比例原則視角下版權侵權用戶信息披露的合法性審查

摘 要：版權人請求披露被控侵權用戶個人信息的行為屬于《個人信息保護法》所規定的個人信息處理活動，應當接受合法性審查，即版權人的信息披露請求應當符合《個人信息保護法》的具體規則和原則。判斷信息披露請求是否合法雖無具體規則可循，但其對用戶個人信息權益的限制應當符合比例原則。其中，目的正當性原則排斥版權蟑螂和追求限制用戶正當言論的版權人的信息披露請求；嚴格必要性原則限定信息披露的范圍于用戶姓名、住址等起訴必要的信息；權益均衡性原則要求法院根據版權人與用戶雙方所涉權益的抽象位階與具體分量，并在兼顧主觀的價值權衡與客觀的事實發現的基礎上，對信息披露請求采取寬嚴不同的審查基準。

關鍵詞：版權侵權；信息披露；合法性審查；比例原則；個人信息保護法

中圖分類號：D 923.41 文獻標志碼：A 文章編號：2096?9783（2023）05?0106?11

一、問題的提出

自《最高人民法院關于審理涉及計算機網絡著作權糾紛案件適用法律若干問題的解釋》（以下簡稱《網絡著作權解釋》）于2013年失效后，我國的版權侵權用戶信息披露制度（以下簡稱信息披露制度）便付之闕如① 。信息披露制度不僅關乎網絡版權的及時有效救濟，而且對于規范個人信息披露行為、保障用戶個人信息安全不可或缺。恢復信息披露制度已成為學界共識，且多數學者主張采用公力救濟模式，即版權人向法院請求命令網絡服務提供者披露被控侵權用戶的身份信息（簡稱用戶信息），然后由法院決定是否披露[1-3]，而不應延續《網絡著作權解釋》第五條的規定，即由服務提供者應版權人請求直接向其披露用戶信息的私力救濟模式② 。顯然，公力救濟模式更有利于用戶的個人信息保護，契合當前我國強化個人信息保護的社會期望與法律趨勢，值得肯定。本文在此基礎上展開討論。

不過，現有研究對于信息披露的實體法律標準缺乏深入探討，而且多將之與信息披露的程序或形式要求混為一談。如有學者主張版權人請求信息披露應滿足給服務提供者發布侵權警告函、簽署對用戶資料合法性使用的聲明書、信息披露必須為權利保障所必要等實質條件[3]126-127。顯然，前兩項為信息披露的程序或形式要件，第三項才是決定是否披露用戶信息的實體要件。同時，因為缺乏明確法律標準的指引，實踐中法院在決定是否支持版權人的信息披露請求時往往缺乏充分的理據③ ，也容易導致裁判結論的不可預見性。

版權人的信息披露請求本質上是一種個人信息處理活動，而隨著《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）的出臺，個人信息處理的實體規范漸趨完善，這為構建信息披露的實體法律標準提供了堅實的規范基礎。尤為值得關注的是，作為實體規范的比例原則已經滲透進《個人信息保護法》的諸多具體規則和原則之中④ ，成為個人信息處理的基本規范。許多學者亦開始從比例原則的視角對個人信息保護的相關規則和原則進行法教義學的解釋作業[4-6]。而且，比例原則不僅具有實體規范面向，還具有方法規范面向，即作為一種利益和價值的權衡方法[7]，這一點已經得到廣泛認同。與多數抽象法律原則不同的是，作為權衡方法的比例原則內含循序漸進、環環相扣的多個子原則，具有較為具體的規范構成和判斷方法，能為權利或利益沖突的解決提供有效指引。如學者指出：“它既便于在司法層面進行展開和操作，亦可為法官及當事人提供較為明確的價值指引。[8]”信息披露制度的目的就在于調和版權救濟和用戶信息保護二者的沖突，而比例原則在此顯然具有“用武之地”，這在歐盟的立法和司法實踐中體現得尤為明顯。總之，從比例原則視角出發探討信息披露的實體標準具有牢固的規范基礎和重要的方法論意義。

繼《中華人民共和國著作權法》（以下簡稱《著作權法》）完成第三次修改，《著作權法實施條例》《信息網絡傳播權保護條例》等相關法律的修訂正在緊鑼密鼓進行，信息披露制度迎來了絕佳的立法契機。本文從比例原則的視角出發系統研究信息披露的實體法律標準，以彌補現有研究的不足，并期待對未來立法和司法實踐有所裨益。同時，本文也可為一般網絡侵權用戶信息披露的合法性審查提供借鑒意義。

二、信息披露請求的合法性及其判斷標準

信息披露制度的目的首先在于賦予版權人請求服務提供者披露被控侵權用戶信息的權利，使之得到及時有效的權利救濟。但無論是版權人的信息披露請求抑或服務提供者的信息披露行為，均屬于個人信息處理活動。個人信息的處理以合法性為基礎，即應當符合《個人信息保護法》的具體規則、原則和立法精神⑤ 。《個人信息保護法》第十三條第一款明確規定個人信息處理的法定情形，不符合其中任一法定情形的，不得處理個人信息。顯然，信息披露請求未落入該條款第（一）至（六）項明確列舉的具體法定情形，故只能從第（七）項（法律、行政法規規定的其他情形）尋找合法性基礎。理論上，未來的信息披露制度可由《著作權法》《著作權法實施條例》或者《信息網絡傳播權保護條例》加以規定。但考慮《著作權法》剛完成第三次修訂，信息披露制度交由后兩者擇一制定，更有可行性。而且這兩部條例在效力位階上均屬于行政法規，由其制定符合前述第七項的要求。但是，這僅僅解決信息披露請求的形式合法性問題，即作為一種處理個人信息的情形得到制定法承認，而尚未解決信息披露請求的實質合法性問題，即特定的信息披露請求是否能得到法律承認和執行，這便涉及信息披露請求的合法性判斷標準問題。

