信息处理者侵害个人信息权益的法律救济研究
Research on Legal Remedy of Information Processor’s Infringement of Personal Information Rights and Interests
DOI:10.12677/ojls.2024.127624,PDF,HTML,XML,下载: 25浏览: 48
作者:李 坤:长春理工大学法学院,吉林 长春;高跃军:吉林省长春新区人民检察院,吉林 长春;刘 蓓:长春工业大学法学研究所,吉林 长春
关键词:侵权救济私益诉讼公益诉讼Tort ReliefPrivate Interest LitigationPublic Interest Litigation
摘要:当下信息数据技术发展迅速,大数据与算法的应用早已深入民用领域。在此背景下,个人信息保护面临着新的挑战。在信息处理过程中,信息处理者处于支配地位,而个人信息又具有商业价值,致使近年来侵害个人信息权益的案件呈上升趋势。个信法出台前主要在私益诉讼中以侵害隐私权、一般人格权的方式进行诉讼。在其出台后,因保护个人信息而发生争议的案件有所增长,以公益诉讼进行维权的案件数量也开始增加。但由于诉讼成本高,举证难度大等问题也随之浮现出来。对此,应适当借鉴欧盟《GDPR》举证责任分配与美国的《CPRA》的CPF制度,用来健全保护个人信息权益的机制,使得个人信息权益的保护与个人信息的流通与高效利用并驾齐驱。
Abstract:With the rapid development of information and data, the application of big data and algorithms has been deep in the civil field. In this context, the protection of personal information is facing new challenges. In the process of information processing, information processors are in a dominant position, and personal information has commercial value, resulting in an increasing trend of cases of infringement of personal information rights and interests in recent years. Before the enactment of the private letter law, litigation was mainly carried out in the way of infringing the right to privacy and general personality rights in private interest litigation. After its introduction, the number of disputes arising from the protection of personal information increased, and the number of cases for the protection of rights through public interest litigation also began to increase. However, due to the high cost of litigation, the difficulty of proof and other problems have also emerged. In this regard, appropriate reference should be made to the EU GDPR burden of proof allocation and the CPF system of the US CPRA to improve the mechanism for protecting personal information rights and interests, so that the protection of personal information rights and interests and the circulation and efficient use of personal information can go hand in hand.
文章引用:李坤, 高跃军, 刘蓓. 信息处理者侵害个人信息权益的法律救济研究[J]. 法学, 2024, 12(7): 4393-4399. https://doi.org/10.12677/ojls.2024.127624

1. 信息处理者侵害个人信息权益的救济方式

()《个人信息保护法》出台前的救济方式

(1)私益诉讼

随着信息革命席卷全球,大数据时代已然开启,使得人们日常生活中的精神与物质的联系日益方便、快捷与高效。在这一背景下,信息产业得到了繁荣发展,个人信息利益结构的多样化演化过程,在信息社会价值多元化的大背景下得到了加速,由于对个人信息的频繁商业使用,使得其具有了财产利益属性[1]。在新技术应用背景下,信息有价的社会理念与个人信息的商业化倾向是个人信息收益权的现实来源[2]。个人信息处理者发现其价值所在并过度利用的事件屡屡发生,信息主体为维护其合法权益,保证与自己相关的生活安宁且自己的个人信息不被过度利用,于是以侵犯其个人信息权益为由提起诉讼。而立法者也看见这一趋势,在维护个人信息权益这条道路上,始终在寻找一种对个人信息的利用与保护之间的一种平衡,以防止个人信息侵权事件的频发,从而导致社会矛盾的增加,司法通道拥挤。因为《民法典》并未对个人信息保护与诸如名誉权、隐私权等特定人格权之间的关系进行明确界定,因此,在私益性诉讼中,有关个人信息保护的司法实践更多地援引名誉权、隐私权等有关法律规范。

(2)公益诉讼

随着科技日新月异的进步,使得个人信息不再局限于私人领域,公共属性变得更加强烈,传统的救济方法已无法全面覆盖。需要一种更强力高效,更节约成本的救济方式来强化对个人信息的保护,由此公益诉讼引入至个人信息侵权领域。

