民法典时代的个人信息保护条文解读
2020年5月28日《中华人民共和国民法典》(以下简称“民法典”)正式表决通过,从《民法典》中可以窥见诸多时代特征,其中对于个人信息安全的相关规定便非常值得关注。近年来个人信息安全问题随着互联网的发展逐渐成为了话题中心,2017年实施的《网络安全法》、2018年实施并于2020年进行修订的《信息安全技术个人信息安全规范》以及正在草拟中的《个人信息保护法》都显示了个人信息安全的重要性。
2017年开始实施的《民法总则》仅在第111条中对自然人的个人信息受法律保护作出了原则性的规定,该条款在《民法典》的第111条继续延用。除此之外《民法典》在第四编人格权编的第六章独立设置了隐私权和个人信息保护,从个人信息的定义、个人信息处理的原则和条件以及个人信息处理者的安全保障义务等整体角度分别作出规定。本文现就《民法典》第四编第六章中关于个人信息保护的相关条文展开解读。
第一千零三十四条 【个人信息保护】
自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
在2018年公布的第一版《民法典》草案中,对于个人信息的定义与《网络安全法》第七十六条的定义完全相同,第三次审议稿中增设了电子邮箱、行踪信息。后正式发布的版本中又新增了健康信息,这或许与今年年初以来的疫情有关,突发公共卫生事件中的个人信息保护问题也逐渐受到了关注。
此外,该条第三款还着重强调了对个人信息中私密信息的分类。学术通说认为个人信息权利不等于隐私权,这一观点在《民法典》中得以强调。
《民法典》第一千零三十二条对“隐私”的概念进行了界定,结合本条第三款规定,可以明确一般的私密信息的特征。但“私密信息”并非固定的性质,在不同的具体应用场景中可能公民个人也会对“不愿为他人知晓”这一特点有不同认定,这或将在实践中产生一些争议。
另外,笔者关注到,2020年3月新公布的《个人信息安全规范》中将“隐私政策”统一更名为“个人信息保护政策”,也与《民法典》对隐私和个人信息的区分态度相一致。
第一千零三十五条 【个人信息处理的限制】
处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
本条是由《网络安全法》第四十一条演化而来,基本继承了前者的主要精神,尤其是个人信息处理活动中需遵循的合法、正当、必要原则。但是《网络安全法》针对的仅是网络运营者,而《民法典》的这一条款并未设置主语,结合数据应用的实践,有能力处理个人信息的主体已然非常广泛,单是“网络运营者”的概念早已不足以涵盖,《民法典》的这一变化是对规制对象的扩张。
二次审议稿在第一款中增设监护人的同意一项,强调了无民事行为能力人和限制民事行为能力人的个人信息安全。值得注意的是,在今年3月6日公布的《个人信息安全规范》中,对于收集未成年人信息需要获得监护人明示同意的年龄划分是以14周岁为界分点,而《民法典》仍然保持以18岁作为是否为未成年人的区分,其中对限制民事行为能力人和无民事行为能力人年龄以8周岁为界分点,结合这一基本规定,安全规范的标准也应当随之进行调整,尤其如是需要强调对未成年人中无民事行为能力人的保护,应当注意界分点的不同。同样在实践中个人信息处理的主体在处理合规问题中需着重注意该项细节问题。
同时将收集、使用改称为处理,并增设尾款“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”,将数据生命周期的全过程均纳入了规制范围。
第一千零三十六条 【处理个人信息的免责事由】
处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
本条所规定的是对个人信息处理者在处理个人信息过程中的免责,而免责的前提应当是其行为本身存在违法性。但本条款并未明确具体的适用场景,如不对此加以解释,则本条款的滥用可能会导致其他条款浮于形式,尤其是本条第三款所具有的兜底性质。
有观点认为,本条第一款的规定与第1035条第一款的规定有重复之嫌。笔者认为不然。首先如前文所述,本条系个人信息处理者违法行为的免责,而第1035条所列举的信息处理各条件则属于准入,二者存在本质上的区别;其次,从文义角度观察,本条在1035条第一款需取得自然人同意的基础上增设了两项要求:一是要在同意的范围内收集;二是这种收集行为必须是合理的。
