民法典人格權編的第六章名為“隱私權和個人資訊保護”,本章總結我國既有立法經驗(如《網路安全法》)和學界通說確立了隱私權和個人資訊保護的基本規則。我國立法機關也正在起草個人資訊保護法,未來的個人資訊保護法將與民法典之中的規則配合起來,全面保護個人資訊。
具體來說,第六章的主要內容包括:
宣示了自然人享有隱私權明確了隱私權的內涵
民法典第1032條第1款明確宣示“自然人享有隱私權”。同時,該條第2款對“隱私”的內涵進行了界定,即“自然人的私人生活安寧和不願為他人知曉的私密空間、私密活動、私密資訊。”
隱私權的存在是為了合理劃分公共領域與私人生活,該制度的產生與發展反映了“從熟人社會到陌生人社會”的變遷。所以,在現代社會,隱私權日益重要,成為兩大法系都十分重視的權利型別。例如,法國於1970年修改民法典增加第9條規定,“每個人都享有其隱私獲得尊重的權利。”美國聯邦議會則於1974年制定了《隱私權法》。不過,在理論上,就如何界定“隱私”,存在不同的看法,包括:“獨處說”、“私密關係自治說”、“人性尊嚴說”、“資料保留權說”等不同的觀點。民法典第1032條第2款借鑑國際經驗,並總結我國理論研究成果,明確了隱私的內涵,即私生活安寧、私密空間、私密活動和私密資訊。這裡突出強調了私生活安寧。因為私生活安寧是無法為私密空間、私密活動和私密資訊所涵蓋的。我國甚至有學者提出,“生活安寧權”應當作為一種獨立的人格權。筆者認為,在“隱私”的概念中明確地指明“私生活安寧”,有助於解決實踐中出現的侵害私生活安寧的案件,如以電話、廣告、簡訊、垃圾郵件等干擾他人私生活的案件。
需要注意的是,在美國,其隱私權的重點逐漸向自我決定權轉移,大陸法系也出現了這樣的趨勢。從我國司法實踐來看,因妻子擅自墮胎而引發的“生育權”糾紛,實際上屬於私生活自主所要解決的問題。因此,筆者認為,隨著社會的發展,將來也可以考慮將私生活自主納入“隱私”的概念之中,從而有助於解決類似案件,也契合了隱私權制度發展的趨勢。
明確了侵害隱私權的具體表現
民法典第1032條第1款一般性地規定了侵害隱私權的方式,包括“刺探、侵擾、洩露、公開等”。同時,第1033條具體列舉了實踐中典型的侵害隱私權的行為,依據該條規定,包括如下型別:
一是以電話、簡訊、即時通訊工具、電子郵件、傳單等方式侵擾他人的私人生活安寧。例如,行為人常常在夜間給他人打騷擾電話,就屬於典型的侵害私人生活安寧。
二是進入、拍攝、窺視他人的住宅、賓館房間等私密空間。例如,有個別違法分子在鄰居的窗戶上安裝攝像頭,偷窺鄰居夫妻在房間內的活動,就屬於此種類型。再如,擅闖他人住宅,也可以構成對他人隱私權的侵害。
三是拍攝、窺視、竊聽、公開他人的私密活動。例如,實踐中的“盯梢”就屬於此種類型。
四是拍攝、窺視他人身體的私密部位。例如,行為人在他人浴室內違法安裝攝像頭,偷窺他人身體私密部位,就屬於此種類型。
五是處理他人的私密資訊。例如,公司未經職工允許,透過一種APP收集職工的行蹤資訊,就屬於此種類型。再如,在網路上公佈他人患有艾滋病的資訊,也屬於此種類型。
本條規定既有利於法院裁判案件,又有利於為社會公眾提供行為指引,使人們知悉自己的行為邊界。
宣示了個人資訊受法律保護明確了個人資訊的內涵和外延
隨著社會的發展,個人資訊保護日益受到重視,民法典第1034條第1款明確地宣示了“自然人的個人資訊受法律保護。”這裡明確了,個人資訊的權利主體限於自然人,而不包括法人和非法人組織。同時,本條沒有明確地使用“個人資訊權”的表述,應當理解為立法機關將其界定為受法律保護的利益。從人格權的體系來觀察,可以認為,個人資訊屬於一般人格權的範疇,這與聲音是類似的。
為了明確個人資訊的保護範圍,第1034條第2款總結《網路安全法》第76條的立法經驗,明確了個人資訊的內涵和外延,該條規定“個人資訊是以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別特定自然人的各種資訊,包括自然人的姓名、出生日期、身份證件號碼、生物識別資訊、住址、電話號碼、電子郵箱、健康資訊、行蹤資訊等。”本條規定借鑑了國際上的立法經驗,也總結了我國實踐經驗。就個人資訊的內涵界定,採用了比較法上通行的“可識別性”規則,即凡是能夠直接或間接地識別特定自然人的資訊都屬於個人資訊。此外,考慮到個人資訊中的私密資訊,同時也屬於隱私的範疇,民法典第1034條第3款規定:“個人資訊中的私密資訊,適用有關隱私權的規定;沒有規定的,適用有關個人資訊保護的規定。”
處理個人資訊應遵循的基本原則
民法典第1035條第2款明確了,“個人資訊的處理包括個人資訊的收集、儲存、使用、加工、傳輸、提供、公開等。”我國《網路安全法》第41條就個人資訊的處理確立了基本原則。民法典總結了這一立法經驗,在其第1035條第1款明確了處理自然人個人資訊應遵循的基本原則,即合法原則、正當原則和必要原則。例如,在2019年發生的郭某起訴杭州野生動物世界案件中,被告告知原告“原指紋識別已取消,未註冊人臉識別的使用者將無法正常入園”。筆者認為,這可能違反了必要原則,因為野生動物世界並不必要求使用者“註冊人臉識別”。