我国首例公益诉讼案件1发生在2019年2月份,被告孙某将其在网上购买的4万多条包含姓名、电话、邮箱等信息,通过微信和QQ出售给了刘某,售出三万四千元。刘某在获得该情报后,将其用于虚假的商业宣传。公益诉讼起诉人认为,被告人孙某未经他人同意,在互联网上非法销售、提供个人信息,致使4万余条个人信息被非法销售、使用,给社会上众多不特定主体的个人信息权益带来了极大的损失,故提出了民事公益诉讼。在民法典生效之后,这起案件成为了国内第一起个人信息民事公益诉讼案件,这也是检察机关将民法典与互联网时代个人信息保护结合起来的一次有益的尝试。法院当场作出裁定,支持了公诉方的全部起诉要求,孙某被判处支付损害赔偿款三万四千元,并在《浙江法制报》上公开致歉。

在大量侵犯公民个人信息的案例中,不仅侵犯了信息主体的个人信息权益,而且也对社会公共利益造成了损害。因为个体维权的成本很高,而且周期很长,所以必须要对个人信息进行更有力的保护。此时,为了维护社会利益,就必须使用公益诉讼,使其权益得到救济。因此,个人信息承载的除信息主体本身之外的其他重要利益与价值也要有力度更强的司法保护。

()《个人信息保护法》出台后的救济方式

(1)私益诉讼

《民法典》对个人信息方面的保护虽有其重要性,但不能将所有的个人信息保护问题都纳入其中[3]。《个人信息保护法》的实施打破了我国多年来零散立法对个人信息进行保护的局面,对个人信息的保护已经有了比较完善的体系。

《个人信息保护法》第50条明确规定个人行使权力的保障,第69条规定了侵权责任。由于特别法优于一般法,因此,当信息主体的个人信息权益被侵犯时,或者无法行使自己的权力时,可以先依据《个人信息保护法》提起诉讼用以救济自己的合法权益。

然而,在实践中民法典也常被适用于个人信息保护纠纷的案件。如贾某、青岛远海教育服务有限公司个人信息保护纠纷一案2:被告青岛远海教育服务有限公司在日常的业务中从网上下载“讯鸽号码魔方9.0正式版”及其他软件,对号码一系列操作生成电话号码下发给工作人员,工作人员采取拨打电话方式与消费者联系推介宣传公司业务。2020年12月23日,被告工作人员拨打原告的手机号码问其需不需要专升本。原告获取被告的信息后于2021年1月7日向平度市市场监督管理局进行了举报。平度市市场监督管理局派员对被告青岛远海教育服务有限公司的法定代表人姜笑笑进行了询问,制作笔录并拍摄了现场照片。2021年1月11日,被告青岛远海教育服务有限公司向平度市市场监督管理局出具说明,拒绝平度市市场监督管理局组织的与投诉人之间的调解。2021年9月1日,被告青岛远海教育服务有限公司又向原告发微信推介业务。原告于2022年9月1日起诉至法院。法院认为此案件属于个人信息保护纠纷。被告青岛远海教育咨询有限公司侵害了原告的个人信息权益。法院依照民法典判处其相应责任。

个信法中所规定的与个人信息处理有关的法律规范,实质上是对民法典中的基本法律规范的具体体现。因此,有时候适用民法典也是为了更好的对个人信息权益进行救济。

(2)公益诉讼

由于处理信息的一方具有比持有信息的一方更高的经济地位和诉讼能力,所以对信息权益的保护很难做到行之有效,在私益诉讼过中大多数受害者没有足够的证据来证明自己的个人信息权益受到侵害,并且得到的救济与花费的成本不对等,使得司法通道拥堵。

在学术界,对个人信息的保护需要公法私法双管齐下,这是一种基本共识[4]。在个信法第70条中,对个人信息保护公益诉讼制度进行了明确的规定,其具有两个特点:一是在提起个人信息保护公益诉讼时,需要同时满足违法处理个人信息和侵害众多个人信息权益的条件;二是以检察机关、法律规定的消费者组织以及国家网信部门认定的机构为代表的公益诉讼主体。

公权力明确加入到维护个人信息权益中来的,弥补了私力救济的不足,同时公益诉讼是集体保护的一种程序机制,它蕴涵着社会法的价值和功能,它的制度目的是对实体公正和社会公正的追求,其最为直接的实体目的就是确认、恢复与实现公共利益[5]。公益诉讼正式加入到保护个人信息权益中来,一是拓宽了信息权益侵权救济的渠道,二是可以更好地保护个人信息的公共属性。

