8月20日,中国全国人大常委会表决通过《个人信息保护法》,至此这个广受国际瞩目的立法终告出炉。
整体来看,该法大量学习借鉴了欧盟《通用数据保护条例》(GDPR)等欧美立法例,在中国立法史上第一次详细规定了自然人享有的个人信息民事权利,如知情权、决定权、查阅复制权、更正权、删除权等,这无疑是向前的一大步。但是,该法在赋予自然人大量网络时代个人信息权的同时,却疏于规定实现这些权利的有效手段,等于告诉你有权自卫,但没给你自卫的武器,这必然在未来的实践中造成个人维权的许多障碍。
一、未规定惩罚性赔偿减轻了互联网企业的压力
《个人信息保护法》用了整整一章规定自然人享有的在个人信息处理活动中的民事权利,但对于个人信息权受侵害时受害人如何维权,则只有短短的一款规定。
第五十条第二款规定:“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼”。也就是说,个人信息权受侵害时,受害人的选择只有向法院起诉。表面看来这没什么问题,但在实践中却可能导致受害人维权极不经济。
根据《个人信息保护法》第六十九条第二款的规定,个人信息权侵权案件的赔偿原则是同等赔偿原则,换言之,受害人能得到的赔偿只是自己的实际损失或侵权人的实际受益,而没有主张惩罚性赔偿的权利。
鉴于实际案件中,单个普通人个人信息权受到侵害,其个人的经济损失(及侵权人的实际受益)是相对有限的,则选择起诉能获得的损害赔偿也是有限的,而诉讼则要付出大量金钱和时间成本,受害人非常可能因投入产出比太低而放弃诉讼,从而作为个人信息处理者的互联网企业等主体基本不会面对很大的受害人维权压力。
二、未规定集体诉讼增加了个人维权成本
根据《个人信息保护法》第七十条的规定,侵害众多个人信息权益的,可由检察院、消费者组织或网信部门确定的组织提起诉讼。该法没有采取欧美国家采用的集体诉讼维权方式,受害人自己组织起来共同委托律师进行诉讼至少目前是没有法律依据的。应当认为,这进一步推高了个人维权的成本。
特别要考虑到,当个人信息权受到侵害尚未达到人数众多的程度,也即少数人发现自身权益受侵害时,受害人没有便捷、高效的维权途径。《个人信息保护法》至少在以上两个方面,对个人的保护是不足的。
三、网络时代应该用网络的办法来解决纠纷
考虑到中国拥有BATM(百度、阿里、腾讯、美团)等互联网巨头企业,与欧盟不一样,因此在保护个人信息权时不得不平衡考虑,不规定惩罚性赔偿和集体诉讼机制是可以理解的。另一方面,惩罚性赔偿和集体诉讼往往成为某些专业维权团体牟利手段,也是必须考虑的副作用。
但是,作为互联网技术和数字经济的领先国家,中国并不是没有另辟蹊径的可能。网购平台在买卖双方出现争议时,冻结标的利益,由双方限时举证,第三方按照既定规则裁判的机制,就是一种可供探索的路径。近年来中国大量涌现的互联网仲裁机制,时间、金钱成本少,裁判高效快捷,也非常适合个人信息侵权案件。
个人信息侵权案件具有标的小、高频、量大等特点,在当前基层法院案件压力已经很大的情况下,诉讼明显不是个人维权最适合的途径。
近几年的实践经验表明,完全可以考虑由受害人向专门的网络仲裁机构申请仲裁维权,具体可以参考劳动争议仲裁,但采用网络仲裁方式进行,尽量节省时间和金钱成本,以便于受害人维护其个人信息权。
中国《个人信息保护法》在立法进程中本有机会开全球先河,创造性地采用网络解决方式,但立法者的谨慎心态使他们选择了跟随模仿欧美的作法。正在制定个人信息保护法的其他亚洲国家,比如马来西亚、印度等国,应当吸取中国立法的经验教训,在规定自然人各项个人信息权的同时勇于突破,设计保护个人信息权的网络争议解决方式,使个人信息侵权案件能得到灵活、高效的解决。
作者简介:冯桂,武汉大学民商法学博士,广西财经学院法学院教授、硕士生导师,马来西亚中国法律联合会特聘顾问。