程嘯

自2021年11月1日《個(gè)人信息保護(hù)法》（下稱(chēng)“個(gè)保法”）正式施行，已過(guò)去一年半的時(shí)間，但法院受理的個(gè)人信息保護(hù)糾紛案件的總體數(shù)量依然較少。

最高人民法院副院長(zhǎng)賀小榮曾介紹，2021年各地法院共受理個(gè)人信息保護(hù)糾紛案件307件，2022年為404件。與之相比，僅2021年，全國(guó)法院受理的一審人格權(quán)糾紛案件總量就達(dá)192675件。

一方面，這充分證明此前一些觀點(diǎn)實(shí)屬危言聳聽(tīng)。例如，認(rèn)為法院會(huì)因過(guò)多訴訟不堪其擾，所以反對(duì)個(gè)保法所規(guī)定的，個(gè)人可以通過(guò)民事訴訟來(lái)維護(hù)個(gè)人信息權(quán)益。

另一方面，由于個(gè)保法起草時(shí)備受關(guān)注的一些規(guī)定并未出現(xiàn)預(yù)期的民事糾紛，如“敏感個(gè)人信息處理”“自動(dòng)化決策”“大型平臺(tái)守門(mén)人義務(wù)”等，也導(dǎo)致一些人否定法院在個(gè)人信息保護(hù)中的作用。

更有觀點(diǎn)認(rèn)為，個(gè)人信息司法保護(hù)的重心應(yīng)從“個(gè)體救濟(jì)”轉(zhuǎn)向“公共治理”。個(gè)人向法院提起的個(gè)人信息侵權(quán)之訴，如果沒(méi)有損害的，則類(lèi)似執(zhí)法舉報(bào)，法院應(yīng)當(dāng)承擔(dān)專(zhuān)業(yè)化監(jiān)管職能。

毋庸置疑，個(gè)人信息保護(hù)需要多部門(mén)的共同努力，并由公法與私法協(xié)力實(shí)現(xiàn)，但我們?nèi)詰?yīng)強(qiáng)調(diào)個(gè)人信息司法保護(hù)的重要作用。

通過(guò)個(gè)保法司法解釋對(duì)一些焦點(diǎn)、疑點(diǎn)與難點(diǎn)問(wèn)題的科學(xué)系統(tǒng)規(guī)定，既可以為法院處理個(gè)人信息保護(hù)糾紛案件提供清晰準(zhǔn)確的裁判規(guī)范，也能為律師、法務(wù)人員等實(shí)務(wù)人士提供指引，更能促進(jìn)行政執(zhí)法部門(mén)制定相應(yīng)的規(guī)章和文件。

未來(lái)，建議個(gè)保法的司法解釋圍繞個(gè)人信息處理規(guī)則、個(gè)人信息權(quán)益的行使與救濟(jì)、個(gè)人信息侵權(quán)責(zé)任等三大問(wèn)題作出清晰具體的規(guī)定。

法院是審判機(jī)關(guān)，不能代替網(wǎng)信、工信、公安等履行個(gè)人信息保護(hù)職責(zé)的部門(mén)進(jìn)行個(gè)人信息保護(hù)執(zhí)法監(jiān)管，查處違法行為。

法院應(yīng)當(dāng)做的是，正確理解與適用民法典、個(gè)保法等法律，居中裁判，公平公正的處理一個(gè)個(gè)具體的個(gè)人信息保護(hù)糾紛案件，從而實(shí)現(xiàn)保護(hù)個(gè)人信息權(quán)益、規(guī)范個(gè)人信息處理與促進(jìn)個(gè)人信息的合理利用的法律目標(biāo)。

最高人民法院及地方法院發(fā)布的個(gè)人信息公益訴訟指導(dǎo)性案例，以及個(gè)人信息保護(hù)典型案件，如“人臉識(shí)別第一案”“強(qiáng)制掃碼點(diǎn)餐案”等，在宣傳個(gè)人信息保護(hù)觀念，明晰個(gè)人信息保護(hù)規(guī)范的適用方面起到了重要的作用。

除了發(fā)布更多指導(dǎo)案例和典型案例，建議未來(lái)最高人民法院針對(duì)個(gè)人信息保護(hù)實(shí)踐中的焦點(diǎn)、熱點(diǎn)以及疑難問(wèn)題，通過(guò)制定個(gè)保法司法解釋?zhuān)瑓f(xié)調(diào)不同法律中的個(gè)人信息保護(hù)法律規(guī)范，將抽象的、原則性的法律規(guī)定加以具體化、明確化。

