导 语
在竞业限制纠纷案件中,有的用人单位为证明员工实际为竞争公司工作,常常将自行采集或从有保密义务的机构处搜集的个人行踪轨迹作为证据,如从物业公司处搜集的监控记录,自行拍摄的行踪轨迹。前段时间中信银行泄露客户账户信息的事件也引发社会关注,本次《民法典》更是将个人信息和隐私权单列为第六章进行保护。用人单位自力救济搜集证据的法律边界在哪里?不厘清楚就会使用人单位陷入侵权的尴尬境地。
一、个人信息保护的立法现状
随着网络技术的发展,2017年以来,我国在立法上对个人信息保护有了很大的进步和突破,出台了《网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息形式案件适用法律若干问题的解释》、《中华人民共和国刑法修正案(九)》、《网络安全审查办法》(2020年6月1日实施)等一系列法律和司法解释。《个人信息保护法》(专家建议稿)也在2019年发布。除此之外,各个部门规章、规范性文件、执法指南和国家推荐标准如《儿童个人信息网络保护规定》、《App违法违规收集使用个人信息行为认定方法》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》、《数据安全管理办法》(征求意见稿)、《互联网个人信息安全保护指南》、《信息安全技术 公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)、《个人金融信息保护技术规范》(JR/T 0171-2020)、《个人信息安全规范》(GB/T35273-2017) [1] 等在实践中被广泛参考和适用。随着经济全球化,海外的《欧盟数据保护通用条例》(GDPR)在2018年出台时在国内也受到极大关注,堪称一个参考标杆。用人单位在调查取证中不得不重点关注个人信息和隐私的法律保护。
二、隐私权和个人信息权益的拆析
《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第一百零六条:“对以严重侵害他人合法权益、违反法律禁止性规定或者严重违背公序良俗的方法形成或者获取的证据,不得作为认定案件事实的根据。”
《民法总则》第一百一十一条规定了个人信息权益:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。” [2]
《民法典》第四编人格权第六章专门规定了隐私权和个人信息保护。
因此,民事诉讼法司法解释中的“他人合法权益”自然包括了自然人的隐私权和个人信息权益。根据民法典的定义,“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”、“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱健康信息、行踪信息等”。个人信息中的私密信息,同时适用隐私权保护的有关规定。隐私和个人信息属于部分交叉重合关系。个人信息中的私密信息为隐私,而隐私中的私密信息也是个人信息中的一部分。相对来说,一般公众对于隐私权并不陌生。民法典也列举了侵犯隐私权的行为 [3] 。典型的如在个人的私密空间放置的摄像头偷拍的照片或者视频涉嫌严重侵犯了他人的隐私,这些证据通常不能作为认定案件事实的依据。本文从个人信息权益角度着重分析。
《个人信息安全规范》(GB/T35273-2017)中对个人信息的的定义 [4] 与民法典一样都是功能性的表述方式,但是略有不同,民法典的表述为能够 “识别特定自然人的各种信息”,而规范中使用的表述是能够“识别特定自然人身份或者反映特定自然人活动情况的各种信息”。笔者认为,能够“反映特定自然人的活动情况”的信息在逻辑上首先应能够“识别特定自然人”,然后才能反映该特定自然人的活动情况。其次,能够“反映特定自然人的活动情况”的各种信息一般也包含在私密信息的范围内。因此,民法典对个人信息的定义“溯本清源”了。
三、对侵权行为方式的解读
回到“他人合法权益”的主题,侵犯他人私密信息的,构成侵犯隐私权,隐私权是法律明确规定的自然人享有的权利。除私密信息以外的个人信息也受到法律保护,而法律并未规定个人信息权,个人信息以怎样的方式被保护值得深思。民法典仅在侵权责任编特别规定了医疗机构及其医务人员泄露患者的隐私和个人信息应当承担侵权责任 [5] 。个人信息保护规定在人格权编下,应作为人格权益被保护。刑法第253条之一规定了侵犯公民个人信息罪,行为方式是违反国家规定“出售或者提供”以及“窃取或者以其他方式获取” [6] 。民法典针对个人信息的行为方式有收集和处理两种。其中处理有使用、加工、传输、提供、公开等行为,侵权责任编针对医疗机构及其医务人员的特别规定中的行为方式为“泄露”。那么何种行为可能会构成侵犯公民个人信息权益呢?侵权责任编中对此并未特别规定。笔者认为:
首先,掌握个人信息的特定机构应对客户或员工的个人信息保密,民法典特别规定了医务人员、国家机关及其工作人员 [7] 的保密义务和泄露及非法提供的法律后果。
其次,刑法中规定的“出售或者提供”对应的是民法典中对个人信息处理中“提供、公开”的行为,“窃取或者以其他方式获取”行为对应的是草案中对个人信息收集的行为,既然构成侵犯公民个人信息罪,应当也构成对个人信息权益的侵犯。
