註:學會官方公眾號原創,轉載請註明來源:娛樂法內參 yulefaneican 作者:葉雅冰
娛樂法內參導讀:
近日,原告孫某某因發現其上傳至校友錄(小範圍社交網站,已停運)的頭像證件照與其姓名一同出現在百度搜索結果中,以百度網站未經其同意通過爬蟲技術向不特定公眾公開其個人信息,侵犯其隱私權、個人信息權益為由,訴至北京網際網路法院,要求判令北京百度網訊科技有限公司賠償其經濟損失1元和維權費用40元。雖然本案標的額只有象徵性的1元,但作為我國「通知刪除」模式下的標誌性案件,本案對於個人信息保護領域的指引作用不可小覷。下面,內參叔將結合本案判決,對個人信息的使用邊界和網絡服務提供者的侵權責任進行分析,並將我國「通知刪除」規則下的被動保護模式與歐盟《通用數據保護條例》中的「被遺忘權」進行比較,以進一步明晰我國個人信息保護的特點。
一、個人信息的使用邊界
(一)何為個人信息?
《民法典》第1034條第2款規定:「個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。」換言之,個人信息的主體僅限於自然人,且個人信息的主要認定標準為較強的「可識別性」。以本案為例,若孫某某之訴求客體僅是單獨的證件照片,或許只能歸於肖像權的保護範疇,但由於其訴求為帶有其面部特徵信息的證件照片與其自然人姓名之結合,具有極高的「可識別性」,僅能識別為唯一特定自然人,因此可落入個人信息的保護之中。
此外,《民法典》第1034條第3款進一步將個人信息分為私密信息和一般信息。其中,私密信息是指通常不能適用於正常的社交場合、不宜在日常社會交往中廣泛傳播的信息,如裸照、身份證號等,對於私密信息的保護應適用有關隱私權的相關規定。而一般信息是指主觀上當事人無隱匿意願,且客觀上不處於私密狀態、能夠在日常社會交往中用於個人身份識別的信息,如本案中的個人信息,對於一般信息的保護應適用個人信息保護的相關規定。
(二)私密信息之使用邊界
對於侵權風險極高的私密信息,其保護邊界適用關於隱私權保護的嚴苛規定。《民法典》第1032條明確規定:「任何組織或個人不得以刺探、侵擾、洩露、公開等方式侵害他人的隱私權。」《民法典》第1033條第(五)項明確將「處理他人的私密信息」列為法定禁止的隱私權侵害行為之一。因此,對於私密信息,即使權利人未予通知刪除,網絡信息服務者若明知或應知存在私密信息之公開、洩露或其他違法處理的情形,應及時主動刪除,否則將構成對權利人隱私權之侵害。
(三)一般個人信息之使用邊界
對於侵權風險較低的一般個人信息,其保護邊界相對寬鬆,且可能存在權利人願意積極公開、一定範圍公開或不願公開等多種情形。基於網際網路言論自由和信息公開的本質特徵,北京網際網路法院認為可將權利人上傳一般個人信息到公開網絡的行為推定為權利人同意公開該一般個人信息。因此,對於一般個人信息,在權利人通知刪除前,網絡信息服務者將無法判斷涉案信息是否是未經授權公開的信息,若其對涉案信息不存在明知或應知的主觀過錯,則不構成對權益人個人信息權益的侵害。
二、網絡服務提供者之侵權責任認定
在「校友錄」頭像被爬案中,北京網際網路法院對於網絡服務提供者之侵權責任的認定路徑包括如下三步:第一,認定涉案信息構成「個人信息」;第二,認定被控侵權行為屬於未經同意處理個人信息的行為;第三,基於「通知刪除」規則認定網絡服務提供者之相應侵權責任。下面,內參叔將對比歐盟《通用數據保護條例》下的「被遺忘權」模式和我國法下的「通知刪除」模式,進一步闡釋網絡服務提供者之侵權責任。
