新知一下
海量新知
6 0 8 4 6 9 5

侵害个人信息权益诉讼要点解析丨民事法律责任

同川晓律 | 社交电商业务合规 2022/01/12 21:56

2021年,随着《中华人民共和国民法典》《中华人民共和国个人信息保护法》等个人信息保护相关的法律及规范性文件的出台,使得个人信息权益保护有了更加具体明确的法律依据。 本文以各级人民法院已经依法作出的民事判决为基础,对个人信息保护的司法实践进行总结,并根据《中华人民共和国个人信息保护法》及目前司法趋势对未来个人信息保护诉讼司法实践进行简要分析

新知达人, 侵害个人信息权益诉讼要点解析丨民事法律责任

01

个人信息权益民事诉讼解析

在《民法典》未明确规定个人信息权益之前,其实已经存在了个人信息侵权的相关司法实践 ,如在名誉侵权中,通过真实个人信息和捏造的信息进行结合,以达到侮辱、诽谤他人的目的;如在肖像权侵权中,未经同意使用他人照片进行收益;如在隐私权诉讼中,收集、公开他人性取向信息。也就是说, 个人信息保护的司法实践从来不是新的,只是通过何种请求权进行保护,只是个人信息侵权的具体场景在不断变化。

《中华人民共和国民法典》第四编人格权明确自然人的个人信息受法律保护,实际上, 个人信息体现了自然人的人格,在目前阶段作为一般人格权进行保护。对个人信息的保护,需要从《中华人民共和国民法典》第三编合同、第四编人格权篇、第七编侵权责任以及《中华人民共和国个人信息保护法》等关于个人信息保护的专门规范中,理清个人信息保护的实体法律要求,及侵害个人信息责任认定等内容 。实践中, 侵害个人信息所适用的民事司法保护方式,一是通过侵权责任进行保护,二是通过合同进行保护 本篇主要对个人信息侵权责任进行解析:

1.个人信息保护侵权诉讼

(1)个人信息的识别

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息根据不同维度可以进行分类,包括原生个人信息和衍生个人信息,敏感个人信息与一般个人信息。 侵害不同类型的个人信息,所造成的损害后果不同,在民事诉讼阶段所提交的诉讼请求及证据内容也存在不同 。一般来说,侵害敏感个人信息的侵权责任大于一般个人信息。 因衍生个人信息具有较高的商业价值、社会价值,在该等信息被侵犯时,除了保护自然人个人信息权益之外,更需要兼顾衍生个人信息的流通,不会因为绝对保护个人信息而限制个人信息流动。

同时,我们要注意区分个人信息与非个人信息。 目前对个人信息采用列举概括的方式进行明确,《个人信息安全规范》对个人信息已经进行了详细的分类,在该规范之外的“个人信息”是否属于个人信息,还需要回归到法律规定本身来看。 例如,公众号点赞次数、使用共享单车的次数,该信息单独处理,则无法或者需要通过其他辅助措施才能识别到特定的个人,在仅有该信息时,就不能认定为其属于个人信息,但是如与姓名、身份证、手机号等进行结合处理,则属于个人信息。简单来讲,个人信息和非个人信息存在关联性,个人信息经过匿名化处理,难以识别到具体个人的,即使自然人认为该信息属于其个人信息,但也应当认为是对非个人信息的侵犯(是否构成侵权需要结合具体情况分析),如果后续通过转化可以识别到特定的人,则转变成对个人信息的侵犯。

