第二节 个人信息侵权纠纷中的被告
基本原理
一、个人信息侵权纠纷中的适格被告
诉讼实践中,当事人之所以发生民事诉讼,是因为其相互之间就实体权利义务关系发生了争议。而原告就是认为自己实体权利义务关系被破坏而启动诉讼的人,被告则是在原告启动的诉讼中应诉参加诉讼的人。同对于适格原告的要求一致,个人信息侵权纠纷中的被告也必须首先有诉讼权利能力。实践中,个人信息侵权纠纷中,一般都是原告要求法院以判决命被告为一定行为(包括不作为)的给付之诉,[8]因此,被告还必须是给付之诉所涉实体法律关系上的主体,也即被告必须是侵权法律关系中的侵权行为人。这里的侵权行为人,既包括直接实施侵权行为的具体自然人,比如通过黑客技术窃取他人电子邮箱内容的人,也包括指示或委托具体自然人实施侵权行为的自然人、法人或非法人团体,比如通过其员工实施收集特定用户行踪轨迹信息行为的某导航软件的运营公司,或者雇用私人侦探刺探他人私密信息的自然人。当然,在雇用私人侦探的情形下,雇主和被雇用的侦探可能存在共同侵权行为,从而成为共同被告。
二、个人信息侵权纠纷中的被告种类
个人信息的侵权行为通常发生在个人信息的处理过程中。《民法典》第1035条第2款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。这一规定几乎囊括了个人信息全生命周期的各个环节,较为细致和全面。据此,个人信息侵权纠纷中的被告,主要是个人信息的收集者、存储者、使用者、加工者、传输者、提供者和公开者。
(一)个人信息的收集者
个人信息的收集者是指最初将自然人的个人信息提取、记录予以固定的自然人、法人或非法人团体。收集者的收集行为不论是否经过自然人本人的允许,都不影响收集者的认定。因为,即便最初的收集行为是经过信息主体本人允许的,但收集的方式(比如,信息主体仅允许用笔记录,但收集者同时进行录音)、收集的范围(比如,信息主体只允许收集其通讯录,但收集者另外还收集了其通话记录)、收集的时间(比如,信息主体只允许收集其工作时间9:00—17:00的电脑浏览记录,但收集者另外收集了其工作时间之外的电脑浏览记录)仍有可能超出信息主体知情同意的范围从而对信息主体构成侵害。当然,即使收集者完全尊重信息主体的要求,按照其同意的方式、范围、时间等进行收集,也不影响信息主体将收集者作为被告进行起诉,因为这是信息主体的程序意义上的诉权(起诉权)。起诉之后,如果法院查明信息收集者完全按照信息主体同意的方式、范围、时间等进行收集,则法院会判决驳回原告信息主体的诉讼请求。
(二)个人信息的存储者
个人信息的存储者是指自主存储或接受他人委托存储自然人个人信息的主体,包括自然人、法人或非法人团体。实践中,个人信息的收集者常常也是存储者,因为收集之后必然要进行存储。不过,也存在这样一种可能,就是个人信息的收集者委托专门的数据存储者进行存储。比如,我国的贵州省,存在大量以数据处理和存储服务为主营业务的数据服务公司,这些公司可以接受其他人的委托进行专门的数据存储服务,此时,这些专门的数据服务公司也可以成为个人信息的存储者。如果在海量个人信息的存储过程中发生个人信息的泄露或其他侵害个人信息权益的行为,则可以成为个人信息侵权纠纷的被告。需要注意的是,在个人信息的存储环节,对不同的个人信息有不同的存储义务要求。一般而言,对个人敏感信息应采用加密方式保存,具体可以采用匿名化、假名化等措施降低个人信息安全风险。[9]如果存储者没有采取与个人信息安全等级相符的存储措施,则造成的个人信息的侵权风险将更高。
(三)个人信息的使用者
个人信息的使用者是指对个人信息进行利用的主体,包括自然人、法人和非法人团体。个人信息的使用是个人信息收集和存储的重要目的,个人信息只有真正被使用,才具有价值。因此,在个人信息全生命周期的实践中,个人信息的使用是非常关键的环节。但正是这一关键环节,往往容易发生侵害个人信息权益的行为。常见的侵权行为有超越目的范围进行使用,比如,明示的收集使用目的仅仅用于教学和科研,但最终为商业化利用;还有超越时间期限进行使用,比如,明示的使用时间为1月1日至6月30日,但在6月30日以后还在使用;等等。
(四)个人信息的加工者
