国家机关处理个人信息的特别规定
第三十三条 【国家机关处理个人信息的适用规则】
国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。
【条文主旨】
本条是关于国家机关处理个人信息适用规则的规定。
【条文理解】
个人信息保护法第二章规定了个人信息处理规则,其中第一节明确了个人信息处理的一般规定,第二节则规定了敏感个人信息的处理规则,第三节主要针对国家机关处理个人信息进行了特别规定。而本条作为第三节的首条,明确了国家机关处理个人信息的适用规则,即特别规定优于一般规定。确立该适用规则,主要是考虑到国家机关不同于一般个人信息处理主体,其个人信息处理活动具有特殊性,主要体现为收集个人信息的强制性、处理的公益性、共享的限制性和安全保障的严格性等独有特征。[40]国家机关的行为均是以公共利益为出发点,其个人信息处理活动涉及社会生活的方方面面,与群众的切身利益紧密相关。因此,从更好地维护公共利益和规范个人信息有序处理的角度出发,我们需要对国家机关处理个人信息予以特别的规制。
数字经济时代,挖掘数据价值已成为了促进经济快速发展的重要手段,而个人信息无疑是其中最有价值的部分。国家机关作为公权力机构,掌握大量公民的个人信息,是个人信息处理的最大主体。如何对国家机关处理个人信息的行为予以规制,一直是理论界和实务界热议的话题。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》,明确规定了收集、使用公民个人电子信息的目的、方式和范围,加强了相关信息处理者的义务,但未提及国家机关处理个人信息的情况;民法典第一百一十一条中规定的获取自然人个人信息的“任何组织或者个人”,此处的“任何组织”虽在文义上涵盖了国家机关,但采用的仍是个人信息责任一体化承担的路径,未明确区分国家机关和其他个人信息处理者之间的关系;与之不同的是,在刑法体系下,刑法修正案(七)中对侵犯公民个人信息罪区分了国家机关与普通主体之间的责任承担。因此,此次个人信息保护法第三十三条的规定,在明确国家机关处理个人信息的适用规则、区分国家机关与不同主体的适用情况外,还保持了其与刑法等法律之间的协调,使得法律的适用更具有规范性、严谨性和针对性。
需要明确的是,个人信息的处理并非只涉及市场上的信息处理者,公权力机构作为个人信息处理的主体之一同样需要对其行为予以规制,使得个人信息保护法能有效地回应实践中不同主体处理个人信息的需求。此种做法表明了个人信息保护法并非只“消费者的个人信息保护法”,本法的规制对象不仅仅是作为市场主体的个人信息处理者,还包括国家机关。GDPR第四条第八项对“控制者”的定义明确为包括公共组织(public authority)。[41]值得注意的是,国家机关作为处理个人信息的主体之一,其一举一动势必影响到整体个人信息保护的情况,对其处理个人信息的情况予以特别规定,是保护个人信息的应有之义。
【适用指南】
本条规定了国家机关处理个人信息时应遵守的规则。准确理解并适用本条应做到两方面:一方面,严格遵守法律适用的规则,国家机关在处理个人信息时既需要遵守法律规定的一般规则,也需要遵守特别规定,如二者发生冲突,则特别规定具备优先效力;另一方面,具体落实到本节的规定,个人信息保护法第三十四条、第三十五条、第三十六条、第三十七条从国家机关处理个人信息的各环节入手,对个人信息的收集、处理、存储以及跨境提供的安全评估进行了针对性的规定,明确了国家机关处理个人信息的权利与义务,确保个人信息保护工作顺利开展。
第三十四条 【为履行法定职责处理个人信息】
国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。
【条文主旨】
本条是关于国家机关为履行法定职责处理个人信息时,国家机关应遵守的规定。
【条文理解】
本条作为国家机关处理个人信息的基本规范,规定了国家机关处理个人信息应遵守的基本规则。大数据时代,国家机关越发重视数据的经济价值与社会价值,通过数据的开发利用来构建数字政府,推进国家数字治理体系的建设。但在此过程中,国家数据治理、数字政府建设势必落实到每一具体的数据或信息的收集和处理工作。此时国家机关处理个人信息的法定边界在哪,成为理论界和实务界探索的热点。首先,从民法典第一千零三十五条开始,规定了处理个人信息应当遵循合法、正当、必要等原则;其次,个人信息保护法又明确了各项原则,规定处理个人信息应遵循合法、正当、必要、目的明确、最小必要等原则;最后,具体到个人信息保护法第三十四条,则融合了以上原则,对国家机关处理个人信息予以原则性规制,具体而言有以下四方面:
第一,合法性原则。该原则是国家处理个人信息的首要原则,也是国家依法行政、依法办事的应有之义。国家公权力机关处理个人信息的合法性主要体现在处理的目的和手段上:从目的上来说,国家机关处理个人信息更多是为了维护公共利益,履行法定职责最终是为服务人民大众;从手段上来说,合法性原则要求国家机关处理个人信息须依照法律规定的权限,不得滥用权力,在法律规定的范围内进行个人信息处理活动。另外,个人信息保护法第十三条第一款第三项明确规定“为履行法定职责或者法定义务所必需”作为个人信息处理的合法性基础之一,这是国家机关遵守合法性原则一个最基本的体现,如国家机关未在法律规定的范围内行使权利,则会丧失其合法性基础,承担违法责任。
第二,目的明确与限制原则。该原则要求个人信息处理者明确处理个人信息的目的,以使信息主体对个人信息的后续使用产生清晰的认识和预期,同时约束其对个人信息的使用,不得将所收集的个人信息在法定目的外进行使用。[42]具体到本条而言,目的明确与限制原则要求国家机关处理个人信息必须明确其“为履行法定职责”的目的,将目的限制在履行法定职责的范围内,不得超越原本目的而滥用个人信息。
第三,正当程序原则。该原则作为国家机关处理个人信息的程序保障规定,一方面要求国家机关处理个人信息必须依照法律规定的权限与程序,在处理公民个人信息时,尊重公民的知情权,使得个人能获得公平公正的程序保障;另一方面要求给予信息主体有效的救济途径,保障其权利的实现。但个人信息保护法中对于国家机关处理个人信息所遵守的程序正当原则仍有需要完善之处,如国家机关在处理个人信息时与个人之间的权利义务关系结构以及程序保障问题。[43]通过正当程序原则的适用,对国家机关的个人信息处理活动予以规制,是规范个人信息处理活动,保障个人信息主体合法权益的有利举措,相关方面还需要采取措施不断改进完善。
第四,最小必要原则。该原则要求国家机关处理个人信息应不得超出履行法定职责所必需的范围和限度,将国家机关处理个人信息的活动限制在实现目的所必要的最小范围中,防止国家机关对所收集的个人信息过度使用。对于公权力主体适用最小必要原则的主要原因在于防止对人群进行“数据监控”,避免造成公民生活的透明化,从而导致政府根据数据对人群所实行的“数据操控”和“数据歧视”。[44]通过坚持最小必要原则,可以平衡个人信息处理者和信息主体之间的关系,促进国家机关个人信息处理活动依法有序进行,保障个人信息主体合法权益。
另外,结合民法典第一千零三十九条以及数据安全法第三十八条规定,国家机关处理个人信息除应当遵守以上规则外,还应当对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据依法予以保密,不得泄露或者非法向他人提供。总而言之,本条明确了国家处理个人信息的行为的基本规范,有助于国家机关依法合规处理个人信息,防止不当使用个人信息造成公民利益损害。
【适用指南】
本条的适用主体为国家机关,对国家机关处理个人信息的行为予以明确规制。通过制定具体条款,将个人信息处理的一般规则融入公权力主体的行为之中,给予实践明确的指引,但是也有值得注意之处:一是国家对个人信息的处理必须严格遵守法律的规定,将自己的行为限定在法律规定的框架内,防止因违法处理个人信息而造成的损害;二是国家机关应明确处理个人信息的目的,并在目的范围内履行相应的职责,如需更改目的或突破法定职责范围目的的限制,都必须依法履行告知义务或重新获取信息主体的同意;三是国家机关在处理公民个人信息时,必须严格遵守法律规定的权限和程序,依照本法第三十五条的规定,履行告知义务,尊重信息主体的知情权;四是国家机关在处理个人信息时应依法遵守最小必要原则,明确处理个人信息所必需的范围和限度,不得超出履行法定职责所必需的范围和限度处理个人信息。
【相关规定】
《中华人民共和国数据安全法》第三十八条;《中华人民共和国民法典》第一千零三十五条;《中华人民共和国网络安全法》第三十五条。
第三十五条 【国家机关的告知义务】
国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。
【条文主旨】
本条是关于国家机关为履行法定职责处理个人信息应履行告知义务及其例外的规定。
【条文理解】
本条规定了国家机关为履行法定职责处理个人信息,应依法履行告知义务。结合数据安全法第三十八条的规定,这实际上是为国家机关处理个人信息增添了程序性要求,要求国家在为履行法定职责处理个人信息前,尊重信息主体的知情权,提高处理个人信息的透明度;同时也与本法第十三条第一款第三项的合法性基础相呼应,体现了法律体系适用的统一性。
