第二节 网络环境下个人信息保护典型判例及其评价
一、德国法院判定美国苹果公司违反德国数据保护法
2013 年 4 月 30 日,德国柏林地方法院采纳德国联邦消费者组织(VZBZ)作出的裁定结果,判定美国苹果公司制定的隐私规则中涉及客户个人敏感信息收集和处理的部分内容违反了德国《数据保护法》。早在 2011 年,VZBZ 曾要求苹果公司停止使用其德文官网上公布的隐私政策中的所有不公平合同条款。在收到VZBZ 的整改要求后,苹果公司承诺修改其中的五个合同条款,但仍然没有达到VZBZ 的要求,并最终导致 VZBZ 下决心于 2012 年 2 月正式起诉苹果公司。在VZBZ 起诉后,苹果公司决定再追加修改两个合同条款,但 VZBZ 仍不罢休,要求苹果公司继续修改剩余的八个有争议的合同条款。法院审查后发现,VZBZ 所追究的这些合同条款都存在违法情形。虽然所有这些条款在美国本土和包括中国在内的许多国家并不涉嫌违法,但在作为欧盟成员国的德国,其行为性质属于违法。由此可见,欧盟个人信息保护的标准严于美国,确实名不虚传。
德国的《数据保护法》是德国黑森州 1970 年制定的旨在保护公民个人信息的法律,它是世界上第一部数据保护法。为充分符合欧盟《指令》的要求,该法律在 1994 年、1997 年和 2001 年 5 月分别被三次修订。该法律规定个人信息的收集和使用必须得到信息主体的事先同意,信息主体有权知道其个人信息是否被使用以及被如何使用。苹果公司的客户数据隐私政策中的三项内容违反了这项强制性法律规定。
第一,任何人只要曾经联络过苹果公司及其分支机构,其个人信息将被苹果公司和所有分支机构收集,这些信息连同其他信息一起将可能被用作苹果公司产品与服务的改善或者广告用途。
第二,苹果公司有权收集用户提供的朋友或家庭成员的诸如姓名、邮件地址、电子邮件地址、电话号码等。当用户利用苹果公司的产品平台邀请其朋友或家庭成员参与平台上的某项活动、或者发送物品时,苹果公司有权获得上述第三方的个人信息。
第三,苹果公司有权收集、使用用户的准确定位信息,包括用户使用苹果电脑、智能手机等产品时的实时地理位置信息等,从而便于苹果公司根据用户所在位置及时推送广告或者提供其他基于准确定位的网络服务。
在判决生效后,苹果公司将必须按照判决的要求,在收集和使用用户及其他第三人(用户的家庭成员、朋友等)之前,苹果公司应主动要求信息主体作出明确的同意,而并非仅仅是让用户对苹果公司的隐私政策作出同意表示这么简单。同时,苹果公司也被禁止将其任何分支机构收集的个人信息在其集团内部任意传递和被擅自处理。
该判例充分显示了网络环境下消费者个人信息保护的重要性。跨国公司在海外销售其产品,必须要重视销售地国家或地区在个人信息方面的保护规定,尤其是消费者联合会作为个人信息保护组织,其在个人信息保护中发挥的作用不容忽视。在本案例中,该个人信息保护组织有起诉的权利,可以将任何违反消费者个人信息保护的外国企业告上法庭,而无论其自行制定的隐私政策是否造成消费者的实际侵害。
欧盟规定,各种公司为某种不同目的,在使用消费者个人资料前,必须获得消费者明确的认可。一些大的跨国公司也调整了其传统做法以符合这些规定。如花旗集团(Citigroup)属下的花旗银行,在将其德国雇员的个人资料发往美国前,就需要征得这些雇员的认可。美国与欧盟关于网络隐私权的保护存在着一些基本的分歧。
此外,对于敏感信息的认定标准,即便欧盟成员国之间也各不相同。比如:德国认为敏感信息应根据信息处理的具体环境确定。这一点也是我们通过本案例可以吸取的经验。
二、日本法院判决网络服务提供者泄露用户个人信息败诉
日本大阪电子通讯行业的某网络服务提供商X公司将其雇员 A委派至其顾客单位 Z 公司从事顾客数据库的维护和服务器的管理,委派期自 2002 年 5 月 15 日至 2003 年 2 月末。2003 年 6 月,A 与其朋友 B 两人在网吧上网时远程登陆 Z 公司的服务器,窃取 Z 公司数据库中的所有姓名、地址等个人信息。B 又在 2004 年1 月单独行动,采用相同方法窃取 Z 公司数据库中的个人信息。之后,B 所掌握的这些个人信息经 C 之手被 D 获得。D 因敲诈 X 公司未遂东窗事发,故这起用户个人信息被盗取的案件也随之浮出水面。这起个人信息泄露案件的受害者提起诉讼,以自己的个人信息控制权受到侵害为由,要求法院判令 X 公司保管不当、存在过错,赔偿自己精神损失。
