摘要:随着网络技术的迅速发展和广泛应用,在给人们带来便利的同时,各种侵犯个人信息权利的案例时有发生。网络个人信息的保护迫在眉睫,加之我国立法方面的缺失,使个人信息侵权保护变得更加艰难。因此,在侵权法保护方面,完善侵权行为的责任承担内容和方式,为网络个人信息侵权提供司法救济。以期更好地保护个人信息所有者的合法权益。今天小编为大家精心挑选了关于《个人信息权利研究论文 (精选3篇)》,欢迎阅读,希望大家能够喜欢。
网络空间个人信息保护的民事法律责任
[摘 要]网络空间个人信息权利保护日益受到重视,个人信息保护的义务及民事法律责任在学界却没有引起足够的关注。由于网絡空间个人信息保护的特殊性,从本质上看是个人信息利用中的保护。个人信息保护的义务主体应进行类型化的研究,并赋予主体积极的义务。根据网络空间个人信息收集与利用情况的不同,网络空间个人信息保护的民事法律责任应当包括合同责任与侵权责任。网络空间个人信息侵权责任的归责原则是一个多元化的体系,便于信息主体的权利救济。结合我国法治建设的具体情况和信息产业的发展,网络空间个人信息保护宜采用综合立法的模式。
[关键词]网络空间 个人信息 义务 法律责任
[作者简介]白云,哈尔滨师范大学法学院教授,法学博士,美国佛罗里达大学莱文法学院访问学者( 哈尔滨 150025)
在现代社会,我们在享受网络带来的便利与效率的同时,也遇到前所未有的问题和挑战。随着信息技术的发展以及大数据时代的到来,信息的收集和处理成为常态,并蕴藏着巨大的商机。网络空间个人信息保护的义务主体及其法律责任的研究就尤为重要。
一、网络空间个人信息保护民事法律责任主体:类型化研究
网络空间个人信息保护义务主体的研究相对较少,目前的研究主要集中在个人信息权利的研究上。对于个人信息权利的认知,现在的主流观点是一项独立的人格权[1],是对世权。对世权的义务主体是不特定的。由于网络空间较现实空间有其特殊性,将网络空间个人信息保护义务主体抑或是法律责任主体进行类型化研究,对于个人信息保护民事法律责任的界定具有重要意义。基于此,笔者将网络空间个人信息保护法律责任主体界定为三种类型:一是公共部门。公共部门(public institution)是为社会提供公共管理和服务的部门。可细分为政府机构和公共服务机构。政府机构(也包括得到授权行使公共管理职能的机构)为了实现对国家公共事务的管理,需要对个人信息进行收集、处理和利用,政府部门在从事这些活动时,会直接涉及个人信息权利,所以,政府部门可以成为个人信息保护的义务主体,进而构成个人信息保护民事法律责任主体。公共服务机构为社会提供公共服务,不以营利为目的。在其提供公共服务的过程中,基于服务的需要,会对个人信息进行收集和控制。如教育和医疗机构存有大量的个人信息,所以,公共服务机构可成为个人信息保护民事法律责任主体。二是非公共部门。非公共部门也称私人部门,是除了公共部门以外的对个人信息进行控制的法人和其他组织。非公共部门一般是以营利为目的,对个人信息进行商业化利用的组织,当然可以成为个人信息保护的民事法律责任主体。在网络空间,非公共部门个人信息保护的民事法律责任主体还可以类型化为“为网络提供服务和商业化利用”的主体,具体包括互联网服务提供商(Internet Service Provider,ISP)、互联网内容提供商(Internet Content Provider,ICP)和应用服务提供商(Application Service Provider,ASP)。互联网服务提供商(Internet Service Provider,ISP)是向网络用户综合提供互联网接入业务、信息业务和增值业务的电信运营商,国内较大的互联网服务提供商有中国电信、中国移动和中国联通等;互联网内容提供商(Internet Content Provider,ICP)是向网络用户综合提供互联网信息业务和增值业务的电信运营商,国内知名的互联网内容提供商有新浪、搜狐、163以及地市信息港等;应用服务提供商(Application Service Provider,ASP)是为各种各样的商务客户和事务客户提供其所需的应用服务的专业公司。三是自然人。自然人不是具备法定资格的个人信息控制主体,自然人在其民事活动中既会获得他人的个人信息,也会通过黑客入侵等非法手段获得个人信息,所以,自然人虽然不是网络空间个人信息保护的主要义务主体,但是也可能由于其侵权行为而成为个人信息保护的民事法律责任主体。
二、网络空间个人信息保护民事法律责任前设:个人信息保护义务
作为对世权的个人信息权利义务主体具有消极的不作为义务,即不侵犯信息主体权利的义务,但是在网络空间个人信息保护义务主体往往是个人信息的利用主体,所以,个人信息保护义务主体除了具有不侵犯个人信息这个消极的不作为义务以外,还应当负有一些积极的作为义务,这些义务主要包括:
(一)征求同意义务
征求同意义务是网络空间个人信息收集主体在收集个人信息前应征得信息主体同意的义务。征求同意义务对应的是信息主体的控制权[2],有学者也称其为决定权[3],在学理上认为基于信息主体对其个人信息的保有权,相应地就拥有其对个人信息的收集、利用和处理的情况进行决定的权利。网络空间负有该义务的主体主要是互联网内容提供商和应用服务提供商。这些主体在为网络用户提供服务的过程中会收集个人信息,但是基于信息主体对个人信息的控制权,互联网内容提供商和应用服务提供商在收集个人信息前应当征得信息主体的同意,否则不能收集。