与个人信息保护法草案二审稿对比,本条规定的修改颇大,引发了理论界的关注。个人信息保护法草案二审稿第三十五条规定,“国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意;法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外”。个人信息保护法草案二审稿第三十五条对于国家机关处理个人信息的模式原则上是“告知+取得同意”,除非有法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的情形。有学者认为,国家机关处理个人信息已经可以通过个人信息保护法第十三条第一款第三项“为履行法定职责或者法定义务所必需”获得合法性基础,并不需要再获得信息主体的同意,否则将会造成逻辑上的悖论,使得个人信息保护法第十三条第一款第三项失去独立价值;[45]但也有学者认为,个人信息保护法草案二审稿第三十五条的规定只是在法定的基础上额外增加同意的要求,使得对公权力主体处理个人信息科以高于私人处理者的标准。[46]最终出台的个人信息保护法也注意到了该问题,在第三十五条中删除了原本需要获取信息主体同意的内容,保持了法律逻辑的一致性。有学者指出此种修改有其合理之处:按照个人信息保护法草案二审稿第三十五条的规定,国家机关如发现存在除外条款的情形,便无需征得信息主体的同意即可处理个人信息。可想而知,在国家机关缺乏获取信息主体同意的内在动力的情况下,自然会选择向除外条款逃逸,进而造成征得信息主体同意的条款沦为虚置条款。[47]因此,最终出台的个人信息保护法对该问题作出了回应,修改后的正式条文与国家机关处理个人信息的合法性基础保持了一致,确保了体系上的统一性。
【适用指南】
从文义解释的角度,本条明确要求国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务,但并未明确告知内容的范围、告知义务的履行以及免除告知义务的情况,理解适用本条规定应从以下三方面开展:
首先,关于告知的内容以及注意事项。对于告知的内容,根据民法典第一千零三十五条和网络安全法第四十一条规定,仅要求告知收集、使用信息的目的、方式和范围;个人信息保护法第十七条则在此基础上进一步补充,要求个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知“(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项”。对于告知的注意事项,根据个人信息保护法第十七条的规定,告知应以显著方式、清晰易懂的语言真实、准确、完整地向个人告知。法律规定以如此多的修饰词来描述告知的要求,原因就在于个人信息的处理具有一定的技术性及隐蔽性,对个人信息的处理更多是通过互联网技术予以整合分析,再加上信息主体往往对自身的个人信息重视程度不高,因此有必要通过高要求的告知方式来对个人信息处理者施加义务,提醒信息主体注意自身个人信息的处理情况,保障个人信息自决权的实现。另外,还应注意个人信息保护法第十七条第三款的相关规定,即对于通过制定个人信息处理规则的方式告知的,应公开处理规则,并且便于查阅和保存,否则将会被认定未履行告知义务。
其次,关于免除告知义务的情况。根据个人信息保护法第十八条以及本条的规定,国家机关免除告知义务的情形主要包括:(1)法律、行政法规规定应当保密的情形;(2)不需要告知的情形;(3)告知将妨碍国家机关履行法定职责的情形。国家机关处理个人信息如果符合以上三种情形,可免除告知义务。具体而言,对于法律、行政法规规定应当保密的情形,如果相关法律、行政法规已经明确需要保密,那么应遵守相关保密义务,典型情况如保守国家秘密法第九条关于国家秘密的规定、反恐怖主义法第四十八条、反间谍法第十七条等。对于不需要告知的情形,法律未予以明确规定。从文义解释的角度上分析,“不需要告知”的情形应包括信息主体已经明确知晓告知的内容,此时个人信息处理者便无需再履行告知义务;或者根据个人信息保护法第二十七条的规定,信息主体已自行公开或其他已经合法公开的个人信息,此时也应当属于“不需要告知”的情形。[48]对于告知将妨碍国家机关履行法定职责的情形,法律同样未予以明确规定,但从文义解释角度入手,应理解为国家机关告知信息主体后会使得法定职责无法履行或加大国家机关履行法定职责的难度,如国家机关提前告知信息主体相关内容,可能会导致信息主体提前篡改、转移、销毁相关文书信息,造成文书信息不真实、不完整,加大国家机关履行法定职责的难度,甚至造成国家机关无法履行法定职责。
最后,关于履行告知义务的实践意义。告知义务的履行作为保障信息主体知情权的一大举措,尊重了信息主体的信息自决权。与一般信息处理者相同,国家机关处理个人信息同样需要履行告知义务。但国家机关履行告知义务不单单是为了保障信息主体的合法权益,同时还应考虑到公共利益的需要。国家机关为履行法定职责处理个人信息具有公共性,履行告知义务既是对信息主体权利的维护,同样也是国家机关依法行政、依法办事的需要。
