應盡快制定個保法司法解釋

程嘯

自2021年11月1日《個人信息保護法》（下稱“個保法”）正式施行，已過去一年半的時間，但法院受理的個人信息保護糾紛案件的總體數量依然較少。

最高人民法院副院長賀小榮曾介紹，2021年各地法院共受理個人信息保護糾紛案件307件，2022年為404件。與之相比，僅2021年，全國法院受理的一審人格權糾紛案件總量就達192675件。

一方面，這充分證明此前一些觀點實屬危言聳聽。例如，認為法院會因過多訴訟不堪其擾，所以反對個保法所規定的，個人可以通過民事訴訟來維護個人信息權益。

另一方面，由于個保法起草時備受關注的一些規定并未出現預期的民事糾紛，如“敏感個人信息處理”“自動化決策”“大型平臺守門人義務”等，也導致一些人否定法院在個人信息保護中的作用。

更有觀點認為，個人信息司法保護的重心應從“個體救濟”轉向“公共治理”。個人向法院提起的個人信息侵權之訴，如果沒有損害的，則類似執法舉報，法院應當承擔專業化監管職能。

毋庸置疑，個人信息保護需要多部門的共同努力，并由公法與私法協力實現，但我們仍應強調個人信息司法保護的重要作用。

通過個保法司法解釋對一些焦點、疑點與難點問題的科學系統規定，既可以為法院處理個人信息保護糾紛案件提供清晰準確的裁判規范，也能為律師、法務人員等實務人士提供指引，更能促進行政執法部門制定相應的規章和文件。

未來，建議個保法的司法解釋圍繞個人信息處理規則、個人信息權益的行使與救濟、個人信息侵權責任等三大問題作出清晰具體的規定。

法院是審判機關，不能代替網信、工信、公安等履行個人信息保護職責的部門進行個人信息保護執法監管，查處違法行為。

法院應當做的是，正確理解與適用民法典、個保法等法律，居中裁判，公平公正的處理一個個具體的個人信息保護糾紛案件，從而實現保護個人信息權益、規范個人信息處理與促進個人信息的合理利用的法律目標。

最高人民法院及地方法院發布的個人信息公益訴訟指導性案例，以及個人信息保護典型案件，如“人臉識別第一案”“強制掃碼點餐案”等，在宣傳個人信息保護觀念，明晰個人信息保護規范的適用方面起到了重要的作用。

除了發布更多指導案例和典型案例，建議未來最高人民法院針對個人信息保護實踐中的焦點、熱點以及疑難問題，通過制定個保法司法解釋，協調不同法律中的個人信息保護法律規范，將抽象的、原則性的法律規定加以具體化、明確化。

雖然中國個人信息保護法律體系已經建立，但實踐中仍然有很多法律理解適用上的模糊、分歧之處。例如，如何區分“同意”“單獨同意”，以及“書面同意”？什么情形下構成“共同處理個人信息”？如何認定個保法中的“不合理的差別待遇”“對個人權益有重大影響”？怎樣判斷“個人明確解決處理其公開的個人信息”等。

相關部門除了制定部門規章或文件，往往不會針對以上問題作出專門解釋或正式答復。這些客觀存在的問題，遲遲得不到解決，對于個人信息保護的合規、律師執業、法官審判以及行政執法都造成了很大的困擾，不利于個人信息保護與合理使用。

因此，非常有必要通過制訂個保法司法解釋來解決這些問題。

個人信息處理規則是個保法的核心內容之一。

個保法第二章“個人信息處理規則”采用了25個條文，對個人信息處理的合法性根據、告知同意規則、多人處理個人信息的四種情形，以及公開個人信息與敏感個人信息的處理、國家機關處理個人信息等內容作出了系統的規定。個人信息處理規則對于行政執法和司法審判中判斷個人信息處理活動是否為非法行為，以及是否侵害個人信息權益至關重要。

從實踐來看，個人信息處理規則中有以下問題需要明確：

“個人信息處理合法”的證明責任，即一旦發生個人信息保護糾紛，應當明確個人只要初步證明個人信息被處理的事實即可，處理者必須證明自己未實施處理活動，或者個人信息處理活動是合法的。

“告知義務履行”的證明責任。當個人主張處理者在處理個人信息前沒有依法履行告知義務的，應當由處理者對履行了告知義務承擔舉證證明責任。

“單獨同意”的認定，這也是實踐中爭議最大的問題。建議法院在認定處理者是否取得個人的單獨同意時，應當綜合考慮需要取得單獨同意的處理活動與其他處理活動的場景區分度、履行告知義務的方式、個人信息的處理方式等因素。對于制作專門的個人信息處理同意書，采取了單獨彈窗、單獨勾選、點擊跳轉鏈接等方式取得個人同意的，可以認定為屬于單獨同意。

