“我们这个时代,还有隐私吗?”这通常是人们接到骚扰电话、骚扰短信后的无奈反问。《中华人民共和国个人信息保护法》施行一年以来,普通人维权变得更容易了吗?南都记者对话多个提起个人信息保护纠纷的原告和律师,得到了肯定的回答。他们中有的告赢了互联网企业,有的依据个保法的举证责任倒置规则,要求被告商家自证没有侵害消费者权益。个人信息相关的司法判例中,个人用户告赢“大厂”的案子也越来越多。
不过,有专家从基层执法部门和企业的角度指出,由于个保法多为原则性规定,且施行时间不长,两者都面临实践难点。比如在没有明确职权划分的情况下,基层执法部门可能会优先适用自己监管领域的行业法规,而不是个保法;企业则在摸索如何将法律落地,导致“灰度合规”普遍存在。
进步
“依据个保法维权更容易了”
一年前,个保法正式施行之际,罗懿正在焦急地等待自己的案子最后一次开庭。
2021年初,他的两个手机号同时收到一个英语学习App发来的三条营销短信。“当时收到信息之后我是非常诧异的。”据他回忆,他从未浏览或点击过英语学习相关信息,还是收到信息后上网查询才知道这个App的存在。
两个手机号同时收到短信,这让罗懿不由得猜测:对方是否通过黑灰产的途径获取了自己的手机号?更令他在意的是,和一般的营销短信不同,他收到的短信称“已为您分配账号密码”,而账号就是手机号——“这等于没有经过任何允许就使用了我的信息”。
曾经是法学生的罗懿简单咨询律师后,便决定依据民法典的相关条款,状告该公司侵犯隐私权和个人信息权益。案件于2021年1月立案,共开了六次庭,一审审结已经是个保法生效近一个月之后。
“我们看到一个特别有意思的现象:不管(案发时)个保法有没有生效,法院都会把个保法纳进去做参考,要么一直延续到个保法生效后才开庭判决。这种案件法院都有动力和冲动去做个保法第一案。”罗懿的代理律师、浙江垦丁律师事务所创始合伙人麻策观察到。
正如该案的一审判决书(尚未生效)所写:“个保法虽不直接适用于本案,但其对法律概念的定义及相关规范精神可以在本案中作为参考。”对于用户画像信息是否属于个人信息的争议,法院既参考了民法典从“识别”的角度对个人信息的定义,也参考了个保法从“关联”的角度对个人信息涵盖范围的界定。法院还引用个保法的多项条款,以明确法定许可和“知情-同意”的判断标准。
最终,法院一审判决被告公司停止处理并删除罗懿的手机号、用户画像信息、账户密码信息、订单信息等个人信息,向罗懿赔礼道歉,并赔偿维权必要支出。南都记者了解到,目前被告公司已上诉,二审暂未开庭。
在麻策代理的另外一个个保法生效前发生的案件中,由于法律事实持续至个保法施行后,一审法院在“参照”个保法的基础上更进一步,提出“本案可适用个人信息保护法的相关规定”。该案的二审法院也认为,适用个保法可以更好地平衡双方的权利义务,有助于妥善解决本案纠纷,对被告平台主张的“法不溯及既往”原则不予采纳。
比如这起案件中原告的诉求之一是被告平台共享给第三方的个人信息以及第三方的具体名称。个保法第二十三条规定,“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。”据此,法院支持原告诉求。
而对于原告要求被告平台披露具体哪些信息被用于用户画像,法院根据个保法第二十四条“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明”指出,原告未提交证据证明被告平台作出了对其个人权益有重大影响的自动化决策,因此不予支持。
南都记者注意到,上述个保法条款的类似表述在其他法律法规中从未出现过。“(个保法)是之前相关法条的进化版。”中国社会科学院法学研究所副所长周汉华曾对《央视新闻》表示,个保法中没有隐私、私密信息等概念,只要是个人信息都属于被保护范围,覆盖广泛,体现了当下数字时代对信息保护的迫切需求。
“相比民法典,个人依据个保法维权可能是更容易的。”麻策以罗懿的案件为例表示,当时在援引法律法规的时候“比较纠结”,因为像是单独同意等场景在民法典里没有论述,但个保法都有对应规定。他认为,对于特别在意主张个人信息主体权利的个人来说,个保法“一定会带来一些新的考虑”。
罗懿也提到,相比其他法律法规,个保法对个人信息的保护“更加具体”,对个人来说是非常有利的,也更便于个人去掌握。在他看来,民法典、特别是个保法出台之后,公民的个人信息得到了更多的保护。
利好
举证责任倒置降低个人诉讼门槛 公益诉讼或被重点适用
案件审理过程中,取证环节让罗懿印象特别深刻。他打给麻策后听到的第一句话就是“这个账号你不要登录,等我过来帮你取证!”麻策告诉南都记者,这是因为第一次登录使用之后再登录,产品的很多场景包括协议弹窗和标签选择页可能都没了,证据可能难以复现。