(二)目的明确义务
目的明确义务要求网络空间个人信息保护义务主体在对个人信息进行收集、处理和利用之前必须有明确而特定的目的。目的明确义务的权利基础仍然是个人信息控制权。信息主体在对个人信息做出决定前有权知道信息收集主体是“基于何种利益的考虑储存、处理和利用个人信息”[4]82。该义务既能保证网络空间信息收集主体对个人信息的收集与利用的正当理由,又防止对个人信息的滥用。该项义务包括目的特定、目的明确和目的正当等三个方面的内容。目的特定是指在个人信息收集和利用之前应通过法定或约定的方式将个人信息收集和利用的目的给予特别规定或约定。之所以特定,就是因为不同主体基于不同业务进行的个人信息收集和利用的目的都会有所不同,目的特定后,个人信息的收集与使用者便受到这一特定目的的限制,超出特定目的的收集和利用即为对个人信息的侵犯。目的明确要求个人信息收集与利用主体应将法定或约定的目的以某种方式明确表示并确定下来。目的明确是目的特定的外在表现,是防止个人信息滥用的依据。目的正当是指个人信息收集和使用的目的合法并符合社会公序良俗。目的正当是对个人信息保护的重要保证,是对个人信息收集与利用目的的必要限定[5]254-256。
(三)目的限制义务
目的限制义务要求网络空间个人信息保护义务主体对个人信息的收集和利用均限于最初确立的目的,与该目的保持一致;并应采取公平合理的收集方式[6]136。目的限制义务是个人信息控制权积极权能的体现,信息主体可以动态控制其信息持有者对信息的收集和利用,不因同意信息收集而丧失信息的控制权。目的限制义务包括限制收集和限制利用两个方面。限制收集要求对个人信息的收集要限制收集的目的,以预先明确的目的为限,一般情况下不可以超目的收集。限制收集的范围,在法定的范围内收集,如敏感个人信息则禁止收集。限制收集的方式,以法律准许的方式收集,如须征得信息主体同意方可收集的,则应采用此方式。限制收集的主体,只有符合法定条件的主体才可以进行个人信息的收集。限制利用是指个人信息在利用时应该严格限定在收集目的的范围内,不应做收集目的之外利用[6]139。对个人信息利用的主体和利用的方式要做严格的限制,防止个人信息的滥用。
(四)告知义务
告知义务是网络空间个人信息保护义务主体对个人信息主体告知其个人信息的收集、储存、利用和处理情况的义务。告知义务是对信息主体查阅权或称访问权[7]的保障,也是个人信息权利积极权能的体现。告知义务是一项被动义务,个人信息保护义务主体不必主动为之,是应信息主体的请求而履行的义务。
(五)保障信息品质义务保障信息品质义务是指网络空间个人信息保护义务主体负有保障其收集、存储、处理和利用的个人信息的正确、完整和最新的义务。保障信息品质义务的具体内容包括改正义务、补充义务、更新义务及封存义务。保障信息品质义务是与个人信息主体更正权和封存权相对应的义务。
(六)删除、屏蔽、断开链接义务
删除、屏蔽、断开链接的义务是网络空间个人信息保护义务主体对过时的信息进行删除、屏蔽以及断开相关链接的义务。该项义务是网络空间个人信息保护的一项重要义务,是对信息主体被遗忘权的保障。欧盟在2012年提出了个人信息保护的一项新的权利——被遗忘权,并通过2014年欧盟法院在Google Spain SL & Google Inc v Agenda Espanola de Proteccion de Datos (AEPD)& Costeja Gonzalez案的判決予以确认。基于此项权利信息主体可以要求个人信息保护义务主体删除不充分、不相关或过时的信息[8]。删除、屏蔽、断开链接义务能够擦除信息主体在网络空间留下的个人信息痕迹,是在当前信息技术高速发展的情况下,保护个人信息的重要手段。
(七)安全保障义务安全保障义务是指网络空间个人信息保护义务主体对个人信息安全负有技术和管理上的义务。“面对大数据分析技术对个人信息保护的威胁,各国政府纷纷重新审视既有法律架构的有效性,不断强化个人信息保护力度,并将此提升至数据主权与国家安全的新高度”[9]。个人信息保护义务主体应当掌握保障信息安全的网络技术,技术水平达到国家信息安全技术标准,防止黑客入侵导致信息泄露;应当建立个人信息安全管理规范,防止人为因素导致的信息泄露和侵权。
三、网络空间个人信息保护民事法律责任类型:合同责任与侵权责任
(一)合同责任
对个人信息的收集、处理和利用大致有两种方式:一是公共部门为了公共利益的需要对个人信息的控制,在这种情况下一般是强制收集,不需要经信息主体的同意;二是非公共部门对个人信息的控制,通常是经信息主体的授权后,才能收集。在第二种情况下,信息主体与个人信息控制主体之间形成合同关系,相应地就会产生合同责任,主要包括缔约过失责任、违约责任和后契约责任。
缔约过失责任是对诚实信用原则的坚守和对当事人信赖利益的保护。创设缔约过失责任的德国法学家耶林于1861年发表《契约缔约之际的过失》一文,将德国普通法源的罗马法扩张解释,广泛地承训信赖利益的赔偿。他指出:“契约的缔结产生了一种履行义务,若此种效力因法律的障碍而被排除时,也会产生一种损害赔偿义务。所谓契约无效者,仅指不发生履行效力,不是说不发生任何效力。当事人因自己过失致使契约不成立者,应对信其契约为有效成立的相对人,赔偿基于此项信赖而产生的损害。”[10]缔约过失责任包括以下要件:一是一方或双方当事人意思表示瑕疵;二是缔约的相对人误信合同已经成立;三是合同尚未成立;四是缔约当事人须受有损害;五是缔约当事人一方或双方须有过错[10]。个人信息合同中的缔约过失责任应当以上述构成要件来确定。
