作者:金茂律师事务所 万波 律师 王书玥 实习生
一、事件简述
4月19日,在上海车展上,一名特斯拉女车主为维权,选择在此公众场合下通过站上特斯拉车顶的方式来博取关注,随后该女车主被警方带走处以行政拘留。而这场“特斯拉车主维权风波”也迅速发酵蔓延,引发了有关部门的关注,特斯拉方面也成立了专门的处理小组并发表了致歉声明。
4月22日下午,特斯拉方面为证实其汽车不存在所谓的“刹车失灵”从而导致发生事故的问题,其未经该“维权车主”张某或其家属的同意,直接向媒体公开了事故发生前1分钟的行车数据,并附了一份文字说明,包含时间、车架号、车速、制动踏板物理性移动信号、制动主缸压力。抛开这份数据本身是否能够证明特斯拉汽车存在产品质量问题,针对特斯拉的上述行为,“维权车主”张某的丈夫认为:行车数据属于个人财产及隐私,特斯拉未经张某或其家属的同意而擅自公开行车数据的行为,侵犯了其隐私权。
何谓隐私权?何谓个人信息?两者有什么区别和联系?特斯拉公开行车数据等信息是否侵犯了“维权车主”的隐私权或个人信息,本文尝试简析之。
二、概念辨析
1890年法学家萨缪尔·D·沃伦(Samuel D. Warren)和路易斯·D·布兰迪斯(Louis D. Brandeis)的“The Right to Privacy”一文被认为隐私权概念的首次出现,按西方隐私权理论个人隐私的核心要素是:私人信息不受披露、私人领域不受干扰、真实形象不受歪曲、肖像不受滥用 。
我国其实也很早就在民法体系中对个人隐私的保护做出了相关规定,如《民事诉讼法》规定涉及个人隐私的证据不得在公开开庭时出示,《侵权责任法》将隐私权列为受该法保护的民事权益,《民法总则》明确自然人享有隐私权,但之前法律并未对隐私作出定义。
《民法典》将人格权独立成编、隐私权和个人信息保护独立成章,用8个条文(第1032条至1039条)对隐私权和个人信息保护做出了进一步的规定,其中《民法典》首次对“隐私”的定义作出了规定:
第一千零三十二条 自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
关于个人信息的规定,最权威的当见于《网络安全法》第76条的规定,即:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《民法典》第1034条延续了《网络安全法》的认定标准,对“个人信息”做了定义,即个人信息是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。
从上述法条中,我们可以得知,“隐私权”与“个人信息”属于两组不同但又部分重合的概念。
《民法典》明确区分个人隐私和个人信息的“二分法”立法模式,并对两者做出更为明确的界定后,将对信息处理主体乃至司法实践和行政执法行为产生影响。对照定义,个人隐私和个人信息的区别也就明白了许多,隐私大致可分为两方面,即私人的信息秘密和生活安宁,强调的是不愿他人知道的个人私事或不愿他人干涉的个人领域。但个人信息,一般是指与公共利益没有直接关系但与个人相关的、并且能够借此识别自然人的身份的信息,这些信息往往是在社会交往中必须在一定范围内为他人知晓的,谈不上秘密信息。
正如上海第一中级人民法院在《民法典》出台后判决的涉上海市松江区绿洲比华利花园业主委员会的隐私权纠纷一系列案件中,法院指出:“隐私权的核心在于‘隐’,其客体主是是一种私密性的信息,主要是权利主体不愿意公开披露的且不涉及公共利益的信息。但个人信息,一般是指与公共利益没有直接关系但与个人相关的、并且能够借此识别自然人的身份的信息。本案中所涉及的姓名信息、个人身份证信息、家庭地址等信息,是在社会交往和公共管理中必须在一定范围内为社会特定人或者不特定人所周知的,所以这些个人信息显然难以归入隐私权的范畴,而应界定为个人信息。”
故此,国家市场监督总局、国家标准化管理委员会于2020年3月公布的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(以下简称“《个人信息安全规范》”)将“隐私政策”修改为“个人信息保护政策”也就可以理解了,为遵照该国标要求,企业宜使用“个人信息保护政策”表述来替代原有“隐私政策”的称谓。
关于“个人信息”的概念,除《网络安全法》和《民法典》之外,国家相关法律法规都对个人信息的类别和范围作出了界定,兹列举部分法规如下:
而迄今为止最为详细的定义,则见于《个人信息安全规范》中,具体如下:
3.1 个人信息 personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式.通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
注2:关于个人信息的判定方法和类型参见附录A。
注3:个人信息控制者通过或其他加工处理后形成的,例如用户画像特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。
该表格囊括了大部分我们生活中经常涉及的信息。通过对比该表格,我们可以对自己日常生活中所涉及的信息进行一个界定。同时,结合能够“识别特定自然人身份或者反映特定自然人活动情况”的判定标准,我们可以判断表格中未进行列举的信息是否属于个人信息。
回归到事件本身,那么特斯拉所公布的“行车数据”是否属于受保护的个人信息范围呢?
