《民法典》构建数字时代个人信息和隐私保护的民法基础
作者:陈际红 薛泽涵 王梦迪
2020年5月28日,第十三届全国人大三次会议表决通过《中华人民共和国民法典》(以下简称“《民法典》”)。《民法典》人格权独立成编,并对数据、虚拟财产施以特别关注,是对数字技术发展的响应,成为法典中的亮点之一。《民法典》以“隐私权和个人信息保护”专章方式,对隐私权和个人信息定义、保护原则、法律责任、主体权利、信息处理等问题作出规定,开启隐私权及个人信息保护的新时代。
一.
核心概念的界定
(一)
“隐私”定义——国内法首次明确
自1890年“隐私权”被首次提出以来[1],隐私权保护逐步为全球性及区域性条约、部分国家立法所重视[2],明确覆盖对自然人私生活、家庭、住宅、通信、个人荣誉和名誉的保护,纳入到基本人权保护的范畴中。我国虽于《中华人民共和国民法总则》创设性推行隐私权和个人信息保护的“二元制”界分,但尚未对“隐私”定义及外延作出界定,使得隐私权保护实践仍存多项“未解之谜”。
《民法典》第1032条第2款首次于国内法环境下明确“隐私”定义——“隐私是自然人的私人生活安宁和不愿他人知晓的私密空间、私密活动、私密信息”,其定义核心基本承接了目前国际上对于隐私的认定关键,即“私密性”,并将保护客体概述为“私密空间、私密活动、私密信息”。
针对隐私权与个人信息保护之间的范围交叉情形,《民法典》第1034条第2款对法律适用路径作出规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。
(二)
“个人信息”定义——沿袭与进阶
本次《民法典》第1034条对于个人信息的定义,沿袭了《网络安全法》对于“个人信息”定义的“识别”标准,对于单独或者结合其他信息可识别特定自然人的信息,都将纳入“个人信息”的范围。
在外延列举上,相较于《网络安全法》的规定,《民法典》中对个人信息内容的列举增加了“电子邮箱、健康信息、行踪信息”;而相较于《民法典人格权编(草案三次审议稿)》,最终发行版本增加了“电子邮箱、健康信息”。鉴于新增的三项信息符合业已建立的个人信息“识别”标准,同时《信息安全技术 个人信息安全规范》(以下简称“《个人信息安全规范》”)也已将上述三项信息纳入个人信息的范围,我们理解上述调整并非个人信息范围的扩张,而是对数字时代实践的立法确认。
(三)
“个人信息处理”定义——借鉴域外立法经验
《民法典》第1035条第2款明确“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”,将数据全生命周期管理的核心行为纳入到“个人信息处理”定义范畴,取消以往立法中将“收集”行为独立于“处理”行为的规定。这一规定,与欧盟《一般数据保护条例》(以下简称“GDPR”)的立法处理方式[3]一致,更加符合行业实践,事实上,数据收集与后续处理行为往往难以切割。
与此对应,《民法典》不再单独强调“信息收集者”,而是将相关责任统合至“信息处理者”。此处调整,并不代表国家立法对于“个人信息收集”的规制要求下降,也不代表对于目前实践中常见的“个人信息控制者”及“个人信息处理者”的划分方式的否定。相反,由于数据收集行为与后续处理行为的紧密关联性,信息处理者需保持数据全生命周期管理过程中责任贯彻的一致性;如涉及多方共同参与数据处理活动的,各方均需承担《民法典》对于个人信息保护的责任,各方具体责任承担,可由各方通过协议等方式进行约定。
二.