信息主体与信息控制主体订立个人信息合同后,双方的权利、义务要受到合同的约束,如有不履行合同义务的情形即构成违约,违约方承担违约责任。如个人信息控制主体超出合同约定的目的、方式,对个人信息的处理和使用,未经信息主体同意,将个人信息许可第三人使用等。违约责任的构成要件分为一般构成要件和特殊构成要件。一般构成要件为违约行为、不存在法定和约定的免责事由;特殊构成要件包括违约行为、损害事实、因果关系、过错等[11]264-267。至于归责原则,我国《合同法》是采用无过错原则为主、过错责任为辅的二元归责体系。个人信息控制合同中违约责任的归责原则应当采用无过错责任。因为能够控制个人信息的主体应当是具有法定资格的组织,应当赋予其较高的注意义务[12]。
个人信息合同终止后,信息控制主体基于诚实信用的原则应当履行对已获取信息的保密、删除等义务。信息控制主体不履行此义务,给信息主体造成损失的要承担后契约责任。后契约责任的构成要件包括违反后契约义务的行为、损害事实、因果关系、主观过错。在归责原则上,后契约义务责任当事人由于合同权利、义务已经终止,但是基于个人信息在网络空间易存储、易流通的特性,还要赋予个人信息控制主体一定的注意义务,所以采用过错责任比较合适。在主观过错的确定上,采取推定过错为好,既克服了信息主体举证困难的问题,也强化了信息控制主体的义务承担意识。
(二)侵权责任
网络空间个人信息侵权责任的构成包括侵权行为、损害事实、因果关系、主观过错。
侵权行为是对信息主体信息权利实施侵犯行为。笔者认为,个人信息权利应纳入人格权的范畴,“人格权是指以主体依法固有的人格利益为客体的,以维护和实现人格平等、人格尊严、人身自由为目标的权利”[13]14。它的权能有支配权、利用权和处分权等。个人信息权利的内容包括控制权、查阅权、更正权、封存权、删除权、收益权等。“权利之内容,为权利人在法律上得主张之利益,妨害此利益之享受,即有权利之侵害”[14]125。当主体的行为妨碍个人信息权利人行使其个人信息权利内容所指向的各项权利,权利人的人格利益受到侵害时,该行为即构成侵权行为。
损害事实是被侵权人的权益损失,“损害(英damage;德Schaden)谓就法益所受之不利益……亦可定义为法益主体之生活条件之减少”[14]166。损害事实既包括财产利益的损失,也包括精神利益的损失。个人信息权利被侵害的损害事实以精神利益损失为主,在个人信息商业化利用的情况下也包括财产利益损失。个人信息侵权责任的构成是否要求损害事实一定发生,笔者同意史尚宽先生的观点,人格权受害时,损害之发生,为赔偿义务成立之要件,而非侵权行为之要件[14]166。个人信息侵权损害结果的預防比损害赔偿更重要,只要有损害事实发生的危险,即可认定构成侵权责任要件。美国法官小奥利弗·温德尔·霍姆斯(Jr. Oliver Wendell Holmes)在言论自由领域提出一个具有历史影响力的司法裁定原则:“明显而即刻的危险”(a clear and present danger)对言论自由的限制一样,对个人信息的控制也应以不构成发生损害风险为限度。
侵权法上的因果关系是比较复杂的理论。在英美法系中“因果关系可以被区分为不同的两种:事实上的因果关系和直接或法律上的因果关系。事实上的因果关系是探究实际上发生了什么;它关注于被告的行为是否实际上促成了原告的损害”[15]119。判断的是行为与结果自然的、科学的联系。“直接因果关系则相反,它与政策性问题相关”[15]119,加入了价值判断的因素。“法律因果关系则是以事实因果关系的判断为前提条件,只有当事实因果关系得到确认之后,才有进一步讨论法律因果关系的必要。而且法律因果关系更多地是从社会公平、正义、公共政策等角度出发对因果关系进行价值判断,注重考虑可预见性、介入原因等因素”[16]。法律上的因果关系的判断规则有直接结果规则(Direct-causation rule)与可预见性规则(foreseeability rule)。大陆法系有条件说、原因说、相当因果关系说、法规目的说等。条件说是“无此行为,必不生此种损害”[17]193;原因说引用格言“法律审究近因,不问远因(in jure non remota causa sed proxima spectatur)”,用以说明空间上或者时间上的接近性是区分出具有法律上重要意义的因果关系的标准或者是主要标准[18]86-87;相当因果关系说的解释是“以行为时存在而可为条件之通常情事或特别情事中,于行为时依吾人智识经验一般可得而知及为行为人所知之为基础,而且其情事对于其结果,为不可缺之条件(拉conditio sine qna non),一般的(德generell)有发生同一种结果之可能者,其条件与其结果,为有相当因果关系”[14]170;法规目的说认为:“行为人对于行为引发之损害是否应负责任,非探究行为与损害间有无相当因果关系,应探究相关之法规(或契约)之意义与目的。”[19]113个人信息侵权构成中的因果关系应适用相当因果关系说,因为个人信息侵权行为与结果之间很难认定直接因果关系,而相当因果关系说承认可能性的联系,只要个人信息权的侵权人实施的侵权行为对结果的发生有可能性,侵权行为对结果的发生存在原因力,那么因果关系就成立。
