首页

杨帆 周悦丽 民法典关于个人信息保护的立法设计与思考

  • 作者:
  • 时间: 2020-07-20 14:15:36
  • 点击率: 1364

摘要:《中华人民共和国民法典》明确规定,个人信息受法律保护。民法典第1034条到第1039条明确了个人信息保护的基本规则,既为当前个人信息保护提供了基本法律依据,也为其他相关立法提供了民法基础。民法典关于个人信息保护立法适应了数字时代、信息社会发展的要求,具有时代性、进步性,体现了立法为人的基本理念。但民法典没有明确个人信息的“权”属性,为风险社会、信息保护发展预留了较大空间。这种立法设计既有对个人信息保护特殊性的考虑,也有法典化过程中的一些必要的考量。贯彻实施民法典,需要对个人信息保护的制度设计有更充分的、更系统的认识和思考。

关键词:个人信息;隐私权;人格权;个人信息保护法

2020年5月28日,十三届全国人大三次会议表决通过了《中华人民共和国民法典》(以下简称“民法典”),自2021年1月1日起施行。民法典是社会生活的百科全书,是人民权利宣言书,是我国法治发展的里程碑。民法典有效回应了时代发展的新问题、新现象,其中特别重要的,就是个人信息保护。民法典第1034到第1039条,明确了个人信息的内涵、外延、保护范围、保护方式等,明确了个人信息保护的基本规则,并回应风险社会、为信息保护发展预留了必要空间,为其他部门法的相关规定提供了民法基础,也为个人信息保护的专门法律提供了基本法基础。

一、民法典明确保护个人信息

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息成为数字经济时代的“货币”,不仅只对信息主体而言是有价值的,对于全社会而言同样是重要资源。比如,我们在网络购物、互联网金融等业务中留下的身份证号、手机号码、地址等用户真实注册信息,一些 APP 应用软件经常读取的用户手机通讯录、通话记录、短信内容、位置定位等信息,公共场所免费 WiFi等在用户毫不知情的情况下获取的用户个人信息等。这些有的被用于商业推介,有的被不正当收集转让,有的被非法商业利用等,为自然人信息主体带来一定损失。信息时代,万物为媒,回应时代发展的要求,回应信息主体权益保护的正当诉求,民法典采用总则加分编的形式,明确了个人信息的法律保护。

(一)民事权益的宣示性保护

民法典最大的特色之一,就是彰显权利保护。该特色的形式体现最显著的即在法典总则编专门设“民事权利”一章,将我国民法所确认和保护的民事权利予以规范。民法典第111条规定,“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”该条虽未明确个人信息可得为哪一权利客体,但明确将个人信息保护列在自然人的人格权之后,明确其具有私法的性质、获得私法关于人格权保护的资格。同时,该法条也明确了信息收集主体的法律义务,明确了可能危害个人信息保护的形式,为人格权编关于个人信息保护的制度设计提供了基本依据。

民法典第四编人格权呼应总则编的规范设置,在第六章中进一步明确规定了个人信息保护的相关内容。根据“隐私权和个人信息保护”一章的内容安排,在隐私权之后,民法典用六个法条,较为详细地规定了对个人信息的法律保护。

(二)明确个人信息的内涵和外延

呼应民法总则第111条,民法典第1034条明确了何为自然人的个人信息,受法律保护的自然人个人信息的范围有多大。根据该法条,“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”

根据民法典,个人信息就是指以电子或者其他方式记录的、能够单独或者与其他信息结合识别自然人个人身份的各种信息。个人信息的范围涵盖较广,既包括我们日常生活中熟知的姓名、住址、电话号码、社保账号、驾驶证号、金融账户号码、生物数据等信息,也包括“电子邮箱”和“行踪信息”等信息。民法典回应信息时代信息数据发展的特点,将“电子邮箱”和“行踪信息”纳入个人信息范畴,丰富了个人信息的时代内涵和外延。自然人不仅以物理“肉体”形式存在,信息时代、万物互联,互联网可以记录每个人的痕迹,信息技术也可以勾勒和区分每一个不同的个体。过去以保护姓名权、名称权和肖像权等用于个人信息保护的具体人格权,已明显跟不上信息时代发展的步伐,个人信息收集和使用比以往任何时候都更方便更快捷,每个人在网络之下都面临“裸奔”的无奈。但滥用个人信息的背后是对作为信息主体的自然人的人格尊严无视、人的自由的侵犯。因此,呼应时代发展和人的权利保护的必要,扩张个人信息的内涵和外延,并以民事主体法定的人格权益的方式加以保护,与信息的合理使用和自由流动并不必然冲突。

