电子数据真实性审查的“进化”

2019年12月26日,最高人民法院修改《关于民事诉讼证据的若干规定》并将于2020年5月1日施行。修改后的《关于民事诉讼证据的若干规定》较之2018年《关于互联网法院审理案件若干问题的规定》有了更进一步的规定。

仅就电子数据的真实性审查的部分,对比如下:

《关于民事诉讼证据的若干规定》


关于民事诉讼证据的若干规定(2019)关于互联网法院审理案件若干问题的规定(2018)
1电子数据的生成、存储、传输所依赖的计算机系统的硬件、软件环境是否完整、可靠电子数据生成、收集、存储、传输所依赖的计算机系统等硬件、软件环境是否安全、可靠
2电子数据的生成、存储、传输所依赖的计算机系统的硬件、软件环境是否处于正常运行状态,或者不处于正常运行状态时对电子数据的生成、存储、传输是否有影响电子数据的存储、保管介质是否明确,保管方式和手段是否妥当
3电子数据的生成、存储、传输所依赖的计算机系统的硬件、软件环境是否具备有效的防止出错的监测、核查手段
4电子数据是否被完整地保存、传输、提取,保存、传输、提取的方法是否可靠电子数据的存储、保管介质是否明确,保管方式和手段是否妥当
5电子数据是否在正常的往来活动中形成和存储N/A
6保存、传输、提取电子数据的主体是否适当电子数据提取和固定的主体、工具和方式是否可靠,提取过程是否可以重现
7影响电子数据完整性和可靠性的其他因素N/A
8N/A电子数据的内容是否存在增加、删除、修改及不完整等情形
9N/A电子数据是否可以通过特定形式得到验证

第十四条 电子数据包括下列信息、电子文件:
(一)网页、博客、微博客等网络平台发布的信息;
(二)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;
(三)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;
(四)文档、图片、音频、视频、数字证书、计算机程序等电子文件;
(五)其他以数字化形式存储、处理、传输的能够证明案件事实的信息。
第十五条 当事人以视听资料作为证据的,应当提供存储该视听资料的原始载体。
当事人以电子数据作为证据的,应当提供原件。电子数据的制作者制作的与原件一致的副本,或者直接来源于电子数据的打印件或其他可以显示、识别的输出介质,视为电子数据的原件。
第九十四条 电子数据存在下列情形的,人民法院可以确认其真实性,但有足以反驳的相反证据的除外:
(一)由当事人提交或者保管的于己不利的电子数据;
(二)由记录和保存电子数据的中立第三方平台提供或者确认的;
(三)在正常业务活动中形成的;
(四)以档案管理方式保管的;
(五)以当事人约定的方式保存、传输、提取的。
电子数据的内容经公证机关公证的,人民法院应当确认其真实性,但有相反证据足以推翻的除外。

《关于互联网法院审理案件若干问题的规定》

第十一条 ……
当事人提交的电子数据,通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固定和防篡改的技术手段或者通过电子取证存证平台认证,能够证明其真实性的,互联网法院应当确认。
当事人可以申请具有专门知识的人就电子数据技术问题提出意见。互联网法院可以根据当事人申请或者依职权,委托鉴定电子数据的真实性或者调取其他相关证据进行核对。

《民法典》的个人信息保护长尾

长尾效应:原来不受到重视的销量小但种类多的产品或服务由于总量巨大,累积起来的总收益超过主流产品的现象。

——维基百科

随着《民法典(草案)》在二零一零年代的最后几天公布,《民法典》距离2020年3月表决已经指日可待。刨去民法学科大佬们对立法体例、条文的争议,《民法典》的影响当然是天翻地覆,涉及生活中民事法律关系的方方面面,从要取而代之的法律就能窥见一斑。我不关注那么高、那么广的民法议题,只关心隐私保护这么“一亩三分地”。

从《民法总则》内,个人信息保护只有一条原则性的规定,没有实质内容:

自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

《民法总则》 第一百一十一条

但在《民法典(草案)》中,对个人信息的保护并不至于这样原则性的规定。《民法典(草案)》个人信息保护条款在《网络安全法》《消费者权益保护法》《电子商务法》关于个人信息保护的内容的基础上,增加一些新的内容,比如:隐私与个人信息的分别保护,以及在同意之外增加了个人信息收集、处理的其他合法性基础。这些变化固然重要,但更重要的,是《民法典》的立法层级与适用范围给个人信息保护所带来的变革

关于个人信息保护,除了《网络安全法》,现在提的最多的是《信息安全技术 个人信息安全规范》(GB/T 35273-2017),这是目前国内关于个人信息保护最为详尽的指引,为大量检查、执法活动所参照,但问题在于这份文件的层级过低,只是一份推荐性的国家标准,几乎不具有强制效力。而各部委关于个人信息保护的部门规章,虽然具有强制效力,但只能用于行政执法与行政诉讼,在民事诉讼中也无法援引。在《个人信息保护法》这样全面保护个人信息法律出台前,不得不将“鸡毛当令箭”保护个人信息。我们甚至见到了在支付宝年度账单事件中援引当时尚未生效的《个人信息安全规范》例子

网络安全协调局负责人指出,支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,……

国家互联网信息办公室网络安全协调局约谈“支付宝年度账单事件”当事企业负责人

而在适用范围上,《民法典》的个人信息条款会带来更深远的影响。此前无论是《消费者权益保护法》《网络安全法》《电子商务法》虽然关于个人信息保护有一些规定,但这些法律的适用范围着实有限。比如《消费者权益保护法》仅能关注消费者个人信息保护,对非消费者的个人信息无能为力;《网络安全法》只能关注网络空间内个人信息保护,对线下个人信息无能为力;《电子商务法》则只关注电子商务行为,更加聚焦。但《民法典》不一样,境内所有民事关系都需要遵守《民法典》中个人信息保护的规定。这意味着在《消费者权益保护法》《网络安全法》《电子商务法》无法覆盖到的领域也要开展个人信息保护工作。

首当其冲的就是劳动者个人信息保护。目前,劳动者个人信息保护缺少直接法律的规定,《消费者权益保护法》《网络安全法》《电子商务法》都难以直接适用,基本处于无法可依的状态,但用户单位又都难免掌握劳动者大量的个人信息,之前或许不是一个令人头秃的问题,但《民法典》生效之后就不一样了。

《民法典》生效后,无论单位是否通过网络收集个人信息,都需要合法合规。所有用人单位收集、使用劳动者个人信息的行为,都需要:

  1. 征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
  2. 公开收集、处理信息的规则;
  3. 明示收集、处理信息的目的、方式和范围;
  4. 不违反法律、行政法规的规定和双方的约定。

看上去并不难,但需要公司开展相应的合规工作,增加个人信息处理的透明度,要求劳动者签署相应的个人信息处理同意函,诸如此类的合规措施。问题在于,保障用户个人信息权利并不是一件容易的工作,劳动者会有权要求查阅、抄录、复制个人信息,而个人信息的范围又极为宽泛,甚至考勤记录都可以被认为是个人信息。这样一来,会给用人单位与劳动者的劳动争议带来新的元素。

假设一下,只要用人单位收集个人信息未经同意或没有其他合法性基础,那么劳动者可以用人单位“违反法律、行政法规的规定或双方的约定收集、处理其个人信息”为由,要求用人单位删除包含个人信息的考勤记录(假设不利于劳动者),用人单位就会面临考勤记录举证上的困难,进而影响劳动纠纷,让原本已经浑浊的劳动纠纷更扑朔迷离。劳动仲裁庭与法庭就不得不协调个人信息保护与劳动纠纷的复杂关系,结果也更加不可预测。

这只是《民法典》长尾效应的一个简单示例,除了劳动关系,学生在校学习会是一个更加复杂、敏感的问题,因为会涉及未成年人、甚至是儿童个人信息保护的问题。这些都是个人信息保护会带来的变革,需要所有领域严肃对待个人信息保护工作,这恐怕才是《民法典》个人信息保护条款的真正影响力。

