在互聯網經濟高速發展的當下,數據已成為重要的生產要素和互聯網企業的核心資產。發展數字經濟,必須充分挖掘數據價值。個人數據是大數據時代條件下數據的主要來源之一,其中包含個人信息和隱私。因此對個人數據的開發便涉及個人信息保護的問題。如何在推動數字經濟發展的同時,完善對個人信息的法律保護,進而在數據充分賦能和個人信息保護間實現平衡,是社會各界高度關注的問題。
新近由十三屆全國人民代表大會第三次會議通過的《中華人民共和國民法典》(下稱“《民法典》”),把這一問題的解決向前推進了一大步。其中第一百一十一條、第一百二十七條及第四編第六章(第一千零三十二至一千零三十九條)的系列規定,在強化對公民隱私權和個人信息保護的同時,也對數據權屬及與數據相關行為做出規定,呼應了互聯網時代的發展要求,將為我國數字經濟的發展起到積極的規範和引領作用。
一、有關個人信息的規定
《民法典》對個人信息和隱私保護的詳細規定,具有開創意義。此前,《民法通則》(1987年開始施行,將於2021年起失效)及其他民事單行法並無個人信息的概念。2017年施行的《民法總則》
第一百一十條雖將“隱私權”納入自然人的人格權範疇,但也未作進一步規定。
相比之前的民事法律法規,《民法典》是一個巨大進步。它在總則和分則當中對個人信息均有規定。《總則》部分第一百一十一條規定,自然人的個人信息受法律保護;第一百二十七條規定,數據、網絡虛擬財產保護的法律適用。分則部分第四編第六章作為人格權編的一部分,專門規定個人信息和隱私權,從隱私和個人信息的定義開始,到個人信息處理的原則、條件和免責事由,再到個人信息主體的權利和與之對應的信息處理者的信息安全保障義務,和公權力機關及其工作人員的保密義務,環環相扣,思路清晰,勾勒出一個完整的個人信息制度框架輪廓。
除第四編第六章外,其他章節也對個人信息保護有所規定,譬如,第一千二百二十六條規定:“醫療機構及其醫務人員應當對患者的隱私和個人信息保密。泄露患者的隱私和個人信息,或者未經患者同意公開其病歷資料的,應當承擔侵權責任。”
從整體上看,《民法典》對個人信息的規定,通過總則與分則呼應、集中與分散結合、原則和例外並舉的方式,為個人信息法律制度的構建奠定了良好的私法基礎。
二、完善對個人信息的保護
互聯網時代,大數據、人工智能等各種先進技術的應用,在推動社會發展的同時,也加劇了個人信息暴露的風險。《民法典》作為“公民權利的宣言書”,直面時代挑戰,針對個人信息的保護開出私法“處方”。
(一)明確個人信息的內涵和外延
《民法典》第一千零三十四條規定:“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”
這裏敍述了個人信息三個方面的內涵:以電子或者其他方式記錄;單獨或者與其他信息結合;能夠對特定自然人起到識別作用。這一敍述,從形式外觀和實質效果兩方面出發,完整有效地填充了個人信息的具體內容。
同時羅列了個人信息的外延,我們從中可見,既有生物信息,也有非生物信息;既有私密信息,也有非私密信息;既有客觀信息,也有主觀信息;既有歷史信息,也有現時信息。這裏的羅列涵蓋了自然人生老病死的所有信息,為個人信息保護提供了邊界指引。《民法典》以定義和列舉結合、內涵限制和外延拓展的形式,明確了個人信息的概念,為個人信息的法律保護提供相對合理的對象範疇。
(二)明確主體權利義務
個人信息涉及兩大主體,一方是個人信息主體,另一方是信息處理主體。二者既是對立的雙方,又是共享數據利益的雙方。《民法典》從這兩方面主體出發,劃分二者權利義務。
第一千零三十七條規定了個人信息主體的權利,包括:(1)查閲複製權;(2)請求更正權;(3)請求刪除權。從傳統民法的視角看,這些權利均為請求權。其中查閲複製權是後兩項權利的基礎,如果不能查閲、複製,就無法發現信息錯誤或違法。對個人信息權利的規定,為公民個人信息權利的行使和權益損害的救濟提供了依據。未來隨着現實的變化,權利內容可能繼續豐富。
第一千零三十八條規定了信息處理者的四大義務:(1)不得泄露或者篡改其收集、存儲的個人信息;(2)未經自然人同意,不得向他人非法提供其個人信息;(3)確保個人信息安全的義務;(3)補救和告知、報告的義務。其中前兩項屬於消極義務,後兩項屬於積極義務。
此外,第一千零三十條規定,國家機關、承擔行政職能的法定機構及其工作人員對於履行職責過程中知悉的自然人的隱私和個人信息,應當予以保密,不得泄露或者向他人非法提供。因為個人信息主體與企業、政府等信息處理主體相比力量弱小,處於弱勢地位,所以《民法典》側重於對個人信息主體的保護,對信息處理主體主要強調義務,從而規範其行為。在正面規定個人信息主體的權利之後,又從反方向的義務規定加強保護。
通過權利和義務的列舉,《民法典》劃明瞭個人信息主體和信息處理者這兩大對立方的權益邊界,既保護個人信息主體,又適當照顧信息處理者的利益,使其義務不至過重。
(三)重點規制羣眾反響強烈的侵權行為
《民法典》第一千零三十三條規定:“除權利人明確同意外,任何組織或者個人不得實施下列行為:(一)以短信、電話、即時通訊工具、電子郵件、傳單等方式侵擾他人的私人生活安寧;(二)進入、窺視、拍攝他人的住宅、賓館房間等私密空間;(三)拍攝、錄製、公開、窺視、竊聽他人的私密活動;(四)拍攝、窺視他人身體的私密部位;(五)收集、處理他人的私密信息;(六)以其他方式侵害他人的隱私權。”