雖然中國(guó)個(gè)人信息保護(hù)法律體系已經(jīng)建立，但實(shí)踐中仍然有很多法律理解適用上的模糊、分歧之處。例如，如何區(qū)分“同意”“單獨(dú)同意”，以及“書(shū)面同意”？什么情形下構(gòu)成“共同處理個(gè)人信息”？如何認(rèn)定個(gè)保法中的“不合理的差別待遇”“對(duì)個(gè)人權(quán)益有重大影響”？怎樣判斷“個(gè)人明確解決處理其公開(kāi)的個(gè)人信息”等。

相關(guān)部門(mén)除了制定部門(mén)規(guī)章或文件，往往不會(huì)針對(duì)以上問(wèn)題作出專(zhuān)門(mén)解釋或正式答復(fù)。這些客觀存在的問(wèn)題，遲遲得不到解決，對(duì)于個(gè)人信息保護(hù)的合規(guī)、律師執(zhí)業(yè)、法官審判以及行政執(zhí)法都造成了很大的困擾，不利于個(gè)人信息保護(hù)與合理使用。

因此，非常有必要通過(guò)制訂個(gè)保法司法解釋來(lái)解決這些問(wèn)題。

個(gè)人信息處理規(guī)則是個(gè)保法的核心內(nèi)容之一。

個(gè)保法第二章“個(gè)人信息處理規(guī)則”采用了25個(gè)條文，對(duì)個(gè)人信息處理的合法性根據(jù)、告知同意規(guī)則、多人處理個(gè)人信息的四種情形，以及公開(kāi)個(gè)人信息與敏感個(gè)人信息的處理、國(guó)家機(jī)關(guān)處理個(gè)人信息等內(nèi)容作出了系統(tǒng)的規(guī)定。個(gè)人信息處理規(guī)則對(duì)于行政執(zhí)法和司法審判中判斷個(gè)人信息處理活動(dòng)是否為非法行為，以及是否侵害個(gè)人信息權(quán)益至關(guān)重要。

從實(shí)踐來(lái)看，個(gè)人信息處理規(guī)則中有以下問(wèn)題需要明確：

“個(gè)人信息處理合法”的證明責(zé)任，即一旦發(fā)生個(gè)人信息保護(hù)糾紛，應(yīng)當(dāng)明確個(gè)人只要初步證明個(gè)人信息被處理的事實(shí)即可，處理者必須證明自己未實(shí)施處理活動(dòng)，或者個(gè)人信息處理活動(dòng)是合法的。

“告知義務(wù)履行”的證明責(zé)任。當(dāng)個(gè)人主張?zhí)幚碚咴谔幚韨€(gè)人信息前沒(méi)有依法履行告知義務(wù)的，應(yīng)當(dāng)由處理者對(duì)履行了告知義務(wù)承擔(dān)舉證證明責(zé)任。

“單獨(dú)同意”的認(rèn)定，這也是實(shí)踐中爭(zhēng)議最大的問(wèn)題。建議法院在認(rèn)定處理者是否取得個(gè)人的單獨(dú)同意時(shí)，應(yīng)當(dāng)綜合考慮需要取得單獨(dú)同意的處理活動(dòng)與其他處理活動(dòng)的場(chǎng)景區(qū)分度、履行告知義務(wù)的方式、個(gè)人信息的處理方式等因素。對(duì)于制作專(zhuān)門(mén)的個(gè)人信息處理同意書(shū)，采取了單獨(dú)彈窗、單獨(dú)勾選、點(diǎn)擊跳轉(zhuǎn)鏈接等方式取得個(gè)人同意的，可以認(rèn)定為屬于單獨(dú)同意。

明確處理者雖有合法根據(jù)處理個(gè)人信息，但超出合理范圍的，仍要承擔(dān)民事責(zé)任。

對(duì)于“共同處理個(gè)人信息”的證明。在個(gè)人初步證明處理者屬于共同處理個(gè)人信息之后，建議由處理者來(lái)舉證推翻，不能舉證推翻的，即認(rèn)定為共同處理個(gè)人信息。

針對(duì)實(shí)踐中廣泛存在的“委托處理個(gè)人信息”的情形，建議依據(jù)處理事項(xiàng)合法與否以及委托人、受托人的過(guò)錯(cuò)等情形，分別明確各自的義務(wù)與責(zé)任。

