其他
全面解析:民法典中的数据合规问题
The following article is from 天达共和法律观察 Author 数据合规团队
# 新则 · 实务 #
“随着互联网信息化的不断发展,以个人信息为核心内容的数据合规问题一直备受关注。2020年5月28日,十三届全国人大三次会议表决通过了《民法典》,其中,直接提及数据或个人信息的条款共11条,另有其他一些条款,在条文表述中虽未直接使用“数据”或“个人信息”,但也与此相关。
相关条款内容主要涉及——个人信息的定义和权利属性、个人信息处理、个人信息主体的权利内容和个人信息处理者的相应义务、个人信息侵权的救济、特定行业数据的专门规定等多个方面的基础性规定。本文试图通过对上述重点方面的解读和评析,帮助企业了解和梳理合规要点。”
文 | 天达共和律师事务所 数据合规团队
来源 | 天达共和法律观察
1. 个人信息的定义
《民法典》第1034条明确规定了个人信息的定义——
“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。
《民法典》关于个人信息的定义基本沿用了此前《网络安全法》中的定义,强调了“可识别性”这一个人信息判定的根本特征,这也与包括欧盟在内的世界主要国家和地区对于个人信息定义的基础保持了一致。
值得注意的是,在截至目前关于个人信息的主要法律性规范中,2017年6月生效的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)(“两高司法解释”)对于个人信息的定义,除了“识别身份信息”以外,还增加了“反映特定个人活动情况的信息”,与今年3月最新发布的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(“《个人信息安全规范》”)保持了同样的表述。
对此,一种观点认为此种表述属于对个人信息的扩展解释 [1];也有观点认为“反映特定自然人活动情况的各种信息”并不是对“能够单独或者与其他信息结合识别特定自然人身份”的补充而是突出强调,两者也并非并列关系而是包含关系 [2]。
我们倾向于后一种观点,即“反映特定自然人活动情况的各种信息”的基础仍是自然人的特定和可识别性,应当属于公民个人信息的一种类型。《民法典》相较《网络安全法》,在个人信息类型列举中追加了“电子邮箱”“健康信息”和“行踪信息”,其中的“行踪信息”恰恰符合“反映特定自然人活动情况”的判定范畴。
因此,我们认为,《民法典》的定义并不意味着与两高司法解释和《个人信息安全规范》的规定冲突,反映特定自然人活动情况的信息仍然应当包括在个人信息范围之内,《个人信息安全规范》附录A中关于个人信息从信息到个人和从个人到信息的判定途径,仍然具有实务指导意义。
2. 个人信息与隐私权的区别及其权利属性
《民法典》经过长时间的研究讨论、摸索和反复修改,最终落实将人格权编独立成篇,其目的在于明确人格权的权利内容,加强对民事主体人格权的保护。其中,隐私权被明确作为人格权的权利内容之一,且除了一般规定之外,还在人格权编中与个人信息作为单独章节进行了具体规定,凸显了立法者对于当今时代保护隐私权和个人信息的重视和强化的意图。
隐私权与个人信息既有联系又有区别。《民法典》强调了隐私的“私人生活安宁”“不愿为他人知晓”“私密空间、私密活动、私密信息”的特征。隐私信息中能够“单独或者与其他信息结合识别特定自然人”的信息属于个人信息,个人信息中符合“私密“特征的信息属于隐私信息。
根据《民法典》第1034条的规定,个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。即,属于隐私信息的,应当首先按照人格权的一般规定以及《民法典》第1032条、第1033条关于隐私权的保护和禁止性行为的规定进行保护。
此外,个人信息虽然与隐私权一起作为人格权编中的独立内容进行了规定,但是与隐私权被明确为人格权的权利内容之一不同,个人信息最终仍然没有被明确为“权利”,而与在《民法总则》中一样,被规定为应当依法受到保护的“权益”。其根本原因在于与隐私权等纯粹的私人权利不同,个人信息作为数据的一类,是当代生产要素之一,个人信息的立法需要兼顾对其合理保护和有效利用双重的法律价值;其立法结果也是与包括互联网企业在内相关行业的博弈结果。[3]
