随着“全国法科学生写作大赛”的持续举办,如何让每一位参赛同学都获得更多的成长,尤其是在写作能力与素养上能有所提升,成为萦绕在举办方心头的一件大事。通过公正严格的层层评审与选拔,奖掖优秀学子和作品,激励和引导法科学生将写作能力作为从事法律职业的重要基础,是大赛举办的初衷之一;如何用心用情用力将大赛打造为师生切磋写作方法与能力的平台,为全面依法治国培养更多优秀法治人才,是我们矢志不渝追求的目标。为此,大赛组委会主任、中国法学会法学期刊研究会会长张新宝教授多次提出要将“这件好事办漂亮”,并倡导在办赛过程中推出案例写作指引或指导性示范,为同学们提供方法论的指引和支持。之所以选择“案例评析”赛道作写作指引,一是因为案例评析写作对法科生极为重要,正如王泽鉴先生所言,“案例是学习法律的根本”,学会写案例评析在法科学生写作能力培养中具有“固根本利长远”的基础性地位。二是就本科阶段的知识积累而言,将案例评析写作作为入门基本功训练更为合适。
经组委会讨论,决定陆续转发(首发)一些优秀的案例评论文章帮助参赛同学学习写作案例分析,提高参赛作品的案例分析水平,并在此基础上逐步规范化,编撰《法学案例写作指引》。本期首先推送张新宝老师近期就一例个人信息保护纠纷案件撰写的一篇案例评论文章——《正确阐释和适用法律:深圳市中级人民法院(2021)粤03民终9583号判决评述》,该文发表于《求法》100期专刊,判决书原文附在正文下面的链接中。感谢张新宝老师和《求法》杂志的授权,谨在此与大家分享。
正确阐释和适用法律:
深圳市中级人民法院(2021)粤03民终9583号判决评述
张新宝
中国人民大学法学院教授
网络信息法中心主任
引言
广东省深圳市中级人民法院(2021)粤03民终9583号民事判决书裁判的案件是王敬涛诉深圳市腾讯计算机系统有限公司(以下简称腾讯公司)个人信息保护纠纷上诉案,涉及告知-同意规则在具体应用场景中的理解、必要原则的适用以及侵害个人信息权益之侵权责任的认定等新问题。本案判决不仅解决了原被告之间的民事纠纷,同时也阐明了法律的规定,为正确理解与适用相关法律提供了一个范本。
一、案件事实与判决
2019年4月,王敬涛首次通过微信登录微视APP,并勾选授权微视APP获取其微信好友关系。其后,王敬涛卸载微视APP,恢复手机出厂设置并重新下载微视APP和微信,再次通过同一微信号登录微视APP。登录时微视APP申请获得的权限主要包括获取用户昵称、头像、地区、性别等公开信息以及获取用户微信好友关系,其中前者用户无法取消勾选,而后者用户可以选择取消勾选。王敬涛在第二次登录时通过取消勾选拒绝授权微视APP获取其微信好友关系,但是在微视APP“通知推送”界面中“好友加入微视”默认为开启状态,“我的视频推荐给好友”“好友的视频推荐给我”等功能按钮亦处于默认打开状态。2020年5月之前,用户可以通过在微信中关闭“微视的朋友关系”来撤销微视APP中对微信好友关系的授权,但不能直接在微视APP中操作撤销对微信好友关系的授权。2020年5月之后,腾讯公司更新微视版本,用户可以在微视APP中直接撤销对微信朋友关系的授权。王敬涛向一审法院提起诉讼,请求判令腾讯公司立即停止在微视APP中使用其性别、地区及微信好友关系信息,并在服务器中彻底删除其全部个人信息,同时向其公开赔礼道歉,赔偿损失并承担诉讼费用。
一审法院审理后认为,王敬涛所主张的性别、地区和微信好友关系三类信息均形成于其使用微信软件的过程中,在一定范围内已公开。腾讯公司在微视APP中使用此等个人信息的行为不会对王敬涛的私人生活安宁造成非法侵扰,不构成侵害王敬涛的隐私权。微视APP收集使用用户的性别、地区和微信好友关系信息主要是用于增加其社交分享的产品属性,符合其产品定位。腾讯公司在收集使用王敬涛的个人信息时已取得王敬涛的授权同意,其行为已保障王敬涛的知情权、选择权和删除权,不构成侵害王敬涛的个人信息权益。故一审法院判决驳回王敬涛的全部诉讼请求。
二审法院审理后认为,王敬涛对性别、地区和微信好友关系信息不具有隐私期待,其不属于受法律保护的隐私。由于腾讯公司未举证证明地区、性别信息是微视APP提供正常服务或实现完整业务功能所不可缺少的信息,微视APP强制获取用户地区、性别信息不符合互联网平台处理用户个人信息的必要性原则。王敬涛在第二次登录微视APP时取消勾选对微视APP使用其微信好友关系的授权,故微视APP继续使用其微信好友关系的行为未取得有效的个人同意。此外,在腾讯公司更新微视APP版本之前,腾讯公司提供的撤回授权路径亦非便捷途径。鉴于腾讯公司在二审期间已经删除案涉个人信息,且王敬涛未举证证明腾讯公司使用其个人信息的行为造成严重后果或导致损害,二审法院判决腾讯公司支付王敬涛参与诉讼的合理支出一万元,同时判决驳回王敬涛的其他诉讼请求。