明確利用自動(dòng)化決策對(duì)個(gè)人在交易條件上形成的哪些差別待遇屬于不合理的差別待遇。我們認(rèn)為，具有以下情形的，屬于不合理的差別待遇：

對(duì)同一產(chǎn)品或者服務(wù)，基于個(gè)人的支付能力、消費(fèi)偏好、使用習(xí)慣等個(gè)人特征，針對(duì)個(gè)人采取不同的交易價(jià)格、交易方式或者其他交易條件；

對(duì)在交易安全、交易成本、信用狀況、交易環(huán)節(jié)、交易持續(xù)時(shí)間等方面不存在實(shí)質(zhì)性差別的個(gè)人，采取不同的交易價(jià)格、交易方式或其他交易條件；

基于有損人格尊嚴(yán)、人身自由的方式，或者違背誠(chéng)信、公平原則而實(shí)施的交易條件上的差別待遇。

滿(mǎn)足下列情形之一的，建議認(rèn)定為具有合理的差別待遇：

根據(jù)交易相對(duì)人的實(shí)際需求，且符合正當(dāng)?shù)慕灰琢?xí)慣和行業(yè)慣例，實(shí)行不同的交易條件；

針對(duì)新用戶(hù)在合理期限內(nèi)開(kāi)展的優(yōu)惠活動(dòng)；

基于公平、合理、非歧視規(guī)則實(shí)施的隨機(jī)性交易；

法律、法規(guī)規(guī)定的其他情形。

個(gè)保法第24條、27條、55條中“對(duì)個(gè)人權(quán)益有重大影響”的判斷。建議參考民法典第496條-497條對(duì)格式條款中限制排除權(quán)利的規(guī)定的基礎(chǔ)上，結(jié)合個(gè)人的法律上的權(quán)利、義務(wù)、責(zé)任的角度作出相應(yīng)的判斷標(biāo)準(zhǔn)。具有以下情形之一的，應(yīng)當(dāng)認(rèn)定為對(duì)個(gè)人權(quán)益有重大影響：

排除或者限制個(gè)人的主要權(quán)利；

加重個(gè)人的義務(wù)或者法律責(zé)任；

導(dǎo)致個(gè)人的經(jīng)濟(jì)、社會(huì)地位發(fā)生了不合理的變化；

對(duì)于個(gè)人權(quán)益產(chǎn)生法律效力或造成重大影響的其他情形。

明確公開(kāi)個(gè)人信息處理規(guī)則中“合理范圍”的認(rèn)定與“個(gè)人明確拒絕”的界定這倆問(wèn)題。本文有兩條建議：

首先，具有以下情形之一的，可以認(rèn)定“在合理的范圍內(nèi)”：個(gè)人信息被公開(kāi)時(shí)有明確的用途，處理者的處理目的和方式符合該用途；個(gè)人信息被公開(kāi)時(shí)未明確用途，處理者遵循合法、正當(dāng)、必要、誠(chéng)信、目的限制等原則，合理、謹(jǐn)慎地處理該信息。

其次，如果個(gè)人在自行公開(kāi)其個(gè)人信息時(shí)，明確作出禁止他人處理的書(shū)面表示，或者個(gè)人以書(shū)面形式向處理者提出不得處理已公開(kāi)的個(gè)人信息的，則法院可以認(rèn)定為構(gòu)成個(gè)保法第27條的“個(gè)人明確拒絕”。

個(gè)人信息權(quán)益是個(gè)人針對(duì)其個(gè)人信息享有的人格權(quán)益，個(gè)保法對(duì)于個(gè)人信息權(quán)益的內(nèi)容專(zhuān)章作出了詳細(xì)規(guī)定，明確了個(gè)人針對(duì)其個(gè)人信息處理享有知情權(quán)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)、可攜帶權(quán)、更正權(quán)、補(bǔ)充權(quán)、刪除權(quán)、解釋說(shuō)明權(quán)等。并且，個(gè)保法還專(zhuān)門(mén)規(guī)定，如果處理者拒絕個(gè)人行使權(quán)利的請(qǐng)求，個(gè)人可以依法向法院提起訴訟。

從實(shí)踐來(lái)看，圍繞著個(gè)人信息權(quán)益的行使與救濟(jì)問(wèn)題產(chǎn)生了不少爭(zhēng)議，如個(gè)人是否必須先向處理者主張權(quán)利，甚至先向履行個(gè)人信息保護(hù)職責(zé)的部門(mén)投訴無(wú)果后，才能起訴等。建議司法解釋規(guī)定以下內(nèi)容：