虽然,在《民法典》中个人信息没有明确为民事权利,但是并不妨碍其作为法定的权益内容,依法受到保护。而且《民法典》再次强调和进一步明确了个人信息权益的具体内容,个人依法追究侵犯个人信息责任的法律依据将更加明确。企业应当更加注意相关领域的合规操作。
1. 处理的合法基础和例外
我国关于个人信息处理的合法基础采取选择同意原则(“opt-in”),《民法典》对这一原则再次予以明确。
根据《民法典》第1035条,处理自然人个人信息的,应征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外。该条款重申了《网络安全法》《消费者权益保护法》和《个人信息安全规范》等相关法律法规、国家标准所确立的选择同意原则,同时针对处理个人信息的合法基础作出修正:
在符合法律、行政法规规定的前提下,可以不经个人信息主体同意而处理其个人信息,从而使《民法典》与其他有关法律法规更好地衔接,并为《个人信息保护法》等专门法律、法规的制定留下空间。
此外,《民法典》第999条还规定了为公共利益而进行新闻报道、舆论监督的特别例外情形。
根据《民法典》上述条款,我国法律目前认可的处理个人信息的合法基础包括:
1. 个人信息主体或其监护人同意; 2. 个人信息系自然人自行公开或已合法公开(但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外); 3. 为维护公共利益或该自然人合法权益,包括基于公共利益目的而进行新闻报道或舆论监督; 4. 法律、行政法规规定的其他合法基础(如,根据《电子商务法》规定,电子商务经营者应主管部门要求,依法向主管部门提供有关电子商务数据信息的,无需征得个人信息主体的同意)。
至于如何界定“合理”范围、如何判断是否符合公共利益,《民法典》留有空白,企业目前仍可参照包括《个人信息安全规范》在内的现行规范性文件的有关规定处理,更进一步的规定还有待正在制定中的《个人信息保护法》等配套法律法规予以细化。
此外,相较于《民法典》,2014年发布的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(“最高院司法解释”)和《个人信息安全规范》对处理个人信息的选择同意原则提供了更多例外情形,但多数并未被《民法典》采纳(考虑到《民法典》侧重于确立原则性的规范,因此上述具体的例外情形未在《民法典》中明示不表示其被立法机构否定,未来在《个人信息保护法》等专项法律、法规中可能会对此做出进一步明确规定)。
在企业的经营活动中,如确有理由处理个人信息而无法获得个人信息主体同意的,建议可以参照最高院司法解释、《个人信息安全规范》等列示的情形,在企业制定和公布的个人信息保护政策中进行详细的约定,以避免、减少违反《民法典》上述规定而引发的法律责任。
2. 处理的基本原则
《民法典》第1035条 [4] 规定了处理自然人个人信息的基本原则。
首先,在条款的适用范围方面,《民法典》第1035条明确将处理个人信息的基本原则适用于所有民事主体的个人信息处理活动且涵盖个人信息全生命周期;在规制的主体和场景方面,不再仅限于《网络安全法》所适用的网络运营者对个人信息的处理或《消费者权益保护法》所规定的经营者对消费者个人信息的处理活动。
尽管《个人信息安全规范》对于上述原则也作出相同或类似规定且其适用范围并不局限于特定主体或场景,但《个人信息安全规范》是不具有强制执行力的推荐性国家标准,因此其法律效力和执行力度有限。
由于此前立法上的空白,现实中造成对个人信息保护往往重线上、轻线下或偏重于特定场景的问题,在监管和执法领域易形成盲点。《民法典》首次以法律的形式确定了个人信息处理的基本原则全主体、全场景、数据全生命周期的适用范围,完善了个人信息保护的顶层立法。
其次,在该条款所确立原则的具体内容方面,该条款重申了《网络安全法》《消费者权益保护法》和《个人信息安全规范》等相关法律法规、国家标准所确立的个人信息处理原则,除上文已讨论的选择同意原则外,还包括合法、正当、必要原则,明示、披露原则等。
