《从民法典看个人信息保护的法律适用.doc》由会员分享,可在线阅读,更多相关《从民法典看个人信息保护的法律适用.doc(14页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、从民法典看个人信息保护的法律适用摘要随着数据信息的发展,互联网与人们的生活日益紧密,一方面,平台通过收集用户的浏览信息以进行广告推送等。而另一方面,通过网络踪迹信息又可以从侧面刻画出用户画像。网络踪迹信息因具有人格利益与商业价值双重性质,在对网络踪迹信息定位上存在一定的困难。目前对网络踪迹信息存在个人信息和隐私权两个方向的讨论。美国和欧盟均针对对此问题进行相关立法和实践争议。我国与欧盟针对网络踪迹信息的定义相类似。我国对个人信息普遍以定义和可识别性为认定标准。然而,在司法实践中,法院所作判决持相反的态度,因此,有必要采取解释路径,对网络踪迹信息进行恰当的定位。首先阐述网络踪迹信息的研究背景以及
2、意义,并说明国内外关于网络踪迹信息定位的现状进行解释。通过选取国内典型案例来表明当今司法实践针对网络踪迹信息的认定意见,并提出问题。在认定网络踪迹信息时,法院在实践中主要考虑个人信息路径和隐私权路径。其次,阐述网络踪迹信息的概念以及将网络踪迹信息纳入法律定位需考虑的价值因素,即人格利益与经济利益。并说明了个人信息与隐私权概念以及它们之间的关系。再次,通过对国外立法进行梳理,并选取国外司法实践案例进行分析。总结国外关于网络踪迹信息的定位。最后归纳以上内容,针对网络踪迹信息定位问题的矛盾,从隐私权和个人信息路径进行分析,从解释论等角度建议将网络踪迹信息纳入个人信息进行保护。关键词 网络踪迹信息;个
3、人信息;隐私权Viewing the Application of Laws in the Protection of Personal Information from the Civil CodeAbstractWith the development of data information, the Internet has become increasingly close to peoples lives. The platform collects users browsing information to push advertisements and so on. On the
4、 other hand, user portraits can be portrayed from the side through network trace information. Because network trace information has the dual nature of personality benefits and commercial value, there are certain difficulties in locating network trace information. At present, there are discussions on
5、 both personal information and privacy rights for network trace information.Both the United States and the European Union have controversial legislation and practice on this issue. my country and the European Union have similar definitions for network trace information. In my country, the definition
6、 and identifiability of personal information are generally regarded as the standard. However, in judicial practice, the courts judgments hold the opposite attitude. Therefore, it is necessary to adopt an interpretation path to properly locate the network trace information.First, explain the research
