近日,我国人脸识别第一案宣判,新型个人信息侵权的审判实践拉开序幕。随着信息网络技术的发展,个人信息出现在社交活动、消费行为等各种场景中。由此产生的个人信息侵权问题涌现,包括互联网公司泄露用户隐私、酒店泄露顾客信息等。作为对现实问题的回应,民法典单独设立“人格权编”,并进一步明确个人信息的范围及保护规定。但在当前法律框架下民法典对个人信息的侵权损害认定存在堵点,个人信息侵权与其他人格权侵权的认定未作明显区分。人格权编对于个人信息的规定主要采取行为规范模式。根据民法典第九百九十五条,人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。这一规定系指向侵权责任编的引致条款,即个人信息侵权责任的认定与承担适用侵权责任编相关规定。侵权责任编对于一般侵权采取过错责任原则,侵权行为造成损害才能认定构成侵权。而审判实践中,实质性损害对于个人信息侵权的受害人往往难以举证,造成侵权与损害赔偿的认定存在一定困难,不利于个人信息的有效保护。笔者认为,司法实践中可以通过类型化和要素式方法,准确把握个人信息侵权的损害并据此确定赔偿数额。
一、个人信息的类型化处理。
现行法律规范对个人信息基本采用分类保护模式。《信息安全技术个人信息安全规范》列举了一系列敏感信息类型。个人信息保护法(草案)专门规定了种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的处理规则,对敏感个人信息的处理采取更严格规定。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将个人信息分为三类,采取从重到轻的量刑尺度。笔者认为,类型化是处理个人信息侵权损害认定的必要方式。在类型化的维度上,首先,根据个人信息的敏感程度作出基本区分,分为敏感信息与一般信息。个人信息保护法(草案)规定对于敏感信息的处理要有特定的目的和充分的必要性;基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意;还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。因此,对于敏感信息的处理更加严格,对侵犯敏感个人信息的认定,也应当采取更低标准,并适当加大损害赔偿力度。其次,结合个人信息的处理场景进行分类识别。个人信息侵权的损害程度与个人信息处理的场景有密切联系,审判中亦应注意场景对个人信息敏感度的影响。审判实践中对于个人信息的分类应当避免僵化,要注意灵活把握案情场景对个人信息的敏感程度作出识别。对于敏感信息侵权要结合行为的充分必要性与是否尽到充分告知义务等进行认定。
本文来源于网络,如有侵权请联系删除。
一、个人信息的类型化处理。
现行法律规范对个人信息基本采用分类保护模式。《信息安全技术个人信息安全规范》列举了一系列敏感信息类型。个人信息保护法(草案)专门规定了种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的处理规则,对敏感个人信息的处理采取更严格规定。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将个人信息分为三类,采取从重到轻的量刑尺度。笔者认为,类型化是处理个人信息侵权损害认定的必要方式。在类型化的维度上,首先,根据个人信息的敏感程度作出基本区分,分为敏感信息与一般信息。个人信息保护法(草案)规定对于敏感信息的处理要有特定的目的和充分的必要性;基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意;还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。因此,对于敏感信息的处理更加严格,对侵犯敏感个人信息的认定,也应当采取更低标准,并适当加大损害赔偿力度。其次,结合个人信息的处理场景进行分类识别。个人信息侵权的损害程度与个人信息处理的场景有密切联系,审判中亦应注意场景对个人信息敏感度的影响。审判实践中对于个人信息的分类应当避免僵化,要注意灵活把握案情场景对个人信息的敏感程度作出识别。对于敏感信息侵权要结合行为的充分必要性与是否尽到充分告知义务等进行认定。
本文来源于网络,如有侵权请联系删除。