2019年初,哈爾濱用戶王某某發現,自己使用微信或QQ登錄微視APP後,微視會獲取其全部微信或QQ好友信息。王某某認為,騰訊的這一行為未經其授權將他的微信、QQ好友關系提供給其他APP,侵犯瞭他的隱私權。王某某向哈爾濱市香坊區人民法院提起訴訟,要求騰訊刪除其個人信息、賠禮道歉並賠償維權合理支出。騰訊對案件提出管轄權異議,該案被移送至南山法院審理。
南山法院在一審中認定,王某某所主張的性別、地區和微信好友關系三類信息均形成於其使用微信軟件的過程中,在一定范圍內已公開,即上述信息已被包含軟件運營商在內的相關主體所知悉。微信好友關系既未包含其不願為他人所知曉的私密關系,他人也無法通過其微信好友關系對其人格作出判斷從而導致其遭受負面或不當評價,故認定王某某所主張的微信好友關系也不屬於隱私。
在公眾對於個人信息及隱私越來越重視的大背景下,上述判決引發瞭公眾的一些疑問:微信好友關系為何不屬於隱私?個人信息和隱私的區別究竟是什麼?公眾對於個人信息和隱私該有何種期許?
近日,《財經》E法專訪清華大學法學院副院長程嘯,“個人信息保護與數據權利”是其研究領域之一,他正在參與多個有關個人信息保護研究的國傢級課題。
程嘯對《財經》E法表示,相關法律已將個人信息區分為敏感個人信息與非敏感個人信息、私密信息與非私密信息,對於認識和界定個人信息和隱私權有很大的指導意義。但互聯網技術的進步突飛猛進,各類應用場景數不勝數,結合具體應用場景,是界定個人信息還是隱私的關鍵因素。
社交關系是否屬於私密信息?
《財經》E法:《個人信息保護法草案》(下稱“《草案》”)公開征求意見。《草案》將個人信息區分為敏感個人信息與非敏感個人信息,《民法典》人格權編第六章“隱私權和個人信息保護”則將個人信息區分為私密信息與非私密信息,能否直接理解為私密信息基本等同於敏感個人信息,也就是民眾通常理解的隱私?
程嘯:這個問題很重要,其實兩者是有區別的,應該加以區分。概括來講,私密信息更多的時候還是要看具體情況,就是現在大傢說的根據具體場景來界定。因為同樣是一類信息,有的人會認為是私密信息,但有的人就認為不是(私密信息)。有的信息即便被知道瞭,也不會產生特殊影響。而敏感信息可能更多的還是應該有一些比較客觀化的標準。因為從信息處理的角度上來講,對於某類信息,即使絕大多數公眾不介意被別人知道,但依然要把它列為敏感信息。這樣就對處理行為提出瞭更高要求。
就私密信息而言,需要結合具體情況從該信息與自然人的人格尊嚴、人格自由關聯緊密與否、該信息被侵害是否影響私人生活的安寧等角度來加以認定。比如涉及到醫療健康問題,一個人得瞭某種病,不願意讓別人知道,這就屬於私密信息。還有,一個人的金融賬戶信息,賬戶裡面有多少錢,這也是私密信息。這兩項同時也是敏感信息。但是也有例外的時候,比如《草案》把“民族”列為瞭敏感個人信息,強調不願意為別人知道。但現實情況是,絕大多數公眾並沒有把這個視為不願讓別人知道,日常填的各種信息表格裡也都有“民族”這一項。
就敏感信息(的處理)而言,主要從該信息被非法處理可能產生的危害後果來認定,應遵循更客觀、明確的標準,否則信息處理者將無所適從。也就是說,無論自然人是否願意為他人知曉,都不影響某一信息客觀上是否屬於敏感個人信息。為確保信息處理規則的穩定性與可預期性,法律法規和標準應當明確列明各種敏感個人信息。
目前,《草案》第29條第2款對敏感個人信息的界定為:“敏感個人信息是一旦泄露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息,包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等信息。”結合上述規定,可以進一步細化,所謂敏感信息主要是指那些涉及自然人人格尊嚴、人格自由或者其他重大權益的個人信息,這些個人信息倘若被非法處理,將會對所涉自然人的人格尊嚴、人格自由或者其他重大的人身權益、財產權益造成嚴重的威脅或損害。依據這一界定,以下信息應當歸入敏感信息:(1)種族或民族信息;(2)宗教信仰信息;(3)政治主張信息;(4)生物識別信息;(5)基因信息;(6)醫療健康信息;(7)性生活與性取向信息;(6)儲蓄、證券等金融賬戶信息。
未來個人信息保護法正式頒佈後,相信立法機關和有關部門還會頒佈相應的法規規章和國傢標準對於敏感信息的范圍和類型予以具體化、明確化。隻有這樣,處理者才能有明確的行為規范的預期,以免動輒得咎,妨礙中國網絡信息產業、數字經濟的發展以及損害公共利益。
《財經》E法:《民法典》人格權編第六章“隱私權和個人信息保護”,明確規定瞭個人信息中的私密信息適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定。你覺得後續立法中是否需要將個人信息和隱私做進一步明確?
