首页 > 国内新闻 > 正文

准确理解大规模侵害个人信息民事公益诉讼

要点提读

◎关于民事公益诉讼损害赔偿范围,可以参照《最高人民法院关于审理生态环境损害赔偿案件的若干规定(试行)》中关于“生态环境修复费用”的规定,增设“修复网络生态费用”,以实现大规模侵害个人信息民事公益诉讼修复网络生态的目的。

◎实践中,个人信息处理者往往以提供个性化产品或服务为由收集个人信息,并以此为个人信息收集的正当性辩护。为了合理分配该类案件中的举证责任,可以适用过错推定责任,即个人信息处理者如能证明自己没有不当收集个人信息,则可以减轻或免除责任。

大规模侵害个人信息,是指个人信息处理者作为或不作为的某个行为,造成不特定多数人的个人信息权益遭受不法侵害的情形。大规模侵害个人信息公共事件常发生于互联网空间,往往涉及众多受害者和海量的个人信息,直接损害社会公共利益,已经成为网络治理领域亟待解决的重要问题。

自2021年11月1日起施行的个人信息保护法强化了对大规模侵害个人信息行为的预防性监管,其中,第58条对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者规定了应当履行的义务条款,第70条为大规模侵害个人信息民事公益诉讼提供了直接依据,体现了立法者对通过公益诉讼进行救济的肯定态度。但在司法实践中,大规模侵害个人信息民事公益诉讼的制度仍较为抽象,没有完全发挥出预防、救济和震慑功能,在民事公益诉讼之目的、损害赔偿、举证责任划分等方面仍有欠缺,不利于对被侵害主体提供民事救济,有待进一步完善。

一、大规模侵害个人信息民事公益诉讼的目的

构建大规模侵害个人信息民事公益诉讼制度,是对个人信息保护行政监管体制的有力补充,同时也弥补了传统民事救济途径的不足,可以更好地保护个人信息权益,最终维护社会公共利益。

一是提供个人信息保护的公共产品。现代社会的高速发展使得公共事务领域进一步扩张且模糊化,服务型政府理念的提出也在表明现代语境下的“权力”不再是“支配——被支配”的简单对立,更重要的是提供更丰富的公共产品的能力。在纷繁复杂的公共领域,无论是立法机关的事前规范,还是行政机关的日常监管,抑或是司法机关的事后救济,均不可能充分保护个人信息权益。大规模侵害个人信息民事公益诉讼制度的提出,实际上是通过检察机关、法律规定的消费者组织和由国家网信部门确定的组织,以民事公益诉讼的方式,为社会提供个人信息保护的公共产品。

二是弥补传统民事诉讼的漏洞。面对大规模侵害个人信息的不法行为,传统民事诉讼救济途径是被侵权人提起民事侵权之诉。但极低的违法成本和巨大利益,使得以欺诈、诱骗、误导的方式收集个人信息,因个人信息处理者的管理原因不慎大规模泄露用户信息,非法泄漏、窃取、售卖个人信息,未经用户同意向第三方传输数据等事件频频发生。

民事公益诉讼可以弥补以上救济途径的不足之处。第一,在大规模侵害个人信息侵权案件中,民事公益诉讼原告或民事公益诉讼起诉人一定程度上能够代表被侵害人更有效地积极行使诉权。大规模侵害个人信息民事公益诉讼由检察机关、法律规定的消费者组织和由国家网信部门确定的组织提起,较个人而言在侵害事实的发现、举证质证、专业知识和相关经验的掌握上更具优势,有利于弥补被侵权人与侵权人之间诉讼地位和诉讼能力实质上的不平等。

二、大规模侵害个人信息民事公益诉讼损害赔偿的确定

在大规模侵害个人信息民事公益诉讼中,损害赔偿的数额标准较为模糊,不利于保护受害者的权利。个人信息保护法第69条第2款规定,损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。该条款实际上遵循传统民法的私益诉讼理论,在表述上基本沿袭了侵权责任法第20条和民法典第1182条关于侵害人身权益的财产损失赔偿额的规定,只不过将侵犯的权益由“侵害他人人身权益造成财产损失”改为“侵害个人信息权益造成损害”,没有单独明确规定民事公益诉讼的损害赔偿范围。

笔者认为,关于民事公益诉讼损害赔偿范围,可以参照《最高人民法院关于审理生态环境损害赔偿案件的若干规定(试行)》中关于“生态环境修复费用”的规定,增设“修复网络生态费用”,以实现大规模侵害个人信息民事公益诉讼修复网络生态的目的。

此外,如果出现无法通过被侵权人损失和侵权人获益确定损害数额的情况,可以根据现有的司法解释加以解决。例如,可以参照《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第2款的规定,即被侵权人因人身权益受侵害造成的财产损失以及侵权人因此获得的利益难以确定的,人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。

