个人信息合规诉讼重点和难点

来源:iLaw合规

文章摘要
网络时代,个人在网络空间上的零散信息,通过技术手段可以被轻易拼凑成完整的、足以反映人格的数字身份。这种个人信息的「裸奔」状态引起了大家的关注,个人信息的保护面临新的挑战。

网络时代,个人在网络空间上的零散信息,通过技术手段可以被轻易拼凑成完整的、足以反映人格的数字身份。这种个人信息的「裸奔」状态引起了大家的关注,个人信息的保护面临新的挑战。
在司法诉讼中,个人信息诉讼案件虽然成本高、耗时长、技术难,对个案的剖析会更加深入。如何将二者平衡起来制定企业合规计划,怎样总结诉讼中的制胜经验,是个人信息合规中应当重视的问题。
在8月,iLaw直播间邀请了垦丁事务所创始人麻策律师,与我们分享个人信息合规相关的课题,并将此次直播整理成以下文稿,供大家学习分享。
从个人信息实战看尽合规百态
(一)个人信息保护诉讼的特征
个人信息概念一旦涉及场景过程中就无法得出非常确切的答案,所以在日常的合规中我们可以基于上述的法律风险找出一个平衡点。司法判决对于特定模块,特定概念、特定处理行为的评价标准是最高、最严格、最完整、最丰富的,它的价值是非常大的,值得在合规工作中借鉴。
个人信息保护诉讼的特征有以下几个方面:
1、原告小白化向专业化诉讼发展。法学生、律师等专业化原告成为常态。
2、偶发化向常态化发展。越来越有意识地寻找机会提出诉讼。
3、点状化向片状化发展。个人信息保护诉讼业务向职业维权一样喷发而出。
4、简单化向复杂化发展。
5、单一化向多方主体蔓延。侵权主体从单一被告向多方被告发展。
6、案结事了向合规反哺转化。案结事了对于合规领域的发展是极大的资源浪费。
(二)个人信息保护诉讼的争议焦点
1、是否属于个人信息。这是目前大部分的司法诉讼都无法回避的问题。
2、是否侵犯个人信息权益。这将根据案情具体分场景逐项论述。
3、被侵主体是否知情同意。探索同意的合法性基础。
4、赔偿损失。如合理开支、精神抚慰金等。
5、数据删除。删除的方式、是否删除的结果。
6、赔礼道歉。是书面形式还是公开形式。
(三)开机提醒案——「个人信息」概念的界定乱局
案例参考:最高人民法院(2017)最高法民申1974号(文末可领案例合集)
在日常生活中我们经常会碰到很多关于个人信息的认定问题。对于该问题,法律人与技术开发运营人员可能会有天然的思维差异。不同的工种对于同一概念可能在立场上会有不同的认知。
实践中存在争议的个人信息有IP属地信息、设备信息、日志信息、内容信息、隐私信息等。
以内容信息为例,在实践中撰写个人信息保护政策时常会遇到定义困扰,如家庭作业辅导平台,用户提交作业照片算不算是提交个人信息?这应该不属于个人信息收集,但现在大部分隐私政策里都会把用户提交的信息都作为个人信息。
同时,隐私信息与个人信息不一样,隐私有可能是个人信息,但个人信息并不绝对就是隐私。在实践中确实有很多个人信息的概念很难去判断,一旦判断错误会导致在后面产品开发过程中个人信息不统一。
我国的法律法规最开始在12年、13年、17年都陆续发布了一些规范。
12年《关于加强⽹络信息保护的决定》对个人信息的定义方式是「识别身份」;
13年《电信和互联⽹⽤户个⼈信息保护规定》对个人信息的定义方式增加了「用户活动」;
17年6月《关于办理侵犯公⺠个⼈信息刑事案件适⽤法律若⼲问题的解释》对个人信息的定义方式将「用户活动」改为「识别特定活动」。
身份是一个人的社会地位,加上「用户活动」,在除了「我是谁」之外,「我做了什么事情」也算是个人信息。而刑事领域特定活动是指行动轨迹,行动轨迹之外的活动不算是刑事领域的个人信息,如浏览网站信息也是活动,但是不属于特定活动。但如果浏览信息超过一定数额,则可能会违反刑法。
