《個人信息安全規(guī)范》中個人信息收集規(guī)則及侵權(quán)救濟(jì)初探

關(guān)鍵詞 個人信息 個人信息控制者 個人信息主體 授權(quán) 侵權(quán)救濟(jì)

作者簡介：陳思，北京大成（杭州）律師事務(wù)所專職律師。

中圖分類號：D922.1? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A? ? ? ? ? ? ?? ? ? ? ? ? DOI：10.19387/j.cnki.1009-0592.2020.01.134

一、個人信息的立法規(guī)定及特征

“個人信息”一般是指通過某種信息可以直接或者間接識別到特定的自然人，該類信息合稱為個人信息。

《網(wǎng)絡(luò)安全法》第76條第5款的相關(guān)規(guī)定解釋了個人信息，在網(wǎng)絡(luò)環(huán)境中就個人信息來講，一般是指通過電子或者其他的方式記錄下來的信息，該種信息可以單獨(dú)或者通過與其他信息結(jié)合起來，達(dá)到識別到特定自然人個人身份的效果，因此個人信息包括但不限于自然人的姓名、生日、身份證號碼、住址、通訊方式以及個人生物識別信息等。而在《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》第4條中也對“用戶個人信息”作出了規(guī)定：電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集的信息，包含但不限于用戶姓名、生日、身份證號碼、住址、通訊方式、賬號和密碼等全部信息，該種信息可以單獨(dú)或者通過與其他信息結(jié)合起來，達(dá)到識別到特定用戶個人身份以及用戶使用服務(wù)的相關(guān)信息的效果。

而歐盟于2018年5月25日頒布的《一般數(shù)據(jù)保護(hù)條例》（以下簡稱“GDPR”）第4條中定義了個人數(shù)據(jù)：“個人數(shù)據(jù)”是指任何已識別或可識別的自然人（“數(shù)據(jù)主體”）的相關(guān)信息;一個可識別的自然人是可以通過姓名、身份編號、地址、網(wǎng)上標(biāo)識或者其所持有的一項或多項身體性、生理性、經(jīng)濟(jì)性、文化性或者社會性身份而能夠被直接或者間接識別的個體。

從以上國內(nèi)外的立法中可以看出，對個人信息一般都采用識別定義方式，即個人信息這一概念的顯著特征即為“可識別性”。“可識別性”即是收集的信息可以確定指向某一具體的信息主體，具有確定可能性，通俗來講即是可以通過這些收集信息將信息主體（用戶）對應(yīng)起來，如無法與用戶對應(yīng)起來則只能稱之為數(shù)據(jù)。 同時，在上述立法規(guī)定中可以看出，國內(nèi)的個人信息可以分為單獨(dú)識別用戶的信息與結(jié)合其他信息識別用戶的信息兩種，GDPR中直接定義為“直接識別”與“間接識別”。因此，在個人信息“可識別性”的特點下，又可將個人信息區(qū)分為“直接識別”信息和“間接識別”信息。例如在用戶的互聯(lián)網(wǎng)使用留存記錄中，如果記錄的是用戶姓名、電話號碼、家庭住址此類信息，即可以作為用戶身份的直接識別信息;但如果通過時間的積累或利用一些數(shù)據(jù)挖掘分析技術(shù)如cookie技術(shù)，可以通過對這些用戶的網(wǎng)絡(luò)流量記錄、消費(fèi)信息、醫(yī)療信息、位置信息等進(jìn)行分析甚至是反向推導(dǎo)來識別用戶的身份。

因此，個人信息的根本特點即“可識別性”，無論是通過信息直接確定到自然人或是通過信息的結(jié)合間接確定到自然人，均屬于個人信息的范圍。確定了什么是個人信息才可以在此基礎(chǔ)上對個人信息的保護(hù)進(jìn)一步展開討論。

二、個人信息的分類及其必要性

根據(jù)本文第一段個人信息特征的分析，個人信息即可以通過信息特別分為“直接識別信息”與“間接識別信息”。此種分類最根本的目的在于：確認(rèn)個人信息的范圍，直接識別信息與間接識別信息都需要通過法律進(jìn)行保護(hù)。

