2021年11月5日,中财策略大数据法制公益讲座第十四期在中央财经大学学术会堂402如期举行。本期讲座再次聚焦《个人信息保护法》,采用圆桌对话形式,特邀清华大学法学院程啸教授、中国社会科学院法学研究所姚佳教授以及我院刘权副教授,共同分享对《个人信息保护法》实施中疑难问题的见解和展望。
本次讲座由法学院尹飞院长致欢迎辞,邢会强教授主持,朱晓峰副教授、殷秋实副教授、徐建刚博士等在内的100余名师生参与了线下讲座,线上观看人次累计达900人次。对话主要围绕四个部分展开,分别是处理个人信息的合法性基础、知情同意规则、个人信息权益以及侵害个人信息权益的民事责任。
首先,围绕《个人信息保护法》第13条,程啸教授指出这一条集中体现了对保护个人信息权益与实现个人信息合理利用之间的协调。在体例安排方面,目前对各项合法性基础有两种理解,第一种观点认为该条第1款第1项与其他项是并列关系,第二种观点则认为第1款第1项是原则,其他的各项是例外。应当说,总体上立法机关是将告知同意作为处理个人信息合法性的基础与原则的。“列举处理个人信息合法性基础并设定兜底规定,将之不局限于同意是各国《个人信息保护法》的通例,从深层次也可以理解为对个人信息权益的限制及其与其他利益的衡平。”姚佳教授如是说到。刘权副教授提出该条表述存在很多不确定的法律概念,如“合理”、“必需”,该规则的具体适用需要结合《个人信息保护法》中的基本原则条款进行体系解释,并引入比例原则预防个人信息被滥用。此条款体现了公法对私法自治不足的矫正,行为合理、手段必要本是对公权力运行的要求,但日益适用于私主体。原因在于个人信息处理者具有资本、技术等优势,个人处于弱势,二者间事实上处于不平等地位。程啸教授、姚佳教授认同这一观点,表示虽然第十三条作了一些定语限制,但很多情形仍难以一概而论,基于原则和具体场景认定“合理”“必需”,进而认定个人信息处理行为的合法性十分重要。针对当前社会中各种“××查”处理个人公开信息以及近期热点的公众人物隐私,专家们认为《民法典》第1036条和《个人信息保护法》第27条对前者可提供相应规制,要明确个人公开信息也是不可被滥用的。对于后者,程啸教授以德国“摩洛哥公主”案为例,认为需要审视新闻报道其是否为了公共利益作为判断标准。
就《个人信息保护法》第十四条确立的知情同意规则,三位专家也从不同视角进行了解读。程啸教授指出,在告知同意普遍被认为虚化的背景下,确立单独同意有利于培育自然人保护自己的个人信息权益的意识,是十分必要的举措。姚佳教授表示,回归到个人信息保护法的目的来看,告知同意规则意在使个人信息脱控而不失控,对个人敏感信息明确列举并适用单独同意更加彰显了这一点。刘权副教授提出,改变目的应当获得重新同意,可能阻碍数据流通、给用户造成同意疲劳、给企业带来过大的运营成本,建议允许企业在现有目的与初始目的具有相当关联性的情况下,可以不重新取得个人同意,而合理变更原初处理目的,但应防止滥用。程啸教授则认为这一观点需要斟酌,目的限制原则在《个人信息保护法》中具有帝王条款的地位,个人信息处理目的明确是认定个人信息处理行为合的前提与基础,将变更处理目的交由企业决定可能具有较大风险。对此,姚佳教授和邢会强教授也谈到,当前知情同意规则对沉淀和累积了大量数据的金融机构挑战不小,以往的概括授权已然不符合个人信息保护法的规定,行业必须面对此规定和挑战,这样的情形下基于风险评估的场景理论有待深入研究。同时也可考虑完善有关行政法规,设置相应合法性基础予以缓解。