二、判决书中的释法
(一)区分隐私与个人信息
隐私权与个人信息权益保护的客体具有一定的重合性,但二者同时也存在本质区别。隐私权制度的重心在于防范个人的秘密不被披露,其内容主要包括维护个人的私生活安宁、个人私密不被公开、个人私生活自主决定等。[1]与此相比,个人信息权益保护的对象不是个人信息的私密状态,而是自然人对其个人信息的支配与自主决定,从而保障自然人的人格尊严与人身财产安全等人格利益在个人信息处理活动中不受侵害。本案中,原告的微信好友关系已在其微信朋友圈中共享,原告的微信好友可通过“点赞”“评论”等互动方式自由获知原告的微信好友关系,故原告的微信好友关系信息不属于隐私。原告的性别信息和地区信息本身不具有私密性,同时在微视APP允许用户变更自己的性别、地区信息的情况下,原告未对其性别信息和地区信息进行任何编辑修改,故原告的性别信息和地区信息亦不属于隐私。《个人信息保护法》第4条第1款规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”依照该条款的规定,对个人信息的界定以“可识别性”为主要特征,即某一自然人的身份能够通过相关信息直接或间接识别。[2]本案中,微视APP用户的性别、地区和微信好友关系信息与其他平台信息结合后,均具备识别特定自然人的可能性,故原告的性别、地区和微信好友关系信息均属于原告的个人信息。在此基础上,二审法院正确认定腾讯公司处理原告性别、地区和微信好友关系信息的行为不构成侵害原告的隐私权,但构成侵害原告的个人信息权益。
(二)告知-同意规则在具体应用场景的理解
依照《个人信息保护法》第13条的规定,通常情况下,个人信息处理者处理个人信息的合法性基础是其取得有效的个人同意。个人在具体场景中是否对个人信息处理活动作出同意及其同意是否有效,往往是判断个人信息处理行为是否具有违法性与权益侵害性的关键。本案中,原告在第一次登录微视APP时授权微视APP获取其微信好友关系信息,随后原告卸载微视APP,恢复手机出厂设置并重新下载微视APP和微信,在第二次登录微视APP时取消勾选对微信好友关系信息的授权。原告在第二次登录时取消勾选授权的行为,应当被解释为拒绝同意腾讯公司处理其微信好友关系信息的行为。而微视APP基于原告在第一次登录时对微信好友关系信息的授权继续处理原告的微信好友关系信息,此等行为不符合个人信息处理的合法性与正当性要求。二审法院通过深入分析原告第二次登录时取消勾选授权行为的性质,准确地理解与适用了《个人信息保护法》和《民法典》所规定的告知-同意规则。
(三)必要原则的理解与适用
《个人信息保护法》第6条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”根据个人信息处理的必要原则,个人信息处理者应当在满足其服务或产品核心功能的必要限度内,收集最少类型和数量的个人信息,且个人信息处理者一旦缺少其收集的个人信息,将导致其无法正常提供服务或产品。[3]国家互联网信息办公室秘书局等部门印发的《App违法违规收集使用个人信息行为认定方法》第4条规定,个人信息处理者仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息的,其行为属于违反必要原则、收集与其提供的服务无关的个人信息的行为。本案中,原告在登录微视APP时无法取消勾选对性别信息与地区信息的授权,但此等信息并非微视APP提供正常服务或实现完整业务功能所不可或缺的个人信息。微视APP收集使用性别信息与地区信息的目的仅仅是为了向用户提供更加个性化、更具市场识别度的服务。此外,微视APP允许用户随意更改和填写其性别信息与地区信息,这也表明性别信息与地区信息并非用户使用微视APP所必须提供的个人信息。基于此,二审法院正确认定腾讯公司在微视APP中强制获取原告的性别信息与地区信息不符合个人信息处理的必要原则。
三、判决要旨评论
(一)关于停止侵害或删除的适用条件
