為個人隱私和信息安全築起保護屏障,成為信息時代的一道必答題。
2020年5月28日,《中華人民共和國民法典》(以下簡稱“《民法典》”)正式表決通過,從《民法典》中可以窺見諸多時代特徵,其中對於個人信息安全的相關規定便非常值得關注。
《民法典》有關個人信息的規定主要涉及個人信息定義、收集處理個人信息原則及要求、個人信息被收集者和收集者的權利義務、國家機關和工作人員履職過程中對知悉的個人信息依法保存保密的義務等方面。
在實踐中的運行,需要着重考慮如何處理好《民法典》與《網絡安全法》《個人信息保護法》等其他立法的關係。
有彈性的保護
“《民法典》關於個人信息的保護,並沒有一味採取權利化的保護模式,而是採取了一種更有彈性的法益保護模式。”在接受媒體記者採訪時,北京大學法學院教授、副院長,北京大學電子商務法研究中心主任薛軍評價説,“這實際上就是強調一定要在守住個人信息保護底線的前提下,為我們國家未來的數據產業、互聯網創新發展留下充足的發展空間。”
換種説法來理解,個人信息保護是《民法典》的重要價值追求,但是如果過度保護個人信息,就會加重數據開發者的責任和義務,阻礙數據開發,妨礙數據價值的實現和數字經濟的發展。
正是基於兩者利益平衡的考慮,《民法典》第一千零三十六條規定了信息處理者的三類免責事由:(1)在該自然人或者其監護人同意的範圍內合理實施的行為;(2)合理處理該自然人自行公開的或者其他已經合法公開的信息,但是該自然人明確拒絕,或者處理該信息侵害其重大利益的除外;(3)為維護公共利益或者該自然人合法權益,合理實施的其他行為。
“這些免責事由使得信息處理者承擔的責任處在一個合理區間內,防止因法律責任過重而打擊信息開發者開發利用數據的積極性,從而可對信息開發起到積極的推動作用。”薛軍説。
在《網絡安全法》《消費者權益保護法》《電子商務法》關於個人信息保護內容的基礎上,《民法典》關於個人信息保護增加一些新的內容,比如:隱私與個人信息的分別保護,以及在同意之外增加了個人信息收集、使用的其他合法性基礎。
《民法典》第一千零三十五條規定了個人信息處理的原則和條件:“處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理,並符合下列條件:(一)徵得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外;(二)公開處理信息的規則;(三)明示處理信息的目的、方式和範圍;(四)不違反法律、行政法規的規定和雙方的約定。”
這表明,只要符合法定條件,遵循原則,信息處理者就有權充分利用公民個人信息。這為信息處理者的信息開發行為提供了法律依據。
《民法典》承認、允許企業開發個人數據以實現經濟價值,不僅能推動大數據等高新技術產業和數字經濟發展,也有助於扶持民營經濟。
“隱私權”與“個人信息”
《民法典》在第四編“人格權編”的第六章獨立設置了隱私權和個人信息保護,從個人信息的定義、個人信息處理的原則和條件以及個人信息處理者的安全保障義務等整體角度分別作出規定。
在大數據時代,數字人格更加被重視,以前的司法案例都是把個人信息納入到隱私權保護的範圍內,但是《民法典》把隱私權和個人信息進行了區分。
《民法典》將個人信息定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息”,《民法典》強調“識別特定自然人的各種信息”,這與《網絡安全法》個人信息定義中的“識別自然人個人身份的各種信息”相比較,《民法典》個人信息的定義更為寬泛。
20世紀90年代前後,“個人信息”並非法律概念。1986年《民法通則》規定公民享有的民事權利以列舉的方式指出,包含“姓名權”“肖像權”“名譽權”“榮譽權”等人身權。
1991年《民事訴訟法》規定了涉及“個人隱私”證據保密及案件不公開審理的程序性保護措施。《侵權責任法》進一步將隱私權作為一項獨立的民事權利加以規定。
“個人信息”在立法中首次體現在2003年《身份證法》,《身份證法》使用了“個人信息”這一表述,第六條規定了對個人信息的保密,第十九條規定了警察因製作、發放、查驗、扣押居民身份證得知公民個人信息,泄露並侵害公民合法權益的,給予行政處分或追究刑事責任。
隨着個人信息保護需求的迫切性增加,個人信息保護立法逐漸清晰。2013年《電信和互聯網用户個人信息保護規定》中指出,用户個人信息,是指電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用户姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用户的信息以及用户使用服務的時間、地點等信息。
今年5月25日,全國人大常委會工作報告透露,要加強重要領域立法,圍繞國家安全和社會治理,制定生物安全法、個人信息保護法、數據安全法。這意味着,承載公眾期待的個人信息保護法將加速出台。
立體保護
“應把個人信息上升為個人基本權利。”今年全國兩會期間,全國人大代表、世紀榮華投資控股集團有限公司董事長崔榮華呼籲,她同時提出個人信息保護的知情同意、目的明確、使用限制、信息質量、安全管理、禁止泄露、保存時限和自由流通等8項原則,嚴格企業和機構的信息保護責任,加大處罰力度。
北京市中友律師事務所高級合夥人夏孫明認為,《民法典》通過“人格權編”的創造性設計,將公民不願為人所知曉的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息都列為法定的個人隱私保護範圍。
“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。”《民法典》明確了“個人信息處理”的內涵,並在處理個人信息應當“遵循合法、正當、必要原則”的基礎上,強制性要求“不得過度處理”個人信息,同時還附加了處理個人信息的4個條件,一是徵得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外;二是公開處理信息的規則;三是明示處理信息的目的、方式和範圍;四是不違反法律、行政法規的規定和雙方的約定。
《民法典》設定了處理個人信息的免責事由,並嚴格限制在3種處理個人信息的情形,一是在該自然人或者其監護人同意的範圍內合理實施的行為;二是合理處理該自然人自行公開的或者其他已經合法公開的信息,但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外;三是為維護公共利益或者該自然人合法權益,合理實施的其他行為。
《民法典》明確要求,國家機關、承擔行政職能的法定機構及其工作人員對於履行職責過程中知悉的自然人的隱私和個人信息,應當予以保密,不得泄露或者向他人非法提供。
實踐中,國家機關及其工作人員,以及承擔行政職能的法定機構及其工作人員在履行職務過程中會接觸和知曉大量的個人信息,特別是個人隱私信息,法律要求其必須予以嚴格地保密,嚴禁泄露或者向他人非法提供。
“將來,在《民法典》‘人格權編’的立法精神指引下,我國將結合《網絡安全法》與正在草擬中的《個人信息保護法》等法律、行政法規,構建對互聯網用户的隱私、個人信息的立體保護法律體系。”夏孫明説。