论“行踪轨迹”的二元法律保护难题——兼论《个人信息保护法》的“家庭豁免”
论“行踪轨迹”的二元法律保护难题
——兼论《个人信息保护法》的“家庭豁免”
孟思洋*
我国2017年公布的《民法总则》首次对隐私权和个人信息采取“二元论”保护模式[1]。此后的《民法典》与《个人信息保护法》仍然是延续了“二元制”的保护模式。所谓“二元制”模式,就是将个人信息分别纳入到个人信息权益和隐私权中保护。
“行踪轨迹”属于比较典型的高敏感性、高风险性的信息,既可能涉及到隐私保护,又可能涉及到敏感个人信息保护。2022年4月6日,北京市第一中级人民法院关于涉及“行踪轨迹”的某人格权纠纷案件作出了二审判决(简称“行踪轨迹案”)[2]。
该“行踪轨迹案”所反映了我国“二元制”模式下有待解决的法律问题:(1)如何适当认定案件的法律识别问题?(2)如何适当认定案件的法律适用问题?同时,该案件还涉及到如何理解适用《个人信息保护法》所规定的“家庭豁免”条款等问题。本文将予以讨论。
一、案件基本情况
(一)基本案情
原被告为夫妻关系。原告主张2020年9月18日,原告接到被告的电话,得知被告在其名下轿车排气管处安装了追踪器,当天中午其将追踪器拆除,发现追踪器已经没电了。原告认为被告安装的追踪器,若高温会导致爆炸,从而侵犯其健康权及财产权;同时也侵犯了其隐私权和个人信息权。
原告诉至法院,请求判令被告赔偿精神损失费10000元,提交的提供证据包括:(1)通话记录;(2)微信记录;(3)汽修公司检查底盘、清理异物的结算单。
(二)一审判决
2021年11月4日,北京市海淀区人民法院作出一审民事判决,支持被告向原告赔偿精神抚慰金人民币2000元,驳回其他诉讼请求。
一审法院认为:自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。个人信息中的私密信息,适用有关隐私权的规定。本案中,尽管原告与被告系夫妻,但在法律意义上,双方均为相对独立的民事主体,并不意味着二人可以在未获许可的情况下,任意实施侵犯对方私密空间的行为,刺探、获取对方的私密信息。被告在未征得原告同意或事先告知原告的情况下,擅自在原告名下的车辆上安装定位器,被告虽表示是为了随时知晓车辆位置,但该车辆日常由原告使用,被告在确认车辆位置的同时,亦同时知晓了原告的行程信息,而原告的行程信息属于其私密信息,故被告的行为已经侵犯了原告的隐私权。
(三)二审判决
2022年4月6日,北京市第一中级人民法院作出二审判决,驳回上诉,维持原判。
1、焦点问题一:“原告的何种权益受到侵害”?
二审法院认为:隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。隐私权是自然人所享有的重要的人格权利。而个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪轨迹等。
二审法院还认为:个人信息之“信息”范围涵盖的多样性,其不可避免的与隐私权中的私密信息发生交叉重合。但尽管如此,也不可将隐私权中私密信息保护与个人信息保护同等看待。个人信息侧重保护自然人的信息决定自由,只有经过自然人同意以及不违反法律法规的规定时,他人方可以依法收集、存储、使用、加工、传输、提供、公开自然人的个人信息。而隐私权侧重于保护信息的内容,即未经他人同意,不得以拍摄、窥探、公开等方法获取自然人不愿为他人知晓的私密信息,或干扰他人的私生活安宁。
二审法院进一步认为:隐私权和个人信息保护存在着细微的差别。在具体案件中,应该结合加害人的主观目的、手段方法等综合判定。如果行为人收集他人的行踪轨迹不在于获取相关数据,而是为了窥探该行踪轨迹背后所隐含他人的私生活秘密,由此就进入了隐私权的保护范围。
2、焦点问题二:“夫妻身份关系应否作为侵权的豁免理由”?
