余波未央:企业如何应对大额个人信息罚单的后续链式反应
发布时间:2022-08-03
文 | 史宇航 汇业律师事务所 顾问
《个人信息保护法》自2021年11月1日正式施行以来,并未只停留在纸面上,而是有着广泛与深入的适用,不仅出现了接近年营业额5%的顶格罚款,也出现了不少自然人主张自己合法权益的诉讼。而对于企业来说,收到监管部门的大额罚单并不是终点,更不是“利空出尽”,而是新的合规起点,并且会新产生专属于大额罚单的合规科目。
一、个人信息大额罚单的特点
《个人信息保护法》第66条针对情节严重的个人信息违法行为,最高可以对企业处以五千万元以下或者上一年度营业额5%以下罚款,并且伴随其他一系列的处罚措施。对于一些大型平台企业,罚单的金额与处罚内容将会相当骇人。结合欧盟GDPR下大额罚单的特点,我们可以发现大额罚单的以下三个特点:
1. 大额罚单的对象,通常是针对用户众多的平台企业,用户数量通常会在千万、甚至亿的量级。此外,大额罚单的背后通常还意味着监管机构认定平台长时间的侵权行为,从最近的《个人信息保护法》的执法来看,甚至会追溯到法律施行之前的个人信息处理活动。即在监管部门的视角下,对于存量数据如果在法律施行以后继续利用,仍然需要“对齐”新法的合规标准。法律适用时间范围的拓展也让受影响的用户范围大幅增加。
2. 大额罚单的另一个特点企业通常会选择接受罚单。大额罚单通常会来自层级较高,且较为强力的机构。《个人信息保护法》第66条明确规定了情节严重的,由省级以上履行个人信息保护职责的部门负责处罚,这通常意味着国务院直属或省级的网信、工信、公安、市监等部门负责处罚。此类机构的处罚通常会有如泰山压顶之势,企业在面临处罚时也通常出于“惯性”会采取全面配合、承认错误并承诺整改的态度。
3. 大额罚单是媒体与公众的关注重点,进行处罚的部门也通常会公开相关处罚文书,或是对处罚结果进行公开,并通过答记者问的形式对案件的部分细节进行公开。此外,通过天眼查、启信宝、企查查这些平台也会记录企业所收到的大额罚单。行政处罚的公开无疑会让企业的风险暴露面显著增加。
大额罚单的以上三个特点,天然就构成了个人信息侵权案件中的证据链条,让收到罚单的平台企业可能面临来自个人信息主体的海量诉讼。此外,因为平台企业涉及大量的用户,检察院与消费者协会等组织也可以依据《个人信息保护法》第70条与《民事诉讼法》第58条向法院提起个人信息的公益诉讼。
二、天然的证据链条
大平台意味着用户的数量众多,即众多的用户意味着每个受影响的用户都有权发起诉讼,让平台企业所面临的诉讼压力陡然增加。而监管部门的大额罚单则让侵权本身成为一项无须用户证明的既定事实,尤其是企业对罚单的认可态度更构成平台企业对事实的自认,进一步降低个人信息主体诉讼维权的难度。在逻辑上,企业在法庭上很难否认自己在官方微博或微信上发布的承认违法并承诺整改的通告信息。
此外,监管机构或媒体对处罚的披露也让案件的细节得以被公布。即使不公布处罚文书,个人信息主体也可以申请法院调取相关的处罚文书作为证据(当然是否能调到是另外一个问题)。鉴于行政处罚的新闻报道、公告或文书已经可以构成完整的证据链条,所以只要个人信息主体能够有效证明自己的身份,证明自己在处罚指向的时间段内确实使用了该服务,那么只要用户来进行起诉,个人信息主体就有极大的可能性赢得官司,获得赔偿。
概言之,大额行政处罚坐实了存在违法行为的客观事实。个人信息侵权诉讼中,过错推定责任要求处理个人信息的企业承担更多的举证责任。《个人信息保护法》法第69条第1款规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”在大额罚单的背景下,举证自己没有责任只会更加困难。
三、可能诉讼请求
个人信息主体可能会通过诉讼,要求行使《个人信息保护法》第44条的知情权,了解平台企业违法处理个人信息的事实。此外,个人信息主体还可能要求赔偿损失,而这种损失可能是精神损害。
在民事诉讼中,个人信息的赔偿的金额不易计算,《个人信息保护法》第69条第2款规定了三种损害赔偿方式:
个人因此受到的损失
个人信息处理者因此获得的利益确定
个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额
就具体的金额,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第2款规定:“被侵权人因人身权益受侵害造成的财产损失以及侵权人因此获得的利益难以确定的,人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。”考虑到平台企业可能面临大量诉讼,累计的赔偿金额也可能会是天文数字。
四、企业如何应对
1. 审慎发布罚单回应。平台企业的法务部门在审核对罚单的回应,应当从该回应文件可能会被作为证据用于后续诉讼的角度优化表述。
2. 主动赔偿。在平台企业收到大额罚单后,有必要主动面向受影响的个人信息主体提供补偿方案,而非等待个人信息主体告上门来。对于补偿金额与方式,平台企业应当交给依据《个人信息保护法》第58条成立的“由外部成员组成的独立机构”负责确定。此外,平台企业可以与开具罚单的部门、所在地消费者协会或所在地检察院进行主动沟通,获得第三方的认可。避免企业疲于应对来自全国各地的诉讼。
3. 依法进行赔偿。在个人信息主体发起诉讼后,依法进行赔偿。而个人信息主体诉讼中可能最难以证明的是人身权益造成损害,并且《民法典》第1183条规定仅在人身权益造成严重精神损害时,被侵权人有权请求精神损害赔偿。在此类诉讼中,遭受损害的大小可能会是少数几个变量之一,值得特别关注。
五、大额罚单背景下个人信息主体侵权诉讼的逻辑
个人信息保护始终都有两条进路:一条是国家安全的道路,尤其是平台企业所掌握的海量个人信息,可能转化为重要数据;另一条是人格权的途径,个人信息毕竟是个人的信息,无法规避个人对自己权益的保护。这两条进路并非平行,而是交汇并行,共同构成了个人信息保护的途径。
因此,当平台企业因为违法处理个人信息而被进行处罚,随之而来的可能就是来自个人的权利主张。这也意味着企业的合规措施不能只是考虑来自监管部门的压力,同时也要照顾到受影响的普通个人。
《个人信息保护法》施行尚不足一年,但个人信息合规诉讼已经起步,越来越多的法院开始审理不同场景下个人信息合规的各种问题,而对这些司法案例的整理归纳,无疑会成为个人信息保护规则的中坚力量,成为企业开展个人信息保护的基线。