3. 当前信息处理者侵害个人信息权益的法律救济存在的问题

()私益诉讼维权成本高

私益诉讼中涉及个人信息保护的案例较少,而且往往很难得到充分救济。例如在燕京公司与陈广树服务合同纠纷一案中,3自称燕京公司的人员给原告多次打电话推销纳豆,说燕京公司做啤酒也做纳豆,当询问其如何知道原告的电话号码时没有合理的答复。大概一年前,因燕京公司推销纳豆一事与燕京公司沟通过,告知燕京公司不要再打电话,燕京公司也承诺不会再打电话,但警告过燕京公司后仍在打电话。最近一次2022年1月7日接到自称是“燕京爱心志愿者吕女士”打来的电话,再次与燕京公司核实,承认是燕京公司“代理商”在推销。然而燕京公司迟迟不告诉原告代理商公司名称,多次询问后告知叫“情暖人间”,但未查到该公司的相关信息。原告依据个信法相关法律规定,其获取电话号码的行为属于非法行为,侵害其个人信息权益,于是提起诉讼。陈广树提交通话录音4段,证明其接到自称燕京公司志愿者或工作人员的推销纳豆产品电话,主张燕京公司通过不正当、非法方式获取陈广树电话的行为构成侵权。燕京公司辩称上述电话拨打人不是燕京公司员工,与燕京公司无关。陈广树提交通话录音1段及微信聊天记录,主张其拨打燕京公司总机后联系到一位工作人员,陈广树通过微信询问该工作人员录音事宜,该工作人员表示可能是代理商的电话。燕京公司辩称该人员并非公司员工,货品销售模式为谁拿货谁销售。法院认为陈广树要求认定燕京公司得到其电话号码的行为属于侵权行为,但陈广树提交的证据不足以证明上述电话系燕京公司工作人员或燕京公司委托他人拨打,故陈广树的诉讼请求法院不予支持。

同时,也折射出我国公民个人信息的司法保护所面临的现实困境:受害人单独维权成本高而且效果不佳,且用户诉讼标的额小,但诉讼程序中花费时间与金钱等个体维权成本高昂,这也使得受害人对于维权些许退缩。

()私益诉讼举证难度大

大型互联网平台是个人信息处理者最主要的主体。尽管用户和平台是平等的民事主体,但是,随着大型网络平台的不断扩大,相对于分散的用户来说,它们在技术和资源方面都显示出了绝对的优势[6]。平台对业务内的信息控制能力极强,而被侵权人却没有足够的技术和条件来搜集证据。这种差异使得原本适用于平等主体的侵权法很难充分发挥其应有的功能。在现实生活中,大量APP存在非法获取和滥用个人信息的情况,这都是因为信息处理者拥有技术优势,而大部分的信息主体只有有限的认知能力,他们一直处于被动的地位。同时,信息主体也很难知道是谁对这种信息进行了处理,又或者是为了什么目的而收集的,这使得被侵权人很难收集证据。

对比于2018年直接适用于欧盟各成员国的《欧盟数据保护条例》中,在权利救济方面,对数据处理者提起诉讼的权利在GDPR第79条中被规定,数据主体除了此项救济权利外,也可以获得行政救济与向监管机构提交申诉。如果数据主体认为数据控制者或处理者对其个人数据进行处理,违反了GDPR,都可以寻求司法救济。该条款在实质上有别于传统的侵权救济,并具有“以私促公”的特征[7]。本质上是欧盟将个人数据被保护权视为一种源自《欧盟基本权利宪章》的宪法性权利,4在这种情况下,信息主体对法院的请求,即要求法院确认和保护其个人信息权。

在第82条中,在没有免责条款的情形下,如果数据主体由于数据处理者或控制者因为违反了《GDPR》而受到了财产和精神上的损害,其可以对数据的控制者和处理者提出索赔。只要侵犯个人信息的行为与损害的产生之间存在充分的近因关系,则被认定为侵权。其次,《GDPR》中所述的责任是具有连带性的,同一数据处理造成的损失是由多个数据控制者和处理者造成的,那么需要他们承担连带责任。

