网络消费者个人信息保护民事诉讼规则探讨
- 发表时间:2022-10-08 10:10:41
随着电子商务的快速发展,网络消费者个人信息侵权案件呈上升趋势。网络环境的复杂性与消费者个人技术的有限性,大大增加了举证主体的举证难度。为进一步提升我国网络消费者个人信息保护类民事案件的诉讼质效,应当从实体和程序的双重角度,回应时代新问,解决现实难题。
一、完善对电商平台隐私政策的法律规则
(一)增加电商平台的保密义务
在《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)现有义务的基础上,建议增加电商平台对处理个人信息的保密义务,这个保密义务不是主观的,应是客观而具体化的,并成为一种制度规范和强制义务。
2019年11月28日,国家互联网信息办公室、工信部、公安部、市场监管总局联合制定的《APP违法违规收集使用个人信息行为认定方法》,规定了未经用户同意向第三方应用提供个人信息的违法违规认定情形,保密义务再一次明确未经消费者同意向第三方透露信息的违法违规情形。
保密义务的规范性和强制性可以体现在:以格式合同的形式严格要求企业承担保密义务并在隐私政策中明确保密方案,对用户作出保密承诺,建立行业最低的技术加密措施标准,要求企业运用保密技术对相关信息加密,设置专人负责维护,并依法接受个人信息保护主管部门的监督和备案。由此,法院在对网络消费者个人信息保护类案件进行立案审查和实体裁判时,即可进一步明确和扩大当事人的请求权基础,增加司法保护的力度和广度。
(二)确立个人信息使用和收集的最小必要原则
在收集和使用个人信息方面,“最小、够用”四个字应该成为全社会的共识和行动。2021年3月3日,工信部下架10款APP,原因是违规调用相册等权限。工信部也将出台以知情同意和最小必要原则为纲与移动互联网应用程序个人信息保护相关的规定,要求从事APP个人信息处理活动,应当具有明确合理的控制,并遵循最小必要的原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。为了更好地指引法院在裁判网络运营者收集、使用个人信息是否遵循了作为个人信息处理基本法律原则的“合法、正当、必要”原则,是否满足了让用户知情、获得用户同意的条件,有必要对电商平台遵循最小必要原则增加具体规定,并予以更加严格的约束。全国信息安全标准化委员会2020年发布的《信息安全技术个人信息安全影响评估指南》,以国家推荐性标准的方式,对个人信息安全处理的评估原理、评估实施流程作了具体规定,可以作为操作层面的应用参考。
二、调整个人信息侵权诉讼的证明责任分配规则
个人信息纠纷产生之时,自然人和企业之间举证责任的划分、证明标准和路径深刻影响着个人信息保护案件的裁判结果,举证责任分配成为个人信息司法保护中的核心问题。《个人信息保护法》 建立了统一的个人信息保护制度,明确了个人信息处理者“证明自己没有过错”的义务。在个人信息侵权诉讼中,完全的举证责任倒置并不可取。相比于“一刀切”的过度保护模式,对个人信息举证的责任进行合理分配,既达到调整举证责任制度以解救济之难,保护了消费者的利益,又保障个人信息商业价值的合理利用。因此,解决路径应当是合理平衡双方的举证责任分配,降低普通用户的证明标准,提高电商平台的反证要求。原告应当承担举证责任如下:
第一,对损害的举证责任。原告可以就自身的财产损失以及精神损害提出证据。依据《中华人民共和国民法典》第一千一百八十二条规定:“侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿;被侵权人因此受到的损失以及侵权人因此获得的利益难以确定,被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的,由人民法院根据实际情况确定赔偿数额。”