雖然直接識別信息因可以直接識別到個人與個人信息主體的利益更為緊密，需要重點保護(hù)，但是在大數(shù)據(jù)時代，間接識別信息也發(fā)揮出越來越大的經(jīng)濟(jì)效益。間接識別信息涉及的數(shù)據(jù)類型廣泛，其中的有些信息，比如定位信息、消費(fèi)信息、個人瀏覽記錄等，通過時間的積累再利用技術(shù)手段加以分析，也是可以將其加工為個人信息，甚至推斷出個人的隱私信息或敏感信息，一旦泄露則會造成重大的影響。因此，個人信息不僅要從特點上進(jìn)行區(qū)分，也需要從對個人信息主體的重要性角度加以區(qū)別。

根據(jù)前文所述，個人信息與個人隱私屬部分重合的交叉關(guān)系，因此可以根據(jù)個人信息是否涉及隱私為判斷依據(jù)，可將個人信息分為兩種：個人一般信息和個人敏感信息。國家標(biāo)準(zhǔn)的《個人信息安全規(guī)范》在第3條術(shù)語定義了“個人敏感信息”：個人敏感信息屬于一旦泄露、被非法提供或濫用的，可能會造成信息主體人身和財產(chǎn)安全遭到危害，同時也容易因信息泄露導(dǎo)致個人的名譽(yù)貶損、身心健康受到傷害或遭受到歧視性待遇。從該條規(guī)定可以看出，個人敏感信息應(yīng)多為有關(guān)個人隱私，一旦泄露則可能會造成損害后果。而在歐盟的GDPR第9條中，通過列舉規(guī)定了“特殊類型個人數(shù)據(jù)”：此類個人數(shù)據(jù)可以顯示個人信息主體的種族、民族、政治觀念、宗教和哲學(xué)信仰或工會成員的個人數(shù)據(jù)、基因數(shù)據(jù)，同時也包含了自然人的生活數(shù)據(jù)，例如生物性識別數(shù)組、與自然人健康相關(guān)的數(shù)據(jù)、個人性生活或性取向相關(guān)的數(shù)據(jù)。從以上規(guī)定的表述中可以得出結(jié)論，個人敏感信息具有較強(qiáng)的隱私屬性，需要進(jìn)行重點關(guān)注與保護(hù)。而反過來，將個人一般信息與個人敏感信息的區(qū)分也可以采取不同的保護(hù)規(guī)則和手段，進(jìn)而平衡個人信息安全風(fēng)險與成本。

因此，直接識別信息與間接識別信息分類的意義在于確認(rèn)了個人信息保護(hù)的范圍，而一般個人信息與個人敏感信息的區(qū)分，則對應(yīng)了確認(rèn)個人信息保護(hù)的方式。

三、網(wǎng)絡(luò)用戶個人信息收集的困境

2015年5月6日，朱燁與北京百度網(wǎng)訊科技有限公司（以下簡稱“百度公司”）隱私權(quán)糾紛案二審終審判決由南京市中級人民法院作出，法院認(rèn)定百度公司進(jìn)行的個性化推薦行為不構(gòu)成隱私權(quán)侵權(quán)，這也被稱為中國互聯(lián)網(wǎng)定向廣告第一案。其中一條裁判理由即為百度已經(jīng)在《使用百度前必讀》中向用戶說明了cookie技術(shù)及如果使用cookie技術(shù)會造成的后果以及通過向用戶提供了禁用按鈕讓用戶可以自主選擇退出機(jī)制。朱燁在百度已經(jīng)明確告知上述事項以后，仍然使用百度搜索引擎服務(wù)，應(yīng)視為對百度公司未侵犯用戶的選擇權(quán)與知情權(quán)。

