01案 例
庞理鹏为东航常旅客,曾在去哪儿网和东航留存手机号码。庞理鹏委托他人通过去哪儿网订购了东航某次航班机票,订票当时没有提供手机号码,但在航班出发前一天,庞理鹏收到航班取消的诈骗短信,遂以个人信息被泄露、个人隐私权遭到严重侵犯为由起诉去哪儿网和东航,要求两家公司书面赔礼道歉并赔偿精神损失。
一审判决驳回了庞理鹏的全部诉讼请求。一审法院认为:
隐私权是指公民享有的私人生活安宁与个人信息秘密不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权,理应受到法律保护,但是去哪儿网和东航在机票订购时没有获取庞理鹏的手机号码,庞理鹏也无法举证证明去哪儿网和东航将庞理鹏过往留存的手机号码与本次机票信息进行匹配并泄露出去,而且去哪儿网和东航并非掌握庞理鹏个人信息的唯一介体,所以法院无法认定去哪儿网和东航存在泄露庞理鹏个人信息的侵权行为。
二审判决去哪儿网和东航通过公告方式向庞理鹏赔礼道歉。二审法院的裁判说理,可以归结为以下几点:
1.姓名、电话号码及行程安排等事项可以通过隐私权纠纷而寻求救济。
姓名、电话号码及行程安排等事项首先属于个人信息,对于个人信息的民事司法保护已经成为全球共识。我国相关立法(如《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《民法总则》)已明确提出保护个人信息,虽然法律界对保护思路存在分歧,但不能因为专业争鸣未能达成共识就放弃对个人信息进行民事保护。
“在大数据时代,信息的收集和匹配成本越来越低,原来单个的、孤立的、可以公示的个人信息一旦被收集、提取和综合,就完全可以与特定的个人相匹配,从而形成某一特定个人的详细而准确的整体信息。此时,这些全方位、系统性的整体信息,就不再是单个的可以任意公示的个人信息,这些整体信息一旦被泄露扩散,任何人都将没有自己的私人空间,个人的隐私将遭受巨大威胁,人人将处于惶恐之中。”庞理鹏的姓名和手机号,属于个人信息,在日常民事交往中,发挥着身份识别和信息交流的重要作用,孤立来看不属于个人隐私,但行程安排无疑属于私人活动信息,因此,姓名、手机号与行程安排结合起来的整体信息,已经构成个人隐私,可以通过隐私权纠纷寻求救济。
2. 综合认定去哪儿网和东航存在泄露庞理鹏个人隐私信息的高度可能。
从收集证据的资金、技术等成本上看,作为普通人的庞理鹏根本不具备对去哪儿网和东航内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此,客观上,法律不能也不应要求庞理鹏确凿地证明必定是去哪儿网或东航泄露了其隐私信息。庞理鹏在诉讼过程中的表现已经可以排除其故意泄露信息进行虚假诉讼的可能,而其提供的证据虽然不能确切证明去哪儿网和东航存在泄露庞理鹏个人隐私信息的行为,但已经使法官内心形成高度可能的确信,此时去哪儿网和东航提供的反证不足以推翻该确信,再加上案涉事件发生前后去哪儿网和东航曾被多家媒体质疑存在泄露乘客信息的特殊背景,所以可以认定去哪儿网和东航存在泄露庞理鹏个人隐私信息的高度可能。
3. 在东航和趣拿公司有泄露庞理鹏隐私信息的高度可能之下,其是否应当承担责任需审查其是否有过错。
东航和趣拿公司在被媒体多次报道涉嫌泄露乘客隐私后,即应知晓其在信息安全管理方面存在漏洞,但是,该两家公司却并未举证证明其在媒体报道后迅速采取了专门的、有针对性的有效措施,以加强其信息安全保护。去哪儿网和东航对消费者个人信息须承担保密和保证安全的义务,其疏于防范导致信息泄露,因而具有过错,理应承担相应的侵权责任。
02分析与思考
随着大数据技术的发展,公民个人信息中蕴含的巨大价值被不断发掘,以个人信息为基础的大数据成为了众人争抢的稀缺资源。在利益的驱使下,围绕个人信息的违法和安全问题频发,已经严重扰乱了人们的正常生活,甚至侵害到公民的人身权益。庞理鹏案虽取得良好效果,但这并不当然意味着个人信息权的私法保障已日臻完善,作者对此持悲观态度。该案一审判决或多或少透露了个人信息权民事司法救济的一些痛点。
一是法律规范层面并不能很好地通过隐私权保护个人信息权。
我国关于个人信息保护的法律规定早已有之,只不过早年出台的相关法律条文大部分都仅对泄露个人信息等行为作了禁止性规定,而没有规定相应的法律后果,或者即使有所规定后果也并不严重。比如《出境入境管理法》就规定,履行出境入境管理职责的工作人员,泄露在出境入境管理工作中知悉的个人信息,侵害当事人合法权益的,依法给予处分。直到《刑法修正案(九)》和《网络安全法》相继实施,才将个人信息保护真正落到实处,但保护方式着重于刑事司法保护和行政规制。《民法总则》的出台,算是对个人信息的民事司法救济作出了原则性规定,只不过,该法虽然将个人信息的法律保护规定在了“民事权利”一章中,但并没有对个人信息所涉民事权利的法律性质作出任何更进一步的阐释。
鉴于上述立法现状,在寻求个人信息的民事司法救济方面,正如本文案例中的二审判决所述,法律界对救济思路尚存在诸多分歧,在各方没有达成共识的情况下,以人格权中的隐私权作为着眼点,可说是唯一可行的途径了。但是,法律毕竟是严谨的,个人信息并不当然等同于个人隐私。
目前,已有《网络安全法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《电信和互联网用户个人信息保护规定》、《GB/T 35273-2017 信息安全技术·个人信息安全规范》等法规和标准对个人信息作出了多个层级的权威定义。但对个人隐私作出明确定义的,仅有《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》这一部司法解释。对比之下可知,个人信息所涵盖的范围要远远大于个人隐私,因此,以提起隐私权纠纷作为个人信息受到侵害的民事司法救济途径,显得很“任性”,但是,就当前的法律环境而言,别无他途,聊胜于无。
二是在实务操作上,救济途径仍是道阻且长,主要表现在取证举证难。
作为信息主体的个人很难取到信息被泄露的证据,无从知晓其个人信息储存、利用和运输的范围,对个人信息完全处于失控状态,没有能力在各种线索中找出证据。在举证证明损失时,亦是难上加难,这些损失有可能是时间上的,也有可能是金钱上的,还可能是精神上,但具体几何?实则一大难题,故请求予以权赔偿更多也只能依人格权请求权,寻求非财产性救济。
03结语
2017年两会期间,曾有多名全国人大代表呼吁国家尽快制定《个人信息保护法》,但全国人大法工委还在对是否需要单独立法的问题进行研究和论证。此外,法学界有观点认为《民法总则》中的个人信息法律保护条款属于确立了一种有别于人格权、物权和知识产权等传统民事权利的新型民事权利——“个人信息权”,但是学界对此尚处于概念辨析阶段,即便成真,亦无法在短时间内运用于司法实务。看来,个人信息受到侵害后民事司法救济途径的全面构建,仍然任重而道远。