第三,由于《民法典》第1035条规定的是个人信息处理的基本原则,如何理解和具体适用上述原则还需要结合配套规定落实。包括《个人信息安全规范》和其他国家标准、规范性文件在内的相关配套文件,对于企业合规而言仍有重要参考价值。
以最小必要原则为例,该条特别强调了个人信息处理的最小必要原则,不仅规定处理个人信息“应当遵循合法、正当、必要原则”,还就必要原则从反面重申了“不得过度处理”(此内容在2019年12月28日发布的《民法典(草案征求意见稿)》中被专门补充到本条款中),与《网络安全法》《消费者权益保护法》及《个人信息安全规范》一脉相承,体现了立法者对于过度采集和滥用个人信息问题的关注。
今年新冠肺炎疫情期间,武汉某小区曾发生的在核酸检测中要求居民必须提交手持身份证照片的情况,明显违反了个人信息处理的最小必要原则。今后,公民遇到此类情形,可依据《民法典》向信息处理者提出维权主张。
对于企业而言,我们建议,无论涉及线上还是线下个人信息处理,都可以参考《网络安全实践指南 移动互联网应用业务功能个人信息收集必要性规范》对自身的个人信息收集和使用情况进行自查和改进,同时关注相关立法和国家标准(如《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》)的制定情况并适时完善内部的数据合规机制。
第四,明示、披露原则的落实仍是合规监管重点。明示、披露是授权同意原则得以保障的必要前提,否则个人信息主体在未充分理解信息处理规则的情况下作出的授权同意将存在瑕疵。
对于企业合规而言,存在线下处理个人信息场景的企业,如果此前尚未关注个人信息保护问题的话,现在也应考虑公开处理个人信息的规则和明示处理信息的目的、方式和范围的实现方式。例如,在商业楼宇设置摄像头收集来访者面部信息或要求留存访客身份证复印件的,应在进入大厦的显著位置或采取其他有效方式披露上述信息或提供获取上述信息的方式。
我们还注意到,在公安部公布的今年一季度App违法收集公民个人信息十大案例中,超过一半的违法App都存在未明示处理个人信息的目的、方式或范围的问题 [5],说明遵守明示、披露原则无论是从民事角度或是行政监管角度,仍是企业合规的重点。
1. 个人信息主体的权益
首先,根据前述个人信息的处理原则,个人信息主体的信息被处理的,享有被告知相应信息的权益,包括被告知处理信息的目的、方式、范围,有权知晓处理信息的规则。
尽管《民法典》第1035条并未直接规定个人信息主体享受什么权益,我们理解,本条规定虽不同于欧盟《通用数据保护条例》(“GDPR”)直接将获取处理个人信息相关的信息,如目的、方式、范围、收集个人信息的主体名称及联系人、个人信息的接收者(或接收者种类)等明确地规定为一条权利,但是其施加给个人信息处理者的义务实际上可推导出个人信息主体享有获知《民法典》第1035条个人信息处理原则条款中所提及的信息的权益。
其次,《民法典》第1037条明确规定个人信息主体享有以下权益:
① 获取个人信息的权益:个人信息主体可依法向信息处理者查阅或者复制其个人信息。《民法典》在《网络安全法》规定的个人信息主体所享有的更正权和删除权之外,新增个人信息主体获取个人信息的权益,在逻辑上完善了《网络安全法》第43条 [6] 规定的更正权和删除权。
逻辑上,个人信息主体通过查阅或复制信息处理者保存或处理其个人信息的具体信息,才有可能判断信息处理者处理的个人信息是否正确或完整,或者初步判断信息处理者是否有权、越权处理其个人信息。
对于个人信息主体可以获得的个人信息的范围、如何行使该等权益,《民法典》没有规定。个人信息主体除获得其被收集的个人信息外,是否可以请求信息处理者提供更多的信息(比如,个人信息是否提供给第三方,或者信息处理者是否从第三方处获得该等个人信息以及具体的信息来源),《个人信息安全规范》对此有所规定,但鉴于其并非强制性国家标准,《民法典》规定的查阅和复制权的内涵和外延应当如何确定,尚有待观察后续专门立法或司法实践。
在该权益的行使方面,我们理解,无论信息处理者基于何种依据处理个人信息主体的个人信息,其履行向个人信息主体提供个人信息的义务之前提是个人信息主体提供最小、必要的信息证明其身份,以便信息处理者核实其身份后向对应的个人信息主体提供查阅或复制。