网络空间个人信息侵权的主体比较复杂,侵权责任的归责原则应该是一个多元化的体系。归责原则是分配注意义务、举证责任与损害的重要尺度,归责原则的合理设定是确定公平的侵权责任的前提。网络空间个人信息保护的义务主体中,自然人主体应当适用过错责任的归责原则。因为自然人与个人信息主体是具有平等的法律地位,不应赋予自然人更高的注意义务和举证责任,所以,要求自然人在存在主观过错的情况下实施了侵害个人信息权的行为,才承担侵权责任是恰当的。网络空间个人信息保护的义务主体中非公共部门应当适用过错推定。非公共部门是组织,相对于非公共部门而言,个人信息主体是弱势群体,二者存在事实上的不平等,为纠正这种不平等,要对非公共部门赋予更多的注意义务;非公共部门是以营利为目的的,对个人信息的控制往往也会为其带来利益,本着权利义务对等的原则,在为个人信息的利用保有空间的同时,非公共部门应当负有更多的义务;非公共部门是个人信息的控制者和技术提供者,是侵权证据的实际持有方,将举证责任分配给非公共部门有利于查清事实,节约诉讼资源,也促进非公共部门对个人信息的保护。在网络空间个人信息保护的义务主体中,公共部门应当适用无过错责任。公共部门是强大的政府机构或提供公共服务的部门,是比较强势的组织,同时公共部门对个人信息是强制收集,而且,公共部门收集的个人信息是大量的,一旦泄露将会是灾难性的,所以,应当赋予公共部门更重的个人信息保护的注意义务,无过错责任是恰当的[20]。
网络空间个人信息侵权的免责事由应当包括网络紧急避险、不可抗力、信息主体故意、第三人原因、为了公共利益等。网络紧急避险是发生网络安全突发事件时所做的紧急处置,是以损失较小利益保全较大利益的措施。如为紧急避险之必须,采取了断网、个人信息丢失或泄露等损害可以主张免责。不可抗力是发生了不能预见、不能克服、不能避免之事件的情况下,在网络上造成了信息主体损害的,可以主张免责。信息主体故意是信息主体自己故意将个人信息散布在网上,或许可他人使用的情况下,善意使用人可以主张免责。第三人原因是由于第三人的原因使个人信息受到侵犯的,由第三人承担侵权责任,信息控制主体可以主张免责。为了公共利益侵害了个人信息主体的权利,可以主张免责。
四、网络空间个人信息保护民事法律责任制度安排:综合立法模式
(一)网络空间个人信息保护立法模式
目前,国际上比较典型的立法模式大致有三种:一是统一立法模式。该模式不区分公法与私法领域,制定一部统一的法律对个人信息进行统一规范和保护。统一立法模式的典型国家是德国,德国从1970年起开始着手制定《联邦个人资料保护法草案》,并于1976年以《防止个人资料处理滥用法》的名称获得通过。在以后的时间里,该法经过1980年、1990年和2001年三次修正,演变为现在的《联邦数据保护法》[21]。该法被认为是世界上第一部保护个人信息的法律,适用的范围既包括公务机关,也包括非公务机关对个人信息的收集、处理利用,是一部统一适用于各个领域不同类型个人信息保护的法律。1995年10月24日,欧盟通过的《资料保护指令》是统一立法的典范,该指令采取了不区分公法和私法领域,统一就信息行为必须适用的原则性问题做出规定的模式。随着信息技术发展与广泛应用,欧盟为加强个人信息的保护,于2012年1月开始起草《通用数据保护条例》,经过四年的探讨与协商,2016年4月欧盟正式通过这一条例并开始试行,2018年5月25日该条例正式全面施行。随着该条例的实施,欧盟個人信息保护的法律制度趋于成熟,形成了欧盟国家个人信息保护统一立法的格局。二是分散立法模式。分散立法模式是公法和私法采用不同的个人信息保护立法方式,公务机关和非公务机关在个人信息保护上适用不同的规则,没有个人信息保护的统一立法,采用在不同领域、不同行业分别立法的方式保护个人信息。美国是分散立法模式的典型国家。美国在公共领域个人信息的保护主要是采用立法保护的方式,通过立法来控制政府机关收集、处理和利用个人信息,以隐私权的保护来维护个人信息的自由。在私人领域采用行业自律的方式,在个人信息保护与流动之间构建平衡[22]。在个人信息保护的立法层面,美国1974年的《隐私权法》和1966年的《联邦信息公开法》是两大重要的法律。美国个人信息保护行业自律采用的主要方式有建议性的行业指引(suggestive industry guidelines)和网络隐私认证计划(online private seal program)。建议性的行业指引通过本行业内的行为指引或隐私标准为行业内的隐私保护提供示范;网络隐私认证计划通过认证的网站要在其网站上张贴其隐私认证标志,遵守在线隐私资料收集的行为规则并接受监督管理[23]。三是综合立法模式。综合立法模式是对分散立法模式和统一立法模式的折中,有统一的个人信息保护法,但在各个领域也会分别立法。日本是综合立法模式的典型国家。日本于2003年颁布、2005年实施的《个人信息保护法》是个人信息保护的基本法,制定了个人信息保护的准则。日本政府的个别领域和行业可以制定个人信息保护的个别法或者自律规范[24]。
(二)我国网络空间个人信息保护民事法律责任制度的立法模式选择