【相关规定】
《中华人民共和国数据安全法》第三十八条。
第三十六条 【个人信息境内存储与境外提供】
国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。
【条文主旨】
本条是关于国家机关处理个人信息境内存储以及境外流转时应遵循的规定。
【条文理解】
本条规定了国家机关处理的个人信息应当在中华人民共和国境内存储,如果需要向境外提供,应进行安全评估,同时规定安全评估可以要求有关部门提供支持与协助。对于本条的理解应从以下两方面展开:
一是关于国家处理个人信息的存储要求。个人信息保护法明确要求国家机关处理的个人信息应当在中华人民共和国境内存储,对国家机关处理的个人信息提出了存储地点的要求。与之相同的,还有个人信息保护法第四十条的规定,“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内”。另外,本条也严格遵循了网络安全法中有关数据本地化存储和跨境流转的规定,要求个人信息需在境内存储以及实行个人信息跨境的安全评估。从立法意义上看,法律要求国家机关、关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者将其处理的个人信息存储于境内,有利于维护国家数据主权地位,防止涉及国家秘密、公民个人信息泄露,维护国家主权和保护个人信息。从立法目的上看,国家机关处理个人信息更多是为了公共利益考虑,所处理的个人信息势必体量庞大,因此将国家机关处理的个人信息存储于中华人民共和国境内也有助于保护公民个人信息权益,规范个人信息处理活动,加强对个人信息的管理,促进个人信息合理利用。
二是关于国家机关处理的个人信息跨境流转。本条明确了国家机关如需对境外提供个人信息应进行安全评估的规定,对个人信息的跨境流转提出了要求。其规定的主要原因就在于国家机关处理个人信息的特殊性。根据本条规定,国家机关处理的个人信息一方面遵守数据本地化存储的要求,另一方面严格控制个人信息的跨境流转,维护国家安全和保障数据主权。另外,个人信息保护法第三十八条同样规定了个人信息处理者因业务等需要向中华人民共和国境外提供个人信息时所应具备的条件,明确要求“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件”。但与本条不同的是,第三十八条赋予了个人信息处理者一定的“选择”权利,个人信息处理者只要具备以上四项条件之一,即可向境外提供个人信息。国家机关处理的个人信息向境外提供时不具备以上选择权,必须进行安全评估工作。
总体而言,本条对国家机关处理的个人信息提出的本地化存储以及跨境流转的要求符合维护国家数据主权和国家安全的战略定位,有助于保护公民个人信息权益,规范个人信息处理活动。
【适用指南】
本条对国家机关处理个人信息的本地化存储和跨境流转提出了义务性规定,明确了国家机关处理的个人信息应在中华人民共和国境内存储,且如需对个人信息进行跨境提供应进行安全评估。需要注意的是,个人信息的本地化存储虽有利于维护国家安全、保护个人信息免受外来侵害,但也需避免因过度追求国家个人信息的安全稳定而限制个人信息的流通使用,对本条的理解适用应做到以下两方面:
第一,避免过度追求个人信息本地化存储。过度追求个人信息的本地化存储容易导致数据跨境流通的不顺畅,对数字经济的发展造成不利影响。国家机关处理的个人信息涉及公共利益,对其进行本地化存储时也不能忽略个人信息流通的重要性。在理解适用本条时,应明确法律条文中“确需”的边界,国家机关处理的个人信息在满足何种情况下才属于“确需向境外提供”的范畴,值得我们进一步探索。
第二,明确个人信息跨境流动的处理规则。一方面,针对确需向境外提供的个人信息应进行安全评估,防止个人信息合法权益受损;另一方面,要求有关部门对安全评估予以支持和协助。总体而言,本条的处理基础是在保证数据主权的前提下促进个人信息的跨境流动,通过安全评估的形式,防止各类敏感涉密的个人信息流动,维护国家数据主权,保障国家安全和个人信息,促进经济社会的发展。
近年来,数据跨境流动频繁,数据成为数字经济时代的重要发展动力,而个人信息无疑是其中最有价值的部分之一。法律对国家机关处理的个人信息本地化存储的要求以及对个人信息跨境流动严格的规定无疑是对这种趋势的回应,是基于维护国家安全和保护个人信息的正确选择。
【相关规定】
《中华人民共和国网络安全法》第三十七条;《中华人民共和国数据安全法》第三十六条。
第三十七条 【适用主体的范围】
法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。