此外,正如权利不可能是绝对且没有边界的,该等查阅、复制个人信息的权益不应当是不加限制的。比如,某些特定场景下,个人信息主体拟查询、复制的个人信息牵扯他人的个人信息,该等查询或复制可能侵害他人合法利益的,我们认为就该等查询、复制应予以限制或采取保护他人信息的措施。
② 更正权:个人信息主体发现信息处理者处理的其个人信息有错误的,有权提出异议并请求及时采取更正等必要措施。与《网络安全法》的规定相比,《民法典》就个人信息主体发现信息有错误的情形如何处理,并未仅仅限定于“更正”,而是“提出异议并请求及时采取更正等必要措施”,因此,理论上,个人信息主体可要求信息处理者采取其他必要措施,至于具体可采取哪些其他必要措施,我们理解,应结合具体的场景具体情况具体分析。
③ 删除权:个人信息主体发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。《民法典》仅就删除权做出了原则性规定,至于“删除”的具体内涵(请见下文第2点第③部分的讨论),删除权的行使有无限制性条件,哪些情形下信息处理者有权拒绝删除(如为准备或应对诉讼可能需要保存、处理个人信息除外),有待后续立法进一步明确。
2. 信息处理者的义务
与《个人信息安全规范》采用的“个人信息控制者”的概念不同,《民法典》对于对个人信息进行处理的主体并未使用“信息控制者”概念,而是提及“信息处理者”的概念,但并未进行定义。
《民法典》中的“个人信息的处理”是指个人信息的收集、存储、使用、加工、传输、提供、公开等活动。因此,《民法典》下的信息处理者指的是进行前述活动的主体。以下简要介绍信息处理者的义务:
① 一般性义务
根据《民法典》第111条,任何组织或者个人,包括信息处理者,除不得非法收集个人信息外,还不得非法使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。该条整体上确定了信息处理者的依法收集、使用、提供、公开个人信息的原则,也是信息处理者应坚守的一般性义务。
② 披露及依法处理义务
与《民法典》第1035条规定的信息处理原则相适应,信息处理者处理个人信息的,应履行公开处理信息的规则,明示处理信息的目的、方式和范围的义务,以取得同意为前提或依照法律法规规定可不取得个人信息主体同意的,依法处理个人信息。 ③ 对个人信息主体权益的配合义务
与《民法典》第1037条赋予个人信息主体的权益相对应,信息处理者对于个人信息主体行使其获取个人信息的权益、更正权和删除权时,负有配合义务。当然,这些配合义务的具体履行方式和详细要求,《民法典》未做出具体的规定。
就个人信息主体行使获取其个人信息的权益而言,《民法典》规定信息处理者有义务提供个人信息,但对于个人信息来源等信息是否予以提供,个人信息主体一定期限内多次要求提供是否收费等,目前我国法律法规层面尚无具体的细化规定。
相较而言,欧盟GDPR的规定较为具体,包括个人信息主体获取个人信息的权利不能对他人的权利和自由带来不利影响;在符合规定的情况下,控制者应个人信息主体的请求提供一份复制件,如果个人信息主体索取更多的复制件,则可以向个人信息主体收费。
不过,《个人信息安全规范》第8.1条就个人信息主体获取信息的权利对应的义务作出了宽泛的规定——个人信息控制者应向个人信息主体提供查询下列信息的方法:
a) 其所持有的关于该主体的个人信息或个人信息的类型;b) 上述个人信息的来源、所用于的目的;c) 已经获得上述个人信息的第三方身份或类型。
就个人信息主体的更正权而言,信息处理者根据具体情况有必要核实信息的,在个人信息主体提出异议后需要尽快核实信息,采取更正等必要措施。我们理解“等必要措施”的规定,赋予了信息处理者一定的裁量权,例如,在更正信息前可能有必要临时性地限制处理有关个人信息(如适用)。
因此,个人信息主体提出对信息处理者处理的个人信息进行更正或限制使用、暂时断开链接等措施的,作为信息处理者的企业有必要根据具体情况,判定限制个人信息的使用或暂时断开链接等措施是否为必要措施,并采取相应行动。
就个人信息主体依法行使删除权,信息处理者有配合义务。至于删除权的具体行使边界,或者说信息处理者的义务范围,《民法典》没有具体的规定。该等删除是否指参照《个人信息安全规范》第3.10条的规定在信息处理者实现日常业务功能所涉及的业务系统中删除并使其保持不可被检索、访问的状态即可,还是从信息处理者的系统或文件档案中完全移除、销毁,抑或是采取措施达到“删除”的同等效果(如欧盟GDPR下的可遗忘权),以及信息主体要求或通知其共享、提供信息的第三方删除,也无具体的规定。实践中,在缺乏具体的法律法规规范的情况下,《个人信息安全规范》仍具有实操上的借鉴意义。