7、 background and significance of network trace information, and explain the current situation of network trace information positioning at home and abroad. By selecting typical domestic cases, it shows the opinions of current judicial practice on the identification of network trace information, and ra
8、ises questions. When determining network trace information, the court mainly considers the path of personal information and the path of privacy in practice. Secondly, it elaborates on the concept of network trace information and the value factors that need to be considered when incorporating network
9、 trace information into legal positioning, namely, personality interests and economic interests. It also explains the concept of personal information and privacy and the relationship between them. Thirdly, through sorting out foreign legislation, and selecting foreign judicial practice cases for ana
10、lysis. Summarize the positioning of information on network traces abroad. Finally, the above content is summarized, in view of the contradiction in the location of network trace information, the analysis is carried out from the perspective of privacy and personal information, and it is recommended t
11、o include network trace information in personal information for protection from the perspective of interpretation theory.Keywords Network trace information; personal information; privacyIII目 录摘要IAbstractII第1章绪论11.1研究背景及意义11.2国内外研究现状11.2.1国内研究现状11.2.2国外研究现状21.3研究主要内容和方法31.3.1研究主要内容31.3.2主要研究方法41.4创新之
12、处4第2章问题提出42.1典型案例一42.1.1案件事实42.1.2两审法院对网络踪迹信息的认定及理由42.2典型案例二52.2.1案件事实52.3产生的问题6第3章网络踪迹信息定位概述63.1网络踪迹信息的概述63.1.1网络踪迹信息的概念63.1.2网络踪迹信息民法定位的价值选择73.2个人信息和隐私权的关系73.2.1个人信息的概述和界定73.2.2隐私权的概念及界定93.2.3个人信息与隐私权的联系9第4章国外立法现状和司法认定104.1国外立法规定104.1.1美国104.1.2欧盟104.2司法认定114.2.1网络踪迹信息是否属于隐私114.2.2网络踪迹信息是否属于个人信息12
