作者
陈斌寅上海邦信阳中建中汇律师事务所
(本文系知产力独家首发的稿件,转载须征得作者本人同意,并在显要位置注明文章来源。)
抗击肺炎宅家休假以来我相信大部分人,就三个想法:
1、放我出去!
2、上网看看或打听打听周围有人病了吗?
3、我要买的东西网上还有吗?什么时候送到?
这三个念头,第一个想想就好了,但第二第三个念头不止应当想想,而且应当好好想想,因为这两个念头关系到目前大环境下非常严肃的两个网络环境下个人信息法律保护的问题:
1、疫情防治中救治信息披露和个人信息保护的平衡;
2、网络环境下个人信息的保护。
这两个问题,即便不展开讨论,也可以看出共同的关键词就是“个人信息”和“保护”。而这两个词也是法律分析的关键抓手,尤以厘清“个人信息”的定义最为关键。
一、一样而又不一样的“个人信息”
如前所述,目前法律框架下网络环境中的“个人信息”指向是相同的,但请注意这里说的是“指向”而不是“定义”,“指向”相同意味着受保护的法律权利和个体利益应当是统一的,即任何个人身份信息、互联网活动或通过互联网反映与记录的活动信息都应当活动保护,不因场景的变化或主体的差异而有所区别。但这似乎是一种“应然”,说得再直白点是一种“愿景”和“期待”。
在现行法律及其他规范性文件当中,“个人信息”的定义不尽相同,至少包括以下几种:
上面罗列的这些规定事实上仅占到现行涉及“个人信息”的规范性文件(包含法律、行政法规、部门规章、行业标准、司法解释)很少一部分。截止.2.2可以查询到的现行有效且直接或者间接关系到“个人信息”的规定,至少有70余部。单就罗列上述6部规范中的“个人信息”定义,就足以让人眼花缭乱。
那么这些定义之间到底有哪些微妙关联和差别呢?
1.立法管原则、实行靠细则
属于最高位阶法律且颁布较早的《全国人民代表大会常务委员会关于加强网络信息保护的决定》(序号1,下称“决定”)采取了概括式的定义方式,但并未罗列具体个人信息种类,而之后颁布同位阶法律或者职能部门规章或指导具体行业的国家标准,在沿袭《决定》的部分定义后,还会针对本规定专门调整的对象的不同,相应罗列可能受本规定调整的个人信息种类。
上述罗列的序号6国家标准《信息安全技术个人信息安全规范》(,下称“安全规范”)虽然在定义部分中没有对概括式描述进行相应“举例”,但是在附录A中罗列了13种个人信息示例。
这种位阶往下、内容递进式的立法方式,其实也是互联网环境变化迅速、产业需求更新频繁的结果,稳定的上位法守住“底线”,立法及修订程序相对简便的下位法则负责“随行就市”。
美国年发布的《消费者隐私权法案ConsumerPrivacyBillofRightsACTof》同样允许具体行业可以根据法案的原则性要求制定具体细则,但是细则应当由联邦贸易委员会(FTC)认证。虽然这项法案目前仍然躺在美国国会半死不活尚未通过,但是相似立法原则反映的是中美共同立法思路背后同样发达的互联网产业。
2.身份识别多于隐私保护
除序号1《决定》将个人信息界定为“个人身份识别”和“个人隐私”两部分外,其余各司法解释或部门规章在对个人信息定义时,均没有明确沿袭这样的分类,而鸽子不同定义,又可以分为三类:
1)第一类是以上述序号2《网络安全法》为代表,在定义“个人信息”时已经完全不提及“个人隐私”部分,而仅仅是强调“身份识别”。这种定义限缩了早先《决定》对个人信息的概念定义,可识别个人的信息可能属于个人隐私,但绝对不囊括全部的个人隐私,对于晚近颁布的规定反而走了回头路,确实比较遗憾;
2)第二类是以上述序号4《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(下称“网络侵权规定”)为代表,明确将个人隐私包含在个人信息中,但没有对个人信息作出概括性定义;