个人信息处理原则的确立
(一)
沿袭《网络安全法》“合法、正当、必要”原则
《民法典》通过第111条及第1035条规定了个人信息处理及保护的基本原则,整体而言,其完整承接了《网络安全法》关于个人信息收集、处理原则的基本要求,重申“合法、正当、必要”的原则,规定个人信息处理应符合的具体条件,即“征得该自然人或者其监护人同意+公开处理信息的规则+明确处理信息的目的、方式和范围+不违反法律、行政法规的规定和双方的约定”。
(二)
个人信息处理的法律基础增加“同意”的例外
在个人信息处理的法律基础上,《网络安全法》规定了严格的“个人信息主体的授权同意”原则。这一原则在实际适用中也遇到了一些困境,比如,新冠疫情中,为抗疫防疫目的的个人信息的收集不可避免,而很多情况下,此类信息的收集很难满足授权同意的形式和实体要求。《个人信息安全规范》就此问题,也进行了有益的尝试,规定了“征得授权同意的例外”条款,包括了“与公共安全、公共卫生、重大公共利益直接相关”或 “法律法规规定的其他情形”。考虑《个人信息安全规范》国家推荐性标准的性质,其效力存疑。而GDPR则规定了包括个人同意、合同、法定义务、切身利益、公共利益及合法利益等六种处理数据的法律基础。
在承接《网络安全法》基本要求的前提下,《民法典》在个人信息处理的法律基础上,增加了“同意”之外的“法律、行政法规另有规定”的例外情形。我们理解,这一例外情形的规定,并没有放弃《网络安全法》所确立的授权同意原则,而是在此基础上,考虑了法律冲突情形,并为顺应技术发展的未来立法留出空间。需注意的是,此处合法基础仅限于源自“法律”及“行政法规”位阶的法规要求,不包括“通知”、“办法”等部门规章、规范性文件。
(三)
强调“不得过度处理”要求
此外,相较于《网络安全法》及《民法典人格权编(草案三次审议稿)》,《民法典》第1035条规定的个人信息处理原则中增加“不得过度处理”的表述,对个人信息的处理提出了更进一步的要求。针对信息处理行为中“度”的要求,适用于个人信息全生命周期,包括收集范围、存储周期和使用方式等的“度”。信息处理者要遵循法律法规要求、行业实践的必要(包括个人信息收集处理的最小必要范围)以及信息处理者与用户的约定(例如公示的个人信息处理规则)等。
三.
赋予个人信息主体的民事权利
《民法典》第1037条赋予个人信息主体对于其个人信息的相关民事权利,包括如下三类:查阅或复制权、更正权以及删除权。
从权利内容方面考虑,《民法典》相较于《网络安全法》及现行《个人信息安全规范》并未作进一步的扩张,触发条件未作实质变动,对应的合规要求仍应延续。
从义务承担主体方面考虑,《民法典》规定的责任承担主体为“信息处理者”,并不限于目前实践中的“个人信息控制者”。该规定一方面加强了对个人信息主体行权的保障,权利行使主张对象扩展至涉及数据处理的任一环节的信息处理者;另一方面也加重了多方信息处理环境下的各方责任要求,各方均应积极承担个人信息主体行权要求的责任,健全内部行权响应机制及相互间的行权协作模式等。
四.
个人信息的保护责任
(一)
信息处理者的个人信息保护责任
《民法典》第1038条从正反两个方面明确“信息处理者”对个人信息的保护责任要求。一方面,明确“信息处理者”之“不可为”,包括不得泄露或篡改其收集、存储的个人信息,未经自然人同意不得向他人非法提供其未经脱敏处理的个人信息;另一方面,明确“信息处理者”之“应为”,包括采取防止信息泄露、篡改、丢失的必要技术措施等,以及在发生信息安全事件时应及时采取补救措施、用户告知及主管部门报告等。
从整体来看,该部分个人信息保护责任要求,可视为将目前《网络安全法》对于网络运营者个人信息保护责任的要求扩展至一般信息处理者,具体责任内容未作实质变动。
(二)
针对行政机关及其人员的责任
在上述针对一般信息处理者的责任要求的基础上,对于国家行政机关及其工作人员此类特殊信息处理者,《民法典》第1039条对其履行职务过程中获悉的隐私和个人信息的保密要求进行规定。该规定思路基本沿袭《网络安全法》及《网络安全审查办法》等关于特殊职责公务机关及其人员的个人信息保密责任规定,同时也部分参考了目前部分国家或地区针对公务及非公务机关个人信息处理行为的区分规定的立法设计思路。
(三)
明确个人信息的合理使用及民事责任免责情形
《民法典》明确两类个人信息处理行为的例外规定:其一为合理使用,其二为民事责任免责情形。
其一,《民法典》第999条规定,为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的个人信息。此常见于公务部门主导的犯罪嫌疑人通缉、失信执行人披露、涉及公共利益的新闻报道等场景。
其二,《民法典》第1036条规定了三种处理个人信息的民事责任免责情形:1)在该自然人或者其监护人同意的范围内合理实施的行为;2)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;3)为维护公共利益或者该自然人合法权益,合理实施的其他行为。该规定系将现行《个人信息安全规范》中关于“征得授权同意的例外”的情形进行部分抽取及整合的结果,聚焦于“同意”、“已公开”及“合法维权”等三类情形,将不具备约束效力的国家标准的要求上升为法律规定。
以上例外规定,均强调了“合理”处理的必要性。针对“合理”的把控,我们理解其与前述“不得过度处理”相近,参考标准仍旧落在法律法规明确要求、行业实践必要及同个人信息主体的约定等,同时综合考虑相应处理行为并未造成对个人信息主体权益的重大侵害,或者超出其合理可预见的期待范围。
五.