比较上述立法模式,各有利弊。统一立法模式的优点在于法律确认个人信息权利为法定权利,便于个人信息的保护;个人信息保护有统一的立法,比较公平;法律救济机制也比较完善,便于追究个人信息保护的法律责任。缺点是缺乏灵活性、立法滞后、守法成本高。所以,统一立法比较僵化,不能适应信息技术快速发展的需要,不利于个人信息的流通,会在一定程度上限制信息产业的发展。分散立法模式克服了统一立法模式的缺点,立法有针对性,适合行业特点;有灵活性,促进信息流通;注重预防,降低司法成本。分散立法能够在保护个人信息的同时,在很大程度上促进信息产业的发展,但分散立法也存在缺点,比如,缺乏强制力、救济机制和有效监督,从而使法律规制的效果不够理想,个人信息保护的程度不够高。综合立法模式是一种折中主义的保护模式,吸收了上述两种模式的优点,克服了两种模式的不足,但是对立法技术有较高的要求,尤其是统一立法的调整范围和各领域立法的协调问题,需要认真斟酌。
综合上述个人信息保护立法模式的特点,笔者认为,综合立法模式比较适合我国个人信息保护民事法律责任制度的建立。我国信息产业处于迅速发展的时期,过严的立法、过重的个人信息保护民事法律责任不利于信息产业的发展,在法律体系还不十分完备的情况下,制定统一、完善的个人信息保护法难度也比较大,统一立法模式不大适合我国的国情。而分散立法模式也难以效仿,分散立法模式与我国的法律传统相去甚远,我国市场主体的法治意识比较薄弱,行业自律的水平不高,如果采用分散立法的方式,在一定程度上会使个人信息保护民事法律责任落空。因此,以自律为主的分散立法模式也不适合中国。采用综合立法模式是我国当前比较现实的选择。笔者建议,在未来的《民法典》中通过合同篇和侵权责任篇将个人信息保护的民事法律责任进行原则性的规定,以此为基础,制定一部原则性的《个人信息保护法》,作为统一的立法,将个人信息保护的义务和民事法律责任规定在个人信息保护法中。在该法的指导下,各领域再结合自己的特点进行单项立法,如网络领域、金融领域、医疗领域、教育领域等。在单项立法中进一步明确各领域个人信息保护的法律主体、义务和责任,进行有针对性的立法,从而适应个人信息保护法律责任主体的类型化和民事法律责任归责原则的多元化。这样既有利于立法的统一,又能够照顾到行业的发展,是比较合适的选择。
网络空间个人信息保护民事法律责任的界定对个人信息法律保护体系至关重要。权利的实现源于义务的履行,义务的履行迫于责任的威慑。将网络空间个人信息保护主体义务类型化有利于分配义务、明确责任。只有将个人信息保护的义务与民事法律责任通过法律规范清晰地界定出来,才能实现网络空间个人信息权利的保护。综合立法模式是我国个人信息保护的现实选择,在综合立法模式下,个人信息保护民事法律责任得到原则性指引和具体规定,通过法律责任的强化,使网络空间个人信息保护取得实效。
[参 考 文 献]
[1]王利明.論个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013(4).
[2]刁胜先.论个人信息权的权利结构——以“控制权”为束点和视角[J].北京理工大学学报:社会科学版,2011(3).
[3]杨立新.个人信息:法益抑或民事权利——对《民法总则》第111条规定的“个人信息”之解读[J].法学论坛,2018(1).
[4]齐爱民.信息法原论——信息法的产生与体系化[M].武汉:武汉大学出版社,2010.
[5]齐爱民.拯救信息社会中的人格:个人信息保护法总论[M].北京:北京大学出版社,2009.
[6]齐爱民.中国信息立法研究[M].武汉:武汉大学出版社,2009.
[7]叶名怡.论个人信息权的基本范畴[J].清华法学,2018(5).
[8]郑志峰.网络社会的被遗忘权研究[J].法商研究,2015(6).
[9]范为.大数据时代个人信息保护的路径重构[J].环球法律评论,2016(5).
[10]杨立新.中国合同责任研究(下)[J].河南政法管理干部学院学报,2000(2).
[11]王利明,房绍坤,王轶.合同法[M].北京:中国人民大学出版社,2002.
[12]张鸿霞.网络服务提供者在个人信息保护中的注意义务研究[J].法制与经济,2015(Z2).
[13]王利明.人格权法研究[M].北京:中国人民大学出版社,2005.
[14]史尚宽.债法总论[M].北京:中国政法大学出版社,2000.
[15]Vincent R. Johnson. Mastering Torts: A Student’s guide to the Law of Torts[M]. Carolina Academic Press, 2013.
[16]龙海涛.侵权法上因果关系的比较研究[C]//沈四宝,王军.国际商法论丛:第8卷.北京:法律出版社,2006.
[17]王泽鉴.侵权行为法:第1册[M].北京:中国政法大学出版社,2001.
[18]H.L.A.Hart, Tony Honoré. Causation in the Law[M]. Oford at the Clarendon Press, 1985.
[19]曾世雄.损害赔偿法原理[M].北京:中国政法大学出版社,2001.
[20]刁胜先.个人信息网络侵权责任形式的分类与构成要件[J].重庆邮电大学学报,2014(2).
[21]齐爱民.论个人信息保护法的统一立法模式[J].重庆工商大学学报:社会科学版,2009(4);侯富强.我国个人信息保护立法模式研究[J].深圳大学学报:人文社会科学版,2015(3).
[22]杨佶.域外个人信息保护立法模式比较研究——以美、德为例[J].图书馆理论与实践,2012(6).
[23]周欣月.论美国行业自律模式及对我国个人信息保护立法模式的启示[J].商,2013(23).
[24]谢青.日本的个人信息保护法制及启示[J].国外法学,2006(6).