依照《个人信息保护法》第47条第1款的规定,在个人信息处理者基于个人同意处理个人信息的情形,个人未作出同意或者撤回同意的,个人信息处理者应当主动或者根据个人请求删除个人信息。个人信息处理者删除个人信息不仅表明其已经停止了包括存储在内的个人信息处理活动,同时也有利于降低个人信息泄露或者被滥用的风险。[4]《民法典》第1167条规定:“侵权行为危及他人人身、财产安全的,被侵权人有权请求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任。”在个人信息处理者处理个人信息侵害个人信息权益的情形,个人请求个人信息处理者删除个人信息是其行使停止侵害、消除危险请求权的重要方式。与停止侵害、消除危险请求权相同,删除权的行使不以个人信息处理者有过错为要件。[5]本案中,腾讯公司在二审期间已经主动删除原告的性别、地区和微信好友关系信息,因此对于原告要求腾讯公司在服务器中删除此等个人信息的诉讼请求,二审法院未予支持。
(二)关于损害赔偿的构成要件
《个人信息保护法》第69条第1款规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”个人信息处理者侵害个人信息权益之损害赔偿责任的构成,需要满足侵害行为、损害、因果关系和过错四项要件。
其一,个人信息处理者实施了侵害个人信息权益的个人信息处理行为。侵害个人信息权益的个人信息处理行为往往违反了《个人信息保护法》《民法典》《电子商务法》《网络安全法》等法律关于个人信息保护的规定,属于违法行为。[6]
其二,被侵权人在个人信息处理活动中遭受损害。《个人信息保护法》第69条第1款所规定的损害既包括财产损失,也包括精神损害。但是,依照《民法典》第1183条第1款的规定,只有在侵权人侵害人身权益造成严重精神损害的情况下,被侵权人才有权请求精神损害赔偿。实践中,被侵权人证明其遭受的精神损害达到法律规定的严重程度存在一定困难。冯·巴尔教授指出,在人格权侵害案件中,财产损失只是例外情况。通常情况下,被侵权人只有在其人格权遭受“严重”侵害时才能得到侵权法的保护,这导致人格权的保护相较于财产权的保护而言处于不利地位。因此,在人格权侵害案件中,法院在准确认定侵害人格权造成的财产损失与精神损害之外,还可以判决侵权人承担“名义上的损害赔偿”(nominal damages),从而为人格权提供更完善的保护。[7]
其三,个人信息处理者实施的个人信息处理行为与损害之间存在因果关系。鉴于个人与个人信息处理者在举证能力上的差异,在明确不实行因果关系推定的情况下,为了平衡保护被侵权人的诉讼利益,应当降低因果关系的证明标准。[8]在侵害个人信息权益案件中缓和因果关系之“相当性”的证明负担,是指从宽理解“若有该行为,通常是否会产生该损害”,只要原告证明个人信息处理行为与损害之间存在引起和被引起的条件关系,即可认定存在因果关系。[9]
其四,个人信息处理者具有过错。《个人信息保护法》第69条第1款明确规定侵害个人信息权益的损害赔偿责任适用过错推定责任。个人信息处理者实施违法处理个人信息的行为或者未尽到法律规定的个人信息保护义务,本身即表明个人信息处理者具有过错,除非其能够证明其个人信息处理行为不属于违法行为或者已经尽到个人信息保护义务,从而推翻对其过错的推定。[10]
(三)关于赔偿数额的确定
《个人信息保护法》第69条第2款规定:“前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”在侵害个人信息权益案件中,被侵权人举证证明其遭受特定财产损失或者严重精神损害的,此等财产损失或者精神损害应当被认定为损害。在被侵权人无法对其遭受的财产损失或者严重精神损害进行举证的情形,一般理性人都认可必然存在的损失也应当被认定为损害。例如,个人信息处理者对个人信息的利用必然会为其带来商业利益。虽然此等利益的具体数额难以通过证据证明,但其同样属于个人信息处理者因侵权行为而获得的利益。此外,法院还可以根据案件的实际情况判决个人信息处理者承担“名义上的损害赔偿”。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释〔2020〕17号)第12条规定:“被侵权人为制止侵权行为所支付的合理开支,可以认定为民法典第一千一百八十二条规定的财产损失。