首页> 图书频道> 政法> 法学

启示

2026年01月16日
版权
启示

纵观本书述评的25起欧洲法院审理的个人数据保护案件,同时结合全国人大常委会制定的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)以及我国企业个人信息保护的现状,可以总结出如下可资我国立法、司法机关以及企业借鉴的启示。

一、对我国立法机关和司法机关的启示

(一)对我国立法机关

1.建议在《个人信息保护法》中明确规定个人信息权益与我国法律保护的其他权益平衡协调的原则。从欧洲法院审理的“西班牙音乐制作协会诉西班牙电信公司案”“比利时作者、作曲者和出版商协会诉网络日志公司案”“邦尼尔视听公司、耳书公司、诺斯泰特出版集团公司、海盗出版社、故事情节公司诉完美通信瑞典公司案”“谷歌西班牙公司、谷歌公司诉西班牙数据管理局、马里奥·科里哈·冈萨雷斯案”“芬兰数据保护申诉专员诉萨塔昆市场交易公司及萨塔媒体公司案”“意大利莱切商业、工业、工艺及农业协会诉萨尔瓦托雷·曼尼案”等案件可以看出,个人信息权益经常会与法律保护的其他权益,例如,第三方的知识产权和开展业务的自由等相冲突。依欧洲法院之见,由于对个人信息权益的保护并非绝对,因此,在个人信息权益与其他权益冲突的情况下,应将个人信息权益与其他权益进行平衡协调。鉴于该平衡协调原则对于解决个人信息权益与其他权益的冲突,实现个人信息权益与其他权益的相得益彰、平衡发展具有重要意义。因此,建议在《个人信息保护法》中明确规定该原则。相关法律条文可考虑如下:“个人信息权益与法律、行政法规规定的其他合法权益冲突的,应当进行平衡协调。”

2.建议在《个人信息保护法》中明确规定比例原则。根据欧洲法院在“数据权利爱尔兰公司诉爱尔兰通信、海洋和自然资源部长、爱尔兰司法、平等和法律改革部长、爱尔兰警察总监、爱尔兰总检察长案以及奥地利克恩滕州政府、迈克尔·塞特林格、克里斯托夫·乔尔等申请废止奥地利电信法第102a条案”“西班牙检察院不服西班牙塔拉戈纳第3预审法院裁决案”等案件中所作的解释,比例原则是指国家机关涉及个人数据处理的行为与实现相关立法所追求的合法目标相当,并且不超过就实现这些目标而言是适当和必需的限制。基于该原则对于限制国家机关滥用自由裁量权和保护个人信息具有重要意义。因此,建议在《个人信息保护法》第二章第三节“国家机关处理个人信息的特别规定”中明确规定该原则。相关法律条文可考虑如下:“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,与履行法定职责的目的相适应,不得超出履行法定职责所必需的范围和限度。”

3.建议在《个人信息保护法》中,就共同个人信息处理者未约定各自权利义务的情况下,其内部责任应如何划分作出明确的规定。关于共同个人信息处理者的法律责任,《个人信息保护法》第20条规定,两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。该规定明确了共同个人信息处理者就侵害个人信息权益的行为应承担的外部责任,即连带责任。但是,对于共同个人信息处理者内部责任的划分,该规定仅明确由共同个人信息处理者约定;而对于共同个人信息处理者未作约定的情况下,其内部责任应如何划分的问题,该规定则付之阙如。建议借鉴欧洲法院就“时尚身份公司诉德国消费者协会、第三人脸书爱尔兰公司案”所作判决,在《个人信息保护法》中明确,在共同个人信息处理者未就其内部责任应如何承担作出约定的情况下,共同个人信息处理者应对由其决定处理目的和处理方式的个人信息处理活动承担责任。相关法律条文可考虑如下:“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。个人信息处理者内部责任的承担,依照约定处理;没有约定的,个人信息处理者应对由其决定处理目的和处理方式的个人信息处理活动承担责任。”

