 消费者个人信息安全关系到广大消费者的切身利益及消费者的消费信心和消费意愿,也关系到经济社会的健康发展。但是在现实生活中,侵害消费者个人信息安全的事例屡见不鲜,特别是诸如垃圾短信、骚扰电话、精准诈骗等现象,严重侵害了消费者的人身财产安全,影响了正常的社会经济秩序。因此有必要对消费者的个人信息保护问题进行一些分析与探讨。  现行《宪法》第33条、第38条、第39条和第40条保障人权、人格尊严、通信和住宅隐私的有关规定,是我国个人信息权利的宪法渊源。以此为基础,刑事、行政、民事等方面的立法,以及各种行业性自律文件也逐步完善。 针对包括消费者在内的个人信息泄露问题,2015年开始施行的《中华人民共和国刑法修正案(九)》将原《刑法》第253条规定的出售、非法提供公民个人信息罪和非法获取公民个人信息罪整合为侵犯公民个人信息罪,在加重法定刑的同时,明确规定对履行职责或者提供服务过程中获得的公民个人信息出售或者提供他人的犯罪主体应从重处罚。 此后,两高在其共同颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中从多个方面进一步明确了侵犯公民个人信息罪认定中的法律适用问题。一是明确了“公民个人信息”的含义;二是明确了非法提供公民个人信息的具体情形;三是列举了何谓“以其他方法非法获取个人信息”。四是明确了设立网站、通讯群组侵犯公民个人信息行为、拒不履行公民个人信息安全管理义务行为的定性和处理。 在专项立法层面,针对消费者个人信息的保护,散见于《中华人民共和国网络安全法》、《中华人民共和国消费者权益保护法》等专项法律法规中。2013年修正的《中华人民共和国消费者权益保护法》在其第29条新增消费者个人信息安全保护条款,此条款被视为我国消费者权个人信息安全保护最直接的法律依据:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。”  在当今网络社会中,个人信息的实际控制者往往占据着明显的经济和技术优势,而消费者往往处于十分弱势的地位。单纯依靠现有的制度,无论是从传统的隐私权等人格权视角还是从个人信息权益保护的视角,消费者往往在诉讼的举证环节中处于不利地位。  案例索引:2013年10月,网上广为流传“2000万开房信息”。王金龙下载了网上流传的文件包,结果发现,自己的姓名、身份证号码、手机号和开房时间等信息均在其中。于是,王金龙向上海市浦东新区法院起诉了汉庭星空(上海)酒店管理有限公司(下称汉庭酒店),认为关于他信息泄漏是由于2012年底入住了广州和深圳的两家汉庭酒店。王金龙向法院提起了8项主张,包括要求汉庭酒店在自己和合作伙伴的服务器上删除开房信息,在各大搜索引擎中删除“2000万开房信息”的链接,赔偿经济损失15万元等。 法院认为,本案争议的焦点在于,被告汉庭酒店是否泄漏了原告王金龙的入住信息,以及是否构成对原告隐私权的侵害。 对此,法院认为“由于原告最初系基于慧某网络公司的无线门户系统存在漏洞,且被告系慧某网络公司无线门户系统的合作客户,故其入住被告的信息被泄露。而从本案查明的事实看,被告与慧某网络公司均一致否认双方在无线门户系统方面存在合作关系,且最初发布系统漏洞的乌某某亦在官网上对此予以了澄清,原告在审理中亦以其入住被告的信息与慧某网络公司无关为由撤回了对慧某网络公司的起诉。因此,在难以确认网上流传的信息中所涉及的原告信息与被告系统中留存的入住信息等具有关联性的情况下,再加之原告现并无其他证据证明被告泄露了其入住酒店的信息,因此对于原告主张被告泄露其入住酒店信息的事实,本院不予采信。基于被告并不存在泄露原告入住酒店等信息的事实,故亦不存在原告所主张的因被告泄露其入住酒店等信息而侵犯其隐私权的事实。由此,原告要求被告承担侵权责任的主张,无事实依据,本院不予采纳。”[1] 该案件曾引发巨大争议,应当说法院的判决符合我国现行法律规定,并无不当。但是也说明,在消费者的个人信息保护领域,如果当事人之间存在明显技术上的不平等,则法律有必要采用举证责任减轻或者倒置的方式加以平衡。我国法律明确规定的举证责任倒置主要适用于以下几个方面:因产品制造方法发明专利引起的专利侵权诉讼;因环境污染引起的损害赔偿诉讼;建筑物或者其他设施以及建筑物上的搁置物、悬挂物发生倒塌、脱落、坠落致人损害的侵权诉讼。从法律严肃性角度考虑,必须在法律有明文规定的情况下,在诉讼中才能适用举证责任倒置。实践中就具体案件在正确运用裁量权确定举证责任倒置的同时,也出现了对该制度的滥用,这与举证责任的法律后果与严肃性不相称,并直接影响了司法的公正性。因此尽管从法的应然性的角度,在消费者个人信息保护领域虽有设置举证责任倒置之必要,但只能期待未来通过法律修改的方式将该制度加以明确。 结合《消费者权益保护法》第29条和《民法总则》第111条,可以确定我国消费者个人信息保护应当遵循以下原则: 首先,应当遵循依法取得消费者个人信息原则。也就是说不能非法收集消费者的个人信息,要获取消费者的个人信息必须通过合法、正当的方式收集。