在網(wǎng)絡(luò)服務(wù)提供者與用戶簽訂的涉及網(wǎng)絡(luò)服務(wù)內(nèi)容的協(xié)議該領(lǐng)域，有研究證明在美國，網(wǎng)絡(luò)用戶如果每次訪問新網(wǎng)站時都仔細(xì)閱讀網(wǎng)絡(luò)服務(wù)者提供的用戶隱私政策，那么平均每個人都要花費(fèi)半個小時以上。而在這個互聯(lián)網(wǎng)定向廣告第一案中，即使百度在《使用百度前必讀》中詳盡地進(jìn)行了披露與說明，用戶主動去讀完至讀懂并不容易，因為用戶需要逐級點擊《使用百度前必讀》、“隱私權(quán)保護(hù)聲明”、“百度隱私政策總則”和“查看詳情”等內(nèi)容，在閱讀了近一萬字以后才會找到關(guān)于cookie使用的說明，雖然百度履行了告知義務(wù)，但是在如此龐大的信息量中，用戶是無法接收到有效信息的。

其次，《網(wǎng)絡(luò)安全法》第41條第1款規(guī)定了信息收集的同意原則：即網(wǎng)絡(luò)運(yùn)營者如需要收集、使用個人信息，除了應(yīng)當(dāng)在公開收集、使用此規(guī)則的前提下，也應(yīng)遵循著合法、正當(dāng)、必要的原則進(jìn)行個人信息的收集，同時也需要向被收集者明示收集、使用信息的目的、方式和范圍，且需要經(jīng)被收集者明確同意。但是未有具體的規(guī)定確認(rèn)“正當(dāng)”或“必要”原則如何進(jìn)行實施及保證。但是對于網(wǎng)絡(luò)運(yùn)營者來說，用戶在使用服務(wù)之初進(jìn)行注冊時捆綁訂立隱私政策是最簡單高效的獲得用戶同意或授權(quán)的方式，但該種“協(xié)議打包”的方式除了前文提到的讓用戶忽略了授權(quán)內(nèi)容以外，也使得用戶在拒絕接受隱私政策或協(xié)議時即屬拒絕網(wǎng)絡(luò)運(yùn)營者提供的產(chǎn)品或服務(wù)。

因此，在這類情況下，用戶的知情權(quán)與選擇權(quán)是否受到了保障實際是存疑的。

四、網(wǎng)絡(luò)用戶個人信息收集困境的拆解

在《個人信息安全規(guī)范》第5條，通過個人信息來源合法性、收集必要性、業(yè)務(wù)功能區(qū)分、授權(quán)同意、隱私政策等幾個角度，對個人信息的收集進(jìn)行了規(guī)范。其中業(yè)務(wù)功能的區(qū)分與明示授權(quán)對個人信息收集的前述困境進(jìn)行了拆解。

（一）業(yè)務(wù)功能區(qū)分與告知原則

《個人信息安全規(guī)范》第5.3條不強(qiáng)迫接受多項業(yè)務(wù)功能中規(guī)定了個人信息控制者應(yīng)尊重個人信息主體的自主意愿提供產(chǎn)品或者服務(wù)，不得強(qiáng)迫個人信息主體接受產(chǎn)品或服務(wù)及相應(yīng)的個人信息收集請求。根據(jù)此項要求，可在個人信息收集時做出產(chǎn)品或服務(wù)提供者區(qū)分核心業(yè)務(wù)功能與附加業(yè)務(wù)功能的設(shè)定。第5.4條規(guī)定了個人信息控制者收集個人信息時應(yīng)向個人信息主題告知收集、使用個人信息的目的、方式和范圍。