那么,个人信息究竟是权益还是权利呢?在程啸教授看来,个人信息权利的提法主要源自大数据发展背景下个人与个人信息处理者之间在信息、技术等能力上的完全不平等,如何理解个人信息权益的性质仍是学界争议的问题。基于《民法典》第1034条与隐私区分的视角,他认为个人权益是一种独立于既有人格权的新型权益,只有把握好《民法典》与《个人信息保护法》的调整范围才能准确的认识其性质。姚佳教授表示,我国现行法体系中并不存在“个人信息权”这一概念,可以明确的是个人信息权益具有明显的人格属性,同时在《个人信息保护法》“第四章个人在个人信息处理活动中的权利”中,第50条第2款也规定,“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”可见,个人信息主体的权利更加偏向于民事权利。刘权副教授则从公法角度出发,认为《个人信息保护法》第1条明确规定保护个人信息权益,但第四章又设置了个人在个人信息处理活动中的权利,是否前后矛盾?其权利来源为何还有待明晰和解释,可以考虑设立个人信息受保护权。
讲座最后进入到了侵害个人信息权益民事责任部分的研讨。程啸教授和姚佳教授表示,《个人信息保护法》第69条对侵害个人信息权益民事责任统一采取过错推定原则,未区别个人敏感信息与一般信息,国家机关处理与一般个人信息处理者进行设置。“那么个人信息处理者该如何证明自身没有过错?法官又该如何根据情况确定赔偿数额?国家机关作为处理主体的赔偿责任又该如何?”主持人邢会强教授向三位专家如是发问道。程啸教授发表了对前两个问题的看法。他认为,个人信息民事责任在认定方面具有特殊性,存在确认侵害行为人难、因果关系证明难、损害证明难等方面的问题,这些情形以在司法实践中发生的庞理鹏诉东航案等案件中已有表现。就推翻过错推定而言,他认为,随着个人信息保护的法律规范体系的完善和细致,个人信息处理者如果不能证明自己不存在非法处理个人信息的情形,那么就很难证明自己没有过错。《个人信息保护法》第69条中的损失既包括财产损失,也包括精神损害,其与《民法典》第1182条有所不同。法官在认定损失时,需要根据实际情况,即根据行为的目的、方式、后果、过错程度等多种因素加以确定。《民法典》第998条是一个重要的依据。目前,最高人民法院利用网络信息网络侵害人身权的司法解释中规定了一个最高的限额50万元。当然,也可以考虑对非法处理者予以制裁的因素,鼓励个人去起诉。
姚佳教授表示,在立法过程中,学界和各界也曾主张在侵害个人信息的归责原则上可考虑过错责任原则与无过错责任原则“二分法”思路:一是基于不同主体,比如,公共机构承担无过错责任,非公共机构承担过错推定责任;二是基于不同行为,比如,对于自动化数据处理所致损害适用无过错责任,非自动化数据处理所致损害适用过错推定责任。当然,后来立法并没有采取此种“二分法”思路。根据第69条的规定,针对个人信息处理者的侵权行为采用过错推定责任原则。另外,在已有案例中,也曾有运用高度盖然性的民事诉讼证据规则来认定个人信息权益受侵害的情况,但这一点也在后来的其他案例中有所更正和反思。理论层面,关于个人信息权利中的决定权,对于侵害这一决定权的法律责任在解释层面还有待明确,同时对于侵害查阅权、复制权、异议权、更正权、删除权的侵权责任,更多指向个人信息处理者应承担相应行为义务。刘权副教授则着重回应了国家机关作为处理主体的赔偿责任。他指出,虽然《个人信息保护法》未明确建立个人信息保护行政公益诉讼,但检察机关可以依据《行政诉讼法》就国家机关的侵犯个人信息、个人信息保护监管不力提起行政公益诉讼。在个人信息侵权归责原则方面,《国家赔偿法》主要采用了违法原则,而且赔偿范围相对较窄,由于该法制定较早,对于数字时代国家机关在履行职责过程中侵犯个人信息造成的损害,如政府数据开放不当、滥用职权等职务行为导致个人信息权益受损,是否可以赔偿以及如何赔偿,还缺乏明确规定。
本期讲座以嘉宾之间的对话交流展开,内容饱满生动,兼具理论与实践,对《个人信息保护》实施中的相关疑难问题进行了深入浅出的研讨,讲座现场气氛热烈活泼,掌声阵阵。至此,中财策略大数据法制公益讲座第十四期圆满落幕。
文/姜帅
图/宋旭博
注:海报扫码可观看回放