程嘯:敏感信息將來會逐漸明確,這是一定的。但是必須看到,隱私本身是在發展變化的,而且在不同的場景下也是不一樣的。就以此次微信好友關系的判決為例,一個人跟誰加瞭微信成為好友,他們同時在用某款APP,自動進行瞭匹配。從這裡面能讀出什麼呢?如果能從中讀出更多的信息,而這些信息恰恰是不願意被別人知道的,那就有可能涉及私密信息瞭。比如,好友裡有十個人,而這十個人都能看出有某些性取向,據此就可能解讀出性取向。特別是如果未經同意就獲取瞭這些信息,等於侵入到瞭私密空間,法律也有沒有給予特別同意。那就構成侵害隱私權瞭。
現實來看,就私密信息的認定,有些是沒有爭議的,如個人的健康信息、犯罪記錄、財產狀況、性取向等當然屬於私密信息。至於一個人的姓名、容貌、性別等,很明顯不屬於私密信息。尤其是有些個人信息實際上也被其他的人格權所保護,如姓名、容貌可以分別為姓名權、肖像權所保護。但是,對於讀書記錄、網頁瀏覽信息、社交關系、地理位置信息等是否屬於私密信息,在司法實踐中還存在很大的爭議。
目前,《民法典》對於私密信息和非私密信息采取不同的保護方法。那麼,也就不能以權利人單方面是否具有“不願為他人知曉”的意願為標準來確定哪些是私密信息,而應當從社會公眾的一般認知和價值權衡的角度出發,結合具體案件事實,逐一認定案涉個人信息是否屬於私密信息。比較重要的考慮因素包括:社會公眾對某一類信息作為私密信息的認知;某一類信息對於維護自然人的人身財產權益、人格尊嚴和人格自由的重要程度;某一類信息對於維護社會正常交往、信息自由的重要程度如何等等。
界定是否侵犯隱私需結合應用場景
《財經》E法:微信好友關系、微博好友關系、抖音好友信息都有很強的社會交往屬性,通過這些關系鏈可以探查用戶的行為特征和興趣愛好,有的網友認為,這些就屬於自己“不願為他人知曉”的信息,也有人認為微博、抖音等本身就是公開的社交平臺,一個用戶關註瞭哪些人,被哪些人關註,也是自己在社交平臺影響力的體現。可以說每個用戶對於隱私的期待都不一樣,你覺得哪種理解更符合法律的導向和社會公眾的一般認知?
