查看原文
其他

程啸:我国《民法典》个人信息保护制度的创新与发展 | 财经法学202004

【作者】程啸(清华大学法学院教授)
【来源】北大法宝法学期刊库《财经法学》2020年第4期(文末附本期期刊要目)。因篇幅较长,已略去原文注释。


内容提要:我国《民法典》将人格权独立成编,并基于社会现实的需要而在人格权编系统地确立了个人信息保护制度,该制度最主要的创新与发展集中在五个方面:第一,明确了自然人的个人信息权益的性质,将之界定为人格权益;第二,区分私密信息与其他个人信息,明确私密信息的保护中隐私权保护规则与个人信息保护规则的适用关系;第三,统一使用“处理”涵盖个人信息的相关行为,实现对个人信息收集、处理、加工、使用、提供和公开等行为的全面规范;第四,明确了个人信息权益的具体内容,有利于充分实现对自然人人格尊严和人格自由的保护;第五,明确侵害个人信息的免责事由,有助于很好地实现权益保护与自由维护的协调。

关键词:个人信息;人格权益;私密信息;处理;民法典


引  言


  现代社会中个人信息保护受到高度重视,当前世界上有120多个国家和地区已有专门的个人信息保护立法,如欧盟的《一般数据保护条例》(GDPR)、德国的《联邦数据保护法》、日本的《个人信息保护法》、韩国的《个人信息保护法》《信息通信网利用促进及信息保护法》及《信用信息的利用及保护法》、我国台湾地区的“个人资料保护法”等。我国法律也高度重视个人信息保护。无论是2012年颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》、2013年修订的《消费者权益保护法》,还是2017年施行的《网络安全法》《民法总则》以及2019年施行的《电子商务法》都对个人信息保护作出了一些规定。此外,2009年十一届全国人大常委会第七次会议通过的《刑法修正案(七)》还在《刑法》中新增第253条之一,首次将窃取或以其他方式非法获取公民个人信息、出售或非法提供公民个人信息的情节严重的行为规定为犯罪,从而将其纳入刑事打击的范围。然而,这些法律对个人信息保护的规定都是零散的、不成系统的。真正在我国法上系统地确立个人信息保护制度并明确自然人个人信息权益的是《中华人民共和国民法典》(以下简称《民法典》)。
  我国《民法典》不仅在总则编的“民事权利”章对个人信息保护作出了规定(第111条),更重要的是在独立成编的“人格权编”中专章就个人信息保护作出了具体而又详细的规定。一方面,在《民法典》人格权编第6章“隐私权与个人信息保护”中,立法者用了6个条文(即第1034条至1039条)对个人信息的概念和类型、个人信息保护与隐私权的关系、处理个人信息应当遵循的原则与告知同意规则、自然人对其个人信息享有权益内容、侵害个人信息的免责事由,信息处理者的法律义务等作出了系统的规定;另一方面,在《民法典》人格权编的第1章“一般规定”和第5章“名誉权和荣誉权”中,立法者还就个人信息的合理使用(第999条)、信用信息的处理规则等作出了规定(第1030条)。
  民法典是市民社会的基本法,是民商事领域的基本法。我国《民法典》对于个人信息保护的规定,具有重要的意义。一方面,通过对自然人的个人信息权益的规定,明确了自然人对个人信息享有的民事权益是人格权益,彰显了我国法律对自然人人格尊严和人格自由的尊重,充分表明了在任何个人信息保护与个人数据权属的立法中都应始终关注自然人的个人信息权益的保护与信息的自由流动这一对法律价值的权衡与协调。另一方面,通过对个人信息的界定、对个人信息与隐私权的关系以及个人信息权益内容等基本规则与制度的规定,也为当前我国正在进行的《个人信息保护法》《数据安全法》的立法工作指明了方向,提供了基本的依循。
  为了更好地理解与适用《民法典》关于个人信息保护的规定,笔者在本文中拟就我国《民法典》在个人信息保护上的创新与发展之处加以论述。本文认为,我国《民法典》个人信息保护制度的创新与发展主要体现在以下五个方面:第一,明确了自然人的个人信息权益的性质,将之界定为人格权益;第二,区分私密信息与其他个人信息,明确私密信息的保护中隐私权保护规则与个人信息保护规则的适用关系;第三,统一使用“处理”涵盖个人信息的相关行为,实现对个人信息收集、存储、处理、加工、使用、提供和公开等行为的全面规范;第四,明确了个人信息权益的具体内容,有利于充分实现对自然人的人格尊严和人格自由的保护;第五,明确侵害个人信息的免责事由,有助于很好地实现权益保护与自由维护的协调。下文对此逐一加以阐述。


确认了自然人对其个人信息享有人格权益


  《民法典》第111条第1句与第1034条第1款明文规定:“自然人的个人信息受法律保护。”那么,自然人对其个人信息享有的是何种民事权益呢?对此,理论界一直存在很大的争议,有“民事权利说”与“合法利益说”(民事利益说)两种不同的看法。在我国《民法典》编纂过程中,也有学者不断呼吁《民法典》中应当明确规定“个人信息权”,而不应当仅使用“个人信息保护”这样的表述。然而,立法机关无论是在《民法典》的总则编抑或人格权编中都没有使用“个人信息权”的表述。虽然《民法典》第四编“人格权”在规定具体人格权的各章(即第2-6章)中,几乎都是以“某某权”作为章名,如第2章“生命权、身体权和健康权”、第3章“姓名权和名称权”、第4章“肖像权”、第5章“名誉权和荣誉权”。然而,唯独在第6章使用的是“隐私权和个人信息保护”的表述。之所以立法机关最终没有采取“个人信息权”的表述,根本原因还在于:对于是否规定“个人信息权”的问题,存在很大的争议。部分理论界和实务界的人士和有关部门担心将自然人对个人信息的权益直接确定为“个人信息权”,会导致自然人对其个人信息享有过于绝对的支配权和控制权,以致影响信息的自由流动,不利于网络信息社会和数字经济的发展。这种争议使得立法机关在是否规定个人信息权的问题上决定采取比较稳健的态度。
  应当说,即便将自然人对其个人信息的权益规定为个人信息权,也并不就会出现上述人士和部门所担忧的现象。因为无论是从个人信息本身的性质还是比较法上看,还没有一个国家或地区会将个人信息权混同于所有权、生命权等绝对权利,认为自然人对于其个人信息享有独占的、排他的支配权。任何国家或地区在对自然人的个人信息进行保护时,都必须权衡多种利益,其中既包括自然人的人格尊严等基本人权,也包括言论和信息的自由、网络信息科技的发展、商业活动的发展、公共利益和国家利益的维护等。这些都是不言自明的道理。例如,欧盟《一般数据保护条例》虽然在其作为导言性质的“鉴于条款”中开篇就明确自然人在个人数据处理方面获得保护是一项基本权利,是受到《欧盟基本权利宪章》第8条第1款和《欧盟运行条约》第16条第1款的保护的,但是,紧接着它就指出“本条例致力于实现自由、安全、公平和经济联盟,致力于经济和社会进步,加强并聚集内部市场的经济,实现个人的幸福”,“保护个人数据的权利不是一项绝对权利,必须考虑其在社会中的作用并应当根据比例性原则与其他基本权利保持平衡。本条例尊重所有基本权利,并奉行《欧盟运行条约》基于《欧盟基本权利宪章》承认的自由和原则,尤其是在以下方面:个人和家庭生活,家庭和通信,个人数据保护,思想自由,意识和宗教,言论和信息自由,商业活动自由,获得有效救济和公正审判的权利,文化、宗教和语言多样性。”再如,日本的《个人信息保护法》第1条就规定“本法的立法目的在于,在高度信息通信社会的深化所带来的对个人信息的利用显著扩大的背景下,通过对个人信息之正当处理的基本理念、由政府制定基本方针及采取其他保护个人信息的措施等基本事项做出规定,明确国家和地方公共团体的职责等,并对个人信息处理业者应遵守的义务等做出规定,从而重视个人信息的正当且有效利用在促进新兴产业的创造、实现充满活力的经济社会和富足的国民生活上的作用以及其他个人信息的作用,保护个人的权利或利益”。
  同样,我国《民法典》在规定个人信息保护问题时,也始终关注多种利益的协调,否则在《民法典》中也不会对个人信息的合理使用、侵害个人信息的免责事由等作出规定。事实上,个人信息的权益的名称如何对于自然人并不重要,重要的是对于该权益的性质、内容和保护方式加以明确,而正是后者决定了这种权益究竟是权利还是利益,如果是权利,究竟是效力多强的权利。因此,从这个角度上,立法者在《民法典》中回避关于个人信息权益的争议而采取“个人信息保护”的表述,不失为明智之举!虽然《民法典》没有使用“个人信息权”的表述,但是,《民法典》对个人信息保护的规定依然从以下三方面明确了自然人个人信息权益的性质,具有重要的意义。
  1.明确了自然人对其个人信息的权益属于民事权益,是私权益。《民法典》调整的是平等主体的自然人、法人和非法人组织之间的人身关系和财产关系。自然人对于其个人信息享有的权益属于民事权益,因为无论国家机关处理自然人的个人信息,还是非国家机关(如企业、事业单位等)处理自然人的个人信息,也无论处理者处理自然人个人信息的目的是行政管理、公共服务还是营利目的,处理者与自然人都属于平等的民事主体。他们之间的权利义务关系属于民事权利义务关系,自然人对其个人信息享有的也是民事权益,而非公法上的权利。有的学者仅仅因为个人信息保护法属于单行立法及其中存在很多的管理性规范,就认为自然人对其个人信息享有的是公法上的权利,对此笔者难以苟同。因为公法规范之所以对个人信息保护问题作出规定,即便主要是为了维护公共利益或国家利益,也无法偏离保护自然人人身财产权益这一根本目标。或许正是因为在《民法典》编纂之前,规定个人信息保护的法律规范主要是行政管理性法律,更多强调的是行政管理和行政法律责任,才导致一些学者以为自然人对其个人信息的权利是公法上的权利。我国《民法典》对个人信息的规定很好地发挥了正本清源的作用,清晰而明确地规定了自然人对个人信息的权益属于民事权益,而不是公法上的权利。
  2.明确了自然人的个人信息权益属于人格权益。虽然我国《民法典》没有明确规定个人信息权益,但是其明确了自然人的个人信息权益在性质上属于人格权益,而非财产权益。一方面,《民法典》总则编第5章“民事权利”在列举了自然人的生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等具体人格权后,在第111条对个人信息的保护作出规定。另一方面,《民法典》将个人信息保护的具体内容放在人格权编当中,与隐私权在同一章加以规定。我国《民法典》调整的是平等主体的自然人、法人、非法人组织的人身关系和财产关系(第2条),且《民法典》人格权编中不仅调整人格权的享有与保护关系,也调整自然人基于人身自由、人格尊严产生的其他人格权益(第990条第2款)。所谓“其他人格权益”既包括其他人格权利,也包括其他人格利益(第126条)。故此,可以肯定的是,虽然《民法典》没有规定个人信息权,但明确了自然人对其个人信息享有的民事权益在性质上属于人格权益。
  3.《民法典》人格权编第6章将“隐私权与个人信息保护”作为章名并依次规定,同时还对个人信息中的私密信息优先适用隐私权保护作出了规定(第1034条第3款),这都表明了我国法上已经明确区分了隐私权与个人信息。因此,我国法上不会如美国那样通过扩张隐私权的外延,发展出所谓的“信息隐私权”(information privacy)来实现对个人信息的保护。之所以如此,不仅是因为我国的隐私权和美国法上的隐私权完全不是一个层次上的概念,后者既包括侵权法上的隐私权也包括宪法上的隐私权,等同于大陆法系国家的人格权概念,更重要的是因为隐私权根本无法涵盖对全部个人信息的保护。故此,《民法典》施行后只是应当讨论如何协调隐私权与个人信息保护的关系,而无需讨论是否应当扩张隐私权来涵盖个人信息保护的问题。
区分不同类型的个人信息予以相应的规范