④ 安全保障义务
信息处理者负有确保个人信息安全的义务,具体体现在《民法典》第1038条,这些规定与《网络安全法》的规定是一致的,但如前所述,作为统领民事领域的法律,《民法典》对于个人信息的保护不局限于通过网络、互联网信息技术手段处理个人信息的情形,还包括非网络环境下的个人信息处理。
因此,不论是否将个人信息储存在网络设备或网络环境中,信息处理者都应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。
1.《民法典》侵权责任编的适用
个人信息侵权责任未在《民法典》侵权责任编中独立成章规定,因此,个人信息侵权责任适用《民法典》侵权责任编第一章“一般规定”、第二章“损害赔偿”、第三章“责任主体的特殊规定”。
2. 侵权责任承担方式
《民法典》第179条规定了承担民事责任的主要方式,其中包括停止侵害、排除妨碍、消除危险、恢复原状、赔偿损失等。个人信息受到侵害时,侵权人依照《民法典》第179条的规定承担相应的责任,我们理解,根据个人信息的特点及具体应用场景,通常而言停止侵害、排除妨碍、恢复原状、赔偿损失为侵权人承担责任的主要方式。
关于损害赔偿,《民法典》侵权责任编第二章集中就损害赔偿进行了规定,其中第1182条规定了侵害他人人身权益造成财产损失时赔偿数额的确定方式,即按照被侵权人因此受到的损失或者侵权人因此获得的利益进行赔偿;损失以及因此获得的利益难以确定的,无法就赔偿数额协商一致的,由法院根据实际情况确定赔偿数额。
个人信息权益因侵权受到损害应获得多少损害赔偿,我们理解,需要法院在个案中确定。如果涉及精神损害方面的赔偿,通常该等被侵害的权益应纳入隐私权或名誉权范畴。
对于获取个人信息的权益以及更正权、删除权的履行,如果信息处理者拒绝作为的,个人信息主体可请求法院判令信息处理者采取实现个人信息主体权益的相应行动,采取予以提供、予以更正、删除等行为。
3. 侵权责任主体
第三章“责任主体的特殊规定”中,第1194条至第1197条对于利用网络服务实施侵害他人民事权益的责任主体予以规制。其中,根据第1194条,网络用户、网络服务提供者利用网络侵害他人民事权益的,应承担侵权责任,法律另有规定的从其规定。
第1195条规定了就网络用户利用网络实施的侵权行为,权利人可通知网络服务提供者采取删除、屏蔽、断开链接等措施,网络服务提供者应将该等通知转送网络用户,并根据构成侵权的初步证据和服务类型采取必要措施;未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。
第1197条规定,网络服务提供者知道或者应当知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。因此,企业作为网络服务提供者,对于网络用户侵犯个人信息的行为,在符合《民法典》规定的情形下可能构成侵权责任主体。
对于可发布信息的网络平台来说,网络平台宜筛查平台上用户发布个人信息的行为(比如,有无大量个人姓名、身份证、手机号或银行卡号发布),或者通过技术上的设置预先阻止发布个人信息,尤其是敏感个人信息,以避免侵权风险,当然这可能增加网络平台的管理或技术成本。
随着我国健康医疗大数据的应用发展以及社会信用体系的建设,特别是在此过程中暴露出来的个人信息侵权案件的激增,包含大量个人敏感信息的个人健康信息和信用信息成为个人信息保护领域的重点。《民法典》也特别提及了医疗机构和信用机构的个人信息保护问题。
1. 健康医疗
个人健康信息是医疗大数据分析的基础,也是涉及国家战略安全、群众生命安全的重要战略性资源。
除关于隐私权和个人信息保护的一般性规定外,《民法典》还在侵权责任编第六章“医疗损害责任”中从两个方面对个人信息保护作出额外规定:
第1225条规定了医疗机构对病历资料的管理义务以及患者对其病历资料的查询和复制权;
第1226条则对患者的隐私权加以保护。从个人信息保护角度来看,上述条款可视为《民法典》第1037条、1038条关于个人信息主体的权益和信息处理者义务的规定在特定场景下的具化。