在17年6月《网络安全法》中,又回到了「识别身份」的个人信息定义方式,同时还增加了个人生物识别信息。
在21年施行的《民法典》中,对个人信息的定义方式是「识别特定自然人」,包括健康信息、行踪信息等身份信息和活动。
但到了21年11月《个⼈信息保护法》中又变成「识别自然人有关」的定义方式,包括已识别或可识别的自然人有关的各种信息。
相比较于「识别特定自然人」,「识别自然人有关」更具有宽泛性、更模糊、包容性更强。
「请注意,单独的设备信息、⽇志信息是⽆法识别特定⾃然⼈身份的信息。如果我们将这类⾮个⼈信息与其他信息结合⽤于识别特定⾃然⼈身份,或者将其与个⼈信息结合使⽤,则在结合使⽤期间,这类⾮个⼈信息将被视为个⼈信息,除取得您授权或法律法规另有规定外,我们会将该类个⼈信息做匿名化、去标识化处理。这些信息在结合使⽤期间,将作为您的个⼈信息按照本隐私政策处理与保护。」——不断反复「抄袭」的隐私政策条款
关于「开机提醒案」,最高法认为「开机提醒业务向主叫用户发送可接通状态短信,即未经被叫用户同意向主叫用户透露了被叫用户从可能处于关机、不可及、遇忙等情况到被叫用户已经不处于上述情形之转变,呼叫用户可以根据上述转变对被叫用户可能身处的状态作出合理预见或推测,反映了被叫用户生活状态或工作状态的转变。同时被叫用户何时处于可接通状态其本身就属于被叫用户私人空间领域的个人信息,享有允许他人知道或不知道的权利,享有选择向社会和其他公众公开或不公开的权利,享有该信息不被他人所知悉的权利。」
受本案启发,在实践中对个人信息可从下列5个方面进行理解:
1、识别型个人信息。即字段本身就属于个⼈信息,可识别个⼈,如身份证号。
2、关联型个人信息。即字段本身⽆法识别,但关联⾄识别型个⼈信息,如关联⾄特定⽤户⼿机号的微信⽤户Openid、IMEI、模糊IP属地信息。非识别数据。即⽆法合理地⽤于推断已识别或可识别个⼈的信息或以其他⽅式与此类个⼈相关联的数据,或与此类个⼈相关联的设备相关联的数据。如甲公司收集的微信⽤户Openid,且其不掌握⽤户其他关联数据或识别型数据。
3、个人信息内容数据。即内容数据本身就是为了识别或关联个⼈信息,如⽤户上传头像框处的图⽚,在线开户⼈脸验证时的摄像或照⽚信息,身份证照⽚。
4、非专指向个人信息内容数据。即内容数据收集的⽬的并⾮是单纯为了收集个⼈信息,其存在其它合理的内容数据⽤途。如剪切板信息、直播app上传视频、作业⼯具App中上传试卷(包含了姓名)。
5、单纯内容数据。即收集的信息仅为内容,不会包括个⼈信息,但相关⾏为可能形成特定⽤户账号的⾏为⽇志记录个⼈信息。如⽤户在⽹络上上传微信.apk安装包,通过微信发送语⾳信息。
(四)隐私政策案——个人信息规则的定性及效力
案例参考:北京互联网法院(2019)京0491民初23942号(文末可领案例合集)
对于隐私政策的合规评估,需要考虑它的性质。所谓隐私政策的统一只能是合同性统一不能是非同意状态下的统一,比如说基于法定职责,基于其他合法性理由,不能用同意的方式来实施。所以用户即使同意,也只是同意了合同中基于履行合同必要性之外的其他一些扩展性的东西。
隐私政策的主要核心功能是用于告知而不是同意。
个人信息规则大概有以下几个性质:
1、告知。是为了保障用户的知情权,如谁在处理?收集的种类有哪些?同时也能实施自我约束。
2、承诺。是指向社会公示自己(难以直接验证的)规则,如采取了何种方式保障信息安全?数据处理目的有哪些?
