作者共發了4篇帖子。
 |
聚焦人格權糾紛實務疑難問題丨曹湘芹:網絡平台經營者處理用戶個人信息的司法審查——以法答網第19批精選答問3為中心
曹湘芹 上海市徐匯區人民法院民事審判庭三級法官 |
|
一、網絡平台用戶登錄、瀏覽信息屬於個人信息 目前網絡平台經營者主要藉助Cookie技術來記錄用戶在使用網絡服務過程中所形成的數據信息。Cookie數據記錄了用戶的身份信息、密碼、網站瀏覽痕跡、停留時間、訪問次數等。關於此類數據信息是否屬於法律所保護的個人信息,存在兩種觀點。一種觀點認為,網絡平台用戶的登錄、瀏覽信息不屬於個人信息。上述信息雖然反映了網絡用戶的網絡活動軌跡及上網偏好,具有隱私屬性,但不能與網絡用戶個人身份對應識別,網絡平台經營者和社會公眾無法確定該信息的歸屬主體,且現有法律並未明確規定上述信息屬於個人信息,司法的保護應當具有邊界,故上述信息不屬於個人信息。另一種觀點認為,網絡平台用戶的登錄、瀏覽信息屬於個人信息。上述信息雖然不能直接體現具體的信息主體,但可以反映出該信息主體何時何地以何種方式從事了何種行為。同時,網絡平台經營者還可以通過Cookie技術進行數據分析,從而為用戶提供個性化服務。這些體現了上述信息與用戶個人人格、身份有一定的聯繫。應當被認定為個人信息而被法律保護。筆者贊同第二種觀點,理由有二:其一,我國法律規定對個人信息的界定是不斷變化發展的。第一種觀點產生的時間在2015年,當時法律對於個人信息並未單獨作出保護,對於個人信息的界定只能參考國家工信部《電信和網際網路用戶個人信息的保護規定》的有關規定。[3]對於平台公司處理用戶Cookie數據是否構成侵權的審查亦只能參考隱私權保護的相關規定。隨著大數據時代對個人信息保護的需求越發迫切,《中華人民共和國民法總則》《網絡安全法》《民法典》《個人信息保護法》等法律的出台逐步完善了對個人信息的界定,將個人信息分為私密信息和非私密信息:私密信息與個人隱私有更加密切的關聯度,適用隱私權保護的相關法律規定;非私密信息適用個人信息保護的相關規定,並確認了以「可識別性」為核心的個人信息判斷標準。個人信息的可識別性包括「直接識別」和「間接識別」。直接識別是根據已知的單個信息能夠確定特定的自然人,不再需要其他信息的輔助和印證;間接識別是能夠通過對信息的加工整合,在此基礎上進行一定的推理,從而確定特定的自然人。[4]隨著信息科技和算法的進一步發展,許多原本無法被認定為個人信息的諸多信息碎片,具有了能夠衍變為個人信息的可能性。就現有技術而言,網絡平台用戶的登錄、瀏覽信息與個人喜好密切相關,屬於個人在網絡留下的痕跡信息,結合此類信息可以勾畫出用戶的基本畫像,已經達到可以將用戶從眾多自然人中識別出來的程度,具有可識別性。其二,網絡平台用戶的登錄、瀏覽信息符合個人信息權益的人格權屬性。人格權益系個人對其人身或行為所享有的自我決定的權利,體現人的自主性及個別性。[5]民法典人格權編對個人信息保護作出明確規定,認可個人信息權益屬於人格權的範疇,具有獨立的價值。用戶在網絡平台的登錄、瀏覽信息體現個人的興趣愛好、活動範圍、消費記錄、交易習慣、行為方式等各種信息,與個人的特質、社會身份等密切相關,體現出個人的人格價值,具有人格屬性。因此,將網絡平台用戶的登錄、瀏覽信息認定為個人信息進而加以保護,具有法律和現實的雙重意義。 |
|
二、網絡平台經營者處理用戶登錄、瀏覽信息的基本原則 自然人的個人信息權益受法律保護,網絡平台經營者在處理用戶的登錄、瀏覽信息時,需要遵循以下原則: (一)合法、正當、必要、適度原則 一是手段和目的應合法正當。網絡平台經營者必須在法律規定的限度內處理用戶個人信息,不得通過誤導、欺詐、脅迫等方式,也不能非法買賣、洩露用戶的個人信息。若擅自收集、傳播或非法使用用戶信息等,可認定其實施侵權行為。 二是確保必要限度。網絡平台經營者對用戶個人信息的處理範圍應當以實現其處理目的為限,採取對個人權益影響最小的方式,不得過度。