13、4.3总结13第5章我国关于网络踪迹信息定位135.1隐私权路径135.2个人信息路径145.2.1立法现状145.2.2司法认定的价值倾向145.2.3动态解释14参考文献17致谢19附录20 第1章绪论1.1研究背景及意义数据时代的发展为人们的生活带来了极大的便利,改变了人们的生活方式。网络已经成为人们生产、生活重要的组成部分,信息数据的发展也在推动着经济的发展。各网站或企业平台通过对个人信息的收集处理,将客户群体进行划分、针对不同的客户所浏览的记录进行相应的推荐,精准营销,预测性分析等提高工作效率和商业业绩。数据信息愈加的商业化,个人信息保护面临的风险也在不断增加。平台对个人信息进行收集
14、时,在用户未知情的情况下所收集的数据信息未进行合理的存储,使用,导致公民的个人信息权益受到严重侵害,进而使得个人信息主体遭受到通信骚扰、财产损失甚至人身伤害。比如2008年“反人肉搜索第一案”,以及每年层出不穷的各类侵犯个人信息权益的案件。这对公民的生活、工作都带来了极大的困扰,影响人们的正常生活,也破坏了社会的和谐稳定。因此,保护公民的个人信息成为如今重要的问题。网络信息技术的不断创新和发展,带来了一些网络个人信息保护中从未遇到过的问题,比如追踪网络用户的各项网上活动和浏览踪迹,收集大量的用户信息进而分析和识别用户身份1。公民的网络浏览踪迹能否被商家免费获取等。在个人信息保护中,厘清网络踪迹
15、信息定位是保护的根本问题。其次,网络踪迹信息的存储和使用不合理。 尽管某些网站或软件提供了浏览记录操作历史记录和其他内容的清理功能,但是这些清理功能设置得过于隐秘,操作比较繁,即使普通用户想要清理浏览记录,也很难操作, 难以达到完全清楚的目的,进一步加剧了网络踪迹信息的不合理存储。在实践中也存在争议。在这种情况下,信息占用者往往会选择无限制地充分挖掘和使用网络踪迹信息,以最大化其经济价值并获得利润,从而导致网络踪迹信息在分析和使用过程中被滥用。随着数据信息的发展,自然人的个人信息被认为是二十一世纪的新型能源,因此,准确合理的界定个人信息显得尤为重要。从经济上看,在数据信息发挥商业价值的同时,还
16、要保障公民的人格权益不受侵犯,避免道德风险,进一步促进网络信息的利用和共享。合理使用数据信息可促进市场经济健康发展。从立法和司法实践上,由于我国立法对于网络个人信息的保护尚不完善,对于网络个人信范围以及私密信息认定等问题都没有完善的法律依据。导致新型的个人信息认定困难,在司法实践中产生了各种争议。界定个人信息对我国立法和司法实践活动具有指导意义。1.2国内外研究现状1.2.1国内研究现状目前学界对个人信息的讨论范围较广,浏览轨迹信息与一般个人信息不同, 一般个人信息通常具有直接的身份识别性,如姓名、生日、住址、手机号、邮箱等2。学者提出随着信息技术的不断创新,人们的生活空间逐渐从物理空间扩展到
17、数字空间和电子空间,并逐步形成一个虚拟世界。31个人信息的概念界定主要有“隐私说”、“个人信息说”、“网络碎片信息说”、“计算机数据说”。隐私权说隐私指那些私密性的信息或私人活动,个人不愿意公开披露且不涉及公共利益的部分都可以成为个人隐私3。凡是与私人生活相关的信息都属于隐私4,被以数字或者其他形式收集、存储以及分享的Cookie信息属于信息性隐私5是指Cookie信息记录了个人的上网轨迹,反映了个人的上网习惯或兴趣爱好,属于个人不愿意公开披露且不涉及公共利益的私人活动信息,不希望被他人知晓或者利用。故Cookie信息属于以数字或者其他形式被收集、存储以及分享的个人信息性隐私,应当通过隐私权予
18、以保护。根据个人信息说,个人信息可以识别个人身份,记录了个人的活动痕迹,是对个人自然痕迹和社会痕迹的一种数据化表示6。并结合相关法律对个人信息的规定可知,公民个人信息的本质属性是可识别性,只要网络踪迹信息具有了可识别性就属于公民个人信息的范畴。根据网络碎片信息说,其只是存储在用户本地磁盘中的网络碎片化信息,其是通过一串字符表现出来的,不具有可识别性。因此cookie信息不属于个人信息7。网络踪迹信息只是记录了网络用户的上网碎片化信息,一般人只凭借一串字符无法识别出特定人的个人信息,无法根据符号指向特定的个人,不属于个人信息。根据计算机数据说,根据计算机数据说,cookie信息载未被破解分析之前