在分析信息披露請求的合法性之前，先要明確信息披露過程中涉及的個人信息與個人信息處理行為⑥ 。版權人揭開用戶身份一般分兩步走[9]。第一步，版權人要收集在網站上下載或上傳版權文件的用戶的互聯網協議地址（IP地址）和用戶賬號名稱等信息。第二步，版權人向服務提供者提交這些信息，請求后者據此識別出被控侵權用戶并提供其姓名和地址等信息。該過程涉及的用戶個人信息主要有：（1） 用戶的動態IP地址。動態IP地址不與特定的人或特定的計算機綁定，但把該動態IP地址與特定時間相匹配，可以定位到該特定時間使用該IP地址的計算機，進而確定計算機賬戶的所有者。鑒于個人信息包括具有“間接”個人可識別性的信息且信息技術的發展使得個人信息的范圍愈加寬泛[10]，故不排除動態IP構成個人信息⑦ 。（2） 用戶日志數據。日志數據記錄了用戶在訪問操作時的IP地址、時間和用戶名或訪問設備的物理地址（MAC地址）。服務提供者正是根據用戶日志數據并結合版權人提供的動態IP地址等信息來鎖定具體用戶。（3） 用戶注冊信息。用戶在獲取網絡服務之前往往必須經過注冊，并向服務提供者提供姓名、聯系方式、郵箱地址等個人信息。在網絡實名制下，用戶在獲取網絡接入、信息發布與即時通訊等網絡服務時必須提供真實身份信息⑧ 。

服務提供者利用日志數據識別用戶身份的行為、對外提供用戶個人信息的行為，分別構成個人信息的使用與提供行為。在信息披露制度下，服務提供者在版權人與用戶的侵權訴訟中負有協助調查義務，應當遵照法院命令提供用戶信息。故服務提供者上述的個人信息處理行為應認定為《個人信息保護法》第十三條第一款第（三）項所規定的“為履行法定職責或者法定義務所必需”的法定情形，可順利通過合法性審查。服務提供者擅自對版權人披露的，屬于侵犯用戶的個人信息權益。

版權人收集動態IP地址、用戶賬號名稱等信息的行為以及請求披露用戶信息的行為，均屬于個人信息收集行為。其中，版權人收集IP地址等公開信息的行為應該屬于《個人信息保護法》第十三條第一款第（六）項規定的合法情形（“依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息”）。而問題在于，如何判斷版權人請求披露用戶信息的行為的合法性，對此《個人信息保護法》并無具體規則可循。

“個人數據保護權本質上體現為一組寬泛的原則和詳細的行為規范” [11]。在法無詳細規范的情形下，當然不意味著版權人的任何信息披露請求均應得到支持，而應通過解釋個人信息保護的基本原則具體化信息披露請求的合法性判斷標準。《個人信息保護法》在總則部分規定了處理個人信息的諸多原則，如“合法、正當、必要和誠信原則”（第五條）；“具有明確、合理的目的”且“與處理目的直接相關”（第六條第一款）；“最小范圍”原則（第六條第二款）；“公開、透明原則”（第七條）等。采取“原則群”之立法技術有利于周延保護個人信息，防止具體規則掛一漏萬，但在法律適用上卻面臨規范結構化不足的問題，難以有效發揮法律的評價功能和裁判功能。因此，將上述諸多零散的原則具體化、結構化，使之具備“個案規范”的品格，是法律原則適用的先行步驟[12]。

如何把《個人信息保護法》的“原則群”具體應用于版權人信息披露請求的合法性審查，歐盟法有值得借鑒之處。在《通用數據保護條例》（GDPR）的框架下，歐盟法院主要依據該法第6條第1款第（f）項判斷版權人披露被控侵權人個人數據的請求是否合法⑨ 。第（f）項規定了個人數據處理的一種合法情形：“處理對于控制者或第三方所追求的正當利益是必要的，但需要通過個人數據保護的數據主體的利益或基本權利與自由優先于這類利益的除外，尤其當數據主體是兒童的情形。”在司法實踐中，歐盟法院將第（f）項提煉為三個要件：目的正當性（pursuit of a legitimate interest）、嚴格必要性（strictly necessary）和權益均衡性（balancing the opposing rights and interests）⑩ 。不難發現，這實際上是比例原則（principle of proportionality）在版權侵權用戶信息披露領域的具體應用?"。

實際上，比例原則作為解決私人權益沖突的方法論工具已經得到理論與實踐的普遍承認。德國法學家拉倫茨在論及“個案的利益衡量”時認為：“比例原則是一種實質性的法原則，是法官進行規范具體化時需遵守的方法上的主導原則。[13]”在歐盟法上，比例原則是處理基本權利沖突的基本原則?"。基本權利不是絕對的（absolute）權利，而是可以根據比例原則受到限制。GDPR序言第4條便聲明：“個人數據保護權不是絕對權利；應當根據比例原則，考慮其在社會中的功能，并與其他基本權利相平衡。”在我國的民事案件中，法院亦頻頻援引比例原則作為協調沖突權益的裁判說理的重要支撐[14]。