(三)合理界定处理行为

民法典第1035条明确规定,“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”该法条既延续了2017年《中华人民共和国民法总则》第111条的规定,又细化了《中华人民共和国网络安全法》相关规定,对于个人信息处理做出了合理限制。

根据民法典第1035条,个人信息处理行为包括收集、存储、使用、加工、传输、提供、公开等行为,这就将信息数据生命周期的全过程纳入了规制范围。同时,民法典明确上述行为应当遵循合法、正当、必要原则,不得过度处理。与《网络安全法》“公开收集、使用规则,明示收集、使用信息的目的、方式和范围”相比较,民法典更加尊重信息的价值,以“过度”作为权利行使的界限,并且将有能力处理个人信息的主体大大扩张,为市场经济下信息有效利用提供了最大便利。实践而言,目前国内大数据和互联网行业多是民营企业,民法典承认、允许企业开发个人数据以实现经济价值,不仅能推动大数据等高新技术产业和数字经济发展,也有助于扶持民营经济。[1]

民法典第1036条还对个人信息的处理规定了免责事由。免责事由一直是我国个人信息处理规则的一个缺失,个人信息保护是民法典的重要价值追求,但是如果过度保护个人信息,就会加重数据开发者的责任和义务,阻碍数据价值的实现和数字经济的发展。正是基于两者利益平衡的考虑,民法典第1036条明确了信息处理者的三类免责事由:在同意的范围内合理实施的行为,即未超过同意时双方约定的处理范围或者在法定范围内实施的处理行为;处理自然人自行公开或者其他已经合法公开的信息,但自然人明确拒绝或者处理该信息侵害其重大利益的除外,即赋予了权利主体对于公开信息的控制权,具有极强的灵活性;为维护公共利益或者该自然人合法权益,合理实施的其他行为。此次新冠疫情绿码实际上就是基于公共利益合法收集的公民个人信息,并且在使用过程中也严格限制了绿码的使用范围等,要求基于公共利益或自然人利益也要有度处理。

(四)明确相关主体权利义务

个人信息及其处理涉及两大主体,一是个人信息主体,即个人信息的自然主体、源主体,另一是信息处理主体。在信息的生命周期内,两大主体既相对立,又共享数据利益。民法典有效回应信息时代这两大主体的利益诉求,划分二者的权利义务。对于个人信息主体而言,规定其享有可以查阅、复制、更正个人信息及删除违法获取的个人信息的权利。对于信息处理主体而言,则明确其应当承担的相应义务,要求其不得泄露、篡改、向他人非法提供信息,同时必须保障技术措施和其他必要措施信息的安全。上述种种规定很好地平衡了个人信息保护与信息利用之间的关系,为使个人信息的保护得到更好地贯彻和实行提供了重要基础。

在相关主体的法定义务中,民法典还有一个创设性条款,即第1039条规定了国家机关及其工作人员对个人信息的保密义务。根据该法条,“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”本条款虽未明确国家机关、承担行政职能的法定机构及其工作人员违反本条规定应当承担的相应责任,但明示性的义务规定,为与调整国家机关及其工作人员保密责任的相关公法或是内部监督管理规定相协调,从而提出了明确要求。这也意味着,将来本条内容究竟应当解释为对接《中华人民共和国国家赔偿法》,还是将民事责任制度引入国家责任之中,并在侵害隐私权和个人信息保护时承认责任的竞合,需待立法者的进一步说明。[3]

关于个人信息保护,民法典还有其他一些相关条文散布在各章节中。例如第999条,在合理使用他人人格要素中,提到了对个人信息的合理使用;第1030条中关于信用权准用个人信息保护的规定,规定了民事主体与征信机构等信用信息处理者之间的关系,适用有关个人信息保护的规定和其他法律、行政法规的有关规定。另外,侵权责任编第1226条,规定了在医疗领域对患者隐私和个人信息保护。数据技术无疑已经应用到了社会生活的诸多方面,个人信息的保护也应当是需要既有概括性的保护也有针对特殊行业、场景及应用的专有规定。