三、大规模侵害个人信息民事公益诉讼举证责任的划分

在侵犯个人信息案件中,通说认为传统的过错责任原则实质上加重了被侵权人的举证负担,不利于被侵权人行使诉权。因此,立法和司法实践中开始陆续尝试重新合理分配双方举证责任,即在过错责任原则下用盖然性证明标准将举证责任转移到侵权人一方。个人信息保护法第69条第1款规定,处理个人信息侵害个人信息权造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。此处将侵犯个人信息行为的责任定义为过错推定责任。在此基础上,可以探讨以下四种常见的大规模侵害个人信息行为的举证责任分配规则。

1.大规模不当收集个人信息行为的举证责任

大规模不当收集个人信息行为是指个人信息处理者在大规模收集个人信息的过程中,没有遵循合法、正当、诚信原则,违反其应履行的义务而收集个人信息的行为,包括在收集过程中采用欺诈和诱导等方式收集信息、过度收集信息、未取得信息权益主体同意及未告知个人信息处理者的身份、联系方式、处理目的、处理方式、处理期限等。不当收集个人信息行为本身侵犯个人的信息权益,但由于收集个人信息的具体规则和标准均由个人信息处理者掌握,被侵权人很难举证证明个人信息处理者的收集行为是否符合合法、正当、诚信原则。实践中,个人信息处理者往往以提供个性化产品或服务为由收集个人信息,并以此为个人信息收集的正当性辩护。为了合理分配该类案件中的举证责任,可以适用过错推定责任,即个人信息处理者如能证明自己没有不当收集个人信息,则可以减轻或免除责任。在民事公益诉讼中,应当考虑个人信息处理者所提供的产品或服务与其收集的信息之间是否具有直接紧密的关系。

2.大规模泄漏个人信息行为的举证责任

大规模泄漏个人信息行为是指个人信息处理者没有尽到安全保管义务和匿名化处理义务,从而导致其掌握的个人信息泄漏或被窃取。在该种情况下,个人信息处理者违法行为的主观要件为过失,其应该为自己因过失导致的信息泄漏承担责任。这种案件中,被侵权人同样难以了解掌握个人信息处理者的信息保护措施,更无从寻找个人信息处理者可能存在哪些系统漏洞。因此,为了平衡双方的举证责任,大规模泄漏个人信息行为也适用过错推定责任。个人信息处理者如果无法证明自己已经尽到安全保管义务和匿名化处理义务,并且无法证明泄漏的原因可以归责于第三人的非法入侵,则应当承担侵权责任。

3.大规模不当利用个人信息行为的举证责任

大规模不当利用个人信息行为是指个人信息处理者在利用个人信息过程中没有遵循合法、正当、诚信原则的行为,包括不当利用敏感个人信息、未对应该匿名化处理的个人信息进行匿名化处理、对个人信息的利用超出其告知个人信息主体的利用范围、自动化决策不透明和处理结果不合理等。从传统的过错责任和举证规则出发,被侵权人应负责证明大规模不当利用个人信息行为的不正当利用之处。然而,个人信息利用方法和算法均由侵权人掌握,且具有较高技术门槛,被侵权人很难了解和明白具体的信息利用规则。此外,新技术变革对被侵权人的举证也带来新的挑战。

有学者认为,可通过个人信息匿名化处理来减少对个人信息的精准识别。但大数据时代的特征之一便是将海量数据全部转化为可参考样本,通过总量优势来弥补信息识别中的精确性下降。这意味着个人信息处理者仍可通过识别和分析大量非敏感信息,实现对个人有针对性地画像。而且,由于技术手段的快速更新发展,个人信息处理者对个人信息的利用形式越发灵活多样,以致超出法律的预设范围,这也为被侵权人的举证带来困难。笔者认为,此类行为致人损害的,可适用无过错责任。大规模不当利用个人信息行为本身的潜在危害性比不当收集更为严重,而被侵权人承担的风险更大,因此根据公平原则,可以让个人信息处理者承担更大的举证责任。

4.共同侵权的责任划定

实践中,个人信息处理者将掌握的个人信息委托第三方进行分析使用的情形不少见。一旦出现纠纷,个人信息处理者则以自己并未实施侵权行为为由进行抗辩。这种情况给被侵权人的举证带来新的挑战。根据传统的侵权理论,被侵权人应就共同侵权人存在共同的故意、共同实施了侵权行为及侵权行为和自身损害之间存在因果关系进行举证。

个人信息保护法第20条第2款规定,个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。该条款规定共同侵犯个人信息的应承担连带责任。对该条中“共同处理个人信息”的理解应进一步细化,即当被侵权人在证明共同侵权人的共同故意时,只需证明个人信息处理者没能履行其监督第三方的义务即可。如果认定个人信息处理者并未履行其监督义务,则可判断个人信息处理者与第三方存在共同侵权的故意。

【作者为泰和泰(重庆)律师事务所专职律师】

相关阅读:
能动履职促进汽修行业危废规范处置 内蒙古昨日新增本土37+93,其中锡林郭勒盟29+93