根據(jù)此項規(guī)范的要求，實踐中可以將個人信息收集和使用的必要性進(jìn)行區(qū)分，將區(qū)分后的業(yè)務(wù)功能對應(yīng)的個人信息收集授權(quán)分別進(jìn)行。面對產(chǎn)品使用或業(yè)務(wù)開展核心業(yè)務(wù)功能所必要收集的個人信息，網(wǎng)絡(luò)運(yùn)營者可在信息收集之時即進(jìn)行明確的告知，并明確告知個人信息主體同意或拒絕帶來的影響，此時，網(wǎng)絡(luò)運(yùn)營者仍然可以選擇在用戶初次使用或注冊時簽訂統(tǒng)一的隱私政策或服務(wù)協(xié)議;但是對于產(chǎn)品或服務(wù)的附加業(yè)務(wù)功能，應(yīng)當(dāng)在個人信息主體開啟此項附件業(yè)務(wù)功能之時進(jìn)行單獨(dú)的個人信息收集授權(quán)。如手機(jī)App讀取個人通訊錄、個人相冊等涉及個人隱私的信息時，可在用戶調(diào)用此功能時再行勾選授權(quán)，而拒絕授權(quán)也并不會影響個人信息主體對核心業(yè)務(wù)功能的使用。因此，面對可能涉及個人隱私等關(guān)鍵信息收集業(yè)務(wù)功能，在個人信息收集的授權(quán)上，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取具體、明確的告知，如在功能調(diào)用時啟動彈窗等，以便個人信息主體在作出具體的授權(quán)同意前能明確考慮該授權(quán)對其個人權(quán)利的影響。

實踐中，多數(shù)App或網(wǎng)絡(luò)服務(wù)平臺也采取此類方式區(qū)分了部分個人信息收集的授權(quán)方式。但隨著《個人信息安全規(guī)范》及相關(guān)細(xì)則逐漸完善及信息技術(shù)、商業(yè)模式的發(fā)展，產(chǎn)品和服務(wù)的核心功能與附加功能有可能會產(chǎn)生重大的變化，未來也必然要求網(wǎng)絡(luò)運(yùn)營者對業(yè)務(wù)功能進(jìn)行更為細(xì)致的劃分以應(yīng)對個人信息的分類及授權(quán)。

此外，網(wǎng)絡(luò)運(yùn)營者在區(qū)分其核心業(yè)務(wù)時，也應(yīng)當(dāng)以“必要性”為原則。例如2018年中旬，某地消保委對各類地圖軟件進(jìn)行調(diào)查顯示，幾家主流的地圖軟件收集用戶的通訊錄信息，這顯然并地圖核心業(yè)務(wù)需要的個人信息數(shù)據(jù)，這明顯違背了《個人信息安全規(guī)范》中對個人信息數(shù)據(jù)收集“必要”原則。

（二）明示授權(quán)與默示授權(quán)

同樣是百度與朱燁的隱私權(quán)糾紛案中，法院在判決中認(rèn)定朱燁在百度公司已經(jīng)向其明確說明了cookie技術(shù)及如果使用cookie技術(shù)會造成的后果以及通過向用戶提供了禁用按鈕讓用戶可以自主選擇退出機(jī)制的前提下，而朱燁仍然使用搜索引擎服務(wù)的，應(yīng)視為朱燁默認(rèn)“選擇同意”方式的認(rèn)可。同時，法院在前述論證的基礎(chǔ)上又援引了《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》（GB/Z28828-2012）第5.2.3條規(guī)定了在處理個人信息前是需要征得個人信息主體同意的，個人信息主體同意的方式包括兩種：默許同意或明示同意。

依照現(xiàn)階段實踐慣例，個人信息收集的授權(quán)一般采取的是“默示同意”為原則，“明示同意”為補(bǔ)充。也就是我們在使用網(wǎng)絡(luò)產(chǎn)品或服務(wù)時，一些用戶協(xié)議的勾選均會提示“一旦勾選/確認(rèn)/使用即視為同意協(xié)議”此類內(nèi)容，這即使默示同意的使用。在此情況下，默示同意的授權(quán)方式也要求網(wǎng)絡(luò)運(yùn)營者的隱私政策承擔(dān)更高的質(zhì)量要求。