个信法在侵权方面规定了过错推定责任。过错推定原则中法律规定的推定事实的证明难度一定小于过错要件事实的证明难度,其设置的目的就是要降低举证责任难度[8]。但尽管适用过错推定责任降低了被侵权人的举证难度,不过在信息处理人员以其技术上的优越性和财力来证明其没有违法处理的行为,或者已经履行了合理的义务,被侵权人也难以提起反证[9]。而由于信息处理者对平台的应用技术、操作流程等特别熟悉,证据大都在其掌控范围之内,举证并不困难。

()公益诉讼中诉讼事由判断标准不够明确

违反个信法处理个人信息与侵害众多个人的信息权益是提起公益诉讼的两点事由。但笔者认为有几个问题需要进一步明确:第一,对于“处理”而言,负有个人信息保护监管职责的行政机关不依法履行职责的行为,是否可以纳入其诉讼事由?。第二,对于其“侵害”而言,这里的“侵害”是否等同于侵权法上的“损害”?第三,对于“权益”而言,是否要考虑非物质性权益?这些都有待说明。

4. 完善信息处理者侵害个人信息权益法律救济的建议

()私益诉讼中降低诉讼成本

在个人信息侵权诉讼中,要对诉讼成本进行合理地规划,从而激发受害人维护自身权益的积极性。第一,要依据个案的具体情形,对诉讼成本进行合理界定,尽量通过协商解决纠纷。在确定诉讼成本的过程中,应结合案件的复杂性、争议的标的、律师的代理费等方面进行合理的成本预算。受害人应当及时与侵权者联系,要求其侵权行为的停止与对其损害的赔偿,若对方愿协商解决,那么此举便是降低诉讼成本的最佳选择。第二,尽量选择费用较低的类型。在针对个人信息的诉讼中,应尽可能采用简单的程序或调解的方法,以减少诉讼成本。第三,强化对个人信息保护的教育,提升公众对个人信息保护的认知,降低遭受侵害的可能性,从源头上降低维权成本。总而言之,对诉讼费用的合理规划,需要在具体情况的基础上,全面地考虑。尽量减少当事人的负担,增加诉讼的效率。

()私益诉讼中合理分配举证责任

依靠举证责任倒置这种模式处理个人信息侵权案件也略有不妥,因为这样分配举证责任,信息主体依旧处于劣势地位,难以证明因果关系要件。建议采用高度盖然性的证明标准。GDPR的第82条有着相同观点,侵犯个人信息的行为必须与损害的产生之间存在充分的近因关系[10]。也就是说,被告必须提供充分证据,以表明为防止个人信息泄露采取了安全措施,或证明侵权者是他人所为。此外,还应当采客观标准,以行为时的事实和行为后一般人可能预见之事实为基础,而不以被告行为时主观认识的事实为基础。若被告能够充分证明行为与损害高度可能不存在相当性,并经法院认可则无需承担责任[11]

()明确公益诉讼中诉讼事由的判断标准

可以从三个方面对诉讼事由进行提炼:第一、应当对“违反本法规定处理个人信息”做出适当的扩大解释,将负有个人信息保护监管职责的行政机关不依法履行职责的行为纳入其中。因为其不依法履行职责会使监督个人信息处理者开展个人信息保护工作的效率低下,这就造成了在此环境下,个人信息权益无法得到及时、有效的救济与保护。第二、避免将“侵害”简化为侵权法意义上的“损害”,陷入美国司法实践遭遇的困境。在个人信息保护方面,由于信息处理者承担的责任是贯穿于处理信息的全过程的,而且许多法律义务并不要求导致实体上的损害后果,所以,不能将侵权法中的“侵害”概念简单地套用在“损害”概念上[12]。第三、还应该考虑到非物质利益,按照 GDPR的英文版本第82条第1款的说法,其可以是物质损害,也可以是精神损害,与个人数据保护相关的损害亦为物质损害或精神损害;前者是指因对个人信息进行处理而造成的经济方面的损失,后者是指因对个人信息进行处理而造成的名誉等方面的损害。个信法69条主要是按照“损失”或者“获利”来对“损害赔偿责任”进行认定,侧重于物质性权益[13]。对“权益”的判断既要考虑“物质性权益”,也要考虑“非物质性权益”。个信法69条主要是按照“损失”或者“获利”来对“损害赔偿责任”进行认定,侧重于物质性权益。从保护个人信息权益长远角度看,也应当对“非物质性权益”和“预期利益”予以保护[14]

