王利明:数据共享与个人信息保护 | 前沿
中国民商法律网
本文选编自王利明:《数据共享与个人信息保护》,载《现代法学》2019年第1期。
作者简介:王利明,中国人民大学法学院教授,中国人民大学民商事法律科学研究中心研究人员,博士生导师,法学博士。
全文共2854字,阅读时间约8分钟。
随着互联网和大数据技术的发展,数据共享逐渐成为一种重要的数据利用方式,也是数据流通和数据产业发展的重要基础。然而,数据共享可能会造成个人信息被不当使用,甚至造成信息的泄露,给信息权利人带来损害。那么,如何在民法典中强化数据共享中的个人信息保护呢?中国人民大学法学院王利明教授梳理了数据共享和个人信息保护的关系,肯定了数据共享中个人对于个人信息的权利,并结合理论分析与比较法研究,于《数据共享与个人信息保护》一文中对如何在保护个人信息权利的前提下规范数据共享行为的问题进行了充分的讨论。
一、数据共享中应当强化个人信息的保护
数据共享概念主要是在机构、平台层面上使用,它是指不同机构、平台之间的数据交换,但一般不包括政府的数据公开行为。在我国正在制定的民法典中,有必要设置专门的规则,规范数据共享行为,强化对个人信息权利的保护,其原因主要在于:
第一,大量的数据涉及个人的信息和隐私,甚至涉及个人的敏感信息和核心隐私。
第二,数据共享包括个人信息的收集和传输行为。一旦缺乏规范,使数据的收集、传输失控,将导致大量的个人信息遭受不当使用,甚至是泄露。
第三,除了共享本身是对个人信息的再利用,还有被共享者获得了这些信息数据后,其可能对信息数据进行再次加工、利用,甚至再次进行共享。
二、数据共享中的个人信息仍然属于信息权利人的权利
信息数据的收集、开发和利用应当以保护个人信息权利和隐私权为前提。信息收集的知情同意规则应当适用于所有个人信息收集的行为,而不仅限于个人信息的初次收集行为,其主要原因是:
第一,知情同意本身就是信息权利人对其个人信息支配权的具体体现。即便数据开发者经过权利人同意对个人信息进行了搜集、开发,将数据与他人共享之前,首先还需经过当事人的许可和授权。
第二,个人信息权利以主体对其个人信息所享有的人格利益为客体,人格利益在性质上具有人身专属性,并不具有可让与性。
第三,信息权利人允许信息收集并不等于允许信息分享。在未经信息权利人同意的情形下,经合法授权的信息的共享行为也可能侵害信息权利人的权利,因为对信息权利人而言,信息共享行为与重新收集个人信息并无本质区别,原则上应当征得其同意。
第四,必须保障信息权利人对个人信息流通过程的控制。信息无论向谁共享,在共享的范围内,都应当经过信息权利人的知情、同意。
即使在特殊情形下,信息共享行为难以完全实现个人的知情同意,也应当通过特殊的规则强化对信息权利人的保护,以弥补知情同意规则适用的不足。美国法对此引入“合理预期”的概念,即在某些情况下,判断是否存在隐私侵权应当看数据的收集者和处理者是否尽了合理注意义务,是否符合社会认可的数据被收集者的一般预期。
三、数据共享必须要获得个人信息权利人的授权
(一)应当有效规范信息主体的授权行为
数据共享不等于数据倒卖,二者的根本区别在于是否获得了信息主体的授权。信息共享的授权应当注意如下几个方面的问题:
第一,数据共享一旦涉及个人信息,则应当获得信息主体的明确授权。我国《民法总则》虽然规定了个人信息应当依法收集和利用,但没有对合法和非法的情形作出规定。《民法典各分编(草案)》第817条规定,“未经被收集者同意,不得向他人提供个人信息”,但没有说明是否需要信息权利人的明示同意。我国应借鉴欧盟的经验,如果授权条款写得不清楚,即便获得了个人同意,也不能认为是获得了授权。
第二,在收集、利用个人信息时应当取得个人的授权,数据共享也应当取得信息主体的特别授权。从我国司法实践来看,有的法院也采纳了此种立场。
第三,在规范数据共享时应当严格限制概括授权条款的运用。个人信息与信息主体人格利益之间联系紧密,概括授权委托可能会造成信息主体对于个人信息的完全失控,从而带来超出其合理预期的影响。
