民法典视野下的个人信息保护
前言:2020年5月28日,《中华人民共和国民法典》在第十三届全国人民代表大会第三次会议上正式通过,将于2021年1月1日正式实施。《民法典》顺应时代潮流,对个人信息保护、网络侵权、电子合同等问题进行制度安排,充分应对数字经济挑战,为网络时代下公民权利的自由行使和新兴技术的有序发展保驾护航。
值此《民法典》颁布之际,大数据法律研究团队推出“《民法典》中的网络安全”系列文章,探讨《民法典》如何在网络信息技术迅猛发展的时代背景下公民权利需求和法律关系规制需要。
以下为该系列的第一篇文章:《〈民法典〉视野下的个人信息保护》
近年来,个人信息的非法收集、滥用和泄露等问题日益受到关注,个人信息的保护和利用成为法学研究和实践的热点话题。《民法典》在人格权编设专章规定“隐私权和个人信息保护”,彰显了立法者强化个人信息保护的立场。
《民法典》虽对“个人信息保护”作出规定,但未明确使用“个人信息权”一词,这使得法律界对“信息主体对个人信息享有的究竟是人格权抑或仅是受保护的民事利益”产生了激烈的讨论。我国人格权法的主流观点认为人格权应采人格权法定主义[1],本团队倾向于支持《民法典》并未创设“个人信息权”这一具体人格权的观点。然而,关于这一点的讨论,更多的是一种理论上的争鸣,对个人信息的具体保护而言影响不大,因为个人信息具有保护的价值和意义是毋庸置疑的。[2]单一的个人信息的经济价值微弱,只有大量个人信息通过技术手段汇聚融合才可能迸发出显著的商业价值或公共管理价值,因此,对于自然人而言,个人信息承载的主要是人格利益,《民法典》将个人信息保护纳入人格权编是对《宪法》保护公民人格尊严的基本权利的贯彻落实。
一、个人信息保护与其他人格权保护的区别与联系
“个人信息与隐私并不等同”已逐渐成为共识,《民法典》亦明确了个人信息和隐私的区分保护。然而,在实践中,个人信息保护仍常常与隐私权保护混淆。比如著名的“Cookie第一案”——朱烨诉北京百度网讯科技有限公司隐私权纠纷【(2013)鼓民初字第3031号、(2014)宁民终字第5028号】(以下简称为“cookie案”),原告即认为被告利用cookie技术收集原告信息并提供个性化推荐服务的行为侵犯其隐私权。那么,个人信息保护与隐私权保护的边界何在?
在cookie案中,二审法院认为,被告的个性化推荐利用大数据分析提高了推荐服务的精准性,推荐服务只发生在服务器与特定浏览器之间,没有对外公开宣扬原告的网络活动轨迹及上网偏好,也没有强制原告必须接受个性化推荐服务,而是提供了相应的退出机制,没有对原告的生活安宁产生实质性损害,因此并不侵犯隐私权。个人信息保护与隐私权保护的区别,在此可窥见一斑。
隐私权保护的目的在于保护自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息不被刺探、侵扰、泄露或公开,关键在于“私密”。而个人信息保护的目的在于防止因个人信息被非法处理而导致其既有人身、财产权益甚至人格尊严、个人自由受到损害,比如因用户画像而遭受歧视性对待或被精准营销剥夺决策自由,关键在于“自决”,《民法典》第一千零三十五条将“同意”作为个人信息处理的合法性基础之一即体现了信息主体对其个人信息的自决利益。
不容否认的是,个人信息与隐私间存在着千丝万缕的联系。根据《民法典》第一千零三十二条,隐私权客体包括私密空间、私密活动与私密信息,私密信息是个人信息与隐私权客体的交叉部分。然而,大数据技术对非私密信息的处理亦可能会发掘出信息主体的私密信息,非私密信息也可能存在着隐私保护价值。在cookie案中,被告确实可通过处理个人信息了解到原告曾搜索“减肥”“丰胸”“人工流产”等关键词这一原告不希望被他人所知的事实。然而在该案场景中,个人信息一直在非公开状态中进行处理,信息主体并未因私密信息的公开或泄露而遭受实际的经济损失或精神伤害,因此并不构成隐私权的侵犯。但若原告是因用户画像而遭受歧视待遇,则可能因个人信息权益侵害获得法院支持。
可见,同一个人信息,亦会因为处理方式、处理目的等因素的不同而适用不同的保护路径。当个人信息的处理更多地涉及对“私密”的侵犯时,往往适用隐私权保护路径,而当个人信息的处理损害信息主体的自决利益时,则适用个人信息保护路径更为合适。这一方式亦可适用于个人信息保护与姓名权、肖像权保护区分之中。
姓名与肖像是典型的个人信息,然而《民法典》在人格权编的第三章和第四章对姓名权和肖像权进行了专门规定。那么,当信息主体的姓名或肖像被非法处理时,应适用姓名权/肖像权保护路径抑或个人信息保护路径?该情况无法一言以蔽之,必须将个人信息处理活动置于具体场景之中进行考量。比如信息处理者未经同意使用了信息主体的姓名,需考虑信息处理者是盗用、假冒了信息主体的姓名,还是为了与其他信息相联系而识别出特定主体,据此选择具体的保护路径。
