进入互联网时代,个人信息泄露的现象日益严重,各种App超过业务范围收集个人信息、教育培训机构随意贩卖个人信息等现象层出不穷,严重侵犯了公民的隐私。对此,我国正在加大个人信息的保护力度,2015年《刑法修正案(九)》规定了“侵犯公民个人信息罪”,2017年的《民法总则》也规定了“个人信息受法律保护”,刚通过的《民法典》也规定了“自然人的个人信息受法律保护”,同时《个人信息保护法》正在制定之中。应该说,我国个人信息保护的法律体系正在逐步完善。
但是,个人信息“裸奔”的现象并未得到解决,个人信息泄露的现象有增无减。其中的原因是,我国的个人信息权只是一种象征性权利,缺乏权利的实质内容。要从根本上遏制信息泄露问题,就必须充实个人信息权的内容,把纸面权利变成刚性权利。具体而言:
第一,个人信息保护模式应当从“国家保护”转向兼顾“私人自卫”。这些年来,我国保护个人信息的主体主要是公权力机关,行政机关通过行政处罚,司法机关运用刑事制裁,办理了一批严重侵犯个人信息的案件。与国家权力积极保护相比,个人起诉信息权被侵犯的案件极为罕见。国家主导的个人信息保护模式对于扭转侵犯个人信息泛滥的现象起到了积极作用,但缺陷也显而易见。司法机关打击的都是大规模侵犯个人信息的案件,而中介、酒店等单位的“小额多笔”型贩卖个人信息,经常逃脱法网。公权力资源有限,只能抓大放小,难以实现全面保护。只有让每个公民积极参与个人信息保护工作,个人信息“裸奔”现象才能根本扭转。
第二,明确个人信息权的内容及赔偿标准,推动个人维权机制。我国法律虽然规定了个人信息权,但没有建立个人信息侵权赔偿机制,只能按照人身或财产损失进行赔偿,而绝大多数信息泄露的情形并未直接造成人身或财产损失。实践中,用户明知个人信息被侵犯,报警但达不到立案标准,民事起诉又很难主张损害数额。事实上,侵犯公民个人信息案件常常是由其他严重案件牵连出来的,如徐玉玉被电信诈骗致死后,警方发现了她的个人信息被贩卖给诈骗团伙,才进一步调查了个人信息泄露问题。
我国公民普遍缺乏个人信息保护意识,其实质是维权机制欠缺。对此,可以借鉴西方国家的个人信息直接赔偿制度,如2018年6月通过的《加利福尼亚州消费者隐私法案》规定,对于个人信息侵权等情形,企业等应当“为每个消费者每次事件赔偿不少于100美元且不超过750美元的损害赔偿金或实际损害赔偿金,以数额较大者为准”。即便没有实际损害,加州消费者也可以主张750美元的个人信息权损害赔偿。未来我国也应当直接根据信息条数建立侵权赔偿责任,如泄露公民一条信息,即便未造成人身或财产损害,侵权人也应当赔偿500元。用户的维权压力才是信息收集者的保护动力。
第三,在证据法上实行举证责任倒置,减少用户维权的证明难度。实践中,消费者明知自己的信息被泄露,如买房第二天就接到装修公司的推销电话,但民事诉讼实行“谁主张谁举证”,消费者很难证明房产公司将手机号码卖给了装修公司。个人信息保护的证据规则应当做有利于消费者的推定,消费者只要证明装修公司打过骚扰电话,法院就应当推定装修公司非法获取了消费者手机号码,在其提不出反证时,应直接判定装修公司承担侵权责任。同样,消费者只要证明房产公司收集过自己的个人信息,有合理理由怀疑其出卖了自己的手机号码信息,房产公司就要证明自己做好了个人信息保护工作,在无法证明已采取有效保护措施时,应当承担连带责任。
互联网将人类带入了数字化生存时代,人类正在进行双重空间的生活。在网络空间,每个人都有数字身份,个人信息就是数字时代公民的第二生命。只有树立“个人信息是数字化生命权”的理念,把个人信息权归还给每一个用户,减少用户维权成本,让每一个公民都愿意“为个人信息权而斗争”,数字时代才能成为人类体面生活的幸福年代。(作者是浙江大学光华法学院互联网法律研究中心主任)