动”等个人信息被他人或法人所知其个人私密行为。一个人在私下使用上网工具,如桌上型电脑、笔记本电脑、平板电脑、智能型手机去搜寻其想要得到的资料与信息,在信息化时代与人类已进入信息文明时代的同时,保护个人上网浏览及对话的私密性,就如同刚有电话或手机发明时,文明法律社会与政府有义务保护在不涉及刑事诉讼法的监听条件时,有义务立法让人民有免于被监听的宪法上基本权利,就如同本案个人被网路公司收集上网行为记录一样的性质。
第二、在现行法律,依据《民法总则》第一百一十一条规定:
“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这是现行民法总则中,关于个人信息保护的规定,关于个人信息权益的侵权行为条件,还包括非法收集、使用加工、传输他人个人信息。本案中百度公司利用cookies技术搜集了用户的个人浏览网站网页信息。如果任何门户网站公司在网页上使用一个“必须同意本公司规定的格式化合同,否则不能使用本网站或本公司不负任何法律责任”的条款,是否已经违反了信息化社会里发展网路门户公司商业利益发展与个人隐私及信息保护的平衡!值得深思!
第三、目前法院判决也有其在现有制度上的判断与考量:
利用,搜集,公开个人信息的前提是经过当事人的同意,因此在本案中百度公司主张公司已经通过公告的方式给用户做了说明,代表用户已经默示同意该公司利用个人信息。参考国家推荐性标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28828-2012)之规定,百度公司提供的隐私权保护声明作出判断,该文件指出个人信息分为个人敏感信息和非个人敏感信息,个人敏感信息的收集应当用户明确表示同意,个人非敏感信息可“默示“,法院根据举重以明轻的原则,百度公司利用网路技术所收集的信息为不存在明确指向个人特征的信息,以“明示告知”和“默示同意”相结合的方式并非欠妥,因此判定百度并未侵犯该用户的隐私权。也并未侵犯其个人隐私权,这是一种思路与价值判断。
但是否符合民法典草案人格权编的个人信息保护规定(民法典草案第一千零三十二条第二项:“自然人隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、“私密活动”、私密信息。”一个人在不涉及职务行为的上网浏览网站及搜索信息活动是不是属于个人“私密活动”呢?
第四、本案最大的启示在于对于cookies的性质的认定,其使用的信息的性质是否属于是个人信息。
百度公司在用户使用百度公司网站之前的《使用百度前必读》其中的“隐私保护声明”对于cookies的信息搜集方式,范围都提供了明确的说明,并且百度公司网站声明条款为用户提供了“被遗忘”即退出机制。但是法院认为此退出机制并不明显地能被用户熟知,而是标记在最下角,并且跟其他不相关内容掺杂,用户不容易识别,并不属于明确的说明,用户无从对于此技术的适用“同意”,在本案件中朱某请求的是精神损害赔偿,需要提供明确的自身因为此侵权行为遭受严重损害结果的证明,因此法院不能支持百度赔偿当事人朱烨精神损害的要求。
第五、个人信息保护与上网隐私活动的侵权判断:
在适用网络技术采集用户信息,百度公司或者很多互联网公司的收集上网用户信息行为是商业模式的一种获利模式,但也可能是对用户人一种隐形的损害。就如同假如当年贝尔电话公司发明电话后,从监听电话用户通话来获得用户偏好哪种消费取向及即将欲购买何种商品与服务。此种收集推荐可能最终会导致个人信息的不当利用。比如黑客攻击,获取个人信息之后贩卖信息、利用、诈骗或者给用户造成潜在的财产损失、人身损害等方面。目前互联网公司对于个人信息的保护都能在网站上见到明确的格式化协议、个人信息使用说明、同意书等。这种做法可能从诉讼上规避了风险、个人信息保护立法上漏洞等问题。但是依然还是有一些信息的范围超出协议中的范围,最终导致侵权。从搜索及门户网站的角度来思考,哪些信息属于互联网公司应该明确在协议中明确的条款,如何自长远规范个人信息使用及如何平衡商业利益与个人信息保护与隐私是当前很多网络公司需要考虑的重要问题。
例如在本案中法院认为cookie识别的信息是网络用户的上网踪迹,而不是能识别出个人信息的信息,因此上网踪迹是匿名的,不具备个性特征的。但是目前的技术是否仅仅能反应用户目前的购物倾向,就不能识别个人的信息呢?但随着信息技术发展的速度,一些技术的识别更加快速准确能够定位到个人信息,势必是需要加以规制的,虽然目前对于个人信息的界定还在学术界与司法裁判研究发展中,但是能够反映个人信息特征而不被信息主体同意的而被收集、使用、贩卖的,都涉及民法典草案中的保护个人信息权益。
结论:这里必须提到在西班牙法院的“冈萨雷斯诉谷歌公司案”中,当事人冈萨雷斯认为谷歌搜索引擎出现的衔接中反复出现其个人信息,内容是当事人冈萨雷斯拖欠保险费用而被拍卖其财产的内容,要求谷歌公司予以删除,行使其被遗忘权,最终西班牙数据保护局支持了当事人冈萨雷斯的诉求,责令谷歌断开衔接,认为网络衔接不仅具有经济价值,同时具有公共利益的本质,需要平衡个人利益与公共利益在数据上达到平衡,因此支持当事人的诉权。在此案中GDPR条例都尚未生效,但是基于个人利益与公共利益角度此案的判定找到了依据,结合本案cookie技术对于个人上网踪迹的跟踪,定向根据用户需求提供对应的广告。如果按照即将出台的民法典草案,在其中的第一千零三十二条第二项规定的“个人私密活动”。该“私密活动”是否包括了个人的上网踪迹,此上网踪迹在法院看来仅仅具有经济利益,只是匿名行为(大部分网路应用软件已要求实名制),随着信息时代技术越发发达,是否该技术会带来新的人权侵犯,用户的“被遗忘权”是否可以得到支持?