4.建议在《个人信息保护法》中,就个人信息跨境提供的情况下,境外接收方的个人信息处理活动如何达到《个人信息保护法》规定的个人信息保护标准作出明确的规定。关于个人信息处理者向我国境外提供个人信息,《个人信息保护法》第38条第3款明确规定,个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。但是,对于如何认定境外接收方的个人信息处理活动达到《个人信息保护法》规定的个人信息保护标准,《个人信息保护法》则未作规定。建议借鉴欧洲法院在“马克西米利安·施雷姆斯诉爱尔兰数据保护专员案”中对“充分保护水平”所作的界定,将前述标准明确为:境外接收方的个人信息处理活动所达到的个人信息保护标准,应与《个人信息保护法》规定的个人信息保护标准实质相同,同时规定个人信息处理者应委托专业机构对境外接收方的个人信息处理活动是否达到前述标准进行审查。相关法律条文可考虑如下:“个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。境外接收方的个人信息处理活动所达到的个人信息保护标准与本法规定的个人信息保护标准实质相同的,视为其个人信息处理活动达到本法规定的个人信息保护标准。个人信息处理者应委托专业机构对境外接收方的个人信息处理活动是否达到本法规定的个人信息保护标准进行审查。”

5.建议在《个人信息保护法》中明确规定相关组织可以就侵害个人信息权益的行为提起公益诉讼。在欧洲法院审理的“时尚身份公司诉德国消费者协会、第三人脸书爱尔兰公司案”中,当事人就消费者保护协会等组织是否可以针对违反个人数据保护法律的相关责任人提起诉讼这一问题存在争议。因《95/46指令》未就此问题作出规定,故当事人对此各执一词。尽管欧洲法院在该案的判决中认定,《95/46指令》并未禁止欧盟成员国制定法律,允许消费者保护协会等组织针对违反个人数据保护法律的相关责任人提起诉讼,但该问题直至《一般数据保护条例》明确规定,诸如消费者保护协会这样的组织有权独立地针对违反个人数据保护法律的责任人提起诉讼,方获得彻底解决。因此,在相关法律中明确赋予消费者保护协会等组织就侵害个人信息权益的行为提起公益诉讼的权利,对于避免不必要的争议、切实维护自然人的个人信息权益具有重要意义。就此,《个人信息保护法》第70条有关“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼”的规定与前述要旨契合,值得肯定。

6.建议在《个人信息保护法》中辟出专章,就网络服务提供者应遵循的个人数据处理规则作出明确的规定。我国目前已经进入数字时代。数字时代以计算机、互联网和数字技术的广泛使用为特征。数字时代涉及大量数据,包括个人数据的收集和处理。该处理可以为日常生活带来显著的益处:搜索引擎便利了对海量信息和知识的访问;社交网络服务使得世界各地的人能够沟通、发表意见;而兼具效果和效率的营销技术则令公司和消费者均可受益。但是,数字时代亦给数据保护带来了诸多挑战,因为海量个人信息被以日益复杂和不透明的方式收集和处理。[1]其中尤其值得关注的是搜索引擎运营商、社交网络服务商等网络服务提供者通过人工智能、大数据、算法等现代技术对个人信息进行大规模收集和处理,导致个人信息权益频遭侵犯的问题。建议根据2020年中央经济工作会议确立的健全数字规则,完善数据收集使用管理方面的法律规范等原则,借鉴欧洲法院在其审理的涉及网络服务提供者的一系列个人数据保护案件(例如“谷歌西班牙公司、谷歌公司诉西班牙数据管理局、马里奥·科里哈·冈萨雷斯案”“德国石勒苏益格—荷尔斯泰因独立数据保护中心诉石勒苏益格—荷尔斯泰因州经济学院、第三人脸书爱尔兰公司案”“时尚身份公司诉德国消费者协会、第三人脸书爱尔兰公司案”“GC、AF、BH和ED诉法国数据保护局案”“德国联邦消费者组织及协会联盟—德国消费者组织联合会诉行星49公司案”)中明确的相关法律规则,在《个人信息保护法》中辟出专章,为网络服务提供者建规立矩,就其应遵守的个人数据处理规则作出明确的规定。具体可以包括以下内容。

一是网络服务提供者进行个人信息处理,应当取得个人的同意,并履行本法规定的告知义务;两个以上网络服务提供者共同决定个人信息的处理目的和处理方式的,应当就各自进行的个人信息处理活动取得个人的同意,并履行本法规定的告知义务。

二是个人对信息网络上不准确或者不完整的个人信息享有删除权;个人请求删除其个人信息的,网络服务提供者应当对其个人信息予以核实,并及时删除。

三是符合下列情形的,网络服务提供者方可在网络用户的终端设备中存储信息或访问已存储的信息:①取得网络用户的同意;②已向网络用户提供有关数据处理目的的清晰和全面的信息。

