扫码打开虎嗅APP
微信好友关系为何不属于隐私?个人信息和隐私的区别究竟是什么?本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:张剑,对话嘉宾:程啸(清华大学法学院副院长),编辑:鲁伟 ,原文标题:《什么是隐私,怎么才算侵犯隐私?可能与你认为的不一样》,头图来自: 视觉中国
一起判决使得个人信息与隐私再度成为公众热议的话题。1月22日,深圳市南山区法院(下称“南山法院”)对一起用户起诉微视(腾讯旗下产品)侵犯个人隐私的案件作出判决,认定微信好友关系不属于个人隐私。
2019年初,哈尔滨用户王某某发现,自己使用微信或QQ登录微视APP后,微视会获取其全部微信或QQ好友信息。王某某认为,腾讯的这一行为未经其授权将他的微信、QQ好友关系提供给其他APP,侵犯了他的隐私权。王某某向哈尔滨市香坊区人民法院提起诉讼,要求腾讯删除其个人信息、赔礼道歉并赔偿维权合理支出。腾讯对案件提出管辖权异议,该案被移送至南山法院审理。
南山法院在一审中认定,王某某所主张的性别、地区和微信好友关系三类信息均形成于其使用微信软件的过程中,在一定范围内已公开,即上述信息已被包含软件运营商在内的相关主体所知悉。微信好友关系既未包含其不愿为他人所知晓的私密关系,他人也无法通过其微信好友关系对其人格作出判断从而导致其遭受负面或不当评价,故认定王某某所主张的微信好友关系也不属于隐私。
在公众对于个人信息及隐私越来越重视的大背景下,上述判决引发了公众的一些疑问:微信好友关系为何不属于隐私?个人信息和隐私的区别究竟是什么?公众对于个人信息和隐私该有何种期许?
近日,《财经》E法专访清华大学法学院副院长程啸,“个人信息保护与数据权利”是其研究领域之一,他正在参与多个有关个人信息保护研究的国家级课题。
程啸对《财经》E法表示,相关法律已将个人信息区分为敏感个人信息与非敏感个人信息、私密信息与非私密信息,对于认识和界定个人信息和隐私权有很大的指导意义。但互联网技术的进步突飞猛进,各类应用场景数不胜数,结合具体应用场景,是界定个人信息还是隐私的关键因素。
一、社交关系是否属于私密信息?
《财经》E法:《个人信息保护法草案》(下称“《草案》”)公开征求意见。《草案》将个人信息区分为敏感个人信息与非敏感个人信息,《民法典》人格权编第六章“隐私权和个人信息保护”则将个人信息区分为私密信息与非私密信息,能否直接理解为私密信息基本等同于敏感个人信息,也就是民众通常理解的隐私?
程啸:这个问题很重要,其实两者是有区别的,应该加以区分。概括来讲,私密信息更多的时候还是要看具体情况,就是现在大家说的根据具体场景来界定。因为同样是一类信息,有的人会认为是私密信息,但有的人就认为不是(私密信息)。有的信息即便被知道了,也不会产生特殊影响。而敏感信息可能更多的还是应该有一些比较客观化的标准。因为从信息处理的角度上来讲,对于某类信息,即使绝大多数公众不介意被别人知道,但依然要把它列为敏感信息。这样就对处理行为提出了更高要求。
就私密信息而言,需要结合具体情况从该信息与自然人的人格尊严、人格自由关联紧密与否、该信息被侵害是否影响私人生活的安宁等角度来加以认定。比如涉及到医疗健康问题,一个人得了某种病,不愿意让别人知道,这就属于私密信息。
还有,一个人的金融账户信息,账户里面有多少钱,这也是私密信息。这两项同时也是敏感信息。但是也有例外的时候,比如《草案》把“民族”列为了敏感个人信息,强调不愿意为别人知道。但现实情况是,绝大多数公众并没有把这个视为不愿让别人知道,日常填的各种信息表格里也都有“民族”这一项。