与《侵权责任法》相比,《民法典》第1225条基本上延续了《侵权责任法》第61条[7] 的规定,而《民法典》第1226条较之《侵权责任法》第62条[8]则发生一些实质性变化,主要包括:
首先,将保护的对象从患者的隐私扩大到患者的隐私和个人信息,从而与《民法典》人格权编“隐私权和个人信息保护”一章保持一致;
其次,不再以“造成患者损害”作为医疗机构及其医务人员违反该条款而承担侵权责任的前提条件,在客观上将起到减轻患者举证责任、加强患者权益保护的正向效果。
继《民法典》于5月28日正式通过后,我国《基本医疗卫生与健康促进法》(“《卫健法》”)也于6月1日正式生效。《卫健法》规定:
“国家推进全民健康信息化,推动健康医疗大数据、人工智能等的应用发展,加快医疗卫生信息基础设施建设,制定健康医疗数据采集、存储、分析和应用的技术标准,运用信息技术促进优质医疗卫生资源的普及与共享”;
“国家保护公民个人健康信息,确保公民个人健康信息安全。任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息,不得非法买卖、提供或者公开公民个人健康信息”。
此外,医疗卫生人员违反该法,泄露公民个人健康信息的,将由县级以上人民政府卫生健康主管部门依照有关执业医师、护士管理和医疗纠纷预防处理等法律、行政法规的规定给予行政处罚,属于公立医院的,依法给予处分 [9]。上述规定反映了我国在大力发展新基建和健康医疗大数据的背景下,依旧强调对公民个人信息的保护,其内容与《民法典》《网络安全法》和《个人信息安全规范》等相关法律法规、国家标准一脉相承,体现了我国个人信息保护的立法原则。
实践中,健康医疗机构及其工作人员利用职务之便泄露患者个人健康信息的案件以及行业内相关机构遭受黑客攻击导致公民个人信息被盗取的案件与日俱增。对此,我们建议医疗机构、医药机构以及投资、布局健康医疗产业的相关机构加强自身数据安全能力,落实必要的管理和技术措施,防止个人信息泄露。
此外,随着健康医疗大数据产业链体系的发展,我们建议,健康医疗产业机构还应注重收集、存储、共享、转让等各环节中对个人健康信息的保护,并对上下游企业履行必要的审慎和监督义务,控制个人信息在产业链流转带来的合规风险。
2. 征信和公共信用管理
《民法典》通过两个条款对征信和公共信用管理领域的个人信息保护作出特别规定:
第1029条赋予民事主体对其信用评价的查询权和异议权;信用评价人有义务及时响应民事主体的请求并采取必要措施。
第1030条则明确民事主体与征信机构等信用信息处理者之间的关系适用《民法典》人格权编有关个人信息保护的规定和其他法律、行政法规的有关规定。
在《民法典》正式颁布之前,我国就征信机构对个人信息的处理和保护主要在《征信业管理条例》中加以规制。总体而言,《征信业管理条例》与《民法典》有关个人信息的规定原则上一致且互为补充。
一方面,《征信业管理条例》同样规定了信息主体对其信息的查询权和异议权,且二者在处理个人信息的合法基础和基本原则、信息安全保障等方面具有一致性。
另一方面,《征信业管理条例》根据征信行业特点,对信息采集渠道、禁止采集的信息、不良信息的保存期限、信息的保存和跨境传输等方面提出了更加具体明确的要求。
此外,在处理的合法性方面,《征信业管理条例》第13条规定了选择同意原则的两种例外情形:依照法律、行政法规规定公开的信息和企业的董事、监事、高级管理人员与其履行职务相关的信息 [10]。
《民法典》生效后,根据其第1030条,征信机构除依据《征信业管理条例》上述条款外,还可为维护公共利益或者信息主体合法权益的目的或在法律法规另有规定的情况下,不经信息主体同意而处理其个人信息。与对征信机构的影响相比,《民法典》第1029条和第1030条对于推动我国公共信用体系建设具有更加重要的意义。
2019年,国务院发布《国务院办公厅关于加快推进社会信用体系建设构建以信用为基础的新型监管机制的指导意见》,要求发展改革委牵头,各部门按职责分别负责,深入开展公共信用综合评价,全国信用信息共享平台依照有关规定将评价结果向社会公开。
