摘要: 随着互联网的发展, 开放平台的兴起与个人信息保护之间的矛盾日益激化, 基于网络应用而产生的能够直接或间接识别特定个人的一切信息都应当纳入个人信息保护的范围。对个人信息的侵权行为, 在内容上包括非法收集用户的个人信息和不当披露、 利用用户的个人信息, 在方式上可分为单方侵权行为和共同侵权行为。对于这种侵权行为,开放平台提供者宜适用过错推定原则, 第三方开发者适用过错责任原则, 并承担损害赔偿、 停止侵害、 消除影响、 赔礼道歉的侵权责任。
关键词: 开放平台; 个人信息; 侵权行为; 侵权责任
一、 问题的提出: 开放平台的兴起与个人信息保护的矛盾激化
互联网时代,某软件系统通过公开其API( 应用程序编程接口)或Fuction(函数)供第三方开发者使用, 使得外部的程序增加该软件的功能或者使用该软件系统的资源, 这种行为就叫做开放平台行为[1],提供开放API的平台本身就被称为开放平台。通过开放平台, 网站不仅能提供对Web网页的简单访问, 还可以进行复杂的数据交互, 通过用户之间信息的互通, 精准地为网民提供更多个性化的服务, 将它们的 W e b网站转换为与操作系统等价的开发平台。第三方开发者可以基于这些已经存在的、 公开的 Web网站,开发丰富多彩的应用。在这个过程中, 用户的个人信息就扮演了十分重要的角色, 成为网络平台争相抢夺的经济资源。开放平台的兴起对用户个人而言, 发挥着双刃剑般的作用。
第一, 有效实现了用户个人信息价值的最大化。开放平台是互联网发展的新模式和新方向,其兴起和发展源于信息的价值。随着技术的发展,信息已经成为一种最重要的生产要素, 信息要素的占有者将在收入分配中占据有利地位[2]。正是出于这种考虑, 在互联网世界中, 网络公司越来越重视通过建立各种客户关系管理系统对其用户的个人信息进行收集、 整理和销售, 而且这种信息可以在处于弱势的用户不知情的情况下收集和获取。因此笔者认为, 开放平台的出现为信息价值的深度挖掘提供了一条绝好的途径: 传统的互联网中, 平台提供者和第三方开发者是竞争关系, 共同争夺用户的信息资源; 但是通过开放平台, 提供者和第三方开发者相互合作, 优势互补, 使得用户有了更多的选择, 获得了更好的服务, 与此同时,平台提供者和第三方开发者共同分享了用户的个人信息, 并利用这些个人信息为自身带来了巨大的利益, 由此实现个人用户信息价值的最大化。
第二, 开放平台的兴起与隐私权保护趋势背道而驰。在信息化社会, 由于个人信息能够给商家带来大量的交易机会, 商家就把拥有的个人信息看作是其商业竞争的重要因素和获取利益的重要资源, 于是纷纷设法采取各种手段获取他人信息; 或者未经公民本人授权擅自将个人信息用于职责以外的其他目的, 以获取非法收益, 并无所顾忌地处理和利用这些信息, 给公民的隐私甚至人身安全带来损害[3]。在网络环境下, 个人信息的获取更加匿名和虚拟化, 这使得个人信息的获得与传播更加缺乏拘束, 由此导致的个人信息错用、误用和 滥 用 行 为 屡 见 不 鲜, 如 “360与 QQ 之争”[4]。因此中国社科院2009年发布蓝皮书直言, 在中国“ 非法买卖信息已经形成产业” 。现代社会中, 每个人都有对其个性生活进行支配并排除他人干扰的权利, 对个人信息的侵害就是对个人人格尊严的侵害, 个人信息保护的实质是保护一个人对其人格的自治与主张。维护个人自由和尊严, 就是保护个人信息的目的和逻辑前提。所以, 对开放平台用户个人信息进行保护不容置疑。
