《個人信息保護法》對公益訴訟有專門規定,明確將個人信息保護納入檢察公益訴訟領域。個人信息處理者違法處理個人信息,侵犯多項個人權益的,檢察機關可以依法向法院提起公益訴訟,要求違法者承擔損害賠償責任。《民法典》第1182條和《個人信息保護法》第69條都規定了侵犯個人信息權益的侵權損害賠償責任,但規定的具體損害賠償責任卻大相徑庭。具體案件適用民法還是個人信息保護法,要看行為人是否是個人信息處理者,因為只有個人信息處理者才能適用個人信息保護法的調整,即適用個人信息保護法第69條的規定,要求其承擔相應的侵權責任。目前,司法實踐中對個人信息處理者的界定仍存在分歧,結合具體案例進行簡要分析。
基本事實
2021 12至2022年2月,宋建立多個微信群,並招募手機營業廳工作人員。其中,李某等多名手機營業廳工作人員利用工作之便,將他人手機號碼批量發送至該群,為宋某非法買賣手機號碼提供便利,並從中獲利。截至案發,宋通過微信群獲取手機號碼11000余個,獲利15280元。
不同的觀點
根據《個人信息保護法》第七十三條第1項規定:“個人信息處理者,是指在個人信息處理活動中,自主決定處理目的和方式的組織和個人。”關於侵犯個人信息的主體稱謂,我國直接采用“個人信息處理者”的定義,與歐盟立法中“控制者”和“處理者”的命名方式不同。而《個人信息保護法》並沒有明確侵犯個人信息的主體之前是如何獲取個人信息的。但在個人信息保護、執法和司法領域,侵犯個人信息的主體獲取個人信息,分為合法獲取和非法獲取。個人信息的獲取方式不同,直接影響侵犯個人信息的主體是否是《個人信息保護法》規定的個人信息處理者。
本案中,對於宋、李是否屬於《個人信息保護法》規定的個人信息處理者,存在兩種不同觀點。壹種觀點認為,在個人信息處理活動中自行決定處理目的和處理方式的組織和個人,無論使用合法手段還是非法手段獲取個人信息,都是《個人信息保護法》中的個人信息處理者。在這種情況下,宋和李決定將他人的手機號碼出售給第三人。兩者都是個人信息保護法規定的個人信息處理者,適用個人信息保護法的相關規定。另壹種觀點認為,使用非法手段獲取個人信息,然後對個人信息進行處理的組織和個人,不屬於《個人信息保護法》規定的個人信息處理者。本案中,手機營業廳工作人員李某在為他人辦理手機卡業務過程中,合法獲取他人手機號碼信息,並出售給第三人。他屬於個人信息保護法規定的個人信息處理者,應當適用個人信息保護法的相關規定,並輔以民法典的相關規定;宋以謀取非法利益為目的,將通過非法手段獲取的手機號碼出售給第三人。不屬於《個人信息保護法》規定的個人信息處理器,應適用《民法典》關於侵犯個人信息權益的相關規定。
觀點評論
筆者認為,非法獲取個人信息,然後對個人信息進行處理的組織和個人,不屬於個人信息保護法規定的個人信息處理者。原因如下:
首先,個人信息處理者具有特殊的法律特征。主要包括:壹是個人信息處理活動的主體;第二,是主體有權自主決定處理個人信息的目的和方式;三是對個人信息負有特殊保護義務的主體;第四,其民事地位是自然人、法人和非法人組織,即組織和個人。個人信息處理者是對個人信息負有特殊保護義務的主體,這是個人信息處理者的顯著法律特征。根據《個人信息保護法》第九條規定:“個人信息處理者應當對其個人信息處理活動負責,並采取必要措施保證其處理的個人信息的安全。”因此,個人信息處理者的法律地位應當是合法獲取個人信息的主體。比如微博軟件後臺工作人員知道微博用戶的賬號、密碼、地理位置;疫情期間用身份證買藥,藥店獲取他人身份證號。這些通過合法手段獲取他人個人信息的主體,對所獲取的個人信息負有特殊的保護義務。自主決定處理目的和方法,進行個人信息處理活動的,為個人信息處理者。