版權人的信息披露請求本質上體現了版權對個人信息保護的限制，同樣需要接受比例原則的審查。換言之，信息披露請求是否滿足個人信息處理的合法性要求，應以比例原則為標準加以判斷。雖然我國《個人信息保護法》第十三條第一款缺乏與GDPR第6條第1款（f）項相對應的條款，但是《個人信息保護法》總則部分的“原則群”已經呈現出比例原則的實質規范內容。其中，“正當”“具有明確、合理的目的”等對應目的正當性原則；“與處理目的直接相關”對應適當性原則；“必要”“最小范圍”對應必要性原則。盡管均衡性原則沒有得到直接言明，但通說認為個人信息保護應當遵循比例原則[15]，因此在法解釋論上應把均衡性原則融入個人信息保護的限制規范中。而且，不同于大多數抽象的法律原則，比例原則具有由多個環環相扣、層層遞進的子原則構成的規范結構，使之從一個抽象理念落實為具有指引性和可操作性的具體概念框架，展現了法律規范的形式理性。因此利用比例原則作為審查版權人信息披露請求合法性的實體標準，不僅合理而且可行。鑒于GDPR對于個人數據保護的高規格性以及歐盟法院在處理版權人的信息披露請求方面的成熟實踐，下文主要借鑒歐盟法院對GDPR第6條第1款第（f）項的分析框架，以此構建我國的版權人信息披露請求的比例原則審查標準。

三、信息披露請求的目的正當性審查

目的正當性要求版權人請求披露用戶信息必須是出于追求正當利益的目的。正當利益的外延幾何，尚無統一標準加以明確界定[16]。但在歐盟法中，正當利益有其可識別的核心范圍：基本權利（fundamentalrights）。根據《歐盟基本權利憲章》，財產權（right toproperty）和得到有效救濟的權利（right to an effectiveremedy）都屬于基本權利的范疇。《歐盟信息社會版權指令》序言第3條指出，包括知識產權在內的財產權屬于基本權利。歐盟法院進一步明確：“毫無疑問，第三方獲取損害其財產（property）的人的個人信息以起訴該人要求損害賠償的利益可以被認定為正當利益。?"”因此，版權人為了實現權利救濟而請求披露被控侵權用戶的個人信息用于維權，屬于正當利益。但是，并非所有具備維權形式的信息披露請求都是出于正當目的。現實中，缺乏目的正當性的信息披露請求主要有兩種行為類型：一是把維權當作牟利工具的大規模信息披露請求；二是追求限制用戶正當言論的信息披露請求。

在第一種類型中，版權人索要用戶個人信息的目的不在于追求損害賠償或威懾侵權，而是把維權當作牟利工具。這類版權人被貶稱為版權蟑螂（copyrighttroll）。版權蟑螂的運營模式一般如下：監控網絡中的版權文件分享行為并收集可能侵權的證據；然后請求法院命令服務提供者根據收集到的IP地址披露用戶身份；根據獲得的用戶信息向其發出訴訟威脅，主動提出和解并索要和解金；最后盡可能促進和解，并放棄其他的剩余案件[17]。由于涉及用戶數量多，總的和解金額可能遠超過維權成本，從而使得大規模維權有利可圖。在2014—2016年，美國版權蟑螂向匿名網絡用戶發起的訴訟案件占聯邦版權訴訟案件的49.8%，近乎一半[17]577。歐盟也有類似現象。在2021年的“MircomInternational Content Management amp; Consulting （M.I.C.M.） Limited v Telenet BVBA”案（簡稱M.I.C.M.案）中，M.I.C.M.公司繼受取得案涉電影的版權并收集了數千個用于侵犯電影版權的動態IP地址，然后起訴網絡服務商Telenet BVBA公司，請求法院命令其提供與IP地址對應的諸多用戶信息?"。

版權人一次性請求披露的用戶信息數量多少不能作為判斷其目的正當與否的直接依據。“無救濟便無權利。”侵權人越多，越有必要賦予權利人充分的救濟。而版權蟑螂之所以不具有目的正當性，根本上是因為其獲取用戶信息的真實目的無關權利救濟，而是純粹為了牟利。這從版權蟑螂的運作模式中即可窺知：只是索要和解金，沒有訴訟的意圖。在“M.I.C.M.” 案中，歐盟法院認為在識別版權人是否濫用信息權（right of information）時，應重點審查其運營方式（operatingmethod），即看其是否向被控侵權人提供友好和解方案（amicable solutions）以及在對方拒絕和解時是否實際提起訴訟，還是事實上想以和解作為幌子從用戶處謀取經濟利益，而非專門尋求打擊侵權。而且版權蟑螂以牟利為目的的大規模維權會威脅不少無辜用戶的個人信息權益。因為版權蟑螂未打算進行訴訟，不會認真準備侵權證據，反倒為了壓縮維權成本，會簡化證據收集工作，從而導致許多無辜用戶的信息也被收集[17]580。有的版權蟑螂甚至會故意上傳版權文件引誘用戶“侵權”，以此創造商機[18]。