該條規定針對電話推銷、垃圾郵件、賓館偷拍、廁所偷窺、買賣公民信息等多年來公眾反響強烈的侵害公民個人信息行為重點打擊,深刻體現了時代特色,合理回應了社會關切。
三、推動個人信息(數據)的開發
數字經濟背景下,數據成為經濟社會發展的重要驅動力量和全新的市場要素。
2020年4月9日發佈的《中共中央、國務院關於構建更加完善的要素市場化配置體制機制的意見》第一次將數據作為一種新型生產要素,明確了完善數據生產要素配置的相關舉措。要推動經濟社會發展,必須充分發掘數據價值,實現數據賦能。
個人信息藴含於海量的個人數據之中,是大數據場景下數據所承載且被重點關注的具有人身性的可財產化的內容要素。欲實現數據賦能,須在合規合法的前提下充分開發個人(信息)數據。《民法典》順應了這一發展趨勢,立足於當下數字經濟發展的現實需求,不僅強調對個人信息的保護,同時也支持在法治框架下將個人信息作為數據予以開發。
(一)明確數據保護法律適用
《民法典》第一百二十七條規定:“法律對數據、網絡虛擬財產的保護有規定的,依照其規定。”
這條規定表明了數據保護的法律適用。這與我國目前的理論和實踐實際相符。目前理論界和實務界對數據的法律性質、權屬、流通等問題仍然莫衷一是,在相關理論和實務都不成熟的情況下,《民法典》採取謹慎態度,承認數據保護但並不具體規定,這是相對來説最為合理的選擇。
同時,對數據已有行政法、經濟法等多方面的法律規制,《民法典》直接與相關法律銜接,既可以避免體系過於龐雜的弊端,又有利於防止法律規定的矛盾和衝突,實現法律體系的完整統一,進而減少個人數據開發的法制阻力和障礙,為個人數據開發敞開大門。
(二)為信息開發行為提供法律依據
《民法典》第一千零三十五條規定了個人信息處理的原則和條件:
“處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理,並符合下列條件:(一)徵得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外;(二)公開處理信息的規則;(三)明示處理信息的目的、方式和範圍;(四)不違反法律、行政法規的規定和雙方的約定。”
這表明,只要符合法定條件,遵循原則,信息處理者就有權充分利用公民個人信息。這為信息處理者的信息開發行為提供了法律依據。
信息處理者主要是各類企業,目前國內大數據和互聯網行業的龍頭企業又是騰訊、阿里等民營企業。《民法典》承認、允許企業開發個人數據以實現經濟價值,不僅能推動大數據等高新技術產業和數字經濟發展,也有助於扶持民營經濟。
值得注意的是,該條規定中“正當、必要和不得過度處理”的具體內涵尚不明確,期待在接下來相關配套法規的增訂或有關司法解釋的出台中予以及時細化。
(三)合理界定開發者責任
個人信息保護是《民法典》的重要價值追求,但是如果過度保護個人信息,就會加重數據開發者的責任和義務,阻礙數據開發,妨礙數據價值的實現和數字經濟的發展。
正是基於兩者利益平衡的考慮,《民法典》第一千零三十六條規定了信息處理者的三類免責事由:(1)在該自然人或者其監護人同意的範圍內合理實施的行為;(2)合理處理該自然人自行公開的或者其他已經合法公開的信息,但是該自然人明確拒絕,或者處理該信息侵害其重大利益的除外;(3)為維護公共利益或者該自然人合法權益,合理實施的其他行為。
這些免責事由使得信息處理者承擔的責任處在一個合理區間內,防止因法律責任過重而打擊信息開發者開發利用數據的積極性,從而可對信息開發起到積極的推動作用。
(四)提升數據質量促進價值共享
《民法典》對自然人的查閲複製權、請求更正權和請求刪除權的規定,不僅是對個人數據權益的保護,同時也有助於數據的流通與開發。
首先,請求更正權有利於提高數據質量。個人發現信息有錯誤的,有權提出異議並請求及時採取更正,這有助於提高數據準確性,減少數據誤差和錯漏,從而提升數據質量。
其次,查閲複製權有助於數據流通。數據本身具有非競爭性,可以被無限次複製而不會損耗,法律賦予個人查閲複製權,有助於數據的傳播和擴散,推動數據流通,促進數據共享,打破數據獨佔。
最後,請求刪除權有助於降低法律風險。個人信息主體的刪除請求有助於幫助發現並處理信息處理者潛在的法律問題,減少因個人數據信息採集、流通、使用等行為引起的糾紛,節省相關法治資源。
四、結語
數據作為重要的生產要素已經成為我國新經濟發展、推動新基建的基礎設施和核心動能。對數據價值及功能的再認知和深挖掘是中國經濟發展的重要動力。《民法典》的出台,為構建統合數據保護與開發行為,兼顧各類數據主體多元利益動態平衡的法治系統奠定了基本法基礎,有利於實現數據紅利的進一步釋放,切實有效推動數據治理法治化步入新時代。
[本文是教育部人文社會科學重點基地重大項目“全球數據競爭中人權基準的考量與促進研究”(19JJD820009)和天津市教委社會科學重大項目“天津市人工智能產業發展的經濟法治保障”(2019JWZD20)的階段性成果。]