民法典专题系列往期文章:
民法典专题系列 | 《民法典》网络侵权条款评释
民法典专题系列 | 民法典视角看网络名誉侵权
目录
引言
一、关于“个人信息”与“个人数据”
二、如何区分“个人信息”与“个人隐私”?
三、关于隐私权侵害行为
四、关于数据处理的合法性问题
五、关于个人信息处理的原则和条件
六、关于数据主体的权利
七、关于信息处理者的信息安全保障义务
结语
新中国首部《民法典》在万众的期待下问世,当中非常引人瞩目的当属独立成编的人格权编,其对我们每一个人在社会生产生活中产生了非常重要的影响。
从2019年12月提交第十三届全国人大常委会第十五次会议审议的草案,到最新公布的民法典全文,第四编人格权中第六章关于隐私权与个人信息的相关内容,经历诸多修改,可以看出立法者和学界对个人信息保护相关的议题都极为关注,同时某些条文也能明显看到海外其他国家和地区数据保护法律法规的影子。
本篇文章中,我们就民法典人格权编中的隐私权与个人信息部分,与GDPR中的异同点进行讨论。
无论是在《民法典》总则第五章中第111条【个人信息受法律保护】,还是在人格权编中第六章【隐私权与个人信息保护】的规定中,都是使用了”个人信息”的概念,同时明确了自然人的个人信息受法律保护。而在欧盟《通用数据保护条例》(简称GDPR),从其开篇的立法理由第(1)条就开始使用了“个人数据(personal data)”的概念,并明确了“保护自然人的基本权利与自由,特别是自然人享有的个人数据”。
民法典:“第一百一十一条 【个人信息受法律保护】自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息, 不得非法买卖、提供或者公开他人个人信息。”
GDPR (Recital 1):The protection of natural persons in relation to the processing of personal data is a fundamental right. Article 8(1) of the Charter of Fundamental Rights of the European Union (the ‘Charter’) and Article 16(1) of the Treaty on the Functioning of the European Union (TFEU) provide that everyone has the right to the protection of personal data concerning him or her.
然而,无论是从学术角度还是实务场景来看,“个人信息”与“个人数据”的概念还是不太一样的。从目前主流的说法来看,一般而言,“个人信息”主要是指:附着在电子信息系统载体的客观事物记录,是未经过处理的个人原始记录,其不能脱离电子信息系统载体而独立存在,例如消费者向电商卖家的电子信系统中提交的原始记录信息,如姓名、出生年月、购买记录等信息。而“个人数据”,则主要指个人信息经过加工处理后,形成的具有使用价值的内容,可以脱离电子信息载体而独立存在,如消费者在线上购物过程中留下的电子数据经过电商卖家的分析和系统的处理,形成的具有使用价值的消费者数据报告。
但是,当我们从我国民法典和《网络安全法》对“个人信息”的具体定义,以及GDPR中对“个人数据”的定义中看,不难发现,两大地区的立法机关均采取了“识别说”,二者概念趋同。
民法典:第一千零三十四条 【个人信息的定义】自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
GDPR Article 4:‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
通过观察民法典第1034条以及GDPR第4条的规定,我们发现了,我国民法典中的个人信息定义疑采取的是间接识别说,只要可以与其他信息结合后(当然单独识别也包括)可以指向特定的自然人,即为个人信息。而GDPR则进一步区分了”已识别”和“可识别”两种类型。
识别说目前是国际上的通说,识别说认为只有当某些信息可以识别出个人的身份时,才可以被认为属于个人信息。此时对其的收集、处理和使用,才可以进而被当作是损害个人隐私权利的表现。
但紧接着进行的个人信息举例,各国的意见就各不相同。举例采用识别说的著名数据保护条例GDPR来说,个人信息包括姓名、身份证件号码、定位数据、网络标识符等标识符,以及可以具体指向自然人身份的一个或更多因素(包括物质的、生理的、基因的、精神状态的、经济的、文化或社会的因素)。在欧盟,除姓名、身份证件号码、行踪信息也在GDPR中进行明确划定外,其他因素是否可以在欧洲经济区管辖下算作个人信息还需要进一步进行解释。相比较来看,虽然都是开放式列举,但明显相对于开放式定义的欧盟,我国民法典更为具象。
然而如果我们转而和采用列举式立法的国家和地区进行对比,比如美国麻省在个人信息保护法中把个人信息明确限定在“姓名、社会保障号码、驾驶证号码、金融账号、信用卡或借记卡号码”中。这就可能导致某些未被列明的数据类型如果和其他信息相结合也可以识别出自然人的身份,进而引起保护性不足的问题。
整体来看,我国对个人信息保护的定义更近似于新加坡、日本和澳大利亚的结合式间接立法的思路。
很多时候,都可能会出现把“个人信息”与“个人隐私”的概念混淆在一起的情况,特别是起草隐私政策时候或处理实务过程中,如果不能很好区分两者的异同,无形中会增加不少的合规成本。而在这次的民法典中,我们很高兴地看到,我国法律不但把隐私权确认为一项独立的人格权,对公民的隐私权益进行了直接保护,并且对隐私和个人信息两者进行了区分。
首先,在人格权编第六章的标题中,已经明确区分了“隐私权”和个人信息保护”是两个不同的概念。其次,对何为“隐私权”给出了明确的定义,清晰地界定了“隐私”是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。即个人信息中可能也含有不想为他人所知晓的隐私信息,例如性生活相关信息等。最后,进一步为实践中对“个人信息”与“隐私”关系如何适用法律处理提供了清晰的指引,明确了个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
民法典第一千零三十二条 【隐私权】自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、 公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。第一千零三十四条: …… 个人信息中的私密信息,适用有关隐私权的规定; 没有规定的,适用有关个人信息保护的规定。
