欢迎关注朝阳法院召开的“涉个人信息保护类民事案件”研讨会。我是本次直播的主持人秦文柏。

随着电子信息技术飞速发展，公民个人信息的收集、保存和利用日益便捷。成熟的电信网络技术和繁荣的多媒体传播使得个人信息的价值不再局限于个人身份的识别，更逐步成为具有经济价值的社会资源，滥用公民个人信息的现象也因此愈加泛滥。而网络电商企业、市场份额占比较高的中介机构和旅游服务者在开展业务过程中不可避免地获取了大量的个人信息，这些信息在大数据时代下如不加妥善管理可能产生无法预料的严重后果。
然而，由于个人信息这一概念的外延十分广泛，我国目前尚未通过有关个人信息保护的专门立法，法律体系上仍缺乏更具有司法适用性的详细规定。《民法总则》施行后，朝阳法院在受理了涉及个人信息保护的民事案件基础上进行调研并将案件的审理特点和难点进行了梳理，也以此作为研讨的基点。

今天，朝阳法院邀请到清华大学、中央财经大学、中国法学会等相关专家参与研讨。
研讨会即将在十一层电教会议室召开。会议现场由朝阳法院民一庭庭长杨兵法官主持。

各位领导、来宾、同事们：
大家好！研讨会现在开始。我是此次研讨会的主持人杨兵。今天，我们就“个人信息保护类民事案件”中的相关问题进行专门研讨。首先，介绍一下出席本次研讨会的嘉宾，他们是：清华大学法学院党委副书记、教授、博士生导师程啸，中央财经大学法学院院长、教授、博士生导师尹飞，中国法学会研究部副主任彭伶，北京市高级人民法院研究室副主任刘书星，北京市第三中级人民法院民一庭庭长齐晓丹，腾讯研究院资深专家王融，京东法律研究院总监李丽、总监郑慧媛。

让我们以热烈的掌声，向各位专家学者的到来表示热烈的欢迎和衷心的感谢！
下面，进入本次研讨会的主题！随着电子信息技术飞速发展，公民个人信息的收集、保存和利用日益便捷。网络电商企业、市场份额占比较高的中介机构和旅游服务者、以及公共管理部门在开展业务、提供服务、职能管理过程中不可避免地获取了大量个人信息。成熟的电信网络技术和繁荣的多媒体传播使得个人信息的价值不再局限于个人身份的识别，更逐步成为具有经济价值的社会资源。加之大数据时代，移动终端、互联网络以及无处不在的传感器和微处理器使得人们无时无刻不在留下“数据足迹”，对于个人信息的处理因此已经成为大规模社会现象，不得不引起社会各界的关注。
为了有效保障公民的合法权益、及时制止侵害个人信息的行为、积极保护信息安全，我国先后出台了多部法律法规及司法解释，对几种社会生活中比较常见、影响比较恶劣的侵权行为先行进行了规制。例如，在网络侵权领域，全国人民代表大会常务委员会于2012年12月28日通过的《关于加强网络信息保护的决定》，提出了对公民的个人电子信息进行保护；2014年8月21日颁布的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》明确规定，公开个人信息造成损害的应当承担侵权责任；2017年6月起施行的《中华人民共和国网络安全法》确立了网络环境下对个人电子信息进行保护的具体规则。刑事领域中，2009年2月公布施行的《刑法修正案（七）》，增设了“出售、非法提供公民个人信息罪”和“购买、非法获取公民个人信息罪”两个罪名，主要适用于以“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”为犯罪主体的、履行职务活动过程中产生的犯罪行为；2015年11月1日起施行的《刑法修正案（九）》将上述两罪名合并修改为“侵犯公民个人信息罪”，犯罪主体不再局限于上述人员，在履行职务活动中犯罪的构成从重处罚情节。直至2017年3月15日《中华人民共和国民法总则》颁布，其中“民事权利”一章单列一条规定：“自然人的个人信息受法律保护”，至此对公民信息的民法保护已不再局限于网络环境下的电子信息。

然而，就司法实务层面，对于个人信息保护的具体民事裁判规则尚未成型，实践中仍存在司法适用的困境。同时，个人信息的合理利用，又对经济发展、社会进步和人类福祉的增进大有裨益。如何平衡信息保护与信息利用、人格尊严与社会秩序之间的关系，在当代显得尤为重要。
有鉴于此，为解答实务中有关个人信息权益的司法困惑，我院以具体案例为依托总结归纳了相关案件的审理特点及难点，以研讨会的方式邀请各位专家学者共同研究讨论。研讨会将主要围绕实务中的两起典型案例，对个人信息民法保护中的具体问题进行分析探讨，希望为相关法律或司法解释的出台提供有益的思路和建议。
下面首先有请我院党组副书记、副院长亓纪就本次研讨会致辞。

尊敬的各位专家、各位来宾、各位法官同仁：
大家上午好！首先，受靳学军院长的委托，我代表朝阳法院全体干警，向莅临本次研讨会的各位来宾表示热烈的欢迎，并对你们长期以来给予我院审判工作的关注和支持表示诚挚的谢意！
近年来，朝阳法院的收案数量始终处于高位并不断攀升。今年上半年，我院收案数达到77587件，已经超过上海浦东法院，跃居全国基层法院第一的位置。作为承担着全院40%办案任务的民事法官，更是长期处于超负荷的工作状态，年人均结案超过500件。但即使是在这样的工作状态下，我们也十分清醒地认识到，数量不等于质量，辛苦不代表精彩。如何让民事审判适应新时代的要求，适应法官职业化发展的趋势，是包括我在内全体民事法官一直在思考的问题。近年来，我院民口提出了“四个一批”的工作要求，即“办理一批对法律适用具有重要参考意义的典型案例，撰写一批对社会价值具有示范引领作用的裁判文书，推出一批在法学界和实务界具有较大影响力的学术成果，培养一批在全市乃至全国法院系统具有较高知名度的优秀法官”，就是希望引导法官们把“案件数量”和“工作品质”更好地结合起来，把“执法办案”和“潜心思考”更好地统一起来，多研究一些法律问题，多办理几个精品案件，多撰写几份高质量的裁判文书，不断提升审判工作的水平。