[责任编辑 于 冰]
Key words:Cyberspace Private information Obligations Legal liabilities
作者:白云
网络个人信息的侵权法保护
摘 要:随着网络技术的迅速发展和广泛应用,在给人们带来便利的同时,各种侵犯个人信息权利的案例时有发生。网络个人信息的保护迫在眉睫,加之我国立法方面的缺失,使个人信息侵权保护变得更加艰难。因此,在侵权法保护方面,完善侵权行为的责任承担内容和方式,为网络个人信息侵权提供司法救济。以期更好地保护个人信息所有者的合法权益。
关键词:网络个人信息;侵权法;司法救济
引言
进入网络信息时代,计算机和网络技术普及使得个人信息的收集、处理、储存、传输和利用变得异常容易,给网络个人信息的保护带来极大挑战,个人信息保护成为相关国际组织和许多国家立法关注的热点。以欧盟为代表的个人信息立法模式和以美国为代表的隐私权政策行业自律模式各具特色,二者均结合本国国情,实现个人信息保护和信息合理利用的平衡。目前,我国网络个人信息保护形势严峻。近几年,网络环境下个人信息被侵害的现象时有发生。究其原因,很大程度上是因为我国目前立法的不足,对个人信息的保护没有到位。因此,完善对网络个人信息的侵权保护就显得尤为重要和紧迫。
在网络环境中,个人信息主体享有的个人信息权利主要包括向网络信息控制人要求查询、复制、删除其个人信息的权利,并请求对其个人信息限制不相关的第三人滥用的权利。要求信息控制人对其个人信息予以技术保护防止他人窃取、盗用。
一、网络个人信息侵权的现状
(一)网络个人信息侵权的概念及类型
根据民法中侵权行为的概念,应将个人信息侵权定义为信息处理者在收集、处理、利用个人信息的活动中,对信息主体的个人权利造成侵害的不法行为。信息技术高速发展,既带来好处,又带来坏处,引发一些侵权现象。一些商家、网站,由于需要,会收集大量个人信息。如淘宝网站上,卖家收集了买家的姓名、手机号码、家庭住址等个人信息。由于主观上卖家和买家的保护意识淡薄,客观上公开,任意传播,个人信息被侵害的现象比较普遍。目前,我国对个人信息的保护缺乏专门立法的保护。现实中,网络个人信息侵害的种类主要包括:
1.信息处理者随意泄露个人信息
在现实生活中,个人信息被信息处理者随意泄露的事例较多,如个人在各大考试报名网站上输入个人信息后,不久手机便会收到各种考试答案、查分、改分等信息;在网站上注册用户后,电子邮箱中充斥着各类推销的垃圾邮件,严重影响了人们的生活,甚至会给用户带来财产损失或者生命损害。究其原因,很大程度上是因为这些个人信息处理者无视信息所有人的合法权益,任意泄露个人信息。又如,截至2014年1月19日,据有关监测平台显示,有关“支付宝发生泄密事件”的信息达到1 000多篇。此次事件,经过多家媒体披露,在社会上可谓引起了轩然大波,虽然经过进一步调查得知所泄露信息未涉及密码、核心身份信息,但这一事件的发生还是使得不少用户对于自身网络信息安全保障问题提出了质疑。网络上个人信息的保护迫在眉睫。
2.直接或间接出售各种个人信息
个人信息具有财产的因素,其蕴含着一定的商业价值,可以作为财产加以利用[1]。一些互联网企业无视用户个人的意愿,利用互联网技术和电脑软件窃取个人信息,私自留存用户的个人信息,收集整理用户个人信息,直接或者间接地出售这些用户的个人信息[2]。更有甚者,在网上公开叫卖用户的个人信息。个人信息出售的价格很低,购买者的成本随之也比较低,为购买个人信息者侵权提供了便利。如,2014年1月4日,“支付宝前员工李某倒卖用户信息”一案,再度引起了很多用户对于隐私安全的关注和担心。这一在网上不胫而走的信息,引发了舆论狂潮。
在网络环境下,个人信息的财产价值更加突出[3],极易被部分商家利用。从某种程度上来讲,商家拥有的个人信息量是其商业竞争是否成功和获利多寡的重要影响因素,鉴于此,很多企业通过各种渠道搜集个人信息,通过获取个人信息来取得在市场竞争中的有利地位。因此,这就为个人信息非法流通提供了可能性。这些信息被别有用心的商家、个人或不法分子买到,就会产生个人信息所有人被各种广告所扰,严重者甚至会损害个人财产安全或者生命健康。
(二)网络个人信息侵权的构成要件
个人信息侵权,既侵犯了个人的人格利益,又侵犯了个人的经济利益,法律应该予以规制[4]。研究个人信息侵权问题,关键是研究和探讨侵权的构成要件。按照我国侵权行为构成四要件,侵权行为的认定通常是由违法行为、损害事实、因果关系和主观过错决定。在网络环境下,由于个人信息侵权本身具有的特征,因此,对其侵权行为的构成要件有着与一般侵权不同的地方。
违法行为。即存在违法行为,对个人信息的违法体现在违反法律规定和违背公序良俗。法律规定主要是与个人信息保护相关的法律法规,这是保护网络个人信息的法律依据。