我国虽然早在2003年就将个人信息保护问题列入立法计划, 但对个人信息的保护还没有形成完整的法律体系, 《 个人信息保护法》 专家建议稿于2 0 0 5年初已经完成, 时至今日仍未正式颁布施行, 而涉及网络个人信息保护的法律就更为苍白。限于篇幅, 本文仅从开放平台用户个人信息“ 内容” 的确定和个人信息使用者“ 行为” 规制两个方面探讨个人信息的私法保护。
二、 开放平台用户个人信息的认定
近年来, 无论实体社会还是网络虚拟社会中,个人信息受到侵害的事件时有发生, 但是在法律上并没有“ 个人信息权” 这样的概念。目前, 各国法律对个人信息的保护主要以美国为代表的隐私权作为权利保护的基础和以德国为代表的一般人格权作为权利保护的础两种模式。学者关于个人信息保护立法模式的观点主要是两种: 一种是认为对个人信息需要专门的立法进行保护; 另一种是认为网络环境下的个人信息仍然能够通过保障隐私权和一般人格权的方式得到充分的法律救济。
笔者认为, 个人信息的主要内容都可以归入隐私权和一般人格权的范畴, 其实最初提出对个人信息的保护也主要是从维护个人隐私和尊重人格的角度出发的, 所以将个人信息保护归为隐私权或一般人格权加以保护得到很多学者的赞同。但是我们不能否认, 个人信息、 隐私权和一般人格权还是有很大的不同的。因为个人信息具有人格利益和财产利益的双重属性, 这种双重属性决定了法律从单纯的人格权角度去保护个人信息是不够完整的。追根究底, 个人信息成为法律保护客体的根本原因在于个人信息的经济价值。法律的使命在于利益的维护和平衡, 因此, 单独对个人信息保护进行立法是可取的方式, 尤其在网络社会中, 开放平台的诞生给个人信息保护带来了更多的问题。
2011年4月20日, 程序员阿拉斯代尔·艾伦和皮特·沃顿发现苹果秘密跟踪iPhone4和3G版iPad用户的位置信息的事件, 引起了轩然大波。而且这些被存储的数据并未加密, 这意味着用户在哪里居住、 就餐、 工作和游玩等个人信息是完全开放的。由此可见, 个人信息保护范围的界定在网络社会进入开放平台阶段后对传统个人信息的保护法律制度提出了挑战。随着开放平台的应用和发展, 与个人的网络行为或者网络活动相关的个人数据产生, 主要包括 I P 地址、 用户名和密码、 电子邮件地址、 个人网上订阅及购物信息、 统一资源定位器、Cookies、地理信息系统中的城市居民的住宅图像、 个人的位置信息等, 通过这些信息的综合分析, 就可以把信息源本人“ 认出来” , 甚至通过采集一个人穿行在各类网站的“ 足迹” 信息, 勾勒出他的口味、 偏好、 消费倾向或怪癖, 也并非难事。由此可见, 网络环境下个人信息的价值正在扩张, 相应的, 个人信息保护的范围也应逐步扩大, 基于网络应用而产生的相关个人信息如果能够直接或间接识别特定个人的一切信息, 都应当纳入个人信息保护的范围[5]。
三、开放平台用户个人信息使用者的侵权行为
与传统隐私权、 一般人格权保护相比, 网络社会中个人信息保护的重心在于个人信息的控制和利用, 因此, 分析个人信息使用者的侵权行为是探究开放平台用户个人信息私法保护的基础。
第一, 从侵权的内容来看, 对用户个人信息的侵权行为, 主要包括两个方面: 一是非法收集用户的个人信息; 二是不当披露和利用用户个人信息。无论以上哪种行为, 对开放平台用户的人身利益和财产利益造成的危害都是明显的。1995年欧洲联盟体理事会出台的《 关于设计个人数据处理的个人保护以及数据自由流动的指令》 ( 又称之为《 欧盟数据保护指令》 ) 为欧共体各成员国制定相关法律制度的时候提供了五个原则, 涉及两个方面: 一是收集个人信息时要遵守限制性原则、 相关性原则和正确性原则, 即应正确无误地收集与使用目的相符的个人信息。