在第二種類型中，版權人獲取用戶信息的目的在于打壓甚至報復于己不利的正當言論。例如，視頻網站嗶哩嗶哩的許多用戶為了“吐槽”知名明星蔡徐坤在綜藝節目中的表演，利用其表演畫面制作“鬼畜視頻”加以嘲諷，后者以侵犯表演者權、名譽權等為由要求網站下架相關視頻并主張追究相關用戶的法律責任。在“AOLF. V. Does 1-10”案中，原告是一個講授宗教課程（spiritual lessons）的所謂國際教育與人道主義組織，而被告是該組織的前學員和教師，其在博客上以假名身份傳播該組織的內部教學資料，以批評原告實際上是一個邪教組織。原告以版權侵權、誹謗等為由起訴被告，請求法院披露被告身份?"。又如，美國電視名人德魯·平克斯（Drew Pinksy）醫生曾多次在媒體中表示“冠狀病毒不會像流感那么嚴重”“死于冠狀病毒的可能性還不如被小行星撞擊”，后來網友制作短視頻記錄其關于冠狀病毒的所有不準確、矛盾的言論，并發布在YouTube上。德魯醫生以侵犯版權為由要求YouTube下架該視頻，并以版權訴訟威脅轉發該視頻的用戶[19]。

限制用戶的正當言論超出了追求正當利益的目的范疇。在著名的“Campbell”案中，美國最高法院在分析合理使用的第四個因素時認為：“我們并不認為戲仿（parody）完全不會損害‘版權人的’市場，但當諸如尖刻的戲劇評論等致命的（lethal）戲仿扼殺原作品的市場需求時，其產生的損害并不為版權法所承認。”

“法院的任務就是區分‘僅僅壓制需求的批評與篡奪需求的版權侵權’。”美國最高法院雖然沒有正面界定版權人控制的正當利益范圍，但從反面把限制批評言論排除在可救濟范圍之外，即這不屬于版權人享有的正當利益。有的美國法院甚至認為，如果版權人試圖限制針對版權人、版權產品或版權人所在行業的批評言論，那么在特定情形下不排除認定版權人利用版權訴訟壓制言論的行為構成版權濫用（copyright misuse）。認定權利濫用更是直接反映版權人維權目的的不正當性。

不過，有時限制用戶言論并非版權人的唯一目的或主要目的，這導致目的正當性的判斷變得復雜。一種典型情形是被控侵權行為兼具言論價值與市場替代效應，導致難以識別版權人的確切目的。在Campbell案中，美國最高法院意識到被訴侵權作品可能具有更加復雜的性質，會同時在評論方面（the arena ofcriticism）和受保護的演繹作品市場方面產生影響，并且可能難以區分版權人所受損害是來自哪一方面的影響。在此情形下難以判斷版權人的真實目的是壓制言論、保護作品的合法市場利益抑或兼而有之。本文以為，此時合理做法是姑且承認版權人的訴求具有目的正當性，然后在“權益均衡性”審查環節權衡被訴侵權行為對于版權人合法市場利益的損害程度與被訴侵權行為的言論價值，再最終判斷侵權是否成立并決定是否披露用戶信息。這既可避免對版權人的救濟不足，又無礙用戶個人信息權益的充分保障，是合理的做法。

另一種典型情形是版權人限制用戶言論主要是出于保護隱私、維護名譽等目的。比如，為了避免私人信件內容被出版而尋求版權禁令救濟；為了阻止私密活動視頻的網絡傳播而主張版權侵權；為了維持特定人物的歷史形象而禁止他人使用版權內容；等等。在一般法律意義上，保護隱私或維護名譽顯然是一種正當的利益訴求，但在版權法意義上是否予以承認，理論上存在爭議[20]。不過，中外司法實踐均不排斥在版權法的框架下權衡保護版權人的隱私、名譽等其他權益。美國法院往往通過伸縮權利范圍、調節救濟力度、運用濫用規則等來平衡版權人保護隱私、名譽等特殊利益訴求與被控侵權人的言論自由；即使法院看似未慮及版權人的特殊維權目的，但實際也可能受之影響而作出不同的判決[20]575-586。我國著作權法沿襲大陸法系傳統，自始承認權利人享有發表權、保護作品完整權等具有人格內容的精神權利，因此法院很自然地接受在著作權法的框架下考量權利人的隱私和名譽等人格利益的保護。故此，應承認版權人保護隱私或維護名譽的訴求具有目的正當性，爾后在“權益均衡性”環節權衡版權人與被控侵權人雙方的利益，再作定論。

四、信息披露請求的嚴格必要性審查

信息披露請求的嚴格必要性審查是必要性原則的具體化體現。作為比例原則的子原則之一，“必要性原則要求在數個可供實現目的之手段的選擇上，必須要采用對基本權利干預最輕的手段。” [8]145此外，根據比例原則內在的位階順序要求，必要性審查須建立在目的正當性以及合目的性審查的基礎之上。換言之，必要性是正當目的限定下的必要性，這在個人信息處理語境下體現為所謂的“目的限定規則”。故而，只有查明版權人的信息披露請求是出于權利救濟的正當維權目的，才進入嚴格必要性審查。

