个人信息权利受到侵害,如何维权?
18 个人信息权利受到侵害,如何维权?
大数据时代,人们不可避免地在不同的场合披露自己的个人信息。而收集个人信息的信息处理者在很多时候难以妥善保管、使用个人信息,以至于出现个人信息泄露、超范围使用等种种现象。这些现象的出现经常会给我们的日常生活带来恶劣的影响,比如由于个人信息泄露常常会导致骚扰电话、诈骗电话等的出现,严重威胁个人生活安宁和财产安全。当个人发现自己的个人信息被泄露或者不当使用时,个人可以采取什么样的措施进行维权?个人信息处理者又会因为自己的违法行为承担什么样的责任呢?
一、协商与投诉、举报
根据《个人信息保护法》第50条,个人信息处理者应当建立便捷个人行使权利的申请受理和处理机制,拒绝个人行使权利的请求的,应当说明理由。也就是说,法律规定了个人信息处理者有义务受理、处理个人信息主体行使权利的申请。因此,当个人信息主体发现自己的个人信息被个人信息处理者非法利用,或者个人信息主体要求个人信息处理者履行删除其个人信息、解释说明个人信息处理规则等义务时,个人信息主体可以联系个人信息处理者。根据第17条,个人信息处理者应当以显著方式、清晰易懂的语言向个人告知个人信息处理者的身份和联系方式。个人信息主体依据公开的联系方式联系个人信息处理者。
个人信息主体可以在联系个人信息处理者后未获得想要的效果的情况下向有关部门进行投诉、举报,也可以在发现个人信息处理者违法处理的情况后直接向有关部门进行投诉、举报。根据《个人信息保护法》第65条规定:“任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。”应当接受投诉、举报的部门为履行个人信息保护职责的部门。《个人信息保护法》第60条对于履行个人信息保护职责的部门作出的规定沿用了《网络安全法》的监管体制,国家网信部门为个人信息保护的协调管理部门,公安部门、工信部门、市场监督管理部门以及其他行业主管部门在各自职责范围内行使监督管理职责。但是履行职责的部门众多,个人往往无法确定向哪些部门进行投诉,此时法律规定了兜底监管部门,分别是:对于经营或者服务活动中的出现的个人信息权利受损,根据《消费者权益保护法》第56条,市场监管部门为兜底监管部门;对于经营或者服务活动以外的场合,根据《网络安全法》第44、64条,公安机关为兜底监管部门。(https://www.daowen.com)
二、行政处罚
《个人信息保护法》第66条规定:“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”
这明确了个人信息违法的法律责任,严厉处罚了违法信息,提高了违法成本。在《个人信息保护法》之前,《网络安全法》第64条也对个人信息的违法行为作出行政处罚,但是其罚款的金额上限为100万元,对于很多互联网企业来说这样的罚款的金额根本不值一提,因而法律很难真正起到规制企业行为的作用。《个人信息保护法》针对情节严重的违法行为规定了5千万罚款上限。这借鉴了欧盟《通用数据保护条例》的规定,该条例最高可以对于企业处以2千万欧元或上一财经年度全球营业总额4%的行政罚款。和《通用数据保护条例》相同,我国行政处罚计算罚金上限金额的基数是企业的上一年度营业额而非企业利润,导致企业的违法成本大幅度上升。比如,2021年4月10日,市场监管总局对于阿里巴巴集团的垄断行为作出行政处罚决定。由于市场监管总局在2020年对阿里巴巴进行立案调查,因此在罚款计算时,罚款基数为阿里巴巴集团上一年度2019年的营业额。阿里巴巴集团2019年中国境内营业额为4557.12亿元,市场监管总局对于此处以4%的罚款,计182.28亿元。如果阿里巴巴集团违反《个人信息保护法》,依照该法,国家网信部门最高可以对它处以上一年度营业额5%的罚款,也就是228.8亿元,这数字相对于原来只能处以100万元而言,简直是天价罚款了。
三、民事诉讼
若个人信息主体觉得联系个人信息处理者或向行政机关举报都难以获得理想的结果,个人信息主体也可以法院提起诉讼。在以往的个人信息侵权纠纷中,自然人要证明个人信息处理者侵害其权益,需要证明四个要件:(1)对方违法行为存在;(2)对方存在过错;(3)自己存在损失;(4)对方违法行为与自己的损失存在因果关系。最为困扰个人的是要件二,如何证明对方存在过错。复杂的网络技术导致个人信息主体难以理解也难以掌握证据。为了解决这一难题,《个人信息保护法》总结了以往法院在诸如庞理鹏案等判决中的实践经验,在第69条规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”这采用了《民法典》第1165条的过错推定责任原则,个人信息处理者不必证明对方过错的存在,法律推定个人信息处理者存在过错,其不能证明自己没有过错的,应当承担侵权责任。这加重了个人信息处理者的举证责任,个人信息处理者需要在履行法律规定的个人信息保护义务的同时,积极保存相关证据以证明自己已经履行必要的保护措施。个人信息主体不必再证明个人信息处理者存在过错,不仅使得个人信息主体减轻负担,还可以促使个人信息处理者积极履行个人信息保护义务。个人信息侵权纠纷中,个人信息主体可以获得多少赔偿?依照《个人信息保护法》第69条规定,损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
四、公益诉讼
个人可以对企业侵犯其个人信息权益的行为提起诉讼。但是在现实生活中,个人相比互联网企业往往处于弱势地位。由于网络技术的复杂,个人难以掌握理解,且诉讼的时间、金钱成本都过高,只有少部分个人会选择起诉保护自己的权益。这样的情况并不利于个人信息权益的保护,也不利于数字经济的发展。《个人信息保护法》第70条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”该条确定了在个人信息保护领域可以适用公益诉讼制度。公益诉讼制度确立于《民事诉讼法》第55条,其规定“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼”。《民事诉讼法》并未将公益诉讼限制于污染环境、侵害众多消费者合法权益这两类案件之中,“等”表示未来出现的行为也可以适用公益诉讼。由此可见,出现在《个人信息保护法》中的公益诉讼也可以适用《民事诉讼法》关于公益诉讼的规定。
公益诉讼的提出主体有三个:人民检察院、法律规定的消费者组织和国家网信部门确定的组织。虽然三个主体都可以提起公益诉讼,但根据《民事诉讼法》第55条规定,“机关或者组织提起诉讼的,人民检察院可以支持起诉”。因此,检察机关在个人信息保护公益诉讼中也应当处于一个关键的位置。根据《民事诉讼法》,要提起公益诉讼需要满足四个要件:(1)明确的被告;(2)具体的诉讼请求;(3)社会公共利益受到损害的初步证据;(4)属于人民法院受理民事诉讼的范围和受诉人民法院管辖。满足这四个要件,就可以提起公益诉讼。公益诉讼的存在不仅可以降低公民的诉讼成本,也可以降低法院的工作量,并且由于公益诉讼代表一群人的利益,一旦胜诉,个人信息处理者需要支付不小的赔偿费用,这可以督促企业使其更加合规。