解读《民法典》隐私权和个人信息保护(下)
文章来源 | 春晖大地
本文长约6900字,阅读需时23分钟
《解读民法典“隐私权和个人信息保护”》是南京邮电大学王春晖教授和浙江大学程乐教授就我国首部以法典命名的《中华人民共和国民法典》的人格权编第六章“隐私权和人信息保护”各条款的立法目的和意义进行的深度解读。该文发表在《南京邮电大学学报》(社会科学版)2020年03期。
本文将分两部分刊发,第一部分(上)重点解析:自然人的隐私权、对侵害自然人隐私权行为的规制、个人信息定义的释义、处理个人信息的原则和条件;第二部分(下)重点解析:处理个人信息免责事由、个人信息主体的更正权与删除权、信息处理者的信息安全保障义务、国家机关以及承担行政职能的法定机构及其工作人员的保密义务。
该文基金项目:国家社科基金重大专项“建立健全我国网络综合治理体系研究”(20ZDA062)
人格权是民事主体所固有而由《中华人民共和国民法典》(以下简称《民法典》) 直接赋予民事主体所享有的各种人身权利,根据《民法典》第九百九十条“人格权定义”表述:“人格权是民事主体享有的生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等权利。”
除上述规定外,自然人享有的基于人身自由、人格尊严而产生的其他人格权益都属于人格权的范畴。可见,人格权属于人身权利,而非财产权利。首先,人格权是一种支配权,具有排他的效力;其次,人格权是一种绝对权,任何人都不得妨碍其行使;再次,人格权是一种专属权,即他人不得代为行使。
《民法典》强化了对公民人格权的保护,使“人格权”独立成编,恪守了“以民为本、立法为民”的理念,以人格尊严的至高无上为其根本出发点[1],加大了对公民隐私权的保护力度,特别是构筑了个人信息保护的防火墙。以下就作者参与《民法典·人格权编(草案)》第六章立法专家咨询活动的实践与体会,特别就《民法典》第四编第六章“隐私权和个人信息保护”各条款,做如下分析和解读。
✍相关法条
《民法典》第一千零三十六条【处理个人信息免责事由】处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
解读:《民法典》第一千零三十六条设定了三种处理个人信息可以不承担民事责任的情形,其中第三种情形是“为维护公共利益或者该自然人合法权益,合理实施的其他行为”。整体上看,《民法典》设定的处理个人信息的免责事由是附条件的,且受到一定程度的限制。
1.在该自然人或者其监护人同意的范围内合理实施的行为
该款“同意”的主体,既包括成年的自然人,又包括自然人中未成年人的监护人或患有精神病成年人的监护人,处理的个人信息仅限于自然人或其监护人同意的范围,不得过度处理。
2.合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外
该款有两层含义:首先,行为人可以处理自然人自行公开的或者其他已经合法公开的信息,比如自然人向他人公开自己的姓名、电话号码、电子邮箱,但是处理这些信息时应当符合“合法、正当、必要”的原则;其次,即使是自然人自行公开的或者其他已经合法公开的信息,但是自然人明确拒绝或者处理该信息侵害其重大利益的,行为人也不得处理。
3.为维护公共利益或者该自然人合法权益,合理实施的其他行为。
“公共利益”是与“私人利益”相对的一种利益,《民法典》统一采用“公共利益”的表述较为妥当。网络时代,应当最大限度地防止利用“公共利益”免责事由,对自然人“隐私信息”的侵害。《民法典》关于“为了公共利益”的目的处理个人信息免责的问题,与“维护该自然人合法权益”之间设定了一个选择适用的情形,同时还设定了即便是“为维护公共利益或者该自然人合法权益”,也必须以合理的方式实施对个人信息处理才可以免责。
在2020年的新冠病毒疫情期间,国家为了疫情防控的需要,允许医疗防控机构进行了范围最广和人数最多的个人信息处理。在人群的选择上,严格地限定为确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,这也是防止形成对特定地域人群的事实上的歧视[5]。
解读:我国《网络安全法》最早以法律形式确认了自然人对其个人信息的“删除权”与“更正权”。《网络安全法》规定的公民对其信息的删除权主要有两种情形,一是当事人发现网络运营商违反法律、行政法规或违反双方的约定收集和使用其信息;二是网络运营商所收集的个人信息的特定目的已经完成或双方约定的期限已经届满。在这两种情形下,当事人均有权要求运营商删除和停止使用其个人信息。公民对其错误信息的更正权是指,当事人发现网络运营商收集、存储的其个人信息有错误或者有缺失的,有权要求其补充或更正。[6]
《民法典》为个人信息主体设置了三项权利:
一是可以依法向信息处理者查阅或者复制其个人信息。这里的“信息处理者”是指“收集、存储、使用、加工、传输、提供、公开”个人信息的网络服务提供者,个人信息主体依法享有对其个人信息的查阅权和复制权。
二是发现其个人信息有错误的,有权提出异议并请求及时更正。一般情况下,个人信息主体很难发现网络运营者控制和处理其个人信息存在错误,只有依法通过查询或复制其个人信息,方能发现是否存在错误。《民法典》的这一规定弥补了《网络安全法》个人信息主体权利行使不充分的缺陷。