19、,仅仅是存储在计算机系统里面的数据,不具备可识别性,仅仅属于认证信息的一种,故不应认定为个人信息。8由于网络踪迹信息形式上不具有可识别性,并且为商业收集模式的方式,不能认定为个人信息。2020年发布的最新安全规范沿用了“识别”和“关联”的认定路径,同时明确增加规定,将个人画像或特征标签纳入个人信息的范畴。由于“个人信息的本质在于其能够单独或者结合其他信息识别特定个人身份的属性,9随着数据信息的发展,断定可识别性的难度也在提高。因此,界定网络踪迹信息存在一定的难度。目前,我国在个人信息保护领域出台了大量的法律、行政法规、规章与司法解释用以规范和管理发展迅猛的信息化社会,但由于个人信息保护的立法较
20、为分散,没有形成对“个人信息”概念与标准的统一共识。1.2.2国外研究现状欧盟对于个人信息的保护比较全面和彻底。欧盟95/46指令其立法宗旨有二:其一,保护公民的基本权利与自由,尤其是数据处理中的隐私;其二,欧盟各国不得以保护权利为托辞限制个人数据在合法的情况下自由流动。32第2款将“个人数据”是指与已识别或可识别的自然人相关的任何信息。可识别的自然人是能够被直接或间接地识别的人,特别是通过一个标识符实现识别,或者是通过自然人的一个或多个物理个性、生理个性、遗传个性、心理个性、经济个性、文化个性或社会个性这样的要素实现识别。条例中对其规定“个人数据”是指与已识别或可识别的自然人相关的任何信息。
21、可识别的自然人是能够被直接或间接地识别的人,特别是通过一个标识符实现识别,例如姓名、身份号码、定位数据、在线身份标记,或者是通过自然人的一个或多个物理个性、生理个性、遗传个性、心理个性、经济个性、文化个性或社会个性这样的要素实现识别。增加了种类的列举。这说明对于如姓名、出生日期这类隐性识别符,一般需要在相应关系数据库中获取附加信息结合在一起才可以识别到某一特定的个人。10欧盟从年起就开始了对个人信息保护法规的改革。11年,欧盟发布了欧盟数据保护通用条例草案,其核心内容是对个人数据保护法律规范的改革措施,这一系列更为具体的措施在使用上具有优先性。12 更有研究从未来的发展角度认为,该法案将阻碍欧
22、洲全域涉及互联网技术的新兴行业和新兴技术发展,例如自动驾驶、人工智能等。33然而美国对于个人信息的保护立法较为分散,其主要有三种独立的界定模式:其一是“同义反复”模式,即能够识别的信息。其二是“非公开个人信息”模式,其三“特殊类型”模式,对一些特殊情况下的信息,进行列举式规定。严格保护Cookie信息的欧盟,甚至倡导行业自律的美国,都认为Cookie信息属于个人信息的范畴。2012年12月美国隐私执法机构,美国联邦贸易委员会将与特定个人链接或可合理链接的信息视为个人信息,包括IP地址和设备标识符。加州消费者隐私法案将个人信息定义为直接或间接地识别、关联、描述、能够与之相关或可以合理地关联特定消
23、费者或家庭的任何信息。在这个界定中,消费者被广义地定义为加利福尼亚州的任何居民。该界定包括但不限于以下内容:联系信息、政府ID、生物识别数据、基因、位置、账号、教育历史、购买或消费历史、在线和设备ID、搜索和浏览历史记录以及其他在线活动。美国联邦最高法院通过司法判例建立所谓的“新隐私权”,包括四种类型自治性隐私权、物理性隐私权、信息性隐私权、财产性隐私权。其中信息隐私权,美国提供和使用个人信息原则中规定,是指“他人所享有的对其个人信息、能够被识别的个人信息的获取、披露或使用予以控制的权利”。因此,针对网络服务商对个人网络踪迹信息的商业化使用行为,原告以隐私权受到侵犯为由提起诉讼,在美国法上有相
24、应的依据。根据英国数据保护法(2018)第3条,“个人信息”被定义为“与已识别或可识别的自然人有关的任何信息”。所谓“可识别”是指,如果可以使用“所有合理可能使用的手段”来识别自然人,那么这个信息就是个人信息。这种识别并不一定仅仅依赖于姓名,因为任何标识符都可以,如标识号、电话号码、位置数据或可以识别该自然人的其他因素。该条规定扩大了可识别的范围。1.3研究主要内容和方法1.3.1研究主要内容随着数据信息的发展,保护公民个人信息成为重要问题。而保护公民个人信息的关键是界定个人信息。本文选取司法实践中关于个人信息权益案件进行归纳整理,通过案例分析来发现实践中关于网络踪迹信息认定的问题。通过对个人