最后,“使用、加工和传输”个人信息虽然不属于刑法的侵犯公民个人信息犯罪的行为,但是使用加工和传输个人信息根据《个人信息安全规范》的规定,一般要求去标识化,去个人信息化,而违反规定或者约定的使用、加工或者传输均可能导致个人信息的泄露或者提供行为,情节严重的将涉嫌构成刑事犯罪。
实践中,具体何种行为构成侵犯公民个人信息权益,有待司法机关出台典型案例提供指引,笔者认为侵权应从行为造成的结果和以社会大众的一般常识性感知两方面做认定。
三、员工个人信息保护和调查取证权的边界探讨
我们注意到,民诉法司法解释还有一个程度的用词,即达到“严重”的程度,即证据产生和获取的手段严重侵害他人合法权益的,不能作为认定事实的依据。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。《个人信息安全规范》中将私密信息划入个人敏感信息中 [8] ,私密信息通常包括个人财产信息、生理健康信息、生物识别信息、身份信息、网络身份标识信息和其他信息如行踪轨迹、精准定位信息、住宿信息等。
回到本文开头的两个例子,个人财产信息和个人的行踪轨迹均应当属于个人私密信息。在行为方面,一个是非法收集个人的行踪轨迹、财产信息,另一个是非法提供。从证据上来说,证据的产生和获取的手段都侵害了他人的隐私,证据的获取应当属于“严重侵害他人合法权益”的情形,进而应被排除在认定依据外。
除了隐私信息外,自然人的个人信息在大数据时代被一些机构掌握,这些信息可能反映出来个人的财产、健康、就业和行踪轨迹等,该等信息会涉及个人信息及隐私权的交叉,很多为《民法典》所保护,用人单位在自行收集证据时应谨防踩雷。竞业限制案件中,用人单位提供证据证明员工违反竞业限制义务一直是该类案件的难点。常见的证据形式如公开渠道获得的宣传资料,员工微信微博中的照片、介绍陈述,打竞争单位的固定电话并录音,发快递签收记录、电子工牌、打卡记录、社保公积金和个税缴纳记录等。然而实践中员工和新用人单位往往在竞业限制期内保持警惕,公开的宣传资料、电话录音越来越难获得,员工社保公积金也常常不在真正的用人单位缴纳。发送快递的证据很容易被推翻,除非快递要求其本人签收并签署身份证号码,而在此情形下,也容易引起被调查一方的警觉而取证失败。而电子工牌、上下班打卡记录掌握在新用人单位手中,面临无权调取或不能调取的尴尬境地。在此情形下,有些单位则想到利用某些机构掌握个人信息的优势,利用其影响力去调取,正如前段时间全网关注的中信银行泄漏客户账户信息事件即属此种情形。当然,也不排除有些掌握个人信息的机构法律意识淡薄,随意提供给第三方的情形。一些个人信息,如物业公司有个人的车牌信息、租赁车位信息,出入监控信息,一些互联网企业掌握个人的订票、租车、酒店等出行信息,该等信息均为法律保护,未经个人同意不能泄露,一旦有涉嫌通过不当途径调取个人信息隐私,该证据不但不能达到证明效果,反而引火上身。笔者认为,若是在公众场所拍摄的一些录音录像资料,一般不会涉嫌侵权,但如果采用跟踪拍摄的形式,拍摄人涉嫌侵犯他人隐私,非法提供的个人或机构则涉嫌构成《民法典》规定的“非法收集”、“传输”个人信息,使用者涉嫌违反《民法典》规定的“使用”个人信息。
其实,法律对于个人信息的调取有调查取证制度,如诉讼中的证据保全、调查令等,这些规定都是综合平衡各方利益之后形成的,进入诉讼程序后,当事人可以申请法院去调取或律师申请调查令调取,以达到证明目的。无视公民合法权益,违反法律规定程序随意调取个人信息或获取公民隐私,不但不能达到证明目的,还有可能引发另一场争议。
参考文献
[1] 2020版(GB/T 35273-2020)将于2020年10月1日正式实施。
[2] 《民法典》第一百一十条规定,自然人享有……隐私权、婚姻自主权等权利。……第一百一十一条规定,自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
[3] 《民法典》第一千零三十三条:除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:
(一)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;
(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;
(三)拍摄、窥视、窃听、公开他人的私密活动;
(四)拍摄、窥视他人身体的私密部位;
(五)处理他人的私密信息;
(六)以其他方式侵害他人的隐私权。
[4] 根据《个人信息安全规范》,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
[5] 《民法典》第一千二百二十六条规定:医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。
[6] 《中华人民共和国刑法》第二百五十三条之一:【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
[7] 《民法典》第一千零三十九条:国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。
[8] 根据《个人信息安全规范》,个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含) 儿童的个人信息和自然人的隐私信息属于个人敏感信息。