三是发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求及时删除。《民法典》为个人信息主体设置的“删除权”基于两种法定情形:一种是信息处理者违反法律、行政法规的规定处理其个人信息;另一种是信息处理者违反与个人信息主体的约定。只要出现以上两种情形之一,个人信息主体便有权要求信息处理者及时删除。这里特别强调了“及时”,即“毫不迟延地”(without delay),笔者曾建议该款增加一款信息处理者的义务,即“信息控制者在收到自然人上述更正或删除其信息的请求后,应当立即采取措施在48小时内予以更正或者删除。”
考虑到网络服务提供者很难发现其控制和处理的个人信息有误,以及“删除”其违反法律、行政法规的规定或者双方约定处理的个人信息也有一定的难度,《民法典》与《网络安全法》中个人信息主体的更正权与删除权制度基本上采用了“避风港”规则,即在网络服务提供者被通知前提下的 “更正”或“删除”,这是《网络安全法》和《民法典》对网络运营者或信息(数据)服务提供者的一种宽容性规定。[4]
✍相关法条
《民法典》第一千零三十八条【信息处理者的信息安全保障义务】信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
解读:《网络安全法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。《民法典》第一千零三十八条基本上沿用了《网络安全法》第四十二条的规定,但是《民法典》在信息“收集”的基础上,更强调对“储存”信息的处理。信息和数据存储服务是网络运营者的一项重要业务,但对其进行处理必须是基于对新信息和数据实际控制下的处理。
数字经济时代,个人信息(数据)已经成为最宝贵的个人数据资产,不仅是各网络运营者和商业竞争者争夺的数据“黄金”和“石油”,也成为众多违法犯罪活动侵犯的主要领域和目标。仅2019年,公安部门就侦破侵犯公民个人信息类案件2868起,抓获犯罪嫌疑人7647名[7]。
当前,网络运营者泄露或者篡改其收集、存储的个人信息的事件触目惊心,特别是内部人员泄露个人信息的事件极为严重。泄露源头从传统的银行、电信、医疗等部门向教育、快递、电商等各行各业迅速蔓延,涉及社会公众工作、生活的方方面面,已经形成了一条包括需求、盗取、交易等众多环节的完整黑色链条,社会危害极其严重。为此,《民法典》和《网络安全法》对网络运营者或信息处理者的信息安全保障义务提出四项要求:
首先,信息处理者不得泄露或者篡改其收集、存储的个人信息。信息处理者依法、依约收集和存储的个人信息,应当属于信息处理者与个人信息主体之间的托管法律关系,因此未经个人信息主体或数据受托方的同意和许可,严禁信息处理者擅自泄露或者篡改其收集和存储的个人信息。
其次,未经自然人同意不得向他人非法提供其个人信息,但经过加工无法识别特定个人且不能复原的除外。信息处理者对于其依法、依约收集和存储的个人信息,在未经个人信息主体同意的情况下,严禁向任何第三人提供,这是一条不可触碰的红线。当然,通过个人信息脱敏等技术手段对个人信息进行去标识化处理实现的无法识别特定个人且不能复原的信息,不在限制的范围内。
第三,信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。这里的“采取技术措施和其他必要措施”主要包括两个方面:一是采取个人信息防泄漏技术,主要是以加密技术为核心,如数据库加密、数据库防火墙、数据脱敏等;二是“其他必要措施”,主要是指防止信息泄露、篡改、丢失的各项制度和机制,如个人信息与数据的合规管理制度、个人信息与数据的安全审计机制、个人信息与数据的分类及个人重要信息与数据的备份等。
第四,发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。信息泄露、篡改、丢失事件,有些是网络运营者主观上的因素,也有一些是黑客利用网络技术,非法入侵网络运营者的数据系统窃取信息、篡改数据,造成数据毁损和丢失。
如果发生个人信息泄露、篡改、丢失的情形,网络运营者应当立即采取补救措施,特别是对造成或者可能造成严重后果的“泄露、篡改、丢失”个人信息的事件,应当立即向许可或者备案的主管机构报告,及时配合相关部门进行调查和处理。
当前,我国正在加大对公民个人信息保护的力度,尤其对泄露用户个人信息的行为予以重拳打击。对那些拒不履行信息网络安全管理义务的,达到一定的程度,将构成“拒不履行公民个人信息安全管理义务罪”。2016年出台的《刑法修正案(九)》专门设定了一个新的罪名“拒不履行信息网络安全管理义务罪”,增加规定,网络服务提供者不履行网络安全管理义务,经监管部门通知采取改正措施而拒绝执行,致使违法信息大量传播的,致使用户信息泄露,造成严重后果的,者致使刑事犯罪证据灭失的,严重妨害司法机关追究犯罪的,追究刑事责任。
✍相关法条
《民法典》第一千零三十九条【国家机关、承担行政职能的法定机构及其工作人员的保密义务】国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。