这让罗懿意识到,取证很重要,如果取证得不好,甚至会丧失胜诉的可能性。“在法庭质证的时候,法官肯定要问:你为什么说信息是被盗用了?如果你是自己去注册的又是怎么样?”他说,“如果是普通人自己操作的话,可能就会不太知道需要去做哪些证明。”
麻策也提到,做好充分的证据收集是一审胜诉的很大原因。“(罗懿的)法律意识还是比较好……很多普通用户可能没有证据意识,可能在使用过程中把证据销毁掉。”他坦言,举证对普通用户来说还是存在一定的难度和门槛。
“个人信息权益受到侵害往往就是那么一瞬间,或者是不经意间发生的”,浙江理工大学特聘副教授郭兵对南都记者说,正因如此,很多人对个人信息侵权或者个人信息被泄露难以举证,因为很难有效固定侵权的证据,也可能完全不知道在哪个环节发生了个人信息泄露。
去年8月,郭兵指导学生起诉杭州湖滨银泰in77商场及MCM门店未经同意抓取消费者人脸信息,用于提高客户分析效率、谋取商业利益。但一审法院以无法证明摄像头已基于人脸识别技术处理原告人脸信息或存在其他处理原告人脸信息的情况为由,驳回了学生的诉求。
“如果不是技术提供方主动披露,一般消费者根本就掌握不了这些证据”,郭兵说。由于个人信息侵权具有隐蔽性、技术性等特征,个人与信息处理者在举证能力上往往实力悬殊——对此,最高法相关的司法解释和个保法均在一定程度上确定了举证责任倒置的规则,即让个人信息处理者来证明其没有侵害消费者个人信息权益的过错。
在他看来,这是个保法相较于民法典相关规定的一个进步之处。今年7月,他指导学生针对上述案件提起上诉并在上诉书里写到,由于人脸识别技术应用存在明显的信息不对称,本案中,除非是in77商场和MCM门店的人脸识别技术应用相关工作人员,否则无法掌握后台处理流程,也不可能对相应情况进行取证,应由信息处理者承担举证责任。
郭兵还提到,个保法的另一个进步之处是作为一部个人信息保护的专门立法,明确规定了公益诉讼制度。消费者可以选择向有关部门投诉举报或者向公益诉讼部门反馈线索,个人信息侵权的救济方式不再只有个人私益诉讼这一条路。“这些其实不需要你具备多么高深的法律知识,只需要非常基础的表达能力就可以完成。”
个保法实施当天,杭州互联网法院开庭审理了两起涉及个人信息安全的案件,其中一起就是杭州市拱墅区人民检察院发起的公益诉讼。法院认为,被告的侵权行为既侵害信息主体的个人信息权益,也侵害不特定多数人的权益,构成对社会公共利益的侵害。
南都记者了解到,不适用个保法裁定该案,而是使用公益诉讼的机制参与上述案件,是法院在个保法出台这个时间节点多方考量后的办法。个保法出台后,未来公益诉讼或被重点适用于解决相关纠纷。
最高检发布的统计数据显示,2021年检察机关共办理个人信息保护领域公益诉讼案件2000余件,同比上升近3倍。2022年以来,仅第一季度,检察机关就立案办理了个人信息保护领域民事公益诉讼案件近700件。
郭兵曾在《通过公益诉讼的个人信息司法保护》一文中指出,个保法出台前的公益诉讼实践只是“盆景”,尚未形成“风景”。个保法出台后,各地陆续开启了个人信息公益诉讼实践,但还有必要提供更加充分的制度支持,在配套司法解释中对公益诉讼制度作出更具针对性的具体规定。
实践
依据个保法的判例少 监管部门优先适用行业内法规
个人信息保护领域的一个明显特征是,你似乎每天都能看见或者听见大量关于隐私权、个人信息权益被侵害的抱怨,但这些人中,真正选择提起诉讼的只是极少数。
南都记者梳理公开资料发现,个人信息保护领域的民事诉讼明显少于刑事诉讼——以2022年为例,在裁判文书网以“侵犯公民个人信息”搜到的刑事判决书共229份;以“个人信息保护纠纷”“隐私权纠纷”搜到的民事判决书共79份,不及前者的一半。
“目前在个人信息保护领域,有一个非常特殊的现象:刑事打击往往冲在最前面,真正自己权益受到影响的主体提起的私益诉讼反而很少。”郭兵表示,“一个理想的法治环境下,应该是民事诉讼(包括公益诉讼)居于首位,刑事手段作为最严厉的制裁手段最后出场。”
他分析认为,产生这一现象的根本原因在于,维护个人信息权益很多时候可能“是一件吃力不讨好的事情”。
“身边不少朋友甚至网友遇到个人信息权益受到侵害会向我咨询、会抱怨,但是没有多少人最终正式通过法律手段去讨个说法。”郭兵理解大多数人的顾虑,坦言也会担心如果自己去“找茬”,对方会不会在背后做一些不好的事情。“某种程度上,‘理性漠视’在目前可能也是一个相对理性的决策。”
