刘金瑞|民法典注重平衡个人信息保护与合理利用的关系
点击标题下「网络法前哨」可快速关注
前哨按语
民法典在强化个人信息保护的同时,也注重平衡个人信息保护与合理利用的关系。
民法典注重平衡个人信息保护与合理利用的关系
刘金瑞
随着移动互联网、云计算、大数据、物联网和人工智能等新技术的迅速发展和应用,人类社会已经迈入了数字经济时代,数据成为推动经济发展的关键生产要素。在这一背景下,个人信息的经济价值和公共价值日益凸显,但同时个人信息泄露滥用、非法买卖等问题也更加突出。民法典及时回应了此时代人们对个人信息保护的关切,也就确保个人信息正常流动作出了针对性规定,注重平衡了个人信息保护与合理利用的关系,为《个人信息保护法》制定留下了空间,有利于保障和促进我国数字经济健康发展。
虽然近年来我国个人信息保护力度不断加大,但实践中随意收集、违法获取、过度使用、非法买卖个人信息而侵害人民群众合法权益的问题仍较为突出。有鉴于此,民法典在既有法律法规基础上,进一步强化了个人信息保护:
一是扩张了个人信息的内涵。民法典第1034 条第2款将个人信息规定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。该定义采用了可识别性标准,识别标准是“特定自然人”,不再限于《网络安全法》所规定的“自然人个人身份”标准,从而扩展了个人信息的内涵。该款明确列举的个人信息相较于《网络安全法》还增加了行踪信息、生物识别信息、健康信息等。
二是构建了自然人与信息处理者之间的基本权利义务框架。民法典第1035条明确了处理个人信息的基本原则和条件,以合法、正当、必要为原则,除非法律、行政法规另有规定,应当征得自然人或者其监护人同意;第1037条规定了自然人就其个人信息享有查阅、复制、提出异议、要求更正、请求删除的权益。
三是进一步强化了国家机关及其工作人员的保密义务。民法典第1039条规定,国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。
在信息社会中,个人信息不仅体现个人利益,还同时负载了重大社会公共利益和经济价值。近期为了新冠肺炎疫情防控收集利用病患相关个人信息就是为了公共利益处理个人信息的典型例证。此外,个人信息也是征信业、大数据行业等数字经济发展的重要资源。信息科技的运用已经使得个人信息上的多元利益日益凸显。因此,民法典在强化个人信息保护的同时,也注重平衡了个人信息保护与合理利用的关系,主要表现为以下几个方面:
一、对隐私和个人信息予以区分保护
民法典人格权编第六章“隐私权和个人信息保护”,区分隐私和个人信息设定了不同的保护规则。第1032条规定:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”而根据第1034条第2款个人信息的定义,隐私中的“私密信息”也属于个人信息,个人信息和隐私存在一定的交叉性。鉴于隐私往往直接关系人的尊严和私密生活,民法典对隐私设定了比个人信息要更为严格的保护规则,第1033条明确禁止“处理他人的私密信息”,除非法律另有规定或者权利人“明确同意”,而第1035条规定处理个人信息则只要征得权利人“同意”。为了严格保护隐私,当个人信息与隐私出现交叉时,民法典明确应优先适用隐私保护规则,第1034条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”民法典区分保护私密信息和个人信息,可以避免将所有个人信息纳入隐私权绝对权保护之中,有利于促进私密信息以外其他个人信息的合理流动和使用。
二、确立了个人信息的法益保护模式