第四,不需要授权的情况应当由法律明确规定下来,做出明确列举,这样既可以保护个人信息的权利,也可以为数据产业的发展提供明确的行为标准和发展预期。《民法典各分编(草案)》第816条规定过于宽泛,有必要作细化规定。
(二)共享者获得信息后,应当在信息主体授权范围内使用
数据共享行为应当严格限定在授权的范围内。除信息主体对被共享者有特别授权外,被共享者对相关信息所享有的权利不得超出信息共享者权利的范围;要使信息权利人控制信息共享的过程,信息共享者应当在授权范围内共享信息。
(三)数据共享应遵循合法、正当、必要、最小化使用的原则
个人信息的搜集、使用和共享还应当遵循“最小化使用原则”,即在从事某一特定活动时可以使用、也可以不使用个人信息时,要尽量不使用;在必须使用并征得权利人许可时,要尽量少使用。此外,数据共享过程中还应当尊重信息权利人的其他相关权利。
四、民法典编纂中应进一步强化对数据共享中个人信息的保护
就个人信息保护而言,民法典应当强化对数据共享中个人信息的保护,同时积极回应数据共享中个人信息保护的问题。
(一)妥当平衡数据流通与个人信息、数据权利之间的关系
数据共享与个人信息权利保护之间存在一定的冲突与矛盾,主要表现在数据分享的效率和个人信息保护之间存在此消彼长的关系。从比较法上看,美国法和欧盟法在数据的开发、共享中共同的趋势是日益重视对个人信息权利的保护。
我国正在编纂的民法典应当妥善平衡二者的关系,既要强化对数据共享中个人信息权利的保护,也要避免个人信息、数据权利的泛化,不当影响数据的流通;作为民事基本法,可以只规定平衡人格权保护和数据流通之间关系的基础性规则,或者作原则性规定,为有关单行法细化规定个人信息的保护提供依据。
(二)在区分个人信息类型的基础上设计数据共享规则
企业在进行数据共享时,应当对其是否涉及人格利益进行必要的审查,对于不涉及人格利益保护的情形,不应当严格限制数据的流通和共享。法律也应当建立明确的数据保密等级与公开等级,并保护公民、商业组织的数据隐私权或商业秘密,同时,也应当积极推动各类数据资源的社会共享。不同类型的数据应当有不同的同意规则,具体而言:共享敏感个人信息应当征得信息主体的明示同意;共享敏感个人信息之外的个人信息,应当相对弱化信息主体的同意要求;应当严格限制共享未成年人个人信息的行为。
(三)进一步完善数据共享中的授权规则
民法典编纂应当对数据共享的形式、数据共享的范围等具体的数据共享规则作出规定; 同时,为强化对信息权利人的保护,民法典分则应当明确规定,被共享者在获得相关的个人信息后,再次共享仍应当经过信息权利人的授权。另外,有必要确立个人信息匿名化处理的规则。
(四)明确信息共享中信息收集人和持有人对个人信息的安全保障义务
《民法典各分编(草案)》第817条虽然规定了信息收集人、持有人保障个人信息安全的义务,但该义务仅限于信息的收集和存储阶段。与信息的收集和存储相比,信息共享涉及个人信息的流动,更容易发生个人信息的泄露、毁损和丢失,民法典有必要对信息共享中信息收集人和持有人保障个人信息安全的义务作出规定。
(五)对信息共享中格式条款予以规范
互联网企业可能会利用其经营、技术上的优势地位,通过格式条款的形式设定不利于保护用户隐私、个人信息等的数据共享条款。这就需要有效规制此类格式条款,具体而言:
第一,互联网企业应当在协议中显著标识个人信息共享的条款,以提示用户注意该条款的内容。
第二,对互联网企业所拟定的数据共享的格式条款,可以由相关主管部门对该条款的合法性进行事先审查,相关的行业协会也可以拟定数据共享的示范条款。
第三,如果数据共享的格式条款明显不利于保护用户的隐私、个人信息等权利,则信息权利人应当有权否定该条款的效力,该条款也不能成为互联网企业共享用户个人信息的正当性基础和侵权的免责事由。
推荐阅读
近期好文
责任编辑:龙铖、袁玥、王嘉睿
图片编辑:金今、张凌波