个人信息的加工者是指对原生的个人信息通过特定的算法进行计算、分析和聚合以产生衍生个人信息的人,包括自然人、法人和非法人团体。从利用价值来看,原生的个人信息被直接使用的空间并不大,也不是大数据交易的普遍对象,其可以直接被获取的价值较为有限。但经过加工处理之后的海量个人信息则具有巨大的利用价值。比如,导航软件公司可以根据其收集的海量个人行踪信息分析预测某一时段某一路段的交通拥堵情况,某一电子商务平台的后台信息管理系统可以根据海量用户的购买信息,分析研判每个人的购买偏好,从而实施精准的广告推送。以上被利用的信息都是经过加工之后的衍生的信息。在加工过程中,个人信息同样存在泄露的风险,这是其被诉的重要原因。而就加工之后的衍生信息,很可能也构成个人信息,同样存在安全风险。因为,个人信息控制者将个人信息或其他信息加工处理后形成的信息,例如,用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,也属于个人信息。[10]而加工后的信息如果构成个人信息,那就当然存在被侵害的可能,从而发生个人信息侵权纠纷。因此,个人信息的加工者当然是个人信息纠纷的被告之一。
(五)个人信息的传输者
个人信息的传输者是指通过特定的技术手段使个人信息在不同终端或载体之间进行流动的人,包括自然人、法人和非法人团体。从个人信息的传输范围看,个人信息的传输包括境内传输和跨境传输,因此,个人信息的传输者也包括境内传输者和跨境传输者。一般而言,个人信息的境外传输要遵循严格的行政管理规定,非经相关行政管理机关的批准,不得私自向境外传输个人信息。《网络安全法》第37条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。个人信息在传输过程中因各种原因可能发生个人信息的泄露,或者发生个人信息的误传,此时,传输者将因其泄露行为或误传行为而侵害个人信息权益,从而成为被告。
(六)个人信息的提供者
个人信息的提供者在法律地位上近似于个人信息的传输者,向他人提供个人信息意味着个人信息从一个载体流动到了另一载体。因此,一般而言,个人信息的传输者往往同时也是个人信息的提供者。提供者将因其在提供环节的疏漏或其他不审慎行为发生个人信息的侵权行为,从而成为被告。
(七)个人信息的公开者
个人信息公开的前提是收集、占有或存储着个人信息。因此,个人信息的公开者往往同时也是个人信息的收集者、存储者或传输者。个人信息公开者的公开行为有的是经信息主体同意或确认的,有的则未经信息主体同意或确认。显然,未经信息主体同意的公开行为就是侵害信息主体个人信息权益的行为,公开者将可能因其擅自公开行为而成为被告。
需要说明的是,对于上述收集、存储、使用、加工、传输、提供、公开等行为,《民法典》统一用“处理”一词进行概括。因此,上述个人信息的收集者、存储者、使用者、加工者、传输者、提供者、公开者可以统称为个人信息的处理者。同时,由于我国理论界和实务界早已开始使用个人信息控制者的概念,并且,个人信息控制者的概念与其所承担的法律义务更为契合,[11]故本书也用信息控制者指称个人信息的处理者。总之,本书在具体的行文过程中,可能交替使用个人信息控制者和个人信息处理者的概念,如无特别说明,二者为同义语。
专题13 国家机关掌握的个人信息泄露造成损害可否被诉
◎案例简介
2019年6月26日,张某在常熟市人民政府官网镇区信箱板块匿名提交一份标题为“不要发布涉及本人信息”的信件,内容为:“发现你们在常熟政府网发布有关本人的信息,《2017年度政府信息依申请公开工作报告》不要发布涉及本人姓氏、家庭住址、案号之类的涉及隐私的信息,有事说事不要发布这些信息。请立即处理。”2019年7月1日,常熟市人民政府回复称:“张某,你好!你所述《2017年度政府信息依申请公开工作报告》,系常熟市人民政府为根据当年度市级《关于报送依申请公开有关材料的通知》要求报送的关于2017年度依申请公开工作情况相关事实材料的工作报告。报告中第三部分内容涉及依申请公开典型案例,确实引用了近三年来较为典型的张某申请公开政府信息的相关案例,因张某是金色家园小区业主,且申请公开的信息均涉及金色家园小区,因此,为阐明案情,《2017年度政府信息依申请公开工作报告》列示了‘张某,家住金色家园小区’,但是并未涉及张某真实姓名、身份证号、联系方式、肖像,金色家园小区具体地址也未列明,已经充分考虑张某的隐私权。因此,《2017年度政府信息依申请公开工作报告》并未侵犯张某的隐私权。”张某对此不满,遂诉至法院请求判令常熟市人民政府停止侵权、消除影响、书面赔礼道歉。