因此,如存在个人信息侵权的风险,首先应当根据具体场景分析确认,是否为个人信息,以及为何种类型的个人信息。

(2)侵害何种个人信息权益

根据《民法典》《个人信息保护法》等规范性文件的规定,自然人个人信息依法受到保护,个人对个人信息的处理享有知情权、决定权,查阅、复制权,更正、补充权,删除权,解释说明权等权利。 在我们遇到侵害个人信息的纠纷时,首先根据具体场景核查确认了侵害了个人信息以及侵害的个人信息属于何种分类时,再确认侵犯了个人信息中的具体何种权利 。现实中, 常见的侵害个人信息权益的行为基本如下:查询、复制个人信息受阻;错误标注个人信息而不予更正或删除;个人信息泄露;利用个人信息自动化决策产生算法歧视;篡改个人信息;对外非法提供个人信息。在日常生活中,侵害知情权、决定权非法对外提供个人信息的侵权行为非常常见。

(3)侵权案由选择

在民事诉讼中,案由被作为案件名称的组成部分,是案件所涉及民事法律关系性质的反映,案由的选择会直接影响权利人起诉案件的管辖、举证责任、争议焦点、诉讼时效等权利,不当的案由可能导致权利人最终的维权目的无法实现。在《民法典》出台后,最高人民法院对《民事案件案由规定》进行了修改。

在未增加“隐私权、个人信息保护纠纷”案由之前,自然人被侵犯个人信息之后,往往选择的案由为“隐私权纠纷”、“名誉权纠纷”、“肖像权纠纷”、“一般人格权纠纷”等,尤其是“隐私权纠纷”、“名誉权纠纷”。在“隐私权纠纷”、“名誉权纠纷”、“肖像权纠纷”、“一般人格权纠纷”中,虽然行为人处理了自然人各种个人信息,但是上述纠纷中,个人信息的处理并不必然导致侵害自然人的隐私权、名誉权等人格权。

(4)原告的主体资格

根据《中华人民共和国民事诉讼法》规定,起诉的原告必须是与本案有直接利害关系的公民、法人和其他组织。个人信息为自然人享有的权益,法人、其他组织并不享有该权利。因此, 原告是与个人信息相关的自然人,而不能是法人、其他组织。但是,根据《个人信息保护法》第七十条的规定,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

(5)被告的主体资格

《个人信息保护法》明确个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。因此, 被告既包括具体实施侵权的具体自然人,也包括指示、委托具体自然人实施侵权行为的自然人、法人或非法人组织。 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。根据处理个人信息主体的不同角色,被告可以为个人信息收集者、储存者、使用者、加工者、传输者、提供者、公开者。

(6)诉讼请求

侵害个人信息的民事法律责任,同时适用于《民法典》关于人格权编和侵权责任编的相关内容。 在个人信息权益受到侵害时,自然人可以要求侵权行为人承担停止侵害、排除妨碍、消除危险、赔礼道歉、恢复名誉、消除影响等非损害赔偿类责任,也可以要求侵权行为人承担损害赔偿责任,包括物质类的损害赔偿,也包括精神损害赔偿。

因个人信息处理者的信息处理活动不同,所体现的对个人信息侵害的表现形式不同。因此, 在确定案件诉讼请求时,应当根据侵害个人信息权益的类别和表现形式,确定符合要求的诉讼请求类型,并确保该诉讼请求在实践中可以执行,并且执行之后有客观的依据可以确认 。举例而言,(1)某App未经用户同意收集浏览信息,那么在起诉时,诉讼请求可以列为:请求判令某App停止后台收集用户浏览信息,并且删除已经储存的信息,并提交日志证明已经全部删除。(2)某APP经用户同意收集个人信息,个人向APP运行主体行使查询复制权,但某APP拒绝提供,那么在起诉时,诉讼请求可以列为:请求判令某APP运营主体以电子邮件形式向用户提供word版个人信息材料,并且提交后台收集用户个人信息的类型的截图,证明提供了全部个人信息。