总之,民法典基于“保护+利用”的理念,将个人信息纳入民事调整范畴,为当下数据的利用奠定了法律基础。一方面,在民法典中规定个人信息保护,明确自然人的个人信息可以受到法律的保护,同时可以为公法中对他人收集、存储、使用、加工、传输、提供、公开个人信息的行为进行约束、确定义务,并为违反相关规定的行为进行处罚奠定重要的基础。这也是贯彻落实我国宪法中对公民人身自由和人格尊严给予保护的规定。另一方面,目前我国个人信息保护方面的条款分散在各个部门法中,整体的规范框架以现在的民法典以及网络安全法、电子商务法、刑法、侵权责任法、消费者权益保护法等法律作为主要依据。民法典中规定个人信息保护,有利于构建一个科学合理的个人信息保护的法律体系。民法典关于个人信息保护的规定,是其他部门法的基础,可以进一步加强对公民合法权益的保护。

二、民法典并未明确个人信息“权”

(一)个人信息不等于个人信息权

民法典明确个人信息保护,并且是将其具体置于人格权编中的第六章节,采用“隐私权和个人信息保护”的方式加以规定。从体例分析,隐私权与个人信息均属于人格权保护范畴。但从权利的定位与保护角度看,隐私权与个人信息在法律保护中既有交叉,又存在区别。

个人信息与隐私不能等同保护。个人信息和隐私确有密切关联。无论内容还是形式,许多个人信息(如个人银行账户、身份证号码)具有一定程度的私密性,都是个人不愿对外公布的私人信息。因此,侵害个人信息与侵害隐私权常常紧密相连。而且从侵害方式看,侵害个人信息多数也采用披露个人信息方式,从而与侵害隐私权非常类似。但个人信息与隐私并不完全等同,因此不能将二者等同保护。第一,二者性质不同。个人信息往往既包含精神利益,也包含财产利益,特别是信息社会,个人信息强调利用和保护并重。但隐私权主要是一种被动性的人格权,通常只有在遭受侵害时,权利人才能提出主张。第二,二者客体范围不同。个人信息与隐私部分重合,但个人隐私范围更大,许多个人信息都可借助一定的、并非私密的形式表现出来,例如,个人的社会职业、特定身份,往往还属于标榜个体性存在的必要信息,受法律保护但以合理使用和以一定方式标榜存在价值。第三,二者内容不同。隐私权的内容主要包括维护个人的私生活安宁、个人私密不被公开、个人私生活自主决定等,其重心在于防范个人秘密不被披露,而并不在于保护这种秘密的控制与利用。而个人信息主要是指对个人信息的支配和自主决定,其在性质上主要表现为对个人信息的控制,即任何人未经权利人的许可或法律允许,不得非法收集、处理、使用、转让个人信息。第四,侵害方式不同。隐私权的侵害主要包括打扰私生活安宁、侵扰私密空间、非法披露私密信息等。对个人信息的侵害除了侵害隐私权的方式之外,还可以包括对已经公开个人信息的非法删除、修改、营利性使用等。第五,保护方式不同。隐私权作为一种消极防御权利,被侵权时主要以停止侵害或者排除妨碍获得救济,而个人信息则包含要求更新、更正等救济方式。由于个人信息可以进行商业化利用,在侵害时还有可能造成权利人财产利益的损失,因而财产损害赔偿对受害人救济极为必要。有时,即便受害人难以证明自己所遭受的损失,也可以根据“所获利益视为损失”的规则,对受害人所遭受的损害予以赔偿。[4]

可见,个人信息保护不同于隐私权保护。虽然隐私权和个人信息均在人格权编中,但民法典明确规定隐私是“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”,并明确自然人享有隐私权,亦即隐私权作为一种民事权利可单独存在。而个人信息则是“以电子或者其他方式记录的能够单独或与其他信息结合识别特定自然人的各种信息。”此处民法典强调个人信息是具有身份识别性的各种信息,而这些信息包括姓名(姓名权)、出生日期(隐私权)、身份证号码(隐私权)等,实际上个人信息就是各类具体人格权的电子或者其他形式的表现。因此,个人信息并不等于个人信息权。

(二)个人信息保护与隐私权保护的关系

隐私权与个人信息保护规定在同一章,但两者是不同的人格权益,它们既相互联系,又各自独立,不能相互替代。在个人信息保护部分,人格权编规定个人信息中的私密信息也适用隐私权保护的有关规定。这样就很好地协调了隐私权与个人信息保护之间的关系。隐私权侧重的是保护自然人的隐私不受他人侵害,而个人信息保护不仅要保护自然人的个人信息不受侵害,还要实现对个人信息的合理使用。正因如此,通过对隐私和个人信息的界定明确了二者的区别。[5]