《民法典》与数字技术发展
在《民法典》立法过程中,存在针对《民法典》应为“数字时代的《民法典》”的相关呼吁。这不仅是对《民法典》作为我国第一部法典应体现时代要求的期望,更是对《民法典》应具有前瞻性的期许。《民法典》在数据及个人信息保护等方面,体现了《民法典》对数字技术发展的部分回应。
(一)
民法典与人工智能
人工智能是国际竞争的焦点技术,逐步广泛应用于自动驾驶、智能家居、医疗诊断、图像分析等,但技术进步也同步放大了隐私、滥用和伦理风险,数据应用场景增加将使数据保护面临严峻挑战。
为引导人工智能合规发展,实现“技术向善”,《民法典》通过第1033条对于隐私权保护的禁止性行为的列举规定,明确了隐私权保护的典型场景,为人工智能涉足人类生活场景划定合规红线;为限制、避免人工智能技术对自然人的声音或肖像的侵权或不当利用,《民法典》第1019条及第1023条明确禁止利用信息技术手段伪造方式侵害他人肖像及声音的行为,维护自然人的尊严;为引导人工智能产品开发对隐私保护的重视,《民法典》以第111条、第1035条及第1038条明确对个人信息保护原则及责任的规定,促使人工智能产品开发中关注个人信息保护的交互设计,例如前端个人信息处理规则的展示、用户行权的界面实现等,以“主动而非被动”、“预防而非补救”的理念,推进人工智能技术的合规有序发展。
(二)
民法典与大数据建设
数据是数字经济时代企业发展的核心资源,数据汇聚及数据流动有助于进一步挖掘数据资产的价值。日前正式公布的《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》强调数据作为一种新型生产要素,对于数字经济发展具有重要意义。就数据生产要素,在注重数据资源的安全保护的基础上,要关注数据资源的价值,促进数据开放共享和资源整合。
《民法典》第127条以开放的立法方式,为数据、网络虚拟财产纳入法律保护留下了空间。此外,《民法典》注重平衡个人信息保护与信息利用之间的关系,在加强对数据及个人信息保护的基础上,通过第999条、第1036条规定合理使用及免责处理场景等,支持各主体合法、合理、有序推进数据流动及处理,助推大数据建设。
(三)
民法典与平台经济
随着电子商务的发展,平台逐步演化为数据经济时代最重要的组织形式,代表新技术条件下的协作生态模式。针对平台环境下电子合同的订立和履行,《民法典》第491条、第512条等均进行了专项规定,旨在解决目前盛行的“网购”等引发的争端;针对电商平台经营者及平台内经营者,其作为《民法典》下个人信息处理者,应当遵守《民法典》第111条、第1035条及第1038条等关于个人信息保护原则及责任的规定,公示个人信息处理规则,采取必要的组织管理及技术保障措施,保护个人信息安全;针对平台侵权责任处理,《民法典》第1194条至第1197条明确网络服务提供者的责任以及权利人的救济途径等,为明晰网络环境下的侵权责任关系与责任追究提供法律基础。
六.