3、指引。如用户如何联系处理者?通过何种方式查阅?
4、合同。基于签署合同必要性的条款,属于合同条款。
关于「隐私政策案」,法院认为,根据被告的主张,该公司已在网站上公示了隐私政策、指引,且原告已选择同意。原告认可被告确已通过弹出提示框的方式,要求对涉案的隐私政策、指引进行确认,其经过数次选择「不同意」后,最终选择了「同意」。本院认为,根据《合同法》规定,采用数据电文形式订立合同的,收件人指定特定系统接收数据电文的,该数据电文进入该特定系统的时间,视为到达时间;未指定特定系统的,该数据电文进入收件人的任何系统的首次时间,视为到达时间。被告通过互联网向包括原告在内的用户发布上述内容,并以弹出提示框的方式进行提示,应认定被告向原告发出的变更合同条款的要约已到达。本案中,被告主张原告已做出「同意」承诺,故合同已变更。
法院通过上述角度来看个人信息规则是有问题的,理解了格式条款中加重加粗的内容并被明显提示了后果就视为同意的逻辑是完全站不住脚的。
因为《个人信息保护法》有撤回同意的权利,同时还要求必须在非常明确告知的情况下,用户才能够做出一个非常准确的同意或拒绝动作。但是按照《合同法》,这些都不需要考虑。《个人信息保护法》的同意机制与传统合同法理论是完全不同的,量级完全不一样。
隐私政策不能够单纯认定为合同或者非合同,它可能只是个告知。定性为合同后,将影响前端交互界⾯的设计。最高法的司法解释认为,信息处理者采⽤格式条款与⾃然⼈订⽴合同,要求⾃然⼈授予其⽆期限限制、不可撤销、可任意转授权等处理⼈脸信息的权利,该⾃然⼈依据⺠法典第四百九⼗七条请求确认格式条款⽆效的,⼈⺠法院依法予以⽀持。
(五)人脸识别第一案——敏感个人信息处理的充分必要考量
案例参考:最高人民法院发布十四起人民法院服务和保障长三角一体化发展典型案例之八:郭兵诉杭州野生动物世界有限公司服务合同纠纷案(文末可领案例合集)
法律规定对敏感信息处理比较清晰,只有在符合如下条件下,才能处理敏感个⼈信息:
1、具有特定的目的。目的是唯一的,不能有双重目的或多重目的混杂。
2、充分的必要性。单一场景中既可以用敏感信息也可以用别的方式替代实现时,就没有充分必要性。比如小区物业的人脸识别,它既有用卡的方式来实现,也有用人脸识别的方式来实现,这说明人脸识别没有充分的必要性。
3、采取严格保护措施。
4、应当取得个人的单独同意(或书面同意)。
5、告知处理敏感个人信息的必要性。
6、告知对个人权益的影响。
实践中纠结的是「非基于同意的合法性基础是否需要单独同意」的问题,比如疫情期间收集信息是否需同意或者是否需要单独同意,这其实是不需要获得单独同意,实践中即使不获得同意也可以获得此类信息,而且具有法律的规定,所以将这种数据进行「同意」合规反而是一种误导,没有起到示范效应。
而告知处理敏感信息是有必要性的,这会对权益产生影响,回到案例场景,就是人脸识别里敏感个人信息处理的充分必要性如何判断:
1、明明有其他途径却「隐瞒」,只采取人脸识别方式。
2、处理敏感信息必须获得明示同意,而不能进行默示推定。如仅以店堂告示方式「默示」告知。
3、目的不明。在本案中,随着诉讼过程的推进,被告采用人脸识别入园所主张的三个辩护理由分别是「缩减排队入园时间而提供的专项便民及优惠措施」,「避免年卡被他人冒用从而损害支付费用的购卡者的财产权益」,「防止出现非购卡人冒用年卡从而损害野生动物世界合法权益的情形」。但目的是不可以允许随着诉讼的变化而变化,为了诉讼利益的考虑不断地发生调整。在处理敏感个人性时候,目的随着利益的考量不断发生变化恰恰是不符合个保法精神,不符合民法典精神的。