(二)对我国司法机关

1.建议对个人信息、个人信息处理、个人信息处理者、敏感个人信息等《个人信息保护法》上的关键概念尽可能作出宽泛解释。其理由正如欧洲法院在“瑞典政府诉林德奎斯特女士案”“谷歌西班牙公司、谷歌公司诉西班牙数据管理局、马里奥·科里哈·冈萨雷斯案”“时尚身份公司诉德国消费者协会、第三人脸书爱尔兰公司案”等案件中反复强调的,即通过对这些概念予以宽泛界定,从而确保对个人进行有效和完整的保护。(https://www.daowen.com)

2.建议对《个人信息保护法》中规定的例外情形,例如《个人信息保护法》第72条规定的“家庭豁免”,即“自然人因个人或者家庭事务处理个人信息的,不适用本法”予以限缩解释。因为如同欧洲法院在“比利时房地产中介协会诉杰弗里·恩格尔伯特、第9房地产有限公司、格雷戈里·弗朗科特等案”“弗朗蒂切克·瑞恩诉捷克个人数据保护办公室案”“TK诉M5A楼A梯业主协会案”等案件中所指出的,对隐私权这一基本权利的保护,要求有关个人信息保护的减损或限制必须仅在充分必要的情况下适用。鉴此,《个人信息保护法》规定的例外情形必须予以限缩解释。

3.建议强化对敏感个人信息的司法保护。根据《个人信息保护法》第28条的规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。基于欧洲法院在“GC、AF、BH和ED诉法国数据保护局案”中认定,敏感个人信息的处理,因所涉信息特别敏感,因此将构成对隐私权和个人信息权益的特别严重的侵犯。鉴此,建议我国法院在司法实践中强化对敏感个人信息的司法保护,具体措施可以包括:在个人与个人信息处理者就敏感个人信息的处理产生争议的情况下,严格审查个人信息处理者处理敏感个人信息是否具有特定目的和充分必要性、是否取得个人的单独同意或书面同意、是否履行告知义务等,以及借鉴欧洲法院在1/15号法律意见中所作的向第三国提供敏感个人信息需具备准确和特别坚实的正当理由的认定,认定个人信息处理者无正当理由与境外接收方订立的提供敏感个人信息的合同无效等。

4.建议在案件涉及权益冲突的情况下,适用权益平衡协调原则对案涉权益进行协调,以实现公平的平衡。该平衡应在“任一权益均非自动优先于其他权益”的前提下,基于案件的具体情况逐一进行。对此,欧洲法院审理的“西班牙音乐制作协会诉西班牙电信公司案”“比利时作者、作曲者和出版商协会诉网络日志公司案”“邦尼尔视听公司、耳书公司、诺斯泰特出版集团公司、海盗出版社、故事情节公司诉完美通信瑞典公司案”“谷歌西班牙公司、谷歌公司诉西班牙数据管理局、马里奥·科里哈·冈萨雷斯案”“芬兰数据保护申诉专员诉萨塔昆市场交易公司及萨塔媒体公司案”“意大利莱切商业、工业、工艺及农业协会诉萨尔瓦托雷·曼尼案”等案件可资借鉴。

5.建议发挥司法能动性。针对目前我国网络服务提供者屡次侵犯个人信息权益的现状,可借鉴欧洲法院近期在网络服务提供者个人信息保护方面所作的一系列判决,制定司法解释、司法意见或发布指导性案例,对网络服务提供者的个人信息处理行为予以司法规制,改变网络服务提供者与个人力量失衡,前者能够处理和访问日益增多的海量个人数据,后者则对其自身的个人数据日益失去控制的状况,切实保护个人的信息权益。相关司法解释、司法意见或指导性案例可以考虑借鉴欧洲法院就“谷歌西班牙公司、谷歌公司诉西班牙数据管理局、马里奥·科里哈·冈萨雷斯案”所作判决,明确个人对互联网上的信息享有被遗忘权。同时,还可以考虑借鉴欧洲法院就“德国联邦消费者组织及协会联盟—德国消费者组织联合会诉行星49公司案”所作判决,将《个人信息保护法》所规定的个人的同意解释为积极的同意而非消极的同意、特定的同意而非推定的同意等。