明確個(gè)人向處理者行使查閱、復(fù)制其個(gè)人信息的范圍應(yīng)當(dāng)包含以下內(nèi)容：個(gè)人信息處理者是否處理其個(gè)人信息；個(gè)人信息的處理目的、方式；處理的個(gè)人信息種類(lèi)、內(nèi)容、保存期限；個(gè)人信息的其他共同處理者、受托人；個(gè)人信息的提供方、接收方；處理的合法公開(kāi)的個(gè)人信息及其來(lái)源；其他可以查閱、復(fù)制的個(gè)人信息。

對(duì)更正補(bǔ)充權(quán)的行使，以及錯(cuò)誤更正補(bǔ)充的賠償責(zé)任加以明確，即個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的，請(qǐng)求處理者更正、補(bǔ)充；處理者怠于或者拒絕更正、補(bǔ)充，個(gè)人可以起訴；如因處理者怠于、拒絕，或者錯(cuò)誤更正、補(bǔ)充不準(zhǔn)確或不完整的個(gè)人信息，侵害民事權(quán)益造成損害的，受害人可以請(qǐng)求處理者承擔(dān)民事責(zé)任。

明確刪除權(quán)的司法救濟(jì)以及民事責(zé)任，即存在法律、行政法規(guī)規(guī)定的應(yīng)當(dāng)刪除個(gè)人信息的情形，處理者未刪除，個(gè)人有權(quán)向法院起訴，要求處理者刪除，除非法律、行政法規(guī)另有規(guī)定；如果處理者違反法律、行政法規(guī)，或者違反約定處理個(gè)人信息的，個(gè)人可以請(qǐng)求處理者刪除，也可以向法院起訴。

明確個(gè)人針對(duì)處理者行使查閱、復(fù)制、補(bǔ)充、更正、補(bǔ)充等權(quán)利的，原則上在處理者拒絕的情形下，才可以向法院起訴。

界定死者的近親屬針對(duì)死者的個(gè)人信息行使查閱、復(fù)制、更正、刪除等權(quán)利的要件，即將以下情形認(rèn)定為，死者的近親屬是為了“自身的合法、正當(dāng)利益”：維護(hù)死者的名譽(yù)、隱私的需要；維護(hù)近親屬對(duì)死者的崇敬、追思之情的需要；其他維護(hù)近親屬自身的人身、財(cái)產(chǎn)權(quán)益的需要。

個(gè)人信息侵權(quán)責(zé)任涉及民法典與個(gè)保法的關(guān)系，以及個(gè)人信息權(quán)益與隱私權(quán)、肖像權(quán)等其他人格權(quán)益的適用，還包括對(duì)于個(gè)人信息侵權(quán)責(zé)任的構(gòu)成要件的理解與適用問(wèn)題。

因此，建議司法解釋至少應(yīng)當(dāng)明確以下問(wèn)題：

侵害隱私權(quán)與個(gè)人信息權(quán)益的歸責(zé)原則的適用關(guān)系。

一方面，處理者處理私密信息侵害個(gè)人信息權(quán)益造成損害的，個(gè)人有權(quán)請(qǐng)求處理者承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任的，此時(shí)適用的是個(gè)保法第69條第1款的過(guò)錯(cuò)推定責(zé)任，必須由處理者舉證證明自己沒(méi)有過(guò)錯(cuò)，才能不承擔(dān)責(zé)任。

另一方面，自然人因個(gè)人或者家庭事務(wù)處理個(gè)人信息時(shí)侵害了個(gè)人信息權(quán)益、隱私權(quán)等民事權(quán)益造成損害，不適用個(gè)保法的過(guò)錯(cuò)推定責(zé)任，而應(yīng)適用民法典過(guò)錯(cuò)責(zé)任，即具有過(guò)錯(cuò)的處理者才需要承擔(dān)損害賠償責(zé)任。因?yàn)樵趥€(gè)保法中，只有處理者才可能承擔(dān)損害賠償責(zé)任。

考慮到個(gè)人信息權(quán)益與肖像權(quán)、名譽(yù)權(quán)的重疊關(guān)系，應(yīng)當(dāng)尊重個(gè)人的選擇。即處理者處理人臉信息、信用信息等侵害個(gè)人信息權(quán)益造成損害的，個(gè)人當(dāng)然可以依據(jù)個(gè)保法第69條，要求處理者承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任；倘若個(gè)人信息處理活動(dòng)同時(shí)也侵害了肖像權(quán)、名譽(yù)權(quán)造成損害的，個(gè)人可以依據(jù)民法典，要求具有過(guò)錯(cuò)的處理者承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。