民法典人格权编第1034条第1款规定“自然人的个人信息受法律保护”,不同于人格权编对肖像权、名誉权等具体人格权的规定,该表述只是将个人信息确立为法律应予保护的利益而非“权利”。这表明了现阶段我国立法机关并未对个人信息进行确权,只是确立了个人信息的法益保护模式。确立此种保护模式的主要原因在于数字时代下的个人信息利用呈现利益多元化,如果一味强调个人对其信息的绝对控制,会阻碍个人信息的正常利用和共享,不仅其社会价值易被忽视,大数据等信息产业也难以发展。而且,如果确立所谓“个人信息权”,必然会导致与其他具体人格权出现重复交叉,比如无法解释其与保护肖像信息的肖像权、保护健康信息的隐私权等权利的关系,在逻辑上无法自洽和周延。民法典仅将个人信息作为一种法益而非权利予以保护,符合目前经济社会生活中个人信息利用的复杂性和多元价值性,有利于在个人信息必要保护基础上实现个人信息利用带来的经济价值和公共利益。
三、界定个人信息采用可识别性标准
民法典第1034 条第2款界定个人信息采用了可识别性标准,能够单独或者与其他信息结合“识别特定自然人”的信息才属于个人信息。换言之,无法识别特定个人的信息就不属于个人信息,而不属于个人信息的信息将不受个人信息保护规则的约束。由此,民法典第1038条规定,未经自然人同意,信息处理者不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。这里“经过加工无法识别特定个人且不能复原的”信息已经无法识别特定个人,便不再属于个人信息,信息处理者当然可以不经个人同意而向他人提供这些信息。该规定延续了《网络安全法》第42条的相关规定,也与欧盟《一般数据保护条例》(GDPR)将“匿名化信息”排除在个人信息之外的规定相类似。而这对于大数据技术应用和数字经济发展来讲至关重要,这使得个人信息在加工脱敏去识别化之后有了集聚利用的可能。例如,目前在新冠肺炎疫情防控中收集了大量的个人信息,如果经过加工脱敏去识别化,无法识别到特定个人,就可以将这些数据用于研究新冠肺炎传染传播规律等用途。将“经过加工无法识别特定个人且不能复原的”信息排除在个人信息之外,有利于信息集聚利用和大数据产业发展,有利于充分释放数据要素的价值。
四、规定了处理个人信息的免责事由
为了合理平衡保护个人信息与维护公共利益之间的关系,民法典第1036条明确规定了处理个人信息的免责事由,即行为人处理个人信息符合下列三种情形之一的,不承担民事责任:一是在该自然人或者其监护人同意的范围内合理实施的行为;二是合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;三是为维护公共利益或者该自然人合法权益,合理实施的其他行为。这些免责事由的规定,既充分考虑了个人信息上个人利益的保护,也着重考量了个人信息上公共价值的实现。例如对于已经合法公开的个人信息,出于人际交流、公共舆论和信用社会建设的需要,只要不侵害信息主体重大利益,就允许合理处理。目前常见的企查查、天眼查等APP,就是大量搜集了企业股东信息、企业高管简介等合法公开的个人信息,这种使用并没有侵害相关主体的重大利益,属于信息合理利用的范围。明确处理个人信息的免责事由,是进一步划定了个人信息合理利用的边界。
从民法典规定来看,虽然已经注重了平衡个人信息保护与合理利用的关系,但对个人信息多元利益平衡保护的规定还不够全面和系统。比如民法典人格权编第1035条规定处理个人信息的合法基础,目前唯一明确的是当事人同意,当然该条通过“但是法律、行政法规另有规定的除外”的表述为未来立法留下了空间。近期公布的《个人信息保护法(草案)》就在个人同意之外,增加规定了处理个人信息的其他多项合法基础,比如“为履行法定职责或者法定义务所必需”等。相信随着《个人信息保护法》等相关法律法规的出台,个人信息多元利益平衡保护规则会更加完善,我国一定可以建立起与数字经济发展相适应的个人信息保护法制体系。
本文载《长安》2021年第1期
(本文仅代表作者个人观点,不代表作者所在机构观点,未经授权请勿转载)
相关文章链接
近期热点文章
《国务院反垄断委员会关于平台经济领域的反垄断指南》全文及官方解读
"人人影视字幕组"侵权被查处 14人被抓涉案金额1600余万
全国人大常委会|关于检查《反不正当竞争法》实施情况的报告-全文
欢迎点击前哨名片关注。近期公众号推送规则变了,可以点个在看,或者把本号设置为置顶星标,以便及时收到推送。