首先,行车数据可以视为“行踪轨迹”,结合车架号(车辆识别号码),通过公开途径,我们仅可以得知汽车品牌、车型、年款、排量、变速器、驱动方式、车身结构以及发动机信息。但是,由于只有通过公安或车管所内网等官方途径,才能通过车架号查询到车主信息。因此,通常来说,仅公开行车数据和“车架号”等车辆信息,还无法直接识别到特定自然人,故一般而言,仅行车数据还无法构成受保护的个人信息。
另外,在《个人信息安全规范》中,还将“行踪轨迹”列入了“个人敏感信息”的范畴:
3.2 个人敏感信息 personal sensitive information
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。
注2:关于个人敏感信息的判定方法和类型参见附录B。
注3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,如一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的,属于个人敏感信息。
本案的特殊性在于虽然仅依靠特斯拉公布的数据无法单独识别自然人的行踪轨迹,但仍较为符合“间接识别”的构成要件,原因在于“维权车主”的视频和照片等个人信息在上海车展事件后早已广为人知,公众能够十分轻易的将“维权车主”的个人身份与特斯拉公布的行车数据结合起来以达到识别特定自然人行踪轨迹的效果。
可识别性是个人信息最重要也最复杂的构成要求,“可识别”指信息主体还未被识别,但存在被识别的可能性(间接识别),《个人信息安全规范》中将其表述为“与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的信息”。欧盟《数据保护指令(95/46/EC)》和GDPR都一直表达了“间接识别”的重要性,但现实中“间接识别”要考虑的因素众多,譬如间接识别的方式是否合理和可能,所需的时间长短,所耗费的成本是否经济,个人信息的可识别认定会随着场景的不同、科技水平的发展、公众的关注程度等外部因素动态改变,这也是本案给予法律人最大的思考和启示。
三、个人信息处理要点
从这一事件,我们关注到了正确分辨个人信息与隐私敏感信息、如何认定“间接识别”的标准以及个人信息保护在当下的重要性。
在《民法典》中,规定了个人信息处理的规则和相应救济措施:
第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
第一千零三十七条 自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。
此外,从《个人信息安全规范》中我们可以得知,个人信息的收集者须遵循最小必要性、合法性等原则,并在收集时应征得个人信息主体的授权同意(存在例外情形)。在个人信息的存储、使用方面,也有相应的去标识化、访问控制限制、使用目的限制等等一系列规定措施。就个人信息的公开披露规则,《个人信息安全规范》中也进行了详细规定:
9.4 个人信息公开披露
个人信息原则上不应公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时,应符合以下要求:
a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
b) 向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意;
c) 公开披露个人敏感信息前,除 b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容;
d) 准确记录和存储个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;
e) 承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;
f) 不应公开披露个人生物识别信息;
g) 不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果。
同时也规定了例外情形:
9.5 共享、转让、公开披露个人信息时事先征得授权同意的例外
以下情形中,个人信息控制者共享、转让、公开披露个人信息不必事先征得个人信息主体的授权同意:
a) 与个人信息控制者履行法律法规规定的义务相关的;
b) 与国家安全、国防安全直接相关的;
c) 与公共安全、公共卫生、重大公共利益直接相关的;
d) 与刑事侦查、起诉、审判和判决执行等直接相关的;
e) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
f) 个人信息主体自行向社会公众公开的个人信息;
g) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。
而我们作为个人信息的主体,也拥有个人信息的查询权、更正权、删除权、撤回授权同意、投诉管理等等一系列权利。如:
8.3 个人信息删除
对个人信息控制者的要求包括:
a) 符合以下情形,个人信息主体要求删除的,应及时删除个人信息:
1) 个人信息控制者违反法律法规规定,收集、使用个人信息的;
2) 个人信息控制者违反与个人信息主体的约定,收集、使用个人信息的。
b) 个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让的行为,并通知第三方及时删除;
c) 个人信息控制者违反法律法规规定或违反与个人信息主体的约定,公开披露个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止公开披露的行为,并发布通知要求相关接收方删除相应的信息。
在2020年10月21日,全国大人常委会法工委发布了《中华人民共和国个人信息保护法(草案)》征求意见稿,这也是个人信息保护越发被重视的直接体现。在大数据时代,各类信息充斥着我们的生活,相应的风险也接踵而至。
我们需要更好地区分“隐私权”的范畴与“个人信息”,结合现行法律法规的判断标准,明晰二者的界限与各自的范围,以便在相关权益受到侵犯时更加精准地维护自身权益,高效维权,同时提高维护个人隐私权及个人信息安全的意识。但我们也应注意,不能滥用权利,应对某数据是否属于“个人信息”或“隐私权”的范畴进行正确的判断。
“在这个时代,每个人的个人信息都面临非常大的风险。”中国社科院法学研究所副所长周汉华说。我们每个人的个人信息或隐私都极其容易暴露在公众视野下,因此我们应加强防范意识,注重对个人信息和隐私的保护,积极地、在合理范围内进行维权。同时,相关责任部门应加强监管力度,完善立法,严格执法,为个人信息和隐私权保护开创全新的局面。