因此,要判断应以何种路径保护个人信息,需在具体场景中判断是否存在与个人信息有关的其他法定人身或财产权利,比如姓名权或隐私权,若是《民法典》规定的具体权利遭受侵害,则按照既有的权利保护路径进行救济;若不存在《民法典》已规定的具体权利,但涉嫌违反个人信息保护相关规则,则从个人信息的“自决”角度提供保护。[3]
二、《民法典》保护个人信息的意义与不足
(一)《民法典》保护个人信息的意义
《民法典》在人格权编对个人信息保护作出具体规定,无疑具有重要意义。虽然处理个人信息所能创造的经济价值越来越受到关注,但个人信息保护的最终目的始终都是维护信息主体的合法权益。《民法典》第一千零三十五条、第一千零三十七条及第一千零三十八条在民事基本法的层面明确信息主体的知情同意权、查阅复制权、更正权及删除权,一方面,此举提高了个人信息的保护水平;另一方面,《民法典》为信息主体在因个人信息被非法处理而遭受损害时寻求民事救济提供了法律依据。目前,多数个人信息侵害案件以名誉权、姓名权或者隐私权等其他人格权侵害作为案由,在《民法典》明确个人信息保护后,非法处理个人信息者将承担侵权责任。这使得个人信息侵权能够成为民事诉讼的独立案由,信息主体寻求个人信息侵权的民事救济将有法可依。
此外,《民法典》第一千零三十六条在“自然人或者其监护人同意”上增加了“合理处理该自然人自行公开的或者其他已经合法公开的信息”与“为维护公共利益或者该自然人合法权益”两种个人信息处理的合法性基础,首次在法律层面上对未经同意合理处理个人信息的情形作出了规定,一定程度上放宽了个人信息的处理限制,有利于平衡个人信息保护和利用间的利益冲突。
(二)《民法典》保护个人信息的不足
我们必须认识到,个人信息保护仅仅依靠《民法典》是远远不够的。虽然《民法典》在第一千零三十六条增加了个人信息处理的合法性基础,但基本上还是延续了“告知-同意”的传统保护路径。然而,“告知-同意”路径已经饱受非议。目前公众对信息安全保障的不满,对个人信息保护的呼吁,实则源于“告知-同意”模式的形同虚设。[4]一方面,由于信息处理活动日益复杂,缺乏专业知识和技术能力的信息主体无法判断信息处理风险,处于弱势地位的信息主体通常只能为了接受服务而选择同意,无法真正保证其个人信息不被非法处理,导致“告知-同意”模式流于形式;另一方面,将“告知-同意”模式无差别地适用于所有信息处理场景将不合理地增加信息处理者的成本,影响个人信息的正常流动与处理,最终损害社会公共利益。
为了协调个人信息保护和利用间的利益冲突,GDPR第六条规定了六种个人信息处理合法性基础,其第九条还规定了对于特殊类型个人信息处理的十项合法性基础。《民法典》在“告知同意”的基础上增加了两种合法性基础,但仍未明确信息处理者出于自身合法目的在风险可控范围内未经同意处理个人信息的权利,难以满足日益增长的信息处理需求。我国《信息安全技术个人信息安全规范》(GB/T 35273-2020)(以下简称“《个人信息安全规范》”)5.6规定了十二项征得授权同意的例外情形,其中“维护所提供产品或服务的安全稳定运行所必需”“根据个人信息主体要求签订和履行合同所必需的”等例外情形的规定体现了立法者已经意识到基于信息处理者合法利益进行个人信息处理的正当性和必要性。但《个人信息安全规范》作为推荐性国家标准,“将其列举的例外情形作为个人信息处理行为的合法性基础的合法性有所欠缺[5]”。在后续《个人信息保护法》的制定中,可考虑信息处理者利益在具体场景中优先于信息主体利益时,在法律上承认不经信息主体同意进行个人信息处理行为的正当性,即增加信息处理者基于合法目的在风险可控范围内未经同意处理个人信息的合法性基础。
结语
信息主体利益、信息处理者利益和公共利益在个人信息保护上互相交织,构建我国个人信息保护制度,需在保障信息主体利益的基础上,最大限度地发挥出信息处理的潜在价值。《民法典》将个人信息保护纳入人格权编,肯定了个人信息的保护价值,提高了信息主体的保护水平,为《个人信息保护法》的制定留下衔接空间。然而,《民法典》更侧重于赋权与事后救济,难以全面防范事前侵害风险,实现信息主体利益、信息处理者利益和公共利益的三方平衡。《民法典》需与后续制定的《个人信息保护法》《数据安全法》等法律有效协同,准确定位个人信息及相关利益,协调民法、行政法及刑法手段,方能更全面保护个人信息。
【参考资料】
[1]程啸:《民法典编纂视野下的个人信息保护》,载《社会科学文摘》2019年第11期。
[2]张新宝:《〈民法总则〉个人信息保护条文研究》,载《中外法学》2019年第4期。
[3][4]商希雪:《个人信息隐私利益与自决利益的权利实现路径》,载《法律科学(西北政法大学学报)》2020年第3期。
[5]洪延青:《传染病疫情防控与个人信息保护初探之二:同意的例外》.(2020-01-28)[2020-06-11].https://mp.weixin.qq.com/s/m9p15fyXeWC_M8rK_zo0nA.
本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。