国家发改委随后发布《国家发展改革委办公厅关于推送并应用市场主体公共信用综合评价结果的通知》,要求将公共信用综合评价结果纳入地方信用信息平台作为共享信息管理;鼓励地方政府探索开展地方公共信用综合评价和行业信用评价,并通过政府采购等方式引入第三方信用服务机构参与公共信用综合评价。
由于我国公共信用管理领域尚未制定顶层立法,而公共信用管理机构在履行其职能过程中不可避免地涉及对大量个人信息的处理活动,如何在加快社会信用体系建设和保护个人信息安全之间达到平衡,成为公共信用领域亟待解决的问题。
《民法典》第1029条和第1030条通过“信用评价人”“信用信息处理者”的概念,将公共信用管理机构纳入其适用对象范围内。尽管《民法典》关于个人信息的规定仍需通过配套法律法规进一步完善,但其对于解决上述问题仍提供了原则性的法律依据,对于各地政府建立健全公共信用管理机制具有重要指导意义。
《民法典》是中国法治建设的里程碑。《民法典》的发布和实施将对社会生活的各个领域产生深远影响。另一方面,《民法典》是关于民事权利义务的基础性法律,除了前述内容之外,对于数据、网络虚拟财产的保护,《民法典》沿袭《民法总则》,仅做了原则性的规定,为其他专项法律规定留下了充分的空间。
随着科技的发展,数据和个人信息的应用也会不断加强,明确数据权属、权利范围和实施方式、方法等具有重要的实践意义和法律价值,相关具体内容仍然有待于专门法律以及法规、规章等法律规范的制定加以落实和实施。2020年5月25日,全国人大常委会工作报告在下一步主要工作安排中指出,围绕国家安全和社会治理,将在2020年陆续制定个人信息保护法、数据安全法等法律法规 [11]。
此外,随着法律规定的明确,相关监管和执法也会在现有基础上进一步强化,并成为常态化。依法合规合理利用和保护数据以及个人信息是企业经营的必由之路。
注释:
[1] 王融《民法典人格权编》问世——“健康变色码”能停止异化么?
https://mp.weixin.qq.com/s/yJtEqqLnsuQOAk517Tlzxg
[2] 赵忠东 可识别性是公民个人信息的根本特性
https://www.spp.gov.cn/spp/llyj/201807/t20180708_384174.shtml
[3] 张惠兰 民法典人格权编出台记:廿年两度起草,独立之争持续多年
https://mp.weixin.qq.com/s/cZnZ-89J4YS5IvjUCvnXyw
[4] 《民法典》第1035条:处理自然人个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
[5] 公安部公布十大「违法收集公民个人信息」App案例
https://www.sohu.com/a/395936601_161062
[6] 《网络安全法》第43条:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
[7] 《侵权责任法》第61条:医疗机构及其医务人员应当按照规定填写并妥善保管住院志、医嘱单、检验报告、手术及麻醉记录、病理资料、护理记录、医疗费用等病历资料。
患者要求查阅、复制前款规定的病历资料的,医疗机构应当提供。
[8] 《侵权责任法》第62条:医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。
[9] 《卫健法》第49条、第92条、第102条。
[10] 《征信业管理条例》第13条:采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。
企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。
[11] 全国人大常委会工作报告:今年将突出公共卫生领域立法,制定个人信息保护法等
http://finance.ifeng.com/c/7wlsqs8vDb1
- End -
如果您对法律实务问题有所思考,对律师行业发展有所观察,欢迎来稿(微信号hcjae9)与我们分享,稿费高至1500元。
# 新则 · 线上课 #
『家族财富管理法律实务详解』现已上线,帮助你系统梳理财富管理业务全貌,掌握家族财富管理的要点与难点。3人拼团,可享限时优惠价~
扫描下图二维码,立即报名↓↓↓
# 推荐阅读 #