二审法院认为,通过缔结婚姻而形成的夫妻身份关系虽然受到法律的保护,但不意味着夫妻一方通过缔结婚姻而取得对配偶权利完全的支配。夫或妻一方首先是法律保护的自然人个体,而后通过婚姻结合成家庭。涉及自然人尊严以及人格发展的各项基本人格权利不能因为婚姻关系缔结而受到剥夺,家庭成员的身体健康权利、名誉隐私等权利仍然受到民事法律最高层次的保护。
通常情况下,一方目的不当,手段具有不法性,或一方虽然目的合法,但所使用的手段具有不法性。只有基于婚姻关系在目的正当且手段也正当的情形下,才会豁免侵权行为。民事诉讼法相关司法解释规定,如果以严重侵害他人合法权益、违反法律禁止性规定或者严重违背公序良俗的方法形成或者获取的证据,不得作为认定案件事实的根据。这其中就包括以侵害他人隐私而获得的视频资料数据,进一步体现了法律、司法解释对手段不合法而获取他人私密信息的否定评价。
二、“行踪轨迹案”的法律识别问题
在“二元制”模式下,法官在审理案件中需要分两步:(1)对侵害行为所针对的法律客体进行法律识别,侵害行为到底是侵害了哪一种法律权益:隐私权?敏感个人信息权益?还是同时侵犯了隐私权与敏感个人信息权益?(2)在完成适当的法律识别后,再进行适当的法律适用,判定哪部法律应当作为案件审理的依据,是适用《民法典》,还是适用《个人信息保护法》?以及法律适用时是否存在豁免或者例外情形?
(一)二审法院对“原告的何种权益受到侵害”的论证存在瑕疵
二审法院关于“原告的何种权益受到侵害”的说理认为“如果行为人收集他人的行踪轨迹不在于获取相关数据,而是为了窥探该行踪轨迹背后所隐含他人的私生活秘密,由此就进入了隐私权的保护范围”。虽然根据案件的实际情况,法院最终的判决结果并没有错误,但法院进行法律识别所适用的法律推理逻辑存在瑕疵:
1、法院没有依法进行法律推理。我国现行法律并没有明确将“行为主观目的”作为对“私密信息”or“敏感个人信息”进行“法律识别”的判断要件。二审法院设置的这种“主观要件”判断方法属于法官造法。
2、法院设置“行为主观目的”的判断要件,难以普遍适用。因为本案中仅涉及到自然人之间在短暂期间内收集信息的一个行为,如果一个案件中涉及到相当长的期间内收集信息的很过个行为,那么法院是否有足够多的时间精力对每一个行为都进行“主观目的判断”?
3、法院设置“行为主观目的”的判断要件,存在法律技术障碍。“行为主观目的”是要通过原告举证的证据来判断?还是通过被告的陈述或者自认来判断?亦或是通过法官在庭审中询问后产生的自由心证来判断?假设“行为主观目的”的判断要件成立的情况下,在本案中,如果被告坚持其行为目的并不是刺探原告私密信息,而是目的在于收集原告的个人信息,那么是否被告的行为应当要落入到“敏感个人信息权益”的保护范围?
(二)到底“原告的何种权益受到侵害”?
笔者以为,将“行为主观目的”作为法律识别的判断要件,是存在法律推理瑕疵的,还是应当按照“客观标准”对侵害行为所针对的法律客体进行法律识别。
《民法典》第1032条规定“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”。《个人信息保护法》第28条规定“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”。
在“行踪轨迹案”中,被告安装追踪器所获取的“行踪轨迹”信息,按照《民法典》第1032条,已经足以构成“私密信息”;按照《个人信息保护法》第28条,也已经足以构成“敏感个人信息”。
因此在“行踪轨迹案”中,安装追踪器的行为同时侵犯了两个权益:“隐私权”和“敏感个人信息权益”。
三、“行踪轨迹案”的法律适用问题
“行踪轨迹”信息具有特殊性,很多情况下会被认为侵犯隐私,例如在欧洲人权法院的乌祖诉德国案(Uzun v. Germany)中,法院认为“通过GPS获取的位置数据被认为属于私人生活的范围”[3]。
在本文“行踪轨迹案”的判决中,最终法院判定侵权行为落入隐私权这个结果并没有错,但由于安装追踪器的行为事实上同时侵犯了“隐私权”和“敏感个人信息权益”,因此关于如何对相关法律适用进行论证,还涉及到以下几个问题需要讨论:
(一)《个人信息保护法》能否溯及既往?
