刘春泉：个人信息保护立法 要靠司法诉讼案例

发布时间：2018-08-29 作者：刘春泉

    从中国反垄断法的执法来看，个人信息保护执法不排除学习欧盟的可能性。结合欧盟对谷歌等企业反垄断等多次巨额罚款，该等行政执法措施监管确实震慑力巨大，可以通过巨额罚款的行政责任引导企业合规。尽管目前的中国个人信息民事诉讼案例都不太给力，但司法诉讼仍不失为中国个人信息保护立法值得考虑的主要保护途径。从科学合理与渐进进程角度来说，通过民事诉讼责任引导企业合规，似乎更加科学合理。

    最近在杭州召开的2018年中国法学会网络信息法年会，对个人信息保护法的立法主题讨论甚为热烈。自上世纪末本世纪初国务院信息化领导小组立项进行个人信息保护法研究到现在，个人信息保护法的研究已经持续多年，虽然目前还没有列入人大的立项规划，但学术界认为继网络安全法和电子商务法之后，个人信息保护法是下一个网络信息领域必须重点研究的立法课题。

    电子商务立法开辟了人大开门立法、广泛参与的新模式，广受赞誉。个人信息保护立法事关每个公民利益，也是大家切身感受到的各种信息骚扰、电信诈骗背后涉及的法律问题。对此，人人都有发言权，人人都有话要说，不知道未来立法草案公布征求意见会不会再现当年数十万反馈意见的盛况？

各方立法需求不一

    纵观各国个人信息保护的立法模式，个人信息单行法立法保护是比较普遍采用的做法。现在媒体、消费者保护机构代表沉默的绝大多数，监管机构和企业都在呼吁个人信息立法，但深入分析一下，就会发现，各方对个人信息保护的立法需求是不一样的。

    广告利益相关方的立法需求是个人信息范围限缩到最大可能范围内，数字广告、大数据精准推荐、数据挖掘、算法推送均希望合法化。大部分企业都在尽量扩大收集数据，网络安全法生效后开始有少量企业、其他机构顾及风险减少甚至不收集个人信息，如央视财经、国务院客户端已经不收集通讯录，但仍然收集精准和大概位置、拍照和视频、录音、读取手机状态和身份等权限。监管执法者希望增加法律实施的可操作性。

    其实现在中国法律关于个人信息的立法已经初成体系，甚至说保护力度从立法层面并不输美欧多少，问题在于行政执法和法院司法的实践，除刑事司法领域外，几乎看不到重大影响的好案例。其实重大案件往往具有深远的影响，一个好的重大影响案件，比100条法律条文、1000场法律培训都更能推动法律的深入人心。

    政府部门还有一个未来立法不能再回避的问题：作为最大真实信息收集者，政府机构愿不愿意成为监管执法的对象？网络安全法立法时，有一种意见是如果对政府机关罚款，罚款从财政左口袋到右口袋，没有太大意义，所以专门有一个条文规定政府违法的处理问题，但从制度建设和实践中频频发生政府机关信息管理不善的现状来看，这到底是不是政府部门免于监管的充分理由？

    虽然徐玉玉案件极大提高了个人信息保护必要性的认知程度，但全社会尤其是立法司法机关对于个人信息的价值和保护的必要性的认识现状还太低。很多人还是无法把个人信息保护与电信诈骗等个人信息滥用的恶劣后果联系起来。你对个人信息持有什么样的真实态度，可能就是别人对个人信息立法需求的态度。每个个人的职业、身份、利益对于其表达对于个人信息的态度有决定性影响。现在中国个人信息保护的执法案例，主要由一些法律专业人员，例如律师、消费者保护机构等在推动。饭碗比个人信息保护更重要。来自企业的专家不可能不知道个人信息对他们自己造成的骚扰，但端着企业的饭碗输出的只能是信息自由的种种理论和论证。我个人认为非此即彼的思维是不行的，关键在于探讨设计复杂的法律规则应对万千迥异的复杂情况，让企业赚钱也不要太过于侵犯公民的隐私。

个人信息立法的全球经验

    《通用数据保护法案》（GDPR）生效之日相关文章报道在中国网民的手机朋友圈刷屏。一部专业性极强的外国法律为什么在中国如此广受关注？为什么我们反复宣传网络安全法，又是约谈又是处罚，中国企业没出版过网安法专著却有专门出版研究GDPR专著的？Facebook遭遇剑桥分析数据滥用，其平台本身无明显过错，但其首席执行官扎克伯格仍到国会作证，主动公开检讨，而中国同期互联网巨头掌门人声称网民不介意隐私的言论多次被对比刷屏。

    谷歌公司的座右铭是Don'tdoevil（不作恶），在谷歌这样的公司律师人数和专业水平应该不会低于中国任何一家企业，然而在欧盟频遭大额罚款，美国的个人信息保护水平是否低于欧盟？2018年6月28日，美国加利福尼亚州（下称“加州”）颁布了《2018年加州消费者隐私法案》（CCPA）来看，未必。从美国法治和诉讼制度来看，成熟的法治环境下，不大可能纵容某种侵犯公民权利的行为放纵过度，因为随时都有律师为谋取利益而发起诉讼予以打击。

    我们立法时较多参考研究的其他域外立法，包括印度、新加坡、日本，其个人信息保护水平也不低于我国。虽然我支持个人信息保护立法，但我认为中国个人信息保护水平低下的关键问题不在于法律缺失。请看我们相关立法生效后的若干案例：

    我国目前为止个人信息保护领域主要有影响的民事诉讼：朱烨诉百度：一审胜诉，二审败诉。我本人发起的诉工商银行：一审胜诉，二审败诉。北京律师庞理鹏诉北京趣拿信息技术有限公司、东方航空公司隐私权纠纷，一审败诉，二审胜诉，但法律责任是赔礼道歉而已。最高法院曾经公布过一个无锡市南长区法院判决某开发商与垃圾短信发送公司合同纠纷案，以合同无效驳回诉讼请求，收缴违法所得。这是一个与个人信息保护沾边的合同案件，法院收缴了合同不法收益，与个人信息维权无关。

    目前我国个人信息保护在行政执法领域主要是消保法+网络安全法，网络安全法执法力度相对较大，根据公布的案例，腾讯微信、新浪微博、百度贴吧涉嫌违反《网络安全法》被立案调查，BOSS直聘被网信办责令整改，这些就算目前重大执法案件了。

    本次论坛上有学者对于个人信息保护是应学习欧盟大额罚款的行政执法模式，还是司法诉讼保护模式进行了讨论。从中国反垄断法的执法来看，个人信息保护执法不排除学习欧盟的可能性。结合欧盟对谷歌等企业反垄断等多次巨额罚款，该等行政执法措施监管确实震慑力巨大，可以通过巨额罚款的行政责任引导企业合规。司法诉讼可能对企业造成数量更多的烦恼，但每个案件的经济赔偿损失则不会如同欧盟罚款那么巨大，法庭可以通过法律解释为个人信息保护与企业需求之间不断微调，实现法律灵活性与稳定性的相对统一。

    因此，尽管目前的中国个人信息民事诉讼案例都不太给力，但司法诉讼仍不失为中国个人信息保护立法值得考虑的主要保护途径。从科学合理与渐进进程角度来说，通过民事诉讼责任引导企业合规，似乎更加科学合理。

    （作者系上海段和段律师事务所合伙人）

原文标题：个人信息保护立法 要靠司法诉讼案例

原文来源：第一财经日报