具体而言,一是要有特定、明确、合法的目的;二是要与收集者的自身职能相称,收集者不能收集与其提供的服务无关的消费者个人信息;三是不得违反法律、行政法规的规定和收集者与消费者之间的约定来收集消费者的个人信息;四是要采用已告知的手段和方式直接向消费者收集,不得采用隐蔽手段或者间接方式收集消费者的个人信息。 其次,要恪守告知与个人同意的原则。收集者对于消费者要尽到告知、说明和警示的义务,以明确、易懂和适宜的方式向消费者告知收集和处理其个人信息的目的、收集和适用范围、个人信息保护措施等信息。同意包括默许同意与明示同意。收集一般信息时,可认为消费者只要默许同意就可以,如果该消费者明确反对,要停止收集或者删除其个人信息。收集消费者的个人敏感信息时,要得到消费者的明示同意。原则上不得直接向未满16周岁等限制民事行为能力和无民事行为能力的消费者收集其敏感的个人信息,如果的确有必要收集的,应当征得其法定监护人的明确同意。 其三,要恪守充分和必要原则。也就是说收集者只能收集和处理与特定目的有关的消费者的最少的个人信息,不得过度收集信息。并且在达到处理目的后,应当在最短时间内删除消费者的个人信息。 最后,应当秉持信息安全原则。对依法获取的消费者的个人信息应当采取适当的、与消费者个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护消费者的个人信息安全,防止未经消费者授权的检索、披露及丢失、泄露、损毁和篡改消费者的个人信息,对任何违反以及可能违反信息安全的行为和隐患作出迅速而有效的反应,并及时告知可能受影响的消费者。 避风港条款来自美国1998年制定的《数字千年版权法案》,最早适用于著作权领域,后来被我国立法所借鉴。它指的是法律给第三方网络平台(只提供存储空间、搜索链接,自身不参与信息的提供或交易的网络服务提供者)的一种特殊规定,这种规定广泛适用于平台上出现各种侵权行为的场景,一旦有权利人就平台上的侵权信息向平台发出通知,平台须采取必要措施,否则与实际侵权人构成共同侵权并承担连带责任,当然,采取必要措施的也就不承担责任了。避风港原则反映到我国目前的立法上,最细致的规定是在《信息网络传播权保护条例》里,其中确立了通知-删除-反通知-恢复的一个完整的操作流程。 《信息网络传播权保护条例》的规定虽然细致,但可惜终究只能适用于著作权领域,而《消费者权益保护法》也未对避风港原则作出规定,因此在消费者个人信息保护领域应当直接适用《侵权责任法》第36条的规定。 该条款规定的是网络侵权责任,主要针对的是因网络而引起的对包括消费者个人信息安全等的侵权行为。在此之前《最高院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》对在网络上侵犯著作权的侵权行为已有较为详细的规定,此条基本源于该解释中的规定。该解释第五条对于“网络服务提供者”加以了区分,如提供内容服务的网络服务提供者如网站、提供网络传输服务的网络服务提供者如电信等网络服务商,规定了提供内容服务的网络服务提供者拒不提供实际侵权人的网络注册资料的也承担侵权责任。而本条规定网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,承担连带侵权责任,较之前的规定更为宽泛。 在司法实践中,如果网络用户侵犯了消费者个人信息,比如某知名乐器品牌制造商为了彰显业绩,在其官方微博上披露了消费者包括其家庭住址在内的订货信息,此时如何判断网络服务提供者是否构成“知道”或者是“应当知道”往往是案件争议焦点。 有学者就认为上述第36条是立法者考虑博弈各方利益作出的折中,并指出36条的第二款是一般提示规则,主要是避免给网络服务提供者加诸过重的责任,第三款是特殊规则,只有在确实明知的情况下才适用。这种将《侵权责任法》36条第3款中的“知道”解释为“明知”的观点得到了互联网业界的广泛欢迎,因为它确实能够给网络服务提供者降低承担连带责任的机率。 但是司法实务中则对此持否定态度。如《北京市高级人民法院关于审理电子商务侵害知识产权纠纷案件若干问题的解答》(京高法发〔2013〕23号)第7条就指出:“符合以下情形之一的,可以推定电子商务平台经营者在被控侵权交易信息公开传播前“明知或应知被控侵权交易信息通过其网络服务进行传播…... ”。 笔者以为,诉讼案件的最终裁判者是法官,法院所颁布的对具体问题的裁判观点会极大影响个案中法官的具体裁判工作。因此该规定可以作为律师在处理北京地区法院所受理的利用网络侵犯消费者个人信息的案件时,判断网络服务提供者是否构成“应当知道”网络用户侵犯消费者个人信息的一个重要参考。如果构成下列情形之一,即可视为网络服务提供者对网络用户利用其网络服务侵害消费者个人信息安全之事实构成“应当知道”: 网络服务提供者与提供被控侵犯消费者个人信息的网络用户合作经营,且应当知道被控侵权信息通过其网络服务进行传播;或者网络服务提供者从被控侵权的消费者个人信息的网络传播中直接获得经济利益,且应当知道被控侵权的消费者个人信息通过其网络服务进行传播;或者网络服务提供者在消费者个人信息公开传播前明知或应知被控侵权信息通过其网络服务进行传播的其他情形。 [1] 案情详见上海市浦东区人民法院(2014)浦民一(民)初字第501号民事判决。 编辑:Grace 校对:Liu Tian |
|
|