《个人信息保护法》第七十四条规定“本法自2021年11月1日起施行。”。该条明确了《个人信息保护法》的时间效力,具体包括两个问题:(1)溯及力问题;(2)衔接适用问题。
1、溯及力问题
《个人信息保护法》原则上不具有溯及力,只适用于2021年11月1日以后发生的法律事实。由于“行踪轨迹案”的行为发生在2021年11月1日之前,因此该案件无法适用《个人信息保护法》。
2、衔接适用问题
所谓衔接适用问题,是指法律事实跨越新旧法律的效力期间时应当适用新法还是旧法的问题。例如,处理个人信息侵害个人信息权益行为在《个人信息保护法》施行前就已经存在且持续至《个人版信息保护法》施行后,或者侵权行为发生在《个人信息保护法》施行前,但损害后果发生在《个人信息保护法》施行后。一般认为,这种情形应当适用新法的规定。[4]
不过由于“行踪轨迹案”所涉安装追踪器的侵权行为及其损害后果均发生在2021年11月1日之前,因此该案件不存衔接适用《个人信息保护法》的情形。
(二)“夫妻关系”是否构成《个人信息保护法》“家庭豁免”?
假定该“行踪轨迹案”的侵权行为或损害结果是发生在《个人信息保护法》实施之后,不存在溯及力或者衔接适用的问题,那么该案件中还有一个有意思的问题值得讨论,就是“夫妻关系”是否构成《个人信息保护法》“家庭豁免”?换句话说,就是“夫妻关系是否构成家庭豁免,进而不能适用《个人信息保护法》”?
1、“家庭豁免”
所谓“家庭豁免”(household exemption),根据《个人信息保护法》第七十二条规定,是指“自然人因个人或者家庭事务处理个人信息的,不适用本法。”。这条规定的目的主要是针对商业机构或者实体对于个人信息的处理行为,在其法律适用范围中通常排除对“自然人之间的个人信息处理行为”适用的。具体到《个人信息保护法》而言,就是排除“自然人因个人或者家庭事务处理个人信息”行为的法律适用。这条规定是参考借鉴欧盟《一般数据保护条例》(简称“GDPR”)的规定。
GDPR被业界称为“世界史上管制最严”的个人数据保护法规。对于GDPR的规制范围,不仅需要关注其所管辖区域范围,也应当注意其规制的数据类型、数据处理行为的表现形式及各种例外或保留情形。[5]“家庭豁免”就是属于“数据处理行为的例外”。GDPR导言第18条规定“本《条例》不适用于与职业或商业活动无关而纯属于个人和家庭活动的自然人个人数据处理。个人或家庭活动包括通信、持有住宅地址、或在这些活动活动范围内进行的社交网络和现在活动。然而,本《条例》适用于为此类个人和家庭活动处理个人数据提供手段的数据控制者或处理者。”。GDPR第2条C项规定本《条例》不适用于“自然人在纯粹的个人或家庭活动中的个人数据处理”。[6]
所谓“纯粹的个人或家庭生活中”的个人信息处理行为,是指处于休闲活动、爱好、度假或娱乐目的而处理的个人数据,或者用于社交网络,或者数据只是作为个人收集的地址、生日或其他重要日期的一部分。然而,一旦所处理的个人信息涉及私人的同时也是商业的信息,则该例外就不适用。所谓“商业”是指任何经济活动,不论是否支付报酬。而“纯粹”一词则表明应当对该例外作缩限解释。[7]
2、关于“家庭豁免”的域外司法理解与适用
(1)弗朗蒂切克 ·瑞恩诉捷克个人数据保护办公室案
弗朗蒂切克 ·瑞恩在其居所的屋檐下安装并使用视频监控系统对进入居所以及进入公共人行道和对面房屋的情况予以记录。捷克个人数据保护办公室作出决定认定弗朗蒂切克 ·瑞恩违反了捷克相关法律的规定,后该案件上诉到捷克最高行政法院。
捷克最高行政法院在审理中认为该案件涉及到《95/46指令》的解释问题,捷克最高行政法院请求欧洲法院对以下问题作出解释:“出于保护家庭住宅所有人的财产、健康和生命的目的而运行安装于该住宅之上的视频监控系统,在该系统亦对公共区域进行监控的情况下,是否能够被界定为《95/46指令》规定的自然人在纯粹的个人或家庭活动中进行的个人数据处理”?