在这一过程中，作为一名长期工作在基层法院的法官，我深刻的体会到，理论层面的提升对于推动审判发展、提升工作品质的重要意义。可以说，每一次司法实践的创新和突破，都依赖于科学理论的指引。因此，经过精心的准备和长期的酝酿，我们举办了这次以“公民个人信息保护”为主题的研讨会，荣幸地邀请到了法学界和实务界的专家学者，试图寻找解决此类纠纷的最佳路径。更重要的是，我们希望以此为契机，搭建起一道理论联系实际、法官与学者相互沟通的桥梁，借助这个平台，充分地交流自己的观点，并聆听专家的见解和指导。我相信今天的研讨会必将是一次思维的盛宴，每位专家的发言都将带给大家视野的转换和知识的启迪！我更衷心地希望，朝阳法院的民事审判工作能够继续得到在座领导和专家的高度关注和智力支持，相信朝阳法院这块司法实践的沃土，也一定能够为各位专家提供更多具有研究价值的素材和资源！
最后，预祝本次研讨会圆满成功！

为明晰个人信息保护类民事案件的特点，我院就近年来受理的相关案件进行了统计分析。下面就有请酒仙桥法庭庭长吴彬对相关案件的总体情况进行介绍。

各位嘉宾，大家好。下面由我向大家介绍一下涉公民个人信息保护民事案件审理概况。

（一）近十年朝阳法院受理相关案件概况
由于公民的个人信息保护于近几年才进入民法规范层面，相关案例数量有限，为取得较为有效的样本基数，我们统计了本院近十年内受理的相关案件，在进行分析调研后，我们发现相关案件整体呈现出以下特点：
1.案件受理量逐年上升，但原告胜诉率呈下降趋势。自2003年至2017年，我院受理该类案件的数量总体呈增长态势，但法院认定被告承担侵权责任的案件比例有所下降。影响胜诉率的一个重要原因在于，由于此前单纯侵犯个人信息并无构成侵权的法律依据，故侵权人对权利人个人信息的侵犯往往同时构成对其名誉权、隐私权等权利的侵犯，例如私自将权利人身份信息及联系方式予以公布并发表降低其社会评价的言论，此种情况下权利人主张他人侵犯其名誉权或隐私权，故得到了法院的支持。但立案登记制以来，一方面，一部分缺乏基础证据的案件予以登记受理，但因证据不足败诉；另一方面，单纯侵犯个人信息的案件虽得以立案，但一度并无法律支持故而败诉。
2.支持经济赔偿的判决数量、以及案均支持的经济赔偿额双双增长。分析2003年至2017年涉侵犯公民个人信息类案件，在判决认定存在侵权责任的案例中，对于原告同时主张了经济赔偿的，法院认可经济赔偿存在的案件数量比例逐年上升。同时，法院最终判决认定的经济赔偿额平均每案金额基本呈上升态势。这两组数据体现出诉讼当事人维权能力的提升以及审判机关对此类案件裁判理念、裁判尺度的发展变化。从经济赔偿的种类来看，原告诉求经济的损失从公证费、材料复印费、交通费扩展到了误工费、律师费、因信息泄露被盗造成的损失等等，也进一步体现了公民个人信息保护意识的不断觉醒。
3.权利人诉求的精神损害赔偿获赔率及赔偿金额递减。2003年至2017年期间，在原告诉求包含精神损害的案件中，法院判决被告赔偿精神损害抚慰金的案件比例在逐年减少。平均每案支持的精神损害金额占原告诉求比例同样呈下降趋势，且该比例常年在40%以下。原因在于，2011年以前，获赔精神损害赔偿的案件基本均为人格权纠纷案件，司法上对是否认定精神损害赔偿具有一定共识。但近五年，随着单纯侵犯个人信息的案件增多，需要在明确个人信息权益的属性和外延后，方可形成是否认定精神损害赔偿以及认定金额的统一意见。然而，个人信息权益的民法体系尚在建立过程中，故司法裁量权的谨慎在精神损害认定中有所体现。

（二）相关案件反映的侵权类型及分布
经调研发现，我院近十年受理的民事案件从侵权主体类型、侵权行为性质来看，对公民个人信息保护有较大影响的行为基本呈以下分布情况：
第一类，不以使用信息为目的的单纯公开和披露个人信息。此类案件占比最高，达到56%，主要以隐私权纠纷出现，较为多发的是利用网络公布他人个人信息，典型的“网络人肉行为”等。由于个人信息与隐私的外延范围尚不明确，该类侵权行为今后适用隐私权制度还是适用个人信息保护制度解决尚不明确，亟待立法和司法上界定个人信息权益的权利属性和适用范围。
第二类，以使用信息为目的公开个人信息。此类案件占比为11%，实践中主要表现为存在真实的基础法律关系但无权使用个人信息，例如：医疗机构公开成功治愈的病患信息，婚介公司和摄影公司未经同意公开客户信息的宣传行为等等。该类侵权行为目前也主要以隐私权纠纷的形式出现在实务中。
第三类，冒用、盗用个人信息。此类案件占比为10%，实践中主要表现为不存在真实基础法律关系的冒用他人名义和盗用他人身份，例如：学校谎称优秀学员由其培养进而公布学员信息，公司以聘用知名设计师、学者为幌子的虚假宣传，公司利用他人身份信息虚假登记其为法定代表人或者股东，中介经纪人擅自利用客户身份及房源信息伪造固定住所进而取得北京市居住证等等。该类侵权行为可能牵涉到个人信息权益与姓名权等其他人格权之间的关系。部分盗用案例反映出目前公共事务管理制度上的漏洞，值得引起社会各界的关注。
第四类，信息保管人转让、泄露个人信息。此类案件占比10%，实践中主要表现为大型电商企业、旅游服务经营者、电信公司所保管信息的外传。从权利人的角度而言，往往体现为将信息提供给某一特定主体后，其他人亦获得相应信息并由此进行的诈骗或者营销。该类侵权行为中，权利人极难举证，立法及司法上尚需明确举证责任的分配规则、信息保管机构的保管义务范畴、主观过错要件等等。目前多数信息保管机构并未建立有效的信息保管制度、监督执行措施和内部惩罚机制。
第五类，因保管不当导致的与个人信息有关的档案丢失。此类案件占比为7%，实践中主要表现为医疗机构保管病案信息不当导致的信息缺损、人事机构保管人事档案不当导致的信息缺损、电子设备维修方不当删除设备记录等。目前权利人主要以合同类纠纷主张违约的损害赔偿责任。
第六类，因错误登记导致的个人信息公开。此类案件占比为6%，实践中主要表现为影视作品无意中公布真实手机号，婚介机构错误公布招婚者信息，职员离职后公司网站仍登记其手机号、QQ号和邮箱信息等等。该类行为需界定和明确构成侵权责任的主观过错要件，侵权人的审查范围和责任等等，目前权利人主要以隐私权受侵犯的形式进行维权。