()建立个人保护专项基金

在美国的CCPA与CPRA中,CPRA相比于CCPA要对消费者个人民事诉讼权利的保护更为宽泛。在CCPA的条款中,对于未经许可而擅自获取、泄漏、窃取或公开披露未经加密或未经完全编辑的个人资料,消费者可以起诉公司,要求公司承担法律责任。而CPRA在此基础上衍生出了新的诉权内容,比如消费者的个人设置的密码、邮箱的地址、密保问题及答案被泄露,消费者也可以向该企业提起诉讼追究其责任,此项举措无疑进一步扩大了消费者的私权救济范围。

在CCPA中值得注意的一点是,所有的民事罚款都会汇入州的消费者隐私基金(CPF),这笔钱先用来支付州法庭和加州总检察长对于消费者隐私保护诉讼活动的支出,至于其余款项的用途,则没有任何说明。而CPRA却对立法机关不能将CPF用于其他用途做出了明确的限制,在缴纳了必要的诉讼费后,CPRA还规定,剩下的91%由州政府进行经营,所获得的利益和收入全部上交缴州总基金,剩下的9%则用来进行维护消费者权益的公众教育,同时也用来打击因信息泄漏引起的违法行为等等,可谓是“专款专用”[15]

建议参考美国的州消费者隐私基金(CPF)制度,将处理个人信息侵权案件所获得的民事罚金全部进入个人保护专项基金,该基金用于个人信息侵权案件中的诉讼活动,基金交由市政府来管理、运用与投资,其产生的利息与收益都属于个人保护专项基金,并出资一部分进行对个人信息保护的宣传、公共教育活动与打击侵犯个人信息的种种行为,真正地做到专款专用。

NOTES

1(2020)浙0192民初10605号。

2(2022)鲁0283民初1447号。

3(2022)京0113民初7292号。

4《欧盟基本权利宪章》第8条第1款规定:“每个人都有权保护与其有关的个人数据。”

参考文献

[1] 金荣标, 叶高, 叶家红. 个人信息权保护的法理基础[J]. 湖南科技学院学报, 2011, 32(7): 134-136.
[2] 齐爱民. 信息法原论: 信息法的产生与体系化[M]. 武汉: 武汉大学出版社, 2010: 85.
[3] 李钰. 利益平衡视角下个人信息问题的治理进路[J]. 现代法治研究, 2021(1): 119.
[4] 张新宝. 论个人信息权益的构造[J]. 中外法学, 2021, 33(5): 1144-1166.
[5] 王福华. 公益诉讼的法理基础[J]. 法制与社会发展, 2022, 28(2): 59.
[6] 孔祥稳. 网络平台信息内容规制结构的公法反思[J]. 环球法律评论, 2020, 42(2): 136.
[7] Kaminski, M.E. (2019) Binary Governance: Lessons from the GDPR’s Approach to Algorithmic Accountability.Southern California Law Review, 92, 1529.
https://doi.org/10.2139/ssrn.3351404
[8] 程啸. 侵权责任法[M]. 北京: 法律出版社, 2021: 49-52, 106-107, 116-129.
[9] 孔祥稳. 论个人信息保护的行政规制路径[J]. 行政法学研究, 2022(1): 131.
[10] Strugala, R. (2020) Art. 82 GDPR: Strict Liability or Liability Based on Fault?European Journal of Privacy Law & Technologies, Special Issue, 71-79.
[11] 田野, 张耀文. 个人信息侵权因果关系的证明困境及其破解——以相当因果关系理论为进路[J]. 中南大学学报(社会科学版), 2022, 28(1): 58-69.
[12] 赵贝贝. 个人信息私法救济中的“损害赔偿”困境与应对路径[J]. 财经法学, 2022(5): 95.
[13] 许身健, 张涛. 个人信息保护检察公益诉讼的法理基础与制度完善[J]. 法学论坛, 2023, 38(1): 95.
[14] 项焱, 张雅雯. 大数据时代个人信息无形损害的正当性基础与认定规则[J]. 江苏行政学院报, 2022(5): 127-136.
[15] 张继红, 文露. 美国加州隐私权法案评述[J]. 中国信息安全, 2021(5): 55.

为你推荐




Baidu
map