昨天写到个人信息权益保护相关的法律适用、法律解释往往会涉及不同主体间的利益平衡。利益平衡不仅需要考虑个人信息主体权益的保护,同样需要预防个人信息权利滥用;不仅要强调个人信息处理者的权利保障义务,也要预防司法过度介入,影响个人信息的合理利用。
个人信息主体的请求权
被告运营某电商平台,原告系平台用户,多次在平台购买商品。
原告在某次购物时被平台发布的“好友圈好友等你开拼手气红包”字样吸引,点击该字样后,页面跳出“进圈并邀请好友”的跳转链接;原告受吸引,点击进入“好友圈”,随后发现其在该平台的购物记录被自动公开,并被分享到“好友圈”为其自动设定的第三人视线之下。
原告认为自己的购物信息在其不知情的情况下,被被告经营的电商平台处理,导致其不愿被他人知晓的个人信息在一定范围内公开,其在个人信息处理活动中的知情权、决定权受到侵犯,人格利益受到损害,依据《个人信息保护法》第14条、第44条提起诉讼:
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。
被告辩称自己不存在侵犯个人信息权益的行为,理由如下:
- 平台在用户注册时,已通过平台协议形式明确告知用户平台收集和使用个人信息的方式、范围及目的,并获得用户同意;
- 平台制定的个人信息处理规则中包括用户行使个人信息权利的申请受理与处理机制;
- 未收到杜某对其个人信息处理活动的查询申请或投诉信息。
法院驳回原告起诉,理由如下:
- 个人信息主体主张《个人信息保护法》第四章规定的个人信息权利受到侵害或者妨碍,没有产生损害时,可依据第50条规定的“个人信息权利请求权”行使诉权;产生损害时,可依据第69条规定的“侵权损害赔偿请求权”行使诉权。
第50条第1款规定了个人信息处理者的义务,即“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由”;第2款规定了个人信息主体请求权的行使,即“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼”。
第69条第1款规定了个人信息处理者侵权责任认定适用过错推定原则,“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”;第2款规定损害赔偿责任的认定,即“前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
- 第50条第2款规定的诉权是以“个人信息处理者拒绝个人行使权利的请求”为前提——个人信息主体应先向个人信息处理者请求行使具体权利,只有在个人信息处理者无正当理由拒绝履行义务或一定期限内不予以处理,或者个人信息处理者提供的申请受理机制失效的情况下,个人方可向法院提起诉讼以获得救济。
法院认为第50条的设计对个人信息主体维权而言也是最快捷、最便利、最有效的:“个人信息流动大、使用频率高、范围广,如果直接向法院起诉,不但会造成不必要的诉累,增加个人信息处理的成本,而且可能导致诉讼频发、浪费司法资源,甚至成为恶意诉讼人滥用诉权的工具”。
- 本案中,被告已经通过协议约定和后台设置,构建了个人信息主体行使权利的申请受理与处理机制,原告可以通过该等方式行使个人信息知情权和决定权,但是原告在提起诉讼前并没有向被告提出请求,因此不符合法律规定中关于“个人信息权利请求权”的起诉受理条件。
法院作出本案裁定是基于程序审查:
- 《个人信息保护法》第50条规定的个人信息权利请求权的请求权基础是《民法典》第995条人格权保护条款,即“人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权,不适用诉讼时效的规定”。
- 第995条旨在为个人信息权益提供一种防御性的保护,保障具体权能的行使、排除他人妨害,避免侵权行为进一步产生实质性的损害后果,在构成要件上,无需考虑个人信息处理者的主观过错和造成实际损害。
这与《民法典》人格权编第997条人格权禁令条款的适用有所不同。
人格权禁令条款