民法典对个人信息的保护是基于人格权法益出发的,例如个人信息包括隐私权、姓名权等,保护个人信息的目的是为了保护个人信息所包含内容的人格权权益。民法典对个人信息的定义其实就是包含权利人姓名、身份证号等具有高度敏感性的个人隐私或者其他人格内容,只不过是这些内容通过电子或其他方式进行了记录。例如在隐私权侵权侵害行为中列举的“以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁”“处理他人的秘密信息”均可认定为侵害民事主体隐私权。《中华人民共和国消费者权益保护法》第29条从个人信息保护角度明确了“经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。”这实际上是个人信息和隐私权保护的交叉,而民法典则为消费者权益保护提供了侵权赔偿基础。

三、关于个人信息权利保护的后续思考

(一)民法典关于个人信息保护的留白与空间

如上所述,《中华人民共和国民法典》全文对个人信息保护的规定并无“权”字。但是人格权编的一些条文与总则部分也存在一些矛盾,可能影响到法典的整体协调性。例如,民法典人格权编中规定人格权是民事主体享有的生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等权利。除前款规定的人格权外,自然人享有基于人身自由、人格尊严产生的其他人格权益。从文本解释看,个人信息保护显然不能说是一项权利,只能归入第二款所规定的“其他人格权益”。但是,从民法典总则部分第111条“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”被放在第五章“民事权利”的整体结构看,它好像又可以被视为一项权利。由此,就逻辑而言似乎有所冲突。还有一些法条的表述,整体理解也会出现逻辑矛盾。比如民法典确立了个人对自己信息的查阅或复制权、更正权与删除权等,贯彻个人信息处理的事前、事中与事后全部生命周期。以“权”的形式确定使用,但“权”在源头缺乏名正言顺的地位——正如有些学者所言,若个人对自己的信息不享有权利,何来这些具体权项?[6]

民法典以传统民事立法范式来构筑个人信息保护法律制度,直接将个人信息作为保护客体,将义务主体界定为“任何组织或者个人”,可能存在保护客体泛化与义务主体泛化的风险。如民法典第1035条移植了《中华人民共和国网络安全法》第41条的规定,要求收集、处理个人信息的,应当遵循合法、正当、必要原则,并明确了相应的条件。但是《中华人民共和国网络安全法》的义务主体是网络运营者,即个人信息控制者,是一个特定义务主体,而民法典的义务主体并不明确,按照通常理解应该是总则规定的一般义务主体。由此导致义务主体错位,给未来的法律适用造成困难。

将个人信息保护制度纳入人格权编,固然强化了对个人信息的保护,但个人信息保护自身具有独特性,应有独立的法律渊源、程序设计、制度配置等。民法典作为民商事领域的基本法,其对个人信息保护的规定,只是确立大的原则方向,规定最基本的问题。实践中要具体适用,还要有更多合理细致的规定,需要在个人信息保护法中进一步界定,以解决实践中出现的种种问题。

(二)个人信息保护法的理想架构

我国个人信息保护立法经历了从无到隐私权保护、再到独立的个人信息保护的过程。根据民法典第1134第2款,“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”随着民法典的实施,隐私权保护将越来越完善。但个人信息保护因未及“权”位的设置,因而将可能随着新的立法——个人信息保护法的出台而得以完善。诚如前所述及,目前民法典中有关个人信息保护的规定,多是在《中华人民共和国网络安全法》的基础上加以丰富和完善的,这些规范多为原则性、抽象性规范,还不足以应对信息社会对信息保护的诉求。

纵观世界,各国皆对个人信息保护非常重视,普遍将个人信息权界定为新型公法权利,为个人信息控制者规定广泛的法律义务,同时设立专门、独立、权威的个人信息保护执法机构,提供有效的保护。从世界范围看,个人信息保护法保护的客体并不是所有的个人信息,而是数据控制者在数据处理活动中涉及的个人信息。因而将之作为公法权利,信息主体不但可以对抗平等的民事主体,也可以对抗公权力部门,国家机关同样要尊重和保护个人的信息控制权。同时,对于个人信息侵权的救济,国家通过建立有效监管、行政执法和处罚制度,从事前、事中、事后三个维度保护公民所享有的权利。[6]也进一步促使在公法权利框架之下的个人信息保护民事救济机制发挥作用。以上种种范式可以有效满足现实所需,可为我国个人信息保护立法所借鉴。