如果超出了使用目的的范围, 就属于滥用收集支配地位从事不合理的工作, 是侵权行为, 要承担相应的法律责任。二是使用个人信息必须符合公平、 公正、 合法、 合理和平衡原则, 即在任何形式下处理他人的信息都必须公平、 公正、 合法、 合理, 确保对信息采集对象的身份认定在采集与目的上不会出现错误。以上五个原则, 归根结底核心在于“ 合法” , 即个人信息使用者的收集、 利用和处理行为必须符合合同约定和法律规定的实体性和程序性要求,这是对个人信息所有者人格和财产价值追求的最低满足。
第二, 从侵权的方式来看, 可以分为单方侵权行为和共同侵权行为。单方侵权行为指的是一个自然人或者一个团体的侵权行为, 共同侵权行为指两个或两个以上的行为人, 基于共同的故意或者过失, 侵害他人合法民事权益, 应当连带承担民事责任的侵权行为[6]。
开放平台的特殊性在于平台提供者和第三方开发者共同使用用户个人信息, 此时用户要识别二者是单独侵权还是共同侵权, 无论是客观技术还是成本承担都是很困难的。这就好比要求消费者证明其购买的一个高精尖商品有质量问题到底是生产厂商的责任还是运输者、仓储者或销售者的责任一样, 不符合消费者权益保护的基本原则。所以, 在开放平台下, 用户个人信息受到侵害后, 应效仿《 消费者权益保护法》的相关规定, 允许用户自由选择对平台提供者或第三方开发者单独主张权利或者对二者同时提出诉求, 而不需要证明平台提供者和第三方开发者之间是否存在共谋行为。
需要注意的是, 平台提供者与第三方开发者之间的关系和生产者与销售者之间的关系是不同的。首先, 生产者与销售者处在产业链的上下游,是一种垂直结构。从各自的经营角度来说, 相互独立没有什么交集。而平台提供者与第三方开发者处于同一水平面的扁平结构关系中, 互为倚重,各取所需, 实现共赢。其次, 生产者与销售者无论是法律上还是事实上的地位都是平等的, 他们之间的买卖合同一定要双方意思表示一致才能达成, 任何一方对另一方都没有主导权。而平台提供者与第三方开发者之间的合作达成, 只能依赖平台提供者的意愿。如果平台提供者不愿意开放平台, 则第三方开发者就没有权利享受平台提供者的用户资源, 甚至在平台开放后, 平台提供者能够任意收回开放平台。也就是说, 在二者的关系中, 平台提供者与第三方开发者之间的实际地位是不平等的, 平台提供者居于主导地位, 其有能力对第三方开发者实施监督管理。基于平台提供者与第三方开发者之间的关系与传统生产者、 销售者不同, 进行侵权责任界定时应考虑到开放平台的特殊性, 做出特别的制度设计, 以符合权利义务相一致的立法原则( 此处的比较研究内容同样适用于后文) 。
四、开放平台用户个人信息使用者的侵权责任
( 一) 归责原则的确立
开放平台用户个人信息使用者侵权责任的归责原则包含两个层次: 一是用户个人信息使用者对用户承担责任适用的归责原则, 二是开放平台提供者和第三方开发者内部责任分担时适用的归责原则。
学界关于互联网侵权归责原则有三种不同的看法。第一种观点认为应适用过错责任原则, 第二种认为适用严格责任原则, 第三种观点认为由于网络环境的复杂性及网络侵权主体在网络上的不同的行为形态以及由此导致的不同特征, 使得我们在思考网络侵权责任时不能简单作出结论。基本思路是把一般网络用户侵权和网络服务商侵权区分开来: 针对一般网络用户, 适用过错责任原则; 针对网络服务商, 适用过错推定原则[7]。开放平台提供者与第三方开发者都是网络服务商, 因此, 其对外责任的承担应适用过错推定原则。只是开放平台用户个人信息使用者侵权归责原则的确立除了开放平台提供者、 第三方开发者与用户之间的关系外, 还有关于二者内部责任确立的问题, 对于这个问题, 目前学界尚未讨论。
如前所述, 开放平台提供者和第三方开发者的关系与生产者和销售者的关系有所不同, 因此,开放平台提供者和第三方开发者在对外承担了连带责任后, 内部责任的划分不能简单等同于传统生产者和销售者之间的过错责任原则分担方式。笔者认为, 开放平台提供者宜适用过错推定原则,第三方开发者适用过错责任原则。归责原则解决的是责任分配和损失承担的问题, 而责任与损失的背后是各方利益的平衡。首先, 业内专家表示,“ 开已成为全球互联网发展的大趋势, 开放的目的还是为了获得更大的垄断。现有国内的开放平台主要是以互联网大佬为轴心的开放, 且各自为政。开放的高姿态下, 实质上是又一场利益争夺战, 是进入Web2.0时代, 中国互联网巨头对于地盘的重新划分和利益划分。由纵向垂直领域的竞争到横向跨界的竞争, 是一场全产业链下的用户争夺战”[8]。国内互联网的开放与Facebook的成长不太一样。 Facebook是在名不见经传的时候,通过开放平台吸引用户, 迅速成长为互联网大鳄。而国内的互联网巨头是为了更好地巩固自己的市场定位, 与第三方开发者分享某一领域的利益。在决定利益分成的过程中, 平台提供者更强势, 获得的利益更多, 相应的责任承担也应该更多些。
其次, 相较于第三方开发者, 开放平台提供者对用户个人信息的使用占据更多的主动。用户个人信息是否开放, 开放的程度、 时间和范围等都由开放平台提供者自由掌握, 第三方开发者始终处于被动的状态, 讨价还价的余地不多。鉴于二者的网络控制力和彼此间力量的对比, 我们认为完全有理由在损失的分配上更有利于第三方开发者。再次, 根据“ 谁收集谁保护” 的原则, 赋予开放平台提供者更大的责任压力, 有利于其积极履行对第三方开发者的监督管理义务, 促进互联网行业的自律发展。
( 二) 侵权责任的构成要件
虽然, 开放平台提供者和第三方开发者承担侵权责任时适用不同的归责原则, 但是适用过错推定原则和过错原则的侵权行为构成要件还是相同的。关于侵权责任的构成要件, 有“ 四要件说”、“ 三要件说”、“ 六要件说” 等等, 但我国通说一般采用“ 四要件说”。
第一是侵权行为的违法性。前文已经从侵权的内容和侵权方式分析了开放平台用户个人信息使用者的侵权行为, 在此不再赘述。至于侵权行为的违法性认定, 一是需要法律的明确规范, 二是在尚未违反法律的明文规定时, 考察其是否违反了法律的基本原则, 是否违反了社会公德和社会公共利益。第二是损害事实。个人信息包含了人格利益和经济利益, 因此, 开放平台用户个人信息受到侵害后权利人的物质损失和精神损失都应计算在损害结果中。第三是因果关系。因果关系的认定在网络侵权中是最难的, 因为网络的虚拟性、隐蔽性和多样性, 要准确定位因果关系, 难度很高。开放平台的特殊性更是加大了侵权行为与损害结果之间因果关系的认定难度: 首先要确定开放平台提供者和第三方开发者是单独侵权还是共同侵权的证据; 其次, 在共同侵权的情形下, 进一步区分直接原因和间接原因。第四是过错。在“ 四要件说” 下, 过错不是行为人在伦理道德上的可受非难性的一种主观心理状态, 而是客观上对注意义务的违反, 采“ 客观过错说” 符合法律针对行为进行规制的一般特性。
( 三) 侵权责任的承担方式