  《民法典》第1034条第2款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”这是《民法典》对个人信息的内涵与外延的界定,除此之外,《民法典》还对个人信息进行两类重要的类型划分并作出了不同的规范。首先,《民法典》第1034条第3款区分了个人信息中的私密信息与非私密信息,并在此基础上明确了隐私权与个人信息保护的适用关系;其次,《民法典》第1036条第2项区分了个人信息中已经合法公开的信息和未公开的信息。对于已经合法公开的个人信息原则上允许自由的处理,除非该个人信息主体明确拒绝或者处理该信息侵害其重大利益。至于未公开的个人信息,《民法典》要求处理者必须告知自然人并取得其同意或者存在法律规定的合理使用、免责的情形才能进行处理,否则就构成侵害个人信息。
  (一)私密信息与非私密信息及隐私权和个人信息保护的适用关系
  现代社会是信息社会,要维护自然人的私生活安宁和私生活秘密不受侵害,就必须保护自然人的私密信息不被随意收集、公开或者被滥用。现代隐私权的一项重要功能就是保护自然人的私密信息。《民法典》第1032条第2款规定:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”自然人的私密信息的范围十分广泛,凡是自然人不愿意为他人知晓的信息,无论是婚姻信息、财产信息、健康信息、家庭住址、病历资料、犯罪记录、个人人生经历、嗜好、性取向、日记、私人信件以及其他个人不愿公开的信息等,都可以纳入私密信息的范围。例如,《民法典》第1226条规定的患者隐私和个人信息,《传染病防治法》第12条第1款第2句规定涉及个人隐私的有关信息、资料,《精神卫生法》第4条第3款规定的精神障碍患者的姓名、肖像、住址、工作单位、病历资料以及其他可能推断出其身份的信息,《艾滋病防治条例》第39条第2款规定的艾滋病病毒感染者、艾滋病病人及其家属的姓名、住址、工作单位、肖像、病史资料以及其他可能推断出其具体身份的信息等,都属于这里的私密信息范围。
  在《民法典》颁布之前,我国法律实际上已经注意到了隐私信息与非隐私信息的区分。《全国人民代表大会常务委员会关于加强网络信息保护的决定》第1条第1款规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”《公共图书馆法》第43条规定:“公共图书馆应当妥善保护读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息,不得出售或者以其他方式非法向他人提供。”《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第1句规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。”然而,这些法律和司法解释并未在区分隐私信息和其他个人信息的基础上确立不同的规则,而是适用统一的规则。《民法典》不仅明确区分了个人信息中的私密信息和非私密信息,而且在此基础上明确了隐私权保护与个人信息保护的规则适用。
  个人信息中私密信息与非私密信息的根本区别在于:前者是自然人不愿意为他人知晓的信息,且该信息也与公共利益等无关。至于信息的内容并非一定都是高尚的、道德所允许的,也包括那些为道德所谴责的、为人所不齿的内容。毕竟,法律上没有规定人们负有“不得自甘堕落”的义务。因此,只要不涉及公序良俗、不违反法律的强制性规定,即便是不道德的、为人不齿的信息,也属于私密信息,例如,丈夫违背夫妻忠诚义务而与他人有不正当性关系的信息属于私密信息,受到隐私权的保护,他人也不得随意公开,否则构成侵害隐私权。但是,虽然非私密的个人信息也属于个人信息,可并非是自然人不愿意为他人知晓的信息,这些信息有些已经处于公开状态,有些是自然人愿意且往往必须为他人所知才能使得自然人更好地参与社会交往活动。例如,姓名属于个人信息,但姓名是自然人的标识,是区别不同自然人的一种语言标识。通过姓名,自然人得以在与其周围的人的关系中维护其人格,并将自己与他人在社会交往中加以区分,从而作为一个独特的个体存在,获得自我认同,实现人格尊严。如果姓名不为他人所知,如何能够进行社会交往?另外,在很多时候,自然人将其个人信息加以主动公开,如将自己的联系电话、电子邮箱放在个人主页上或作为微信的名称等,这种情形下原本属于私密信息的个人信息也就成为了公开的个人信息。在区分私密信息和非私密信息的基础上,《民法典》第1034条第3款对隐私权和个人信息保护的关系作出了以下规定:
  1.私密信息既受到隐私权保护,也受到个人信息保护规则的保护。如前所述,私密信息是自然人不愿意为他人知晓的私人生活的各种相关信息,包括家庭住址、病历资料、健康资料、犯罪记录等。这些私密信息是隐私,属于隐私权的客体,同时也属于个人信息,受个人信息保护规则的保护。
  2.个人信息中的私密信息和非私密的信息处理规则存在区别。在处理私密信息时,首先要适用的是《民法典》关于隐私权的规定,然后才能适用《民法典》关于个人信息保护的规定。依据《民法典》第1033条第5项,处理他人的私密信息要么是取得隐私权人的“明确同意”,要么是依据法律的规定,否则,任何组织或者个人实施的处理他人私密信息的行为都构成侵害隐私权的行为。但是,对于处理非私密信息的个人信息,依据第1035条,要么是依据法律、行政法规的规定,要么是得到该自然人或者其监护的“同意”。这里就看出《民法典》对私密信息和非私密的个人信息处理规则上的三点区别:其一,在未经权利人同意的情形下,处理私密信息只能依据法律的规定,而处理非私密的个人信息可以依据法律和行政法规的规定。显然,对于私密信息的保护更为严密。其二,处理私密信息必须取得权利人的同意,而处理非私密的个人信息可以取得自然人或者其监护人的同意。也就是说,监护人也不能擅自同意他人处理被监护人的私密信息。其三,处理私密信息必须取得的是权利人的“明确同意”,而处理非私密的个人信息是取得自然人或者其监护人的同意。“明确同意”与“同意”的涵义是不同的。一方面,明确同意意味着自然人在被告知私密信息将被处理的前提下而作出清晰、明确的允许处理的意思表示。另一方面,明确的同意应当是针对该私密信息被处理而单独作出的同意的意思表示。但是,所谓同意既不要求必须是单独的同意,也不要求仅针对被处理的特定个人信息作出的同意,而可以是概括性的同意(如通过APP的隐私政策可以取得对所有非私密的个人信息的同意)。
  3.许可他人使用上的不同。隐私权人可以自行处分权利,如自行在网络上或向媒体公开其私密信息。但是,隐私本身原则上是不能许可他人使用或商业化利用的。《民法典》第993条规定:“民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外。”该条之所以没有列出“隐私”,是因为:隐私权侧重于消极防御的功能,即防止他人对包括私生活安宁、私密信息在内的隐私的侵害,其保护的是自然人对隐私不受他人侵害的利益。因此,隐私权的主要权能就是排除他人侵害的权能,即消极权能。对于隐私,原则上是不能许可他人使用的。允许隐私的许可使用很可能违反公序良俗原则这一民法的基本原则。然而,对于个人信息尤其是非私密的个人信息,自然人完全可以许可他人使用,从而促进网络信息产业和数字经济的发展。故此,《民法典》第1035条规定,只要遵循合法、正当、必要原则,不得过度收集、处理且符合相应的条件,是可以对个人信息加以使用或许可他人使用的。当然,对于私密信息许可他人使用是否可以,仍然需要考虑是否违背公序良俗。
  正是考虑到隐私权与个人信息权益的上述差别,《民法典》第1034条第3款才明确规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”该条中隐私权没有规定的个人信息显然是指非私密信息的个人信息。这样一来,我国《民法典》就非常清晰的划分了隐私权与个人信息权益对私密信息和非私密信息这两类个人信息的保护规则。
  (二)公开的个人信息与非公开的个人信息
  公开的个人信息是指已经合法公开的个人信息,至于那些因他人泄露或非法公开的个人信息,虽然客观上确实处于公开的状态,但不属于法律上的公开的个人信息。依据《民法典》第1036条第2项,合法公开的个人信息包括“该自然人自行公开的”和“其他已经合法公开的”两大类型。其一,自然人自行公开的个人信息,如某教授将自己的办公室电话、手机号、电子邮箱、通信地址等在自己的个人网页上加以公开,从而使得这些个人信息进入了公共领域,任何人都可以获得。其二,其他已经合法公开的个人信息,主要包括两种情形:一是,依据行政行为而公开的个人信息,即因政府机关履行职责而依法加以公开的个人信息,例如,《政府信息公开条例》第15条规定:“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开。但是,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开。”再如,依据国务院颁布的《企业信息公示暂行条例》的规定,企业通过企业信用信息公示系统向工商行政管理部门报送上一年度的年度报告,并向社会公示。企业的年度报告中涉及个人信息的内容如“企业为有限责任公司或者股份有限公司的,其股东或者发起人认缴和实缴的出资额、出资时间、出资方式等信息”“有限责任公司股东股权转让等股权变更信息”等。二是,依据司法行为而公开的个人信息,即因为法院的司法行为而公开的法律文书,其中涉及的应当公开的个人信息。例如,依据《最高人民法院关于人民法院在互联网公布裁判文书的规定》,人民法院作出的裁判文书除涉及国家秘密、未成年人犯罪等不应公开的情形外,都应当在互联网上公开。人民法院在互联网公布裁判文书时,虽然应当删除“自然人的家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号等个人信息”“家事、人格权益等纠纷中涉及个人隐私的信息”等信息,但是有些个人信息仍然应当在裁判文书中保留。依据该司法解释第11条第1项,人民法院在互联网公布裁判文书,“除根据本规定第八条进行隐名处理的以外,当事人及其法定代理人是自然人的,保留姓名、出生日期、性别、住所地所属县、区”。
  区分公开的和非公开的个人信息的最主要的意义在于:处理这些个人信息是否需要得到自然人的同意方面的不同。除非法律、行政法规另有规定,对于非公开的个人信息,必须告知自然人且得到该自然人或者其监护人的同意。对此,《民法典》第1035条第1款有明确的规定。然而,依据《民法典》第1036条第2项,合理处理已经合法公开的个人信息,原则上是无需告知自然人并得到其同意的,除非“该自然人明确拒绝或者处理该信息侵害其重大利益”,否则该处理行为不构成侵害个人信息的侵权行为。由此可见,即便是已经公开的个人信息也是受到法律保护的,只是在保护的强度和密度上要明显弱于非公开的个人信息。
  (三)关于敏感的与非敏感的个人信息的区分问题
  个人信息中还有另外一个重要的分类,就是依据个人信息对自然人人身财产安全的敏感程度,将之分为敏感的个人信息与非敏感的个人信息。敏感的个人信息(personal sensitive in-formation),也被称为“特殊的个人信息”。何为敏感的个人信息,各国(地区)法上有不同的界定。欧盟的《一般数据保护条例》第9条第1款将之界定为“揭示种族或者民族出身,政治观点、宗教或者哲学信仰,工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,健康数据,自然人的性生活或者性取向的数据”。德国《联邦数据保护法》则将其界定为“有关个人种族血统、政治观点、宗教或哲学信仰、工会成员资格、健康状况或者性生活的信息”。按照巴西《通用数据保护法》第5条的规定,“关于种族或族裔、宗教信仰、政治观点、工会或宗教、哲学或政治组织成员身份的个人数据,与自然人有关的健康或性生活数据、基因或生物数据”,属于个人敏感数据。我国台湾地区“个人资料保护法”将“有关病历、医疗、基因、性生活、健康检查及犯罪前科”的个人资料规定为特殊的个人资料。
  我国《民法典》以及《网络安全法》等法律都没有对敏感的个人信息作出界定,只有一些标准中有相应的规定。笔者认为,虽然《民法典》没有规定敏感的和非敏感的个人信息,但这并不意味着该分类就不重要。《民法典》主要规定的是个人信息保护中的重大的基本的问题,且区分敏感的和非敏感的个人信息主要是体现在对个人信息的处理规则上,故此,可以交由未来的《个人信息保护法》对此作出规定。
  所谓敏感的个人信息主要是指,那些涉及自然人人格尊严、人格自由或者其他重大权益的个人信息,这些个人信息倘若被非法处理,将会对所涉自然人的人格尊严、人格自由或者其他重大的人身权益、财产权益造成严重的威胁或损害。例如,自然人的生物识别信息具有唯一性和不可更改性,且由于人工智能技术的发展这些生物识别信息往往与自然人的财产、隐私等密切关联,一旦被他人非法获取,就有可能给自然人造成重大的财产损失或者隐私权等被侵害的严重后果。再如,个人的政治观点或者宗教信仰信息,涉及宪法上的言论自由、宗教信仰自由等基本权利,这些个人信息被非法收集、处理,很有可能会侵害自然人的上述基本权利以及其他相关的基本权利,如政府针对特定宗教信仰的人进行迫害,或者在选举时通过各种方式对其进行人格操控等。依据这一界定,以下个人信息应当归入敏感的个人信息:(1)种族或民族信息;(2)宗教信仰信息;(3)政治主张信息;(4)生物识别信息;(5)基因信息;(6)医疗健康信息;(7)性生活与性取向信息;(8)储蓄、证券等金融账户信息。
  正是因为敏感的个人信息对于自然人是非常重要的个人信息,所以,在个人信息保护法中对于敏感个人信息的处理规则应有别于非敏感个人信息的处理规则。一方面,为了更好地保护敏感的个人信息,对于这些个人信息原则上禁止处理,除非存在法定的例外情形,例如经过自然人的单独同意、为了维护公共利益等。至于非敏感的个人信息,只要履行告知义务并取得同意即可进行收集和处理。例如,欧盟《一般数据保护条例》第9条就明确规定,对于特殊类型的个人数据原则上禁止处理,除非符合该条第2款规定的特殊情形,如为了维护数据主体的切身利益、维护重大公共利益等。再如,我国台湾地区“个人资料保护法”第6条规定,对于有关病历、医疗、基因、性生活、健康检查及犯罪前科之个人资料,不得搜集、处理或利用。但有下列情形之一者,不在此限:(1)法律明文规定;(2)公务机关执行法定职务或非公务机关履行法定义务必要范围内,且事前或事后有适当安全维护措施;(3)当事人自行公开或其他已合法公开之个人资料;(4)公务机关或学术研究机构基于医疗、卫生或犯罪预防之目的,为统计或学术研究而有必要,且资料经过提供者处理后或经搜集者依其揭露方式无从识别特定之当事人。(5)为协助公务机关执行法定职务或非公务机关履行法定义务必要范围内,且事前或事后有适当安全维护措施。(6)经当事人书面同意。但逾越特定目的之必要范围或其他法律另有限制不得仅依当事人书面同意搜集、处理或利用,或其同意违反其意愿者,不在此限。
  另一方面,即便是个人信息的处理者在符合法律规定的前提下,可以处理敏感的个人信息,其在处理中负有的注意义务和法律上的要求也更高,否则,如果因为处理者的安全防护措施不足而造成敏感的个人信息泄露,则对自然人会造成很大的损害或风险。例如,对于依法收集的敏感的个人信息,在保管上,处理者负有更高度的注意义务,而法律法规也对其有更严格的要求,如必须进行风险评估等。


统一采用“个人信息的处理”与“处理者”的表述


  (一)统一使用“个人信息处理”的表述
  在《民法典》颁布之前,我国法律对于与个人信息相关的行为,基本上采用的都是“收集、使用个人信息”的表述。2012年颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》中使用的就是“收集、使用公民个人电子信息”。此后,《网络安全法》与《电子商务法》也都延续了“收集、使用个人信息”这样的表述。
  在《民法典》的编纂过程中,就如何对于与个人信息相关的各种行为采用最合理的表述经历了一个发展变化的过程。2019年12月第十三届全国人大常委会第十五次会议审议的《民法典草案》,采取的是“收集、处理个人信息”的表述,即将个人信息的收集与处理并列,同时,将“处理”规定为包括“个人信息的使用、加工、传输、提供、公开等”。该审议稿采取的“处理”(Process)一词来源于欧盟《一般数据保护条例》,但是,在欧盟的《一般数据保护条例》中,“处理”的涵义是非常广泛的。依据该条例第2条,所谓处理,是指“对个人数据或个人数据集合的任何一个或一系列操作,如收集、记录、组织、建构、存储、修改、检索、咨询、使用、披露、传播或其他方式利用、排列、组合、限制、删除或销毁,无论该等操作是否采用自动化方式”。也就是说,在欧盟的《一般数据保护条例》中,处理包含了对个人信息或个人数据的所有自动化或非自动化的操作,收集行为本身也被包含在内。
  然而,最终颁布的我国《民法典》在借鉴欧盟《一般数据保护条例》的基础上,没有区分“收集”与“处理”,而是以“处理”一词来统称对个人信息的收集、存储、使用、加工、传输、提供、公开等活动。这一规定是非常科学合理的。当然,实践中与个人信息有关的行为不限于所列举出来的七种,还可能包括其他的类型,如个人信息的删除、销毁等。此外,《民法典》第1035条第2款并没有将个人信息的处理限定于具体的方式,故此,无论是通过人工还是机器,无论是自动化还是非自动化的处理,都被包括在内。
  (二)“个人信息处理者”概念的采用
  个人信息处理的行为类型很多,如收集、存储、加工、使用、传输、转让、提供、公开等,因此也会涉及不同的主体。此时,应当如何表述这些主体,是依据不同的处理行为分别表述,还是统一采取一个主体的概念加以表述,值得研究。在我国《民法典》颁布之前,对于这些个人信息处理行为的主体,基本上是由各个法律从自身调整范围出发分别使用不同的名称。例如,《全国人民代表大会常务委员会关于加强网络信息保护的决定》采用的是“网络服务提供者和其他企业事业单位”的表述。《网络安全法》则使用了“网络运营者”的概念(第40条至第43条)。依据该法第76条第3项,所谓网络运营者,是指网络的所有者、管理者和网络服务提供者。至于《消费者权益保护法》与《电子商务法》,又分别采用了“经营者”“电子商务平台经营者”的表述。
  从比较法来看,欧盟《一般数据保护条例》统一使用的是“控制者”(controller)与“处理者”(processor)这两个概念。依据该条例第4条第7项与第8项的定义,控制者是指能够单独或者与他人联合决定个人数据的处理目的与处理方法的自然人、法人、公共机构、代理人或者其他组织;所谓处理者,是指为控制者处理个人数据的自然人、法人、公共机构、代理人或者其他组织。作此区分的理由在于:数据的控制者决定的是数据处理的目的和方法等重大问题,而数据的处理只是技术行为,数据控制者可以自行处理,也可以委托他人处理。在后者的情形中,就发生了数据控制者与处理者的分离,当然适用于数据控制者的规范在很大程度上也都适用于数据处理者。日本法上使用的是“个人信息处理业者”的概念,依据2017年新修订的日本《个人信息保护法》的规定,“个人信息处理业者”是指,已经将个人信息数据库等供业务使用者,但是不包括国家机关、地方公共团体、独立行政法人以及地方独立行政法人等。我国台湾地区的“个人资料保护法”也没有使用专门的概念来称呼个人信息保护的义务主体,而是将侵害个人信息的主体分为两类,即“公务机关”(即依法行使公权力之中央或地方机关或行政法人)与“非公务机关”(即公务机关之外的自然人、法人或其他团体),分别对这两类主体对个人资料的收集、处理、使用作出了规范并施加了不同的法律责任。
  在我国《民法典》编纂过程中,多数说认为,无需根据不同的加害环节来对侵害个人信息的责任主体使用不同的称谓,而应采用统一的概念。但是,究竟使用何种概念,又有不同的看法。一种观点主张借鉴欧盟的做法,采用“信息控制者”或者“数据控制者”的表述,例如,全国信息安全标准化技术委员会起草的《信息安全技术个人信息安全规范》(GB/T 35273—2017)就使用了“个人信息控制者”的概念,并将之界定为“有权决定个人信息处理目的、方式等的组织或个人”(第3.4条)。该观点被《民法典人格权编草案》(第三次审议稿)以及2019年12月审议的《民法典草案》所接受(该草案第1036条、第1038条)。另一种观点则主张采取“个人信息持有者”的表述,公安部网络安全保卫局、北京网络行业协会、公安部第三研究所制定的《互联网个人信息安全保护指南》第3.3条将“个人信息持有”界定为“对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为”。第3.4条将“个人信息持有者”界定为“对个人信息进行控制和处理的组织或个人”。该观点曾被《民法典人格权编草案》(第二次审议稿)所接受,其在第6章“隐私权和个人信息保护”中,使用了“信息持有者”的表述(第815、817条)。然而,《民法典人格权编草案》(第三次审议稿)改采了“信息控制者”的概念。
  我国正式颁布的《民法典》采取了“处理者”的概念。这一改变的合理性在于:一方面,《民法典》统一使用了“处理”的概念来统摄围绕着个人信息开展的收集、使用、加工、传输、提供、公开等一系列行为,因此,使用“处理者”的概念来涵盖从事这些行为的所有主体(无论是国家机关还是非国家机关的企事业单位等),显然比另外使用一个“控制者”的概念更为合理。另一方面,就个人信息的“控制者”与“处理者”这两个概念而言,实际上也完全没有必要加以区分。因为无论信息控制者与信息处理者是否为同一主体,二者都负有相同的个人信息保护的法定义务,即便信息控制者与信息处理者就个人信息的实际处理行为存在相关合同的约定,也只是二者内部的法律关系而已,无法改变此种义务,统一采用“处理者”的概念更为合理。例如,现实中很多国家机关通过政府采购的方式委托一些公司企业进行相应的个人信息的收集等处理活动,此时,无论是委托的国家机关还是实际从事个人信息处理行为的公司企业,都依法负有不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息的法定义务(《民法典》第111条第2句),同时负有保护个人信息安全的义务(《民法典》第1038条)。如果是该国家机关泄露了个人信息,侵害自然人个人信息权益的,其应当承担相应的侵权责任及其他法律责任;如果是受委托处理个人信息的公司企业发生泄露或非法买卖个人信息的侵权行为的,则该公司企业应当承担侵权责任,倘若作为定作人的国家机关对定作、指示或者选任有过错的,也应当承担相应的责任(《民法典》第1193条)。


界定了自然人个人信息权益的内容


  自然人对于个人信息享有相应的民事权益,确切地说,这种民事权益就是自然人享有防范因非法收集、处理其个人信息而使自身人身财产权益和人格尊严、人格自由遭受侵害或损害的受法律保护的人格权益。如前所述,自然人对其个人信息享有的民事权益究竟是称为“个人信息权”抑或“个人信息权益”,并非关键,重要的是,法律上赋予自然人对个人信息享有哪些具体的权利内容以及在这种权益受到侵害时享有何种救济。我国《民法典》在考虑到《网络安全法》第43条、《全国人民代表大会常务委员会关于加强网络信息保护的决定》第8条既有规定的基础上,明确了自然人就其个人信息享有以下三项权能:其一,同意他人使用个人信息的权利(《民法典》第993条、第1035条);其二,查询复制权,即自然人可以向信息控制者查阅或者复制其个人信息(《民法典》第1037条第1款第1句);其三,更正权,即自然人发现其被合法收集的个人信息存在错误的,有权提出异议并请求及时采取更正等必要措施(《民法典》第1037条第1款第2句、第1029条);其四,删除权,即当信息控制者违反法律规定或者约定收集、处理个人信息时,自然人有权要求信息控制者及时删除该个人信息(《民法典》第1037条第2款、第1029条)。
  (一)许可他人使用个人信息
  依据《民法典》第111条、第1034条第1款,自然人的个人信息受法律保护。这种保护不仅仅体现在自然人的个人信息遭受侵害后,自然人有权要求侵害人承担侵权责任,如停止侵害、排除妨碍、消除危险以及赔偿损失,还包括自然人有权对其个人信息进行积极的支配和利用。由此可见,自然人完全可以在不违反法律的规定或者个人信息性质的情形下,许可他人使用自己的个人信息。当然,前提是处理者依据告知同意的规则履行了相应的义务。所谓告知同意规则,包含了告知规则与同意规则,二者紧密联系,不可分割。没有告知,自然人无法就其个人信息被处理作出同意与否的表示;即便告知了,但没有充分的、清晰的告知,自然人即便作出了同意的表示,该同意也并非是真实有效的同意。同样,虽然充分、清晰的告知了,可是并未取得自然人的同意,对个人信息的处理也是非法的,构成对自然人个人信息权益的侵害。
  告知同意的规则是世界各国(地区)个人信息保护立法中所普遍确立的一项基本规则,该规则被认为奠定了个人信息处理的正当性与合法性的基础。到目前为止,绝大多数国家(地区)的个人信息保护立法都明确规定了告知同意规则。例如,欧盟《一般数据保护条例》明确规定:“处理个人数据之前应征得数据主体的同意,通过清楚明确的行为自愿表明同意对其个人数据进行处理,例如,通过书面陈述(包括电子形式)或者口头声明。同意方式可以包括在浏览网页时在方框里打上钩,对信息社会服务进行技术设置或者以其他陈述或行为清楚表示接受对其个人数据的处理。因此,默示、预选方框或者不作为不构成同意。同意范围应当包括所有基于同一目的或者同一类目的而进行的数据处理活动。当数据处理活动存在多种目的时,每项目的都应当征得同意。如果数据主体是基于电子形式的请求而作出的同意,请求应清晰、简洁且不影响所提供服务的使用。”该条例第6条明确将数据主体同意其个人数据为一个或多个特定目的处理作为处理视为合法的情形之一,且在第7条以下,对同意的要件、关于信息社会服务适用于儿童时的同意条件以及进行特殊类型的个人数据处理时的同意要件作出了详细的规定。再如,日本《个人信息保护法》第16条第1、2款规定:“个人信息处理业者不得未事先取得本人的同意,而超出达到依照前一条的规定所特定的利用目所必要的范围,处理个人信息。个人信息处理业者在因合并或其他事由而从其他个人信息处理业者处承受业务并取得个人信息后,不得未事先取得本人的同意,而超出达到业务承受前该个人信息的利用目的所必要的范围,处理个人信息。”我国台湾地区“个人资料保护法”第7条规定:“第十五条第二款及第十九条第一项第五款所称同意,指当事人经搜集者告知本法所定应告知事项后,所为允许之意思表示。第十六条第七款、第二十条第一项第六款所称同意,指当事人经搜集者明确告知特定目的外之其他利用目的、范围及同意与否对其权益之影响后,单独所为之意思表示。公务机关或非公务机关明确告知当事人第八条第一项各款应告知事项时,当事人如未表示拒绝,并已提供其个人资料者,推定当事人已依第十五条第二款、第十九条第一项第五款之规定表示同意。搜集者就本法所称经当事人同意之事实,应负举证责任。”
  我国《民法典》之所以在个人信息保护制度中要以告知同意规则作为基本的规则,原因就在于自然人对其个人信息享有受到法律保护的民事权益,没有得到自然人的同意而处理其个人信息就是对个人信息权益的侵害行为,具有非法性。自然人针对个人信息享有的民事权益决定了自然人可以处分其个人信息,包括许可他人收集、存储、使用、加工、传输、提供或公开其个人信息。在现代网络信息社会,告知同意规则面临着很多的挑战,甚至在实践中,自然人客观上往往很难拒绝个人信息被处理。在很多时候,信息处理者给自然人的只有留下或离开两个选项,即:要么同意被收集个人信息,就能留下来,使用相应的产品或接受服务,生活变得更方便快捷;要么拒绝被收集个人信息,则无法使用产品或服务,只能离开。此外,由于信息处理者将告知的内容置于冗长的隐私政策当中,导致用户实际上几乎不会真正去阅读或真正了解这些隐私政策,故此有观点认为,建立在告知同意规则基础上的个人信息或个人数据保护和治理的框架是不科学的,也是无效的,而且还会阻碍数据的流转和信息的流动。
  笔者认为,上述观点是片面的,因为它们只看到了问题的一个方面,就轻率地认为告知同意规则失去其意义,甚至认为自然人对个人信息处理的同意不再是个人信息处理的正当性基础。首先,告知同意规则在具体适用中的困难并不能改变该规则所蕴含的精神实质,即自然人有权决定对自己个人信息的处理,信息的流动或者利用必须在尊重个人信息权益的前提下进行,二者应当实现协调。取消告知同意规则,势必使得自然人对其个人信息完全失去控制力,自然人针对其个人信息的民事权益也不复存在。其次,告知同意规则的重心不在于用户是否真正了解个人信息处理的目的、方式或范围等,而在于建立了处理个人信息的行为的合法性基础。无论信息处理者在告知同意规则中使用如何复杂冗长甚至含混的表述,也无论个人信息被处理的自然人是否实际阅读或理解了告知的内容,只要围绕个人信息处理发生了纠纷,那么在法院裁判案件时首先要审查的就是个人信息处理者是否按照法律的规定履行了告知同意规则的要求,这对于保护自然人是非常有利的。处理者遵循了告知同意的规则,并不意味着处理者的所有处理行为就一定是合法的,因为处理行为中仍然可能出现各种违法或者违约的情形。但是,如果处理者没有遵循该规则且没有法律或者行政法规的特别规定,则该处理行为一定是非法的。再次,告知同意规则也为个人信息保护机构对其适用进行监管提供了正当性基础,因为这种监管的目的在于保护广大自然人的个人信息权益,具有充足的正当性。实际上,通过各种方法来确保告知同意规则真正得到落实,正是个人信息保护机构的重要职责,由此产生的各种问题应当依靠个人信息处理者的自律行为、监管者的监管措施以及自然人针对信息处理者的民事诉讼(及公益诉讼)三者共同加以解决。
  (二)查阅和复制个人信息的权利
  我国《民法典》第1037条第1款第1句明确规定了自然人针对信息处理者享有依法查阅或者复制其个人信息的权利。该权利是自然人个人信息权益的重要组成部分。一方面,如果不能查询或者复制其个人信息,则自然人在其个人信息被合法收集后就完全丧失了对个人信息的控制力,处理者究竟收集了多少自己的个人信息,这些被收集的个人信息是否符合法律规定或者约定,自然人将完全不清楚,谈何行使《民法典》第1037条第2款规定的删除权。另一方面,如果没有查阅、复制个人信息的权利,自然人无法知悉其被收集的个人信息是否有误,也就难以在发现错误后,依据《民法典》第1037条第1款的规定,提出异议并请求处理者及时采取更正等必要措施。故此,法律上有必要赋予自然人以查阅和复制个人信息的权利,以确保自然人对其个人信息享有知情权并保持应有的控制,避免因为非法收集、处理而致其人身财产权益遭受侵害。
  《民法典》第1037条第1款对自然人查阅或者复制其个人信息的权利的规定属于一般性规定,也就是说,凡是《民法典》和其他法律没有特别规定的,都适用本条。有特别规定的,则适用相应的规定。在我国《民法典》中,对自然人查阅或复制其个人信息的权利的特别规定有两处:
  一是对不动产登记资料的查询复制权的规定。《民法典》第218条规定:“权利人、利害关系人可以申请查询、复制不动产登记资料,登记机构应当提供。”不动产登记资料主要就是指不动产登记簿以及登记原始资料,其上记载的信息不仅包括了自然人的个人信息还包括其他信息。由于不动产登记资料所包含的财产状况属于自然人的敏感信息,故此法律上对于查询、复制不动产登记资料有相应的限制,只有权利人、利害关系人可以查询、复制包含了个人信息的不动产登记资料。其他的民事主体所能够查询复制的信息只限于不包含个人信息的登记资料。例如,《不动产登记资料查询暂行办法》第21条规定:“有买卖、租赁、抵押不动产意向,或者拟就不动产提起诉讼或者仲裁等,但不能提供本办法第二十条规定的利害关系证明材料的,可以提交本办法第八条规定材料,查询相关不动产登记簿记载的下列信息:(一)不动产的自然状况;(二)不动产是否存在共有情形;(三)不动产是否存在抵押权登记、预告登记或者异议登记情形;(四)不动产是否存在查封登记或者其他限制处分的情形。”
  二是对信用评价的查询权的规定。《民法典》在第1029条第1句规定了“民事主体可以依法查询自己的信用评价”。这是因为,信用评价对于民事主体的社会交往、生产生活具有重大的影响,因此即便是有权对他人进行信用评价的主体,其对他人进行信用评价的结果和依据也必须供被评价主体查询,被评价主体对此享有知情权,否则就会损害民事主体的合法权益。虽然自然人的信用信息也属于个人信息,关于自然人与征信机构等信用信息处理者之间的关系也适用《民法典》关于个人信息保护的规定,但是,我国《民法典》将信用纳入名誉的范畴(第1024条第2款),通过名誉权加以保护,故此,《民法典》第1029条第1句中查询权是基于名誉权而产生的。此外,该句中有权查询的是民事主体,既包括自然人,也包括法人、非法人组织。但是,《民法典》第1037条第1款规定的查询权是个人信息权益的内容,而且有权查询的只是自然人,不包括法人、非法人组织。
  当然,《民法典》第1037条第1款只是确立了自然人查阅或者复制其个人信息的权利,其具体的行使程序等,还需要由未来的《个人信息保护法》等法律法规作出更加细化的规定。例如,信息处理者应当以何种方式为自然人的查询、复制提供便利(如能否收取相应的费用抑或免费)?如果处理者拒绝自然人的查询请求,自然人可获得何种救济?这些问题都需要法律法规的进一步规定。其中有些问题还存在比较大的争议。例如,关于信息处理者拒绝自然人查阅其个人信息时,自然人可以向法院提起诉讼的问题,一种观点认为,如果仅仅是为了查询或者复制个人信息就到法院起诉,可能会造成诉讼爆炸,给法院增加很多工作量。另一种观点认为,查询或者复制个人信息本来就是法律赋予自然人的权利,如果该权利受到侵害却无法得到司法救济,还不如不规定。况且,很多时候查阅、复制个人信息对于自然人其他权益的维护也是非常重要的。因此,应当给予支持。对此,笔者认为,自然人依法享有查阅或者复制其个人信息以及在发现信息有错误时要求更正的权利,但原则上必须是先向信息控制者提出请求且被无正当理由加以拒绝后,才能提起诉讼,否则容易导致自然人滥用该权利给信息控制者增加负担。
  关于自然人查阅、复制其个人信息的权利中,有一个值得讨论的问题,即该权利是否包含了个人数据的可携带权或者是否可以从其中解释出该权利。个人数据的可携带权是由欧盟《一般数据保护条例》首次提出的,它是指自然人对于其同意处理者处理的数据化形式承载的个人信息即个人数据,享有要求该处理者以结构化的、通用的、机器可读的、能共同操作的格式形式加以提供的权利,自然人可以将该个人数据转移给其他的信息处理者。在我国《民法典》编纂之前,就是否应当规定个人数据的可携带权,已经存在很大的争论。一种观点认为,此种查阅和复制个人信息的权利并不包含个人数据可携带权,我国法律上也不应当赋予自然人以数据可携带权。因为规定数据可携带权不仅会极大地增加企业的经营成本,技术实现上存在很大的难度,而且也会导致企业的竞争优势丧失,毕竟个人信息是网络企业取得竞争优势的很重要的资产。此外,规定数据可携带权还将引起各个企业之间以此为工具抢夺数据,存在不正当竞争的风险。另一种观点认为,个人数据的可携带权体现了自然人对其个人信息或个人数据的支配性,是个人信息权益的重要组成部分。如果不规定数据可携带权,则很容易使个人信息或个人数据领域形成垄断,容易扼杀新型的网络企业的发展,不利于维护市场的公平竞争。目前,我国司法实践中已经出现了涉及该问题的案件。
  笔者认为,从《民法典》第1037条第1款的规定来看,自然人复制其个人信息的权利可以解释出自然人享有个人数据的可携带权。这是因为,首先,既然自然人有权复制其个人信息,与之相对应的就是处理者应当提供该自然人个人信息的副本,此种副本的形式包括纸质的,也包括电子的,而电子的个人信息就是个人数据,其应当是结构化的、通用的、机器可读的,否则复制的意义就不存在了。其次,《民法典》第992条规定:“人格权不得放弃、转让或者继承。”自然人对其个人信息享有的民事权益虽然没有被明确界定为人格权,但是其属于人格权益是非常明确的。自然人可以许可他人使用其个人信息,而这种许可并不导致自然人转让了其个人信息权益。故此,自然人虽然同意处理者处理其个人信息,但并不因此丧失对其个人信息的支配。否则,如何维护自然人的人格尊严和自由?自然人查阅、复制其个人信息以及要求更正和删除的权利,不仅是不能转让、继承的,也是不能预先抛弃的,个人数据的可携带权包括查阅、删除、更正等权利,不能转让,也不能预先抛弃。再次,规定个人数据的可携带权对于维护数字经济时代的竞争是有必要的,那种认为规定了个人数据可携带权就会导致利用该权利来进行不正当竞争的观点是片面的。在竞争中,网络企业等数字经济主体当然可以竭尽全力去吸引用户,将其在某个网络企业中的个人数据转移到自己这里来,这种竞争行为当然必须是合法的。如果是不正当竞争,自有《反不正当竞争法》加以规制。不能因为存在有人利用可携带权来进行不正当竞争的可能,就反对这种权利本身。
  (三)针对错误信息的提出异议及要求采取更正等必要措施的权利
  依据《民法典》第1037条第1款第2句,自然人发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。《网络安全法》第43条也规定,个人发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正,网络运营者应当采取措施予以更正。这就是对自然人的更正权的规定。个人信息在收集后要进行处理,如存储、使用、加工、传输、共享等,因此一旦个人信息错误而不能及时更正,就会对自然人产生不利的影响,如基于此种错误的个人信息进行信用评价包括自动化决策,会对自然人的民事权益造成损害。故此,法律上允许自然人在发现个人信息有错误后予以更正。所谓更正,既包括对不符合事实的错误信息予以正确化,也应当包括对不完整的个人信息予以补充。当然,信息控制者在收到自然人的更正请求后,应当对个人信息予以核实,并及时更正(包括补充)。自然人在行使《民法典》第1037条第1款第2句规定的权利时,应当提出相应的证据证明个人信息确实存在错误,否则信息处理者难以进行更正。至于信息处理者何时进行更正才是“及时”,需要根据不同类型的网络服务而区分对待。
  《民法典》第1037条一般性地规定了自然人发现个人信息错误,有权提出异议及要求采取更正等必要措施的权利,在法律没有特别规定时,这一规定可以普遍适用于自然人的个人信息出现错误而需要更正的情形。所谓特别的规定,如《民法典》第1029条规定了民事主体发现信用评价错误时,有权提出异议并请求采取更正、删除等必要措施。此种采取更正删除等必要措施的权利是基于名誉权产生的,权利主体不限于自然人,还包括法人、非法人组织。
  (四)删除个人信息的权利
  删除权也是未来更好地保护自然人对个人信息享有的利益而做出的规定,《民法典》第1037条第2款和《网络安全法》第43条规定了删除权行使的具体情形,即:其一,信息处理者违反法律、行政法规的规定处理其个人信息的;其二,信息处理者违反双方的约定使用其个人信息的。在这两种情形下,自然人有权请求处理者删除这些个人信息,否则就等于认可了此等违法或违约行为的存在,承认了处理者有权侵害自然人的个人信息。这两种情形可以说涵盖了需要删除个人信息的全部情形。当然,删除权中的很多具体问题,《民法典》不可能逐一规定,也没有必要逐一规定,而应交由《个人信息保护法》等法律法规和国家标准相应的予以明确即可。例如,所谓删除究竟是指无法在线访问,还是包括在物理上将个人信息删除掉;自然人撤销此前对处理者所作出的处理其个人信息的同意,是否需要删除等等。
  作为自然人个人信息权益内容的删除权与网络侵权中的“通知删除规则”是不同的。我国《民法典》第1194-1197条对网络侵权行为作出了规定,其中确立的一项最基本的规则就是所谓“通知删除规则”。该规则来自于美国法上的避风港规则,其有效地协调了民事权益保护与网络活动自由的保障二者之间的关系。申言之,一方面,在网络用户利用网络服务实施侵权行为时,无论是从最有效的预防制止侵权行为的角度,还是基于报偿原理等公平正义的考虑,网络服务提供者都应当尽到相应的注意义务,而不能无动于衷,任由网络用户利用网络服务实施侵权行为。另一方面,直接实施侵权行为的是网络用户而非网络服务提供者,不能对网络服务提供者提出过高的要求,让网络服务提供者对任何利用其网络服务实施的侵权行为都要负责显然是不公平,违反了自己责任的精神,不利于保障合理的行为自由,促进网络产业的发展。故此,《民法典》第1195条与第1196条确立了通知删除规则,通过该规则,既可以使得网络服务提供者在接到权利人的有效通知后及时制止网络用户的侵权行为,从而无需向权利人承担侵权责任,又可以避免网络服务提供者不合理地采取措施损害网络用户的合法权益,以至于向网络用户承担责任。因此,通知删除规则也被称为“避风港规则”。
  在网络用户利用网络侵害自然人的个人信息时,被侵权人当然有权依据《民法典》的上述规定通知网络服务提供者采取删除等必要措施,那么,这里的“删除”与《民法典》第1037条第2款规定的“删除”有何区别呢?笔者认为,二者虽然都有删除的表述,但属于不同的规则,其具体区别表现在:首先,性质不同。《民法典》第1037条第2款规定的是作为自然人的个人信息权益内容之一项权能的删除权,该权利适用于所有的个人信息处理者,无论其是否为网络服务提供者。但是,《民法典》第1195条规定的删除则是法律施加给网络服务提供者预防和制止网络侵权行为的一项义务,仅适用于网络服务提供者。其次,适用条件不同。依据《民法典》第1037条第2款,删除权的行使要件为“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定收集、处理其个人信息”,即信息处理者存在违法处理个人信息或违反约定处理个人信息的行为,故此自然人有权行使删除权。而通知删除规则是因为有网络用户利用网络服务实施了侵权行为,而权利人通知网络服务提供者采取删除等必要措施,网络服务提供者本身并未直接从事对权利人的侵权行为。再次,法律后果不同。信息处理者违反《民法典》第1037条第2款的规定拒绝自然人的删除请求的,则自然人有权依法提起诉讼,请求法院判决处理者履行删除义务,如果因为没有及时删除而造成损害的,有权要求信息处理者承担赔偿责任。然而,网络服务提供者在接到权利人的通知后没有及时采取删除等必要措施的,依据《民法典》第1195条第2款,网路服务提供者要就损害的扩大部分与实施侵权行为的网络用户承担连带责任。此外,自然人行使作为个人信息权益的权能的删除权,不存在因错误行使该权利而承担赔偿责任的问题,但是,依据《民法典》第1195条第3款,因错误通知造成网络用户或者网络服务提供者损害的,发出通知的权利人应当承担侵权责任。
  就《民法典》第1037条第2款规定的删除权,有一个需要讨论的问题就是应否规定被遗忘权。被遗忘权(right to be forgotten)的概念最早是由欧盟法院在2014年就西班牙发生的“冈萨雷斯诉google”案中确立的。在该案中欧盟法院认为,作为数据控制者的谷歌公司对于其处理的第三方发布的带有个人数据的网页信息负有责任,有义务将其删除。有关数据主体“不好的、不相关的、过分的”信息应当从搜索结果中删除。由此确立了欧盟法上的被遗忘权概念。此后,在2018年实施的欧盟《一般数据保护条例》中也明确规定了被遗忘权。依据该条例第17条,数据主体有权要求控制者及时删除其个人数据,同时如果数据主体已经请求这些控制者们删除相关个人数据的任何链接、副本或复制件,但数据控制者已经将个人数据公开,并且依据本条第1款有义务删除这些个人数据,那么控制者在考虑现有技术和实施成本后,应当采取合理步骤包括技术措施,通知正在处理个人数据的控制者们。
  在我国也曾发生被遗忘权纠纷的案件,即“任甲玉与北京百度网讯科技有限公司名誉权纠纷案”,该案原告曾经与无锡陶氏生物科技有限公司有过合作,网上存在不少关于该合作关系的信息。原告认为,其与陶氏公司的合作已经结束,且因该公司在业界口碑不好,经常有学生退钱,故如果有学生及合作伙伴搜索其名字,从百度页面看到搜索结果会误以为其与该公司还有合作,该不良搜索结果会影响其就业、工作交流及日常生活,这样的搜索信息应当被“遗忘”,故此其要求百度公司删除这些信息。法院认为,我国现行法中并无法定称谓为“被遗忘权”的权利类型,同时,由于“涉诉工作经历信息是任甲玉最近发生的情况,其目前仍在企业管理教育行业工作,该信息正是其行业经历的组成部分,与其目前的个人行业资信具有直接的相关性及时效性;任甲玉希望通过自己良好的业界声誉在今后吸引客户或招收学生,但是包括任甲玉工作经历在内的个人资历信息正是客户或学生借以判断的重要信息依据,也是作为教师诚实信用的体现,这些信息的保留对于包括任甲玉所谓潜在客户或学生在内的公众知悉任甲玉的相关情况具有客观的必要性。任甲玉在与陶氏相关企业从事教育业务合作时并非未成年人或限制行为能力人、无行为能力人,其并不存在法律上对特殊人群予以特殊保护的法理基础。”故此,任甲玉在本案中主张的应“被遗忘”(删除)信息的利益也不具有正当性和受法律保护的必要性,不应成为侵权保护的正当法益,其主张该利益受到一般人格权中所谓“被遗忘权”保护的诉讼主张,法院不予支持。
  对于我国法上的删除权是否包括被遗忘权以及有无必要单独规定被遗忘权,理论界存在很大的争议。笔者认为,在我国法上,没有必要单独规定被遗忘权,理由在于:其一,如果网络上发布的信息涉及侵害自然人的名誉权、隐私权等人格权益时,自然人基于名誉权、隐私权当然有权行使停止侵害、排除妨碍等人格权请求权,要求发布相关信息的网络用户删除该等信息,同时也有权依据《民法典》第1195条要求网络服务提供者采取删除、屏蔽、断开链接等必要措施。其二,自然人如果发现信息控制者违反法律、行政法规的规定或者双方的约定收集、处理其个人信息,则依据《民法典》第1037条第2款有权请求信息控制者及时删除。这里面就包括《民法典》第1036条第2项规定的,虽然是合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外情形。应当说,上述两种情形的删除权的适用已经涵盖了全部的自然人有权要求删除个人信息的全部正当情形,除此之外,自然人已无正当的利益要求网络服务提供者或信息控制者删除相关个人信息。其三,如果允许自然人没有任何正当性理由即可要求删除相关信息,势必会出现歪曲真相、损害公众的知情权的情况,甚至构成欺骗公众的不良后果。例如,在我国发生的“任甲玉案”中,网络服务提供者通过搜索引擎所收录的是已经合法公开的、客观真实的个人信息,这些信息通过搜索引擎再次呈现,既没有侵害原告的隐私权,也没有损害其人格尊严或妨害人格自由,故此,原告毫无请求加以删除的正当利益。然而,西班牙的“冈萨雷斯诉google”案的情形,则有所不同。因为,该案中通过谷歌搜索冈萨雷斯全名可与其财产被强制拍卖的信息相连,在冈萨雷斯生活的区域内对其个人的生活造成了一定的困扰,涉及对其人格尊严和职业发展这一重大利益的侵害,故此,法院认为冈萨雷斯有权要求谷歌断开相关个人信息的链接是妥当的。


明确了侵害个人信息的免责事由


  《民法典》规定的免责事由包括不可抗力、正当防卫、紧急避险(第180-182条)。这三类免责事由适用于所有的民事责任,故此规定在《民法典》的总则编。同时,《民法典》侵权责任编还对侵权责任的免责事由作出了规定,具体包括:受害人故意(第1174条)、自甘冒险(第1176条)以及自助行为(第1177条)。上述免责事由也可以适用于侵害个人信息的民事责任。不过,因为正当防卫、紧急避险而侵害个人信息的情形较为少见,比较有可能的是不可抗力导致处理者所储存的个人信息丢失的情形,例如地震导致存储个人信息的设备损坏,从而使其中存储的个人信息灭失,此时处理者可以以不可抗力作为免责事由。《民法典》第1036条对侵害个人信息的民事责任的免责事由作出了特别的规定,该规定用于违约责任也适用于侵权责任。具体阐述如下:
  1.在该自然人或者其监护人同意的范围内合理实施的行为。其个人信息被处理的自然人或者其监护人的同意是个人信息处理的合法性基础,如果依法取得自然人或者其监护人的同意且在该同意的范围内实施个人信息处理行为,属于合法的个人信息处理行为,处理者自然无需承担民事责任。但是,没有取得同意或者虽然取得同意但是超出了同意的范围,如改变了同意的处理目的或处理方式等,依然构成侵害个人信息的违法行为,应当承担民事责任。
  2.合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。这一规定来自于《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条,依据该条第1款第4项,如果网络用户或者网络服务提供者利用的网络公开的自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息是自然人自行在网络上公开的信息或者其他已合法公开的个人信息,则不构成侵权行为,不承担侵权责任。但是,依据该条第2款,如果网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开这些个人信息,或者公开该信息侵害权利人值得保护的重大利益,权利人请求网络用户或者网络服务提供者承担侵权责任的,人民法院应予支持。对于已经合法公开的个人信息,无论是自然人自行公开的还是其他已经合法公开的个人信息,原则上是可以无需告知并取得自然人的同意即能够自由进行处理,因为这有利于促进信息的流动与利用,对于网络信息社会和数字经济的发展是有利的。例如,欧盟《一般数据保护条例》第9条第2款规定,在处理被数据主体明显公开的个人数据时,不适用本条第1款禁止处理的规定。但是,如果该自然人明确拒绝对已合法公开的个人信息进行处理或者处理该信息侵害其重大利益的除外。这就是说,一方面,即便是已经合法公开的个人信息依然受到个人信息保护法的保护,自然人对这些个人信息并不因其公开而失去控制的权利,其有权拒绝他人对这些信息进行处理。另一方面,由于个人信息的保护对于维护自然人的人格尊严和人格自由具有很重要的意义,所以即便是已经合法公开的个人信息,也不得任意进行处理,如果处理该信息将侵害自然人的重大利益,也要承担民事责任。所谓“侵害自然人重大利益”的情形,是指此种处理将有害于自然人的生命、身体、自由、财产或其他重大利益。例如,通过对各种合法公开的信息的处理而对自然人进行人格画像,从而导致其在接受商品或服务的过程中遭受种族、性别的歧视等侵害人格尊严的行为,则该处理行为侵害了自然人的重大利益,是非法的。
  3.为维护公共利益或者该自然人合法权益而合理实施的其他行为。所谓维护公共利益包括维护国家利益、社会利益等情形。例如,当大规模疫情或灾难发生时,为了疫情防控和减灾的需要对个人信息进行收集、使用等处理行为;再如,为了公共利益进行舆论监督而对自然人的个人信息进行披露的行为。所谓维护该自然人的合法权益,是指为了维护个人信息被处理者的合法权益而在不经过其本人或监护人同意的情形下处理个人信息。例如,甲突发疾病而生命垂危,急需在掌握其既往病史等个人信息的基础上进行治疗,而又无法取得其本人或近亲属的同意。此时,为了挽救甲的生命,可以实施个人信息处理行为。当然,无论是为了公共利益还是该自然人的合法权益,都必须是合理实施的行为,即不违反个人信息处理的合法、正当、必要的原则。

推荐阅读- 向上滑动,查看完整目录 -

《财经法学》2020年第4期要目

【财经法治热点:《民法典》实施研究】

1.论人格权保护的全面性和方法独特性

 ——以 《民法典》人格权编为分析对象

王利明(3)

2.“权利能力平等、不得放弃、不得剥夺”三错论批判

——兼论 《民法典》第14条的司法解释方向

徐国栋(14)

3.我国 《民法典》个人信息保护制度的创新与发展

程 啸(32)

4.不动产登记法的立法瞻望:定位、功能和观念

常鹏翱(54)

【专论】

5.公共治理视野下的软法工具

王瑞雪(67)

6.比例原则在给付行政中的适用

梅 扬(76)

7.证券监管机构如何罚款?

——基于行政裁量基准视角的研究

刘宏光(86)

8.野生动物产业规制的双重失灵及其矫正

——非法野生动物产业链的法律分析

薛克鹏(99)

9.“数据抗疫”中个人信息利用的法律因应

李晓楠(108)

10.《公司词义考》二十年

——再思语言游戏、法律移植和政企关系

郭 锐(121)

11.欧盟经济制裁及其对中国的启示

孟刚;李思佳(132)

12.高度自动驾驶的刑事责任

【瑞士】萨比娜·格莱丝 著;周维明 译(147)




经国家新闻出版广电总局批准,《财经法学》杂志于2015年1月5日正式创刊。“财经法学”一名,既表明该刊物与法学和经济学两大学科紧密相连,亦有突出交叉学科特色之意。所谓“财”,即财产;所谓“经”,即经济。故而“财·经·法”即以财产为客体的私法、以经济为调整对象的公法以及经济、管理与法学交叉领域之合称,简言之,《财经法学》对社会主义市场经济法律调整抱有特别的关注。作为国内第一本财经法学领域学术期刊,我们特邀请国内外相关领域知名专家学者组成编委会,集思广益,把脉杂志的发展;我们更竭诚欢迎和期盼国内外专家学者惠赐稿件,参与匿名审稿,共同致力于将刊物打造成国内财经法学界的前沿性、权威性学术期刊。


-END-


责任编辑 | 李泽鹏
审核人员 | 张文硕

往期精彩回顾

百万法律人都在用的北大法宝详细介绍!

《财经法学》2020年第4期要目

王利明:论人格权保护的全面性和方法独特性

翟远见:论《民法典》中债总规范的识别与适用

当《红楼梦》遇见《民法典》,小编邀您三探大观园



点击相应图片识别二维码

获取更多信息

北大法宝

北大法律信息网

法宝学堂

法宝智能

点击「在看」,就是鼓励

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存