解读:根据《国务院关于在线政务服务的若干规定》(以下简称:《规定》),我国正在加快建设全国一体化在线政务服务平台,推进各地区、各部门政务服务平台规范化、标准化、集约化建设和互联互通,推动实现政务服务事项全国标准统一、全流程网上办理,这将涉及大量公民个人信息和企业商业秘密的保护中。因此,控制“内鬼”的安全因素是关键,有人做过统计,大约85%的网络安全事件来自内部人的疏忽、大意和故意。〔8〕为此,《规定》第十四条要求,政务服务机构及其工作人员泄露、出售或者非法向他人提供履行职责过程中知悉的个人信息、隐私和商业秘密,或者不依法履行职责,玩忽职守、滥用职权、徇私舞弊的,依法追究法律责任。
事实上,履行网络监管职能的机构,除了国家机关及其工作人员外,还应当包括国家机关外的其他具有行政监管职能的机构,这些机构主要是受国家监管机关委托并承担行政监管职能的法定机构。国家机关及其工作人员,以及受国家机关委托从事网络监管职能的机构及其工作人员,在履行职务过程中会知晓大量的个人信息,特别是个人的隐私信息,对这些信息必须严格保密,严禁泄露或者向他人非法提供。
鉴于以上情况,2020年两会期间,我们对《民法典(草案)》第一千零三十九条提出了完善意见,并发文提出:“国家机关及其工作人员以及国家机关的授权组织及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”[9]《民法典(草案)》在2020年两会期间作了四十多处实质性修改,其中第一千零三十九条也做出了相应的增补和完善,主要是除国家机及其工作人员,增加了“承担行政职能的法定机构及其工作人员” 。
✍相关法条
《民法典》总则第一百一十条对“民事主体的人格权”界定为:“自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。”
《民法典》第九百九十条将“人格权”定义为:“人格权是民事主体享有的生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等权利。
除前款规定的人格权外,自然人享有基于人身自由、人格尊严产生的其他人格权益。”
显然,《民法典》上述有关“人格权”的定义和范围并没有涉及“个人信息”的内容,但是“人格权编”专门将“隐私权和个人信息保护”列为一章(第六章),并将“个人信息”定义为:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”
事实上,个人信息权益具有人格权和财产权的双重属性,但只有个人信息中的隐私信息权益才属于人格权的范畴,因此《民法典》“人格权编”中有关“个人信息保护”的要义应当定位于对公民隐私(私密)信息的保护。为此,《民法典》在第一千零三十四条第二款明确规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
《民法典》毕竟不属于个人信息保护的专门法律,因此涉及个人非隐私和非私密信息的请求权,救济和保护机制以及流通交易,应当由个人信息保护的特别法《个人信息保护法》做出规定。
◎点击上集:《解读《民法典》隐私权和个人信息保护(上)》
◎参考文献:
[1]王利明. 论人格权独立成编的理由[J].法学评论,2017(6):1-11
[2]王春晖教授评:腾讯拒绝法院调取个人微信聊天记录[EB/OL]. [2017-06-15]. https://m.sohu.com/a/149130213_535672.
[3]酒店客人洗澡“被直播” 软件日志指证偷窥者[EB/OL].[2017-08-30].https://ln.qq.com/a/20170830/022718.htm
[4]王春晖.《民法典人格权编(草案)》有关“个人信息保护”的修改建议[J].南京邮电大学学报(社会科学版),2019(5):23-24.
[5]中央网信办.关于做好个人信息保护利用大数据支撑联防联控工作的通知 [EB/OL].[2020-02-09].http://www.cac.gov.cn/2020-02/09/c_1582791585580220.htm,
[6]王春晖. 维护网络空间安全:中国网络安全法解读 [M].北京.电子工业出版社.2018.
[7]公安部.通报“净网2019”专项行动典型案例[EB/OL].[2019-11-19].http://www.cac.gov.cn/2019-11/14/c_1575264987750271.htm.
[8]王春晖. 解读《国务院关于在线政务服务的若干规定》
[EB/OL].[2019-05-02].http://www.legaldaily.com.cn/index_article/content/2019-05/02/content_7848235.htm?from=timeline
[9]王春晖,程乐. 完善《民法典(草案)》人格权编“隐私权和人信息保护”的若干建议[EB/OL].[2020-05-21].http://www.cnii.com.cn/ztzl/2020nqglh/202005/t20200521_179306.htm