25、信息与隐私权的界限进行阐述,研究个人信息界定所面临的困境和提供一些立法建议。首先阐述网络踪迹信息的研究背景以及意义,并介绍国内外关于网络踪迹信息定位的现状,以及研究的主要方法和内容。通过选取国内典型案例来表明当今司法实践针对网络踪迹信息的认定意见,并提出问题。在认定网络踪迹信息时,法院在实践中主要考虑个人信息路径和隐私权路径。其次,阐述网络踪迹信息的概念以及将网络踪迹信息纳入法律定位需考虑的价值因素,即人格利益与经济利益。并说明了个人信息与隐私权概念以及它们之间的关系。再次,通过对国外立法进行梳理,并选取国外司法实践案例进行分析。总结国外关于网络踪迹信息的定位的观点。最后归纳总结以上内容,针对
26、网络踪迹信息定位问题的矛盾,从隐私权和个人信息路径进行分析,从解释论等角度建议将网络踪迹信息纳入个人信息进行保护。1.3.2主要研究方法(1)文献研究法通过查找个人信息的学术文章及著作,全面了解该问题在学术界中现状、发展以及存在的问题,对个网络踪迹信息界定的相关理论以及所面临的困境进行归纳整理,了解了有关网络踪迹信息界定的相关问题,为分析网络踪迹信息认定提供了理论依据。(2)实证研究法:通过裁判文书网、北大法宝检索出关于网络踪迹信息认定的案件,找出典型案例以及国外存在争议的关于网络踪迹信息界定的案件。将案件的判决进行分析比较,找出个人信息界定的关键因素以及存在争议的部分,并针对该问题提出完善的
27、建议。1.4创新之处第2章问题提出2.1典型案例一2.1.1案件事实朱烨在家中和单位通过上网来浏览一些网站发现,自己在使用百度搜索引擎搜索“减肥”“丰胸”“人工流产”等关键词,并浏览相关内容后,在、等一些网站上就会相应地出现“减肥”“丰胸”“人工流产”的广告。北京百度网讯科技公司(以下简称百度网讯公司)未经朱烨的知情和选择,利用网络技术记录和踪迹了朱烨所搜索的关键词,将朱烨的兴趣爱好、生活学习工作特点等显露在相关网站上,并利用记录的关键词,对朱烨浏览的网页进行广告投放,侵害了朱烨的隐私权,令朱烨感到恐惧,精神高度紧张,影响了其原本正常的工作和生活。故朱烨提起诉讼,请求法院判令百度网讯公司立即停
28、止侵害并给予精神损失赔偿。2.1.2两审法院对网络踪迹信息的认定及理由两审法院对该案的判决结果有着明显的不同。本案的主要争议焦点有三。争议焦点一,判定网上浏览信息是否属于个人隐私的问题。一审法院认为,个人隐私除了用户个人信息外还包含私人活动、私有领域。朱烨利用这几个特定的词汇在网络上进行搜索的行为,将在互联网的浏览器中留下私人浏览的活动轨迹,这一活动轨迹展示了个人上网的偏好,反映个人的兴趣、需求等私人信息,在一定程度上标识个人基本情况和个人私有生活情况,属于个人隐私的范围。二审法院援引国家工信部电信和互联网用户个人信息保护规定(以下简称个人信息规定)认为,网络活动轨迹及上网偏好未能与网络用户个
29、人身份对应识别的数据信息,该数据信息的匿名化特征不符合“个人信息”的可识别性要求。其信息虽具有隐私的属性,但一旦与网络用户身份相分离,就无法确定数据归属主体,有数据匿名化的特征,不再属于个人信息范畴,百度所推荐的浏览器为不能定向识别用户的终端。争议焦点之二,一审法院认为,百度公司网站收集网民的个人浏览记录时,需征得网民的明确同意。以便网民对百度的行为有充分的了解,进而作出理性的选择。而在百度首页上的使用百度前必读仅是“默示同意”,且其未具有明显的标识性,未能引起网民的注意。不足以保障用户的知情权和选择权,百度公司并未尽职履行相关说明、提醒义务;二审法院则参考国家推荐性标准信息安全技术公共及商用
30、服务信息系统个人信息保护指南(GB/Z28828-2012)之规定,即“处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人信息主体的明示同意。”法院认为百度公司利用网络技术所收集的信息为无法识别到个人的匿名信息,其以“明示告知”和“默示同意”相结合的方式不违反行业规定,并未侵犯网络用户的选择权和知情权。争议焦点之三,使用Cookie技术记录用户上网信息,并向用户推送广告,是否构成侵权。一审法院认为隐私权侵权行为不仅有公开、宣扬他人隐私的方式,也包括不当