下面有请酒仙桥法庭副庭长罗曼结合案例介绍审判实践中涉个人信息保护类民事案件审理难点。

谢谢杨庭长的主持，尊敬的各位法律界专家同仁，大家上午好。刚刚吴庭长就民法领域涉个人信息保护类案件的总体情况向大家进行了介绍，下面我继续今天研讨会的议题。
大数据时代下，信息无界，个人信息权益民法保护程度的高低，既体现了法律对公民权利的尊重和保护水平，也反映了一个社会的整体文明程度。在今天研讨会的前期准备工作中，通过整理，我们梳理了近5万字的参考资料，包括以《民法总则》为统领的19部法律、法规规章及司法解释，域外6个国家和地区的相关规范、近几年我院受理的案件情况及反映的侵权行为类型以及理论学说的争辩。

为了我们今天研讨的主题更精准、更生动、更深入。我结合审判实践就个人信息保护类案件的审理难点进行了总结并抛出以下7个问题。
1、个人信息的概念内涵及外延，哪些信息属于公民个人信息，具有保护价值。
2、在经营活动中大量获取客户个人信息的盈利性法人实施间接侵权的归责原则如何确定。
3、信息侵权和第三人侵权竞合造成同一损失时，信息侵权者是否应承担责任，承担的是何种类型的民事责任。
4、在侵权主体负有保管个人信息义务时，举证责任如何分配，已尽到妥善保管义务是否构成抗辩事由，以及认定是否尽到妥善保管义务的参考因素。
5、信息保管主体是否负有销毁个人信息的义务，是否应当设立保管个人信息的合理期限。
6、没有证据证明受侵害信息主体有实际损失时，财产损害赔偿责任是否要考虑侵权人的收益状况酌情予以赔偿。
7、信息主体单纯的精神损害是否构成侵权责任法上的损害后果，以及精神损害的认定标准或参考因素。
正如我院靳院长在今年民事审判年中工作座谈会上所建议的那样，分析问题需要依靠理论逻辑。下面的环节交还给主持人，期待大家的精彩发言，也相信各位专家都会在研讨会中渡过一个充实而愉快的上午。

在听取了我院就个人信息保护在审判实践中的介绍之后，相信各位嘉宾也形成了很多各自的观点和思考。首先有请清华大学法学院程啸教授发言。

首先非常感谢朝阳区人民法院的邀请来参加研讨会非常有意义，整个学术界包括实务届都特别关注个人信息保护。8月中下旬全面审议民法典草案，目前可以看到在3月15日征求意见稿中人格权和个人信息权是并列一起，这两者关系非常密切。前段时间也参加了很多讨论会，缺乏来自于实践中的一种支持，比如侵权、合同的，这些素材非常少，但是朝阳区人民法院有非常丰富的素材，准备的材料也非常充实，涉及到的问题非常有意思。我相信对这些问题的讨论实际上是对我们正在征询和发展的信息权未来立法中的规定以及将来立法司法实践的适用具有非常重要的意义。
下面关于具体问题的探讨，我抛砖引玉。首先是个人信息的界定。个人信息和隐私之间的关系非常密切，从最高法院利用网络侵犯人身权的解释第12条规定，把隐私和其他个人信息放在一起，界定个人信息是一个非常重要的意义，但是可以明确的是现行立法确定无疑采取识别的标准，包括直接识别或间接识别。直接识别标准采取的信息就是个人路径，信息可以回溯到特定个人；间接识别要通过个别信息的关联，与个人建立起相应的联系。这一标准不是没有问题，也有人批评。

在人民大学，请来一个学者，是奥巴马的隐私信息顾问，他认为个人信息处理，并不是个别信息收集不收集的问题，而是怎样被利用的问题，以及给特定用户带来的危险。所以我们对信息的规范和保护也是侧重于利用，其中很重要的就是与隐私关系的问题，首先说明一点在大陆法系国家，也包括中国，隐私权是一个比较小的隐私权，和美国的隐私权有很多区别。美国的隐私权包括宪法意义上的权利，在我们国家则是从民法通则开始保护，我们的人格权是非常具体和确定的，包括侵权责任法作为一个独立的人格权。在这种情况下，以前的理论包括现在大家去看学者关于人格权的著作，把个人信息放在隐私权里面表述。朝阳法院今天专门讨论的这个问题，不是个人隐私所能够涵盖的，所谓的私密信息首先包括财产信息、谈话的隐私等；第二就是私生活的安宁，包括不被其他人窥探等；第三是私人支配的空间，包括办公室、住宅等禁止非法侵入。

