互联网的迅猛发展为社会带来了诸多便捷。然而适用互联网留下的大量数据稍有不慎,就会严重威胁到个人隐私和财产安全。曝光在大数据下的个人信息如果不能得到有效保障,那么互联网也势必因防不胜防的危机而变得黯淡不堪。2017年10月1日,增设“个人信息保护”条款的《民法总则》即将实施,意味着个人信息权正式作为民事权利受到法律保护。
本期法务圈专栏我们为大家邀请到阿里巴巴集团高级法律专家张译文。张译文长期从事互联网诉讼以及司法研究工作。本期分享将全面介绍《民法总则》新确定的个人信息保护权利,以大量翔实的案例预见未来案件中对企业的举证要求,为企业的个人信息管理提出建议。
文/张译文 阿里巴巴集团高级法律专家
一、个人信息保护的法律依据
个人信息的定义
1.《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)提出了个人电子信息的概念:国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。
2.《网络安全法》(2016年11月7日颁布,2017年7月1日实施)第七十六条规定:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
3.最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年3月20通过,自2017年6月1日起施行)第一条规定:刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
保护个人信息的相关法律依据
《民法总则》第一百一十一条规定:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。这条关于个人信息的保护规定在《民法总则》人格权部分,因此,个人信息属于人格权。
另外,《消费者权益保护法》第十四条的规定:消费者在购买、使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利。第二十九条规定:经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
在《民法总则》2017年10月1日实施前,个人信息按照《侵权责任法》也一样受到保护,按照《侵权责任法》法第2条规定:侵害民事权益,应当依照本法承担侵权责任。本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。《侵权责任法》第2条确定其保护范围为民事权益,包括人身和财产两个方面。因此,不论将个人信息的保护基础归为人身权还是财产权,或者仅是一种利益,作为信息主体的民事权益,都可依此获得保护。
二、个人信息保护的归责原则
个人信息权规定在《民法总则》的人格权部分,结合《侵权责任法》法律条文的体例看,个人信息保护应该按照《侵权责任法》第六条第一款的过错责任承担责任。《侵权责任法》第六条第二款的过错推定以及第七条的无过错原则都需要法律明确规定。
在《民法总则》施行前发生的个人信息保护的案例,法院也均采用了过错原则归责,但在举证责任分配上有所不同。
2016年,成都发生的个人信息泄露的案例则采取了举证责作倒置的原则(2015成民终字第1634号)。2013年11月5日,林念平的公司工作人员通过拨打028-888××××8,为林念平订购了一张由成都飞往昆明的机票,并以转账的方式向四川航空公司官方网站支付420元的购票费(实际支付370元,另外50元由林念平的银卡会员账户积分1000分抵扣)。订票同时,林念平的公司工作人员将林念平的手机号码告知四川航空公司,并于当日收到四川航空公司发送的成功出票信息及航班信息。同年同月9日,林念平的手机收到153××××9650号码发送的信息,载明了林念平的姓名及详细的航班信息,并提示林念平所订购的航班因故将停飞,,要求其通过拨打400××××020办理退票或改签手续。后林某另外订购了机票,实际原航班并未取消。林某知道被骗后,以四川航空公司泄露其个人信息为由起诉。一审法院认为“林某应承担举证不能的法律后果”,判决驳回了林某起诉。二审中,成都市中级人民法院审认为“林某系远离证据材料、又缺乏必要的收集证据的条件与手段的普通消费者,四川航空公司收集证据的能力明显强于林某”,要求林某进一步举证,有违公平原则。并且“在林某被诈骗的时期,此类事件频发,进一步印证林某个人信息泄露是从售票渠道泄露出去的基本事实”。基于其他举证和理由,法院最终判定四川航空公司应当承担侵权责任。该案件中,二审法院采取了举证责任倒置,在航空公司不能举证自己没有过错的情况下,认定了航空公司侵权责任成立。