就敏感信息(的处理)而言,主要从该信息被非法处理可能产生的危害后果来认定,应遵循更客观、明确的标准,否则信息处理者将无所适从。也就是说,无论自然人是否愿意为他人知晓,都不影响某一信息客观上是否属于敏感个人信息。为确保信息处理规则的稳定性与可预期性,法律法规和标准应当明确列明各种敏感个人信息。
目前,《草案》第29条第2款对敏感个人信息的界定为:“敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”
结合上述规定,可以进一步细化,所谓敏感信息主要是指那些涉及自然人人格尊严、人格自由或者其他重大权益的个人信息,这些个人信息倘若被非法处理,将会对所涉自然人的人格尊严、人格自由或者其他重大的人身权益、财产权益造成严重的威胁或损害。依据这一界定,以下信息应当归入敏感信息:
种族或民族信息;
宗教信仰信息;
政治主张信息;
生物识别信息;
基因信息;
医疗健康信息;
性生活与性取向信息;
储蓄、证券等金融账户信息。
未来个人信息保护法正式颁布后,相信立法机关和有关部门还会颁布相应的法规规章和国家标准对于敏感信息的范围和类型予以具体化、明确化。只有这样,处理者才能有明确的行为规范的预期,以免动辄得咎,妨碍中国网络信息产业、数字经济的发展以及损害公共利益。
《财经》E法:《民法典》人格权编第六章“隐私权和个人信息保护”,明确规定了个人信息中的私密信息适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。你觉得后续立法中是否需要将个人信息和隐私做进一步明确?
程啸:敏感信息将来会逐渐明确,这是一定的。但是必须看到,隐私本身是在发展变化的,而且在不同的场景下也是不一样的。就以此次微信好友关系的判决为例,一个人跟谁加了微信成为好友,他们同时在用某款APP,自动进行了匹配。
从这里面能读出什么呢?如果能从中读出更多的信息,而这些信息恰恰是不愿意被别人知道的,那就有可能涉及私密信息了。比如,好友里有十个人,而这十个人都能看出有某些性取向,据此就可能解读出性取向。特别是如果未经同意就获取了这些信息,等于侵入到了私密空间,法律也有没有给予特别同意。那就构成侵害隐私权了。
现实来看,就私密信息的认定,有些是没有争议的,如个人的健康信息、犯罪记录、财产状况、性取向等当然属于私密信息。至于一个人的姓名、容貌、性别等,很明显不属于私密信息。尤其是有些个人信息实际上也被其他的人格权所保护,如姓名、容貌可以分别为姓名权、肖像权所保护。但是,对于读书记录、网页浏览信息、社交关系、地理位置信息等是否属于私密信息,在司法实践中还存在很大的争议。
目前,《民法典》对于私密信息和非私密信息采取不同的保护方法。那么,也就不能以权利人单方面是否具有“不愿为他人知晓”的意愿为标准来确定哪些是私密信息,而应当从社会公众的一般认知和价值权衡的角度出发,结合具体案件事实,逐一认定案涉个人信息是否属于私密信息。比较重要的考虑因素包括:社会公众对某一类信息作为私密信息的认知;某一类信息对于维护自然人的人身财产权益、人格尊严和人格自由的重要程度;某一类信息对于维护社会正常交往、信息自由的重要程度如何等等。
二、界定是否侵犯隐私需结合应用场景
《财经》E法:微信好友关系、微博好友关系、抖音好友信息都有很强的社会交往属性,通过这些关系链可以探查用户的行为特征和兴趣爱好,有的网友认为,这些就属于自己“不愿为他人知晓”的信息,也有人认为微博、抖音等本身就是公开的社交平台,一个用户关注了哪些人,被哪些人关注,也是自己在社交平台影响力的体现。可以说每个用户对于隐私的期待都不一样,你觉得哪种理解更符合法律的导向和社会公众的一般认知?