2006 年 5 月 19 日,大阪地方法院判决原告胜诉,其判决的法律依据是日本国电子通讯行业个人信息保护指令(1998 年 12 月 2 日邮政部第 570 号告示)第 5条第 4 款的规定,并参考了日本国个人信息保护法(当时国会已经通过并公布这部法律,但尚未实施)第 20 条之规定。法院认为:X 公司作为经手管理大量个人信息的网络服务提供商,对数据库被不法侵入以及防止信息泄露等负有注意义务,应采取必要措施进行适当的管理,由于只要有用户名和密码就可以实现远程登陆,足以说明 X 公司对于利用网络从外部擅自登陆数据库之风险没有采取适当的防范措施,违反了前述注意义务。A 从事的委派业务完成后,X 公司应采取相应的防范措施而未采取,导致个人信息泄露的后果,故应依法承担损害后果。虽然泄露的个人信息内容为地址、姓名、电话号码、电子邮件地址等隐匿必要性不高的个人基本信息,但只要当事人不愿意公开自己的这些信息,就可以认为其隐私权受到侵害,X 公司应对当事人所因此受到的精神痛苦而承担赔偿责任。法院最终酌情判决被告赔偿原告 5,000 日元精神抚慰金以及 1,000 日元律师费。
在网络环境下对特有电子信息资产的保密性、完整性有很高的要求。因为信息在网络环境中传输时很容易被窃取、盗用、篡改和破坏,结果使需要保密的信息泄密,给组织和部门造成一定的损失,通常情况下,这样的损失价值都是无法估计的。
上述的这个日本判例告诉我们:网络环境下个人信息的控制者应承担更高的注意义务,应采取技术手段确保用户个人信息的安全性。虽然法院并没有对个人信息控制权予以确认,而是认定原告的网络隐私权受到侵害,这也说明了传统的隐私权理论在司法实践中的影响。
与美国一样,在对个人信息保护采取分散立法的日本,政府所制定的"指令"具有同等法律效力,可以作为法院的判决依据。虽然最终赔偿数额不大,可谓杯水车薪,但在有强调集体、轻视个人之传统的日本民间,也能出现类似维权案例,这也构成了日本个人信息保护立法所必需的基础吧。日本法院认为:只要存在泄露用户个人信息(包括敏感个人信息以及姓名、住址等非敏感信息)的情况,就必须承担损害赔偿责任。而且,日本法院长期以来一直坚持这一立场,这也是《个人信息保护法》、《关于保护行政机关所持有之个人信息的法律》这两部法案的立法过程中民事责任部分之所以很快通过审议的主要原因。
本章小结
纵观目前世界各国对个人信息保护的现状,可以看到无论是以借助严苛立法对个人信息实施全面保护的欧盟,还是通过分散立法结合政府指导下的行业自律以对个人信息实施保护的典型国家之美国、日本,都结合自身的国际国内环境和个人信息保护的基础采取了有力的保护措施。对我国来说,是采用集中立法还是分散立法、是否设立独立的第三方监督机构、政府在实施个人信息保护上的角色定位,等等,笔者认为应该结合本国的社会文化、历史传统特点进行抉择,从而制定出适合我国现阶段的个人信息保护法律。
欧盟在个人信息保护方面所作的最大的贡献在于:欧盟在全世界最早认识到网络技术的发展和全球经济一体化必将使个人信息的保护成为全球各国必须面对的重要课题,1995 年《指令》不仅规定了欧盟成员国之间个人信息的流通和保护,而且严格限制欧盟成员国国民的个人信息流向个人信息保护不充分的国家。这一举措迫使几乎全球所有经济发达国家迅速提高自己国家在个人信息保护方面的基准,以适应欧盟的要求。美国通过妥协,最终与欧盟达成一致,而同为发达国家的日本却至今无法得到欧盟的认可,其重要的原因就是:美国作为隐私权概念的发源地,无论有关个人信息保护单项法律的制定数量、行业自律的水平、监督机制的完善程度,还是普通国民对于个人信息保护的意识,都远远胜过日本。美、日的正反两方面经验值得我国加以借鉴,在构筑完整的个人保护法律体系的过程中分清轻重缓急,尽快缩短差距。
在各国推进个人信息保护法制的同时,也出现了许多新的问题。
以欧盟为例,其 27 个成员国为达到《指令》的要求可谓"八仙过海,各显神通",在实际操作中带来了许多矛盾和摩擦,于是欧盟在去年宣布对个人信息的保护体系作重新调整。
日本对于个人信息的保护有一定局限性,《个人信息保护法》 对于保护对象和规制对象定义不够严谨,使很大一部分日本民众对于个人信息的保护问题过于敏感,反而影响了正常的信息交流活动。如在这部基础性法律中对个人信息的处理者的定义规定不够充分,其规制对象为五千件以上的个人信息的持有者,即对数量做出限制而不是规定对个人信息的持有必须合法,以数量为规定易将个人信息的保护范围扩大化使得有益的个人信息采集变得困难。
日本《个人信息保护法》的立法及其实施在一定程度上造成了社会管理的困惑,法律之间的冲突导致本来应予公开的个人信息受到"过保护"而被隐匿、应该自由流动的个人信息却停滞不动。虽然个人信息保护的立法促进了国民对于个人信心保护重要性的认识,但负面影响已经显现。这些对于我国来说,无疑应该吸取其前车之鉴。