法院判决认为,本案的争议焦点是常熟市人民政府是否侵犯张某隐私权。常熟市人民政府在《2017年度政府信息依申请公开工作报告》中仅提到了“张某,家住金色家园小区”等信息,并非具体明确,故张某主张该行为侵犯隐私,缺乏依据,不能成立。常熟市人民政府在2019年7月1日政府信箱回信中除提到上述内容之外,在信件称谓处述明“张某”,系表明回信对象,结合来信方式、来信格式所要求的填写内容、回信内容的私密程度等,张某主张该行为侵犯其隐私权,理据不足,法院亦不予认定。另外,本案所涉工作报告、政府网站信箱回信可公开查阅,表明其具有公共属性,关涉公众的知情权和监督权,隐私权与此冲突时应受到相应的限制。权利作为一种自由是有限度的,隐私权的行使同样不能突破权利的界限。综上,张某主张常熟市人民政府承担侵犯其隐私权的侵权责任,不予支持。[12]
◎法官评析
1.国家机关可以成为民事侵权案件的被告
现代社会,国家作为公共团体的功能不断扩大,其活动内容对于市民的生命、身体、财产等而言具有重大意义。[13]国家的各级机关在具体的公共管理职能发挥中起着举足轻重的作用。虽然在我国的法律体系中,国家机关侵权的救济主要由《国家赔偿法》来解决,但是《国家赔偿法》本身就属于侵权特别法,并且我国《民法通则》第121条也曾明确规定,国家机关或者国家机关工作人员在执行职务中,侵犯公民、法人的合法权益造成损害的,应当承担民事责任。当然,《民法典》并没有保留《民法通则》第121条规定的内容,但这仍然不妨碍国家机关侵权责任的侵权法救济。因为,既然《国家赔偿法》是侵权特别法,当然也是《民法典》的特别法,那么根据孙宪忠教授所倡导的“头等舱”理论,[14]在法律适用顺位上,作为民法特别法的国家赔偿制度处在“头等舱”的位置,应当优先适用。只有处在“头等舱”里的国家赔偿制度中没有涉及的情况,才可以适用民法的规定。而2012年修订之后的《国家赔偿法》第3条关于行政机关及其工作人员在行使行政职权时侵犯人身权的国家赔偿范围仅局限于生命权、健康权、人身自由权等有限的几种人格权,对于姓名权、隐私权、名誉权、肖像权以及个人信息等其他人格权益并未涉及。因此,应当直接适用《民法典》的规定。《民法典》第1039条规定,国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。这表明,国家机关对于因其工作职责所知悉的自然人隐私和个人信息负有的保密义务是民法典规定的法定义务,违反这一法定义务造成自然人损害的,应当承担损害赔偿的侵权责任。
2.国家机关承担侵权责任不一定以过错为要件
尽管《国家赔偿法》对于损害赔偿责任的归责原则没有明确,但从解释上看,理论界和实务界关于国家赔偿中刑事赔偿、非刑事赔偿的归责原则还存有诸多分歧,[15]但至少可以有这样的共识,那就是国家机关承担侵权责任不一定都以过错为要件。这就意味着,国家机关侵权损害赔偿责任会有适用无过错责任原则的空间和可能。本案中涉及的情况并未规定在《国家赔偿法》中,故法院直接按照民法中的隐私权侵权规则去审理案件。但从判决理由看,法院并未论证被告的过错问题。从立法论的角度,笔者认为,从国家自身责任的立场出发,国家赔偿应当建立有限度的无过错责任原则。[16]但从解释论的角度看,因为本案所涉情况在《国家赔偿法》中没有规定,那么就应该回到民事一般法中。根据《民法典》第1166条规定,只有在法律有明确规定的情况下才能适用无过错责任原则,而《民法典》和其他法律中并未明确规定国家机关侵犯公民个人隐私权或个人信息权益要适用无过错责任。因此,在目前的法律框架下,国家机关就其侵犯隐私权和个人信息权益的行为承担侵权损害赔偿责任仍需按照一般侵权责任对待,适用过错责任原则。但是,如果原告请求的并非侵权损害赔偿责任,而是其他侵权责任,比如停止侵害、排除妨碍、消除危险等,则根据《民法典》第1167条规定,不需要以过错为要件。
