《民法典》问世,人格权独立成编是民法典的一大创新和亮点。《人格权编》为实践中处理“隐私”和“个人信息”的关系提供了更为明确的指引。这一次,我们请到了腾讯研究院资深专家王融为我们详细解析民法典《人格权编》细节,以及分析《人格权编》对隐私权、个人信息等问题所产生的影响。
一、把握“个人信息”特殊属性,合理处理与“隐私权”的关系
长期以来,学界对“隐私权”和“个人信息保护”之间的关系充满争议。《人格权编》吸收了其中的基本共识。
关于“隐私”,《人格权编》吸收了 “不愿为他人知晓”“私密”等关键特征表述,对“隐私权”的界定更为科学合理:隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。为实践中处理“隐私”和“个人信息”的关系提供了更为明确的指引。
关于“个人信息保护”,学界主要有“权利说”和“利益说”两种观点。但从法解释说来看,难以得出《民法总则》第111条确立了自然人对个人信息享有民事权利即个人信息权的结论。[1]《人格权编》最终将第六章的标题从“隐私权与个人信息权”调整为“隐私权与个人信息保护”,显然也是采纳了后者意见。
“个人信息”与“隐私”确有差异。与“隐私”更多归属于私人领域不同,“个人信息”兼具保护和利用两种属性,需要对个人利益和公共利益加以调和。因此在近现代立法中,个人信息保护逐步从私权领域的隐私权中分离出来,形成相对独立的公法体系,[2]其立法目标也旨在于实现个体利益与信息自由流动之间的平衡。正如欧盟GDPR开篇即表明:本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人数据自由流动的规则。
二、 个人信息定义回归“识别说”标准
个人信息定义是个人信息保护法律制度的基石,如果定义过于泛化将导致法律难以施行。从2012年《全国人大常委会关于加强网络信息安全的决定》到2016年《网络安全法》,我国立法对个人信息的界定都坚持了“识别说”,将个人信息限定为能够识别特定个人的信息。但在针对个人信息违法行为刑事打击力度不断加强的背景下,2017年两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)对个人信息进行了扩展,除了传统“识别身份信息”以外,还增加了“反映特定个人活动情况的信息”。该定义后来又影响到2017年版《个人信息安全标准》(GB/T 35273-2017),其对个人信息作出了进一步扩展解释。
各国个人数据保护法规对于个人数据的界定,基本上采纳“识别说”。欧盟GDPR中进一步区分为“已识别”和“可识别”两种类型,但核心仍然是围绕“识别身份”。
即使相关信息由特定个人产生,但如果该特定个人的身份无法识别,相关的信息处理并不会对特定自然人的权益造成侵害或产生侵害的危险,也没有必要对其予以规范。这与欧盟GDPR将“匿名化信息”排除在个人信息之外,以及我国《网络安全法》、《人格权编》将“无法识别特定个人且不能复原的”排除在非法提供之外的基本逻辑是自洽的。
三、作为民事立法亮点,《人格权编》规定了处理个人信息民事责任的免责事由
2009年《侵权责任法》首次明确规定了隐私权,但并不涉及个人信息保护。2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,对于公开个人信息不构成侵权的情形作出了如下规定:
(一)经自然人书面同意且在约定范围内公开;
(二)为促进社会公共利益且在必要范围内;
(三)学校、科研机构等基于公共利益为学术研究或者统计的目的,经自然人书面同意,且公开的方式不足以识别特定自然人;
(四)自然人自行在网络上公开的信息或者其他已合法公开的个人信息;
(五)以合法渠道获取的个人信息;
(六)法律或者行政法规另有规定。
同时,司法解释对以上免责事由又作出了一个总体的除外规定,即:以违反公序良俗的方式公开上述第四项、第五项的个人信息(即自行公开、合法公开、合法获得),或者公开该信息侵害权利人值得保护的重大利益,权利人寻求侵权救济的,人民法院应予支持。典型例子即当年盛行的“人肉搜索”,尽管人肉搜索中获取的许多信息是公开可获得的信息,但其使用方式仍然构成了对特定自然人生活安宁的打扰,此种情形下将不再享受民事责任的豁免。
此次《人格权编》吸收了司法实践的有益总结,并结合《网络安全法》相关行政法规范,提出了个人信息处理民事责任免责事由,包括了:1,用户同意;2,维护公共利益或本人利益的需要;3.合法公开信息(但以自然人明确拒绝或者处理该信息侵害其重大利益的除外),这些规定圆满地衔接了民事规范和行政法规范。