如果我们把目光放在欧洲相关立法中,会发现,与我国隐私权与个人数据/信息同时存在的立法思路不同,“隐私和个人自由”在欧洲更多作为一个较为宽泛的说法出现在时间线早期的法律法规中,且并未给出一个明确的定义,如1995年指令中的“自然人的基本权利和自由,尤其是与数据处理有关的隐私权”。这种基本权利界定上的模糊性直到GDPR才第一次得到解决,从宽泛不清晰的“隐私权”替换为了“个人数据保护权”,为欧盟个人数据保护法体系奠定了清晰的权利基础。
伴随着互联网以及高科技的飞速发展,公民的个人生活越来越离不开网络化,公民对隐私权益保护的意识也不断提高。同时,关于通过网络及科技手段对公民隐私权侵害的案件也越来越多,包括但不限于如偷拍、偷录、偷窥、性骚扰,非法公布不如的位置信息等等情况。本次民法典也特别针对这些严重的社会问题,特别规定了关于隐私权侵害行为的内容。不仅明确了公民可以享有哪些隐私权利,并对侵害这些隐私权利的行为作出禁止性的规定,并随后根据具体情况规定了不同的保护方法。
民法典第一千零三十三条 【隐私权侵害行为】除法律另有规定或者权利人明确同 意外,任何组织或者个人不得实施下列行为: (一)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁; (二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间; (三)拍摄、窥视、窃听、公开他人的私密活动; (四)拍摄、窥视他人身体的私密部位; (五)处理他人的私密信息; (六)以其他方式侵害他人的隐私权。
我们发现在侵害行为的逐条列举中,最新的网传版民法典与去年12月相比,对部分的表述顺序和逻辑进行了调整,如把“电话”从放置于“短信”之后调整到之前、“拍摄”从“窥视”之后调整到之前、对他人私密活动的“录制”被删除、“公开他人私密活动”和“收集他人私密信息”被删除。其中一些可以说反映了民法典定稿的立法逻辑,如对数据“处理”进行扩张解释,把“收集”行为纳入其中作为“处理”的一部分,在条文中不再单独列明收集行为。另一些则是对行文顺序进行调整,表达了立法者在体系上的思路和对具体内容举例的重要性紧迫性排序。
关于数据处理合法性的问题,首先,在民法典中,将个人信息的“处理”定义为包括对信息的收集、存储、使用、加工、传输、提供、公开等行为。其次,规定了个人信息处理的免责事由,包括(1)用户同意;(2)维护公共利益或本人利益的需要;(3)合法公开信息(但以自然人明确拒绝或者处理该信息侵害其重大利益的除外)。同时,在例如民法典第1033条关于“隐私权侵犯行为”的规定中,对隐私内容进行“处理”的条件,在“同意”外增加了“法律另有规定”的例外情形。
可以看出,本次人格权编的规定在一定程度中补充了《网络安全法》中关于数据处理中除了“同意”之外的其他合法性基础的空白,用“法律、行政法规另有规定的除外”作为兜底性条款,平衡了其他数据处理的正当利益。
第一千零三十六条 【处理个人信息免责事由】 处理个人信息,有下列情形之一的,行为人不承担民事责任: (一)在该自然人或者其监护人同意的范围内合理实施的行为; (二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外; (三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
我国民法典通过“免责事由”的方式,实现了在保护了个人利益的同时也兼顾了数字经济发展中对于个人数据的合理使用需求。即在获得数据主体同意后,数据处理者在与数据主体约定的范围内处理个人信息,将享有民事责任豁免。对于已经公开的个人信息,在数据主体并不明确反对的情形下,数据处理者可以用于合法正当目的。
再来看看欧盟GDPR,它对“数据处理的合法性”进行了明确的列举,“同意”仅仅是作为进行数据处理的其中一种的条件,还有其他的进行数据处理的必要性条件。
GDPR中对除同意外的必要性条件进行了具化,包括:合同履行要求、法律责任(税务或社会安全责任等)、关系个人生命存亡的重大利益和公共利益。并且对这些具体条件的使用进行了约束和严格的利益权衡测试,需要满足三项合理利益要求:该使用目的的必要性+该目的须是为达成数据控制者或第三方合理的利益+该合理利益不能践踏数据主体的基本利益和自由。同时,GDPR还首创性地对数据控制者进行要求,包括需要指明并记录具体使用了哪一条必要性条件,并对涉及的数据主体进行通知。
GDPR Article 6 :1. Processing shall be lawful only if and to the extent that at least one of the following applies:(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;(c) processing is necessary for compliance with a legal obligation to which the controller is subject;(d) processing is necessary in order to protect the vital interests of the data subject or of another natural person;(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.Point (f) of the first subparagraph shall not apply to processing carried out by public authorities in the performance of their tasks.
本次的人格权编关于个人信息处理的原则,保留了《网络安全法》中关于个人信息保护的法律原则:合理,正当,必要原则,以及公示信息处理规则。
民法典:第一千零三十五条 【个人信息处理的原则和条件】处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件: (一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外; (二)公开处理信息的规则; (三)明示处理信息的目的、方式和范围; (四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、 使用、加工、传输、提供、公开等。
