标签归档:民法

《民法典》的个人信息保护长尾

长尾效应:原来不受到重视的销量小但种类多的产品或服务由于总量巨大,累积起来的总收益超过主流产品的现象。

——维基百科

随着《民法典(草案)》在二零一零年代的最后几天公布,《民法典》距离2020年3月表决已经指日可待。刨去民法学科大佬们对立法体例、条文的争议,《民法典》的影响当然是天翻地覆,涉及生活中民事法律关系的方方面面,从要取而代之的法律就能窥见一斑。我不关注那么高、那么广的民法议题,只关心隐私保护这么“一亩三分地”。

从《民法总则》内,个人信息保护只有一条原则性的规定,没有实质内容:

自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

《民法总则》 第一百一十一条

但在《民法典(草案)》中,对个人信息的保护并不至于这样原则性的规定。《民法典(草案)》个人信息保护条款在《网络安全法》《消费者权益保护法》《电子商务法》关于个人信息保护的内容的基础上,增加一些新的内容,比如:隐私与个人信息的分别保护,以及在同意之外增加了个人信息收集、处理的其他合法性基础。这些变化固然重要,但更重要的,是《民法典》的立法层级与适用范围给个人信息保护所带来的变革

关于个人信息保护,除了《网络安全法》,现在提的最多的是《信息安全技术 个人信息安全规范》(GB/T 35273-2017),这是目前国内关于个人信息保护最为详尽的指引,为大量检查、执法活动所参照,但问题在于这份文件的层级过低,只是一份推荐性的国家标准,几乎不具有强制效力。而各部委关于个人信息保护的部门规章,虽然具有强制效力,但只能用于行政执法与行政诉讼,在民事诉讼中也无法援引。在《个人信息保护法》这样全面保护个人信息法律出台前,不得不将“鸡毛当令箭”保护个人信息。我们甚至见到了在支付宝年度账单事件中援引当时尚未生效的《个人信息安全规范》例子

网络安全协调局负责人指出,支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,……

国家互联网信息办公室网络安全协调局约谈“支付宝年度账单事件”当事企业负责人

而在适用范围上,《民法典》的个人信息条款会带来更深远的影响。此前无论是《消费者权益保护法》《网络安全法》《电子商务法》虽然关于个人信息保护有一些规定,但这些法律的适用范围着实有限。比如《消费者权益保护法》仅能关注消费者个人信息保护,对非消费者的个人信息无能为力;《网络安全法》只能关注网络空间内个人信息保护,对线下个人信息无能为力;《电子商务法》则只关注电子商务行为,更加聚焦。但《民法典》不一样,境内所有民事关系都需要遵守《民法典》中个人信息保护的规定。这意味着在《消费者权益保护法》《网络安全法》《电子商务法》无法覆盖到的领域也要开展个人信息保护工作。

首当其冲的就是劳动者个人信息保护。目前,劳动者个人信息保护缺少直接法律的规定,《消费者权益保护法》《网络安全法》《电子商务法》都难以直接适用,基本处于无法可依的状态,但用户单位又都难免掌握劳动者大量的个人信息,之前或许不是一个令人头秃的问题,但《民法典》生效之后就不一样了。

《民法典》生效后,无论单位是否通过网络收集个人信息,都需要合法合规。所有用人单位收集、使用劳动者个人信息的行为,都需要:

  1. 征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
  2. 公开收集、处理信息的规则;
  3. 明示收集、处理信息的目的、方式和范围;
  4. 不违反法律、行政法规的规定和双方的约定。

看上去并不难,但需要公司开展相应的合规工作,增加个人信息处理的透明度,要求劳动者签署相应的个人信息处理同意函,诸如此类的合规措施。问题在于,保障用户个人信息权利并不是一件容易的工作,劳动者会有权要求查阅、抄录、复制个人信息,而个人信息的范围又极为宽泛,甚至考勤记录都可以被认为是个人信息。这样一来,会给用人单位与劳动者的劳动争议带来新的元素。

假设一下,只要用人单位收集个人信息未经同意或没有其他合法性基础,那么劳动者可以用人单位“违反法律、行政法规的规定或双方的约定收集、处理其个人信息”为由,要求用人单位删除包含个人信息的考勤记录(假设不利于劳动者),用人单位就会面临考勤记录举证上的困难,进而影响劳动纠纷,让原本已经浑浊的劳动纠纷更扑朔迷离。劳动仲裁庭与法庭就不得不协调个人信息保护与劳动纠纷的复杂关系,结果也更加不可预测。

这只是《民法典》长尾效应的一个简单示例,除了劳动关系,学生在校学习会是一个更加复杂、敏感的问题,因为会涉及未成年人、甚至是儿童个人信息保护的问题。这些都是个人信息保护会带来的变革,需要所有领域严肃对待个人信息保护工作,这恐怕才是《民法典》个人信息保护条款的真正影响力。

2019年12月20日,新闻发言人、全国人大常委会法制工作委员会立法规划室主任岳仲明介绍,2020年的立法工作计划已经全国人大常委会第四十四次委员长会议原则通过,个人信息保护法、数据安全法将于明年制定。个人信息保护就像一头灰犀牛,正在向所有领域冲来,请大家关注灰犀牛的长尾。