欧洲法院最终的判决认为:该记录设备虽系个人出于保护其财产、健康和生命的目的而安装,但该设备亦对公共区域进行监控的情况下,该视频监控系统的运行并非《95/46指令》第3条第2款第2段规定的、在纯粹的个人或家庭活动中处理个人数据。[8]
(2)欧盟数据保护委员会的范例
根据欧盟数据保护委员会发布的《通过视频设备处理个人数据的3/2019号指南》,在私人房屋内运行的视频设备可能可以适用“家庭豁免”,但私人房屋内视频监控的使用者还需斟酌其与相关数据主体是否有某种私人关系、视频监控的规模或频率是否显示其在进行某种职业活动,以及视频监控对数据主体的不利影响等。上述任一因素的出现并不必然意味着相关视频监控不适用“家庭豁免”,是否适用“家庭豁免”的决定应建立在综合评估的基础之上。
欧盟委员会列举了三个范例:范例1:游客通过其收集录制视频,并通过该游客将其录制的视屏向其朋友和家庭展示,但未令这些视频可为数量不定的人获取。此情形属于“家庭豁免”的范畴之内。范例2:山坡速降山地自行车手希望适用移动摄像头记录其下降过程。该车手在偏远区域骑行,且仅打算处于个人娱乐目的在其家中使用相关视频。此情形属于“家庭豁免”的范畴之内。范例3:某人正在监控和摄录其自家花园。其花园被围以栅栏,且只有该人及其家庭成员可以定期进入该花园。此情形属于“家庭豁免”的范畴之内,条件是视频监控未延伸至公共区域或相邻房屋。[9]
3、“夫妻关系是否构成家庭豁免”?
在弗朗蒂切克 ·瑞恩诉捷克个人数据保护办公室案,可以看到法院是对“纯粹”一词是进行了所限解释的,同时认为:虽然行为人的行为目的具有正当性,但因其安装的监控设备已经涉及对公共区域进行监控,且该安装视频设备行为具有违法性,因此不属于“家庭豁免”的情形。
在“行踪轨迹案”中,二审法院认为“只有基于婚姻关系在目的正当且手段也正当的情形下,才会豁免侵权行为......法律、司法解释对手段不合法而获取他人私密信息的否定评价。”。从这个逻辑作为出发点,关于该案件的夫妻关系是否可以构成“家庭豁免”的问题,应当可以得出这样的结论:“由于安装追踪器的行为具有违法性,即使当事人之间具有婚姻关系,也不能认为安装追踪器的行为属于纯粹的个人或家庭活动中处理个人数据,因此不能适用家庭豁免的规定”。
(三)“行踪轨迹案”的法律适用推理
假定该“行踪轨迹案”的侵权行为或损害结果是发生在《个人信息保护法》实施之后,不存在溯及力或者衔接适用的问题,且不存在适用“家庭豁免”的情形,则该案件按照“客观标准”进行法律适用判断,笔者以为其推理应当如下:
首先,被告给原告车辆安装追踪器获取“行踪轨迹”,根据《个人信息保护法》第28条规定,属于自然人收集其他自然人信息的行为。该“行踪轨迹”已经构成“敏感个人信息”,被告的行为侵害了原告的“敏感个人信息权益”。
其次,被告给原告车辆安装追踪器获取“行踪轨迹”,根据《民法典》第1032条第2款规定,属于自然人刺探其他自然人私人生活安宁和不愿为他人知晓的私密信息的行为。该“行踪轨迹”已经侵害了原告的“私密信息”。
再次,被告安装追踪器的行为同时侵害了隐私权与敏感个人信息权益,由于《民法典》第1034条第3款规定“个人信息中的私密信息,适用有关隐私权的规定”,本案中对于被告收集原告“行踪轨迹”的行为,因此本案最终应当适用《民法典》关于隐私权保护的规定,被告给原告车辆安装追踪器获取原告“行踪轨迹”进入隐私权的保护范围。
四、小结
(一)“二元制”保护模式下的难题
1、如果法官只将“行踪轨迹”界定为“私密信息”,则根据《民法典》第1034条的规定,必须要适用有关隐私权的法律保护规定。这种情况下,《民法典》下隐私权侵害的归责原则是“过错责任”,且对于精神损害赔偿的法律要件要求“造成严重精神损失”。