从隐私信息来看，个人信息与隐私有重合的地方。从朝阳法院准备的充分资料来看，相当一部分是既是个人信息又是隐私，个人信息是已经公开的，隐私是没有公开的，是特定个人知道的。最高法院司法解释规定如果是违反公共利益来公开信息，或者公开信息侵害权利人被保护的重大利益也构成侵权。侵害个人信息主要涉及的就是公开。我认为信息权未来可以作为一个单独的人格权，从现行的网络安全法等法律来看还会包括越来越多。
关于归责原则。侵害个人信息权的归责原则，现行法律对于侵害个人信息权的规定是侵权责任法第2条，该条作了列举，但是并没有提到个人信息权，提到了“等人身权利”，可以看到现行法律的保护对象；然后是网络安全法第74条第1款；第三是消费者保护。
未来受理的案件可能会非常的丰富，除了涉及个人信息公开之外，我认为至少首先包括非法收集个人信息，最典型的案例是关于华为而讨论的一个问题。不管是华为还是苹果的手机，从生产商到分销商，分销商拿到手机后把预装的APP都删除掉，安装一些APP进去，把内部手机信息的功能全部打开，手机完好无损的还给经销商，华为可能会卖掉几千万台，利润非常大，同时还会再收取费用。消费者以为买到的手机没有收集个人，但是其实在收集信息。第二，大规模的侵害个人信息的情况下，可能将来还会面临公益诉讼的问题。很多单位比如消费者协会，可以做搞大规模的公益诉讼；而个人提起诉讼很难，往往没有精力和成本。信息可能没有任何安全防护，信息很容易被拿走了。第三是非法利用个人信息，违反法律规定和双方约定，来进行利用。第四是非法传输信息，大量的买卖个人信息。第五是其他类型。以上都是将来侵犯个人信息非常关注的问题。侵害个人信息除非造成其他权益被侵害，比如隐私、名誉、诈骗，通常很多情况，个人信息权本身有损失很难，顶多是维权成本，但是就权利本身被侵犯，损失是什么很难被证明。单独的个人信息价值有限，大量的收集才有价值。我们思考个人信息侵权责任，权利的损害和权益的损害是不同的，并不是全部以损害为要件。民法典草案据我了解，现在可能要在物权法明确物权请求权，人格权要明确人格权请求权，已经有的可能包括人格权、物权。使用既有的规定，如果没有造成损失，完全可以适用停止侵害、排除妨害。网络安全法规定如果违反规定收集个人的信息，个人有权利要求删除，所谓的删除就是停止侵害。信息有错误的话可以要求更正，更正就是排出妨害，这是法院今后要注意的。损害的问题，财产损害往往比较难以证明，当然我们可以考虑适用侵权责任法第20条的规定，个人出卖数据，大量侵权有人能够代理受害人起诉，可以适用侵权责任法第20条。侵权责任法第22条等都要求严重的精神损害，要说证明已构成严重的精神损害往往比较麻烦，但如果民法典把精神损害赔偿的标准降低则是另外一回事。关于过错的认定，我赞同法院整理的材料，违反即视为过失，没有经过别人同意本身就是有过错的。收集信息很多，比如阿里、京东、腾讯等企业，均负有非常高的注意义务来保护个人信息。在举证责任分配方面，应由负有义务的一方来证明。最后关于抗辩事由，受害人在侵害个人信息权中存在过错、被侵权人对侵权承担过错很少见，包括没有修改初始密码，或者把密码写到卡后边。
第三人行为我着重谈一谈，犯罪分子利用信息来进行电信诈骗，要分几种情况，第三人确实中断了原告和被告损害的因果关系，这种情况下被告是免责的，侵权责任法没有讲第三人能否做免责，通常情况下，第三人行为中断，被告尽到了义务，但是第三人依然采取非法的网络供给、黑客行为或者入室抢劫，窃取了大量信息，我们说被告如果能够举证证明，可以免责，这是第一种情形。第二种情形就是被告信息收集者、管理者本身有过错，有侵权行为，第三人也有侵权，这涉及到他们之间的关系问题，要根据侵权法第8条以下关于多数人侵权的规定，第一种是被告的员工利用职务之便，不仅是公司甚至包括公权力机关信息随意给别人泄露或查询，犯罪分子购买信息实施侵权，这种情况下构成共同侵权，有连带责任，被告公司与第三人承担连带责任，其中公司的员工是利用职务之便，不是个人行为，属于侵权责任法用人单位的责任。从受害人角度则有一种可能性，个人信息在好几个公司都有，能否适用共同危险的情况，这些公司都有泄露的可能性，但是不知道具体是谁泄露的，可以考虑侵权责任法第10条关于共同危险的规定。被告虽然没有人跟他串通、帮助，但是确实因为保管不善被第三人窃取，属于侵权责任法按份侵权，不能免除责任。

非常感谢给程教授给我们带来的非常精采的分析。分析非常切合审判实务，在裁判中关于举证责任、损害的认定问题，长期困扰我们法官。对于刚才提到的公开的信息利用，确实容易产生纠纷。最近网络热议的高铁占座事件，当事人的信息已经在网上公开的，涉及的全部都是其本人原先在网络发布的信息，同时也包括网友或者知情人士补充的个人信息，这种信息将如何认定？在大数据时代，任何一个细小的信息都能指向具体识别的人，在人肉搜索如何保护个人信息？下面，让我们来继续听一下其他专家对此有何意见。

能够参加朝阳法院的研讨会，我感到非常容幸。现在个人信息可以说不仅仅是在民法中，在刑法中还有其他行政法规中都涉及个人信息的保护问题，主要是信息公开。在个人信息泄露越来越厉害的情况下，朝阳法院可以开这样一个研讨会，具有非常大的意义。法官在各自领域都是专家，我也是本着学习的态度过来的。此外，我认为法院的判决是最好的一种法治宣传的方式。虽然我们作为专家写了很多书，但法官的判决给社会的影响力与我们的一篇论文不可同日而语。在立法不完善的情况下，判决有先导的问题，涉及到如何认识个人信息的问题，对于个人信息的概念、个人信息的保护，法院整理了非常完善的资料，非常全面，比如刚刚谈到的观点。

在我们国家，对于个人信息的认识也是在逐步的发展完善当中。2017年网络安全法能够单独以其他信息结合识别自然人身份信息，只讲到识别自然人个人身份，但同时2017年6月1日开始实施的两高关于侵犯个人信息刑事案件适用法律若干问题的解释就把定义改为是以电子或者与其他信息结合，反映特定自然人活动情况的各种信息。所以我们就看到2017年6月1日同时实施的具有法律效果的法律当中，一个是法律一个是司法解释，在引用中具有同样效力，对个人信息的理解不一样，所以两高解释增加了一个。但是两高解释提出了各种信息，举出了很多例子，比如身份证号、行踪轨迹等。全国标准化管理委员会，在5月1日实施有个人信息安全规范，对个人信息的解释又更详细了一步，解释为个人信息是以电子或者其他方式记录的，能够单独或者与其他信息结合识别，特定自然人身份或者反映特定自然人活动情况的各种信息，前面跟两高的解释定义是差不多的，但后面的列举更加详细，列举了姓名、增加了出生日期、除了身分证号，还增加了个人生物识别信息、住址、通讯联系方式、通讯记录和内容、帐户密码和财产信息、征信信息、健康、生理信息、交易信息等，还增加了判断哪些信息属于个人信息，提出了识别的标准——就是两条路径，一个是识别从信息到个人，第二是关联，从个人到信息，是双向的。比如已知特定的自然人，该自然人产生的信息，个人信息、同化信息等都是个人信息。同时还做了非常详细的列举，第一是个人的基本资料，基本资料包括姓名、生日、姓名、民族、电话号码等；第二是身份信息包括身份证、护照、驾驶证、社保卡、居住证等；第三是生物信息，包括指纹、面部特征等；第四是网络标识信息，包括系统的帐户、IP地质、帐户地址、密码、口令、个人数字证书等；第五是医疗信息，包括手术、麻醉、药品、食物过敏信息等；第六是个人教育信息，包括学历、成绩单等；第七是个人财产信息，包括存款信息、房产信息、借贷信息、消费记录、流水帐以及虚拟游戏兑换等；第八是通信信息，包括通信记录、彩信、电子邮箱等；第九是个人上网记录，包括软件上网记录等；第十是个人位置信息，包括定位等等，我认为上述个人信息是最全面的。如果法律人不努力的话，在立法上的话语权就会越来越少。