但在《個人信息安全規(guī)范》第5.4條收集個人信息時的授權(quán)同意規(guī)定了收集個人敏感信息、未成年人的此類的特定信息時，均需要獲得個人信息主體的明示同意，這即是補(bǔ)充使用了“明示同意”方法。而根據(jù)歐盟GDPR第4條第11款規(guī)定了數(shù)據(jù)主體的“同意”應(yīng)當(dāng)是數(shù)據(jù)主體通過一個聲明，或者通過某項清晰的確信行動而自由作出的、充分知悉的、不含混的、表明同意對其個人數(shù)據(jù)處理的意愿。該種明示同意的方式會最大程度上保護(hù)用戶的知情權(quán)與選擇權(quán)，但另一方面可能會降低數(shù)據(jù)收集的效率。但通過立法規(guī)范對個人信息或特定情況下使用的個人信息進(jìn)行更加細(xì)致的劃分，確認(rèn)默示同意與明示同意的使用范圍則更有利于保護(hù)個人信息的安全。

（三）個人信息自決控制的撤銷權(quán)

個人信息的自決控制是個人信息保護(hù)的重要核心之一，在信息收集的源頭即賦予個人信息主體信息自主決定的權(quán)利。即每項信息的收集，無論是否涉及個人信息或個人信息主體是否已經(jīng)明確授權(quán)，均應(yīng)當(dāng)讓其在一定范圍內(nèi)決定是否進(jìn)行收集使用及在何種范圍內(nèi)進(jìn)行公開。

不少用戶在使用互聯(lián)網(wǎng)服務(wù)時，不清楚為何在瀏覽器中輸入的搜索信息卻在使用其他網(wǎng)絡(luò)服務(wù)時收到了精準(zhǔn)的營銷廣告。從上文百度協(xié)議多次點擊閱讀近一萬字方可看到相關(guān)隱私政策來看，很多網(wǎng)絡(luò)運(yùn)營者在進(jìn)行用戶告知或?qū)で笫跈?quán)的方式使得個人信息保護(hù)權(quán)利形同虛設(shè)，很多用戶往往在使用網(wǎng)絡(luò)產(chǎn)品或服務(wù)的過程中才意識到了個人進(jìn)行了信息收集的授權(quán)。因此在《個人信息安全規(guī)范》第7.11條規(guī)定了個人信息主體撤回授權(quán)同意的要求，需要個人信息控制者提供撤回授權(quán)的方案且保障個人拒絕接收推送商業(yè)廣告的權(quán)利。而網(wǎng)絡(luò)運(yùn)營者根據(jù)此要求提供的撤回方法應(yīng)當(dāng)簡單易于查詢，不得給用戶再次制造障礙。

五、個人信息違規(guī)收集的司法救濟(jì)難點

目前關(guān)于個人信息保護(hù)的價值基礎(chǔ)即人格尊嚴(yán)和信息自由，《民法總則》第111條規(guī)定自然人的個人信息受法律保護(hù)。這表示個人信息首次成為了獨(dú)立的人格權(quán)進(jìn)行保護(hù)。

但是如果網(wǎng)絡(luò)運(yùn)營者違規(guī)收集個人信息，除了行政部分的處罰以外，個人信息主體如何通過司法途徑尋求救濟(jì)也是一大難點。

個人信息同時具有人身權(quán)與財產(chǎn)權(quán)的屬性，如受到侵害除了信息主體因隱私曝光受到的精神壓力以外，有可能因為信息泄露的下游犯罪導(dǎo)致受到其他侵害，如電信詐騙等。而一般在個人信息被侵害以后一般尋求法律幫助均援引侵權(quán)相關(guān)領(lǐng)域的法律規(guī)定。然而據(jù)《侵權(quán)責(zé)任法》第6條、第7條規(guī)定了侵權(quán)行為的過錯歸因的原則，一共有三個原則：其一，過錯責(zé)任：如果是行為人因過錯導(dǎo)致他人的民事權(quán)益遭到侵害的，其應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任;其二，過錯推定責(zé)任：面的侵權(quán)后果，如根據(jù)相關(guān)法律規(guī)定可推定行為人有過錯且行為人不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任;其三，無過錯責(zé)任：如因行為人造成他人民事權(quán)益被損害，在此情況下，法律規(guī)定行為人應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任的，不論行為人有無過錯應(yīng)依照其規(guī)定承擔(dān)責(zé)任。因此，在一般侵權(quán)行為的判定中，“過錯”是一個重要的構(gòu)成要件，行為人需要存在故意或者過失的過錯行為才應(yīng)當(dāng)承擔(dān)相應(yīng)的法律責(zé)任，且成立構(gòu)成侵權(quán)的要件中包含了“損害結(jié)果”。

