法治周末特约撰稿 齐爱民 李仪
最近,南京市中级人民法院对朱烨诉北京百度网讯科技公司侵害人身权一案作出了终审判决,认定“百度网讯公司的个性化推荐行为不构成侵犯朱烨的隐私权”,判决驳回原告朱烨的全部诉讼请求。
此案被称为“Cookie隐私第一案”,其最终判决也引发了业界和学界的普遍关注。笔者将从本案所涉及的精准营销策划方案的性质、被告所形成的信息的权属以及被告对该信息的利用行为的合法性等角度进行学理剖析。
笔者认为,在处理这样一起只有在信息时代才会出现的新型人格权纠纷案件时,审判员不仅需要准确地认定事实与适用法律,还需要具备较为深厚的理论素养功底,应当说,审判结果正反映了二审法官的以上优良素质。
利用匿名化信息不侵犯原告隐私
在本案中,原告起诉以及一审法院判决的重要理据在于,被告的行为侵害了原告的隐私与个人信息,但这显然是对案件基本事实的误认。按照个人信息与隐私保护的一般法理,个人信息是指个人的姓名、性别、年龄、血型、健康状况、身高、人种、地址、头衔、职业、学位、生日、特征等可以直接或间接识别该个人的信息。
所谓“识别”,就是指个人信息与信息主体存在某一客观确定的可能性,简单说就是通过这些个人信息能够把信息主体直接或间接“认出来”。识别包括直接识别和间接识别,直接识别就是通过直接确认本人身份的个人信息来识别,比如身份证号码、基因等;间接识别是指现有信息虽然不能直接确认当事人的身份,但借助其他信息或者对信息进行综合分析,仍可以确定当事人的身份。一般而言,姓名可以构成“直接识别”,但在有几个相同姓名的人的情况下,还要依靠生日、地址、职业、身高等信息才能识别。
从前述的原理可以看出,个人信息必须能够与本人发生直接关联,否则相关的信息与资料不能作为本人的人格利益而受到法律的保护。而正如本案二审法院在终审判决书中所阐述的,百度公司收集、利用的是未能与网络用户个人身份对应识别的数据信息,该数据信息的匿名化特征不符合“个人信息”的可识别性要求。百度个性化推荐服务收集和推送的信息终端是浏览器,没有定向识别该浏览器的网络用户身份。在实践中,我们还应当注意到,按照能否直接识别自然人为标准,个人信息可以分为直接个人信息和间接个人信息。所谓直接个人信息是指可以单独识别本人的个人信息。间接个人信息是指不能单独识别本人但和其他信息结合可以识别本人的个人信息。
在立法上,有国家和地区并不主张对间接个人信息进行保护。我国台湾省法务部曾认为:关于电话号码、电子邮件地址等信息,由于尚不足以识别个人,因此不属于受保护的个人信息。但是由于电话号码或电子邮件地址与其他信息相互连结后,往往成为足以识别特定个人之信息(例如电子邮件之地址中可能有本人姓名),因此将适用个人资料保护法。
挪威资料法明确地将间接个人信息纳入保护法的范围,其第一条规定:“能间接地确认本人的资料构成个人资料。”划分直接个人信息和间接个人信息的目的在于:第一,法律保护的不仅是直接个人信息,还保护间接个人信息;第二,对直接个人信息的侵害可能导致更为严重的后果。第三,对于不能构成间接个人信息,更不可能构成直接个人信息的那些信息,法律不予纳入个人信息保护法予以保护。
“谁投资谁收益”可判断Cookie数据库权属
笔者认为,被告百度公司通过利用Cookie技术所收集与挖掘而成的信息,可以被认定为该公司的数字文化商品。从性质而言,被告的行为是对该商品的合理使用。数字文化商品又称数字商品,是以数字技术构建或者表达的、是可以脱离存储的介质和载体实现在线传递的唯一商品,既不是物,也非知识财产。德国法学家施密特认为,对“数字产品”的准确界定方式应该是,无论其本身是否有形,只要产品本身能够通过数字形式表现即可。从产业角度看,“数字文化商品”是指利用数字技术制造的并能在互联网上自由传输文字可见,数字文化商品是以数字形式存在或者表达的文化商品,是计算机信息的一种。这类商品是以比特方式存在,即借助于数字化的信息符号而生成和传递,承载文化和审美,以满足人们精神生活的需要。从法律角度看,所谓数字文化商品是指利用计算机生产或能为计算机处理和使用并具有财产价值的电子信息。