(7)侵害个人信息的责任认定

侵害个人信息的本质仍为侵权行为,如以侵权之诉处理,则需要回归到请求权构成要件本身。 侵权行为的四要件为侵权行为、损害结果、因果关系、过错。

【侵权行为】 根据上述内容,在自然人通过个人信息识别及确定侵害其何种个人信息权益之后,侵权行为或者加害行为本身便已经确认。

【损害结果】 侵权行为本身可能会产生权益侵害和损害两种结果,对个人信息权益的侵害,并不必然导致产生损害结果。 区分侵害与损害主要在于明确当行为人被确认侵权后,是只承担停止侵害、排除妨碍、消除危险、赔礼道歉、恢复名誉、消除影响等非损害赔偿类责任,还是需要进一步承担物质类的损害赔偿、精神损害赔偿。 例如,当用户向个人信息处理者申请查询、复制个人信息被拒绝后,个人信息权益实际上被侵害的是自然人查询、复制权,个人信息处理者本身拒绝查询、复制的行为即构成对个人信息的侵害,但实际上很难导致自然人精神受损,或者发生额外的物质损害,如误工费等。因此,自然人的精神损害赔偿、物质损害赔偿的诉讼请求将会因为没有事实及法律依据被法院依法驳回。

【因果关系】 侵权行为与权益侵害、损害之间需要有引起与被引起的关系, 因果关系是个人信息侵权责任成立与否的关键环节。 个人信息侵权行为种类繁多,每种侵权行为所引起的侵害结果、损害也各不一致,需要在具体场景中分析确认。 因果关系包括权益侵害的因果关系,损害的因果关系。 拒绝用户查询、复制行为本身已经导致自然人的个人信息查询、复制权受到侵害,但该侵权行为往往很难造成精神损害、物质损害,如自然人认为拒绝查询、复制的侵权行为导致其生病,则生病与个人信息查询、复制侵权行为不存在必然或者高度盖然的关系,损害赔偿的请求会基于因果关系不符合而无法得到支持。 在判断因果关系时,可以从几个角度入手:一是如有这种行为,是否通常会产生损害;二是根据目前证据,证明侵权行为与损害结果之间具有发生的高度可能性;三是通过案例司法实践,明确特定行为会引起特定损害结果,从而只需要认定特定行为就确定特定损害结果发生。

【过错】 过错包括故意与过失,但在个人信息侵权诉讼中相对无需进行区分。 在目前司法实践中,主观过错均可以通过行为客观化表现出来 ,如《个人信息保护法》规定了个人在个人信息处理活动中的权利,个人信息处理者的义务,并且上述义务目前越来越明细化。在相关规范性文件出台之后,个人信息处理者不履行或者履行义务不符合标准的,至少认为其具有过失,即行为人对于其行为可能造成他人个人信息权益受损的结果应当予以注意或者能够注意,但因为疏忽大意或者自信能够避免而未注意。另外, 虽然行为人可能按照相关法律规范履行了初步的义务,但其义务履行落后于同行或行业更进一步的要求,则从“理性人”的角度来看,行为人仍然对侵害个人信息权益存在过错。 “理性人”需要根据行为人所在的行业、地域等进行明确 ,例如在北上广深的互联网科技企业所掌握的个人信息保护技术以及意识应当高于西部落后地区的传统制造业,在审理互联网企业时,其理性人的标准更高,即义务履行标准更高,那么互联网企业如履行义务落后于行业,则其被认定为过失的可能性更高。

《个人信息保护法》第六十九条规定:处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。在 个人信息领域,采用的是过错推定,即自然人证明个人信息处理者存在侵权行为,存在侵权结果,且具备因果关系,个人信息处理者能摆脱承担侵权责任的可能性便在于是否能够证明自身不存在过错。

(8)个人信息处理者的责任抗辩理由

《民法典》第一千零三十六条规定:处理个人信息,有下列情形之一的,行为人不承担民事责任:(一) 在该自然人或者其监护人同意的范围内合理实施的行为;(二) 合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;(三) 为维护公共利益或者该自然人合法权益,合理实施的其他行为。上述条款为个人信息侵权中单独规定的免责事由。