合理开支包括被侵权人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情,可以将符合国家有关部门规定的律师费用计算在赔偿范围内。”“被侵权人因人身权益受侵害造成的财产损失以及侵权人因此获得的利益难以确定的,人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。”依照该条规定,被侵权人的维权成本,包括调查取证的合理费用和合理的律师费用属于侵害个人信息权益造成的财产损失。当损害的具体数额难以通过相关法律或者司法解释规定的标准或者方法确定时,法院可以综合考虑个人信息处理的目的、处理行为的类型、被侵害的个人信息的种类、被侵害的个人信息权益的类型、程度等因素,[11]在50万元以下的范围内酌情确定赔偿数额。
结论
个人信息保护的司法治理具有包容性、灵活性、示范性等特征,是我国个人信息保护法治体系的重要组成部分。作为一份论证说理清楚、适用法律正确的裁判文书,本案判决生动展现了司法活动对于信息产业合法合规经营的促进和引导作用。在本案原告起诉时,腾讯公司运营的微视APP在其个人信息处理活动中存在未经个人同意处理个人信息、未提供便捷的撤回同意方式以及强制收集非必要个人信息等违法违规问题。随着案件审理工作的不断推进,腾讯公司于2020年5月、2021年10月和11月更新微视和微信版本,对其个人信息处理活动中存在的问题进行及时整改,二审法院对腾讯公司所作出的改进亦予以肯定。由此可见,法院在司法活动中正确解释和适用法律,可以为信息产业的健康发展指明方向。
二审法院认定,原告所主张的性别、地区与微信好友关系信息不属于敏感个人信息。敏感个人信息的判断除了应当采取法定判断标准,还应当兼采场景理论,即根据个人信息处理的具体情境判断个人信息是否具有敏感性。[12]本案判决在论证说理的过程中,似乎可以在微视APP处理用户个人信息的场景下,具体分析性别、身份与微信好友关系等个人信息是否具有敏感性,进而更加准确地阐释腾讯公司在个人信息处理活动中所应当尽到的保护义务。
[1] 参见王利明:《和而不同:隐私权与个人信息的规则界分和适用》,载《法学评论》2021年第2期,第17页。
[2] 参见张新宝:《〈民法总则〉个人信息保护条文研究》,载《中外法学》2019年第1期,第65页;杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022年版,第22页。
[3] 参见刘权:《论个人信息处理的合法、正当、必要原则》,载《法学家》2021年第5期,第8页。
[4] 参见周汉华主编:《〈个人信息保护法〉条文精解与适用指引》,法律出版社2022年版,第297页。
[5] 参见王利明:《论个人信息删除权》,载《东方法学》2022年第1期,第41-42页。
[6] 参见程啸:《侵害个人信息权益的侵权责任》,载《中国法律评论》2021年第5期,第65页。
[7] 参见[德]巴尔:《欧洲比较侵权行为法》(下卷),焦美华译,张新宝审校,法律出版社2001年版,第30-32页。
[8] 参见王道发:《个人信息处理者过错推定责任研究》,载《中国法学》2022年第5期,第120页。
[9] 参见江必新、郭锋主编:《〈中华人民共和国个人信息保护法〉条文理解与适用》,人民法院出版社2021年版,第611页。
[10] 参见程啸:《侵害个人信息权益的侵权责任》,载《中国法律评论》2021年第5期,第67页。
[11] 参见程啸:《侵害个人信息权益的侵权责任》,载《中国法律评论》2021年第5期,第69页。
[12] 参见王利明:《敏感个人信息保护的基本问题——以〈民法典〉和〈个人信息保护法〉的解释为背景》,载《当代法学》2022年第1期,第10-11页;宁园:《敏感个人信息的法律基准与范畴界定——以〈个人信息保护法〉第28条第1款为中心》,载《比较法研究》2021年第5期,第11页;王苑:《敏感个人信息的概念界定与要素判断——以〈个人信息保护法〉第28条为中心》,载《环球法律评论》2022年第2期,第93页;张勇:《敏感个人信息的公私法一体化保护》,载《东方法学》2022年第1期,第69页;孙清白:《敏感个人信息保护的特殊制度逻辑及其规制策略》,载《行政法学研究》2022年第1期,第120页。