在歐盟法中，之所以強調個人數據保護的克減和限制必須在嚴格必要的情況下才適用?"，是因為個人數據保護屬于基本權利和自由的范疇，關乎人格尊嚴和人格自由，必須受到嚴格保護。GDPR序言第39條規定：“個人數據應充分、相關并僅限于處理目的所必需的個人數據。這尤其需要確保將個人數據的存儲期限限制在最低限度。只有在無法通過其他方式合理實現處理目的時，才應處理個人數據。”我國立法者同樣把保護人格尊嚴作為個人信息保護的依歸[21]。

《個人信息保護法》規定個人信息處理應遵守“必要”原則（第五條），強調個人信息處理應當“采取對個人權益影響最小的方式”（第六條第一款），且個人信息收集“應當限于實現處理目的的最小范圍”（第六條第二款）。從上述規定不難推知，嚴格必要性至少包含兩個層次的遞進規范要求：一是個人信息處理之情形應當僅限于無法通過其他方式合理實現處理目的；二是個人信息處理之范圍應當僅限于實現處理目的所需的最少量信息，即“個人信息最小化原則” [22]。在本文論域下，前者確立了版權人請求披露用戶信息的前提條件，后者限定了版權人請求披露用戶信息的最大范圍。

版權人的信息披露請求通常滿足嚴格必要性第一層次的規范要求。由于被控侵權用戶處于匿名狀態，版權人一般只能收集到用戶的動態IP地址和/或網絡賬號名稱等信息，單憑這些信息無法確定用戶的真實身份。而除了請求服務提供者提供，版權人基本不可能通過其他的途徑獲知用戶的身份。我國有法院認為：“著作權人若要起訴相關用戶，必須通過鎖定IP地址的方式，進而向掌握該IP地址對應的真實用戶信息的網絡接入服務提供商提出披露信息的要求”?。在“M.I.C.M.”案中，歐盟法院亦認為版權人“通常只能根據IP地址和互聯網服務提供商提供的信息才能識別鏈接的所有者（用戶）”?。在審查版權人披露實施音樂盜版的匿名用戶的請求時，美國法院也認可版權人缺乏獲得用戶信息的其他途徑，并認為“確定匿名被告的身份和住所對原告提起訴訟的能力至關重要，因為如果沒有這些信息，原告將無法完成送達程序”?"。

根據嚴格必要性第二層次的規范要求，信息披露的范圍應僅限于滿足起訴條件的必要信息。這可以盡可能降低信息披露給用戶權益造成的風險，并消減版權人過度請求的動機。根據《歐盟知識產權執法指令》第8條，信息披露范圍一般僅包括被控侵權人的姓名和住址，但該條第3款規定成員國可以授予權利人獲取更完整信息的權利。故不排除成員國基于國內法關于起訴條件之具體規定，將信息披露范圍擴大到包括身份證號碼等其他必要的個人信息。《最高人民法院關于適用〈中華人民共和國民事訴訟法〉的解釋》第二百零九條規定，“原告提供被告的姓名或者名稱、住所等信息具體明確，足以使被告與他人相區別的，可以認定為有明確的被告。”因此，在我國信息披露的范圍一般應限于被控侵權用戶的姓名與住所。至于是否需要提供其他用戶信息，應端視服務提供者是否掌握該用戶的姓名與住所，以及這兩項信息是否足以使之具體明確。有時候服務提供者不掌握用戶的住所，但掌握其手機號碼或電子郵箱等聯系方式，此時聯系方式應落入信息披露的必要范圍。在實踐中，不少法院要求原告起訴時應當提供被告的身份證號碼，這導致身份證號碼也可能落入信息披露的必要范圍。

此外，《個人信息保護法》第十九條確立了個人信息的存儲期限規則：“除法律、行政法規另有規定外，個人信息的保存期限應當為實現處理目的所必要的最短時間。”該法第四十七條第一款確立了個人信息的刪除規則，其中第（二）項規定“個人信息處理者停止提供產品或者服務，或者保存期限已屆滿”的，個人信息處理者應當主動刪除。存儲期限規則與刪除規則是個人信息處理之必要性原則的應有之義[6]，同樣適用于版權人的信息披露請求。這意味著，在版權人提出信息披露請求時，如果被控侵權用戶的相關個人信息因為保存期限屆滿已被刪除，那么該請求缺乏實現之事實可能性，無法得到支持。如果因保存期限屆滿應被刪除而未被刪除，那么該請求缺乏實現之法律可能性，因為該用戶信息在法律上本不應繼續留存，故版權人的請求同樣不能得到支持。

值得注意的是，我國涉及用戶信息披露的版權侵權訴訟中，當事人往往存在不必要的個人信息處理行為。有的版權人請求披露的用戶信息遠遠超出了必要范圍。在申澤宇訴新浪公司侵害作品信息網絡傳播權糾紛一案中，在被告新浪公司已經提交用戶UID、昵稱、姓名、身份證號、手機、郵箱等信息以證明系用戶實施直接侵權行為的情況下，版權人仍要求披露用戶的手持身份證照片。而有的服務提供者急于撇清自身責任，主動把用戶的手持身份證照片等敏感信息在訴訟中予以披露。這些做法顯然違反了個人信息處理的必要性原則，構成非法處理個人信息之侵權行為。對此，法院在訴訟的過程中應當積極釋明用戶信息披露的法定要求，以防范和糾正不必要披露用戶信息的違法行為。此外，法院不應把披露用戶的真實身份信息作為服務提供者證明系用戶而非自己上傳侵權內容的必要條件。一些法院要求服務提供者披露的用戶信息應足以準確定位用戶的真實身份，以支持版權人進一步維權，方能免于被認定直接侵權。該做法是錯誤的。在邏輯上，證明服務提供者僅提供內容存儲服務只需排除不是服務提供者自己上傳侵權內容即可，無需證明系某個特定用戶上傳侵權內容。而且要求披露用戶的真實身份信息，容易導致服務提供者急于自證清白而過度披露，不利于用戶個人信息保護。