而《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》（以下簡稱《規(guī)定》）第12條第1款也規(guī)定了，如果自然人個人隱私和其他個人信息被網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)運(yùn)營者通過網(wǎng)絡(luò)進(jìn)行公開的，一旦造成損害被侵權(quán)人請求其承擔(dān)侵權(quán)責(zé)任的，人民法院應(yīng)予支持。但在上文的中國互聯(lián)網(wǎng)定向廣告第一案中，南京市中級法院援引了《規(guī)定》第12條認(rèn)定“利用網(wǎng)絡(luò)公開個人隱私和個人信息的行為”和“造成損害”該兩個要件屬于互聯(lián)網(wǎng)中侵害個人隱私或者個人數(shù)據(jù)的侵權(quán)構(gòu)成要件。在百度公司并未直接將因提供搜索引擎服務(wù)而產(chǎn)生的海量數(shù)據(jù)庫和cookie信息向第三方或公眾展示的前提下，系不存在公開行為，不符合《規(guī)定》第12條規(guī)定的利用網(wǎng)絡(luò)公開個人信息侵害個人隱私的行為特征。

但筆者認(rèn)為，《規(guī)定》第12條確認(rèn)的侵權(quán)構(gòu)成要件應(yīng)當(dāng)是“過錯行為”“造成損害”兩個應(yīng)有之意。因為對于個人信息違規(guī)收集此類行為，如單純從侵權(quán)行為來看，個人信息控制者僅需要收集個人信息，而不需要公開用戶的個人隱私更無須對外展示，因此《規(guī)定》中的“公開”并非是網(wǎng)絡(luò)侵權(quán)構(gòu)成要件，而應(yīng)當(dāng)視為網(wǎng)絡(luò)侵權(quán)行為的一種形式，如果在用戶未授權(quán)的情況之下，網(wǎng)絡(luò)運(yùn)營者或個人信息控制者對個人信息進(jìn)行收集和分析，也應(yīng)當(dāng)屬于對他人人身權(quán)益的侵犯;此外，因本案中朱燁也沒有提供證據(jù)證明百度的個性化推薦服務(wù)對其造成了事實上的實質(zhì)性損害因此未支持侵權(quán)賠償?shù)脑V請，而這也是個人信息侵權(quán)行為中維權(quán)的難點。因當(dāng)在個人信息主體在明知其信息遭受泄露的情況下，導(dǎo)致的侵權(quán)后果往往是受害人的精神損害，即使面對下游犯罪侵害造成的損失亦不屬于直接損失且屬于第三方侵害，若個人信息主體無法證明實際損失或者損害結(jié)果，僅以權(quán)利被侵犯為由尋求司法救濟(jì)很可能花費(fèi)時間精力卻得不到任何賠償。

因此，當(dāng)個人信息主體在面對個人信息侵權(quán)事件時，簡單根據(jù)現(xiàn)行有關(guān)侵權(quán)責(zé)任的法律規(guī)定進(jìn)行維權(quán)，有可能處于無法證明構(gòu)成侵權(quán)或即使證明構(gòu)成侵權(quán)也難以得到賠償?shù)膶擂尉车兀c此同時我國在個人信息侵權(quán)類維權(quán)的公益訴訟或集體訴訟領(lǐng)域立法也尚為空白。

六、結(jié)語

在大數(shù)據(jù)時代，個人信息的價值愈加顯現(xiàn)，隨著歐盟GDPR的頒布的影響，我國也越來越重視個人信息的保護(hù)。面對我國的迅猛發(fā)展的互聯(lián)網(wǎng)信息產(chǎn)業(yè)，如何在做到在保護(hù)個人信息的同時兼顧個人信息使用的效率則是未來我們需要不斷關(guān)注與探討的一個話題。