程啸:我觉得好友关系这个说法有误导性。什么叫好友关系?不管微信里加了多少人,一定都是好友吗?一个人真正的好友可能只有十多个,这更符合绝大多数人的社交实际。大部分应该是认识了对方,偶尔有联系,建立了一个社会联系,我觉得它客观上就是一种社会联络。拿手机通讯录来说,它本身算不算个人信息都值得考虑。个人信息的认定,还是要看能否直接或间接识别特定人。
社交关系本身是一个很抽象的概念。比如,A、B、C都是你的好友。但是A是什么职业?跟你是什么关系?是亲戚还是同学,或者是生意上的伙伴?甚至是不是一起干过什么坏事?这些信息能不能深度解读出来?如果能解读出来,肯定是往深层次走了。但现实情况是仅仅知道了认识某个人,不结合其他的东西,更多的数据,更多的信息,应该是解读不出来的。
现在通过一些具体案件,公众关注这个问题,甚至担心出问题,这是情有可原的。因为担心知道了跟谁是好友,再结合其他的信息,可以对一个人进行画像。从心理学上来说,知道一个人的东西信息越多,对此人的人格画像就更准确。比如注意到了一个人的微信好友10个人里面有8个人都是搞法律的,基本就可以推测出这个人应该是法律圈子里的。现在的技术完全可以分析出来。
对于社交关系的认识,哪个更符合法律导向和一般认知,并不好达成一个共识。对于社交信息,是否进行收集已经有了共识,肯定是要收集。那么,需要关注的是如何去使用的问题。
《财经》E法:对于个人信息与隐私的界定,目前司法实践中已经一些判例。如北京互联网法院宣判的凌某某诉抖音隐私权案中涉及的通讯录信息,和此次南山法院审理的王某某诉腾讯隐私权案中微信好友关系。两家法院都认定这些属于个人信息,你怎么看待判决中的“要具体分析该社交关系是否具有私密性“,能否给出一些更具体的方向?
程啸:互联网技术发展是飞速的,各种难以想象的场景都在出现。比如,一位名人接到了同一个时间段举行的两个会议,他以生病为由推掉了A会议,参加了B会议。但是参加B会议的一个人把参会名单拍了发到朋友圈,恰恰A会议的主办方认识这个人,看到了这份名单,也知道了这位名人以生病为由不参加A会议是在说谎。这样可能就会在心里责怪这位名人,甚至疏远他。像这种情况,肯定对这位名人产生了影响。推演这个过程,发朋友圈有没有征得这位名人的同意?这样的内容发了出去,究竟对不对?
还有,现在越来越多的汽车逐步智能化,进入了车内,各种数据都在不断收集,某高端品牌电动汽车每天可以收集3GB的各种信息。这些信息泄露了怎么办?一个人的汽车应该就是此人的私密空间,办公室也一样。在这些私密空间里,担心隐私被侵犯,在原理上说,跟担心手机通讯录里好友关系被泄露是一样的。
场景这么多,如果用一个统一标准去界定,肯定是不现实的。如果一定要有个大致统一的标准,也就是网络场景不同,使用的技术和产品逻辑不同,行为的性质就可能不同,需要结合具体场景谨慎分析和判断。
三、侵犯用户隐私会有什么后果?
《财经》E法:隐私是自然人的私人生活安宁和不愿为他人知晓的私密信息、私密活动和私密空间。你觉得判断是否侵犯用户隐私的关键要素是什么?