回过头来讲个人信息如何保护，现在泄露是这么严峻，前天我看到一个信息泄露不仅仅是个人身份信息，还涉及到基因、医疗信息。我们的信息安全除了涉及到技术上的漏洞以外，与我们的管理有很大关系，责任如何划分，就是我们今天研讨会讨论的问题。从源头上来看，怎样认识个人信息，个人信息权在法律上一种什么样的权利，只有把这个明确下来，才可以追责。我们的宪法保护人格权，但是没有明确保护隐私权，更没有提到个人信息权，在目前随着科技发展，中国社会已经进入数据时代，个人信息权应该是一种宪法权利，只有权利上升到宪法权利才能更好地保护信息权。以我们用微信读书来举例，看一本书可以显示微信好友某某也在读书，如果我是一个品位高雅的个人，我很想让别人知道我也在读书，但是我也有读其他书，比如私密性书籍的权利，但是我不想让别人知道。个人有公众形象，但也有私人形象。我们不是技术专家，不可能在用APP之前就什么都知道，风险防控意识也没有这么强，而企业是非常强势的，所以应该加强企业的责任。企业既然要赚钱，那获取了信息就应该加强企业的责任，至于怎么样做之后再看。我们可能有很多信息单独来看没有问题，但是合在一起是对个人全面的画像，个人信息保护什么就需要有一个基本原则，即一个全面的原则。虽然说国家标准化委员会关于个人信息的表述非常完善，但是我还是赞成欧盟的定义。欧盟的定义指身份可识别的自然人相关的任何信息，通过信息知道这个人是谁，通过信息可以识别某人的情形都包括在内。所以我认为保护还是不完善，比较完善的保护还是欧盟的定义，要保护的个人信息是有关个人的所有信息，普遍的保护有一个好处就是是否侵犯个人信息的权利需要提交法院，不至于还讨论信息是否属于法律上要保护的信息，只要是个人信息都应受到保护，侵权如何划分由法官认定，所以这是我对个人信息的看法。前面我们到个人是非常弱势，企业或者是互联网企业占有绝对的优势，腾讯发布的个人隐私、网络侵权的报告，99%的APP都在不同程度的收集个人信息，有核心的、普通的个人信息，重要性越高的信息，被收集的比例越高，企业在收集我们信息的时候我们根本不知道，按照公平合理原则来讲，应该由企业来承担责任，数据控制者要有保护个人信息的义务。如果提出已经尽到妥善保管义务，是否构成抗辩理由，但是保管义务必须加重，可以在法律上确定如何尽到保管义务。第一个，保管的期限，因为根据大家公认的欧盟条例以及国内的信息保护规范，有一个最短时间，实现目的的最短期间。支付宝在香港的时候，提到了对于信息是永久保存，香港的人士就提出来了，违反了香港个人数据保护条例，从个人注销帐户之日起只能保存7年，在没有立法依据的时候，由法官确定数据控制者保存的最短时间由法官来定，如果超过了没有尽到保管义务，当然要负责任，对信息进行删除或者匿名化处理，我个人认为是没有做的，如果做了信息的价值就没有那么高了。第三条对于敏感性信息是否做了加密处理或措施。第四是不是有保管记录，有变化是否做了记录。第五是拿到信息是否做了信息安全的评估，是否是敏感信息、绝对不能泄露的信息，如果没有评估就没有尽到保管义务。第六是是否制订了个人信息处置的预案，一旦信息泄露是否做了预案，试想一下信息泄露以后，要怎么样，但是信息泄露之后放任，没有想到预案，当然没有尽到保管义务。第七是对信息的管理者，是否签了保密协议；通过上述判断企业是否做了保管责任，如果没有尽到保管义务当然要承担责任。关于举证责任的分配，是否尽到保管责任，要由企业举证，而不是把责任拿到被侵权人身上，企业要举证证明尽到了保管义务没有泄露。我一直有一个观点，进入了大数据时代，我们的信息被多人所知，也就是信息泄露是不可避免的，我们日常生活中都要填身分证号、真实姓名，还有红色标注，不能不填，信息泄露是不可避免的，我们只能做到技术的发展，生物特征识别应用越来越广泛，比如京东网站可以避免非法获取我的信息。比如现在谁侵犯了我的信息，赔礼道歉就完了，撤下来就完了，代价太小，这样就有示范效应，这种判决不会起到威慑和预防的作用，只会起到鼓励的作用，司法工作的重点就是加强对信息非法使用的打击力度，就是加大赔偿责任，惩罚性赔偿、精神损害赔偿应该予以经常性的使用，甚至是数额很大，这样才能起到威慑作用。可能发表个人单个信息不构成侵权，但是谁要把这些信息总结出来挂到网站上，就打击总结信息的个人。对于个人造成的危害性，被侵权人的过错大小也要结合起来考虑，明显超过了道德问题，具体如何赔偿，由各位法官根据个人的专业和危害性的认识来做判断，这是我的一个看法。第五条保管主体具有超过保管期限就应该删除或者进行其他处理，最短期限如何界定要进行非常深入的研究才清楚。我个人认为财产损害赔偿应该可以，很多案件非常复杂，完全相同的个案很难出现，涉及到被侵权人个人认知度，由法官来做衡量。精神损害赔偿的问题，有过失和故意，应该与其主观结合起来，我是特别反对把精神损害绝对排出。

