来源:《中国征信》2015年第7期。作者:王新锐,毕业于清华大学法学院,现为北京安理律师事务所高级合伙人、管理委员会成员。
个人信息在网络环境中被广泛收集和应用,使个人信息的保护范围超越了对传统个人隐私的保护。2012年12月28日,全国人大常委会颁布《关于加强网络信息保护的决定》,确立了个人网络信息保护的基本原则,该原则在之后修订的《消费者权益保护法》中也被吸收。
然而在司法实践中,法律执行现状仍不理想,个人信息被侵犯的情况普遍存在。在近日引起业界热议的朱烨诉百度隐私权侵权案中,针对同一事实,南京市两级法院作出了截然相反的法律裁决。此案反映出在我国现有法律语境下,个人信息和隐私权的内涵和外延因为网络科技的发展,均已发生深刻变化。
虽然此案的终审判决对我国其他法院处理同类型案件并无拘束力,但本案的裁判思路会对网络公司在今后应用个人信息的实践上产生不小的影响。司法实践发展的需求能够推动个人信息保护立法的理论发展,从而使法律在寻找个人信息保护和利用的平衡过程中,充当合理纠正的机制。
案例回顾
原告朱烨发现其利用百度搜索引擎搜索相关关键词后,会在特定的网站上出现与这些关键词有关的广告。朱烨据此认为,北京百度网讯公司(以下简称百度公司)未经朱烨的知情和选择,利用网络cookie技术,记录和跟踪其搜索的关键词,将其兴趣爱好及生活、学习、工作特点等显露在网站上,并利用这些关键词,对朱烨浏览的网页进行广告投放,侵害了朱烨的隐私权,影响了正常的工作和生活。朱烨遂诉至法院,请求法院判令百度公司立即停止侵害朱烨隐私权的行为,并向朱烨支付一定金额的精神损害抚慰金。
本案的主要焦点是,百度公司的案涉行为是否侵犯了朱烨的隐私权。从披露的判决书中可见,尽管南京的两级法院对此案的基本推理逻辑大体一致,但他们在个人信息保护的法律适用和理解上各执一词。
朱烨的网络活动踪迹是否属于个人隐私?
一审法院认为:个人隐私应包含个人的私人活动和私有领域。朱烨利用特定词汇在百度进行网络搜索的行为,将在互联网空间留下私人活动的轨迹,而这一活动轨迹展示了其个人上网的偏好,反映个人的兴趣、需求等私人信息,在一定程度上标识个人基本情况和个人私有生活情况,属于个人隐私的范围。
二审法院对此持不同意见:首先,百度公司在提供个性化推荐服务中运用网络技术所收集、利用的是未能与网络用户个人身份对应识别的数据信息,该数据信息的匿名化特征不符合“个人信息”的可识别性要求。网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,因此不再属于个人信息范畴。
百度利用Cookie技术向朱烨使用的浏览器提供个性化推荐服务是否属于侵权行为
一审法院认为:百度公司使用Cookie技术收集朱烨的网上活动轨迹并加以利用,进行商业活动,已经构成侵犯他人的隐私权。不应单纯地把公开、宣扬他人隐私作为侵犯隐私权的唯一方式,而忽视收集、利用他人信息也会构成侵犯他人隐私的情形。
二审法院的结论如下:百度公司利用网络技术通过百度联盟合作网站提供个性化推荐服务,其检索关键词海量数据库以及大数据算法均在计算机系统内部操作,并未直接向第三方或公众展示,因此没有任何公开行为,不构成对隐私的伤害。事实上,百度公司提供的个性化推荐服务已利用大数据分析提高了推荐服务的精准性,没有对外公开宣扬特定网络用户的网络活动轨迹及上网偏好,也没有强制网络用户必须接受个性化推荐服务,而是提供了相应的退出机制,谈不上对网络用户的生活安宁产生实质性损害。同时,二审法院指出个性化推荐服务客观上存在帮助网络用户过滤海量信息的便捷功能,网络用户在免费享受该服务便利性的同时,亦应对个性化推荐服务的不便性持有一定的宽容度。
百度收集和利用朱烨网络搜索信息的行为是否侵犯了用户的知情权与选择权
一审法院认为:百度公司没有尽到显著提醒说明的义务。百度公司在网站中默认的是网民同意百度使用Cookie技术收集并利用网民的上网信息,网民可能根本就不知道自己的私人信息会被收集和利用,这就要求百度在默认“选择同意”时要承担更多、更严格的说明和提醒义务,以便网民对百度公司的行为作出理性的选择。但百度网页中的《使用百度前必读》标识虽有说明和提醒的内容,但其设置方式(相关标识处于网页最下方,且字体明显较小)造成用户难以识别这一标识并加以注意,无法起到规范的说明和提醒作用,不足以让朱烨明了存在“选择同意”的权利。
二审法院没有采纳一审法院的观点,认为:百度公司利用Cookie这一当前互联网领域普遍采用的信息技术,对朱烨提供个性化推荐服务并未侵犯网络用户的选择权和知情权。百度公司在《使用百度前必读》中已经明确告知网络用户可以使用包括禁用cookie、清除cookie或者提供禁用按钮等方式阻止个性化推荐内容的展现,尊重了网络用户的选择权。其次,百度公司将《使用百度前必读》的链接设置于首页下方,与互联网行业通行的设计位置相符,网络用户施以普通注意义务足以发现该链接。在《使用百度前必读》中,百度公司已经明确说明cookie技术、使用cookie技术的可能性后果以及通过提供禁用按钮向用户提供选择退出机制,朱烨在百度公司已经明确告知上述事项后,仍然使用百度搜索引擎服务,应视为对百度公司采用默认“选择同意”方式的认可。
法律评析
南京市中级人民法院的判决书说理水平较高,其大部分论断从法理上是成立的,但也存在不严谨的地方。
个人信息的范围被误读了吗?
南京市中级法院在判决书中援引了《电信和互联网用户个人信息保护规定》(工信部第24号令)(以下简称《规定》)第四条有关“个人信息定义”的规定,“用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息” 。在终审判决中,南京市中院一方面承认了网络用户通过使用搜索引擎形成的检索关键词记录属于个人的网络活动轨迹和上网偏好,“具有隐私属性”,但其后续阐述“因无法确定具体的信息归属主体,因此不再属于个人信息范畴”。这在论述上是有矛盾的,因为个人信息的外延比隐私更大。
事实上,《规定》采用了识别型定义模式,对“个人信息”的定义实质上是强调对“信息主体”的识别。凡是与个人相关的一切事项,经判断可以直接或间接与个人相关联的一切信息,均应属于个人信息。 南京的两级法院对本案作出的判决论述中,都倾向于将个人信息的范围采用隐私型的定义方式予以界定,认为个人信息仅包括与信息主体直接相关,且信息主体个人不愿意公开的个人之信息,不仅缩小了个人信息的范围,也没有明确个人信息与隐私之间的界限。
退一步而言,如果百度在利用cookie技术对网络用户进行个性化推荐过程中确实不关联网络用户个人身份,即缺乏可识别性,则不会侵犯隐私权。但这一关键前提条件是否成立,不仅需要更详细的说明,也涉及比较复杂的技术问题。判决中指出“事实上百度公司在提供个性化推荐服务中没有且无必要将搜索关键词记录和朱烨的个人身份信息联系起来”, “没有”、“无必要”和“不能”是不同的层面,网络用户的网络活动轨迹及上网偏好是否真正匿名化的信息,通过技术层面不同的处理可能会导致不同的结果。如果不梳理清楚,网络科技公司有可能会通过对技术的解释来规避法律规定,这是普通用户没有能力进行举证的。
个人隐私与个人信息保护的关系
隐私和个人信息是两个既有区别又相互紧密联系的概念。个人信息包括隐私信息,有诸多个人信息并不涉及个人隐私,比如已公开的个人信息。但是,非隐私性个人信息仍然需要个人信息保护立法给予保护。法律对于个人信息的保护目的,除了保护个人隐私之外,还有对社会公共秩序的保护。本案中的案由是隐私权纠纷,如果百度公司因为前述理由没有侵犯用户的隐私权,那么是否违反了关于个人信息保护的相关规定,在没有获得用户明确同意的情况下将其信息提供给第三方用于广告投放,仍然值得进一步讨论。