2014年5月13日,欧洲法院(EuropeanUnion Court of Justice)发布谷歌(西班牙)公司和谷歌公司诉西班牙数据保护局和冈萨雷斯(GoogleSpain SL, Google Inc. v AEPD and Mario Costeja González,以下简称为“谷歌数据隐私案”)一案的判决书,裁定谷歌西班牙公司败诉,必须移除原告相关网络搜索链接信息。(5)
被侵犯新型隐私权及个人信息保护的当事人所遭遇的现实情况被司法支持的可能性增加,也是现代企业尤其需要注意的必然性现实!
我们身处在信息技术工业革命的时代,对个人上网隐私与信息权益的制度建立与司法裁判,对于立法者、司法审判员、互联网企业家们对新型权益的价值判断、利益衡量及个人权益保护必须多一些换位思考及行动。在制度与实务上共创一个既能保护个人信息权又能使网络信息企业持续创新发展的信息时代社会。
注释:
(1)民法典草案第四编人格权编 (2019年12月16日草案稿)
第一千零三十二条 自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
第一千零三十三条 除权利人明确同意外,任何组织或者个人不得实施下列行为:
(一)以短信、电话、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;
(二)进入、窥视、拍摄他人的住宅、宾馆房间等私密空间;
(三)拍摄、录制、公开、窥视、窃听他人的私密活动;
(四)拍摄、窥视他人身体的私密部位;
(五)收集、处理他人的私密信息;
(六)以其他方式侵害他人的隐私权。
第一千零三十四条 自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。
个人信息中的私密信息,同时适用隐私权保护的有关规定。
第一千零三十五条 收集、处理自然人个人信息的,应当遵循合法、正当、必要原则,不得过度收集、处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开收集、处理信息的规则;
(三)明示收集、处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的使用、加工、传输、提供、公开等。
第一千零三十六条 自然人可以向信息控制者依法查阅、抄录或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现信息控制者违反法律、行政法规的规定或者双方的约定收集、处理其个人信息的,有权请求信息控制者及时删除。
第一千零三十七条 收集、处理自然人个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内实施的行为;
(二)处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
第一千零三十八条 信息收集者、控制者不得泄露、篡改其收集、存储的个人信息;未经被收集者同意,不得向他人非法提供个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息收集者、控制者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失; 发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,依照规定告知被收集者并向有关主管部门报告。
第一千零三十九条 国家机关及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。
(2)2014年10月13日作出(2013)鼓民初字第3031号民事判决:一、北京百度网讯科技有限公司于判决生效之日起10日内向朱烨赔礼道歉(如北京百度网讯科技有限公司未按判决进行赔礼道歉,法院将通过相关媒体公告判决书的内容,由此产生的费用由北京百度网讯科技有限公司承担);二、北京百度网讯科技有限公司于判决生效之日起10日内赔偿朱烨公证费损失1000元;三、驳回朱烨的其他诉讼请求。
宣判后,百度网讯公司提出上诉,江苏省南京市中级人民法院于2015年5月6日作出(2014)宁民终字第5028号民事判决:一、撤销江苏省南京市鼓楼区人民法院(2013)鼓民初字第3031号民事判决;二、驳回朱烨的全部诉讼请求。
(3)民法典草案第一千零三十八条:“信息收集者、控制者不得泄露、篡改其收集、存储的个人信息;未经被收集者同意,不得向他人非法提供个人信息。”
(4)《通用数据保护条例》(General Data Protection Regulation,简称GDPR)为欧洲联盟的条例,前身是欧盟在1995年制定的《计算机数据保护法》。
2018年5月25日,欧洲联盟出台《通用数据保护条例》。
2019年7月8日,英国信息监管局发表声明说,英国航空公司因为违反《一般数据保护条例》被罚1.8339亿英镑(约合15.8亿元人民币)。
(5)欧盟法院在本案判决书中指出,欧洲网络用户可以要求谷歌公司从其互联网搜索结果中删除涉及个人的敏感信息,以保护自己的“被遗忘权”(the right to be forgotten)。附随本案判决书的欧盟法院法律顾问官意见书同时对该判决意见进行了详细地法律论证。裁判生效后,谷歌公司执行了欧盟法院的判决,并增加了欧盟用户“被遗忘权申请”的在线申请程序。
律师简介
林浩鼎 高级顾问
北京云亭律师事务所
手机:13718518925
座机:010-59449968
邮箱:linhaoding@yuntinglaw.com
林浩鼎,北京云亭律师事务所高级顾问。在香港、台北、北京从事国际法律业务、资本市场与金融专业法律服务十余年。
林浩鼎博士先后毕业于“台湾东海大学”法律系、美国南新罕布什尔大学国际金融与法律硕士、北京大学法学院民商法学博士。在“台湾高等法院”“桃园地方法院”担任过法官助理、在香港知名金融集团担任董事局法律顾问,通过中国内地律师执照考试,并在北京大学经济学院中国信用研究中心担任经济法律研究员。熟悉中国内地、香港、台湾地区与美国的商事法律法规及英属维京群岛、开曼、萨摩亚等离岸公司设立、外商投资、并购、金融与资本市场的监管规定。
林浩鼎博士擅长协助中国内地、香港、台湾地区的企业及海外客户,在各地设立公司或基金,安排股权架构,设计交易结构和准备法律文件,使得相关交易既符合法律的规定又能实现商业的目标。并在深圳与香港有专门负责欧洲投资移民的合作团队。