程嘯:我覺得好友關系這個說法有誤導性。什麼叫好友關系?不管微信裡加瞭多少人,一定都是好友嗎?一個人真正的好友可能隻有十多個,這更符合絕大多數人的社交實際。大部分應該是認識瞭對方,偶爾有聯系,建立瞭一個社會聯系,我覺得它客觀上就是一種社會聯絡。拿手機通訊錄來說,它本身算不算個人信息都值得考慮。個人信息的認定,還是要看能否直接或間接識別特定人。
社交關系本身是一個很抽象的概念。比如,A、B、C都是你的好友。但是A是什麼職業?跟你是什麼關系?是親戚還是同學,或者是生意上的夥伴?甚至是不是一起幹過什麼壞事?這些信息能不能深度解讀出來?如果能解讀出來,肯定是往深層次走瞭。但現實情況是僅僅知道瞭認識某個人,不結合其他的東西,更多的數據,更多的信息,應該是解讀不出來的。
現在通過一些具體案件,公眾關註這個問題,甚至擔心出問題,這是情有可原的。因為擔心知道瞭跟誰是好友,再結合其他的信息,可以對一個人進行畫像。從心理學上來說,知道一個人的東西信息越多,對此人的人格畫像就更準確。比如註意到瞭一個人的微信好友10個人裡面有8個人都是搞法律的,基本就可以推測出這個人應該是法律圈子裡的。現在的技術完全可以分析出來。
對於社交關系的認識,哪個更符合法律導向和一般認知,並不好達成一個共識。對於社交信息,是否進行收集已經有瞭共識,肯定是要收集。那麼,需要關註的是如何去使用的問題。
《財經》E法:對於個人信息與隱私的界定,目前司法實踐中已經一些判例。如北京互聯網法院宣判的凌某某訴抖音隱私權案中涉及的通訊錄信息,和此次南山法院審理的王某某訴騰訊隱私權案中微信好友關系。兩傢法院都認定這些屬於個人信息,你怎麼看待判決中的“要具體分析該社交關系是否具有私密性“,能否給出一些更具體的方向?
程嘯:互聯網技術發展是飛速的,各種難以想象的場景都在出現。比如,一位名人接到瞭同一個時間段舉行的兩個會議,他以生病為由推掉瞭A會議,參加瞭B會議。但是參加B會議的一個人把參會名單拍瞭發到朋友圈,恰恰A會議的主辦方認識這個人,看到瞭這份名單,也知道瞭這位名人以生病為由不參加A會議是在說謊。這樣可能就會在心裡責怪這位名人,甚至疏遠他。像這種情況,肯定對這位名人產生瞭影響。推演這個過程,發朋友圈有沒有征得這位名人的同意?這樣的內容發瞭出去,究竟對不對?
還有,現在越來越多的汽車逐步智能化,進入瞭車內,各種數據都在不斷收集,某高端品牌電動汽車每天可以收集3GB的各種信息。這些信息泄露瞭怎麼辦?一個人的汽車應該就是此人的私密空間,辦公室也一樣。在這些私密空間裡,擔心隱私被侵犯,在原理上說,跟擔心手機通訊錄裡好友關系被泄露是一樣的。
場景這麼多,如果用一個統一標準去界定,肯定是不現實的。如果一定要有個大致統一的標準,也就是網絡場景不同,使用的技術和產品邏輯不同,行為的性質就可能不同,需要結合具體場景謹慎分析和判斷。
侵犯用戶隱私會有什麼後果?
《財經》E法:隱私是自然人的私人生活安寧和不願為他人知曉的私密信息、私密活動和私密空間。你覺得判斷是否侵犯用戶隱私的關鍵要素是什麼?