31、收集、利用他人隐私的方式,百度公司未经用户明确同意而收集、利用其浏览信息的行为属于侵权;二审法院援引最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定(以下简称规定),第12条第1款规定,网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。认为规定中明确了“利用网络公开个人隐私和个人信息的行为”和“造成损害”为网络环境中侵犯隐私权的构成要件,百度公司的个性化推荐服务,其数据商业使用流程里关键词数据库检索及数据算法均在计算机系统
32、内部操作,并未向第三方或公众展示及公开用户的cookie信息,法院不能也不应仅凭朱烨的主观感受就认定百度的个性化推荐服务对朱烨造成事实上的实质性损害。因此不构成侵权。由此,一审法院判决百度公司行为构成侵犯隐私权,二审法院则推翻一审判决,终审判定百度公司的行为不构成侵犯原告朱某的隐私权。2.2典型案例二2.2.1案件事实淘宝(中国)软件有限公司起诉安徽美景信息科技有限公司,其以提供远程登录已订购涉案数据产品用户电脑技术服务的方式,招揽、组织、帮助他人获取涉案数据产品中的数据内容,以此从中牟利。该涉案数据产品的数据内容是淘宝公司在收集网络用户浏览、搜索、收藏、加购、交易等行为踪迹信息所产生的巨量原
33、始数据基础上,通过特定算法深度分析过滤、提炼整合而成的,以趋势图、排行榜、占比图等图形呈现的指数型、统计型、预测型衍生数据。 原告认为被告通过诱导网络用户租用、共享淘宝账号,从而对该产品构成了实质性替代,而被告美景公司则在答辩中提出淘宝该产品网络踪迹信息获取未经用户同意,侵犯了用户的个人信息,有违法性。2.2.2法院对网络踪迹信息的认定一审法院在审理过程中对原告淘宝公司收集用户的网络踪迹信息是否属个人信息的问题上,法院依据网络安全法第条中将信息类型划分为个人信息与非个人信息。法院认为,涉案数据产品所涉网络用户信息主要表现为网络用户浏览、搜索、收藏、加购、交易等行为踪迹信息以及通过以上网络踪迹信
34、息推断所得出的行为人的性别、职业、所在区域、个人偏好等带有个人特点的标签信息。这些行为踪迹信息与标签信息并不具备能够单独或者与其他信息结合识别自然人个人身份的可能性,故不属于网络安全法规定的网络用户个人信息,而属于网络用户非个人信息。通过文义解释,因为网络踪迹信息不属于网络安全法第条对个人信息的六项列举式规范,故认定原告淘宝公司收集的网络踪迹信息属于“非个人信息”。其次,虽然一审法院认为网络踪迹信息属于非个人信息,但因为网络踪迹信息中包含用户偏好于商户经营秘密,其中的敏感内容如果产生对应联系则会暴露个人隐私,因此,对于网络运营者收集、使用网络用户行为踪迹信息,除未留有个人信息的网络用户所提供的
35、以及网络用户已自行公开披露的信息之外,应比照网络安全法关于网络用户个人信息保护的相应规定予以规制。经审查,淘宝隐私权政策所宣示的用户信息收集、使用规则在形式上符合“合法、正当、必要”的原则要求,涉案数据产品中可能涉及的用户信息种类均在淘宝隐私权政策已宣示的信息收集、使用范围之内。2.3产生的问题首先,通过以上案例可以看出,法院均依据该信息不属于我国网络安全法等部门法对个人信息列举范围的规定,将网络踪迹信息认定为非个人信息,即使个人信息界定的重要标准为“可识别性”,法院也倾向于通过限缩解释个人信息的范围,将其排除在个人信息之外。其次,在“朱烨诉百度案”中,一审判决认定了朱烨上网浏览记录具有隐私属
36、性,但没有认定其搜索词语网络踪迹信息信息是否为个人信息。从个人信息与隐私权所包含的范围来看,个人信息范围大于隐私。个人信息既包含具有隐私性的个人信息,也包含可以进行公开的个人信息。也就是说,在认定该信息为个人信息,或者是隐私信息的情况下,其前提条件则是该信息具有身份可识别性。若该信息不具有特定的可识别性,即无法认定为个人信息,更不可能构成隐私信息。然而在二审法院的判决中,该判决认为朱烨搜索浏览网站的网络踪迹信息具有隐私属性,但不具有可识别性,而认定不是个人信息。同样在淘宝案中,法院同样认为网络踪迹信息虽然不属于个人信息,但包含用户个人偏好于商户经营习惯等敏感信息。最后,虽然法院将网络踪迹信息排除在个人信息之外,但是法院又承认其具有人身属性、隐私属性等更强的人身关联性。这使得网络踪迹信息的认定成为问题。本文通过对网络踪迹信息的概述以及国内外关于网络踪迹信息的案例进行分析,对网络信息的定位提出建议。 - 9 -