其次,個人信息處理者是合法的信息持有者。《個人信息保護法》第10條規定:“任何組織或者個人不得非法收集、使用、處理、傳輸他人個人信息,不得非法買賣、提供、泄露他人個人信息;不得從事危害國家安全和公共利益的個人信息處理活動。”從這壹規定可以看出,主體侵犯個人信息非法獲取他人個人信息的行為屬於個人信息保護法中的禁止行為。因此,行使禁止行為的主體不是《個人信息保護法》規定的個人信息處理者。比如黑客非法侵入他人手機,獲取他人手機號、身份證號等個人信息;通過非法購買等方式收集他人個人信息。這些通過非法手段獲取他人個人信息的主體,不屬於《個人信息保護法》規定的個人信息處理者。
解釋法律和推理,侵權損害賠償
關於個人信息權益損害賠償的規則,《個人信息保護法》第六十九條適用於個人信息處理者,即個人信息處理侵害個人信息權益,個人信息處理者不能證明自己無過錯的,應當承擔損害賠償等侵權責任。前款規定的損害賠償責任,按照個人所遭受的損失或者個人信息處理者所獲得的利益確定;個人遭受的損失和個人信息處理者獲得的利益難以確定的,應當根據實際情況確定賠償數額。對於除個人信息處理者以外的其他侵害個人信息權益的主體,適用《民法》第1182條的規定,即侵害他人人身權益造成財產損失的,按照被侵權人所受的損失或者被侵權人所獲得的利益予以賠償;侵權人遭受的損失和侵權人獲得的利益難以確定。如果侵權人與被侵權人未能就賠償金額達成壹致,向法院提起訴訟,法院將根據實際情況確定賠償金額。
雖然我國《個人信息保護法》規定了依據《民法典》第1182條確定個人信息損害賠償責任的方法,但又有所不同。《個人信息保護法》第六十九條第二款使用了“滅失”壹詞,而《民法典》第1182條使用了“財產滅失”的表述。也就是說,在適用個人信息保護法時,只要個人信息權益受到侵害,無論是財產損失還是精神損失,都可以根據個人所遭受的損失或者個人信息處理者所獲得的利益來確定。但適用民法典時,只賠償因侵犯個人信息權益造成的財產損失。
本案中,宋以謀取非法利益為目的,將其非法獲取的手機號碼出售給第三人,屬於非法獲取、處理個人信息罪。宋作為個人信息侵權的主體,不屬於《個人信息保護法》規定的個人信息處理者,應當依照《民法典》的相關規定承擔損害賠償責任。李身為手機營業廳工作人員,在違背他人意願的情況下,將利用業務上的便利合法取得的他人手機號碼出售給第三人牟利,屬於個人信息處理器;對於李侵犯個人信息權益的行為,應當適用《個人信息保護法》的相關規定確定損害賠償責任。
綜上所述,界定個人信息處理者範圍的根本意義在於選擇適用個人信息權益損害賠償規則。雖然《個人信息保護法》是壹部全面規範個人信息保護的綜合性法律,具有公法和私法的性質,是對《民法典》的補充,起到保護個人信息權益的作用,但《民法典》與《個人信息保護法》存在明顯差異,在具體案件中正確適用損害賠償規則對維護公民合法權益具有重要意義。
論個人信息處理者的法律特征
●是個人信息處理活動的主體;
●是主體自主決定處理目的和處理方式;
●是對保護個人信息負有特殊義務的主體;
●是合法獲取個人信息的主體;
●其民事地位是組織還是個人。
侵犯個人信息損害賠償規則
1.適用法律:
《個人信息保護法》第六十九條適用於個人信息處理者;《民法典》第1182條的規定,適用於侵犯個人信息權益的其他主體。
2.責任:
適用個人信息保護法時,賠償範圍不僅限於財產損失,還包括精神損害;適用民法典時,賠償範圍僅為財產損失。