彭主任把个人信息界定非常全面，对于个人信息要进行从严的保护，主要是企业加强保管义务、赔偿责任，从数据用户个人角度非常支持彭主任的观点，想听一下企业嘉宾对彭主任的观点。

首先，我们也注意到庞某理案，我更倾向于一审判决。收集信息和泄露信息的渠道非常多，走到路上打开百度地图，肯定要收集轨迹信息，而我经常使用。他可以知道我的家庭、公司地址等，我使用易通行软件，要输入真实的姓名等，要进行识别认证，公交也要刷卡上车，在每个用户会选择眼前的便利，没有想到可能未来导致的损害，有的人说可以选择易通行的公交卡，但是我的公交卡丢了好几次，我会选择眼前的便利。出了地铁站我会做共享单车，小黄车不用输入身分证号，也不会收集我的轨迹信息，所以我选择小黄车，但是现在共享单车都在收集。这不仅是因为技术的强大，也有用户的选择。2016年发布APP的规定，要求APP的开发者和运营者，不管是涉及到信息发布，即便个人化的APP或者唱歌的APP，在国内至少要提供手机号，手机号会关联真实身份。很多硬件也在收集个人信息，用户有欢迎的态度，小米手机会收集支付宝、微信的记录，之后会有记帐的作用。除此之外，公司之间由于数据竞争关系，导致我们很多数据进一步扩充分享。踏上地铁的一瞬间，全市的互联网都是智能化，无时无刻不在收集信息。在判断个人信息侵权之后，我特别赞同彭老师的看法，如果真的想解决问题，要上升到宪法。现在的关于个人信息的界定在不断扩展，我们不仅关联到个人信息，自从去年5月出台的司法解释，JPPR对个人信息的界定不是识别而是关联，只要涉及到特定的一个人就可以，穷尽所有资源，只要一有机构识别到信息就是个人信息，虽然美国对个人信息的界定，也提到了识别说，但是更加谨慎，对特定的一些在具体的纠纷，IP地址不认为是可以识别到特定的个人身份，除了特定的领域，除了高法有一些突破。但是美国的司法实践限定在一个相对的范围内，欧盟的JPPR只要行为活动是由特定的我本人发生出来的，可以记录的，那他就属于我的个人信息，但是可识别性太高了，几乎是没有其他的，所以对个人信息的界定判断，为能够彻底实现保护的价值，就是上升到宪法的权利。从保护个人来说，已经超过预定的期限都要进行销毁，但是期限的确定在实践中很复杂。考虑到安全的需要，企业客户注销帐户时，还要保存个人信息，这个需由法官裁量。单纯的个人信息侵权，是否要考虑侵权人的收益状况，除了个人保护因素之外，可能还要考虑市场的因素、竞争因素，需要结合获益人或者企业收益状况，但是还没有跳出因果关系，没有明确说明处理或者泄露与损失之间的因果关系。这样会加重市场的机动性，用户会选择大企业，选择的时候没有收益期待，实际上是加剧了大企业的金融行为，小企业将会丧失市场的机会。

谢谢王老师的精采发言，关于技术和企业，有两个方面问题对我们特别困扰。刚才王老师有提到，彭老师也提出了企业尽到保管责任的标准。实践中，很多企业把泄露推卸到其他渠道或者受害人本身，如何判断、举证责任如何分配是我们很困扰的问题。很多企业在收集信息，都有信息主体签署同意，使用APP会弹出很长的声明，但很多用户都不仔细阅读便签署同意，这是否成为保管企业抗辩的事由，我们也会考虑这些问题。我们想听一下其他嘉宾的看法。

首先，还是感谢朝阳法院，我们把典型案件拿出来，对学说研究和立法都非常有意义。第一，关于个人信息界定的问题，讨论个人信息的时候，我个人还是觉得还是回到最基础的问题。讨论个人信息在现有领域体制内，回到人格权讨论这个问题，实际上在最早民事法律关系理论的时候，德国民法典也存在一些缺陷，就是人格，人对自身能否进行支配？这方面认为是不行，一旦承认，就是说人就有自杀的权利，不符合德国人的观点。在把握个人信息的时候，作为人的本质，我个人认为，不太好罗列哪些是个人信息而哪些不是，只能根据个案判断。只要相关的都是个人信息。我认为保护范围过宽，在我们国家我个人觉得，会是要保护，但保护太过是否合适？有客票号、行程号很难成为个人信息，但是都放在一起会指向个人信息。在目前情况下，最好把个人信息和隐私分开，适用隐私权保护，对于隐私权如何界定，国内隐私权界定过于宽泛，讨论个人信息我觉得在民法总则强调受到法律保护，至少在目前不是宪法，宪法强调的义务人是国家。规则原则如何确定，我们现行立法，只能是过错责任，侵权责任法有一个很困惑的问题，就是过错责任，到底在实践中怎样把握？也有一种观点，认为一般性的侵权责任，有损害发生证明因果关系，过错是不言而喻，反过来恰恰是行为人证明我没有过错。再者，信息侵权和第三人侵权竞合的问题。我个人觉得我获取了客户个人信息，我泄露了个人信息，信息被第三人利用，某种意义上讲，实际上在合同法也有规定，可以类推。如果当一个人对某个物有占有权，一般我们都会推定有保管义务，违背了义务，被第三人利用，处理方式我个人倾向于类推安全保障义务，可能比较合适。在第三人侵权的情况，责任如何分配？除了处理，可能会有一些争论。所以说我认为觉得第三人一般情况下是主观故意，作为信息的保管人可能是过失。在这种情况下，结合损失如何处置，我倾向于实际上一个直接结合造成的共同损害，是不真正的连带责任。。那么另外一个就是保管义务，根据具体情况来复杂，比如说金融机构可能对于信息的保管义务，就会高一些，但是刚创业的小企业就会低一些，这是我们司法实践中能够做到的。销毁的合理期限，如果有约定，超过期限有责任；当然有一些个人信息有价值，但是有一些可能没有，怎样如何判断获益，如何区分，我个人觉得在这个问题上直接酌定可能会更好。无论是司法解释还是侵权责任法，单纯精神损害不走精神损害赔偿，我们讲侵权责任在精神损害赔偿是用金钱克服精神痛苦，但也未必非要精神损害赔偿，可以让侵权人公开道歉，或者在指定媒体上道歉。