2019年12月20日,新闻发言人、全国人大常委会法制工作委员会立法规划室主任岳仲明介绍,2020年的立法工作计划已经全国人大常委会第四十四次委员长会议原则通过,个人信息保护法、数据安全法将于明年制定。个人信息保护就像一头灰犀牛,正在向所有领域冲来,请大家关注灰犀牛的长尾。

“人脸识别第一案”背后的服务升级大危机

最近, “中国人脸识别第一案”沸沸扬扬,一位旅客购买了一张杭州野生动物世界的双人年卡,有效期内通过同时验证年卡及指纹方式入园。但在三个月后,动物园方面将人脸识别检票系统引入,拆除了原来的指纹检票闸门。该旅客向动物园表示不同意采集人脸信息,但得到的答复是必须进行人脸识别,年卡才能继续使用。旅客想要退卡,但动物园方面表示,只能把他已经进园次数的相应费用扣除,将剩下的钱退还。旅客遂将动物园告上法庭。

在案件中,人脸识别固然是一个敏感的问题,涉及到收集个人信息,甚至还可能涉及分享给第三方(比如人脸识别设备的提供商)。但在使用人脸识别之前,收集的指纹信息同样敏感,与面部识别特征同为个人生物识别信息。因此,人脸识别并不是本案的核心问题,该案件更重要的是暴露了个人信息保护最脆弱的时刻:服务升级时。

无独有偶,在2018年VIPKID手机APP升级后,用户使用时会突然跳出一个弹窗,更新上线全新的“隐私政策”,用户还无法点击“不同意”且不点击“同意”就无法正常使用软件。但另一方面,有家长认为:“我们是交了钱的,当时交钱签协议的时候可不是这样的隐私政策。现在不经过和用户沟通,没有公示,直接就上线,还是强迫别人同意,是不是太过霸道了?”,“是不是可以理解为如果不同意你用我的信息我之前的钱就白交了?”VK平台相关负责人介绍,这些政策是“为了更好的服务用户”。

无论是杭州野生动物世界还是VIPKID,都是在原有服务升级时,对个人信息的收集、使用方式进行了变更。而杭州野生动物世界与VIPKID忽视了除却个人信息收集、使用的法律关系外,还存在着提供游园服务、英语教学服务的法律关系。在中国法下关于个人信息使用的合法性基础仅有同意,在欧盟GDPR下存在若干利用个人信息的合法事由,同意仅是其中之一。因此,企业关于个人信息的利用高度依赖用户的配合,稍有不慎就有违法违约的风险。

因此,企业在收集个人信息时,所需要面对的法律关系远比想象中的复杂,需要协调不同法律关系不互相冲突,如有服务升级、服务变更需要获取新类型个人信息时能够获得用户的同意,不至于用户不同意就导致其他法律关系的违约,直接面临与用户的冲突。

网络版权保护进化论

版权保护是发展最快的法律领域之一。哪怕是不考虑中美贸易谈判中的知识产权与国内法律的修订、司法解释的制定,不断涌现的新问题、不断变化的内外环境也让版权保护的技术、制度、用途不断更新迭代。

如果把版权保护的流程抽象出来,大概会有以下几个流程:(1)确权;(2)找到侵权内容;(3)“消灭”侵权内容。这里面没有一个是轻松的环节。就确权方面,专利、商标还好,毕竟涉及到有登记制度的支持,但版权却是一个大的问题,创作完成即获得知识产权,所以更先进的确权技术被引入。发现侵权内容从来都不是一项轻松的工作,尤其是版权领域“洗稿”的出现更是给侵权识别带来了挑战。“消灭”侵权内容更是如此,除了法院以外,平台在“避风港原则”下也需要承担越来越多地纠纷解决职能。

在版权保护的流程中,逐渐呈现出几个趋势:技术在确权、识别侵权所扮演的角色越来越重要;平台在版权保护方面的措施越发激进,甚至会创设规则;版权的影响力,已经投射到意想不到的领域。

继续阅读