讨论与期待
(一)
个人敏感信息的增强保护——针对特殊领域的保护要求
数据分类分级管理和保护,在兼顾数据安全和个人隐私保护的同时,可以最大限度释放数据价值。目前针对个人信息的最为常见、基础的分类方式,系个人一般信息与个人敏感信息的划分。相较于一般信息保护,个人敏感信息因其数据敏感性及应用场景的特殊性,通常会施以更严格的监管要求。对此,《民法典》通过对征信信息及医疗数据的特殊规定,表明对个人敏感信息领域的增强保护态度。
针对征信信息,《民法典》第1030条规定,民事主体与征信机构等信用信息处理者之间的关系,适用本编有关个人信息保护的规定和其他法律、行政法规的有关规定。该规定一方面强调了对信用信息的保护,加强《民法典》与现有征信领域相关立法在征信信息保护及合规使用方面的关系串联,另一方面也有助于明晰民事主体与信用信息处理者之间的法律关系。针对医疗数据,《民法典》第1226条规定,医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。该条款明确了医疗机构及其医务人员对患者病历资料等个人敏感信息的保密义务,及对此可能承担的侵权责任,这为民事主体维护合法权益提供了较为明确的路径。
在《民法典》立法过程中,许多学者建议将个人敏感信息的定义和保护引入法典,并施以增强的保护。遗憾的是,此建议在《民法典》中并没有被采纳。但是,《民法典》以征信信息及医疗数据为典型,见微知著,反映了对其他个人敏感信息的强化保护要求。
(二)
未来的个人信息保护法与数据保护的法律体系构建
在《民法典》审议及发布的同时,全国人大常委会宣布个人信息保护法、数据安全法已列入立法计划。从体系构建层面考虑,《民法典》为我国未来个人信息保护法及数据保护的法律体系构建,奠定如下层面的制度基础:
价值取向:数据及个人信息保护需兼顾数据流动及隐私保护的平衡,合规为本;
保护原则:“合法、正当、必要”为基石,“法律法规规定”或“同意”为来源,“适度”为量尺;
核心定义:处理隐私权与个人信息保护之间的界分与交叉关系;
责任分配:个人信息保护责任贯穿信息处理全程,规定信息处理者责任承担及特定场景下的民事责任免责。
可以预见,待制定的个人信息保护法、数据安全法等,将在此基础上丰富对数据要素的管理要求,细化信息处理者在个人信息保护方面的合规红线。以《民法典》为基础的数据及个人信息保护体系将逐步建立,对接现有的以《网络安全法》及其配套法规为核心的法规体系。
结 语
整体而言,《民法典》作为新时期保障民事活动有序进行及民事主体合法权益保障的核心基础法律,在隐私权及个人信息保护层面,承袭现有以《网络安全法》及其配套法规等为代表的个人信息保护法律体系要求,并结合数字经济时代发展所需,赋能数据要素价值,开启隐私权及个人信息保护的新时代,为后续个人信息保护及数据安全专门立法,以及司法保护实践开展,奠定方向基础,留下充分的发展空间。
附录:《民法典》中关于隐私权及个人信息保护的相关法规梳理
点击图片查看大图
[注]
[1] 通说认为,1890年美国法学家布兰代斯(Louis D. Brandis)和沃伦(Samuel D. Warren)在哈佛大学的《法学评论》上所发表的论文《隐私权》(The Right to Privacy)中,所提及的“保护个人的著作以及其他智慧感情的产物之原则,是为隐私权”的观点,系人类历史上第一次明确提出隐私权。
[2] 在全球性多边条约方面,《世界人权宣言》第十二条规定:“任何人的私生活、家庭、住宅和通信不得任意干涉,他的荣誉和名誉不得加以攻击。人人有权享受法律保护,以免受这种干涉和攻击。”这一条文被视为是公民隐私权法律保护的最重要的国际法渊源。
在区域性条约方面,《欧洲人权公约》第八条规定:“一、人人有权使他的私人和家庭生活、他的家庭和通信受到尊重。二、公共机关不得干预上述权利的行使,但是依照法律的干预以及在民主国家中为了国家安全、公共安全或国家的经济福利的利益,为了防止混乱或犯罪,为了保护健康或道德,或为了保护他人的权利与自由,有必要进行干预者,不在此限。” 《美洲人权公约》第十一条规定:“一、人人都有权使自己的荣誉受到尊重,自己的尊严受到承认。二、不得对任何人的私生活、家庭、住宅或通信加以任意或不正当的干涉,或者对其荣誉或名誉进行非法攻击。三、人人都有权受到法律的保护,不受上述干涉或攻击。”
[3] 欧盟《一般数据保护条例》第4条第(2)项规定,“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。
民法典主题系列阅读
点击下列文章标题可查看原文
1. 《<民法典>全文正式发布!合同编五大亮点速览》
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
薛泽涵
北京办公室 知识产权部
王梦迪
北京办公室 知识产权部
作者往期文章推荐:
《App数据收集划定红线:<App违法违规收集使用个人信息行为认定方法>解析》
《他山之石:EDPB<关于GDPR第25条设计和默认的数据保护指南>解读(下)》
《他山之石:EDPB<关于GDPR第25条设计和默认的数据保护指南>解读(上)》
《打造中国版的SCC | <个人信息出境安全评估办法(征求意见稿)>评析》
《国家安全更聚焦 |<网络安全审查办法(征求意见稿)>出新招》
《儿童个人信息保护新规出台,与COPPA的明示同意区别有哪些?》
《小数据安全法出台 |<数据安全管理办法(征求意见稿)>解析》
《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》
《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》
《实施半年后再修订:<信息安全技术个人信息安全规范>应时而变》
《致敬数据合规元年 | 表析<网络安全法>配套法律法规和规范性文件》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。