信息时代必答题:新通过的《民法典》筑起个人信息保护堤坝

为个人隐私和信息安全筑起保护屏障,成为信息时代的一道必答题。

2020年5月28日,《中华人民共和国民法典》(以下简称“《民法典》”)正式表决通过,从《民法典》中可以窥见诸多时代特征,其中对于个人信息安全的相关规定便非常值得关注。

《民法典》有关个人信息的规定主要涉及个人信息定义、收集处理个人信息原则及要求、个人信息被收集者和收集者的权利义务、国家机关和工作人员履职过程中对知悉的个人信息依法保存保密的义务等方面。

在实践中的运行,需要着重考虑如何处理好《民法典》与《网络安全法》《个人信息保护法》等其他立法的关系。

有弹性的保护

“《民法典》关于个人信息的保护,并没有一味采取权利化的保护模式,而是采取了一种更有弹性的法益保护模式。”在接受媒体记者采访时,北京大学法学院教授、副院长,北京大学电子商务法研究中心主任薛军评价说,“这实际上就是强调一定要在守住个人信息保护底线的前提下,为我们国家未来的数据产业、互联网创新发展留下充足的发展空间。”

换种说法来理解,个人信息保护是《民法典》的重要价值追求,但是如果过度保护个人信息,就会加重数据开发者的责任和义务,阻碍数据开发,妨碍数据价值的实现和数字经济的发展。

正是基于两者利益平衡的考虑,《民法典》第一千零三十六条规定了信息处理者的三类免责事由:(1)在该自然人或者其监护人同意的范围内合理实施的行为;(2)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝,或者处理该信息侵害其重大利益的除外;(3)为维护公共利益或者该自然人合法权益,合理实施的其他行为。

“这些免责事由使得信息处理者承担的责任处在一个合理区间内,防止因法律责任过重而打击信息开发者开发利用数据的积极性,从而可对信息开发起到积极的推动作用。”薛军说。

在《网络安全法》《消费者权益保护法》《电子商务法》关于个人信息保护内容的基础上,《民法典》关于个人信息保护增加一些新的内容,比如:隐私与个人信息的分别保护,以及在同意之外增加了个人信息收集、使用的其他合法性基础。

《民法典》第一千零三十五条规定了个人信息处理的原则和条件:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。”

这表明,只要符合法定条件,遵循原则,信息处理者就有权充分利用公民个人信息。这为信息处理者的信息开发行为提供了法律依据。

《民法典》承认、允许企业开发个人数据以实现经济价值,不仅能推动大数据等高新技术产业和数字经济发展,也有助于扶持民营经济。

“隐私权”与“个人信息”

《民法典》在第四编“人格权编”的第六章独立设置了隐私权和个人信息保护,从个人信息的定义、个人信息处理的原则和条件以及个人信息处理者的安全保障义务等整体角度分别作出规定。

在大数据时代,数字人格更加被重视,以前的司法案例都是把个人信息纳入到隐私权保护的范围内,但是《民法典》把隐私权和个人信息进行了区分。

《民法典》将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”,《民法典》强调“识别特定自然人的各种信息”,这与《网络安全法》个人信息定义中的“识别自然人个人身份的各种信息”相比较,《民法典》个人信息的定义更为宽泛。

20世纪90年代前后,“个人信息”并非法律概念。1986年《民法通则》规定公民享有的民事权利以列举的方式指出,包含“姓名权”“肖像权”“名誉权”“荣誉权”等人身权。

1991年《民事诉讼法》规定了涉及“个人隐私”证据保密及案件不公开审理的程序性保护措施。《侵权责任法》进一步将隐私权作为一项独立的民事权利加以规定。

“个人信息”在立法中首次体现在2003年《身份证法》,《身份证法》使用了“个人信息”这一表述,第六条规定了对个人信息的保密,第十九条规定了警察因制作、发放、查验、扣押居民身份证得知公民个人信息,泄露并侵害公民合法权益的,给予行政处分或追究刑事责任。

随着个人信息保护需求的迫切性增加,个人信息保护立法逐渐清晰。2013年《电信和互联网用户个人信息保护规定》中指出,用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。

今年5月25日,全国人大常委会工作报告透露,要加强重要领域立法,围绕国家安全和社会治理,制定生物安全法、个人信息保护法、数据安全法。这意味着,承载公众期待的个人信息保护法将加速出台。

立体保护

“应把个人信息上升为个人基本权利。”今年全国两会期间,全国人大代表、世纪荣华投资控股集团有限公司董事长崔荣华呼吁,她同时提出个人信息保护的知情同意、目的明确、使用限制、信息质量、安全管理、禁止泄露、保存时限和自由流通等8项原则,严格企业和机构的信息保护责任,加大处罚力度。

北京市中友律师事务所高级合伙人夏孙明认为,《民法典》通过“人格权编”的创造性设计,将公民不愿为人所知晓的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息都列为法定的个人隐私保护范围。

“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”《民法典》明确了“个人信息处理”的内涵,并在处理个人信息应当“遵循合法、正当、必要原则”的基础上,强制性要求“不得过度处理”个人信息,同时还附加了处理个人信息的4个条件,一是征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;二是公开处理信息的规则;三是明示处理信息的目的、方式和范围;四是不违反法律、行政法规的规定和双方的约定。

《民法典》设定了处理个人信息的免责事由,并严格限制在3种处理个人信息的情形,一是在该自然人或者其监护人同意的范围内合理实施的行为;二是合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;三是为维护公共利益或者该自然人合法权益,合理实施的其他行为。

《民法典》明确要求,国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。

实践中,国家机关及其工作人员,以及承担行政职能的法定机构及其工作人员在履行职务过程中会接触和知晓大量的个人信息,特别是个人隐私信息,法律要求其必须予以严格地保密,严禁泄露或者向他人非法提供。

“将来,在《民法典》‘人格权编’的立法精神指引下,我国将结合《网络安全法》与正在草拟中的《个人信息保护法》等法律、行政法规,构建对互联网用户的隐私、个人信息的立体保护法律体系。”夏孙明说。

版权声明:本文源自 网络, 于,由 楠木轩 整理发布,共 2861 字。

转载请注明: 信息时代必答题:新通过的《民法典》筑起个人信息保护堤坝 - 楠木轩