2、如果法官只将“行踪轨迹”界定为“敏感个人信息”,则应当适用《个人信息保护法》第69条的规定。而《个人信息保护法》第69条对于敏感个人信息的规则原则是“过错推定责任”。
3、但如果法官同时界定“行踪轨迹”既构成“私密信息”,又构成“敏感个人信息”,则根据《民法典》第1034条的规定,也只能适用《民法典》关于隐私权的保护规定。
4、在法律适用的问题上,可以明显看到如果适用《民法典》关于隐私权的规定,则原告的举证负担明显是要高过适用《个人信息保护法》。而且在适用《民法典》主张“精神损害”赔偿时,原告的举证责任标准也非常之高[10],要证明构成了“严重精神损失”。因此,在“行踪轨迹案”中,法院支持原告的精神损害抚慰金实际上是对原告降低了举证责任的标准,这是应当肯定的灵活举措。
5、如何定性私密信息与敏感个人信息将影响到采用“隐私权保护”还是“个人信息保护”。如何理解《民法典》与《个人信息保护法》的关系以及适用原则,将影响到举证责任、归责原则、诉讼请求权基础。
以上这些问题,反映出我国目前存在的法律适用不融洽的问题,有待在立法、司法活动中继续完善。
(二)关于《民法典》与《个人信息保护法》的关系
1、特别法or综合法
关于《民法典》与《个人信息保护法》之间的关系,有两种观点:(1)《个人信息保护法》是《民法典》的特别法;(2)《个人信息保护法》是综合法。
(1)特别法
该观点认为《个人信息保护法》为个人信息权益的确认和保障提供了一套专门的规则体系,是一个领域立法(field of law),跨越了公法规则与私法规则。但就包括敏感个人信息保护规则在内的个人信息保护而言,大部分是私法规则。《个人信息保护法》中的敏感个人信息保护规则属于《民法典》制度规则的具体化。如果《个人信息保护法》有特别规定,应适用该规定。如果没有特别规定,则应当适用《民法典》[11]。
也有学者对特别法的观点进行如下论证:(1)《立法法》第九十二条规定“同一机关制定的法律、行政法规、地方性法规、自治条例和单行条例、规章,特别规定与一般规定不一致的,适用特别规定;新的规定与旧的规定不一致的,适用新的规定。”;(2)《民法典》第十一条规定“其他法律对民事关系有特别规定的,依照其规定。”;(3)因此,《个人信息保护法》的规定相对于《民法典》而言是特别规定时,应当优先使用《个人信息保护法》的规定。[12]
(2)综合法
该观点认为我国的《个人信息保护法》并非《民法典》的民事特别法,属于综合法范畴,但是《个人信息保护法》中的民事规范部分具有特别法的特征。
2、未解决的问题
不管以上哪种观点,实际上目前还是没有很好的解决《民法典》与《个人信息保护法》之间的理解、衔接与适用的关系。因为:
(1)《民法典》的制定主体与《个人信息保护法》的制定主体是否可以理解为“同一机关”还有待商榷。因为《民法典》的制定主体全国人民代表大会,《个人信息保护法》的制定主体为全国人大常委会。全国人民代表大会是最高国家权力机关,其常设机关是全国人民代表大会常务委员会。全国人民代表大会的组织机构包括:全国人大常委会、工作机构和办事机构、专门委员会。全国人大常委会的组织机构包括:办公厅、工作委员会、代表资格审查委员会。这两个机构是否可以理解为“同一机关”,还待商榷;(2)虽然《民法典》第十一条规定“其他法律对民事关系有特别规定的,依照其规定”,但《民法典》第一千零三十四条第二款规定“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。结合这两条法律理解,那也是关于私密信息适用隐私权的规定。隐私权没有规定,才适用个人信息保护法的规定;(3)退一步讲,即便认为《个人信息保护法》是《民法典》的特别法,一旦涉及到构成“私密信息”,则首先要适用隐私权的规定,隐私权没有规定,才能适用个人信息保护法的规定。