第一千零三十七条 【个人信息决定权】
自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。
该条将个人信息重要的查询权、复制权、更正权及删除权集合成了“决定权”。目前国际上对于这几项个人信息权利均有规定,但在具体实施中略有不同。例如第二款的删除权,欧盟GDPR对于删除个人数据的基本原则规定是作为数据控制者的义务,而非个人的请求。我国此前通过《网络安全法》(43条)、《电子商务法》(24条)对公民要求删除自己信息的权利进行了明确。《民法典》在第一版审议稿中,一稿则罗列了四种可以要求删除的具体情形以及一个兜底条款。后二次审议稿参考了《网络安全法》第四十三条的规定,在符合违法、违约情形时,自然人均有权要求删除信息,由此便扩大了自然人个人信息被遗忘权的行使范围,但同时也使这一条款的规定更为抽象、宽泛,但对比欧盟GDPR以个人数据“对于实现其被收集或处理的相关目的不再必要”为删除前提还是更为保守,兼顾了我国数字经济快速发展的国情。
第一千零三十八条 【个人信息安全】
信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
本条同《网络安全法》第四十二条内容基本一致,几次审议稿分别就行文中的某些词眼进行了调整,例如毁损一词被更替为篡改,更加符合个人信息的数据本质;在发生个人信息安全事件时,《网络安全法》要求网络运营者应当立即采取补救措施,而《民法典》则要求及时采取,容许采取补救措施前合理的反应时间及协调时间,一定程度上减轻了信息处理者的报送负担。对比欧盟GDPR对数据泄露事件的报送要求,GDPR对于报送时间严格限定为72小时内,对实践执行有了明确的标准。
需要特别指出的是,在发生个人信息安全事件时,信息处理者负有两项义务:1、按照规定告知自然人;2、向有关主管部门报告。就目前的个人信息安全法律体系来看,告知自然人所依据的规定应当参照《个人信息安全规范》的相关规定,而报告主管部门则需要分别根据《个人信息安全规范》和《国家网络安全事件应急预案》进行操作。
第一千零三十九条 【国家机关及其工作人员对个人信息的保密义务】
国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。
这一条款系二次审议稿新增,后在正式发布的版本中增加了适用主体,即承担行政职能的法定机构及其工作人员。但本条款并未说明国家机关、承担行政职能的法定机构及其工作人员违反本条规定应当承担的相应责任。国家机关及其工作人员的保密责任多在公法或是内部监督管理规定中加以规制,而《民法典》则属于典型的私法。因此本条内容究竟应当解释为对接《国家赔偿法》,还是将民事责任制度引入国家责任之中,并在侵害隐私权和个人信息保护时承认责任的竞合,都亟待立法者的进一步说明。
除第四编第六章中对个人信息的规定外,《民法典》中还有其他零星的相关条文散布在各章节,例如前文已提及的第一百一十一条;第九百九十九条【合理使用他人人格要素】中有提及对个人信息的合理使用;第一千零三十条【信用权准用个人信息保护的规定】规定了民事主体与征信机构等信用信息处理者之间的关系,适用有关个人信息保护的规定和其他法律、行政法规的有关规定。侵权责任编第一千二百二十六条规定了在医疗领域对患者隐私和个人信息保护,数据技术无疑已经应用到了社会生活的诸多方面,个人信息的保护也应当是需要既有概括性的保护也有针对特殊行业、场景及应用的专有规定,此次《民法典》对医疗领域患者个人信息的着重强调或许与本年度的新冠疫情不无关联。
总体来看《民法典》中有关个人信息保护的规定多是在《网络安全法》的基础上加以完善,且多为原则性的规定,较为抽象,因而更为具体的规定、实践中合规制度的制定仍可参照《个人信息安全规范》,而未来出台的《个人信息保护法》等相关法律法规或国家标准将构建个人信息保护的权利框架。个人信息保护方面的立法尚未成熟,仍需经过多轮的法律探索和实践方能稳定,这或许是《民法典》仅就原则性问题进行规定的原因之一。同时《民法典》的这种宽泛性规定也为相关配套法规的后续制定确定了立法方向,预留了一定空间。
(作者:许力先、赖力、盛佳宇,六和律师事务所)
【责任编辑 刘耀堂】