明確處理者雖有合法根據處理個人信息，但超出合理范圍的，仍要承擔民事責任。

對于“共同處理個人信息”的證明。在個人初步證明處理者屬于共同處理個人信息之后，建議由處理者來舉證推翻，不能舉證推翻的，即認定為共同處理個人信息。

針對實踐中廣泛存在的“委托處理個人信息”的情形，建議依據處理事項合法與否以及委托人、受托人的過錯等情形，分別明確各自的義務與責任。

明確利用自動化決策對個人在交易條件上形成的哪些差別待遇屬于不合理的差別待遇。我們認為，具有以下情形的，屬于不合理的差別待遇：

對同一產品或者服務，基于個人的支付能力、消費偏好、使用習慣等個人特征，針對個人采取不同的交易價格、交易方式或者其他交易條件；

對在交易安全、交易成本、信用狀況、交易環節、交易持續時間等方面不存在實質性差別的個人，采取不同的交易價格、交易方式或其他交易條件；

基于有損人格尊嚴、人身自由的方式，或者違背誠信、公平原則而實施的交易條件上的差別待遇。

滿足下列情形之一的，建議認定為具有合理的差別待遇：

根據交易相對人的實際需求，且符合正當的交易習慣和行業慣例，實行不同的交易條件；

針對新用戶在合理期限內開展的優惠活動；

基于公平、合理、非歧視規則實施的隨機性交易；

法律、法規規定的其他情形。

個保法第24條、27條、55條中“對個人權益有重大影響”的判斷。建議參考民法典第496條-497條對格式條款中限制排除權利的規定的基礎上，結合個人的法律上的權利、義務、責任的角度作出相應的判斷標準。具有以下情形之一的，應當認定為對個人權益有重大影響：

排除或者限制個人的主要權利；

加重個人的義務或者法律責任；

導致個人的經濟、社會地位發生了不合理的變化；

對于個人權益產生法律效力或造成重大影響的其他情形。

明確公開個人信息處理規則中“合理范圍”的認定與“個人明確拒絕”的界定這倆問題。本文有兩條建議：

首先，具有以下情形之一的，可以認定“在合理的范圍內”：個人信息被公開時有明確的用途，處理者的處理目的和方式符合該用途；個人信息被公開時未明確用途，處理者遵循合法、正當、必要、誠信、目的限制等原則，合理、謹慎地處理該信息。

其次，如果個人在自行公開其個人信息時，明確作出禁止他人處理的書面表示，或者個人以書面形式向處理者提出不得處理已公開的個人信息的，則法院可以認定為構成個保法第27條的“個人明確拒絕”。

個人信息權益是個人針對其個人信息享有的人格權益，個保法對于個人信息權益的內容專章作出了詳細規定，明確了個人針對其個人信息處理享有知情權、決定權、查閱權、復制權、可攜帶權、更正權、補充權、刪除權、解釋說明權等。并且，個保法還專門規定，如果處理者拒絕個人行使權利的請求，個人可以依法向法院提起訴訟。

從實踐來看，圍繞著個人信息權益的行使與救濟問題產生了不少爭議，如個人是否必須先向處理者主張權利，甚至先向履行個人信息保護職責的部門投訴無果后，才能起訴等。建議司法解釋規定以下內容：

明確個人向處理者行使查閱、復制其個人信息的范圍應當包含以下內容：個人信息處理者是否處理其個人信息；個人信息的處理目的、方式；處理的個人信息種類、內容、保存期限；個人信息的其他共同處理者、受托人；個人信息的提供方、接收方；處理的合法公開的個人信息及其來源；其他可以查閱、復制的個人信息。

對更正補充權的行使，以及錯誤更正補充的賠償責任加以明確，即個人發現其個人信息不準確或者不完整的，請求處理者更正、補充；處理者怠于或者拒絕更正、補充，個人可以起訴；如因處理者怠于、拒絕，或者錯誤更正、補充不準確或不完整的個人信息，侵害民事權益造成損害的，受害人可以請求處理者承擔民事責任。

明確刪除權的司法救濟以及民事責任，即存在法律、行政法規規定的應當刪除個人信息的情形，處理者未刪除，個人有權向法院起訴，要求處理者刪除，除非法律、行政法規另有規定；如果處理者違反法律、行政法規，或者違反約定處理個人信息的，個人可以請求處理者刪除，也可以向法院起訴。