随着信息时代的到来,回应信息保护的合理诉求,我国已经开启个人信息保护立法行程。全国人大常委会明确,2020年将制定《个人信息保护法》《数据安全法》等。目前,立法专家建议稿已组织相关讨论、论证。结合世界各国经验与我国实际,我国个人信息保护立法应当逐步明确。以个人信息保护法实现对个人信息的保护是必然的趋势,通过个人信息的基本立法,明确个人信息保护的基本原则和制度,明确实体规范与程序规范,然后再由相关单行立法根据不同行业领域的特点制定相应的规定,既构成个人信息保护的完备法律体系,也可为我国信息社会、大数据时代的信息保护乱象提供较好的规制。通过建立个人信息的合理使用制度、侵害补偿和惩罚机制,设置专门机构等方式,为个人信息罩上保护网。同时完善对公民个人信息的收集、处理、利用和保密等。在信息采集的源头方面,对采集主体设定门槛以及相应的核准和登记程序。

(三)未来需要注意的问题

一是注意平衡不同主体之间的关系。个人信息外延宽、体量大,且信息性质存在一定的差别,因而立法保护也应当区别情形对待。基本做法是,强化对于个人信息中较为重要的隐私部分的保护,而对于一般信息,允许信息主体做出一定让渡,以利信息充分利用。就一些信息处理主体而言,赋予其通过个人让与的利益以及国家保障的良好信息化经营环境,实现其经营利益的权利;同时,信息处理主体还应当尊重个人信息和国家的管理规定,自觉抵制侵害个人信息的行为。就国家而言,应当合理约束公权力行使,在满足社会管理基础上,不过分利用技术手段和国家机器干预私人生活,同时,国家还需要进一步强化科学立法,为信息处理主体的经营活动制定合理规范,对于严重侵害个人信息的犯罪行为给予相应处罚。[7]

二是注意协调法律适用的关系。民法典实施以后,与未来的个人信息保护法之间如何协调法律适用,这是法律实践中的重要问题。第一,未来个人信息保护法不能等同于民法特别法。个人信息保护法立法中必须明确,其义务主体、调整范围、执行机制等均不同于民法典。而只有违反个人信息保护法的行为造成权利人民事权益损害的,民法典才从民事责任追究方面进行衔接。第二,应通过确立法律适用规则明确法律适用。对于个人信息保护,宜优先适用个人信息保护法,把民法典中相关条文当成原则性规定,以变通解决民法典中存在的各种问题。总之,只有明确民法典与个人信息保护法的关系,科学界定二者的规范适用,才能使个人信息保护法有效应对信息时代个人信息保护所面临的现实问题,设计相应有针对性的制度,而不是被传统民事法律制度所束缚。同时也应注意结合我国实际情况,在个人信息保护法中有更多中国特色的制度创新。

互联网将人类带入了数字化生存时代,个人信息就是数字时代公民的第二生命。个人信息的法律保护问题在近半个世纪以来随着信息社会的发展而日益凸显。民法典的颁行和实施,为个人信息的保护及其有效利用奠定了基本法基础,有利于促进数据时代经济社会进一步发展。期待在民法典的基础性规范下,通过个人信息保护法的科学立法,同频共振,让信息造福于人类,让信息主体的信息权利得以充分实现。

参考文献

[1]陈兵.民法典时代个人信息的保护和开发[N/OL].澎湃新闻,(2020-06-05)[2020-06-15].https://www.thepaper.cn/newsDetail_forward_7715537.

[2]马军.民法典:个人信息的保护与免责[N/OL].守中律法,(2020-06-02)[2020-06-15]. https://www.sohu.com/a/399150283_120482428.

[3]谢远扬.民法典人格权编(草案)》中“个人信息自决”的规范建构及其反思[J].现代法学,2019(06).

[4]李晓辉.信息权利研究[M].北京:知识产权出版社,2006:118-119.

[5]程啸.对个人信息确权不必纠结也不必恐慌[N].南方都市报,2020-05-20(GA07).

[6]周汉华.个人信息保护的法律定位[M].法商研究,2020(03).

[7]张新宝.从隐私到个人信息:利益在衡量的理论与制度安排[J].中国法学,2015(03).

(杨帆,北京市委党校硕士生;周悦丽:北京市委党校法学教研部副主任、教授)

【来源:《观园》】