免责事由一方面恰当地保护了个人利益,同时也兼顾了数字经济发展中对于个人数据的合理使用需求,数据处理者在获取用户同意后,在与其约定的范围内处理个人信息,将享有民事责任豁免;对于已经公开的个人信息,在用户并不明确反对的情形下,数据处理者可以用于合法正当目的,这将积极鼓励大数据、人工智能的开发利用,释放以数据为核心生产资料的数字经济发展潜力。
四、借鉴国际立法经验,延续个人信息处理基本规则
《人格权编》继续保留了《网络安全法》以来我国关于个人信息保护的法律原则:合理,正当,必要原则;公示信息处理规则;个人可提出查阅、异议、删除等请求;保证数据安全义务,匿名化对外提供的例外规定,数据泄露通知等规定,并从民事角度再次强调了国家机关及其工作人员对个人信息的保密义务,这意味着公权机构对个人信息的侵害也可被纳入民事责任追究。
同时,《人格权编》填补了《网络安全法》中关于数据处理中除了“同意”之外的其他合法性基础的空白,用“法律、行政法规另有规定的除外”作为兜底,为数据处理的多种可能场景以及与其他正当利益的平衡提供了空间,如:数据控制者为了履行法律职责的需要;为了保护数据主体或另一个自然人的重要利益等等。
五、填补“民事保护”版块,构建更加完善的个人信息保护法律体系
相比欧美从上世纪六七十年代开始个人信息保护立法,我国针对个人信息保护的立法起步较晚,在早期主要体现在刑事立法领域。2009年《刑法修正案(七)》首次将窃取或以其他方式非法获取公民个人信息、出售或非法提供公民个人信息的行为情节严重的规定为犯罪行为,将其纳入刑事打击范围。自此,尽管我国陆续在相关立法中加快了个人信息保护制度建设,但总体上仍然保留了“刑事立法先行,倚重刑事手段”的特征。通过刑法积极适用防止侵犯公民个人信息违法犯罪持续蔓延,是不得已而为之的举措,刑法只能治标,尚难治本[3]。再加上我国个人信息保护刑事立法适用主体广、入刑门槛低、适用刑罚严厉的特点突出,[4]“刑法先行”的现象亟待克服。
《人格权编》作为民事基本法律,确认了自然人的隐私权和个人信息保护,结合后续《个人信息保护法》专门立法,将有助于我国构建起公民个人信息民事、行政、刑事的全方位保护体系。
六、全面的制度建设,仍留待《个人信息保护法》
《人格权编》借鉴了欧盟GDPR立法技术,将数据处理环节的各类行为统一为广义的“处理”行为,包括了收集、使用、加工、传输、提供、公开等具体行为。但《人格权编》并没有对数据处理者进行定义,这将导致个人信息保护所指向的义务主体存在模糊性和争议,留待后续《个人信息保护法》予以明确。
在数字经济生态中,参与数据处理的机构复杂多样,如云计算行业中的云服务提供者,提供专业化的数据存储、传输、访问等计算资源服务;人工智能领域的数据标注服务,为AI机器学习提供数据的分类和标注等基础服务;物联网领域更是包含了从芯片提供商、传感器供应商、无线模组(含天线)厂商、到网络运营商、平台服务商、智能硬件厂商等种类繁多的服务提供者。在数字化时代,这些服务样态或多或少地都涉及到个人数据处理。
如何对这些形态各异的服务提供者,予以法律定性和分类,并设置相应的法律义务,是近年来个人信息保护立法的重要议题。从欧盟GDPR(《欧盟个人数据保护条例》到美国CCPA(《美国加州消费者隐私保护法案》),大部分立法采取了二分法。
以GDPR为例,将规制主体区分为数据控制者(data controller)和数据处理者(data processor), 前者(数据控制者)决定了数据处理的目的和方式,因此是法律问责的主要对象,其需要保证数据处理的合法性基础,并直接承担向个人提供查询、修正、删除的义务,因此,GDPR第二章原则(可问责,获取个体同意)和第三章数据主体的权利中,义务主体仅指向数据控制者,并不涉及数据处理者;后者(数据处理者)是接受控制者的委托而开展数据处理,因此,对于处理者的法律约束主要着眼于委托关系的正当性,严格按照委托的边界处理数据,保证数据安全等。
即使其他国家采用的具体表述不同,但实质上都反映了主体的二分划法,如新加坡《个人信息保护法》中的组织(organization)和数据中介(data intermediary)概念,印度《个人信息保护法(草案)》中的 “数据信托者”(data fiduciary)和“数据处理者”(data processor)概念,美国CCPA中的经营机构(organization)和仅提供数据服务的机构(processor)都意在区分两种主体在法律适用上的差异性。
隐私和个人信息保护仅仅是《人格权编》的一小部分,但它从人格利益的高度,确认了基本法治原则,将推动形成尊重人格利益的社会文化。但对于全面的个人信息保护制度构造来说,如何结合数字时代的新特点,进行更为科学合理的设计,将留给下一步的《个人信息保护法》。
(一)隐私权
隐私:自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