3)第三类是上述其他罗列的规定,将个人信息定义为可识别身份信息和活动情况。同样的,活动情况包括愿意公开和不愿意公开两部分,愿意公开的不属于个人隐私,而不愿意公开的活动情况又不等同于全部隐私范围。所以这样的定义方式事实上也是限缩了《决定》对个人信息的概念定义。
总而言之,“身份识别”对应的是“你是谁”,而“个人隐私”还包括“做过什么”、“有什么”等问题。两者即便有部分交叉,但整体指向是不同的。目前规定对于“你是谁”的问题几乎均达成共识,但对于“个人隐私”类信息的界定却莫衷一是。
针对当前网络传播内容特点,将个人信息限缩在“你是谁”的范围内,显然已经不合时宜,对此刚刚于年1月1日生效的《加利福尼亚州消费者隐私法案CaliforniaConsumerPrivacyAct》对个人信息进行定义时,将“因特网浏览历史、搜索历史、网站交互信息、地理位置数据、音视频内容等”均囊括在内。当然也有人认为加州法案过于扩大了个人信息范围。
但新技术新需求的出现,导致过于限缩或相对滞后的个人信息定义,给司法实践带来了难题或者挑战,确是不争的事实。
3.Cookie属不属于个人信息
网络浏览器Cookie本质上属于记录客户端行动轨迹,以提升客户浏览网站体验和增加访问便利的一种互联网技术工具。那么如果网络服务提供者,利用了cookie记录内容,推送用户非主动选择或索取的信息服务,算不算对个人信息的侵害呢?
()宁民终字第号案及其一审判决给出了完全相反的答案。案件经过是朱某在某搜索引擎搜索过相关产品字眼,此后朱某浏览其他视频网站时也会在相关网站的侧边广告商弹出其搜索过的同类产品广告,朱某认为搜索引擎不当记录其搜索关键字,并将其兴趣爱好、个人需求显露在网站上,在此基础上所投放广告是对其个人隐私的侵害。
本案一审认为cookie信息属于个人隐私,而二审却推翻了这种认定。二审认为cookie信息即便具有隐私属性,但只能指向特定设备,却不一定能关联到特定个人,而脱离了网络用户身份,无法确定归属主体的信息,则不应当属于个人信息范畴。
值得注意的是,二审法院否定cookie个人信息属性所依据的就是上述序号4司法解释第十二条的规定,该规定没有对个人信息进行概括式定义,所示例的个人隐私又不包含网络活动轨迹。在所引用规范先天不足的情况下,期望审判人员依据设备号、IP地址、网络账号名称等内容,能动判定cookie可以指向特定个人,所面临的个体及个案判定差异可能性太大。
4.个人信息到底是财产权还是人身权
个人信息到底是财产权还是人身权,关系到在法律上保护方式和商业上应用方式的不同。
简单来说就是,若个人信息被界定为人身权的一种,即便其能产生财产收益,但享受主体只能是产生信息的个人,即使将财产收益让渡给网络服务提供者,但网络服务提供者也不能随意交由第三人,因为人身权极强的人身属性要求任何人身权利所产生收益的分享都必须征得权利人的同意。此外,人身权属性也会导致个人信息收益无法继承。
更为重要的是,在目前互联网服务主要基于信息流转和授权的情况下,频繁的寻求授权和确认,对于用户体验来说简直就是灾难。
但是,若将人身权界定为财产权,虽然上述财产收益流转和继承问题可以得到解决,但似乎完全割裂了个人信息和特定主体之间的联系,随之而来的问题是一方面遭受侵害后能否寻求精神赔偿变得不太确定,另一方面则是切切实实削弱了个人对自身信息的控制。比如目前尚未落定的腾讯诉抖音擅自使用腾讯用户资料一案就是最好的注解。
本案的起因是抖音将通过和腾讯正常合作期间所获的的腾讯用户头像、用户关系等,擅自交付给了抖音的关联方多闪使用,为此腾讯对多闪提起了不正当竞争诉讼,而抖音抗辩其使用和转移用户资料完全是经过用户自己的同意。双方掐架正酣,但似乎把享有信息的个人完全晾在一边。导致这种神仙打架、小鬼遭殃局面的原因,部分就归咎于个人信息的绝对财产权化,一旦经过许可后,就默认完整脱离了信息个人的控制,完全沦为网络服务提供者的财产。网络服务提供者为了追求利益最大化,可以独占个人信息收益,包括维权收益。