3.国家机关在承担赔偿责任之后对符合法定情形的工作人员可以追偿
在国家机关因侵权而承担损害赔偿责任之后,国家机关还存在追偿的可能。根据《国家赔偿法》第31条规定,赔偿义务机关赔偿后,应当向符合特定情形的工作人员追偿部分或者全部赔偿费用。这里的特定情形就是《国家赔偿法》第17条第4项、第5项规定的刑讯逼供或者以殴打、虐待等行为或者唆使、放纵他人以殴打、虐待等行为造成公民身体伤害或者死亡的,以及违法使用武器、警械造成公民身体伤害或者死亡的情形;还有一种情形就是在处理案件中有贪污受贿、徇私舞弊、枉法裁判行为的工作人员。虽然个人隐私权或个人信息权益不属于《国家赔偿法》的调整范围,但若国家机关侵犯个人隐私权或个人信息权益中存在刑讯逼供或者殴打、虐待以及贪污受贿、徇私舞弊、枉法裁判等情形,可以参照《国家赔偿法》第31条规定向具体工作人员追偿。本案中的情形,因没有承担责任,故不存在追偿的问题。
◎规范指引
《民法典》
第1039条 国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。
《国家赔偿法》
第3条 行政机关及其工作人员在行使行政职权时有下列侵犯人身权情形之一的,受害人有取得赔偿的权利:
(一)违法拘留或者违法采取限制公民人身自由的行政强制措施的;
(二)非法拘禁或者以其他方法非法剥夺公民人身自由的;
(三)以殴打、虐待等行为或者唆使、放纵他人以殴打、虐待等行为造成公民身体伤害或者死亡的;
(四)违法使用武器、警械造成公民身体伤害或者死亡的;
(五)造成公民身体伤害或者死亡的其他违法行为。
专题14 用人单位将员工个人信息泄露可否被诉
◎案例简介
纺织公司因公司经营状况不佳,需要进行内部整顿,根据劳动合同法相关规定,决定与顾某某、黄某某等14名员工解除劳动关系。纺织公司于2019年4月18日与淮安日报社联系刊登与顾某某、黄某某等14名员工解除劳动关系公告,并于当日向淮安日报社交付与顾某某、黄某某等14名员工解除劳动关系的公告内容,向淮安日报社出具刊登与14名职工解聘的公告系本公司行为、一切后果由本公司承担的说明。2019年4月19日,《淮安日报》B3版刊登纺织公司与顾某某、黄某某等14名员工解除劳动关系的公告,公告内容为:因本公司经营状况不佳,需要进行内部整顿,现根据劳动合同法相关规定,决定与以下员工:吕某某32××××××××6,……,顾某某,……,杨某某,解除劳动关系。按相关法律规定给予经济补偿,终止劳动关系日期为2019年4月12日。请以上人员限一周内领取赔偿金。洪泽县富达纺织有限公司二○一九年四月十八日。
法院判决认为,纺织公司在《淮安日报》上以公告形式发布与顾某某、黄某某等14人解除劳动合同决定的目的,在于通知其及时到纺织公司处办理离职相关的各项手续,公告中载明姓名、身份证号码等信息也是确定公告对象的客观需要。顾某某、黄某某等14人主张纺织公司在公告前,其都在厂里上班,邮寄通知其都已收到,公告主体不合格。顾某某、黄某某等14人口头陈述收到纺织公司解除劳动关系通知书,但并未签字,导致纺织公司不能确认顾某某、黄某某等14人已收件,纺织公司进一步刊登公告进行通知。职工离职手续包括工作交接,还包括社会保险、档案以及领取交接补偿金等手续,故应认定纺织公司告知顾某某、黄某某等14名及时办理离职手续及领取经济补偿金是其积极履行用工单位义务的正当行为,并不具有泄露顾某某、黄某某等14名职工个人隐私的主观故意。因此顾某某、黄某某等14人主张纺织公司、淮安日报社泄露其身份证号码、侵犯其隐私权的诉讼请求,不予支持。[17]
◎法官评析
1.用人单位基于工作管理职责的要求可以收集、存储和使用员工的部分个人信息
