2020年11月28日,2020数字化治理论坛(第五届互联网法律大会)在杭州成功举办。本次论坛由浙江大学、阿里巴巴集团共同主办,浙江大学光华法学院互联网法律研究中心、阿里巴巴法律研究中心、阿里安全承办,国家“2011计划”司法文明协同创新中心协办。来自最高人民法院、最高人民检察院、清华大学、中国人民大学、中国社会科学院大学等单位的300余名专家及师生,共同讨论数字化治理新问题。以下内容是根据“2020数字化治理论坛”专家刘晓春发言稿整理。
首先,从民法意义上,理论和实践中都对个人信息的民事责任存在比较丰富的探讨。今年处理的一些案子,涉及到对《民法典》中隐私、个人信息、私密信息、敏感信息的界分,以及隐私侵权认定和个人信息侵害认定之间的区别,包括责任认定过程中如过错注意义务、执行同意等具体规则的讨论。这些分散的案例可以单独地为一些研究提供样本,也可以通过尽职免责的角度相串联。
民事责任具有一定的特殊性,个人信息侵害的司法救济很可能是失灵的。美国学者认为,司法救济中存在个人举证责任过高、维权成本过高、侵害难以量化等问题。实际上,国外在通过民事诉讼方式寻求个人信息的保护上并没有很丰富的实践经验,在中国或许也是如此。
但情况也在发生变化,各个类型的案子都逐渐开始通过私人的诉讼方式展开。这也使得法院有了充分的机会在不同具体场景中框定规则,考量具体场景下所谓的过错和注意义务的圈定。实际上,日后个人信息制度的落地,包括企业责任和企业免责框架,司法有可能是很重要的切入点。
其次,个人信息侵权的刑事责任的问题也经常被提到,比如侵犯个人信息罪的起刑点太低、门槛太低等。最后,行政责任则是目前为止讨论最为充分的领域,不管是跟域外gdpr的比较,还是对现有《网络安全法》具体化的比较。
在这样的责任图景下,我们要去探讨的是在不同的责任类型下如何看尽职免责,以及责任和责任之间是否可能互相联系的问题,比如在行政法上违反了特定的保护义务或者安全保障义务时,是否同样会引发民事及刑事上的责任。
在检索尽职免责规则的相关问题时,会发现传统上讨论较多的是工作人员在岗位上是否失职,怎么判断是否尽职,以及当工作行为造成了一定损害后果时是否能够因已经履行特定工作职责而免责等。这种免责可能是面向单位的,也可能是面向政府的,具体场景有涉及行政执法人员的尽职免责,有涉及银行金融业的尽职免责,比如信贷审批人员的尽职免责、安全管理人员的尽职免责。所以如果要把这个问题拓展到个人信息保护领域,以企业或者产业作为主体,则可能会有语境转化的问题。
首先需要明确的是,此处的“注意义务”与传统法律上的“免责”概念无关,而是指责任根本就没有构成,即企业如果符合一定情况,就尽到了注意义务,从而不产生法律上的民事责任。
司法实践中,在新场景中考量注意义务时,往往都采用的是传统民法的考虑规则,比如预见的可能性、成本分析等。但是在具体场景中,例如对已公开个人信息的利用问题,如果仅看《民法典》的法条或者相关司法解释,包括《个人信息保护法(草案)》的条文,对已公开个人信息的保护采用的都是“合理”这样非常原则化的表述,可能无法对注意义务进行细致化考量。
实际上,个人信息保护概念不够明确可能正是导致产业本身想要提出尽职免责规则的原因。因为利用者希望了解清楚要做到什么程度他们的责任才可以到此为止,即责任的边界。以搜索引擎对公开个人信息的正常抓取行为为例,一般认为该行为不会产生像知情同意原则一样的注意义务。并非对所有个人信息都要进行筛选和同意,否则这将对产业造成极大干扰,以至于整个商业模式无法继续。但是对于一些涉及身份证号码等高度敏感的个人信息,可能就会有更强的注意义务。
因此,对于已公开个人信息的利用,可能也会产生不同程度注意义务的分层,其中会涉及对特定行为的特征与成本分析。如果“一刀切”地对注意义务要求过高,会使得商业模式无法继续,给社会带来的成本太大。
试图通过上述分析模式界定注意义务的考量因素,也许还是会令人觉得太场景化、个案化。但是在为特定商业模式下免责边界的界定树立参考规则时,这是一种比较安全的方式。
另外在行政责任上,如果参考现有的尽职免责制度,则会涉及到清单化的权限。我们现在有各种各样的合规义务,在不同的领域如生物识别、生物信息等都有不一样的规则。或许可以参照尽职免责的思路,更多地考虑让个人信息能够有效流通、让产业能够释放最大活力的思路,而不是个人信息的强保护,因此也许也可以建立一些清单的制度。
实际上,现在大量的研究集中在知情同意规范领域,比如单独同意以及知情同意该如何符合要求等问题。对此可以出台一套清晰的指引规范,更具体地规定做到什么程度才可以尽职免责。为了便于企业证明自己没有过错,不论是围绕审核义务还是注意义务,都可以就每个环节设计一套“企业做到哪些情况即无过错”的指引规范,这是直接责任的纬度。
间接责任则涉及到平台责任的问题。在著作权领域存在所谓的避风港原则,而这样的探讨也可以引入到例如平台小程序对个人信息的处理中,分析当平台上的直接行为方涉及个人信息泄露的问题时,平台作为交易的撮合者应承担的责任。
最后,一般性的规则没有办法解决问题时,要从实践底层出发。体系化的实践路径是抽象规则,是事先给出指南和规范的方式。如果发现这样的方式的确没有办法解决具体的行为,企业还是不知道到底如何才能够免责,则很可能还是要从司法和行政执法的过程中,寻找对商业模式、行为合规规范的规则性指引。但重要的是,在抽象规则和个案规则之间要有循环往复的意识,而不仅限于抽象上尽职免责规则体系化的建立。