明確個人針對處理者行使查閱、復制、補充、更正、補充等權利的，原則上在處理者拒絕的情形下，才可以向法院起訴。

界定死者的近親屬針對死者的個人信息行使查閱、復制、更正、刪除等權利的要件，即將以下情形認定為，死者的近親屬是為了“自身的合法、正當利益”：維護死者的名譽、隱私的需要；維護近親屬對死者的崇敬、追思之情的需要；其他維護近親屬自身的人身、財產權益的需要。

個人信息侵權責任涉及民法典與個保法的關系，以及個人信息權益與隱私權、肖像權等其他人格權益的適用，還包括對于個人信息侵權責任的構成要件的理解與適用問題。

因此，建議司法解釋至少應當明確以下問題：

侵害隱私權與個人信息權益的歸責原則的適用關系。

一方面，處理者處理私密信息侵害個人信息權益造成損害的，個人有權請求處理者承擔損害賠償等侵權責任的，此時適用的是個保法第69條第1款的過錯推定責任，必須由處理者舉證證明自己沒有過錯，才能不承擔責任。

另一方面，自然人因個人或者家庭事務處理個人信息時侵害了個人信息權益、隱私權等民事權益造成損害，不適用個保法的過錯推定責任，而應適用民法典過錯責任，即具有過錯的處理者才需要承擔損害賠償責任。因為在個保法中，只有處理者才可能承擔損害賠償責任。

考慮到個人信息權益與肖像權、名譽權的重疊關系，應當尊重個人的選擇。即處理者處理人臉信息、信用信息等侵害個人信息權益造成損害的，個人當然可以依據個保法第69條，要求處理者承擔損害賠償等侵權責任；倘若個人信息處理活動同時也侵害了肖像權、名譽權造成損害的，個人可以依據民法典，要求具有過錯的處理者承擔損害賠償等侵權責任。

明確個人信息權益適用民法典第997條規定的人格權禁令。

實踐中個人信息被多個處理者所處理，一旦出現侵害個人信息權益的行為，往往很難判斷究竟是誰造成的問題。建議明確規定，兩個以上的處理者處理相同個人信息危及個人信息權益，個人不能確定具體侵權人，可以請求行為人承擔連帶責任，除非處理者能夠證明自己的處理行為與個人信息權益被侵害沒有因果關系。

就處理者泄露個人信息導致被第三人非法利用，進而侵害個人合法權益的情形，建議明確處理者對此種下游損害的賠償責任。該問題學界爭論很大。建議區分敏感與非敏感的個人信息，分別作出規定。

具體而言，如果處理者沒有依法采取相應的措施保護敏感的個人信息安全，發生個人信息泄露、丟失，第三人利用該信息侵害個人的民事權益并造成損害，個人有權要求個人信息處理者與第三人承擔連帶責任；如果處理者沒有采取相應的措施保護非敏感的個人信息安全，發生個人信息泄露、丟失，第三人利用該信息侵害個人民事權益造成損害，由實施侵權行為的第三人承擔賠償責任，處理者根據其過錯和原因來承擔相應的賠償責任。

明確處理者如何推翻對其過錯的推定，即如果處理者能夠舉證證明其處理活動符合法律、行政法規規定的個人信息處理規則、履行了處理者義務，并滿足了個人行使權利的請求的，法院應當認定處理者沒有過錯。

關于侵害個人信息權益的財產損害，建議規定處理者侵害個人信息權益，造成財產損失的，被侵權人有權依據個保法第69條第2款，要求處理者承擔賠償責任。同時，個人為制止侵權行為所支付的合理開支，如調查取證的費用、聘請律師的費用等，也屬于財產損失。

對于侵害個人信息權益的精神損害，建議明確，如果處理者侵害個人信息權益，造成個人嚴重精神損害的，被侵權人有權要求處理者承擔賠償責任。如果只是個人信息發生泄露、篡改、丟失，個人沒有證明其遭受實際損失，只以其將來遭受損失的風險為由請求處理者賠償損失的，則不應予以賠償。

明確侵害個人信息權益的法定賠償，即個人因個人信息權益被侵害而受到的損失，以及處理者因此獲得的利益難以確定的，法院可以根據實際情況在100萬元以下的范圍內確定賠償數額。

（作者為清華大學法學院副院長、教授、博士生導師；編輯：郭麗琴）