五、信息披露請求的權益均衡性審查

信息披露請求的權益均衡性要求是狹義比例原則（均衡性原則）在該領域的具體化。均衡性原則本質上屬于目的必要性原則，即在選定對于權利的某個最小損害性手段之后，繼續判斷某個正當性目的是否有必要借此予以實現[23]。因此，均衡性原則在協調權益沖突的同時，體現了促進社會整體福利的經濟理性。在具體應用均衡性原則時，在權衡對象方面需要關注相關權益的抽象位階與具體分量，在權衡視角方面需要兼顧主觀的價值權衡與客觀的事實發現。

在權衡對象方面，沖突權益在抽象價值上的權益位階與在具體場景下的重要性程度，會對均衡性審查基準的選擇產生影響。值得注意的是，權益位階的高低本身不直接決定在權益沖突中何者優先保護，而必須結合具體場景進行個案權衡。在歐盟法中，版權等財產權與個人數據保護等人格權益都屬于基本權利的范疇，“沒有一項基本權利可以在絕對意義上勝過另一項基本權利。根據案件的具體情況，其中一方可以優先于另一方。基本權利之間不存在穩定的等級制度” [24]。我國民法通說雖然認為人格權益通常優先于財產權益，但也承認權益位階不具有絕對性，具體適用時應結合個案場景妥當進行考量[25]。一般而言，受限制權益的位階越高，受到的具體限制程度越大，那么需要滿足的正當利益就必須越加重要、迫切和真實，即要采取越嚴格的審查基準。具體到版權侵權用戶信息披露的場景，則需要考量個案中版權人與用戶所涉權益的位階高低與具體分量，然后再對二者加以權衡。

對于用戶來說，信息披露主要涉及其個人信息權益。在我國和歐盟，公民的個人信息/數據保護屬于基本權利的范疇，并被提升至攸關人格尊嚴與人格自由的高度，屬于高位階權益。盡管如此，歐盟法院強調：“Directive 95/46第7條f項[對應GDPR第6條第1款第（f）項]禁止成員國類別化地和一般化地（categoricallyand in general）排除處理某類個人數據的可能性，而沒有允許在具體案件中權衡相關的對立權益。”?"在“Promusicae”案中，歐盟法院首次明確版權與個人數據保護等基本權利之間需要取得合理的平衡（fair balance）。可見，用戶個人信息權益的高位階必須結合在個案中受威脅或損害的程度，并與版權人的權益進行權衡，方能得出其是否免于限制的結論。

用戶個人信息權益在個案中所受威脅或損害的具體程度，可以從請求披露的個人信息的范圍與類型兩個方面加以判斷。信息披露的范圍越大，自然對于用戶個人信息權益的威脅越大；而披露私密信息或敏感個人信息等特殊類型的個人信息，則更有可能損害個人信息保護背后的人格尊嚴、人身財產安全、通信自由和通信秘密等“本權權益” [26]。就信息披露的范圍而言，在遵循嚴格必要性的前提下，一般限于用戶姓名與住址等以滿足起訴條件為限的信息。就信息披露的類型而言，用戶的姓名與地址不屬于私密或敏感個人信息，披露這些信息對于用戶的直接影響有限。不過，用戶的身份證號碼可能屬于敏感個人信息[27]。即便如此，GDPR第9條第2款第（f）項規定，為了提起、行使或辯護法律性主張（legal claim）的目的而處理特殊類型個人數據（大致相當于我國的“敏感個人信息”概念），不適用禁止處理原則。歐盟法院在“M.I.C.M.”案中認為，僅僅向M.I.C.M公司披露涉嫌侵權用戶的姓名和地址，符合在知識產權人的權利和用戶保護個人數據的權利之間取得合理平衡的目標；而且僅僅提供用戶的身份和地址信息，不會泄露用戶的電子通信信息以及私人生活信息，故提供這些個人數據給用戶帶來的影響，原則上不能認為是嚴重的（serious）。歐盟法院的這一判斷應當是客觀公允的。在一般情形下，僅僅披露用戶的姓名和地址等身份信息，原則上不會對其個人信息權益產生嚴重損害，此時均衡性原則審查可以采取較為寬松的基準，要求版權人提交有效的版權權屬證明并初步證明存在侵權事實和損害事實（財產性利益損失或人格性利益損害）即可。所謂“初步證明”對應民事證明標準中的優勢蓋然性標準，即讓法院認為侵權事實的真實性至少達到51%[28]。