二、对我国企业的启示

在当前的数字时代,数据被誉为“推动创新和创造的经济新动力”。诸多企业已经围绕着数据处理构建了强有力的商业模式,而其数据处理通常涉及个人数据(个人信息)。[2]个人信息的利用节约了社会发展成本,当然能为经济社会带来巨大的利益,但如果对其不作任何限制,则利用技术手段滥用个人信息侵犯个人利益的事件必然增多。在我国,当前个人信息被滥用的问题也日益严重,主要表现为四类情形:一是一些企业对经营活动中收集的个人信息在管理上存在诸多安全漏洞;二是一些企业将经营活动中掌握的个人信息进行买卖而谋取非法利益,形成个人信息买卖的地下产业;三是一些企业对采集到的个人信息进行未经许可的二次开发利用,为细分市场、制定营销战略提供依据,进而实施对重点人群或者重点客户的定向强制推销,侵扰个人生活安宁;四是一些企业擅自公开、传播敏感个人信息,造成侵害他人人格尊严或者利用非法收集到的个人信息实施诈骗等违法犯罪活动。[3]此外,我国目前还存在比较严重的企业超范围过度收集个人信息的问题。对此,建议我国企业以欧洲法院审理的个人数据保护案例为鉴,采取以下措施,解决目前存在的个人信息的过度收集和滥用等问题。

1.提高认识,增强个人信息保护意识。由欧洲法院审理的个人数据保护典型案例可见,个人信息保护权系个人的基本权利,该权利受法律保护。对此,我国《民法典》和《个人信息保护法》均予以确认。在此情形下,建议我国企业特别是互联网企业提高对个人信息保护权的认识,摒弃保护个人信息将导致其承担繁重义务并因此将影响其经济利益的陈旧理念,增强个人信息保护意识,将个人信息保护置于与企业经济利益同等重要的位置,力争实现个人信息保护与企业经济利益相得益彰、相互促进、协调发展。

2.苦练内功,做好个人信息保护合规工作。从欧洲法院审理的“德国石勒苏益格—荷尔斯泰因独立数据保护中心诉石勒苏益格—荷尔斯泰因州经济学院、第三人脸书爱尔兰公司案”“德国联邦消费者组织及协会联盟—德国消费者组织联合会诉行星49公司案”等案件可以看出,目前,相当数量的个人信息保护纠纷均系因企业的不规范操作所引发。因此,建议企业从这些案件中吸取教训,苦练内功,做好个人数据保护的合规工作,包括对个人信息处理情况进行内审;制定个人信息合规制度和政策;对个人信息实行分级分类管理;采取加密、去标识化等安全技术措施;合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;制定并组织实施个人信息安全事件应急预案;指定个人信息保护负责人;定期对个人信息处理活动是否合法进行审计;对重大个人信息处理活动(例如利用个人信息进行自动化决策)进行事前风险评估等。

3.突出重点,加大对敏感个人信息的保护力度。建议企业借鉴欧洲法院就“GC、AF、BH和ED诉法国数据保护局案”所作判决及其出具的1/15号法律意见,对敏感个人信息采取特别保护措施,包括充分履行取得相关个人的同意的义务及告知义务,在处理敏感个人信息之前进行风险评估等。

4.强化举措,加强对个人信息跨境提供的监督。从欧洲法院就“马克西米利安·施雷姆斯诉爱尔兰数据保护专员案”“爱尔兰数据保护专员诉脸书爱尔兰公司、马克西米利安·施雷姆斯案”所作的判决及其出具的1/15号法律意见来看,考虑到个人信息保护在维护私人生活获得尊重的基本权利方面所起的重要作用,同时考虑到在个人信息被提供给未确保充分保护水平的第三国的情况下,大量个人的基本权利可能被侵犯。因此,个人信息的跨境提供只有在满足相关条件,包括个人信息处理者和境外接收方订立标准数据保护条款的情况下方可进行。据此,建议企业强化举措,加强对个人信息跨境提供的监督,具体措施包括对跨境提供个人信息是否满足法律规定的条件进行逐案审核、对企业与境外接收方订立的跨境提供个人信息的合同的内容是否符合法律进行严格审查等。

【注释】

[1]European Union Agency for Fundamental Rights and Council of Europe[M].Handbook on European Data Protection Law,2018:347.

[2]European Union Agency for Fundamental Rights and Council of Europe[M].Handbook on European Data Protection Law,2018:78.

[3]黄薇.中华人民共和国民法典人格权编解读[M].北京:中国法制出版社,2020:204.