用人单位与员工之间成立的是劳动关系,现代职业劳动在组织下进行,离开了分工与协作不可能完成相应的工作任务。而分工与协作意味着在组织劳动的过程中必然有协调和管理行为的存在。因此,劳动者的职业劳动必须在一定的指挥与管理之下才能实现,离开了指挥与管理,劳动给付就难以实现。[18]在用人单位的指挥与管理过程中,因生产秩序管理、参加社会保险统筹、核发工资、组织职工大会或职工代表大会等各种合法、合理事由,用人单位必然需要收集、存储和使用劳动者的姓名、出生日期、手机号、家庭住址、身份证号、社保卡号、银行卡号等各种个人信息。上述情况下员工个人信息的收集、存储和使用,可以认为是经过员工的概括授权或默示同意的,也可以认为是《民法典》第1036条第3项规定的为维护自然人合法权益而合理实施的其他行为。否则,有关员工个人的实质性权利将因不能收集、存储和使用员工上述个人信息而无法得到保护。因此,用人单位基于工作管理的需要,有权收集、存储和使用员工的部分个人信息。
2.用人单位对于其收集、存储和使用的员工个人信息负有保护义务
《民法典》第111条规定,自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。这就意味着,虽然用人单位是基于合法事由收集、存储并使用员工个人信息,但未经员工本人同意,也是不能公开或提供他人的个人信息的,这是其法定义务。
3.用人单位基于法定事由可以公开或向他人提供员工的个人信息
根据《民法典》第1036条的规定,用人单位实施的针对员工个人信息的处理行为,只有是经过员工个人同意而合理实施的行为,或者合理处理员工自行公开的或其他已经合法公开的信息,或者为维护公共利益或该员工合法权益,合理实施的其他行为,才是可以不承担民事责任的行为。本案中,用人单位通过当地报纸公开相关员工的身份证号码,有其客观原因,即顾某某等14人口头陈述收到纺织公司解除劳动关系通知书,但并未签字,导致纺织公司不能确认顾某某等14人是否已收件,故纺织公司才进一步刊登公告进行通知。也正是基于这一客观原因,法院判决才认为纺织公司没有构成侵权。需要指出的是,在判断个人信息侵权时,可以考虑比例原则的应用。所谓比例原则,有三项具体要求,即要求权力(权利)的行使方式应该有助于实现其目的,否则宁可不采;要求权力(权利)的行使方式以必要为限,确保损害最小;要求权力(权利)的行使方式所获收益与所受损失合乎比例,不能明显失衡、得不偿失。[19]在我国民事审判实践中,已经不乏比例原则的运用。比如,在王某兰、王某平与庆云县尚堂镇北堂村村民委员会排除妨害纠纷一案中,法院即认为,“庆云县尚堂镇北堂村村民委员会也应当按照比例原则,施工建设中应当选择对村民造成损害最小的方式进行”。[20]根据学者的统计,民事审判实践中运用比例原则作出的判决数量已经较为壮观。[21]本案中,纺织公司在当地报纸上公开其员工身份证号码的初衷虽然是解决二者之间的纠纷,有其合理性,但完全可以采取在报纸上仅公布姓名而不公布其身份证号码的方式,或者即使要公布身份证号码也完全可以将身份证号码中的部分数字隐去,以保护顾某某等人的个人信息。然而,纺织公司并没有这样做,而是选择了将顾某某等人的身份证号码完全公布的方式,这一方式并没有遵循确保损害最小、不能明显失衡的比例原则,未必是行使权利的绝佳方式。就此而言,法院判决认定纺织公司不构成侵权,似还可斟酌。
◎规范指引
《民法典》
第111条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
第1036条 处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
专题15 他人在信息网络平台上侵权,被侵权人请求信息网络平台提供侵权人个人信息被拒的,该信息网络平台公司可否被诉
◎案例简介
2017年5月1日,新浪微博平台(微梦公司运营)中有人发表以“昆山副市长江某(原文为全名,笔者此处隐去)的爱玛仕包和邹某某(原文为全名,笔者此处隐去)的贿赂”为题的文章,该文显示阅读数为17384,转发45。邹某某认为该文提到的邹某某多次向江某行贿,包括赠送爱马仕包、冬虫夏草、高档西装、多次宴请江某及其妻子等内容均无任何事实依据,构成诽谤。2017年12月5日,该微博又重新发表了相同文章,该文章显示阅读数为6658,转发1441,评论数1。2018年4月18日,邹某某向微梦公司发送载有涉案文章侵权链接的律师函,微梦公司认可收到该律师函。后邹某某起诉微梦公司:要求微梦公司删除涉案文章,赔礼道歉,披露涉案文章博主个人相关信息,包括但不限于姓名、注册地等,并赔偿公证费、律师费等损失。