同時,該條還明確,收集和處理自然人的個人資訊,應當符合如下四項條件:一是徵得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外。二是公開處理資訊的規則。例如,在很多購物網站上,都公示其收集消費者資訊的規則。《歐盟資料保護通用條例》(GDPR)第8條強調,資料控制者必須能夠證明其從監護人那裡獲得了同意,我國民法典雖然沒有明確,但也可以如此解釋。三是明示處理資訊的目的、方式和範圍。例如,學校因招生考試而要求學生提供身份證影印件,就要明示,收集到的身份資訊僅用於此次招生考試活動。四是不違反法律、行政法規的規定和雙方的約定。
需要注意的是,就個人的敏感資訊,其處理應當有更嚴格的法律規制。所謂敏感資訊包括能夠揭示個人的種族、政治傾向、宗教和哲學信仰、個人健康、基因資訊和生物資訊等。《歐盟資料保護通用條例》強調了其處理要適用特殊的規則,要進行非常嚴格的限制。這一做法值得借鑑。
明確了個人資訊權利人的權利
依據民法典的規定,個人資訊權利人享有的權利(確切地說是權能)包括:
一是查詢權。民法典第1037條第1款規定,“自然人可以依法向資訊處理者查閱或者複製其個人資訊”。據此,自然人作為個人資訊權利的主體,享有查詢個人資訊的權利。
二是更正權。民法典第1037條第1款規定,個人資訊權利人“發現資訊有錯誤的,有權提出異議並請求及時採取更正等必要措施。”更正權可以理解為是人格權請求權中的排除妨害或停止侵礙。
三是刪除權。民法典第1037條第2款規定,“自然人發現資訊處理者違反法律、行政法規的規定或者雙方的約定處理其個人資訊的,有權請求資訊處理者及時刪除。”刪除權也可以理解為是人格權請求權中的排除妨害或停止侵礙。
依據《歐盟資料保護通用條例》(GDPR)第17條和第20條的規定,個人資訊權利人享有的權利還包括被遺忘權、資訊可攜權(即將個人資訊從一個資訊服務提供者轉移到另一個資訊服務提供者處的權利)等。我國民法典對此並沒有規定,我國未來的個人資訊保護法可以考慮是否予以規定。
處理個人資訊時的免責規則
為了避免因個人資訊保護而損害社會公共利益,民法典確立了處理個人資訊時的免責規則。依據第1036條的規定,處理自然人個人資訊,有下列情形之一的,行為人不承擔民事責任:
一是在該自然人或者其監護人同意的範圍內合理實施的行為。這可以理解為是受害人同意規則的具體運用。
二是合理處理該自然人自行公開的或者其他已經合法公開的資訊,但是該自然人明確拒絕或者處理該資訊侵害其重大利益的除外。這一規定對於資料產業和數字經濟的發展具有重要意義,有助於平衡個人資訊保護和資料共享之間的關係。
三是為維護公共利益或者該自然人合法權益,合理實施的其他行為。例如,為了通緝罪犯而公開其身份證號碼,就屬於為了維護公共利益而侵害個人資訊。
資訊處理者的義務
在個人資訊保護中,資訊處理者的義務非常重要。民法典第1038條明確了資訊處理者的主要義務,包括:
一是“不得洩露、篡改其收集、儲存的個人資訊”的義務。從實踐來看,洩露個人資訊的事件時有發生,對個人資訊造成嚴重威脅。電信詐騙往往都是因為個人資訊被洩露引發的。
二是“不得向他人非法提供其個人資訊”的義務。這就意味著,除非經過資訊權利人同意,否則,不得向他人提供個人資訊。不過,本條同時明確了,“經過加工無法識別特定個人且不能復原的”個人資訊,可以向他人提供。這一規定對於資訊的共享和資訊產業的發展,具有重要意義。
三是確保其收集、儲存的個人資訊保安的義務。資訊處理者應當採取技術措施和其他必要措施,確保其收集、儲存的個人資訊保安,防止資訊洩露、篡改、丟失。
四是個人資訊洩露、篡改、丟失後的報告義務。這就是說,在發生或者可能發生個人資訊洩露、篡改、丟失的,應當及時採取補救措施,依照規定告知資訊權利人並向有關主管部門報告。
機關法人及其工作人員
對自然人隱私和個人資訊的保密義務
從實踐來看,國家機關、承擔行政職能的法定機構及其工作人員在履行職責過程中知悉了較多的自然人隱私和個人資訊,在法律上確立其保密義務具有重要的現實意義。例如,教育行政部門掌握了考生的個人資訊,如果洩露就可能為犯罪分子進行電信詐騙提供便利。因此,民法典第1039條特別強調,“國家機關、承擔行政職能的法定機構及其工作人員對於履行職責過程中知悉的自然人的隱私和個人資訊,應當予以保密,不得洩露或者向他人非法提供。”國家機關和法定機構合成為機關法人。
法定機構指“根據特定的法律、法規或者規章設立,依法承擔公共事務管理職能或者公共服務職能,不列入行政機構序列,具有獨立法人地位的公共機構”。法定機構是在我國行政體制改革和事業單位改革大背景下引入並設立的公共組織。例如,深圳市城市規劃發展研究中心、南方科技大學等都屬於法定機構。本條適用於“承擔行政職能的法定機構”。雖然本條沒有明確機關法人及其工作人員違反保密義務的法律後果,但是,結合《國家賠償法》等法律的規定,其自然要承擔法律責任。
(作者為北京航空航天大學法學院教授)