另一方面,个人信息侵权表现在个体身上,往往是“小微侵害”——不产生直接损失,或者很难计算具体损失。而要提起诉讼,就必须明确损失的范围,否则法院认定赔偿额时可能支持力度就很小。“普通个人寻求个人信息保护法律救济,没有任何实质性利益保障的话,是缺乏足够动力的。”郭兵说。
即便如此,郭兵还是在身体力行地鼓励公众维权。“即使没有法律基础,我觉得也不应该选择沉默,完全可以在能力范围内向个人信息处理者或者主管部门进行投诉反馈。”他说,“如果大家都能够积极地去反映这些问题,我相信我们的个人信息保护应该会越来越好。”
裁判文书网数据还显示,截至目前,已经审结的、以个保法为判决依据的公开文书仅有十余份。郭兵也注意到了这一现状,他还发现,直接适用个保法的行政处罚案例也很少,即使有,也以警告、整改为主,真正作出行政罚款甚至停止经营活动等强有力处罚的极少。
他观察到,即使在个保法施行后,很多案件也没有适用它,而是适用了传统行业领域的相关法律。“两者往往存在适用的竞合,比如可以适用消费者权益保护法,也可以适用个保法。有时候不同的行政机关在处理时选择的法律也不同,因为个保法没有明确唯一的监管主体,基本上相关行业领域的监管部门一定程度上都有个人信息保护的相应职责。”因此,在没有明确规定的情况下,监管部门可能更加偏向于适用自己监管领域的相关法律。
郭兵的观察曾得到过一些承担个人信息保护职责的监管部门工作人员的证实。“他们担心适用个保法进行更加严厉的行政处罚,反而会被质疑违法行政,被处罚对象可能提起诉讼或者引发舆情。因为这部法律没有明确他们有这样一个职责。”
周汉华也曾指出,某种程度上个保法的管理体制还是延续了过去的做法,维持了一个多部门执法的执法体制。如果在实践当中处理不好,有可能会形成“九龙治水”等后果。他希望通过不断完善制度,最后设立一个独立权威的、专门的个人信息保护执法部门。
难点
法律落地存在模糊地带 企业“灰度合规”普遍存在
值得注意的是,近两年引发较大关注的个人信息保护纠纷,往往涉及大型互联网平台。据南都记者从广州互联网法院获取的数据,自2018年建院以来,广互受理了89件隐私权、公民个人信息保护纠纷案件,其中因互联网平台或其他经营者对用户个人信息的处理产生的纠纷占比高达66%。
南都记者梳理发现,不少原告是基于自身个人信息被不当收集、非法泄露、超范围使用或平台未能回应自己的正当诉求而提起的诉讼,涉及的互联网平台服务包括自动化决策、个人信息复制权、好友推荐等日常生活常见的使用场景。
曾为平台做过代理律师的麻策深知,在个人信息保护力度不断加大的当下,各大企业都不愿意成为这类纠纷的被告,更何况“现在绝大部分的个人信息案件,企业一般是败诉为主”。但涉及头部企业的案件确实能给社会带来更多示范作用,是企业承担的一种社会责任。
“我觉得反过来看其实有正向的价值,并不一定要用一种尴尬的、憋屈的、负面的心态去面对。”他还指出,企业被罚也不一定完全是件坏事,因为第一个被告的企业可以优先感知到司法尺度,进而率先深度推动内部的合规调整,反而成了先发优势。
不过,麻策也站在企业的立场提出,有时候并不是企业不想遵守法规,而是从法律条款到落地实践中间存在一个缓冲地带,法规和标准之间甚至存在冲突不适配,这都需要国家和企业去合力继续摸索。“尤其是当市场上普遍的一种合规方式就放在眼前,你不去遵守,却要在法律模糊地带自己提高标准,其实说实话挺难的。”他说,“我觉得这样一种灰度的合规是普遍存在的,各大企业都一样。”
担心引发舆情的不只有企业——诉讼获得的关注度越高,法院判决的压力也会越大。
“有的时候我自己看来一个非常简单的案件,可能基层一线的法官也会犯愁。”郭兵提到,由于法院判决影响的不只是个案,而是间接影响个人信息保护的其他领域,法官顾及到社会影响,又缺乏既有案例作指导,就会更加慎重。
对于不少争议案件,个保法只提供了原则性的规范,这也是基层法院和执法部门遇到的难点。比如哪些情形在不需征得个人同意的合理必要限度之内?处理敏感个人信息如何遵循个保法之外的法律法规限制?“其实都需要进一步明确。”郭兵表示,这是未来在配套立法中可能需要不断强化细化的,也需要司法部门或者执法部门不断摸索。
个保法施行的这一年,麻策和郭兵都认为,个人信息保护制度越来越健全,也取得了一些司法实践上的突破,但仍有一些遗憾。“其实(个保法)的牙齿已经形成了,但是它还没有真正地去实现它的重要功能。”郭兵说。
他举例说,在行政监管方面,个保法规定了强有力的处罚手段,最高罚款可达上一年度营业额百分之五,但真正高额的行政处罚案件非常少,只有像滴滴这样个别的案件。“目前行政监管还不够有力,也与个人信息保护的监管职责不是那么明确有一定的关系,希望未来的配套法规进一步加以明确。”
文/程雨祺 蒋琳
编辑/倪家宁