如用戶在註冊登錄網絡平台帳號填寫個人信息時,網絡平台同時索取獲取用戶的手機通訊錄信息、存儲信息權限等,若其不能作出合理解釋,則構成對用戶個人信息的非必要使用。三是限制使用程度。網絡平台處理用戶個人信息不得過度,需滿足一定的比例要求,信息處理的全過程都應限於實現網絡平台處理目的的最小範圍,做到處理的數量最少、處理的頻率最低、存儲的時間最短、訪問的次數最少等。[6] (二)誠實信用原則 誠實信用原則是民法中的帝王原則,民事主體從事一切民事活動都應當遵守誠信原則。具體到個人信息保護中,主要體現在網絡平台經營者應當「秉持誠實、恪守信諾,不得通過誤導、欺詐、脅迫等方式處理個人信息」。[7]它可具體化為三個層次的內容:一是事前誠信。要求網絡平台經營者在獲取用戶信息前,應當給予用戶充分的選擇權,不得利用任何欺詐、誤導、脅迫等方式致使用戶陷入意志不自由狀態。網絡平台經營者在和用戶簽訂個人信息使用協議時,不得不合理地免除、限制自身義務和責任,令雙方權利義務嚴重失衡。二是事中誠信。要求網絡平台經營者不得從事任何違反事先告知和承諾的處理活動,對用戶個人信息的使用應當限制在雙方實現約定的範疇內。在發生或具有發生損害個人信息主體合法利益的情況時,網絡平台經營者應當及時通知,積極採取補救措施。三是事後誠信。當個人信息處理活動全部結束後,網絡平台經營者應不再繼續使用其收集、利用和處理用戶的個人信息,做到及時、主動刪除,以保證用戶的信息安全及其合法權益。 |
|
三、網絡平台經營者處理用戶登錄、瀏覽信息的免責事由 數據已成為目前社會進步的重要助推器,為了鼓勵數據的共享和流動,最大程度地挖掘數據價值,保障數據行業的持續健康發展,司法審判應當在保障個人信息權益的基礎上,賦予網絡平台經營者依法享有基於數據產生的數據權益。在具體案件中,若網絡平台經營者能夠證明其存在下列情形,其對用戶登錄、瀏覽信息的處理不構成侵權。 (一)獲得用戶知情同意 用戶的知情同意權是個人信息保護的核心機制,其本質是賦予用戶對其個人信息被處理前知情且同意使用的權利。它包含三個維度的審查:一是用戶知情同意的範圍審查。在用戶登錄網站時,網絡平台的經營者一般會通過和用戶簽訂隱私協議的方式告知其cookie數據被處理的範圍,在用戶同意的範圍內,網絡平台對用戶個人信息的處理通常不構成侵權。二是用戶的自決權審查。用戶在使用網絡平台服務時,有權拒絕其個人信息被採集使用,有權撤回其之前作出的同意。這裡主要審查網絡平台經營者是否為用戶提供同意以外的選項,若用戶不同意平台處理其cookie數據便不可正常使用網站服務,或者平台未向用戶提供便捷的撤回同意的方式,即使用戶簽署知情同意條款,網絡平台對用戶個人信息的處理亦可能構成侵權。三是法定豁免情形的審查。《個人信息保護法》第13條規定了6種個人信息處理者可以不需取得個人同意即可直接處理個人信息的法定情形,對於網絡平台經營者來說,若其處理的是用戶自行公開的個人信息,或是出於維護公共利益目的、存在緊急避險等情形,在合理範圍內處理個人信息,均不構成侵權。 (二)處理用戶個人信息並未對用戶個人信息權益造成損害 損害結果的發生是民事主體承擔侵權損害責任的前提。用戶的個人信息權益作為人格權的組成部分,是否造成實際損失亦是網絡平台經營者是否承擔責任的前提。鑑於個人信息的無形性及其價值的難以評估性,個人信息權益受到的損害結果往往難以確認,實踐中通常綜合信息處理者獲益和個人實際損失進行考量。若網絡平台經營者在處理個人cookie數據時僅用於網站運營,並未獲取商業價值,亦未對個人的信息權益造成實際損害後果,則不能認定其構成侵權。 (三)主觀上不存在過錯 《民法典》第998條將「過錯程度」納入行為人主體承擔人格權民事責任的考量因素,從文意解釋看,有「過錯程度」的前提必須先有「過錯」,故在個人信息保護糾紛案件的審理中,行為人過錯依然是不可或缺的審查要件。[8]同時結合《個人信息保護法》第69條的規定,若網絡平台經營者在處理用戶個人信息時給用戶的個人信息權益造成損害,同時又不能證明自己沒有過錯的,應當承擔相應的侵權責任。 |