损害事实。损害事实是侵权责任构成要件中客观后果的要件。在网络个人信息侵权中,损害事实是指个人信息在被搜集、利用中,对个人信息主体造成的财产损害和精神损害的事实。财产上的损失包括受害人为保护自身权利而采取的必要性措施而花费的费用。精神上的损失主要包括因个人信息被泄露后受到诸如垃圾短信,骚扰电话、垃圾邮件等带来的精神困扰。
因果关系。因果关系是指侵权行为与损害结果具有法律上的因果关系。在网络个人信息侵权中的因果关系,是指侵权行为人实施的违法行为与个人信息的损害事实之间存在因果联系。
主观过错。主观过错是指行为人的主观方面,即过失或故意的心理状况。在网络个人信息侵权行为中,需要注意的是,认定网络个人信息侵权责任的构成时,应当不区分过错是故意还是过失。
二、网络个人信息的保护
(一)财产损害赔偿
侵害个人信息带来的是精神损害,一般不会带来直接的物质财产损害。但是也有特殊情形的存在,导致经济上的损失。例如,侵权行为致使当事人精神上的痛苦,当事人因精神上的痛苦需要入院治疗而产生的医药费、误工费等。只要在实践中,证明侵权行为与侵权后果存在法律上的因果关系,那么都应当予以补偿。
(二)精神损害赔偿
精神损害赔偿是权利主体因其人身权益受到不法侵害而使其遭受精神痛苦或精神受到损害而要求侵害人给予赔偿的一种民事责任,是现代民法损害赔偿制度的重要组织部分。精神损害赔偿具有补偿、抚慰受害人,惩罚加害人的三重功能。网络个人信息侵权的精神损害赔偿是侵权损害赔偿的一项重要内容。
1.精神损害赔偿的适用条件
在个人信息权利受到侵害时,精神损害赔偿同时也要有一定的条件加以限定,主要包括主体和侵权后果。在主体方面,限定于自然人,法人则不包括在内。如若法人以其人格权利遭受侵害为由,请求精神损害赔偿的,法院不予支持。
2.个人信息权利精神损害的责任形式
在民法范畴内,个人信息被侵权时,寻求救济的方式主要有以下几种:个人信息侵权的法律责任以承担民事责任为主,当信息主体的合法权益受到侵害时,其可以直接向侵权行为人提出救济要求,也可采取向法院提起民事诉讼的方式解决。借鉴《民法通则》第134条关于承担民事责任方式的内容,个人信息侵权行为的民事责任承担方式主要包括以下几种:
精神损害抚慰金。精神抚慰金是以金钱的方式对个人信息被侵犯受到损失的赔偿。这是一种较为现实的赔偿方式,这一方式已为司法实践所接纳,关键问题是精神损害抚慰金的数额确定。笔者仅提供数额确定时考虑的因素:加害人的过错程度;侵权行为造成后果的严重程度;侵权行为的手段、行为方式是否恶劣;加害人的经济负担能力等。这些因素共同作用,影响精神损害抚慰金最后数额的确定。
停止侵害。停止侵害是指对他人正在进行中的个人信息侵权行为,受害人可依法请求其停止侵害。可以看出,这一责任形式的承担的适用范围是侵害行为正在进行时,若已经实施完毕或者尚未实施则不包括在内。
消除影响、恢复名誉。消除影响、恢复名誉是恢复原状在人格权领域的表现,属于侵权责任范畴。网络环境下,个人信息很容易被泄露和滥用,这样,个人信息主体的合法权益可能受到损害。此时,个人信息权利主体则享有要求侵权人消除影响、恢复名誉的权利。在司法实践的具体操作中,应注意消除影响、恢复名誉的范围。此范围的确定应着重考虑依据侵害行为造成的影响和名誉受损的范围,这样做到了侵害行为后果与责任承担相一致。
赔礼道歉。赔礼道歉是我国民法通则中规定的十种责任之一,具有鲜明的中国特色。如果个人信息侵权行为给当事人带来精神损害时,个人信息所有者有权要求侵权行为人对其侵权行为赔礼道歉。在具体的司法实践中,根据案件的具体情况确定赔礼道歉的方式或者场合,对于涉及敏感信息的赔礼道歉,通常是在私人场合进行,或者根据被侵权人要求的方式或者场合进行,目的是保护个人的隐私得到更好的保护。
三、结论
在网络迅速发展的时代,个人信息的侵权案件越来越多,网络环境下个人信息的保护也越来越引起学界和司法界的关注。在面对个人信息被侵害的情况时,我们做的只能是事后的救济,从物质损害赔偿和精神损害赔偿方面进行探讨和研究。以最大程度地给予权利受害人以最大的赔偿和补偿。其实,防患于未然则是最重要的方式,应当试从事前防御机制的角度,防范和有效减少网络个人信息侵权的发生,这才是最佳的解决方案,也是个人信息权利主体、学者、司法界应当重视的问题。
参考文献:
[1]刘德良.个人信息的财产权保护[J].法学研究,2007(3).
[2]齐爱民.个人资料保护原理及其跨国流通法律问题研究[M].武汉:武汉大学出版社,2004:148.
[3]王利明.论个人信息权在人格权法中的地位[J].苏州大学学报,2012(6).
[4]杨干生.要素视角下的个人信息[J].武汉大学学报,2010(3).