二、对个人信息的保护应当坚持非常时期用平常手段
1、对疫情的关心不应当是保护个人信息的例外
疫情爆发至今已经出现了不少传播肺炎患者或者活动轨迹的网络信息,这些信息甚至具体到人名、身份证号码、联系方式和车次航班号等。基于对疫病的恐惧和防护的需要,对疫情的了解当然是应该和必要的,但并不是毫无限制的。
事实上按照相关法律,即便是为了控制疫情需要,个人信息也不存在任何私自或任意传播的可能,《传染病防治法》仅仅规定了对疫情由有关部门了解汇总情况,同时又严格禁止了有关部门泄漏涉及个人隐私的信息。
当然在特别紧急的情况下,包括疫情等突发公共事件中,也并非一概不得披露有关特定个人的任何信息。从程序上来讲,综合《政府信息公开条例》、《信息安全技术个人信息安全规范GB/T—》等规定,在下列四种情况下可以公开:
1)经过个人同意或个人主动公开;
2)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
3)即便未经本人同意,行政机关认为不公开会对公共利益造成重大影响的,主要涉及与公共安全、公共卫生、犯罪侦查、案件审判等;
4)即便未经本人同意,出于公共利益开展统计或学术研究所必要。
但程序上允许公开,并非公开的内容可以无限制、无顾忌,《网络安全法》第四十二条就规定所披露信息必须“经过处理无法识别特定个人且不能复原的”。但《网络安全法》的这条规定仍然存在不少的问题:
1)网络安全法的这条规定所调整的主体是网络运营者,并不包含政府机关或其他公权力部门,公权力部门在未经个人同意披露个人信息时可释放的内容边界在哪里,目前并不明确;
2)目前规定没有明确“无法识别特定个人”的处理方式是否需要区分情形,尤其是网络运营者配合公安、法院调查案件时是否也需要进行不可复原的处理方式,如果完全提交了信息,又是否不符合《网络安全法》的规定;
3)因为特殊原因经过公权力机关完整披露的个人信息,是否可以其他目的,为网络服务提供放或其他个体使用,在个人信息搜集时“目的限定”的原则,是否也应当适用于依法披露时?这同样找不到答案。
上述问题,在目前的法律框架下并不能得到系统性的明确,期待已列入立法计划的《个人信息保护法》给出统一和可操作的答案。
2、目前的三原则似乎无法满足在家网购时的信息保护需要了
虽然没经过统计,但是居家这段时间内通过网络采购菜肉和其他生活资料的交易数量一定猛增。包括这些在线购物APP在内的几乎全部应用都已经启用和公示了《用户协议》和《隐私条款》,虽然几乎没有使用者会去仔细阅读,但正是这两个协议详细规定了应用搜集和使用个人信息的途径、方式和用途等内容。
对于信息的搜集和使用,以《网络安全法》为代表的相关规范均规定了“合法、正当、必要”的三原则,简单解释就是必须做到个人知情同意、使用目的限定、范围最小必要。但这种原则在目前的网络业态中越发落伍。
当下各种应用交叉使用个人信息的情况频繁发生,这种交叉使用包括个人明确许可的(如使用第三方账号登录某APP),也包括个人不知晓的(如购物应用推送最近在其他应用上浏览或搜索过的东西)。我们在享受网络应用带来便利的同时,却似乎从未被征求过是否允许自己的信息不断流动,久而久之可能带来的结果是,若严格按照法律要求落实“合法、正当、必要”,时时弹窗告知和勾选确认,反而会带来对用户体验下降的不适应。
因此,如何与行业发展、用户习惯相适应地、恰如其分地完善“合法、正当、必要”,至少是下位实施细则应当及时思考和完善的地方。
总而言之,现行法律对个人信息的保护尚未达到系统、统一、充分、合适的标准,而对个人信息保护的需求却是真实、迫切、广泛和持续的。对信息泄漏和滥用的“防疫”或许同样需要我们认真对待、久久为功。
感谢BurkeMoore律师、张嘉文律师助理对本文相关法规的搜集汇总。