点击合同

合同订立的方式有许多种,可以订立书面合同、口头合同,或者其他形式的合同。点击合同(Clickwrap Contract,也有翻译做击点合同)也是其中一种,主要用于计算机或其他数码终端之上,在我们安装软件,在网站注册时,往往需要不停的点击“下一步”,而在这些“下一步”中,就有一个是需要特别勾选(也许已经自动勾选了)的方框,点了以后继续,便是订立了点击合同。

顾名思义,点击合同就是经点击成立的合同。以鼠标的点击代替签章,严格来说,键盘也可以实现上述操作,在触屏设备上是手指点击,所以这里领会精神即可。与点击合同类似的,还有一种拆封合同,早期多用于软件销售,拆开软件包装即视为接受合同。与点击合同差别不大,按下不表。

以前写了一些关于EULA(最终用户许可协议)的博客,其中的一些EULA也被称为“用户协议”、“服务条款”、“服务协议”,EULA主要用于软件上,比如《魔兽世界》和微软就用的EULA这个名称。无论叫什么,这些都可以被视为是点击合同。

毫无疑问,点击合同是一种合同,逻辑上即是如此。而且,还是一个充满了格式条款的合同。当然需要符合中国《合同法》与《消费者权益保护法》中关于格式条款的规定。但遗憾的是,没有任何一家点击合同提供方能够达到上述法律的要求,从订立修改终止,或是关于管辖权的规定,都达不到法律的要求。

更何况,法院又不是没有判过。新浪微博就因此输过官司,按照用户协议随意关停用户帐号,被法院判令无效。微软也输过,诸多条款被宣告无效。但各个公司还都有恃无恐,维权成本高昂让用户望而却步。

点击合同也许是现在使用最频繁的合同,而合同双方在订立合同过程中地位的巨大差距让点击合同问题百出,消费者协会对此也帮助不大。但这也是在与软件公司或互联网公司诉讼中的一个途径吧,但愿如此。

案例笔记(2):站票与坐票

阅读案例总是有趣的,即便是经验丰富的律师或是法官,职业中经历的案件也是有限,阅读具有指导作用的案例选,毫无疑问可以开拓视野, train 看看社会上究竟有哪些千奇百怪的案件。对于我这种法学院菜鸟而言更是如此。

说起来,我已是多年未乘火车,但对我朝铁道衙门的种种恶行还是有所耳闻。今日研读案例,又闻一例:丁昌祥诉北京铁路局铁路旅客运输合同无座车票价格案(《人民法院案例选》总第62辑案例24)。丁昌祥因购买的站票与坐票同价,但所受服务完全不同而起诉北京铁路局。当然,审理这种案件的也是北京铁路运输法院,咳咳,差不多是自己审自己了,这法律原则大家都知道吧。

诉讼理由很简单:同样的价格,不同的服务。依据《价格法》、《铁路法》,火车票定价应当实行政府指导价或者政府定价,而《铁路客运运价规则》并没有对火车无座票价进行规定。原告依据《合同法》“在定理合同时显示公平”的规定起诉,要求退还多收取的车票款。

经过审理,法院(以及被告)认为:1,铁路运输客票价格属于政府定价,作为承运人的北京铁道局无权制定和变更票价。政府有关部门并未就无座票做出规定,故北京铁路局作为承运人按照政府有关主管部门公布的同期硬座车票价格出售无座票的行为并无不当。2,丁昌祥作为完全民事行为能力人,购票前北京铁路局已告知其所乘车次只剩无座票及相应票价的情况下,自主、自愿选择无坐票,不违反法律禁止性规定,并且被告运输合同已经实际履行完毕,不存在铁路局利用自身优势双方订立合同的显示公平的问题。结果当然是原告败诉。

我并不是要站在那一边,但不客气的说,控辩审三方的法律水平真的有待商榷。先说北京铁路局,真的不知道他们是如何理解“制定”这个词的:本身没有无坐票,你领会领导精神创设了一个,再直接把硬座的票价搬过来,你这不是“制定”了票价是什么?难道是参考借鉴?站票从无到有,你北京铁路局就是在“制定”。

至于说丁昌祥起诉的,也不见得靠谱。以“显失公平”为理由起诉,实际上是用了合同法原则,而对于法律原则,回旋的余地,解释的空间都太大了,对谁有利显而易见。没办法,谁让这是和衙门打官司。

《案例选中》仅就这两个问题作出讨论,但我以为这个案例和可以更深入一些,如果此案并非是政府定价的火车票,而是其他商品或服务,相同价格不同服务,又是否有侵权的嫌疑?

这于政府定价的商品,能否适用《消费者权益保护法》?又能否适用其中有关歧视的规定?《消法》第二条规定:“消费者为生活消费需要购买、使用商品或者接受服务,其权益受本法保护;本法未作规定的,受其他有关法律、法规保护。”在《消法》中未见对于火车票有例外规定,所以应该适用《消法》。至于说同等价格,不同对待,又是否是歧视性规定?就像“反向歧视”这种行为。反向歧视是相同服务,不同价格;站票这里是相同价格,不同服务。是否又具有可比性?

按照王泽鉴老师的意思,案例就该这样讨论。只是,以上仅是一案例,并没有司法领域内的指导作用,所以,仅供学习,切勿参考。