邹某某另提交了其于2018年5月7日、6月26日向微梦公司发送案外微博用户侵权的律师函及快递单、电子邮件。法院向微梦公司发送协助调查函,微梦公司调查回函提交了涉案微博用户的ID、用户昵称及手机号;邹某某认可收到微梦公司的回函,但要求微梦公司提供微博用户更加详细的信息。为证明其合理支出,邹某某提交了涉案公证书的公证费发票2500元及5000元律师费发票。邹某某另提交了起诉案外微博用户的诉讼费单据、协助调查函及调查回函,但案外微博用户手机号与本案不同。微梦公司提交了后台打印件,证明涉案微博账号于2018年4月24日已经被微梦公司禁止访问。
法院判决认为,对于微梦公司后台中保存的相关用户信息,微梦公司已以书面形式通过法院向邹某某进行了披露,现无证据表明微梦公司除掌握相关用户的ID、手机号等信息外,还掌握该用户的其他信息,对该公司并不掌握的信息,法院无法责令其进行披露。综上,微梦公司作为网络服务提供者,在收到邹某某的律师函后及时对涉案微博用户采取了必要的技术措施,在本案诉讼中如实地披露了其掌握的相关网络用户的信息,其不存在过错,亦未造成损害的扩大,故法院对邹某某要求微梦公司提供涉案用户其他信息及赔礼道歉、赔偿公证费及律师费的诉讼请求,不予支持。[22]
◎法官评析
1.运营微博的信息网络服务平台公司属于个人信息控制者
个人信息控制者就是有能力决定个人信息处理目的、方式等的组织或个人。运营微博的信息网络服务平台,因微博用户注册微博账号、发表文章、视频、图片等日常业务开展事由,自然积累和存储了海量的用户个人信息。对于这些个人信息,运营微博的网络服务平台有能力为特定目的而决定何时何地以何种方式、在多大程度上使用其掌握的海量个人信息。因此,运营微博的信息网络服务平台是典型的个人信息控制者。
2.信息控制者在特定条件下有义务提供其注册用户的个人信息
根据当时施行的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释〔2014〕11号)第4条,原告起诉网络服务提供者,网络服务提供者以涉嫌侵权的信息系网络用户发布为由抗辩的,人民法院可以根据原告的请求及案件的具体情况,责令网络服务提供者向人民法院提供能够确定涉嫌侵权的网络用户的姓名(名称)、联系方式、网络地址等信息。网络服务提供者无正当理由拒不提供的,人民法院可以依据《民事诉讼法》第114条的规定对网络服务提供者采取处罚等措施。据此,在网络用户涉嫌侵权的情况下,信息控制者有义务按照人民法院的要求提供其注册用户的个人信息。这也是从保护公共利益出发所做的制度安排。因为,制止侵权行为、犯罪行为涉及每一个人的利益和福祉,无疑属于公共利益的范畴。而根据《民法典》第1036条第3项规定,为维护公共利益而合理实施的个人信息处理行为,行为人是不用承担民事责任的。也就是,包括人民法院在内的有权机关,为维护公共利益而要求信息网络服务平台提供个人信息的,信息网络服务平台提供个人信息不构成侵权。
3.信息控制者依法提供个人信息受客观条件限制,不能超出其可以提供个人信息的能力范围
如上所述,虽然法律和司法解释规定在特定条件下信息网络服务平台有义务向有权机关或被侵权人提供涉嫌侵权的行为人的个人信息,但这一提供的前提是信息网络服务平台确实存储着行为人的个人信息。如果信息网络服务平台客观上本就不掌握被侵权人或有权机关要求其提供的相关个人信息,则即使其无法提供,也应被谅解。本案中,微梦公司已经按照人民法院的要求将其存储的涉嫌侵权的注册用户的个人信息提供,已经尽到了相应提供义务,且从客观上也没有再提供进一步信息(如身份证号等)的能力,故法院判决驳回邹某某诉讼请求是妥当的。