【条文主旨】
本条是关于个人信息保护法第二章第四节适用主体范围的规定。
【条文理解】
根据本条的规定,法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,同样适用关于国家机关处理个人信息的规定,这意味着个人信息处理者除了私主体、国家机关外,还包括法律、法规授权的具有管理公共事务职能的组织,扩大了适用主体的范围。此前,网络安全法规定的网络运营者的个人信息保护义务、消费者权益保护法规定的经营者仅将主体限制在某一范围之中,实践中对于范围之外的相关个人信息处理主体概念较为模糊。因此,对于个人信息保护法出台之前适用主体范围不明确以及较为限定的问题,此次个人信息保护法给予了回应。适用主体范围的明确使得各主体能根据法律规定,确认自己的身份地位,享受相应的权利与义务,确保个人信息保护法能够有效落地实施。另外,立法从不同角度对不同类型的个人信息处理主体予以规定,使得个人信息处理活动的规制更具合理性。
分析本条的立法理由可知,与国家机关相同,法律、法规授权的具有管理公共事务职能的组织在履行法定职责的过程中,同样也会接触到大量的个人信息。尤其是随着数字经济的到来,公共职能部门的业务处理也更加数据化、科技化,其业务处理期间势必会掌握大量公民的个人信息。本条规定了法律、法规授权的具有管理公共事务职能的组织作为适用个人信息处理规则的公主体之一,为其处理个人信息的行为提供了一个法律框架。
另外,与本条规定相同,数据安全法第四十三条也规定了法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用政务数据安全与开发的相关规定。有关组织的地位在适用上相当于国家机关,为有关组织处理个人信息提供了法律适用依据。
【适用指南】
从文义解释的角度看,法律、法规授权的具有管理公共事务职能的组织适用国家机关处理个人信息的规定,主要包括以下三个条件:
一是适用主体为法律、法规授权的具有管理公共事务职能的组织。一方面,相关组织必须是通过法律、法规的形式授权。根据依法行政的原则,行政权的来源必须有法律、法规的依据。这里的法律指的是全国人大及其常委会制定的规范性文件。法规包括行政法规和地方性法规,行政法规是国务院制定的规范性文件;地方性法规包括省、自治区、直辖市以及立法法规定的较大市的人大及其常委会制定的规范性文件和经济特区法规。[49]因此为了保证适用主体的准确性,适用国家机关个人信息处理规则的主体必须是通过法律、法规授权,具备合法主体资格的组织。另一方面,该组织必须具有管理公共事务的职能。除国家机关之外,具备管理公共事务职能的组织如社会团体、事业单位等都是符合条件的适用对象。
二是适用目的是履行法定职责。法律、法规授权的具有管理公共事务职能的组织适用国家机关处理个人信息的前提必须是为了履行法定职责,这是由该类组织履行法定职责时的公共性所要求的。因此,如有关组织并非为了履行法定职责,而是在非职责范围内处理个人信息,此时便不适用国家机关关于处理个人信息的规定,但仍需适用一般个人信息处理者的规定。
三是在适用结果上,有关组织对个人信息处理的适用上等同于国家机关。结合本法第三十三条的规定,“国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定”。此处法律、法规授权的具有管理公共事务职能的组织在对处理个人信息规则的适用上,不仅需要适用一般个人信息处理者的规则,在有特别规定的情况下,还需适用特别规定。
因此,在决定对有关组织适用何种个人信息处理的规则时,需审查考虑有关组织是否具备主体、目的等要件,以便准确、高效地适用相关规则。
【相关规定】
《中华人民共和国数据安全法》第四十三条;《中华人民共和国行政许可法》第二十三条;《中华人民共和国行政强制法》第七十条;《中华人民共和国行政处罚法》第十九条;《中华人民共和国政府信息公开条例》第五十四条。
案例解读
未经授权处理个人信息的法律责任[50]
【案情简介】
甲微博经营人为×梦公司。用户可使用手机号或电子邮箱注册甲微博账号。手机号需要验证,用户可以选择手机号向不特定人公开;用户头像、名称(昵称)、性别、个人简介向所有人公开,用户可以设置其他个人信息公开的范围,职业信息、教育信息默认向所有人公开,互为好友的甲微博用户能看到对方的职业信息、教育信息。
×友公司经营乙软件及其网站。根据乙软件官网介绍,其于2013年10月底上线。其为基于移动端的人脉社交应用,通过分析用户的甲微博和通讯录数据,帮助用户发现新的朋友,并且可以使他们建立联系。
基于×友公司与×梦公司的合作,用户使用手机号或甲微博账号注册乙软件,需要上传个人手机通讯录联系人,乙软件账号的一度人脉来自乙软件用户的手机通讯录联系人和甲微博好友,二度人脉为一度人脉用户的手机通讯录联系人和微博好友;尽管一度人脉和二度人脉未必为乙软件用户,但其在甲微博上的相关信息均可向相关乙软件用户显示。