程啸:这个应该是比较明确的。首先就是要界定私密。在界定什么是私密后,是否构成侵害就是两个标准。第一,是否获得了明确的同意;第二,涉及的过程在法律上有没有规定。狭义上的法律,即全国人民代表大会及其常务委员会制定的法律。
对于私密的界定应该难度不大,比如哪些是私密部位有清楚的共识,脸部显然就不是私密部位。但是脸部是被肖像权所保护。
关于是否获得明确的同意,在互联网场景下要格外注意。现在各互联网公司都是很大的集团,下面有很多子公司,但从法律上它们都是独立的主体。那么,不能说在一个产品上同意了,就代表这家企业所有的产品上都能用。
普通用户并不明确真正的处理者是哪一家,比如某集团旗下有A、B两家公司,也就是有两个不同的个人信息处理者。如果只授权给A公司,现在A公司又把这些个人信息交给B公司去处理,没有经过同意是不行的。必须是三重授权,A公司在转授权给B公司的时候,也必须再度进行询问征求是否同意。
上面这个征求同意的过程,对于普通用户来说似乎没什么意义,但是对互联网企业来讲,企业都很关注它,因为必须按照法律规定来做。企业不遵照执行,将会面临处罚。现在进行的APP治理主要就是针对了这个问题。按照这样的规范去做,普通用户在客观上也是可以受益的。
《财经》E法:在司法实践中,区分是侵犯了隐私权,还是侵犯了个人信息,对于导致的法律结果,比如说惩罚或者赔偿,会有什么区别?
程啸:这个问题很关键。涉及隐私权的诉讼中,两个明确标准:第一,是否获得对方同意;第二,法律是否有特别规定。如果不能反证这两条,侵权就会被认定。但个人信息不一样。(个人信息)虽然没经过同意,但还可能是涉及到合理使用的问题。比如是出于个人利益,在个人信息保护法里也有免责条款,可以找出很多免责事由。由于存在这种情况,就不能认定侵犯了个人信息。
在责任承担上来说,如果认定构成隐私权,法院通常会判决精神损害赔偿。因为隐私权被侵害,认定受害人遭受一些精神痛苦,应该是比较容易的。但是即使被认定个人信息被侵犯,是否有严重精神损害并不好界定,对应的精神损害赔偿也不好认定。
《民法典》确立了人格权禁令,在正式实施后,广州互联网法院已经作出了一起人格权禁令的裁决。具体情况是一家地产公司提出,自媒体用户李某是这家地产公司所开发楼盘的业主。2020年5月14日至8月20日,李某在自己的自媒体账号上发布了11篇侵害这家地产公司名誉权的文章。2020年11月20日至12月3日,在这11篇文章被平台删除的情况下,其又发布了5篇侵权文章。
地产公司方面认为,李某的这些行为对其名誉和商业信誉造成了极其恶劣的影响,给其造成了严重的经济损失。地产公司向法院申请侵害人格权禁令,请求禁止李某在其使用的自媒体平台发布涉及这家地产公司文章的行为。法院已对此发出了禁令。
隐私权是人格权的一种,未来不排除会出现基于用户隐私被侵犯向互联网公司发出禁令的情况。这种禁令不同于传统诉讼过程,原告被告到法院按照一审二审程序来进行,而是当事人向法院提出申请,直接通过一个很简单的程序要求法院作出裁定,禁止实施一些行为。有没有答辩机会都不好说。这个程序也不是一种行为保全措施,因为行为保全是一定要与诉讼联系在一起。这种禁令不一定需要有诉讼,作出了禁令可以不起诉。这启示互联网公司在保护用户个人信息及隐私方面要着力做好合规工作。
《财经》E法:《民法典》已经实施,个人信息保护法还在立法过程中,目前已经公布了草案。这两部法律是要用于具体的司法审判,但里面对于具体认定的表述是宽泛的。未来会不会出台具体的司法解释,以更好地指导司法实践?
程啸:个人信息保护法应该会在今年颁布实施。目前关于侵害个人信息权益的司法解释也在制定中。2020年年末,最高人民法院发布了修订后的民事案件案由,其中在人格权纠纷项下做了变更。原来的隐私权纠纷变更为隐私权、个人信息保护纠纷,也就是新增了个人信息保护纠纷。新的司法解释会更详细,比如可能会把侵犯个人信息的构成要件予以明晰,甚至包括现在实践中比较棘手的问题予以界定,比如个人信息到底是哪个环节漏泄露的,责任主体究竟是谁等等。
本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:张剑,对话嘉宾:清华大学法学院副院长程啸,编辑:鲁伟