明確個(gè)人信息權(quán)益適用民法典第997條規(guī)定的人格權(quán)禁令。

實(shí)踐中個(gè)人信息被多個(gè)處理者所處理，一旦出現(xiàn)侵害個(gè)人信息權(quán)益的行為，往往很難判斷究竟是誰(shuí)造成的問(wèn)題。建議明確規(guī)定，兩個(gè)以上的處理者處理相同個(gè)人信息危及個(gè)人信息權(quán)益，個(gè)人不能確定具體侵權(quán)人，可以請(qǐng)求行為人承擔(dān)連帶責(zé)任，除非處理者能夠證明自己的處理行為與個(gè)人信息權(quán)益被侵害沒(méi)有因果關(guān)系。

就處理者泄露個(gè)人信息導(dǎo)致被第三人非法利用，進(jìn)而侵害個(gè)人合法權(quán)益的情形，建議明確處理者對(duì)此種下游損害的賠償責(zé)任。該問(wèn)題學(xué)界爭(zhēng)論很大。建議區(qū)分敏感與非敏感的個(gè)人信息，分別作出規(guī)定。

具體而言，如果處理者沒(méi)有依法采取相應(yīng)的措施保護(hù)敏感的個(gè)人信息安全，發(fā)生個(gè)人信息泄露、丟失，第三人利用該信息侵害個(gè)人的民事權(quán)益并造成損害，個(gè)人有權(quán)要求個(gè)人信息處理者與第三人承擔(dān)連帶責(zé)任；如果處理者沒(méi)有采取相應(yīng)的措施保護(hù)非敏感的個(gè)人信息安全，發(fā)生個(gè)人信息泄露、丟失，第三人利用該信息侵害個(gè)人民事權(quán)益造成損害，由實(shí)施侵權(quán)行為的第三人承擔(dān)賠償責(zé)任，處理者根據(jù)其過(guò)錯(cuò)和原因來(lái)承擔(dān)相應(yīng)的賠償責(zé)任。

明確處理者如何推翻對(duì)其過(guò)錯(cuò)的推定，即如果處理者能夠舉證證明其處理活動(dòng)符合法律、行政法規(guī)規(guī)定的個(gè)人信息處理規(guī)則、履行了處理者義務(wù)，并滿(mǎn)足了個(gè)人行使權(quán)利的請(qǐng)求的，法院應(yīng)當(dāng)認(rèn)定處理者沒(méi)有過(guò)錯(cuò)。

關(guān)于侵害個(gè)人信息權(quán)益的財(cái)產(chǎn)損害，建議規(guī)定處理者侵害個(gè)人信息權(quán)益，造成財(cái)產(chǎn)損失的，被侵權(quán)人有權(quán)依據(jù)個(gè)保法第69條第2款，要求處理者承擔(dān)賠償責(zé)任。同時(shí)，個(gè)人為制止侵權(quán)行為所支付的合理開(kāi)支，如調(diào)查取證的費(fèi)用、聘請(qǐng)律師的費(fèi)用等，也屬于財(cái)產(chǎn)損失。

對(duì)于侵害個(gè)人信息權(quán)益的精神損害，建議明確，如果處理者侵害個(gè)人信息權(quán)益，造成個(gè)人嚴(yán)重精神損害的，被侵權(quán)人有權(quán)要求處理者承擔(dān)賠償責(zé)任。如果只是個(gè)人信息發(fā)生泄露、篡改、丟失，個(gè)人沒(méi)有證明其遭受實(shí)際損失，只以其將來(lái)遭受損失的風(fēng)險(xiǎn)為由請(qǐng)求處理者賠償損失的，則不應(yīng)予以賠償。

明確侵害個(gè)人信息權(quán)益的法定賠償，即個(gè)人因個(gè)人信息權(quán)益被侵害而受到的損失，以及處理者因此獲得的利益難以確定的，法院可以根據(jù)實(shí)際情況在100萬(wàn)元以下的范圍內(nèi)確定賠償數(shù)額。

（作者為清華大學(xué)法學(xué)院副院長(zhǎng)、教授、博士生導(dǎo)師；編輯：郭麗琴）