【侵权责任构成要件的抗辩】责任抗辩包括减轻、免除责任两种,既包括对侵权责任本身构成要件的抗辩,如不存在侵权行为、损害与行为无因果关系、自身无过错,也包括基于法律规定免责或减轻法律责任的抗辩。

【法律规定的免责或减轻责任理由】 (1)不可抗力。个人信息常见的侵权行为为泄露,但是由于海啸、地震等不可抗力,导致侵害个人信息,则可以免责或者减轻责任。不可抗力适用需要满足因不可抗力泄露个人信息的行为人需要及时告知自然人,并且不可抗力负有证据。(2)紧急避险。如A与B存在婚外情,B的配偶C持刀要求B交出A的家庭住址、联系电话、工作单位等。 (3)依法保护合法权益。 如A与B存在婚外情,B的配偶C自行跟踪拍摄A与B的不正当男女关系视频作为诉讼证据。 (4)受害人同意。 如通过隐私政策合法合规告知收集个人信息的基本情况,且自然人同意的。(5) 处理行为符合《个人信息保护法》第十三条 (二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。

提示1: 以处理行为符合《个人信息保护法》第十三条第(2)至第(7)款为由进行抗辩,需要特别注意符合相关条件的司法实践要求。 以(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息为例,处理个人自行公开或者其他已经合法公开的个人信息,需要特别注意合理范围和限制,如信息主体明确表示拒绝,或者处理该信息侵害个人重大权益的,或者以违反社会公共利益、社会公德的方式再次公开,均可能侵害自然人个人权益。

提示2: 在个人信息侵权诉讼中,行为人往往会以重复传播作为抗辩理由,即当涉诉的个人信息只是合理引用或者重复传播权威媒体信息时,除非能证明该信息以普通人来看不真实,行为人可以因此抗辩免责。

(9)侵权行为本身产生的法律责任

根据上述分析, 原告根据侵害个人信息的具体形态确定诉讼请求,诉讼请求基本分为停止侵害、排除妨碍、消除危险、赔礼道歉、恢复名誉、消除影响等非损害赔偿类责任(该等侵权责任不适用诉讼时效),损害赔偿责任,包括物质类的损害赔偿,也包括精神损害赔偿。

停止侵害: 主要根据原告提交的诉讼请求,判断侵害是否已经停止,停止侵害的行为是否具有可执行性。例如,要求删除在微信朋友圈发布的A的照片及姓名。

消除危险: 如A在小区楼道安装摄像头,摄像头可以看到B卧室的信息,B起诉要求拆除摄像头或者调整摄像头确保不会收集B的个人信息。

赔礼道歉、消除影响、恢复名誉: 《民法典》第一千条规定 行为人因侵害人格权承担消除影响、恢复名誉、赔礼道歉等民事责任的,应当与行为的具体方式和造成的影响范围相当。行为人拒不承担前款规定的民事责任的,人民法院可以采取在报刊、网络等媒体上发布公告或者公布生效裁判文书等方式执行,产生的费用由行为人负担。 如某商家通过京东销售货物,用户A在购买产品之后给了差评,商家通过朋友圈发布了A的评价信息、收件信息、姓名等在朋友圈发泄私怨,则A可以请求商家在朋友圈进行道歉。—— 特别提示的是,被告通过其运营的网站、公众号、微博等公共途径进行赔礼道歉的商业损失更大,在诉讼过程中,应当特别注意。

赔偿损失 :《个人信息保护法》第六十九条:前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。《民法典》第一千一百八十三条侵害自然人人身权益造成严重精神损害的,被侵权人有权请求精神损害赔偿。因故意或者重大过失侵害自然人具有人身意义的特定物造成严重精神损害的,被侵权人有权请求精神损害赔偿。 根据上述规定及司法实践,侵害个人信息可能造成物质损失、精神损失,基本不会产生人身损害。