第997条规定民事主体有证据证明行为人正在实施或者即将实施侵害其人格权的违法行为,不及时制止将使其合法权益受到难以弥补的损害的,有权依法向人民法院申请采取责令行为人停止有关行为的措施。从过往案例看,禁令申请应经程序审查加实体判断:
- 某商业通讯报社刊登了一篇文章,文中说某跨境电商平台出现“自营危机”;后又以一位曾在平台购买婴儿纸尿裤的用户表示“货品有假”为由头,直指该用户为“此次某外海代购公司假货的当事人”,围绕“售假”问题展开采访及评论。某门户网站更名转载了两篇文章。
- 平台经营者以名誉权侵权为由,将该报社及转发报道的某门户网站诉至法院,同时提出诉中行为保全申请,并提供担保金。
- 法院认为该案申请人有优势证据证明,被申请人正在公开传播的被控侵权新闻报道存在严重失实并造成被申请人社会评价降低损害后果的高度盖然性。鉴于名誉利益损害具有不可弥补性和网络传播具有迅速扩散性,不立即停止继续传播将对被申请人商业信誉利益造成难以弥补的扩大损害,在申请人向法院提供相应担保后:
1)应当裁定被申请人在本案法律文书生效之前暂时停止传播被控侵权新闻报道;并
2)告知被申请人,如生效法律文书未认定被控侵权新闻报道构成侵权的,被申请人有权就其因暂停上述行为而造成的损害向申请人要求承担相应法律责任。
最高法司法案例研究院编著《民法典新规则案例适用》时,对第997条在该案中的适用解析如下:
- 虽然禁令保护的启动审査在性质上属于程序性事项,但在实际操作中包含着对侵犯人格权行为的现实性或可能性、紧迫性等方面的初步实体审査,因此,民事主体从第997条规定中获得了侵害人格权禁令保护的实体法权利;
- 具体实现这种权利,还需要进一步适用民事诉讼法中有关禁令制度的程序性规定。案涉网络名誉权保护禁令的申请,司法裁量时通常遵循“从严与慎用”的总体原则和利益衡量、言论边界和区分对待等具体原则。也就是说,法院适用第997条时,采取的措施应当符合比例原则,根据所欲追求的合法目的,其所采取的措施是合理的。
小结
个人信息权益看了这么多天,主要是因为权益并非绝对权,其保护边界的明确相比肖像权、名誉权等传统具体人格权更为复杂,利益平衡问题也更加复杂——既要保护个人信息主体的合法权益,也要预防个人信息主体权利滥用;既强调个人信息处理者的权利保障义务,也预防司法过度介入影响个人信息的合理利用与业务经营。
总体看下来,深度合成、算法应用、AIGC等相关的产品与服务的提供者、经营者,只要涉及个人信息处理活动就同样会遇到这些问题。虽然不同主体对责任和风险的预期不同,承担能力不同,但都需要构建符合民法典、个人信息保护法及具体业务场景相应规则的个人信息处理机制。这是存在“利益衡量”空间的基础。
从近期发布的AIGC相关监管规则征求意见稿来看,不管是全国性的《生成式人工智能服务管理办法(征求意见稿)》,还是地方性的《北京市促进通用人工智能创新发展的若干措施(2023-2025年)(征求意见稿)》、《北京市数据知识产权登记管理办法(试行)(征求意见稿)》等,在多元监管、监管措施、技术保障、科技伦理审查等方向的探索各有不同,但都是在现有数据、网络与个人信息保护等法律规范基础上对某一具体领域、具体事项作出细化规定。
例如,《若干措施(征求意见稿)》从算力、数据、算法、应用、监管五大方向,对北京大模型发展提出21项措施,其中提出加强大模型训练数据采集及治理工具研发,“从’采、存、管、研、用’五个方面,研发包含数据采集、清洗、标注、脱敏、存储等功能在内的数据处理工具,重点研究数据内容安全审查算法及工具等……;提出通过改进算法等技术手段,确保训练数据集的规范性;做好对拟面向公众提供服务的生成式人工智能产品的安全评估工作,优化安全评估流程机制,细化对大模型算法设计、训练数据源筛选、内容安全性、人工标注规则的审核评估标准;强调加强网络服务安全防护和个人数据保护,持续提升AI产业伦理治理自律自制能力。
对深度合成、算法应用、AIGC等相关的产品与服务的提供者、经营者而言,其在用户管理、内容审核、伦理审查、算法备案、数据集备案、产品/服务安全评估等方面应承担的义务与责任会更为明确具体,需要持续关注。
明天看内容审核问题。
参考:
(2022)浙0192民初4330号
最高人民法院司法案例研究院编著:《民法典新规则案例适用》,中国法制出版社2020年11月出版