不难看出,民法典在此处的规定,是部分借鉴了国际立法的经验。GDPR中更为具体地规定成了七大个人数据处理的基本原则:(1)合法、公平和透明原则;(2)目的限制原则;(3)最小化处理原则;(4)准确性原则;(5)存储限制原则;(6)完整性和保密性原则;(7)责任原则。如“不得过度处理”中可以看到“最小化处理原则”的影子,“必要”则可以指向“目的限制原则”,“公开处理信息”指向“透明原则“等。值得一提的是,GDPR的信息处理原则大多是直接沿袭数据保护指令(95/46/EC Directive),仅仅问责制原则是GDPR首次引入,该原则给数据控制者加上了证明自身满足数据保护原则的合规要求的义务,我国目前虽为对数据处理者进行类似的“自证清白”强制要求,但这种进行合规记录复查企业内部合规情况的思路值得我国企业先一步实践起来。
GDPR Article 5 Principles relating to processing of personal data:1. Personal data shall be: (a) processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’); (b) collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’); (c) adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’); (d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’); (e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’); (f) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’). 2. The controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 (‘accountability’).
在人格权编中,承接了《网络安全法》的规定,赋予了数据主体各项权利,包括:数据主体可提出查阅、复制、提出异议、要求删除等请求的权利。
民法典:第一千零三十七条 【个人信息主体的权利】 自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。
与GDPR对应来看,与民法典中的“查阅”请求与GDPR中的访问权相似、“复制”请求与GDPR规定的携带权类似(但仍有较大区别)、“提出异议并要求更正”请求可以指向GDPR中的改正权。目前看来,对于修改删除的要求来说,需要建立在该信息确实有错误或违反法律法规合同的基础上,数据主体才可提出,且没有明确数据处理者是否有义务对该请求进行响应。
而GDPR的规定相对来说就更为具体,如在更正权的部分,不仅在信息有错误的情况下,如果数据主体认为该信息不完全,也可以提出改正要求来完善信息或记录下补充声明。再比如在可携带权部分,规定了数据控制者需要提供“有结构的、一般来说可使用的和机器可读的”形式的信息,且数据主体可以直接要求其传输该数据到另一个控制者。
且在与民法典类似的三个数据主体权利之外,GDPR还赋予了数据主体拒绝权(对于某些指定目的的数据处理适用)、被遗忘权和限制处理权,并对这些权利的适用条件和对数据控制者的响应设置了具体严格的要求,我国后续为民法典数据保护相关出台配套文件有可能借鉴该立法思路,值得关注。
GDPR Art. 15 GDPR Right of access by the data subject:The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information:……….GDPR Art. 16 GDPR Right to rectification: The data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Taking into account the purposes of the processing, the data subject shall have the right to have incomplete personal data completed, including by means of providing a supplementary statement.GDPR Art. 17 GDPR Right to erasure (‘right to be forgotten’):The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:……..GDPR Art. 18 GDPR Right to restriction of processing: 1. The data subject shall have the right to obtain from the controller restriction of processing where one of the following applies:……….GDPR Art. 20 GDPR Right to data portability: The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:……….GDPR Article 21 Right to object: The data subject shall have the right to object, on grounds relating to his or her particular situation, at any time to processing of personal data concerning him or her which is based on point (e) or (f) of Article 6(1), including profiling based on those provisions. The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims.