(一)我國法下的「通知刪除權」及其被動保護模式
《民法典》第1037條第2款規定:「自然人發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的,有權請求信息處理者及時刪除。」此款系「通知刪除」模式的法律依據,即當信息處理者違反法律法規或違背與自然人之約定時,自然人可以採取「通知」的方式,要求信息處理者及時將涉案信息刪除。
一般而言,除搜尋引擎外的普通網絡服務提供者,如普通網站或社交媒體等,可通過提前要求用戶勾選訪問同意來規避「通知刪除」責任。然而,搜尋引擎的特殊性使其無法對用戶的預期搜索內容加以預判,進而無法與用戶進行預先約定。於是,當搜尋引擎通過爬蟲技術訪問、處理,並於搜索結果中呈現已被刪除但未關閉瀏覽權限的、儲存於其他網站信息庫中的信息時,搜尋引擎需根據相關法律規定承擔「通知刪除」責任。若相關網絡服務提供者怠於履行通知刪除責任,導致侵權行為的擴大,引發難以修復的損害,網絡服務提供者應對其怠於刪除的行為所造成的損失承擔相應的賠償責任。
然而,雖然個人信息在網際網路經濟的商業利用下,已經呈現一點的財產價值屬性,但是具體的侵權數額尚無客觀標準,個人信息權利人通常難以對其財產損失的具體數額予以舉證,在本案中也只是象徵性的予以1元之賠償,規避了對具體損失數額之舉證。因此,內參叔認為,網絡服務提供者的侵權責任通常僅限於「刪除」行為本身,其進一步的賠償責任仍有待進一步的相關立法予以確認。
(二)歐盟《通用數據保護條例》下的「被遺忘權」保護模式
與我國的通知刪除模式不同,歐盟的《通用數據保護條例》以「被遺忘權」的形式對與本案類似的情形予以保護。《通用數據保護條例》第17條將我國《民法典》第1037條第2款中的兩種情形擴張具化至六種情形。在《通用數據保護條例》的「被遺忘權」保護模式下,信息權利人可提請「通知刪除」的情形不再局限於純粹客觀的違反法律法規或違反約定的情形,還囊括了充分尊重當事人主觀意志的信息「不必要」、當事人撤回同意、當事人反對處理等情形。
在「被遺忘權」保護模式下,當事人提請網絡服務提供者「通知刪除」的權利不再以當事人上傳數據時的主觀意志為唯一根據,網絡服務提供者也不能僅以設置預先同意選項而完全迴避其通知刪除責任。當事人在勾選同意並上傳個人信息後,仍然有選擇「被遺忘」的後悔權利。較之我國法下的「通知刪除」模式,「被遺忘權」模式充分尊重了當事人流動的主觀意志。此外,必須強調的是,「被遺忘權」模式雖然體現了對當事人意志的絕對尊重,但也未忽視個人信息的公共屬性,它並沒有把當事人的意志視為「通知刪除」權的唯一考慮因素。當出現更為重要的公共利益時,如該信息涉嫌相應的刑事犯罪或與社會治安、公共衛生事件息息相關而必須公開時,當事人不能再以己方意志提請刪除。
內參叔曰
「校友錄」頭像被爬案作為個人信息保護領域的又一標誌性案件,對劃分網絡領域個人信息使用的邊界提供了明確指引。該判決強調個人信息和私密信息的分類保護,並對網際網路信息後續利用者(如本案中的百度公司)的侵權責任加以明確限定。該判決認為用戶主動上傳至網際網路的一般個人信息應被推定為公開使用,而信息後續利用者對無法預見的超範圍使用行為不存在過錯。此案系對我國法下「通知刪除」模式的進一步解釋。然而,與歐盟《通用數據保護條例》下的「被遺忘權」模式相比,該模式尚顯僵化,未賦予已無必要的信息被「遺忘」的權利,也未給予當事人撤回同意的自由,且存在網絡服務提供者可通過設置事前同意便規避「通知刪除」責任之風險,有待進一步完善。