隐私权:自然人享有的对自己的个人隐私进行支配并排除他人非法干涉的人格权。任何组织或者个人不得以剌探、侵扰、泄露、公开等方式侵害他人的隐私权。
在相当长的一段时间里,我国司法对自然人隐私权的保护是比照名誉权的保护方式进行的。
2001年最高人民法院发布了《关于确定民事侵权精神损害赔偿责任若干问题的解释》,根据该司法解释第1条的规定:违反社会公共利益、社会公德侵害他人隐私或者其他人格利益,受害人以侵权为由向人民法院起诉请求赔偿精神损害的,人民法院应当依法予以受理。
根据该司法解释第3条的规定:非法披露、利用死者隐私,或者以违反社会公共利益、社会公德的其他方式侵害死者隐私的,其近亲属因此遭受精神痛苦,向人民法院起诉请求赔偿精神损害的,人民法院应当依法予以受理。
其后,在2009年通过的《侵权责任法》中,隐私权终于得到立法的承认。《民法典》专门用一节具体规定隐私权,凸显了作为一种具体人格权的隐私权的重要性。
隐私权具有以下特征:
(1)隐私权的主体限于自然人,是专属于自然人的人格权利。
法律创设隐私权的目的是为了保护个人私生活的自由与安宁。
自然人的隐私范围并不完全相同,如普通公民和国家公务人员的隐私范围就不相同。
(2)隐私权的客体是隐私,因隐私与他人及社会公共利益无关,故法律禁止他人以刺探、侵扰、泄露、公开等方式侵害权利人的隐私权。
(3)隐私权是支配权,权利人既可以利用隐私,也可以放弃隐私。
隐私权的基本内容包括:
(1)隐私保密权:保持自己的私人生活秘密不为他人所知晓。
(2)隐私保护权:维护自己的私人生活安宁和生活秘密不受他人的非法刺探、侵扰、公开等。
在受到他人侵害时,可以请求司法救济。
(3)隐私支配权:隐私权人可以自主决定自己的私人生活方式,可以决定是否对外公开自己的生活秘密,可以利用自己的生活秘密以满足自己的精神、物质方面的需要。
隐私权人还可以决定是否允许他人探知自己的隐私,并可决定是否允许他人利用自己的隐私。
隐私的利用不得违反法律,不得损害社会公共利益和善良风俗。
隐私权的保护同时会限制其他民事主体的行为,《民法典》第1033条规定,除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:
(1)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;
(2)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;
(3)拍摄、窥视、窃听、公开他人的私密活动;
(4)拍摄、窥视他人身体的私密部位;
(5)处理他人的私密信息;
(6)以其他方式侵害他人的隐私权。
(二)个人信息保护
个人信息:以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
《民法典·总则编》第111条规定,自然人的个人信息受法律保护。
任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
《民法典·人格权编》对个人信息保护作了具体规定。
在个人信息保护中,处理个人信息成为规范的重点。《民法典》第1035条规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(1)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(2)公开处理信息的规则;
(3)明示处理信息的目的、方式和范围;
(4)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
但处理个人信息也有不承担民事责任的例外,主要包括:
(1)在该自然人或者其监护人同意的范围内合理实施的行为;
(2)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(3)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
自然人可以依法向信息处理者查阅或者复制其个人信息;
发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。
信息处理者不得泄露或者篡改其收集、存储的个人信息;
未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;
发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。
事实上,隐私权和健康权等其他权利一直很矛盾,公布他有艾滋他确实会遭到不平等对待,侵犯人权,不公布艾滋,打个比方,两口子结婚,一方有艾滋,医生不公布,到时候一家三口全得艾滋,不仅增加患者数量,而且也侵犯了别人的人权。
文章推荐:
