程啸:论我国个人信息保护法中的个人信息处理规则 | 清华法学202103
The following article is from 清华法学 Author 程啸
内容提要:个人信息处理规则是个人信息保护法的主要内容,个人信息保护法采取强行性规范对个人信息处理进行全方位、动态性的调整。除了自然人之间因个人、家庭事务处理个人信息之外,所有的个人信息处理行为都属于个人信息保护法的规范对象。告知同意规则是确定个人信息处理行为合法性的原则,即除非法律、行政法规另有规定,否则都应遵循。告知同意规则并非民事责任的减责或免责事由,适用要受到其他规则与原则的限制。个人信息保护法中的敏感信息与民法典中的私密信息并不矛盾冲突,二者具有不同的规范目的和功能。原则上应当禁止处理敏感的个人信息,除非为了保护更高位阶法益而由法律、行政法规作出特别规定。
关键词:个人信息保护法;个人信息处理;民法典;告知同意;敏感信息
目次 一、引言
二、个人信息处理的涵义与个人信息保护法的调整范围
三、告知同意规则与个人信息处理行为的合法性
四、敏感信息在建构个人信息处理规则中的功能
个人信息保护法是个人信息保护领域的基本法律,以规范个人信息处理活动为核心,旨在实现个人信息权益保护与个人信息合理利用之间的协调。个人信息上承载多种利益,不仅有自然人的人格尊严、隐私权及个人信息权益等民事权益,也有企业、国家机关等主体合理利用个人信息的利益,还涉及言论自由、公共安全、国家安全等。个人信息处理规则的主要功能在于科学合理地协调这些利益。故此,个人信息保护法需要对个人信息处理规则作出详细规定。2018年5月25日起施行的欧盟《一般数据保护条例》(GDPR)专设第二章“原则”,对与个人数据处理相关的原则、处理的合法性、同意的要件、特殊类型的个人数据处理、无需识别个人数据的处理等作出了详细的规定(第5-11条)。此种立法模式对不少国家的个人信息保护立法产生了重要的影响。我国也采纳了该立法模式。十三届全国人大常委会第二十二次会议审议的我国《个人信息保护法(草案)》(以下简称《草案(一审稿)》)的第二章即“个人信息处理规则”,该章共分“一般规定”“敏感个人信息的处理规则”以及“国家机关处理个人信息的特别规定”等三节,采用了25个条文对个人信息处理规则作出了详尽的规定。2021年4月29日第十三届全国人大常委会第二十八次会议审议的《个人信息保护法草案(二次审议稿)》(以下简称《草案(二审稿)》)第二章与一审稿基本相同,条文数量也是25条。
我国《个人信息保护法》应如何构建科学合理的个人信息处理规则,值得研究,其中,需要重点思考的问题有以下三个:首先,个人信息处理的涵义,即我国《个人信息保护法》调整的个人信息处理活动的范围问题。其次,个人信息处理行为的合法性基础是什么?告知同意规则在确定个人信息处理规则中处于何种地位?不适用告知同意规则的合法处理个人信息的情形有哪些?再次,《个人信息保护法》中的敏感信息与《民法典》中的私密信息是什么关系?如何针对敏感信息的处理作出有针对性的规定?
(一)我国《民法典》中的个人信息处理
“个人信息处理(processing of personal in formation)”也称“个人数据处理”,该词来源于欧盟指令和相关立法。1995年10月24日欧洲议会以及欧盟理事会《关于对于个人数据处理有关的个人进行保护以及数据自由流动的指令(95/46号指令)》(DPD)第2条第2款规定:“个人数据处理(简称处理),是指不管是否以自动方式对个人数据进行的任何操作,如收集、录制、组织、存储、改变或修改、检索、查阅、使用、通过传送使数据公开、传播或者使数据可被他人获取、排列或组合、冻结、删除或销毁。”欧盟《一般数据保护条例》(GDPR)总体上延续了这一规定,其第4条第2款规定:“‘处理’是指针对个人数据或个人数据集合的任何一个或一系列操作,如收集、记录、组织、建构、存储、调整、修改、检索、咨询、使用、披露、传播或其他方式利用、排列或组合、限制、删除或销毁,无论该等操作是否采用自动化方式。”不少国家的个人信息保护法或个人数据保护法都接受了“个人信息处理”这一概念,如《日本个人信息保护法》《菲律宾数据隐私法》《南非个人信息保护法》《韩国个人信息保护法》等。
《民法典》之前我国的法律均未采取“个人信息处理”的概念。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》采用的是“收集、使用”公民个人电子信息的表述,此后的《网络安全法》《电子商务法》也都延续了这一概念。在我国编纂民法典的过程中,就如何表述与个人信息相关的各种活动经历了一个变化的过程。2018年9月的《民法典各分编(草案)》与2019年4月的《民法典人格权编(草案)(二次审议稿)》采取的仍是“收集、使用”个人信息的表述。2019年8月的《民法典人格权编(草案)(三次审议稿)》首次使用了“处理”一词,但将其与“收集”并列,该草案第814条第2款将“个人信息的处理”界定为“包括个人信息的使用、加工、传输、提供、公开等”。正式颁布的《民法典》使用“个人信息的处理”统称围绕着个人信息展开的各种行为、活动。《民法典》第1035条第2款规定:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”这一规定的理由在于:一方面,个人信息处理的内涵极为丰富,种类众多,收集也属于处理的一种方式,无须单列;另一方面,统一采取个人信息处理的表述很方便,也与国际上通行的做法基本保持一致。《草案(一审稿)》第4条第2款规定:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。”《草案(二审稿)》删除了“活动”一词,从而与《民法典》第1035条第2款完全一致。
《个人信息保护法》是个人信息保护领域最重要的法律,但该法也不可能解决所有的个人信息保护问题,更不可能取代《民法典》等法律中已有的个人信息保护的规则或制度(如姓名权、肖像权、隐私权等人格权),而应当各有侧重,合理分工,共同实现个人信息权益保护与个人信息合理利用的协调。因此,需要研究的问题是:在《民法典》已经界定个人信息处理的前提下,我国的《个人信息保护法》是与《民法典》保持一致即可,还是有必要对个人信息处理的涵义作出独特的规定?如果是后者,该独特性如何体现?笔者认为,要解决这一问题,首先应当清楚个人信息保护法对个人信息处理行为予以规范的必要性,才能据此确定个人信息保护法规范的个人信息处理的涵义。
(二)通过个人信息保护法规范个人信息处理的必要性
在进入网络信息时代之前,自然人的姓名、身份证号码、电话号码、家庭住址、肖像、声音、指纹、财产信息、病历资料等个人信息就已存在,并被政府、企业等主体所处理。民法、刑法等法律已经对自然人的这些个人信息给予相应的保护。例如,通过姓名权、肖像权、隐私权等来保护自然人的姓名、肖像和隐私等个人信息不被他人非法使用、公开或以其他方式加以侵害。但是,在进入网络信息时代之后,基于以下原因,有必要通过个人信息保护法来对个人信息处理予以规范:
1.个人信息类型和范围的发展变化。现代网络信息社会之前,个人信息的类型相对较少且产生渠道有限。但是,随着网络信息等科学技术的高速发展,个人信息的范围越来越广,种类也越来越多。一方面,现代科技的发展产生了以往没有的新类型的个人信息,如电子邮箱、通信记录、网络交易信息、上网浏览痕迹、网络社交媒体留言、行踪轨迹、脸部特征信息等。此前,这些信息要么根本不存在,要么无法被收集和存储,现在,这些个人信息每天大量的产生并且很容易地被各种智能设备加以收集和保存。另一方面,除了传统的能够直接识别特定自然人的信息(如姓名、身份证号码、家庭地址、电话号码等)之外,现代信息社会中还出现了大量本身不足以识别特定的自然人但与其他信息结合后就能识别出特定自然人的信息,如爱好、习惯、兴趣、性别、年龄、职业等。在这种情况下,仅仅依靠民法的隐私权、肖像权、姓名权等人格权制度,既难以充分保护自然人的人格尊严与人格自由,也无法预防由于个人信息的处理而产生的对自然人人身财产权益的危险。故此,迫切需要基于现代网络信息科技的特点而由个人信息保护法对个人信息处理进行全面的规范。
2.个人信息处理行为的发展变化。进入网络信息社会前,个人信息的处理方法较为简单,主要表现为收集的手段单一,分析与传播的能力较弱。这种情形下,人格权及侵权法规范可以满足个人信息保护的需要。例如,未经同意公开或披露自然人的私密信息(如性取向、病历资料等)的,构成对隐私权或名誉权的侵害;未经许可将他人的姓名、肖像等用于商业目的,属于侵害姓名权、肖像权的侵权行为。但是,随着科技尤其是大数据与人工智能的发展,个人信息的处理方式发生了巨大的变化。一方面,个人信息处理行为的类型越来越多,现代网络信息技术已将现代社会生活高度数字化,Cookie技术和各种传感器可以自动地收集与存储个人信息。个人信息被大规模、自动化地收集和存储变得越来越普遍,几乎无处不在、无时不在。另一方面,对个人信息的使用具有人们难以想象的无限可能性,只要新技术不断发展,就会产生各种前所未有的使用方法,这也导致了处理者不仅不愿意删除已经收集并存储的个人信息,还渴求获取更多的个人信息。大数据与人工智能技术的发展使得对海量数据的分析与使用变得非常简单,个人信息被滥用的可能性极大地增加。例如,各种网络平台通过分析和利用海量的个人信息,对目标群体做人格画像,实施精准营销,甚至行为操纵,严重危害自然人的人格尊严,妨害人格的自由发展。
3.个人信息处理主体日渐复杂。现代网络信息社会中的信息处理主体越来越复杂,个人信息处理活动也不限于单纯的作为平等主体的自然人、法人和非法人组织之间。由于个人信息的处理无论对企业的经营活动还是政府的管理行为,都具有越来越重要的作用。因此处理个人信息的主体日渐增多,它们都具有处理个人信息的强烈渴求。虽然信息处理者与作为信息主体的自然人的法律地位是平等的,但双方在信息、技术、经济等方面的地位实际上完全不对等。面对强大的网络企业和国家机关实施个人信息处理行为时,个人难以依赖意思自治以及侵权责任的规则来维护自己的权益。例如,民法中的人格权制度虽然发展出了停止侵害、排除妨碍、消除危险等人格权请求权,但行使这些请求权是以人格权主体能够及时发现侵害人格权的行为为前提的。现代网络信息社会中,收集、使用个人信息的处理行为日益普遍,成为生产生活的重要组成部分,不可或缺。个人信息被谁处理及被如何处理,难以为信息主体所知悉或真正了解。从效率上说,势单力薄的个人对大量收集、存储和利用个人信息的大公司或政府机关以起诉的方式来保护个人信息,也很不现实。无论是人格权请求权还是侵权损害赔偿请求权,均难以满足全方面保护个人信息权益的需要。有必要通过专门的个人信息保护立法,对个人信息处理行为进行全方位的规范,以做到未雨绸缪,防患于未然。事实上,从个人信息保护法的发展源流来看,个人信息保护法制定之初,其主要立法宗旨就是要解决计算机处理个人信息所带来的巨大风险问题,处理好技术进步与个人权利保护之间的关系。
4.个人信息承载多种需要协调的利益。现代信息社会中个人信息上呈现了多元化的利益格局,既有自然人对其个人信息加以掌控,以免人格尊严以及人身财产权益受到侵害或遭受损害的需要,也有营利法人通过处理个人信息推销商品或服务的营业自由的诉求,还包括保障言论自由,实现舆论监督,以及国家机关利用个人信息提升社会治理与行政管理能力、维护市场竞争秩序、保护消费者权益、维护公共安全、国家安全等公共利益和国家利益的需要。这种多元化的利益格局是民法、刑法、行政法、国际法等传统的法律部门单独无法完成的,故此,需要专门的个人信息保护法对个人信息处理行为加以规范,从而科学地协调这些多元化的利益。
(三)个人信息保护法所规范的个人信息处理
正是基于上述原因,有必要制定专门的个人信息保护法,对个人信息处理加以更详细具体的规范。同样的原因,也决定了即便《民法典》对个人信息处理作出了规定,我国《个人信息保护法》对个人信息处理规则作出详细规定也有重要意义。
1.个人信息保护法需要对个人信息处理行为进行全方位、动态性的规范,无论是利用网络信息科技自动化处理个人信息,还是手工等非自动化处理个人信息;无论是个人信息的收集、存储,还是使用、加工抑或传输、提供、公开以及跨境提供;无论是为了生产经营等营利目的,还是行政管理、公共服务的目的而进行个人信息处理,均应纳入个人信息保护法的调整范围。有观点认为,个人信息保护法不应调整所有的个人信息处理行为,而仅限于以识别分析为目的对个人信息的收集、控制、分享、分析和应用行为,因为只有这些行为才会对信息主体的权益有显著的影响,至于一般的个人信息适用行为留给其他法律或行业准则或社会习惯规范加以调整。笔者不赞同此种观点。个人信息处理行为的类型多种多样,从收集、存储,到使用、加工再到传输、公开、共享等,每一个环节都存在侵害自然人民事权益的风险,不能任意切割。例如,大量的个人信息尤其是敏感的个人信息被泄露或被非法买卖,无需利用高科技进行分析识别,也足以被违法犯罪分子用来实施诈骗、抢劫、杀人等犯罪活动。个人信息处理中的风险是多重的、难以预测的,不限于以识别分析为目的的处理行为。况且,个人信息处理本身具有易变性和发展性,现在不以识别分析为目的的处理行为不等于将来就不会进行识别分析,更不等于不会对个人信息权益产生危险。因此,将个人信息保护法调整的个人信息处理行为限定于以识别分析为目的的行为显然过于狭窄。
2.个人信息保护法需要从内外两方面以强行性规范来构建个人信息处理规则。从外部来说,《个人信息保护法》在区分不同的个人信息处理行为、不同种类的个人信息以及不同的个人信息处理者的基础上,明确处理者在各类个人信息处理行为中所负的义务(如告知、取得同意、安全保护、报告、监管等义务),同时,以法律责任保障其履行。特别是个人信息保护执法机关应当采取动态监督执法确保义务的履行和法律责任的落实,对于违反义务的信息处理者依法采取罚款、给予处分、记入信用档案、停业整顿、吊销许可、吊销营业执照等处罚措施,严重的追究刑事责任。从内部来说,《个人信息保护法》强制性要求信息处理者建立健全相应的管理制度和操作规程,对个人信息进行分级分类管理并采取加密等安全技术措施,制定个人信息安全事件的应急预案,公布个人信息保护负责人的联系方式等。同时,强化大型的网络平台对于利用其提供的网络服务处理个人信息的处理者进行相应的监管义务。
3.个人信息保护法不仅调整公司企业等普通民事主体出于经营目的处理个人信息的行为,也调整国家机关基于公权力和履行公共管理职能处理个人信息的活动。随着信息社会的到来,数字经济的发展需要对个人信息进行合理利用,数字社会和数字政府的建设也需要对个人信息的合理利用。个人信息等数据在提升和优化国家治理能力,提高政府行政服务和管理水平,提高决策的科学性和服务效率等方方面面,将发挥越来越重要的作用。作为调整平等主体的自然人、法人和非法人组织之间的人身财产关系的民法,无法对国家机关处理个人信息的活动进行全方位的规范,这就要求个人信息保护法加以调整。国家机关即便是履行法定职责处理个人信息时,也应当严格依照法律、行政法规规定的权限和程序进行,受到个人信息保护法在内的法律的规范。惟其如此,方能更好地实现个人信息上的多元利益关系的协调。故此,《民法典》第1039条规定:“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”《草案(二审稿)》也在第二章中专节对国家机关处理个人信息作出了规定。
4.自然人之间因个人、家庭事务处理个人信息的不属于个人信息保护法调整的范围。《民法典》并未对个人信息处理的范围进行任何限定,依据该法第1035条第2款,无论是通过自动方式还是非自动方式处理个人信息,无论是公司企业、国家机关等个人信息使用者处理个人信息,还是纯粹的私人或家庭活动中的个人信息处理(如家人朋友之间进行的通信联络、保存联系方式或者社交活动中的个人信息的提供等),都属于个人信息的处理。但是,《草案(二审稿)》第71条第1款规定:“自然人因个人或者家庭事务而处理个人信息的,不适用本法。”该款借鉴了欧盟《一般数据保护条例》的规定。欧盟《一般数据保护条例》在“鉴于条款”第18条指出,该条例“不适用于自然人在不涉及任何职业或商业的纯个人或家庭活动中对个人数据的处理活动。个人或家庭活动可以包括通信、保存地址,或者社交活动以及在类似活动背景下进行的线上活动。但本条例适用于为上述个人日常活动提供个人数据处理方法的控制者或处理者。”该条例第2条“适用范围”的第2款C规定,本条例不适用于“自然人在纯粹的个人或家庭生活中进行的处理活动”。所谓“纯粹的个人或家庭生活中(in the course of a purely personal or household activity)”的个人信息处理行为是指,为了休闲活动、爱好、度假或娱乐目的而处理的个人数据,或者用于社交网络,或者数据只是作为个人收集的地址、生日或其他重要日期(如周年纪念)一部分。然而,一旦所处理的个人信息涉及私人的同时也是商业的信息,则该例外就不适用。所谓“商业”是指任何经济活动,无论是否支付报酬。而“纯粹”一词则表明应当对该例外作限缩解释。《草案(二审稿)》将自然人因个人或家庭事务处理个人信息的活动排除在该法所调整的个人信息处理的范围之外,是非常必要的。这是因为:自然人之间因为个人或家庭事务而处理个人信息的行为,属于平等主体之间的个人信息处理行为,往往是为了维持正常的社会交往所必须的,并不涉及侵害个人信息权益的问题,无需给此等情形中的信息处理者施加各种法定义务,更无须个人信息保护机关强制介入;只有涉及利用信息能力的不平等收集、处理个人信息的行为,才是信息时代保护个人信息的法律真正要调整的对象。否则,即便在此等情形中的个人信息处理行为侵害了其他自然人的合法权益,也完全可以由《民法典》中的姓名权、肖像权、隐私权和个人信息保护制度等加以调整。
在我国《个人信息保护法》的起草过程中,就是否应当以告知同意作为个人信息处理行为的合法性基础以及哪些情形下无须告知并取得个人的同意也可以合法地处理个人信息等问题,一直存在争议。《草案(一审稿)》第13条规定:“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立或者履行个人作为一方当事人的合同所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;(六)法律、行政法规规定的其他情形。”由此可见,该条第1项只是将取得个人的同意作为合法处理个人信息行为的情形之一,而与第2至6项规定的无需个人同意而合法处理个人信息的情形相并列。笔者认为,这种立法模式显然没有凸显告知同意规则在个人信息处理活动中的基本规则的地位,不利于个人信息保护执法与司法审判中确认个人信息处理行为的合法性。
(一)告知同意规则是认定个人信息处理行为合法与否的基本规则
告知同意规则,也称“知情同意规则”,是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知,并在取得同意后方可从事相应的个人信息处理活动,否则该等处理行为即属违法,除非法律另有规定。告知同意规则包含了告知规则与同意规则,二者紧密联系,不可分割。没有告知,自然人无法就其个人信息被处理作出同意与否的表示;即便告知了,但没有充分、清晰的告知,自然人作出的同意也并非真实有效的同意。反之,虽然充分、清晰的告知,却未取得自然人的同意,对个人信息的处理也是非法的,侵害了个人信息权益。告知同意的规则最早为1970年德国黑森州的《数据保护法》所确认,目前已经成为绝大多数国家个人信息保护法承认的基本规则。
我国个人信息保护方面的法律明确采取了告知同意规则。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条要求,网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。《网络安全法》第41条第1款规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”《民法典》第1035条第1款更是明确规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。”
在个人信息保护法中,告知同意之所以被认为是基本规则,具有极为重要的地位,根本原因在于:个人信息是可直接或间接识别特定自然人的信息,与自然人的人格尊严和人格自由息息相关,为了保护人格尊严和人格自由这一最高位阶的法益,自然人对其个人信息享有受到法律保护的民事权益。我国《民法典》明确承认了自然人的个人信息权益,赋予了自然人对其个人信息享有作为民事权益的人格权益。这就意味着其他人需要尊重该权益而不得侵犯它,同样,承认自然人的个人信息权益就必然导致对他人行为自由的限制,即任何组织或个人没有得到自然人的同意而处理其个人信息的行为属于侵害个人信息权益的不法行为,具有非法性。在个人信息处理的规范方面,并不存在下列假设即“个人信息是可以自由使用的,除非个人信息上存在明确可识别的个人权益,否则就不能赋予信息主体干预他人使用的自由”。在一般的人际社会交往中,个人信息的使用主要受到社交礼仪的调整,同时也受到隐私权、名誉权等民法人格权制度的规范,在这个意义上,只要个人信息的使用不侵害自然人的隐私权等人格权,的确是可以自由使用的。例如,A请朋友B告诉他C的电话号码或电子邮箱,B将C的这些个人信息告知A,无需经过C的同意。当然,出于社交礼仪,B最好是先征求一下C的意见。但是,进入到个人信息处理领域,个人信息绝不能任由他人使用,而应当确立自然人对其个人信息的控制权。因为个人信息是能够单独或者与其他信息结合识别特定自然人的信息,该信息上就已经存在特定自然人的受法律保护的民事权益,对个人信息的处理行为(无论是营利目的还是行政管理目的等)会产生侵害自然人的人格尊严和人身财产等民事权益的风险。个人信息从来不是什么任由他人使用的公共物品,以维护公共利益与公共安全并促进个人数据的流动共享为由否定自然人对其个人信息的权利,将个人信息作为公共品完全交由政府通过公法规制的观点,漠视了个人信息上承载的民事权益,只能导致大量以维护公共利益之名而行侵害私权利之实的恶行,最终的结果是既无法维护公共利益,更无法保护民事权益。私权保护与公法规制之间不是非此即彼的关系,而是应当通过两者共同构建个人信息保护的制度基石。毫无疑问,未来的我国《个人信息保护法》应当坚持告知同意规则,并将其作为个人信息处理中应遵循的基本原则加以凸显。故此,《草案(一审稿)》第13条将作为基本原则的告知同意规则与其他例外情形并列,虽然条文表述上简洁了一些,却弱化了告知同意规则的基本原则地位。
令人高兴的是,《草案(二审稿)》第13条进行了修改,该条增加了一款,即“依照本法其他有关规定,处理个人信息应当取得个人同意,但有前款第二项至第七项规定情形的,不需取得个人同意。”如此一来,就凸显了告知同意规则在个人信息处理活动中基本规则的地位,即取得同意是原则,不需要取得同意是例外,《草案(二审稿)》的这一修改值得肯定!但是,由于告知规则与同意规则是密切结合在一起的,原则上必须是告知并取得自然人或其监护人的同意,处理个人信息的行为才是合法的,例外才不需要同意(包括需要告知但不需要同意或者既不需要告知更无须同意)。为明确此点,笔者认为,还应当将《草案(二审稿)》第13条第1款第1项修改为“告知并取得个人的同意”。
(二)告知同意规则在个人信息处理规则构建中的作用
原则上,任何人都不得侵害他人的民事权益,但民事主体可以对自己的权益进行合法的处分,既包括自行处分,也包括在不违反法律强制性规定和公序良俗原则的前提下同意他人对自己民事权益的处分。告知同意规则充分体现了尊重和保护民事权益的精神和意思自治原则。作为个人信息处理行为的基本规范,告知同意规则对个人信息处理行为进行了限定,它是判断个人信息处理行为合法与否的基本规则(除非法律另有规定),在个人信息处理规则的构建中发挥了重要的作用。
告知同意规则是判断个人信息处理行为合法与否的基本标准,凡是没有遵守该规则的处理行为,原则上都是非法的,除非法律、行政法规另有规定(《民法典》第1035条第1款第1项)。这就意味着:首先,个人信息处理者对其处理行为合法与否具有更明确的预期,即知道在处理个人信息时应当怎么做才使得处理行为是合法的;对于信息主体即自然人而言,由于被告知了个人信息将被处理,在知情权得到充分尊重的基础上享有了同意或拒绝的权利。故此,告知同意这种标准化的模式无论对于用户还是信息处理者而言均为成本最小化的解决方式,双方减少了因不信任而产生的交易成本,能直接进入到与个人信息权益行使最为核心的地带:同意及同意的撤回,甚至删除权。其次,对于个人信息保护执法机构来说,告知同意规则为查处违法的个人信息处理行为提供了明确的标准。凡是没有遵循该规则且没有法律、行政法规例外规定的个人信息处理行为就是违法行为,就可以查处。再次,在个人信息权益民事纠纷案件的裁判中,告知同意规则是法院认定处理者应否承担侵权责任的重要标准。只要没有遵循告知同意规则而进行处理,当然就是侵害他人个人信息权益的不法行为,至少应当承担停止侵害、排除妨碍、消除危险等侵权责任;如果因此造成损害并符合其他损害赔偿请求权的构成要件的,还要承担损害赔偿责任。尽管告知同意规则的实践操作没有让用户真正了解个人信息处理的目的、方式或范围等,但该规则的存在至少使得用户知悉自己的个人信息正在被哪个信息处理者所处理并且自己曾经同意处理。这样一来,知情同意规则不仅建立了处理行为的合法性基础,也不影响下文将要提及的即便经过同意的处理行为也可能构成侵权行为的法律评价。无论信息处理者在告知同意规则中使用如何复杂冗长甚至含混的表述,也无论个人信息被处理的自然人是否实际阅读或理解了告知的内容,只要因此发生纠纷,那么在行政机构执法或法院裁判案件中,首先要审查的就是处理者是否依法履行了告知同意规则。只要没有履行该规则,就是非法处理行为,应当承担法律责任。如果处理者履行了告知同意规则,就不存在非法处理个人信息的行为,自然人原则上也不得对该合法处理行为进行阻碍。因此,告知同意规则在具体落实中存在的一些问题,如处理者的告知含糊不清、琐屑繁琐,自然人缺乏真正的意思自由等,都不成其为问题。实践中暴露出来的这些问题不仅没有削弱告知同意规则在个人信息处理中的重要意义,反而彰显了该规则的重要性,否则那些违法处理个人信息的处理者也不会想尽办法来规避告知同意规则。
告知同意规则只是解决个人信息处理行为合法与否的问题,而非意味着发生侵害个人信息权益的违法行为时,处理者可以据此免于承担任何法律责任,更不能以告知同意规则的履行来排除其他个人信息保护规则的适用。首先,即便处理者充分适当地履行了告知同意规则,也只是使得处理行为本身不具有非法性而已,即存在违法阻却事由,可能无需承担行政责任或刑事责任。但是,在处理的过程中,因为不合理的处理行为如处理者的故意或过失等造成自然人的人身财产权益受到侵害的,依然要承担民事责任。我国《民法典》第1036条第1项就是要表明,即便是在自然人或其监护人同意的范围内实施的个人信息处理行为也必须是合理的,如果不合理,依然要承担民事责任。也就是说,合法的个人信息处理行为应当遵循比例原则。其次,告知同意规则并非一劳永逸的规则,而只是针对依法告知并取得同意的特定处理者的特定个人信息处理行为而言。这就是说,并非告知并取得同意后,处理者就可以随意的无限制的处理个人信息,处理者仍然应当严格遵循法律规定和当事人约定的相应的义务。例如,因为处理的范围或目的以及处理主体等发生变化的,处理者仍然需要继续履行告知同意规则。再次,告知同意规则应当符合个人信息处理行为必须遵循的必要、正当、合法原则(《民法典》第1035条),并且该规则的履行不能免除个人信息处理者负有的义务,例如,经告知并取得同意而收集自然人的个人信息后,处理者负有不得泄露或者篡改其收集、存储的个人信息的义务,应当采取技术措施和其他必要措施以确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失并在发生或者可能发生个人信息泄露、篡改、丢失时及时采取补救措施,按照规定告知自然人并向有关主管部门报告(《民法典》第1038条)。同样,告知同意规则也不能排除信息主体享有的权利,如查阅或者复制其个人信息的权利,发现信息有错误的有权提出异议并请求及时采取更正等必要措施的权利等(《民法典》第1037条)。即便处理者在告知时通过格式条款排除了自然人的这些权利并取得了自然人的同意,依据《民法典》第497条,该等格式条款也是无效的。
需要注意的是,告知同意规则涉及了自然人的个人信息权益,该权益属于人格权益,故此,告知同意规则的适用需要受到相应的限制。一方面,人格权益具有专属性,《民法典》第992条明确规定:“人格权不得放弃、转让或者继承。”第993条规定:“民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外。”因此,任何单位或个人都不能通过告知同意规则而一次性取得对他人的个人信息的无限制、永久的处理权限,自然人本身也不能放弃、转让其个人信息权益。另一方面,告知同意规则不得违背公序良俗原则,不得抵触更高位阶的权益,否则即便遵循了告知同意规则,处理行为也是违法的。《民法典》第8条规定:“民事主体从事民事活动,不得违反法律,不得违背公序良俗。”通信自由和通信秘密作为宪法保护的高位阶的权利,不应该受到告知同意的限制。
(三)不适用告知同意规则的情形
处理者在处理个人信息时原则上必须遵循告知同意规则,在依法告知并取得信息主体的同意后才能对个人信息进行收集、存储、使用、加工、传输、提供、公开等活动。为了在保护个人信息权益的同时,也能实现个人信息的合理利用,同时维护公共利益、国家利益等,法律上有必要规定不适用告知同意规则的例外情形。依据《民法典》第1035条第1项,处理个人信息的,应当征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外。所谓法律、行政法规另有规定的除外情形,在《民法典》中列举了三种情形:①依据《民法典》第999条,为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的个人信息;②依据《民法典》第1036条第2项,合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;③依据《民法典》第1036条第3项,为维护公共利益或者该自然人合法权益,合理实施的其他行为。《草案(一审稿)》对不适用告知同意规则的例外情形作出了详细的列举,其第13条列举了以下5种情形:①为订立或者履行个人作为一方当事人的合同所必需;②为履行法定职责或者法定义务所必需;③为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;④为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;⑤法律、行政法规规定的其他情形。这些例外情形中的第3、4种与《民法典》第1036条第3项、第999条的规定相同,第1、2种属于新增的规定。就《草案(一审稿)》第13条关于不适用告知同意规则的例外情形的规定,笔者认为,有以下几个问题需要讨论。
1.为订立个人作为一方当事人的合同所必需的个人信息不属于例外情形
《草案(一审稿)》第13条第2项关于“为订立或者履行个人作为一方当事人的合同所必需”的规定借鉴自欧盟《一般数据保护条例》。该条例第6条第1款b规定:“处理是数据主体作为合同主体履行合同之必要,或者处理是因数据主体在签订合同前的请求而采取的必要措施”时,该处理是合法的,也就是说,即便没有告知并取得数据主体的同意也是合法的处理行为。欧盟《一般数据保护条例》这一规定来自于DPD的第7条,未做任何变化。这一规定的理由在于:如果对于合同一方当事人(即数据主体)的数据的处理,对于该合同的另一方当事人(即数据控制者)履行该合同是必要的,那么后者对该数据的处理就是有法律基础的。因为数据控制者作为合同的当事人,根据一般的法律原则负有履行其合同义务的法定义务,因此为履行合同义务而处理数据的合法性也可以理解为“法定义务”甚至“控制者的合法利益”的特殊情况,这一规定能够大大地简化欧盟《一般数据保护条例》在列举合法处理情形的清单。
笔者认为,《草案(一审稿)》借鉴欧盟《一般数据保护条例》上述规定时,扩张了适用范围,将合同还没有成立仅仅是缔约磋商或者初步接触的情形也作为不适用告知同意规则的例外,是不合适的。首先,合同没有合法成立前,处理者既不负有法定的也不负有约定的履行合同的义务,故此,其不存在可以排除适用告知同意规则而处理个人信息的确定的正当利益。其次,合同订立阶段即前合同关系的范围很广泛,既包括个人仅仅是出于兴趣而询问价格,了解相关商品或服务信息的阶段,也包括双方进入实质性的缔约磋商阶段,在这些阶段中,自然人当然可以主动向处理者提供个人信息或请求处理者处理自己的个人信息,从而顺利缔结合同并在将来履行合同。当然,自然人在订立合同的阶段也完全可以不提供个人信息,如果因此导致合同无法成立也是其自负责任而已,不应当允许处理者有权不经告知同意即可处理个人信息。例如,张三走进A商场,该商场未经其同意即通过其手机信号而收集到其位置信息,并推送广告。如果仅仅将自然人走入商场就视为订立合同的意思表示,那么A商场收集张三的地理位置的信息就成为合法的处理行为,这显然是错误的。正因如此,欧盟《一般数据保护条例》第6条第1款b并不包括为订立合同而必须处理个人信息的情形。条例的起草者认为,合同订立前的各个阶段很多,差别很大,当事人“前合同关系”是非常模糊的,不能认为在订立合同阶段就可以回避告知同意规则。为更好的保护数据主体的权益。一方面,欧盟《一般数据保护条例》在第1款b中增加了一种情形,即“处理是因数据主体在签订合同前的请求而采取的必要措施”,如果不是数据主体的请求,那么仅仅在前合同关系中,还不能认为处理者有权不经告知同意即可处理信息主体的个人信息;另一方面,如果在前合同阶段,但是确实是为了数据主体的利益,处理者要么取得数据主体的同意,要么在符合欧盟《一般数据保护条例》第6条第1款f的规定--即“处理是控制者或者第三方为了追求合法利益之必要,但此利益与被要求保护个人数据的数据主体的利益或基本权利自由相冲突的除外,尤其是数据主体为儿童的情形下”--时,也可以不经数据主体的同意。综上所述,应当删除《草案(一审稿)》第13条第2项中“订立”的表述。令人遗憾的是,《草案(二审稿)》第13条第1款第2项仍然维持了该规定,未做修改。
2.告知同意规则与对合法公开的个人信息进行的合理使用
对于已经合法公开的个人信息,无论是自然人自行公开的还是其他已经合法公开的个人信息,原则上是可以无需告知并取得自然人的同意即进行合理处理的,因为这有利于促进信息的流动与利用,对于网络信息社会和数字经济的发展是有利的。我国《民法典》第1036条第2项规定,合理处理该自然人自行公开的或者其他已经合法公开的信息的,行为人不承担民事责任,除非该自然人明确拒绝或者处理该信息侵害其重大利益。这就是说,对于已经合法公开的个人信息,行为人原则上可以无须告知该自然人,也无需取得其同意,就可以进行处理,只要这种处理是合理的并且该自然人没有明确拒绝或者处理该信息没有侵害其重大利益。申言之,一方面,即便是已经合法公开的个人信息依然受到个人信息保护法的保护,自然人对这些个人信息并不因其公开而失去控制的权利,其有权拒绝他人对这些信息进行处理。另一方面,由于个人信息的保护对于维护自然人的人格尊严和人格自由具有很重要的意义,所以即便是已经合法公开的个人信息,也不得任意进行处理,如果处理该信息将侵害自然人的重大利益的,也要承担民事责任。所谓“侵害自然人重大利益”的情形是指该处理将有害于自然人的生命、身体、自由、财产或其他重大利益。
《草案(一审稿)》并没有在第13条单列对已合法公开的个人信息的合理处理行为,而是在单列一条即第28条规定:“个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途;超出与该用途相关的合理范围的,应当依照本法规定向个人告知并取得其同意。个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息;利用已公开的个人信息从事对个人有重大影响的活动,应当依照本法规定向个人告知并取得其同意。”从这一规定来看,只要处理者的处理行为符合该个人信息被公开时的用途或者用途不明确时进行合理谨慎的处理,那么处理者就不需要告知自然人并取得其同意。显然,《草案(一审稿)》第28条提出了认定《民法典》第1036条第2项规定的“合理处理”的标准,即:其一,在个人信息被公开时用途明确的,则处理行为的用途应当“符合该个人信息被公开时的用途”或在“与该用途相关的合理范围”之内。其二,如果个人信息被公开时用途不明确的,则应当合理谨慎地处理,并且不会对个人有重大影响。然而,《草案(一审稿)》没有解决的问题是:首先,《民法典》第1036条第2项将已经公开的信息界定为“自然人自行公开的或者其他已经合法公开的信息”,而《草案(一审稿)》第28条使用的是“已公开的个人信息”,这二者的涵义是否相同?其次,如果这些被合法公开的信息被公开时有明确的用途的,但处理行为不符合该用途或超出了与该用途相关的合理范围的,是否都一律适用告知同意规则?其与《草案(一审稿)》第13条第2至5项情形属于何种关系?由于很多个人信息被公开时的用途并不明确,此时如何理解所谓的“个人信息处理者应当合理、谨慎地处理”?再次,《草案(一审稿)》第28条规定的“利用已公开的个人信息从事对个人有重大影响的活动”与《民法典》第1036条第2项规定的“处理该信息侵害其重大利益的”的涵义是否一致?最后,《民法典》该项规定“该自然人明确拒绝”时,处理者也不得处理,无论此种处理是否属于合理处理,但《草案(一审稿)》对此未予明确。事实上,《民法典》这一规定非常重要(甚至隐含了对所谓被遗忘权的认可)。如果我国未来的《个人信息保护法》不予规定,实际上就是不当地克减了《民法典》赋予自然人的民事权利,极为不妥。
《草案(二审稿)》在一定程度上弥补了该缺陷,其第13条第1款第5项规定“依照本法规定在合理的范围内处理已公开的个人信息”。不过,该项将合理处理公开信息仅限于“依照本法规定”不妥,毕竟《民法典》也做出了规定,而且未来也可能有其他法律作出规定,因此,该项为“依照本法和其他法律规定”更为妥当。
3.删除为履行法定职责或者法定义务所必需的例外情形
《草案(一审稿)》第13条第3项和《草案(二审稿)》第13条第1款第3项均规定了,为履行法定职责和法定义务所必需是不适用同意规则的例外情形。这一规定是否意味着在履行法定职责和法定义务而必须处理个人信息时,无需告知并取得自然人的同意呢?从《草案(二稿)》的其他规定来看,回答是否定的。因为从该草案第35条规定来看,即便是国家机关为履行法定职责而处理个人信息的,也应当依照本法规定向个人告知并取得其同意,除非“法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责”。此外,《草案(二审稿)》第34条还明确规定:“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”也就是说,依照第34条和第35条的规定,即便国家机关履行法定职责,也应当做到:一方面,依照法律、行政法规规定的权限和程序进行,不能超出履行法定职责所必须的范围和限度来处理个人信息;另一方面,原则上也必须告知并取得自然人的同意,除非法律、行政法规另有规定或者告知、取得同意将妨碍国家机关履行法定职责。既然如此,在第13条第3项规定为履行法定职责所必须是什么意思呢?该项的独立价值何在呢?如果是依据法律、行政法规的规定,而使得国家机关或者其他法律法规授权具有管理公共事务职能的组织负有法定职责或法定义务,也完全可以纳入第6项的规定当中。将履行法定职责或法定义务单列,容易导致不适当的扩张其适用范围,故此,建议删除第13条第3项。
敏感信息在建构个人信息处理规则中的功能
个人信息有多重分类方法,但在个人信息保护法中最重要的分类就是敏感信息与非敏感信息的区分,并且,该分类在个人信息处理规则的构建中具有无可替代的作用。
(一)区分敏感与非敏感信息的意义
敏感的个人信息(personal sensitive information),也被称为“特殊的个人信息”。何为敏感的个人信息,比较法有不同的界定,如欧盟《一般数据保护条例》第9条第1款将敏感的个人信息界定为“揭示种族或者民族出身,政治观点、宗教或者哲学信仰,工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,健康数据,自然人的性生活或者性取向的数据”。再如,日本法上将敏感的个人信息称为“需注意的个人信息”,《日本个人信息保护法》第2条第3款规定:“本法所称的‘需注意的个人信息’是指,含有政令规定的、为避免发生针对本人的人种、信条、社会身份、病历、犯罪经历、因犯罪而被害的事实及其他方面的不当歧视、偏见以及其他不利益而需要在处理上予以特别注意的记述等之个人信息。”总的来看,敏感的个人信息基本上就是两类:一类是可能危及到个人宪法基本权利(如言论自由、信仰自由等)的安全的信息,如思想、信念、党派、宗教等;另一类是涉及个人重大的人身财产权益安全的私密信息,如犯罪经历、性生活、生物信息、病历等。
我国《民法典》《网络安全法》等法律、行政法规虽然界定了个人信息的涵义,但并未区分敏感与非敏感的个人信息,《征信业管理条例》第14条规定:“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。”该条所列举的实际上就是敏感的个人信息。此外,一些部门规章和标准文件中明确区分了敏感的与非敏感的个人信息。《草案(二审稿)》明确采取了敏感个人信息与非敏感个人信息的分类,其第29条第2款将敏感个人信息的界定为:“一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”笔者认为,我国《个人信息保护法》应当区分敏感与非敏感的信息,并在此基础上确定相应的个人信息处理规则,其具有以下重要意义:
1.有利于更好地保护自然人的合法权益。如前所述,敏感的个人信息与自然人的人格尊严、人格自由等基本权利和重大人身财产权益具有极为密切的联系,对这些个人信息的处理行为会使得自然人的基本权利及人身财产安全产生重大风险。例如,自然人的基因、指纹、声纹、掌纹、脸部特征等生物识别信息“不可逆转地改变了身体和身份之间的关系,它们使得人体的特征变为‘机器可读’(machine-readable)并能够进一步予以永久性的使用”。掌握这些信息的主体就可以永久的识别特定自然人,其未来会挖空心思地想着如何利用这些信息来谋取各种利益,这对个人的基本权利和人身财产权益可能造成何种危险将难以预测和控制。人类历史的经验教训一再证明,滥用敏感个人信息(如种族或宗教的信息)会极大地助长大规模侵犯人权的行为,如种族歧视、宗教歧视甚至种族灭绝和屠杀。在法律上,对于更高价值位阶的法益应给予更高强度的保护。所以,对于与这些高位阶法益密切相关个人信息即敏感个人信息的处理也必须予以专门的、更加严格的规范。
2.有利于协调个人信息的保护与利用的关系。个人信息的合理利用对于个人、社会和国家的发展都是有益的,在现代网络信息时代,完全禁止对个人信息的利用显然是不可能的,如何划定个人信息保护与合理使用的边界就成为问题的核心。敏感与非敏感的个人信息的区分有助于更科学地划定这一边界。对于敏感的个人信息,法律的天平应当向保护自然人个人信息权益倾斜,因此,原则上应当禁止处理敏感的个人信息,除非处理者基于更高位阶的法益且履行更严格的程序。至于非敏感的个人信息,则可以在保护个人权益的前提下更多地允许信息处理者合理的使用,程序也可以更宽松一些、法律义务上更弱一些。
3.区分并明确列举敏感的个人信息,对于自然人、信息处理者以及个人信息保护执法机构而言都具有极大的意义。对自然人而言,可以更充分意识到敏感信息的重要性,从而采取有效的自我保护行动(如更谨慎地行为以免泄露敏感信息、一旦发现违法行为及时举报等)。对信息处理者而言,明确了哪些是敏感的个人信息,能够降低履行个人信息保护义务的合规成本,提高对处理行为合法性的可预期性。就个人信息执法机构而言,可以集中资源,重点对侵害敏感信息的违法行为进行精准有效的执法活动,提高执法效率。
(二)《个人信息保护法》的敏感信息与《民法典》的私密信息的关系
我国《民法典》对个人信息有一个重要的分类,就是分为私密信息与非私密信息,并在此基础上明确了隐私权保护与个人信息保护的规则适用。《民法典》第1034条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”这就是说,私密信息既受到隐私权保护,也受到个人信息保护规则的保护。依据《民法典》第1033条第5项,处理他人的私密信息要么是取得隐私权人的“明确同意”,要么是依据法律的规定,否则,任何组织或者个人实施的处理他人私密信息的行为都构成侵害隐私权的行为。但是,对于处理非私密信息的个人信息,依据《民法典》第1035条,要么是依据法律、行政法规的规定,要么是得到该自然人或者其监护的“同意”。敏感信息与私密信息之间存在交叉的关系。有些个人信息既是私密信息也是敏感个人信息,如医疗健康、性取向;有些个人信息虽然是私密信息,却并不是敏感个人信息,如个人的嗜好、被他人性骚扰的个人信息;有些信息是敏感个人信息却未必是私密信息,如种族或民族、宗教信仰、政治主张、面貌特征等。
在我国个人信息保护法的起草过程中,不少人提出个人信息保护法草案中敏感与非敏感的个人信息的分类方法与《民法典》中私密与非私密信息的分类方法究竟是什么关系的疑问?笔者认为,敏感信息与非敏感信息、私密信息与非私密信息的区分是《个人信息保护法》与《民法典》基于不同的规范目对个人信息所做的两种不同的分类,二者均有重要意义。
1.敏感信息和非敏感信息是《草案(二审稿)》从规范个人信息处理行为的角度进行的一种重要分类,并在该区分的基础上针对信息处理者提出了不同的处理规则上的要求,从而有针对性的提高处理者在处理敏感信息时的法定义务,更加充分的保护个人信息权益。由于敏感信息对于维护自然人的人身财产安全与人格尊严极为重要,该等信息一旦泄露或被非法使用,势必会对自然人的人身财产权益造成严重的侵害或损害,故此,法律上对处理此类信息有非常严格的要求。但是,对于非敏感信息的处理而言,则没有如此严格的要求。正是由于敏感信息和非敏感信息是为了确定不同的个人信息处理规则而对个人信息作出的区分,故此,该分类仅适用个人信息保护法所调整的个人信息处理行为,而不适用自然人因个人或者家庭事务而处理个人信息的活动。
私密信息和非私密信息则是从民事权益保护的角度即为正确区分隐私权与个人信息权益的保护方法,由《民法典》对个人信息进行的分类。依据《民法典》第1034条第3款,私密信息和非私密信息的区分的侧重点在于民事权益的类型与保护方法的差异,而非如敏感信息与非敏感信息那样基于对信息处理者处理个人信息的行为规范的不同所做的分类,两种划分的规范目的存在明显的区别。此外,私密信息和非私密信息的区分适用于所有的侵害个人信息的侵权纠纷,即无论网络企业、国家机关处理个人信息中发生的侵权纠纷,还是自然人之间因个人或家庭事务而出现的侵害个人信息的侵权行为,区分私密信息与非私密信息都是必要的。因为这涉及被告侵害的民事权益究竟是隐私权还是个人信息权益的认定。从《民法典》第1033条的规定来看,除了法律另有规定或者权利人明确同意,否则,任何处理他人私密信息的行为都构成对他人隐私权的侵害。但是,非私密信息的处理行为的合法性基础不仅包括取得信息主体(即个人)或其监护人的同意,还包括法律和行政法规另有规定的情形。《民法典》第1036条还专门规定了处理个人信息的三类免责事由。
2.敏感与非敏感信息、私密与非私密信息的区分在侵权案件裁判中的作用不同。就人民法院审理侵害隐私权和个人信息权益的侵权案件而言,敏感与非敏感信息、私密与非私密信息这两种分类方法的意义体现在侵权责任构成要件的不同层次即侵害行为(即行为非法性)和侵害的民事权益类型。首先,在认定是否存在侵害个人信息的行为即判断个人信息处理行为非法性的阶段,敏感信息与非敏感信息的区分是十分重要的。由于信息处理者对敏感信息和非敏感信息的处理规则和法定义务不同,故此,认定针对敏感信息和非敏感信息的处理行为的非法性时,法院所依据的法律规范也不同。当某个信息属于法律法规规章和国家标准规定的敏感信息时,法院就应当适用个人信息保护法中处理敏感信息的规范来确定处理者的义务,并据此判断信息处理行为是否非法,反之则不能适用此类专门针对敏感信息的规范。对于私密信息,由于其受到隐私权的保护,故此只要权利人没有明确同意并且没有法律的另外规定,即可认定处理私密信息行为的非法性,即采取所谓的结果不法说。但是,认定非私密信息的非法性,仍然需要适用个人信息保护法所规定的个人信息处理规则。
其次,在确定行为非法性之后,需要认定非法的个人信息处理行为即侵害行为所侵害的民事权益的类型究竟是什么。在该层面上,确认个人信息究竟是私密信息还是非私密信息非常重要。这直接决定了侵害行为所侵害的客体究竟是隐私权还是个人信息权益。这种判断在法院审理的几乎所有的个人信息侵权纠纷中都会存在。侵害的民事权益不同,侵权责任的构成要件、侵权责任的承担方式等也有所不同。例如,对于私密信息,适用隐私权保护的规定,权利人有权行使人格权保护请求权,并可以向法院申请人格权禁令。但是,对于非私密信息,则不能如此。然而,哪些是私密信息,哪些是非私密信息,不可能如同敏感信息和非敏感信息那样,由法律法规规章或标准加以确定,必须从社会公众的一般认知和价值权衡的角度出发,逐一认定案涉个人信息是否属于私密信息。比较重要的考虑因素包括:社会公众对该信息作为私密信息的认知;该信息对于维护自然人的人身财产权益、人格尊严和人格自由的重要程度;该信息对于维护社会正常交往、信息自由的重要程度如何等。
(三)敏感信息的特殊处理规则
《草案(二审稿)》在区分敏感与非敏感的信息的基础上,于第二章专节规定了“敏感个人信息的处理规则”,明确了敏感个人信息适用不同于非敏感的个人信息的一些处理规则,具体表现在:首先,无论是敏感还是非敏感的个人信息,都是可以处理的,但处理敏感个人信息的要求处理者具有特定的目的和充分的必要性(第29条第1款);其次,处理敏感的个人信息时,必须取得个人的单独同意,在法律、行政法规要求取得书面同意时还应当取得书面同意(第30条)。对于非敏感的个人信息的处理只要取得同意即可,不要求是单独同意。再次,处理者在处理敏感的个人信息时应当履行更多的告知事项,即除了《草案(二审稿)》第18条规定的告知事项外,还必须告知处理敏感个人信息的必要性以及对个人的影响(第31条)。第四,法律和行政法规可以对处理敏感的个人信息作出更严格的规定,包括要求取得相关行政许可等(第32条)。最后,个人信息处理者在处理敏感的个人信息前应当进行风险评估并予以记录且至少保存三年(第55条)。结合上述规定,笔者认为,关于敏感信息的特殊处理规则尚有以下两个问题需要深入研究。
1.敏感个人信息的处理究竟应当原则上允许还是例外允许
敏感个人信息的处理对于自然人而言意味着巨大的风险,但是也有可能带来巨大的好处,最典型的例子就是在医学研究中对个人健康信息的处理,有利于医学科学的发展,治愈更多的疾病,挽救病人的生命和恢复健康,从而使个人和社会受益。在比较法上,有些国家或地区的个人信息保护立法对于敏感个人信息采取的是原则禁止,例外允许的处理模式。例如,欧盟《一般数据保护条例》第9条就明确规定,对于特殊类型的个人数据原则上禁止处理,除非符合该条第2款规定的特殊情形,如为了维护数据主体的切身利益、维护重大公共利益等。再如,我国台湾地区“个人资料保护法”第6条规定,对于有关病历、医疗、基因、性生活、健康检查及犯罪前科之个人资料,不得搜集、处理或利用。但有下列情形之一者,不在此限:①法律明文规定;②公务机关执行法定职务或非公务机关履行法定义务必要范围内,且事前或事后有适当安全维护措施;③当事人自行公开或其他已合法公开之个人资料;④公务机关或学术研究机构基于医疗、卫生或犯罪预防之目的,为统计或学术研究而有必要,且资料经过提供者处理后或经搜集者依其揭露方式无从识别特定之当事人。⑤为协助公务机关执行法定职务或非公务机关履行法定义务必要范围内,且事前或事后有适当安全维护措施。⑥经当事人书面同意。但逾越特定目的之必要范围或其他法律另有限制不得仅依当事人书面同意搜集、处理或利用,或其同意违反其意愿者,不在此限。
在我国,《草案(二审稿)》采取了无论敏感的还是非敏感的个人信息,原则上都可以进行处理的立场。笔者认为,这种规定十分不妥。因为原则上允许处理敏感信息的做法弱化了对敏感信息的保护力度,虽然《草案(二审稿)》对处理敏感信息采取了特殊的处理规则,即提出了更多的法律上的要求,如处理敏感个人信息的要求处理者必须具有特定的目的和充分的必要性,必须取得个人的单独同意等。但是,这些形式上的措施并不足以起到保护自然人,维护其基本权利和重大人身财产利益的要求。一则,何为特定的目的,《草案(二审稿)》并未明确。况且,并非目的特定就可以处理敏感的个人信息,除非该目的所保护的法益高于敏感的个人信息上承载的自然人的法益,否则不能仅仅因为目的特定就可以处理敏感的个人信息。二则,怎么判断处理个人敏感信息具有充分的必要,至少这对于自然人而言,很难判断,就个人信息执法机构来说,也难以判断。三则,所谓单独同意只是突出了个人对敏感信息处理的同意的针对性,即处理者必须明确告知信息主体被处理的信息是敏感信息并且其取得针对该等敏感信息被处理的同意,而不能概括性的、笼统的或一揽子式的。这种方式不仅不足以实现对自然人的保护,还为处理者无端增加了麻烦。况且,该单独同意也只是针对需要取得同意的个人信息处理行为,并不适用于《草案(二审稿)》第13条第1款第2至7项所列举的不需要同意的例外情形,这样就导致了在不适用告知同意的个人信息处理的情形中,敏感的个人信息与非敏感的个人信息实际上完全没有区分了。故此,笔者认为,我国个人信息保护法应当明确规定,对于敏感的个人信息原则上应当禁止处理,除非符合法律规定的例外情形(如为了科学研究、重大的公共利益、自然人自身的权益等),同时就例外可以处理敏感个人信息的情形应规定更为严格的处理要求如单独同意、详细告知等,这样才能真正实现对个人信息权益的更充分的保护。
2.侵害敏感个人信息的侵权损害赔偿责任的归责原则
侵害个人信息权益的民事责任的问题非常重要。《草案(一审稿)》第65条规定:“因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”显然,这一规定并不妥当。因为一般来说,规定侵害个人信息权益的侵权责任的法律条文,应当明确侵害个人信息权益的侵权责任的归责原则与责任成立要件,至于侵害个人信息权益的损害赔偿责任如何确定,是侵权责任成立之后的问题。
从《草案(一审稿)》第65条的规定来看,对于侵害个人信息权益的侵权赔偿责任似乎采取的是过错推定责任。当然该条的表述比较模糊。因为处理者在能够证明自己没有过错的时候,可能是减责也可能是免责。如果要规定过错推定责任,就应当明确规定“个人信息处理者能够证明自己没有过错的,可以免除责任”。有鉴于此,《草案(二审稿)》进行了修改完善,其第68条区分为两款,第1款规定了侵害个人信息权益的归责原则,即“个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”第2款规定了损害赔偿的确定方法,即“前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”
应当说,《草案(二审稿)》已有很大的改进,值得肯定。但是,仍然存在两个问题:第一,无论是过错责任、过错推定责任还是无过错责任,都是损害赔偿的归责原则,而非所有侵权责任的归责原则。故此,《民法典》第1165条、1166条在表述归责原则时都要求有“损害”,然而,《草案(二审稿)》第68条第1款却没有规定“损害”的要件,这样就等于将过错推定责任作为所有的侵权责任的归责原则,导致了损害赔偿责任与其他侵权责任承担方式相混淆。
第二,对于侵害个人信息权益的侵权赔偿责任应当区分个人信息的不同类型而规定不同的归责原则。一概规定为过错责任,显然不利于保护自然人,因为自然人在侵害个人信息权益的侵权案件中往往很难证明加害人的过错,很多时候甚至连具体的加害人都难以确定。但一概规定为过错推定责任,也不妥当,因为没有体现对敏感个人信息的特殊保护。正确的做法应当是,因处理敏感信息而产生的侵权赔偿责任,应当适用危险责任即无过错责任;处理非敏感的个人信息产生的侵权赔偿责任,适用过错推定责任。理由在于:首先,敏感信息的处理行为本身就属于法律上的高度危险行为,因为敏感的个人信息与自然人的人格尊严和人格自由及人身财产安全等重大法益息息相关,处理此等信息的行为具有显著的危险,正因如此,该处理行为原则上应当是禁止的,但是,基于各种更高的利益需求(如科学研究等公共利益、国家利益)而例外允许处理。既然如此,处理者应当承担更严格的责任。其次,对敏感信息的处理行为客观上开启了危险源,且处理者具有处理行为具有控制力,故此,基于危险开启理论与危险控制理论的要求,敏感信息的处理者也应当承担危险责任。再次,对侵害敏感信息的侵权赔偿责任适用危险责任也会显著提高处理敏感个人信息的成本,形成经济上的壁垒,使得一般的没有足够能力的处理者不敢轻易去处理此等信息,从而可以更好的保护个人信息权益。最后,对于符合法律规定的例外情形,可以处理敏感的个人信息的处理者而言,其可以通过购买责任保险等分散损失,并且通过适用无过错责任,也避免了处理者与自然人之间就是否有过错进行无谓的争执。
《清华法学》2021年第3期目录
【专题:个人信息保护法】
2.个人信息保护法律体系的宪法基础王锡锌、彭錞(6)3.侵犯公民个人信息罪的行为对象周光权(25)4.论个人信息处理者的民事责任姚佳(41)5.论我国个人信息保护法中的个人信息处理规则程啸(55)6.数据主权视野下个人信息跨境规则的建构吴玄(74)7.发现“二十世纪之宪法”——以20世纪20年代前期为中心的考察章永乐(92)8.行政公益诉讼起诉期限问题研究张昊天(114)9.起诉状一本主义:我国刑事案卷移送制度改革再思考李子龙(127)10.合意型股权变动的法律结构——“多重买卖”与股权变动预告登记蒋大兴(143)11.欺诈理论与期货市场操纵二元规制体系钟维(160)12.网络虚拟财产保护的解释路径高郦梅(179)13.中美条约关系的早期叙事——以王宠惠为中心的考察吴景键(194)
责任编辑 | 吴珊
审核人员 | 梁学曾 张文硕
本文声明 | 本文章仅限学习交流使用,如遇侵权,我们会及时删除。本文章不代表北大法律信息网(北大法宝)和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。
程啸:论我国《民法典》网络侵权责任中的通知规则 | 武汉大学学报(哲学社会科学版)202006
点击相应图片识别二维码
获取更多信息
北大法宝
北大法律信息网
法宝学堂
法宝智能
点击「在看」,就是鼓励