现代侵权责任的承担方式呈急剧扩张的趋势, 网络社会的迅猛发展使得以何种方式承担日益复杂多样的网络侵权行为所引发的法律后果,成为我们必须探究的课题。侵权责任的承担方式有三种: 财产型、 精神型、 综合型。财产型责任形式主要是救济受害人的财产损失, 包括损害赔偿、 恢复原状和返还财产。精神型责任形式主要是救济精神利益的损害, 包括有恢复名誉和赔礼道歉。综合型责任形式对人身权和财产权受侵害都可以适用, 包括停止侵害、 排除妨碍和消除影响。开放平台用户个人信息受到侵害, 往往是人格利益和财产利益同时受损, 因此, 其侵权责任的承担方式具有全面性、 复杂性的特点。其具体包括以下几个方面:
第一, 损害赔偿。个人信息具有人格和财产双重属性, 因此侵害个人信息要承担财产赔偿和精神损害赔偿。财产赔偿包括直接损失和间接损失: 直接损失是因侵权行为导致的直接经济利益损失, 如偷窃用户的网银账号和密码, 转移其财产等; 间接损失主要是受害人为了弥补直接损失导致的额外支出, 如受害人的误工、 医疗支出等等。根据司法解释规定, 精神损害赔偿除了停止侵害、恢复名誉、 消除影响、 赔礼道歉等外, 也可以通过金钱补偿来减轻或消除受害人的痛苦。
第二, 停止侵害。网络的开放性使得停止侵害行为对保护个人信息来说非常必要, 只有停止侵害才能够防止侵害结果的恶化。停止侵害一般是通过不作为方式来实现的, 但在第三方开发者侵权的情形下, 开放平台提供者也应积极作为, 采取有效措施予以预防和制止。
第三, 消除影响, 恢复名誉。这种承担方式在网络侵权中的补偿功能很小, 因为网络传播速度快、范围广,个人信息一旦泄露, 要想消除影响已经不可能了。而且侵权人在承担消除影响、恢复名誉的民事责任的同时, 可能会在客观上继续公开、 披露、 宣扬或传播他人的隐私资料, 其结果是,通过让加害人承担消除影响、 恢复名誉的民事责任, 非但没有使受害人的精神得到抚慰, 反而使其受到进一步的损害[9]。特别是在互联网开放平台这一“ 陌生人社会” 中, 这种责任承担方式的效果会减至最低值。
第四,赔礼道歉。赔礼道歉是针对受害人内心受到的伤害,意图消除侵权对受害人内心的不利影响。同样,为了避免类似于在采取消除影响、恢复名誉的承担方式时可能出现的对受害人的二次伤害, 赔礼道歉可以选择公开进行也可以不公开进行。
五、结语
开放平台的兴起给互联网用户带来了更多的体验和选择, 但与此同时也使得用户的个人信息有了更多的被不正当使用的风险。开放平台用户个人信息使用者的侵权责任是事后救济, 但是从源头上规范个人信息的收集, 规范采集和处理个人信息的主体、 目的、 手段等事前救济制度不仅提供了侵权责任认定的合法性前提, 而且可以减少侵权事件发生的概率。因此, 为促进互联网技术的新发展, 事前预防和事后责任追究都是保护个人信息法律制度不断完善的方向。
[ 参考文献]
[1]杨品林.国内网站开放平台之路[J].科技创新导报,2012(6):214-218.
[2]杨干生.要素视角下的个人信息:双重权利虚拟载体的保护与立法[J].武汉大学学报: 哲学社会科学版,2010(2):296-300.
[3]叶六奇.个人信息保护的理论基础[J].理论与探索,2010(3):34-36.
[4]杨琳.我国个人信息保护基础法律问题探究[J].新余高专学报,2009(6):41-43
[5]石月.网络时代的个人信息保护之路[J].中国新通信,2011(23):88-90.
[6]王利明,杨立新, 王轶等.民法学:第2版[M].北京: 法律出版社,2008:713.
[7]杨金丹 .网络隐私权的私法保护[D].长春:吉林大学,2010:23.
[8]李 静,侯云龙 .开放平台高姿态下的利益争夺战[N].经济参考报,2011-06-14(008).
[9]张新宝.隐私权的法律保护[M].北京:群众出版社,2004:98.