对此,建议还是应当在立法或者司法解释中对《民法典》与《个人信息保护法》之间关系的理解、衔接与适用作出一个明确的规定或说明,以避免在司法实践中可能造成的理解偏差。
(三)关于隐私权保护与敏感个人信息的法律保护协调
作为法律权利的隐私权与作为法律权益的敏感个人信息权益,二者位阶究竟应该是怎样的关系?到底是对权利的保护应当大于对权益的保护?还是说应当一体平等保护?对于法律权益的保护是否可以适用法律权利的保护规则?如果个人信息权益低于人格权的内涵,对于个人信息权益是否能够适用《民法典》人格权编中的一般性保护规则?
笔者还是赞同统一保护的观点,即不论是隐私权还是个人信息权益,在相关具体规则不明确时,除了法律明确规定不宜适用某一种权益的规则之外,应当统一适用人格权编中的一般性保护规则[13],并且允许诉讼案件的当事人在两部法律中自行选择更优的法律救济路径。
* 作者简介:孟思洋,广东汇胜律师事务所,副主任,律师。联系电话13928815505,电子邮箱msy55@163.com,邮寄地址广州市番禺区市广路8号集团中心1708室,邮编511495。
[1] 参见李永军:《<民法总则>中个人信息与信息的“二元制”保护及请求权基础》,载《浙江工商大学学报》2017年第3期,第11页。
[2] 参见(2022)京01民终581号民事判决书。
[3] 参见玛农·奥斯特芬:《数据的边界:隐私与个人数据保护》,曹博译,上海人民出版社2022年1月版,第81页。
[4] 参见江必新、郭峰主编:《<中华人民共和国个人信息保护法>条文理解与适用》,人民法院出版社2021年11月第1版,第649页。
[5] 参见京东法律研究院:《欧盟数据宪章<一般数据保护条例>GDPR评述及实务指引》,法律出版社2018年5月版,第42页。
[6] 参见王敏(译):《欧盟<通用数据保护条例>及其合规指南》,武汉大学出版社2022年4月版,第5页、第31页。
[7] 参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021年9月版,第537页。
[8] 参见张燕、何雨歌编著:《欧洲法院个人数据保护典型案例评述》,上海交通大学出版社2021年9月版,第136-139页。
[9] See European Data Protection Board, Guidelines 3/2019 on processing of personal data through video devices, Version 2.0, Adopted on 29 January 2020, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_en_0.pdf.
[10] 《民法典》第1183条“侵害自然人人身权益造成严重精神损害的,被侵权人有权请求精神损害赔偿。”。
[11] 参见王利明:《敏感个人信息保护的基本问题——以<民法典>和<个人信息保护法>的解释为背景》,载《当代法学》2022年第1期,第4页。
[12] 参见程啸:《论<民法典>与<个人信息保护法>之间的关系》,载《法律科学(西北政法大学学报)》2022年第3期,第28页。
[13] 参见王利明:《和而不同:隐私权与个人信息的规则界分和适用》,载《法学评论(双月刊)》2021年第2期,第21页。