需要进一步指出的是,我国《互联网用户账号名称管理规定》第5条第1款明确规定,互联网信息服务提供者应当按照“后台实名、前台自愿”的原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号。当时施行的《互联网用户公众账号信息服务管理规定》(2021年被修订)第6条第1款也有类似的规定。然而,实践中情况较为复杂。以上两项规定分别是2015年和2017年颁布的,也就是“后台实名、前台自愿”的原则最早在2015年才明确提出。而在此之前,已经有海量的用户采用非实名注册的方法进行了注册,并且成为非常活跃的用户。有的用户虽然按照当时施行的《互联网用户公众账号信息服务管理规定》第6条第1款的要求通过移动电话号码进行身份认证,但移动电话号码本身也并非全部实名,这就又导致了部分所谓的“实名注册”并非真正实名。对于上述两种情况,网络信息管理部门已经在开展实名认证的组织督促工作。但在彻底完成这项工作,真正使得“实名注册”全覆盖之前,很多注册用户的身份证号码、姓名等个人信息实际上仍是无法提供的,本案就属于这种情况。相信随着网络信息技术管理职能的加强和管理手段的进步,这一问题最终将得到根本解决。
◎规范指引
《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若问题的规定》(法释〔2020〕17号)
第3条第1款、第2款 原告起诉网络服务提供者,网络服务提供者以涉嫌侵权的信息系网络用户发布为由抗辩的,人民法院可以根据原告的请求及案件的具体情况,责令网络服务提供者向人民法院提供能够确定涉嫌侵权的网络用户的姓名(名称)、联系方式、网络地址等信息。
网络服务提供者无正当理由拒不提供的,人民法院可以依据民事诉讼法第一百一十四条的规定对网络服务提供者采取处罚等措施。
《互联网用户账号名称管理规定》
第5条第1款 互联网信息服务提供者应当按照“后台实名、前台自愿”的原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号。
[1] 参见姚瑞光:《民事诉讼法论》,中国政法大学出版社2011年版,第56页。
[2] 参见谭兵主编:《民事诉讼法学》,法律出版社2004年版,第165页。
[3] 参见张卫平:《民事诉讼:关键词展开》,中国人民大学出版社2005年版,第123页。
[4] 参见谭兵主编:《民事诉讼法学》,法律出版社2004年版,第167页。
[5] 参见王利明:《人格权重大疑难问题研究》,法律出版社2019年版,第664页。
[6] 参见江苏省南京市江宁区人民法院(2015)江宁少民初字第7号民事判决书。
[7] 参见《全国首例检察机关提起的利用互联网侵害隐私权民事公益诉讼案当庭宣判》,载https://baijiahao.baidu.com/s?id=1685149711744823342&wfr=spider&for=pc,2020年12月29日最后访问。
[8] 参见吴明轩:《民事诉讼法》(修订九版)(上),三民书局股份有限公司2011年版,第6页。
[9] 参见杨洪鹏:《个人信息保护需细化至“全生命周期”》,载《瞭望》2016年第46期。
[10] 参见《个人信息安全规范》(GB/T 35273-2020)第3.1条。
[11] 参见程啸:《论侵害个人信息的民事责任》,载《暨南学报》(哲学社会科学版)2020年第2期。
[12] 参见江苏省苏州市中级人民法院(2020)苏05民终2365号民事判决书。
[13] 参见(日)吉村良一:《日本侵权行为法》(第4版),张挺译,文元春校,中国人民大学出版社2013年版,第194页。
[14] 参见孙宪忠:《头等舱理论:民法典之外的民法体系》,载《人民法治》2020年6月(上)。
[15] 参见江必新:《在新的历史起点上开创国家赔偿工作新局面》,载《中国审判》2013年第12期。
[16] 参见王锴:《我国国家公法责任体系的构建》,载《清华法学》2015年第3期。
[17] 参见江苏省淮安市中级人民法院(2019)苏08民终3198号民事判决书。
[18] 参见郑尚元:《劳动合同法的制度与理念》,中国政法大学出版社2008年版,第138页。
[19] 参见刘权:《目的正当性与比例原则的重构》,载《中国法学》2014年第4期。
[20] 参见山东省德州市中级人民法院(2019)鲁14民终4004号民事判决书。
[21] 参见李海平:《比例原则在民法中适用的条件和路径——以民事审判实践为中心》,载《法制与社会发展》2018年第5期。
[22] 参见北京市第一中级人民法院(2018)京01民终8412号民事判决书。