作者:赵溪
论个人信息的民法保护
摘 要 随着我国电子计算机及互联网技术的广泛普及,侵害个人信息权利行为日益增多。本文主要介绍了个人信息的法律界定,包括个人信息的内涵和外延,并分析我国个人信息保护的现状及缺陷,最后提出了完善个人信息的对策。
关键词 个人信息 民法保护 责任承担
一、个人信息的法律界定
(一)个人信息的内涵
个人信息是指“一切与个人身份特征密切联系的可以识别的本人信息的总和”。其中包括作为自然人的生理、心理、智力,个体、经济、家庭、社会、文化等各方面的信息。内容主要包括与个人身份及特征密切相联系的信息,也即可以反映个人的身份、健康、家庭情况等的数据和描述记录,以及个人收入、财产、信用、消费等的书面或电子信息,本质上属于我国民法上的物。
(二)个人信息的外延
我国部分学者在关于个人信息界定的问题上,认为“个人信息”即是“个人隐私”,笔者认为这显然是把两组概念的实质特征相混淆在一起。个人隐私最为核心和最准确的内容应当是个人生活的安宁性和个人隐私的保密性。而根据个人信息的定义,个人信息不只是包含个人隐私等私人生活范畴的信息,还包括并不构成隐私的个人的通信地址、电话号码等一般个人信息。因此介于其与个人信息的联系和区别,“个人隐私”定义明显缩小了个人信息概念的外延,个人隐私属于个人信息的下位概念,个人隐私包含于个人信息中。
二、我国个人信息民法保护的现状及缺陷
我国个人信息保护起步较晚。个人信息的系统化保护是在因网络技术快速发展引发了种种法律问题的冲击下才逐步走上立法议程。2005年我国第一部《个人信息保护法》立法工作启动,,但就此工作积极策划并备受关注的《中华人民共和国个人信息保护法》专家建议稿,自2005年提交至国务院信息化办公室以来,一直处于研究阶段,尚无实质进展。2008年两会上继续提出的“个人信息急需立法保护”的建议得到多數呼应。现实召唤法律而统一保护立法尚未成形,我国涉及个人信息的保护只能在一些法律、司法解释和法规规章当中发挥零散有限的效力。例如,1988年最高人民法院《关于贯彻执行《中华人民共和国民法通则>若干问题的意见》第140条对隐私权间接保护的条文,可以视为现今保护公民个人信息的一般条款。这些对个人信息予以隐私权保护方式的条款不仅远已不符合现今社会发展对个人信息保护的要求,也不能给予保护立法充分实际的理论支持,因此亟待填补法律上的空白。
三、完善我国个人信息民法保护的对策思考
(一)关于个人信息的保护范围
个人信息保护主要体现在对信息处理利用的规范和侵权后果的承担上,因此信息保护立法中应该是限制性规定多于权力性规定,并且主体及保护范围非常重要。个人信息保护范围即是个人信息保护的对象也就是保护客体,是以一定形式反映出来的个人信息。作为民法上物的个人信息,是与信息主体的人身和财产有密切联系的身份性的事情。个人信息的财产利益体现在对信息的收集利用所表现出来的流通关系上,个人信息的人身利益则体现在作为自然人代表的个人信息不经授权被私自收集及不正当使用带来的人身权纠纷上。
(二)关于对个人信息适度收集利用的方法
在我国,由于流通个人信息造成的泄露已严重影响到经济的正常运行和个人权利的正当保护。因此,处理好个人信息保护与信息自由流动的协调关系,是立法所要考虑的重要方向。根据我国法律的立法传统以及个人信息的内在属性,个人信息立法中首先应该贯彻的是直接、明确、公开、正确、安全原则。直接原则是指个人信息应该在原则上直接向本人收集,以此保护并体现信息主体对自身信息的所有权;明确原则是指个人信息在收集时原则上要有特定而明确要求,并限制授权主体的权利;公开原则是指在收集、处理、利用个人信息时应公开,以此规范信息收集主体的行为并保护本人的知情权和修改权;正确——信息收集主体有义务保持收集的个人信息完整、正确并及时更新,以此加强收集方的责任和信息主体的正当利益不被扭曲;安全——收集主体有义务使个人信息应处于安全的保护之中,避免发生信息的泄露、意外灭失和不当使用。此外,还应该强调个人信息的利用要严格限定在收集原定目的范围内,不得在未授权的情况下将其移作它用,变更前须得到信息主体的明确同意。
(三)关于个人信息的侵权责任的承担
侵权责任的确定以侵害的权利内容为依据。个人信息具有双重属性。一方面,个人信息作为可以识别当事人的资料,反映出来的讯息与当事人的人身权密切相关。尤其是其中的人格权是个人信息保护目的的重要方面,对个人信息的不当利用首先表现在对当事人人格权的侵犯上,其次表现在对当事人正常生活的干扰上。另一方面,现代社会赋予个人信息以财富的性质,不管是对信息主体还是信息收集主体。信息主体通过对自身信息的支配可以获得一定的经济收益,信息收集主体也会以手中信息流通换取利益。由于个人信息兼具财产利益和人身利益双重属性,其体现出来的权利内容即个人信息保护的内容是财产权和人格权,并且基于个人信息保护的理论基础——维护信息主体的正常生活——偏重人格权。保护个人信息,最后要落脚于对非法侵害者相关责任的追究上。由于个人信息包括个人隐私,对侵害个人信息的责任承担可以借鉴对个人隐私侵害时的责任承担。我国《民法通则》规定的侵犯隐私权的责任方式有五种:停止侵害、恢复名誉、赔礼道歉、消除影响、精神损害赔偿。细究之下,其惩罚力度不足以对侵权行为发挥有力的警戒作用。所以,在发生个人信息侵权时,应个人信息加以隐私权和财产权的双重保护,相应而产生的是侵犯权利主体的个人信息后的民事责任问题。侵害隐私权的民事责任可比照名誉权的责任方式处理。
参考文献:
[1]何湘萍,张月著.个人信息的民法保护研究[J].华商,2008(6).
作者:苗妙
推荐阅读:
个人信息资料表107-01
信息化先进个人材料06-25
信息技术与学科融合个人研修计划06-22
现代信息工程职业技术个人求职简历06-07
计算机信息管理专业个人简历模版06-05
最新信息时代的个人知识管理心得体会06-15
银行信息论文06-20
科研信息管理论文06-26
电子信息化论文05-30
幼儿园信息论文06-15