4、无必要性。包括说有多种入园方式,无需人脸参与仍能够提供「游览动物园服务」,为了提升入园的便捷性不是必要性,而是可选择性。
5、无充分必要性。为了缩短排队时间这种说法在一定场景中有合理的理由,但是这种充分必要性并不能扩展延伸至所有的时间段。
处理敏感个人信息充分必要性可从以下几个角度进行解决:
1、处理敏感个人信息时是否有替代方案。
2、敏感信息中的超敏感个人信息(如种族)是否可以禁止使用,有特殊考量的除外。
3、是否可以建立个人信息可考量的量化机制
从个人信息诉讼程序总结制胜法宝
(一)诉讼请求——化繁为简
目前合规诉讼的诉讼请求越来越复杂。
原因非常简单,就是原告希望法院不要遗漏任何场景,希望每一个诉都能够进行细致分析,所以需要把诉讼请求进行细分化处理。
目前《个人信息保护法》以及《民法典》都对个人信息权利主张进行了详细地分类的,比如查询的权利、复制的权利、更正补充权利等。每种权利都可以作为单独的私人请求。
这种权利本身不构成民法意义上的权利,它只是一种履行的方式,以便让个人信息权利达到完美状态的途径。
在之前的实践中,有法院主张必须先向个人信息处理者主张个人信息权利,被拒绝后个人才可以寻求诉讼救济。这虽然减少了法院的工作量,但却徒增了个人信息处理者,特别是企业的烦恼,在这种情况下,企业处于相对弱势的地位,任何个人均可以提出近乎「无理由」的不予认可的主张。
(二)举证方式与举证责任
1、作为原告
很多情况下,APP的弹窗次数只有1次,甚至老用户便不再收得到弹窗,所以必须要有取证意识,对于取证的工具选择也非常重要,不同的工具会有不同取证效果,可能也会影响复现的效果。这就要求第一步就开始策划取证的工具架设,之后再进行后续的取证工作。
2、作为被告
被告在抗辩时,要非常熟悉自家的隐私政策,否则可能出现前后矛盾的抗辩内容。此外,原告可以提交相关当事人的信息来维护自身合法权益,且不需要获得用户的同意。但目前立法并没有对此给出合法性的依据——基于「合法利益」处理个人信息,法院也只能通过合理性原则认可被告的举证方式。
3、举证责任
在举证责任方面,不同的场景,主张免责或减轻责任的证据均可能不同,如赔偿道歉的前提是有过错,若是采取无过错责任原则,则不可主张赔偿道歉。
从诉讼争议解决反哺个人信息合规
法律只是躯壳,场景才是灵魂,通过诉讼反哺合规。
在解决合规争议的过程中,不仅需要理解法条的规定,将其带入具体的场景中进行适用才是更主要的问题。
正如法院判决所述:“以互联网产业为例,由于互联网产品的多元性和丰富性,用户的广泛性和差异性,不同用户就个人信息的期待也可能存在消极防御与积极利用的差异。如在具有社交功能的应用软件中,有用户厌烦「可能认识的人」的推送,有用户则欢迎就此迅速建立该软件上的社交关系;如在购物应用软件中,有用户反感基于用户画像的产品推送,有用户则享受该推送带来的便捷”。
因此,将用户隐私期待强烈程度不同的信息笼统划入某相对固定的概念,并不是有效保护权利或权益的最优选择,而有必要深入实际应用场景,以「场景化模式」探讨该场景中是否存在侵害隐私的行为。
诉讼是修罗场,也是最好的试金石。对于司法判决,不可全信,也不可不信,因为司法裁判的逻辑和合规的逻辑不同。从事合规诉讼律师需要保持独立思考的能力,从诉讼中汲取养分,反哺之后遇到的合规问题。

技术驱动法律,专业成就未来