2014年8月,×梦公司发现,×友公司在其开放授权的微博客户头像、名称、标签之外,还抓取、使用了教育信息和职业信息。而根据×梦公司与×友公司所签订之《开发者协议》,×友公司无法获得甲微博用户的职业信息和教育信息,×梦公司因此停止了与×友公司的合作。而后,乙软件发布声明暗示×梦公司不保护用户隐私。
有鉴于此,×梦公司一审诉称×友公司通过乙软件实施了四项不正当竞争行为:第一,非法抓取、使用甲微博平台用户信息;第二,非法获得、非法使用乙软件用户手机通讯录中联系人与甲微博用户的对应关系;第三,模仿甲微博的“加V认证”机制及展现方式;第四,对×梦公司进行商业诋毁。
【案例焦点】
一审法院认为,本案的争议焦点主要有两项:一是×友公司与×梦公司是否存在竞争关系,二是×友公司的行为是否对×梦公司构成不正当竞争。关于第一个焦点,一审法院认为,双方在对相关用户社交类信息的使用等方面存在竞争利益,具有竞争关系。
关于第二个焦点,对×梦公司主张×友公司非法抓取、使用甲微博用户信息的行为:首先,根据优势证据原则,一审法院认为,涉案非乙软件用户信息来自甲微博。其次,关于×友公司获取并使用涉案甲微博用户信息的行为是否合法正当,一审法院认为,在双方合作结束后,×友公司未按协议要求及时删除相关用户信息,仍将包括甲微博用户职业信息、教育信息在内的相关信息用于乙软件的行为,不符合《开发者协议》的约定;×友公司与乙软件用户之间的协议并不能约束非乙软件用户,×友公司未取得非乙软件用户许可即获取并使用涉案用户的相关甲微博信息;×友公司未能在合作结束后仍使用甲微博用户的这些信息之必要性给予合理解释,其行为缺乏正当性。
对×梦公司主张×友公司非法获取、使用乙软件用户手机通讯录联系人与甲微博用户对应关系的行为,一审法院认为,×友公司将用户上传的手机通讯录联系人手机号与其从甲微博取得的用户手机号进行了匹配;×友公司获取包括手机号在内的相关用户精准信息与甲微博之间的对应关系不具有合法性,其属于增加用户规模的市场行为,并非必要的功能性设置。综上所述,×友公司针对乙软件一度人脉中体现用户手机通讯录联系人与甲微博用户对应关系的获取及使用行为没有合同依据,也缺乏正当理由。
在一审法院所认定的本案第二个焦点中,用户信息是“互联网经营者重要的经营资源”,是“作为庞大社交媒体平台开展经营活动的基础”,“规范、有序、安全地使用这些用户信息”,是“维持并提升用户活跃度、开展正常经营活动、保持竞争优势的必要条件”。换言之,一审法院更多的还是将用户信息视为×梦公司与×友公司之资源和竞争利益。二审法院对一审法院的观点进行了补充,其认为在互联网行业中适用反不正当竞争法第二条还需满足“该竞争行为所采用的技术手段确实损害了消费者的利益”的条件,×梦公司虽然在开放接口权限管理、检测、维护等方面存在技术及管理等问题,但×友公司通过技术手段获取用户的职业信息和教育信息并未取得用户同意,违反了诚实信用原则和互联网中的商业道德,行为不具有正当性。
【裁判要旨】
一审法院认为,本案中,作为甲微博开放平台的×梦公司相对于×友公司处于优势地位,而作为乙软件经营者的×友公司相对于用户个人亦处于优势地位,不论是无法客观还原合作当时的合同内容以及合同履行情况,还是在格式合同中设置各种单方利益条款,甚至不考虑可能涉及的第三方用户合法权益的情形,都是处于相对优势地位的互联网经营者未能以诚信态度对待自身地位的表现。正是此种情形在当前市场竞争中存在相当程度的普遍性,才使×友公司在本案争议发生后“很被动”,也才使本案暴露出互联网企业经营活动中对用户信息保护存在普遍缺陷这一更深层次的矛盾。互联网经营者应当遵循自愿、平等、公平、诚实信用的原则,遵守公认的商业道德,尊重消费者合法权益,才能获得正当合法的竞争优势和竞争利益。综上,一审法院判决×友公司自判决生效之日起停止涉案不正当竞争行为,刊登声明、消除影响,并赔偿×梦公司经济损失及合理费用。
×友公司不服北京市海淀区人民法院作出的一审判决,向北京市知识产权法院提起上诉。但最终北京市知识产权法院二审驳回了×友公司的上诉,维持原判。
【专家评析】
在该纠纷发生时,我国互联网产业还处在快速发展的初期阶段,与个人信息保护相关的规则体系尚不完善,法院在裁判过程中也多从互联网企业竞争秩序的角度出发进行说理和释法,并以反不正当竞争法的一般条款进行了裁判。但在个人信息保护法颁布施行的当下,本案件亦可作新的解读。