谢谢尹教授的发言，明确了对第三人侵权的要承担不真正连带责任的意见，包括精神损害也给出了明确观点。下面请上级法院的法官围绕研讨的问题发表意见。

对于七个问题，可以分为四个问题，第一个个人信息的概念，第二、三、四个问都是对侵权的确定的问题。第五个问题涉及到数据和信息的关系，第六、七涉及到损失的认定。第一个问题我就不讲了，我本人理解个人信息和个人隐私有交叉，看当事人选择。第二、三、四个问题，是比较重要的问题，如果共同造成侵权行为，适用共同侵权还是不真正连带责任或者其他方式，是面临的实质性问题，我个人理解现在一些看法特别接近，案例中说的特别多的是违卡交易，违卡交易有点区别，最初的违卡交易也是存在一个完全按照侵权逻辑审理这类案件，当事人应该举证密码，密码相当于被盗窃，伪造卡片凭密码进行交易，银行不承担任何责任，要用户举证密码泄露，用户掌握密码，当然要证明，但是的确很难，一开始都是用户败诉。之后大家区分按份责任，银行也有一定责任，毕竟你知道卡片是可以复制的，但是近年几乎这类案件银行要承担全部责任，一些监管义务，对银行的监管以前没有出现违卡交易银行应该怎么处置的流程，央行要求如果用户要求承担责任，银行应该先垫付。利用风险盈利，由谁承担控制风险的责任，我用银行卡不到柜台去，消费者也获得了利益，但是获益最多的还是银行，银行不但获得便利还有一些利润。第三，随着这些年的发展，大家逐渐明白了一件事，控制风险实际上是技术可控的，成本不是想象的那么高，我把磁片卡换成芯片卡没有那么高的成本，如果控制风险，成本是可控的，技术是可实现的，但是你没有这么作，银行实在不好解释，这些年出现了无卡交易，就是网上交易，网上交易实际上没有实体卡，不存在卡片可复制，银行通过这些途径排除责任。企业是否尽到了最合理的技术，当然这是专业的问题，我也说不清楚，如果达到了技术，至少说义务是做到了，如果有一个好的技术，但是不用，却用一个低成本的技术，要承担责任。平台要监管帐户，说技术很难，但也有人说其实很简单，花不了多少钱，很多人就觉得应该承担义务。适用共同侵权还是安全保障义务，如果第三人侵权，承担不真正连带责任，但是现在不真正连带有时候犯罪的，找不到犯罪人，这时候如果起诉法院是否受理？这些问题，但是看起来现在好像还是倾向于连带责任。当然不见得准确，但是适用起来更过瘾。第5个问题有关个人信息保管问题，其实保管问题涉及到收集和使用，网络安全法说的是如果要收集和使用应该遵循合法正当必要和同意原则，同意原则很多理解我们以前没有注意。北京市互联网法院设立，审理规则的制订，讨论特别多的事是统一原则，因为在线上审理和线下审理，当事人统一才能线上审理，假如说只有同意一个选项，同意不是虚假的，我用百度地图，只要不同意就无法使用，只能尝试同意，类似于强制同意。很多软件第一次同意，第一次用百度地图同意了，下次就不用同意了，一次同意与后续同意，这两个问题要解决，不适合给一个特别答案。

对于保管问题，我们遇到的实际上是有关网络企业举证的时候，对消费者信息被拿走了，过几年删除了，有些信息实际上企业作举证责任，但从事网络服务的平台说找不到了，所以是双向的。实际上双向的意义，对于信息被收集者也是不利，可能基于某个具体行为法院要判断。有关保管义务可能达到什么样的标准才算，所有的企业除了要履行一定的监管义务，一定要有一般人责任，即监管可能没有要求你做这些事，但是普通老百姓认为要有义务。对于第六、七的损失问题，对于信息和网络信息的保护，我个人理解是有关系的，刑事案件保护与民事案件有区别，数据不认为具有财产性，认为民商事、刑事还没有明确规定，认为是盗窃，根据信息的条数和数量，反映多在民事侵权领域，赔偿要证明损失。可能老师们都提到了三个不同解决路径，一是很难的损失如何判，判断不了就酌定，但是酌定说不清楚，消费者权益保护的欺诈问题，比如买车，原来是两把钥匙，现在是一把钥匙，但是不影响欺诈，但是影响知情权，就是酌定影响了知情权没有造成损失，影响知情权不影响选择权。按照获利，证明不了因果关系，按照获利不需要因果关系，获利是制止你的行为，让你挣不了钱，而不是损失。有关精神损害能做扩大解释比较好解决，我没有什么研究，没有权利发表意见。这些是个人粗浅认识，请大家指正。

同规则原则和举证责任，刘法官都给了我们很好的意见。下面请齐晓丹庭长发表意见。

概念和内涵不再过多阐释。信息获取保管主体一般果实的情形，第三人通过个人的行为，比如窃取或者其他不当行为指示了侵权行为属于安全保障义务，安全保障义务没有到位，第三人基于其安全保障义务没有到位导致信息被泄露的损害；第三种情形是不是存在重大过失，也就是个人信息获取的主体并没有采取任何的安全保障义务，而是放任他所保管的信息为任何的第三人获取，第三人获取之后造成的侵权行为，可以适用侵权责任法的无意思联络的共同侵权。共同危险行为我原来在思考的时候没有想到这种情形，共同危险行为在诉讼上的操作有一定的难度，每一个事实危险行为的主题都要成为诉讼的主体。最后，关于共同承担责任，鉴于个人信息为不同的主体所掌握，掌握信息主体具有广泛性，在诉讼中把那些掌握个人信息的主体追加进来，承担共同危险行为的责任，可能就是操作上比较难，这是关于多人侵权的情形。