但在一些特殊場景中，即使只披露用戶的姓名和住址等信息，也可能會間接泄露該用戶的私密信息或敏感個人信息。尤其是在版權內容監測技術非常發達的當下，版權人可以有效追蹤匿名用戶訪問、下載或分享版權內容的詳細記錄，一旦這些網絡活動痕跡信息與用戶的身份信息相結合，則可能轉化成該用戶的私密信息或敏感個人信息。比如，在用戶下載或分享含有不雅或露骨內容的作品（如情色電影、小說、漫畫、圖片等）的版權侵權案件中，通過查看和分析用戶下載或觀看的作品記錄，可從中推知該用戶在性方面的取向和愛好。這無疑屬于極為私密和敏感的個人信息，對外披露很可能會使其遭受歧視，嚴重損害其人格尊嚴。有美國法院認為：“非法下載成人電影的指控可能涉及敏感和高度私人性質的事項，包括一個人的性取向。”故美國法院在被告針對原告的披露請求進行答辯之前，通常會允許被告使用假名進行訴訟[17]609。此外，版權人請求披露用戶信息可能是為了打壓甚至報復用戶發表于己不利的正當言論。此時披露用戶信息很可能會嚴重威脅用戶的言論自由甚至人身安全等極其重要的“本權權益”。故而，如果信息披露將導致版權人知曉用戶的私密或敏感個人信息，或者會嚴重威脅用戶的言論自由或人身安全，那么均衡性審查應當采取嚴格基準。“根據比例原則，涉訟民事權益的意義越重大，對其要件事實的證明標準就越高。” [28]16在嚴格審查基準下，版權人對于侵權事實與損害事實的證明應當適用高度蓋然性標準（真實性至少是80%），甚至是排除合理懷疑標準（真實性至少是95%） [28]，這可由法官視個案中用戶個人信息保護的重要性而定。

對于版權人來說，信息披露關乎版權侵權的及時有效救濟，更多時候是財產性利益的救濟。相對于個人信息披露給用戶帶來的損害風險通常具有較大的不確定性[29]，版權人因網絡盜版遭受的財產損失往往比較現實和確定。首先，用戶大多是基于免費獲取或分享的目的下載和傳播盜版作品，版權侵權事實通常不存在爭議，而被控侵權用戶也往往無法提出有效抗辯。其次，盜版作品在網絡傳播的事實本身，通常便足以推定損害發生。尤其是網絡傳播具有快捷性、隱蔽性和弱地域性的特征，網絡盜版容易使版權人遭受難以彌補的損害。不過，我國有法院認為：“考慮到著作權人權利的保護和用戶隱私、信息的平衡保護，在某IP地址涉及較大規模侵權的嫌疑時，網絡接入服務提供商應當負有對該IP地址用戶信息的披露義務和協助調查義務。”以發生“較大規模侵權”作為信息披露的一般要件，似乎是默認人格權益優先于財產權益，故才有必要在與用戶人格權益的沖突中，對版權人的財產權益救濟設置較高的門檻。但是，一概把“較大規模侵權”設置為信息披露的要件違背了均衡性原則權衡損益的經濟理性與促進社會整體福利的目標，因為這會導致在許多僅涉及侵權用戶微弱的個人信息權益的場合，版權人的財產損失得不到救濟。總之，如果版權人已經提交有效的版權權屬證明并初步證明存在侵權事實，且請求披露的用戶個人信息僅限于起訴所必需的身份信息，那么在一般情形下（即不會威脅用戶的隱私或言論自由等重要的“本權權益”）可認為版權人的請求滿足均衡性原則。

如前所述，版權人基于版權侵權而請求信息披露有時是因為隱私或名譽等人格權益糾紛。在這類案件中披露用戶信息更可能導致其言論自由、人身安全等重要權益遭遇損害風險[30]。而且版權侵權與人格侵權的交織會導致此類案件的事實認定與法律關系非常復雜，僅憑法官個人對于雙方各種權益的價值權衡，容易出現主觀裁量濫用與客觀利益衡量不足的“司法專斷”的危險。這時在權衡視角上有必要在“權衡者進路”的基礎上補充進“當事人進路”，引入利益權衡的“事實問題商談模式”。該模式由加拿大法學家戴維·M.貝蒂提出，其認為適用比例原則時應采取事實問題視角和當事人觀點優先視角，把當事人主張的利益與觀點轉化為事實問題，允許各方對此平等辯論；法官則認真對待和平等傾聽當事人的觀點，并以此為基礎作出客觀公正的判決。采用事實問題視角適用比例原則，可以消減法官適用均衡性原則時的主觀性與不確定性[23]19-23。按照“事實問題商談模式”，法院在決定是否披露用戶信息之前，應當賦予用戶事前異議的機會，允許其為自己的利益辯護和對版權人的主張提出質疑。故在這類復雜案件中，法院在適用均衡性原則時，除了要求版權人對其遭受的權益損害負擔更高的證明責任，還應當充分保障用戶的知情權與辯護權等程序利益，允許用戶在法院作出決定之前提交異議意見。不過，這不是說需要在所有信息披露程序中都開啟“事實問題商談模式”，因為均衡性審查還要求把限制權益的手段的成本耗費納入權衡范圍[23]27-28，在此即要求考慮信息披露程序本身的運行成本。故如果案件不涉及版權人的人格利益糾紛，不存在版權人打壓或報復用戶言論之虞的，可由法院視個案情況決定是否給予用戶事前異議的機會；而在不涉及用戶的隱私、言論自由等重要權益的一般案件中，通常沒必要賦予用戶事前異議的機會。這樣可以更好地平衡信息披露的程序運行成本與錯誤披露成本，符合均衡性原則的經濟理性要求。綜上，對于版權人的信息披露請求的均衡性審查基準體系可以概括如表1所示。