确定物质损害时,主要考虑受到的损失及个人信息处理者因此获利,损害、获利无法确认的,则根据实际情况赔偿 。实践中,常见的实际损失包括自然人因维权所支出的差旅费、保全费、案件受理费、律师费等,以及因个人信息侵害直接遭受的损失,如个人信息被泄露导致自身上当受骗支付金钱的。损失赔偿本质上是使得权益恢复到未发生损害的状态,如果受害人因侵权行为获益,则需要在损失中扣除收益部分。另外,如果受害人对侵权结果发生存在过错,则受害人应当自行对过错部分的损害自行承担责任,而无权要求侵权行为人赔偿。

确定精神损害赔偿时,如果已经判决赔礼道歉,则受害人的精神损害已经得到部分补偿,一般不再判赔精神损害赔偿,或者判决金额很少。 如判决精神损害赔偿,需要达到填补精神损害的目的,同时不能超过社会经济发展水平及一般人的认知。

02

个人信息权益民事诉讼司法实践的发展

个人信息民事诉讼司法实践在个人信息正式被列为民事权益时,已经通过侵权之诉、合同之诉进行了司法保护,但随着个人信息保护的进一步发展,个 人信息权益保护呈现着不同的特点:

1.民事公益诉讼

根据上述分析,个人信息处理者侵害个人信息的行为多种多样,且个人信息一般的侵权所造成的损害结果较小,自然人维权时间、金钱成本大,且个人信息处理者最终承担的责任较轻。因此,《个人信息保护法》第七十条规定个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

例如: 被告宁某等人于2020年6月至2020年12月期间,在沈阳通过即时通信软件联系经常参与电子竞技游戏的网民,以免费领取游戏装备为诱饵,利用话术引诱网民提供微信账号、绑定的手机号、登录密码和支付密码,进而通过修改密码,再解除微信号与原手机号的绑定,彻底控制微信账号,通过非法出售其窃取的微信账号等个人敏感信息牟取不法利益。六被告共骗取他人微信账号1440余个,对社会公众的个人信息安全造成严重危害。沈阳市人民检察院在履行检察公益诉讼职责中发现六被告上述行为,向沈阳中院提起个人信息保护民事公益诉讼,要求宁某等人在国家级媒体公开道歉,并承担赔偿责任。沈阳中院在受理此案后,依法由审判员和人民陪审员组成七人合议庭,对案件进行深入分析和研判,庭审活动全程网络直播。检察机关宣读公益诉讼起诉书,通过电子信息化设备展示相关证据,并发表出庭意见。六被告答辩均表示已认识到自己行为的错误和法律后果,向社会公众道歉,将积极配合履行法定义务,承担法律责任。

2.诉讼变成商业竞争的手段之一,专业人士维权入场

如律师、税务师、教授及其他个人信息保护专家个人信息权益被侵害,则会提起更加专业及可能颠覆商业模式的诉讼,并影响司法、立法的进展。如庞某某诉东航案,杭州野生动物园案……另外,如违法爬取微博用户评论昵称、头像等信息,可能被诉不正当竞争……

3.立法不断推进,司法规则正在建立

目前,个人信息保护法出台后,个人信息具体权益及司法规则尚需进一步确立, 先进的法院如广州互联网法院、杭州互联网法院、北京互联网法院均在积极承办、发布典型案例,树立个人信息保护规则。

03

结语

《个人信息保护法》中既包括了个人信息具体权益,个人信息处理者的具体义务,有相关民事侵权责任规定,也有更加严格的行政处罚责任甚至刑事责任。民事诉讼与行政投诉举报、刑事报案的交叉处理方案,更容易导致个人信息处理者因为个人信息保护而遭受重大不利。通过个人信息民事责任的分析与探讨,厘清诉讼中个人信息权益的边界,尽量将法律责任控制在较轻的程度,以便企业更好发展,个人信息得到更加充分的保障。


更多“法务”相关内容

更多“法务”相关内容

新知精选

更多新知精选