关于第四个问题，举证责任的分配实际上是一个难点问题，大家都清楚，民事诉讼法和刑事诉讼法的举证责任不同，民事诉讼法是高度盖然性，刑事诉讼法排出合理怀疑。我也注意到朝阳法院判决个人信息保护类案件的原告胜诉率是50%左右，也体现原告承担举证责任没有问题，个人信息保管方是否存在违法行为以及是否存在过错，实际上在这个案件中是一个问题，逻辑在于一旦对个人信息保管一方对他泄露个人信息的行为进行了认定，也就认定了他存在过错，因为他具有保管个人信息的义务，一旦认定他存在泄露个人信息的违法行为，也就认定了他违法上述义务。在回到举证责任问题，更多的还是根据日常生活法则来判断信息保管的一方，是否存在泄露问题，也要结合理性判断问题，不可能主动把个人信息泄露造成个人损害。银行卡盗刷要区分违法盗刷还是无卡交易，在个人泄露的情况基本是数字信息，不存在伪造，无卡交易是数字化的掌握问题，除了要证明个人信息保管的主体对他个人信息泄露之外，作为原告一方也要有义务避免自己损失的扩大，比如说如果个人信息进行初步的泄露，在后续交易过程中，他没有尽到谨慎的注意义务，导致损失进一步扩大，所以其自己要承担责任。在无卡盗刷也存在这样的问题。对于个人信息保管期限问题，要考虑请求权利的基础，到底是合同上的还是侵权的请求权基础，合同上是否约定了保管期限，侵权上的请求权基础其个人信息由其他方掌握。是否存在危险，如果有危险或者可能性，可以要求排除危险。如果已经尽到了安全保障，侵权法的请求权基础不存在。关于损失的问题，使用侵权责任法第20条进行酌定。关于精神损害是否赔偿的问题，赞同老师们的观点，对于精神损害赔偿要严格控制，在侵害了隐私权、名誉权导致公民主体精神上受到了严重损失，可以主张精神损害损失，受害人来承担举证责任。请大家批评质证。

谢谢齐庭长的精采发言，对第三人侵权过错分层的分析，非常受启发。下面有请京东的李丽老师发表观点。

今天特别容幸、惊喜的学习的机会，还有一个惊喜是材料非常详实，所以我非常感谢。会议进行到现在已经是满足了既充实又精彩的要求。我自己做了大概10来年反不正竞争。个人信息保护数据安全，对企业有多么的重要，与数据保护结缘，写了一本JPPR的专作，有很多不成熟的地方，无论对于公民还是企业还是政府的治理有一些意义，所以谈不上了解，需要一起努力持续关注这个问题。我今天学习到很多，我讲一些学习心得和观点疑问，有很多法律都规定了个人信息需要保护，但是什么是个人信息，个人信息权利的内涵和外延确实是没有明确和统一的答案，法条普遍采取识别说，JPPR出台之前我们认真学习过了，确实是联系说。目前为止，联系说范围太广，管辖范围或保护领域、范围太广，往往导致重要信息保护不了，可能更需要相对确切的标准，也就是说我个人更倾向于识别说，刚才程老师把哪些是个人信息，介绍了信息安全规范的划分标准，我觉得特别相近，无论对于企业的合规和政府的治理，还有法院的裁判有很多的接近意义，我觉得很好的一点有确定性，能够保证是个案或者合规的时候有统一性，大体划分为生物信息、身份信息和行为信息。这些信息中敏感、重要的信息可能都需要保护，但是我有一个不太成熟的观点，我觉得不一定所有的公开信息都可能构成需要保护的法益，对大陆法的国家，每一个个案都识别，稍稍有难度。

第二个问题就是专业性就很强，规则原则，从我学习法律的过程，就是一个复议的过程，侵权责任法第6、7条的规定，那些法律责任可以举证导致，那些属于特殊的法律责任，法律是有明确的规定，民法审判涉及到谁主张、谁举证，有一些理论上的东西没有完全吸收、消化。第四个问题，如果确定了侵权主体，有行为，过错就体现了，如果这个数据控制人能够证明尽到了妥善保管的义务，这就是证明其没有过错的抗辩理由，这点是构成抗辩理由的，这也是和各位老师的观点一样。第五个是我想和大家分享，信息保管主体的销毁义务，与公司业务交流的过程中，也是企业很大的困惑，京东有很多数据，是一个纯粹的客户，有可能很多年都没有购买了，但是数据不敢销毁。不仅仅有销毁权，还有审阅权，所以有冲突，应该有确定的规定，数据保管主体在不同领域需要保管多长时间。随意把用户数据删除，可能导致其他的侵权，企业需要明确的，就是逐渐实现的过程中，能够判断或者能够给一个期限，不同的领域需要保管多长时间？

第六个实际损失问题，法律明确规定应该没有什么问题酌情裁定。首先，酌情裁定赔偿的情况，应该与侵权行为有因果关系，其次就是实践的过程中有难度，证明财产损失有多大，单独的案件法官调查由于侵权行为有多大的获益，其实不是那么现实的，投入很大，收益会很小，这么做没有问题，但是这么作效果可能不会那么影响。然后是第七个精神损害问题，精神损害要造成严重精神损害，才能请求精神损害赔偿，以前隐私权追偿精神损害赔偿，好像数额都不一定多大，证明严重精神损害更加不容易，精神损害赔偿请求权要建立在私生活信息、支配私人空间是否受到侵害，一般都是公共信息的领域，个人得生活安宁或者私密信息受到多大的损害，好像挺难证明，彭老师提出看信息保管主体的过错有多大。损害赔偿责任更多的是一种弥补损失的做法，所以说弥补受害人有多大的损失，有多大的损害赔偿，从信息保管主体的过错来讲，可能还不是特别容易操作，另外就是第二个案件，发生的频率也会比较高，一方是保护不到位，还有另一方面是虚假案件，获得竞争优势，原告造出一个案件，在法院审查可能也是审判过程中的一个困难和挑战。

发言中说出了数据保管企业的一些心声，也是我们在司法实践中困惑的问题，具体如何适用也是我们需要面对的挑战。今天的发言非常精采，可以说是一个非常好的头脑风暴，大家形成了一些共识，但是有些问题还存在着一些争议，包括精神损害是否应该赔偿的问题，关于第三人侵权责任性质以及应该如何赔偿，都还有待进一步探讨的空间。非常感谢各位专家的精采发言，时间关系，今天的研讨会我们就到这，我提议，用掌声感谢今天所有与会者的专家还有媒体朋友。今天的研讨会到此结束。

感谢各位网友的关注，感谢北京市高级人民法院新闻宣传办公室赵思源同志、朝阳法院酒仙桥法庭、民事审判第一庭、服务中心对此次直播活动的大力支持。