民法典中第1038条集中规定了信息处理者的安全保障义务, 包括(1)不主动提供、泄露、篡改其控制的个人信息(2)采取信息技术安全措施对安全事件进行预防(3)安全事件发生后的应对和报告。
民法典:第一千零三十八条 【信息处理者的信息安全保障义务】信息处理者不得泄 露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
在预防阶段,民法典尚未明确数据处理者具体的需要做哪些措施来达成预防泄露篡改丢失的目的,从实践的角度来看,此处GDPR在数据管理责任的部分给出了更具体的“问责制”措施建议,隐私影响评估、审计、政策复查、活动记录和如需要任命数据安全官都是降低安全风险、促进数据管理的可行性措施。同时数据处理者的上下游供应商也被提醒作为服务提供者对自己的信息安全措施和合同约定内容进行关注,以预防在安全事件发生后担责的风险。
在安全事件发生后,民法典也规定了补救措施和报告的义务。关于数据泄露的报告,民法典的强制义务指向对数据主体和主管部门对报告,GDPR出于上下游的考虑,多加了数据处理者对数据控制者的报告要求,且对报告时间进行了具体严格的规定(对数据控制者的报告不能有过度的延迟、对主管机构对报告不能超过72小时、对数据主体的报告不能有不适当的延迟)
同时,除了进行补救和报告相关主体,欧盟还对数据控制者的内部的数据泄露登记进行了要求,每次数据泄露的必须记录下其泄露的事实情况、其影响和进行的补救措施。主管机构可以访问这些记录来查看数据控制者是否对数据泄露作出了合理对应对。
GDPR Article 33 GDPR Notification of a personal data breach to the supervisory authority:In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. 2Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay. ………GDPR Article. 34 GDPR Communication of a personal data breach to the data subject: When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay………GDPR Article. 70 GDPR Tasks of the Board: The Board shall ensure the consistent application of this Regulation. 2To that end, the Board shall, on its own initiative or, where relevant, at the request of the Commission, in particular:……….
总体来说,民法典在关于个人信息权利的行使与保护借鉴了国际先进的立法经验,同时也结合我国的社会发展情况,体现了时代中国特色,在充分保障公民人格权利的同时,兼顾数字科技的发展与个人信息安全的保护。相比较于GDPR而言,GDPR在规则的制定上可能更为深入、具体一些,对于全面构建个人信息保护制度来说,这也给未来要颁布的《个人信息保护法》带来了更多的可期待性。(作者联系方式13650790754)
参考资料:
[1] 中华人民共和国《民法典》
[2] 中华人民共和国《网络安全法》
[3] 欧盟通用数据保护条例(GDPR)
[4] 王融:《民法典人格权编》问世,“健康变色码”能停止异化么?
[5] 王春晖:GDPR个人数据权与《网络安全法》个人信息权之比较
[6] DIRECTIVE 2002/58/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
[7] EU Directive (1995)
[8] Directive 95/46/EC
作者简介
王捷,垦丁律所海外业务负责人,资深出海法律顾问(广州),曾任职阿里巴巴大文娱集团,深耕海内外多条业务线,九年多的科技型公司实务经验与中外律所从业背景,能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。
联系方式:13650790754添加微信,请备注来意,如“业务合作”,“学术交流”等等,感谢!
魏彤,垦丁律所数据隐私合规顾问,前欧盟企业DPO
联系方式:15926458510
团队简介:垦丁海外律师团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。