第二,对过错的举证责任。原告不再需要明确指出和证明侵权人网站存在系统漏洞,并且该系统漏洞系网络常见、非技术难题、易于识别和修复的安全漏洞,从而证明了被告并未完全履行其应有的安全保障义务,或是被告故意泄露、篡改、毁损其收集的个人信息。只需要证明被告信息系统确实存在一定的安全漏洞,即完成其举证责任。至于该安全漏洞的存在是否符合法定的网络安全标准,则由被告举证证明。
第三,对因果关系的举证责任。原告只需要证明,被告系统安全漏洞的存在足以导致损害结果的发生,无需证明安全漏洞的存在是损害后果发生的必要条件;或者在现实层面,确实是由于安全漏洞的存在导致了损害后果的发生。这一部分的因果关系证明,应由被告予以反证。这是司法裁判对由互联网、大数据和自动化决策构建起的数字社会中,缺乏信息采集、保护与处理技术的普通公众和各种信息处理者之间存在明显的能力不平等乃至“数据鸿沟”这一现实背景的积极回应。
三、完善告知同意原则司法适用规则
(一)采用个性化隐私偏好设置
电商平台可以采取个性化隐私偏好设置,赋予消费者对其个人信息更为全面的处分权。目前,相比传统的全有或全无式的隐私政策模式,许多互联网企业开始允许用户对自己的隐私偏好进行设置,即列出其使用消费者个人信息的范围、使用权限等,消费者依个人偏好可以自由选择是否由企业限制使用上述信息。
在个性化隐私偏好设置模式下,消费者可以在隐私保护与生活便利间进行权衡。网络消费者个人信息对于电商平台而言十分重要,消费者的网页浏览信息及购买记录可以精确“刻画”消费者形象,便于电商平台对消费者进行精准推送。同时,相应的推送对于消费者而言亦可带来便利,显著降低消费者选购商品的时间成本。电商平台应当在隐私政策条款中采用个性化隐私偏好设置,允许用户选择电商平台使用信息的范围、方式及权限,使用户在个人信息保护与便捷购物中作出自己的选择。
(二)完善同意撤回权的行使规则
网络消费者撤回对电商平台授予的权利,属于个人信息处分权能的一部分,该项权利通常被称为同意撤回权,已在《个人信息保护法》第十六条中体现,即“基于个人同意而进行的个人信息处理活动,个人有权撤回其同意”。由于个人信息权益属于人格权的一部分,信息主体的同意撤回权应当符合以下具体规则:
一是同意撤回权的行使不应受除斥期间的限制。网络消费者的同意撤回权系请求电商平台作为的一种权利,且涉及到主体的人格利益,属于人格权请求权的一种。当网络消费者同意电商平台对其个人信息进行处分时,其个人信息即有受侵害之虞。当权利主体的绝对权可能受到侵害时,权利主体为预防侵害发生的请求权为绝对权请求权。因此,同意撤回权应属于绝对权请求权,不应当受到除斥期间的制约。
二是同意撤回权的行使应当受到一定限制,如不得影响电商平台履行数据信息留存义务。所谓数据信息留存,是指政府机构为日后检索、法律执行以及国家安全的需要,对相关机构或企业所使用的用户数据进行储存。依照我国《互联网信息服务管理办法》第十四条的规定,“电商平台对于消费者个人信息的记录备份应当保存60日,以备查询”。尽管同意撤回权涉及消费者人格利益,在与电商平台的财产利益发生冲突时应享有优先地位,但其行使也不应影响到社会公共利益与国家安全。因此,若相关数据涉及到电商平台履行数据留存义务的,消费者只能在相关留存期限结束后方能行使个人的撤回权。
个人信息作为大数据时代的重要生产要素、新兴技术,在关注个人信息安全问题时,应完善网络消费者个人信息保护,同时考虑个人信息处理创新与规制的平衡。这一目标在民事诉讼过程中的达成,需要立足于网络消费者个人信息保护的现有制度和实践情况,聚焦我国网络消费者个人信息保护的立法现状,明确个人信息的概念、处理原则及法律责任,在此基础上结合司法实践的案例与数据分析,探究如何进一步推动我国网络消费者个人信息保护民事诉讼规则的补正与完善。
【作者:许林波、边缘,江西志谦律师事务所】
【责任编辑:尚鑫】