小
中
大
8月24日,中国社会科学院法学研究所副所长、中国社会科学院文化法制研究中心主任周汉华研究员应邀为杭州互联网法院、互联网法治研究院(杭州)主办的“互联网法治名家大讲堂”作首场讲座。讲座由杭州互联网法院党组书记、院长洪学军主持,杭州两级法院干警通过视频连线方式参加。
本次讲座主题是“《个人信息保护法》解读”,周汉华研究员围绕近日审议通过的《个人信息保护法》,从个保法制定背景与过程、个保法起草过程中主要争论的问题、民法典与个人信息保护法的关系、个人信息保护案件如何裁判、个保法确立的过错推定及其司法适用、人格权请求权与个人信息保护以及个保法的适用等七个方面进行系统阐述,为正确理解、准确适用《个人信息保护法》提供新视野、新思路。
一、个人信息保护法制定背景与过程
随着数据成为基本生产要素,无论是国际社会还是国内社会,个保法的立法氛围都愈发地浓厚,对个人信息违法犯罪的执法力度亦明显加强。自2018年法工委、网信办开始起草后,个人信息保护法前后共有五个版本,其修订过程体现了五个特点:第一,立法进程非常顺利,表明了一种实践需求的急迫感和立法机关的重视态度。第二,不断完善的条文体现了立法机关对大型平台持有一种不断严格加强管理的态度,尤其是在制定过程中补充规定的一些重要的制度,体现了从严到更严的趋势。第三,各方博弈比较明显,立法反映了不同意见、出现了重要变化,且后期改动非常困难。第四,在与民法的关系上尽管还有一些双重性特点,但个保法的独立制度禀赋日益显现。第五,一些重要的制度还有待实践补充、完善。
二、个保法起草过程中主要争论的问题
在个保法起草过程中主要争论的问题,主要体现在个保法与民法典的关系、履行个人信息保护职责的部门、人脸识别的规制、自动化决策的规制、法定赔偿与精神损害赔偿、高额罚款、去标识化信息的处理规则、人力资源管理作为处理的依据、过错推定责任、死者个人信息权、守门人条款、同意的方式、敏感个人信息的处理、国家机关处理个人信息的规则等方面。
三、 民法典与个保法的关系
在民法总则制定之前,民法中一直没有规定个人信息保护的内容,侵犯个人信息给权利人造成损害的,可以根据侵权责任法追究侵权责任,实践多有此类案例。
民法对个人信息保护的第一个特点,是交叉适用。交叉适用需要辨析关系,分清主次。为此,第二个特点体现在《民法典》从位阶上将隐私权放到主要位置,个人信息保护相对降格,翻转我国法律之前对于隐私权与个人信息保护的梯度递进原则,给予隐私权更高程度的保护。
个人信息保护法既没有规定隐私,也没有规定私密信息,确立的明显是平行适用关系,在判断个人信息是否受到侵犯时,不需要考虑隐私因素。同时,基本的价值立场是个人信息应该得到更高程度的保护。因此,个人信息保护法实施之后,是适用个保法还是适用民法典? 是平行适用还是交叉适用,会对司法裁判提出很大的挑战。
四、 个人信息保护案件如何裁判
若将隐私权裁判逻辑简单适用于个人信息保护,将产生如下几个问题: 第一,海量处理“可识别”特定个人的个人信息,可能带来正面利益;即使海量处理会带来损害,若用民事隐私权逻辑来套用个人信息保护,在大量的案件中也往往很难认定具体的损害存在,因此也就难以追究侵权责任,遑论精神损害赔偿。第二,海量处理个人信息的行为涉及对象广泛,信息处理者内部结构复杂,还可能涉及多个信息处理者,侵权链条难以清晰构建。第三,由于侵犯个人信息案件中原告难以证明信息处理者存在过错,公法上的个人信息保护义务与违法性要件就具有特别重要的意义。第四,可识别特定个人信息的范围远远大于“不愿为他人知晓”的信息范围,将隐私权套用到个人信息保护,必然会限缩保护的范围。
正是因为上述这些原因,导致实践中民法对于个人信息的私法保护规定一直难以落地,甚至出现与立法意图相悖的结果。如何形成个人信息保护案件的裁判规则,是个保法实施后的一个重大挑战。
五、个保法确立的过错推定及其司法适用
个保法确立的过错推定原则,在适用中要注意以下问题:第一,对个人信息处理活动严格适用过错推定原则,其范围有可能无限大,由此导致的逆向激励,使处理者没有激励去积极合规,无法实现整部法律的立法意图。第二,过错推定原则将个人信息处理者通过信息处理活动所获得的利益也作为个人的损失,势必引发对平台价值分享公平性的终极追问,处理不当会引发无穷无尽的深层次争议。第三,面对各种争议,平台最终可能只能花钱了事或者采取其他变通措施,制约平台经济的发展;与此同时,过错推定原则不断自我强化之下的民事诉讼机制,必然进一步抑制有效公法执法机制的生成,放大政府监管缺位以及监管能力不足的现实困境。第四,就民事诉讼而言,由于隐私权侵权采取过错责任原则,个人信息保护采用过错推定原则,导致司法裁判内在逻辑的混乱,极大地增加司法过程的难度和不确定性。
针对以上问题,建议在司法裁判中突出合规的意义,以处理者证明自己的行为合规,达到证明没有过错的结果。换言之,只要处理者没有违反个保法的规定,符合合规要求,就能够证明没有过错。
六、 人格权请求权与个人信息保护
由于人格权请求权门槛相对较低, 将人格权请求权直接适用于个人信息保护,不但不符合民法典的规定,还会使司法权前移,司法行政化,与个人信息保护法及其行政执法机制重叠甚至冲突,人为造成各种矛盾。同时,对于信息处理者而言,必然会面临大量的权利请求以及分散的行政与司法管辖机关,陷入难以应付的境地。
面对上述问题,可以严格适用民法典,辨析人格权编与侵权责任编在权利与权益上的区分,科学界定司法保护个人信息的边界、范围与时机。
七、 坚持平行适用,形成共治合力
平行适用是法律适用的基本要求,不是个人信息保护与隐私权关系的特有现象。平行适用是国际社会对个人信息保护与隐私权关系的最新认识,代表着个人信息保护法律的最新发展。平行适用是我国处理个人信息保护与隐私权关系的基本经验。
坚持平行适用需要澄清个人信息保护法是民法特别法的模糊认识,更明确体现个人信息保护法作为个人信息保护基本法律的宪法地位。使公法、私法有机协调,形成合力。在这种格局之下,应保持谦抑,兼顾短期目标与长远目标的关系,致力于多元治理结构的培育。缺位不能成为错位与越位的理由,错位与越位也无法从根本上解决缺位带来的问题。
来源:杭州互联网法院官网,2021年8月25日。