尽管一审法院在判决中将用户信息作为企业的经营资源或竞争优势,但一审判决仍具有保护互联网用户个人信息的意味:一审法院认为,“用户信息不仅体现了互联网经营者重大的竞争利益,更是消费者个人合法权益的重要组成部分。用户有权在充分表达自由意志的情况下向他人提供自己的信息或不提供信息,也有权充分了解他人使用自己信息的方式、范围,并对不合理的用户信息使用行为予以拒绝”;“互联网应用软件经营者充分发挥智慧、拓展经营模式,尽可能吸引、扩大用户群的主观意愿是正当的,但不能以不经用户许可,侵害用户知情权的方式非法抓取、使用竞争对手的用户信息、用户关系”;“互联网经营者不仅要合法获取用户信息,也应妥善保护并正当使用用户信息”。
二审法院则认为,“互联网中,对用户个人信息的采集和利用必须以取得用户的同意为前提,这是互联网企业在利用用户信息时应当遵守的一般商业道德。在大数据和云计算的时代,包括个人信息在内的数据,只有充分地流动、共享、交易,才能实现集聚和规模效应,最大限度地发挥价值。但数据在流动、易手的同时,可能导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。因此,在涉及个人信息流动、易手等再利用时应给予用户、数据提供方保护及控制的权力。同时,尊重个体对个人信息权利的处分和对新技术的选择,是在个人信息保护和大数据利用的博弈中找到平衡点的重要因素”。进而,二审法院提出,“数据提供方向第三方开放数据的前提是数据提供方取得用户同意,同时,第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围,再次取得用户的同意”,亦即“用户授权”+“平台授权”+“用户授权”的三重授权原则。
个人信息保护法第二章中大量的规定均蕴含了三重授权原则。例如,个人信息保护法第二十三条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”结合该节其他规定来看,“个人信息处理者”要提供“其处理的个人信息”,必然需要先获得用户的授权;而“向其他个人信息处理者提供”的行为又相当于是“平台授权”;“应当向个人告知……并取得个人的单独同意”则正是第三重授权。
如本案发生于今日,从个人信息保护的角度来看,不管是×梦公司还是×友公司,其行为均有不当之处。×友公司未经用户许可即使用其个人信息,显然违反了个人信息保护法有关规定;而×梦公司作为经营甲微博多年的上市公司,对于第三方应用软件提供接口却未采取行之有效的安全措施和技术保障措施,未能切实保护用户个人信息,同样有违反个人信息保护法之虞。
[1] 《个人信息保护法草案进入三审 健全完善个人信息保护制度规则》,载人民网,http://politics.people.com.cn/n1/2021/0818/c1001-32197331.html,最后访问时间:2021年10月8日。
[2] 张平华:《连带责任的弹性不足及其克服》,载《中国法学》2015年第5期。
[3] 中国审判理论研究会民事审判理论专业委员会编著:《民法典侵权责任编条文理解与司法适用》,法律出版社2020年版,第19~20页。
[4] 熊定中、张宇涵:《个人信息保护法重大产业影响条款深度解析及条文对比解读》,载微信公众平台,https://mp.weixin.qq.com/s/NQeJwMIBxQ-B_JN2uAxd0g,最后访问时间:2021年10月7日。
[5] 杨立新、赵玉编:《侵权责任法律师基础实务》,中国人民大学出版社2014年版,第84~88页。
[6] 张新宝、葛鑫:《个人信息保护法(专家建议稿)及立法理由书》,中国人民大学出版社2021年版,第156~157页。
[7] 《中华人民共和国民法典》第一百六十三条规定,代理包括委托代理和法定代理。委托代理人按照被代理人的委托行使代理权。法定代理人依照法律的规定行使代理权。
[8] 《全国法院民商事审判工作会议纪要》(法〔2019〕254号)规定:“通过穿透式审判思维,查明当事人的真实意思,探求真实法律关系。”
[9] 例如甲银行南昌分行、红鹭公司票据追索权纠纷二审民事判决书[(2017)最高法民终41号]、城市建设公司、华金公司确认合同无效纠纷二审民事判决书[(2020)最高法民终682号]中,最高人民法院对于商事活动中交易行为的定性,并不局限于交易当事人达成的协议或合同类文本,而是采用穿透式审查思维,拨开纷繁复杂的表层法律关系,考察各商事主体内心的真实意思。
[10] Bart Custers and Helena Ursic.“Big data and data reuse:a taxonomy of data reuse for balancing big data benefits and personal data protection.”International Data Privacy Law (2016):ipv028.