在立法上,隐私权保护与个人信息保护是相辅相成的。公众普遍认为中国法律对隐私权和个人信息缺乏保护,但这并不准确。2009年12月通过的《侵权责任法》中,直接确认了隐私权的独立保护:“侵害民事权益的,应当依法承担侵权责任。本法所称民事权益,包括隐私权……网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。”而在此之前,最高法院的司法解释实际上肯定了隐私权作为一项独立民事权利的存在。2009年通过的《刑法修正案(七)》,增加了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”,明确侵害公民个人信息的刑事责任;全国人大常委会于2012年颁布了《关于加强网络信息保护的决定》,作为我国第一部专门有关个人信息保护的立法,规定了个人信息保护的原则、主体和责任;而2013年修订的《消费者权益保护法》也增加了有关个人信息保护的规定。除此以外,根据统计,另有70余部法律法规具体涉及到个人信息保护,包括《居民身份证法》、《护照法》、《统计法》、《社会保险法》、《旅游法》、《征信业管理条例》、《电信和互联网用户个人信息保护规定》、《人口健康信息管理办法(试行)》等。
司法困境的理解与反思
此案的判决反映出在互联网时代个人隐私和个人信息受到的实际挑战。在此,援引一位学者对网络隐私权的评论:“网络隐私权与传统隐私权在本质上是一样的,但在表现形式及侧重点上存在较大区别。如果说隐私权产生之初是为了对抗新闻自由侵害个人生活领域与精神安宁,规制的重点在新闻自由的界限的话,那么网络隐私权就是对抗网络服务商通过技术优势窃取、收集、加工用户个人资料和信息进行商业利用,侵害个人生活信息、网络生活及精神的安宁并波及现实的生活与精神安宁,所以网络隐私权的规制重点在于网络手段及网络技术控制。”对网络手段和技术的控制,不是要遏制创新,而是要减少技术被不当利用,这样互联网新的商业模式才能可持续发展。
从欧美发达国家针对个人信息保护的立法和司法实践来看,个人信息保护的严格程度与其网络产业的发展程度呈反向相关关系。我们可以发现,在南京市中院对此案的判决中,已体现出对高科技公司运营现代网络商业模式的理解和对新兴网络技术的宽容。其判决指出,“cookie技术是当前互联网领域普遍采用的一种信息技术,基于此而产生的个性化推荐服务仅涉及匿名信息的收集、利用,且使用方式仅为将该匿名信息作为触发相关个性化推荐信息的算法之一,网络服务提供者对个性化推荐服务依法明示告知即可,网络用户亦应当努力掌握互联网知识和使用技能,提高自我适应能力” 。
对于判决结果,我们不能简单地理解为法院肯定个性化推荐不会侵害隐私权,而是指出个性化推荐如果不关联网络用户个人身份,并给用户提供了选择权的情况下,并不侵犯用户隐私权。而且从一审、二审截然不同的结果来看,司法实践中对未经用户明确同意,收集其网络活动轨迹及上网偏好的行为是有争议的。这也提醒网络科技公司在收集和使用用户信息时,要尽量获得用户的同意或授权,或者对用户信息进行匿名化处理。
在法律规定和适用上,隐私权和个人信息保护既简单又复杂。说其简单,是因为个人信息保护的原则可以归结为合法、正当、必要,这一原则自1980年经济合作与发展组织在《关于隐私保护与个人资料跨国流通的指针的建议》中提出后,被各国接受,至今并无大的变化。说其复杂,是因为具体情况千变万化,考虑到技术带来的挑战,情况就更为复杂,比如《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28828-2012)5.2.3条规定,“处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人信息主体的明示同意” 。但如何界定敏感信息,明示同意有哪些可以接受的形式,在互联网环境下说清楚并不容易。
不得不指出的是,我国个人信息保护立法的执行情况仍不理想,个人信息被侵犯的情况广泛存在。在网络技术与大数据发展的背景下,个人信息被非法收集和使用变得愈加难以防范,而且取证困难。当前,个人信息体现出巨大的经济价值,对个人信息保护的需求,需要我国在个人信息立法上有统一回应,不仅要细化对个人隐私和个人信息保护的原则,更要从法律保护上给予信息主体充分的安全感。
征信宝网站:www.zhengxinbao.com
微信公众号:征信宝(ID: ixinyong)
联系微信号: aihaozhe