在本案中,被告方百度所应用的Cookie技术是当前互联网领域普遍采用的一种信息技术,基于此而产生的个性化推荐服务仅涉及匿名信息的收集、利用。很显然,百度通过该技术所开发出来的数据以及数据库构成了前面笔者说说的数字化商品。
数字文化商品具有以下法律特征:第一,数字性。数字文化商品的数字无体性包括数字性和无体性两个方面。数字性是指数字文化商品具有以比特数字方式表达和构建的特性。数字性是数字文化商品在互联网上生产和传播的通行证。第二,无体性。即数字文化商品不具备物质形体的特性,数字文化商品是无体的,不占有空间,而实物文化商品必须依托于特定的物质实体(纸张或者其他物质材料)而存在。如前所述,储存在电脑硬盘内的数字文化商品可以通过互联网自由传播,而不带走硬盘中的任何物质。数字性和无体性相互联系,正因为数字文化商品是数字的,无论是图象、声音、软件还是其组合,都是以数字方式存在,因此它才呈现出不需要依托于物质载体而存在的特性。
那么,类似于本案精准广告策略所形成的数据库这样的数字文化商品应当归属于何方呢?无论根据美国的知识产权许可说与俄罗斯的所有权说,该商品都应当归属于开发商。虽然我国现行法对这一新型的客体的权属问题未作规定,但是根据我国物权法以及民法通则的精神以及“谁投资谁受益”的原理,应当由作为本案被告百度公司享有数据库的归属权与利用权,这一点是显而易见的。
利用Cookie信息体现大数据时代要求
应当说,本案被告利用涉案信息的行为既是行使其自身对数字文化商品的利用权的合法途径,也是在大数据时代实现信息合理流通与共享的必要手段。
联合国通过1946年第59号决议设立了与人格尊严权同属于基本人权的信息自由权,随后学界与实务界又不断具体阐释这一权利的内容。同时信息自由也在欧美立法界与司法界已得到普遍接受,譬如欧盟数据保护指令第1条规定,各成员国在维护个人信息本人人格尊严的同时,不得禁止信息在成员国之间自由流动。与此同时,信息的初始收集者需要在激活该信息的基础上将它传输给其他用户加以共享。
在本案中,被告百度利用cookie等网络技术向朱烨使用的浏览器提供个性化推荐服务正是对信息的合理利用的充分体现,是满足信息流通这一大数据时代重要社会诉求的重要途径,从而不属于《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件使用法律若干规定》第12条规定的侵权行为。
透过本案还应当看到,从信息的本身内容与运行方式的角度而言,信息安全的基本要素包括完整性、可靠性、保密性、可控性与可用性等。可用性是信息安全的另一必备要素,根据这一要素的内涵,信息的利用者应能通过网络系统合理获取相关社会资讯而免受不当阻碍。
为满足这一要求,法官在进行案件判决时,应适通过特定的措施来促进信息与资讯的合理利用。理由是,如果这信息的流通被过度限制,从而使信息与资讯所关联的当事人(譬如本案当中的原告)就取得了绝对支配甚至不当垄断该信息的权利,这将阻碍再利用者基于合理目的传输该信息。尤其是在网络环境下,处于后端的经私人机构与网络社交个体对信息与资讯的需求具有随机性与时效性。
(作者齐爱民为重庆大学法学院教授,李仪为西南政法大学副教授)
(免责声明:以上内容为本网站转自其它媒体,相关信息仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性。)