六、結語

我國應盡快建立版權侵權用戶信息披露制度，明確信息披露的實體判斷標準，以實現網絡版權侵權救濟與用戶個人信息保護的利益平衡。在我國個人信息保護法制日臻完善的背景下，版權人的信息披露請求應當符合《個人信息保護法》的具體規定、原則和立法精神。在判斷版權人的信息披露請求是否合法時，《個人信息保護法》雖無具體規定可循，但是可以通過具體化個人信息保護的原則確立信息披露請求的合法性審查標準。在此方面，歐盟的立法和司法實踐可資借鑒，即版權人的信息披露請求是否合法應以其是否滿足比例原則為判斷標準，依次具體包括目的正當性、嚴格必要性與權益均衡性。此外，完整的信息披露制度除了包括科學的實體判斷標準，還離不開規范合理的信息披露程序，后者不應過分增加版權人維權的程序負擔，同時給予用戶個人信息安全足夠的程序保障，唯此方能在雙方利益之間取得妥適的平衡。囿于主題和篇幅限制，本文不對程序部分展開討論。

參考文獻：

[1] 陳炫伯. 個人信息保護與網絡服務提供者信息披露制度的完善[J]. 中南民族大學學報（人文社會科學版），2020， 40（1）： 179.

[2] 王志鵬. 網絡接入服務提供者信息披露義務研究——以經營者提供WiFi服務為視角[J]. 科技與法律， 2018（6）： 47.

[3] 梁志文. 論網絡服務提供商之信息披露義務——以我國著作權法制為中心的批判性解讀[J]. 北方法學， 2007（3）： 126.

[4] 王麗潔. 個人信息處理中比例原則審查基準體系的建構[J]. 法學， 2022（4）： 49-63.

[5] 劉權. 論個人信息處理的合法、正當、必要原則[J]. 法學家， 2021（5）： 1-191.

[6] 項定宜. 個人信息處理必要性原則的規范體系研究[J].北方法學， 2021， 15（5）： 27-37.

[7] 張蘭蘭. 作為權衡方法的比例原則[J]. 法制與社會發展， 2022， 28（3）： 187-205.

[8] 鄭曉劍. 比例原則在民法上的適用及展開[J]. 中國法學， 2016， 190（2）： 164.

[9] GLEICHER N. John doe subpoenas： toward consistent legalstandard[J]. Yale Law Journal， 2008， 118（2）： 328.

[10] 程嘯. 民法典編纂視野下的個人信息保護[J]. 中國法學， 2019（4）： 28.

[11] 高富平. 個人信息保護： 從個人控制到社會控制[J].法學研究， 2018， 40（3）： 89.

[12] 舒國瀅. 法律原則適用中的難題何在[J]. 蘇州大學學報， 2004（6）： 19.

[13] 卡爾·拉倫茨. 法學方法論[M]. 黃家鎮， 譯. 北京： 商務印書館， 2020： 518.

[14] 李海平. 比例原則在民法中適用的條件和路徑——以民事審判實踐為中心[J]. 法制與社會發展， 2018，24（5）： 164-166.

[15] 程嘯. 論我國民法典中的個人信息合理使用制度[J].中外法學， 2020， 32（4）： 1008.

[16] 謝琳. 大數據時代個人信息使用的合法利益豁免[J].政法論壇， 2019， 37（1）： 76-77.

[17] SAG M， HASKELL J. Defense against the dark arts ofcopyright trolling[J]. Iowa Law Review， 2018（2）： 579-580.

[18] SONMEZ E. Copyright troll or ugly rights holder thespread of troll-tactics and solutions to the abuse of thecourts and degradation of the copyright protectionscheme[J]. Intellectual Property Law Bulletin， 2015（2）：145.

[19] SMITH C Y. Copyright silencing[J]. Cornell Law ReviewOnline， 2020-2021， 106： 75.

[20] FROMER J C. Should the law care why intellectual propertyrights have been asserted[J]. Houston Law Review，2015， 53（2）： 549-594.

[21] 黃薇. 中華人民共和國民法典人格權編解讀[M]. 北京： 中國法制出版社， 2020： 207.

[22] 程嘯. 論我國個人信息保護法的基本原則[J]. 國家檢察官學院學報， 2021， 29（5）： 13-14.

[23] 劉權. 均衡性原則的具體化[J]. 法學家， 2017（2）： 24.

[24] ANGELOPOULOS C J. European intermediary liabilityin copyright： a tort-based analysis[D]. Amsterdam： Univ.of Amsterdam， 2016： 76. https： //pure. uva. nl/ws/files/2738365/172299_Angelopoulos_thesis_complete.pdf.

[25] 王利明. 論民事權益位階： 以《民法典》為中心[J]. 中國法學， 2022（1）： 46-49.

[26] 張新寶. 論個人信息權益的構造[J]. 中外法學， 2021，33（5）： 1144-1166.

[27] 胡文濤. 我國個人敏感信息界定之構想[J]. 中國法學，2018（5）： 252-253.

[28] 邵明， 李海堯. 我國民事訴訟多元化證明標準的適用[J].法律適用， 2021（11）： 24.

[29] 梅夏英. 社會風險控制抑或個人權益保護——理解個人信息保護法的兩個維度[J]. 環球法律評論， 2022，44（1）： 13-14.

[30] 林宏堅， 曾祥生. 論網絡名譽侵權案件中網絡服務提供商的披露義務[J]. 法律適用， 2008（Z1）： 120-121.