程嘯:這個應該是比較明確的。首先就是要界定私密。在界定什麼是私密後,是否構成侵害就是兩個標準。第一,是否獲得瞭明確的同意;第二,涉及的過程在法律上有沒有規定。狹義上的法律,即全國人民代表大會及其常務委員會制定的法律。
對於私密的界定應該難度不大,比如哪些是私密部位有清楚的共識,臉部顯然就不是私密部位。但是臉部是被肖像權所保護。
關於是否獲得明確的同意,在互聯網場景下要格外註意。現在各互聯網公司都是很大的集團,下面有很多子公司,但從法律上它們都是獨立的主體。那麼,不能說在一個產品上同意瞭,就代表這傢企業所有的產品上都能用。普通用戶並不明確真正的處理者是哪一傢,比如某集團旗下有A、B兩傢公司,也就是有兩個不同的個人信息處理者。如果隻授權給A公司,現在A公司又把這些個人信息交給B公司去處理,沒有經過同意是不行的。必須是三重授權,A公司在轉授權給B公司的時候,也必須再度進行詢問征求是否同意。
上面這個征求同意的過程,對於普通用戶來說似乎沒什麼意義,但是對互聯網企業來講,企業都很關註它,因為必須按照法律規定來做。企業不遵照執行,將會面臨處罰。現在進行的APP治理主要就是針對瞭這個問題。按照這樣的規范去做,普通用戶在客觀上也是可以受益的。
《財經》E法:在司法實踐中,區分是侵犯瞭隱私權,還是侵犯瞭個人信息,對於導致的法律結果,比如說懲罰或者賠償,會有什麼區別?
程嘯:這個問題很關鍵。涉及隱私權的訴訟中,兩個明確標準:第一,是否獲得對方同意;第二,法律是否有特別規定。如果不能反證這兩條,侵權就會被認定。但個人信息不一樣。(個人信息)雖然沒經過同意,但還可能是涉及到合理使用的問題。比如是出於個人利益,在個人信息保護法裡也有免責條款,可以找出很多免責事由。由於存在這種情況,就不能認定侵犯瞭個人信息。
在責任承擔上來說,如果認定構成隱私權,法院通常會判決精神損害賠償。因為隱私權被侵害,認定受害人遭受一些精神痛苦,應該是比較容易的。但是即使被認定個人信息被侵犯,是否有嚴重精神損害並不好界定,對應的精神損害賠償也不好認定。
《民法典》確立瞭人格權禁令,在正式實施後,廣州互聯網法院已經作出瞭一起人格權禁令的裁決。具體情況是一傢地產公司提出,自媒體用戶李某是這傢地產公司所開發樓盤的業主。2020年5月14日至8月20日,李某在自己的自媒體賬號上發佈瞭11篇侵害這傢地產公司名譽權的文章。2020年11月20日至12月3日,在這11篇文章被平臺刪除的情況下,其又發佈瞭5篇侵權文章。地產公司方面認為,李某的這些行為對其名譽和商業信譽造成瞭極其惡劣的影響,給其造成瞭嚴重的經濟損失。地產公司向法院申請侵害人格權禁令,請求禁止李某在其使用的自媒體平臺發佈涉及這傢地產公司文章的行為。法院已對此發出瞭禁令。
隱私權是人格權的一種,未來不排除會出現基於用戶隱私被侵犯向互聯網公司發出禁令的情況。這種禁令不同於傳統訴訟過程,原告被告到法院按照一審二審程序來進行,而是當事人向法院提出申請,直接通過一個很簡單的程序要求法院作出裁定,禁止實施一些行為。有沒有答辯機會都不好說。這個程序也不是一種行為保全措施,因為行為保全是一定要與訴訟聯系在一起。這種禁令不一定需要有訴訟,作出瞭禁令可以不起訴。這啟示互聯網公司在保護用戶個人信息及隱私方面要著力做好合規工作。
《財經》E法:《民法典》已經實施,個人信息保護法還在立法過程中,目前已經公佈瞭草案。這兩部法律是要用於具體的司法審判,但裡面對於具體認定的表述是寬泛的。未來會不會出臺具體的司法解釋,以更好地指導司法實踐?
程嘯:個人信息保護法應該會在今年頒佈實施。目前關於侵害個人信息權益的司法解釋也在制定中。2020年年末,最高人民法院發佈瞭修訂後的民事案件案由,其中在人格權糾紛項下做瞭變更。原來的隱私權糾紛變更為隱私權、個人信息保護糾紛,也就是新增瞭個人信息保護糾紛。新的司法解釋會更詳細,比如可能會把侵犯個人信息的構成要件予以明晰,甚至包括現在實踐中比較棘手的問題予以界定,比如個人信息到底是哪個環節漏泄露的,責任主體究竟是誰等等。
留言列表