[11] SDK,即Software Development Kit,中文译为“软件开发工具包”,一般指软件工程师为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件时的开发工具的集合。
[12] 《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》,载全国信息安全标准化技术委员会秘书处网站,https://www.tc260.org.cn/front/postDetail.html?id=20201126161240,最后访问时间:2021年10月6日。
[13] 案号:(2018)鲁13刑终549号。
[14] 张凌寒:《商业自动化决策算法解释权的功能定位与实现路径》,载《苏州大学学报(哲学社会科学版)》2020年第2期。
[15] 贾章范:《论算法解释权不是一项法律权利——兼评〈个人信息保护法(草案)〉第二十五条》,载《电子知识产权》2020年第12期。
[16] 赵晨熙:《个人信息保护法草案三审稿提请审议 对大数据杀熟等作出针对性规范》,载中国人大网,http://www.npc.gov.cn/npc/c30834/202108/4434d8e936ef467a99912513ccfbc3e5.shtml,最后访问时间:2021年9月15日。
[17] 《〈禁止网络不正当竞争行为规定〉公开征求意见》,载市场监管总局网,http://www.samr.gov.cn/hd/zjdc/202108/t20210817_333683.html,最后访问时间:2021年9月15日。
[18] 周围:《人工智能时代个性化定价算法的反垄断法规制》,载《社会科学文摘》2021年第2期。
[19] 许可、朱悦:《算法解释权:科技与法律的双重视角》,载《苏州大学学报(社会科学版)》2020年第2期。
[20] 张雅婷、周怀阳:《平台用算法进行自动化决策如何保证合规?杭州互联网法院这样判》,载21世纪经济报道,https://www.163.com/dy/article/GJQ9QGRS05199NPP.html,最后访问时间:2021年9月15日。
[21] 参见曹梦阳:《“暗网不暗”,数十亿条个人信息明码标价,售卖猖獗》,载微信公众平台,https://mp.weixin.qq.com/s/8SFcRKLdzrcW83LSKRH8NQ,最后访问时间:2021年9月15日。
[22] 参见于发春:《利用网络公开个人信息的责任认定》,载微信公众平台,https://mp.weixin.qq.com/s/VqqQZS4Hv3kETqgt70UJcQ, 最后访问时间:2021年11月8日。
[23] 《最高检推进个人信息保护公益诉讼检察工作》,载《人民日报》2021年8月26日。
[24] 《人脸识别时代,该如何说“不”》,载《检察日报》2021年9月13日。
[25] 《人脸识别时代,该如何说“不”》,载《检察日报》2021年9月13日。
[26] 《公布三起非法采集消费者人脸信息典型案例,保障消费者权益》,载人民网,http://js.people.com.cn/n2/2021/0901/c360303-34894203.html,最后访问时间:2021年9月15日。
[27] Robots协议,也称爬虫协议、爬虫规则、机器人协议,是网站国际互联网界通行的道德规范。通过Robots协议,被爬取数据的网站能够告诉数据爬取方可以爬取的数据种类和范围等。
[28] 案号:(2016)沪73民终242号。
[29] 案号:(2021)京民终281号。
[30] 案号:(2020)浙0106刑初437号。
[31] 参见程啸:《我国个人信息保护法的基本原则》,载《国家检察官学院学报》2021年第5期。
[32] 参见吴标兵、许和隆:《个人信息的边界、敏感度与中心度研究——基于专家和公众认知的数据分析》,载《南京邮电大学学报(社会科学版)》2018年第5期。
[33] 参见胡文涛:《我国个人敏感信息界定之构想》,载《中国法学》2018年第5期。
[34] 参见吕炳斌:《个人信息保护的“同意”困境及其出路》,载《法商研究》2021年第2期。
[35] 参见汤敏:《论同意在个人信息处理中的作用——基于个人敏感信息和个人一般信息二维视角》,载《天府新论》2018年第2期。
[36] 参见韩旭至:《个人信息保护中告知同意的困境与出路——兼论〈个人信息保护法(草案)〉相关条款》,载《经贸法律评论》2021年第1期。
[37] 参见共青团中央维护青少年权益部、中国互联网络信息中心:《2020年全国未成年人互联网使用情况研究报告》,载中青在线网,http://news.cyol.com/gb/articles/2021-07/20/content_q9WB7updJ.html,最后访问时间:2021年11月7日。
[38] 参见李楠楠、黄玉琦、何淼:《“个人信息保护法”系列解读——升级保护未成年人个人信息,给家长吃上“定心丸”》,载全国人大网,http://www.npc.gov.cn/npc/c30834/202108/93aa0954701e422da47 d61b993619408.shtml,最后访问时间:2021年10月11日。
[39] 参见蒋红珍:《〈个人信息保护法〉中的行政监管》,载《中国法律评论》2021第5期。
[40] 参见王爽:《二元责任主体架构下国家机关处理个人信息的规则建构》,载《内蒙古社会科学》2021年第4期。
[41] See General Data Protection Regulation Charter Article 4 Definitions:“(8)‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller”.
[42] 参见梁泽宇:《个人信息保护中目的限制原则的解释与适用》,载《比较法研究》2018年第5期。
[43] 参见王锡锌:《个人信息国家保护义务及展开》,载《中国法学》2021年第1期。
[44] 参见赵宏:《民法典时代个人信息权的国家保护义务》,载《经贸法律评论》2021年第1期。
[45] 参见程啸:《论我国个人信息保护法中的个人信息处理规则》,载《清华法学》2021年第3期。
[46] 参见王锡锌、彭錞:《个人信息保护法律体系的宪法基础》,载《清华法学》2021年第3期。
[47] 参见王爽:《二元责任主体架构下国家机关处理个人信息的规则建构》,载《内蒙古社会科学》2021年第4期。
[48] 参见程啸:《论个人信息处理者的告知义务》,载《上海政法学院学报(法治论丛)》2021年第5期。
[49] 参见许安标、武增、刘松山、童卫东:《〈中华人民共和国行政许可法〉释义及实用指南》,中国民主法制出版社2013年版,第104页。
[50] 案号:(2016)京73民终588号。