11月6日下午,海淀法院“丹棱论坛•专家委员解读《民法典》”系列活动第七场讲座在院本部三层大法庭举行。
本场活动由清华大学法学院副院长、教授、博士生导师程啸以“民法典与个人信息权益保护”为题举行讲座。活动采取“线下+线上”形式,海淀法院在院党组成员、院领导,各审判部门中层正职、负责人、副职及部门代表现场参加,部分人大代表、政协委员、解放军总直属军事法院及解放军直属军事法院部分法官同步在线观看,北京市各级法院部分干警、海淀法院全院员额法官、法官助理及部分专家委员会委员一千余人通过“小鱼易连”APP在线听课。活动由海淀法院党组成员、副院长张弓主持。
首先,海淀法院党组书记、院长邵明艳为主讲人程啸教授颁发专家咨询委员会委员聘书。
讲座环节,程啸教授结合海淀法院一线审判人员提供的真实判例及实务问题,分别从个人信息保护的意义、我国个人信息保护法律的发展、个人信息的界定与类型、个人信息权益的性质、个人信息权益的内容、个人信息的处理规则、个人信息的合理使用以及侵害个人信息权益的民事责任八个方面进行解读,并结合《个人信息保护法(草案)》《网络安全法》《数据安全法(草案)》《一般数据保护条例(GDPR)》等国内外相关法律法规,详细探讨了私密、敏感、公开的个人信息界定标准、权益内容、处理规则、法律适用、归责原则等重点内容。
一、个人信息保护的意义
在进入现代网络信息社会之前,自然人的姓名、身份证号码、电话号码、家庭住址、肖像、财产信息、病历资料等个人信息,就已经存在,并被政府、企业等主体收集、保管、分析和使用。但是,此前,网络信息社会中的个人信息不仅类型相对简单、产生的渠道有限,而且收集处理的手段和方法也较为单一。因此,通过姓名权、名誉权、隐私权、肖像权等传统的人格权就足以适应对之加以保护的需要。例如,未经同意公开或披露自然人的隐私信息(如病历资料、银行存款信息等)的,构成对隐私权或名誉权的侵害;擅自使用他人姓名的行为是侵害姓名权的行为;未经同意制作他人的肖像,构成侵害肖像权。
随着信息网络科技尤其是大数据与人工智能的发展,个人信息的产生、收集、存储和利用等方面发生了巨大的变化。
1.个人信息的种类越来越多。
一方面,除了传统的那些能够直接识别特定自然人的信息,如姓名、身份证号码、家庭地址、电话号码等,还有一些虽然本身不足以识别特定自然人但与其他信息结合后就能识别出特定自然人的信息,如爱好、习惯、兴趣、性别、年龄、职业等,如果被汇聚组合后能够识别特定人的身份,也可能成为个人信息。
另一方面,现代科技的发展也促使了各种新型个人信息的产生,如通信记录和内容、个人生物识别信息、网络交易信息、上网浏览痕迹、网络社交媒体留言、行踪轨迹等。在进入网络信息社会前,这些信息要么根本不存在,要么即使存在也无法被收集和处理。但是,在现代社会因网络科技的发展,这些信息可以很容易地通过数据收集技术或无处不在的智能设备加以收集和保存。由此也导致了个人信息的范围越来越广,甚至在许多情况下,连界定哪些信息属于个人信息都存在困难。
2.个人信息的处理方式越来越多。
进入信息社会之前,个人信息的收集方式多是由自然人主动填报并提交,政府、企业等主体收集后手工记载在纸质文档或录入电子档案中加以存储,不仅信息收集的效率、数量和范围有限,且因缺乏算法技术和足够的算力,也难以对其进行分析利用。然而,现代网络信息技术已将现代社会生活高度数字化(或数据化),数据收集技术和各种传感器可以自动地收集与存储个人信息。这种个人信息被大规模、自动化地收集和存储、使用的情形变得越来越普遍,几乎无处不在、无时不在。一方面,如果不处理个人信息,则现代社会中的自然人几乎难以在网络科技高度发展的今天正常生活下去;另一方面,究竟是谁在收集其个人信息,如何处理、基于何种目的处理其个人信息,自然人对此难以知悉和加以掌控。
3.个人信息的处理带来了巨大的风险。
大数据与人工智能技术的发展使得对海量数据的分析与使用变得非常简单,个人信息被滥用的可能性被极大地增加。现代社会中的个人信息处理产生各种巨大的风险,如海量的个人信息因保管不善被泄露甚至被非法出售或利用,进而出现犯罪分子利用非法取得的个人信息对受害人进行精准诈骗,甚至实施侵害生命健康权等其他违法犯罪行为的问题。例如,我国发生的“大学生徐玉玉因信息泄露而被骗学费引发急病发作死亡”、“清华大学教师被电信诈骗1700多万元”等。
再如,2018年在浙江省宁波市发生的,民警詹某擅自利用公安信息系统帮人查住址,导致女子赵某被前男友况某找上门并杀死在暂住地内。詹某后被法院以侵犯公民个人信息罪判处有期徒刑1年3个月,缓刑1年6个月。
2018年,公安部、最高人民检察院督办了数据堂公司特大侵犯个人信息专案,根据公安部门的侦查,数据堂公司在8个月时间内,日均传输公民个人信息1.3亿余条,累计传输数据压缩后约为4000GB左右,公民个人信息达数百亿条,数据量特别巨大。
德国学者Winfried归纳了10种法律应当规范的数据处理的风险类型:
(1)使个人更容易遭受犯罪侵害;
(2)对公众形象的羞辱和损害;
(3)造成选择性目标损害(歧视与羞辱);
(4)信息永久性:信息的永久存储以及获得和检索的可能能够不断重建个体行为,从而减少集体社交遗忘的机会;
(5)去情境化的风险;
(6)信息产生阶段的风险:自动从各种来源获得新知识的可能性产生了新的危险,例如使用数据分析方法所获得的个人信息;
(7)信息的不准确,即非结构化的数据源、不受控制和不透明的处理程序和数据伪造产生的数据质量差的风险,而数据质量差又会引起不同的风险;
(8)把人仅仅当作物体来对待:特别是通过完全自动化的个人决定将产生把人降格为物体的危险;
(9)他律,即对个人行为的操纵既可以在微观上对人类的行为自由产生的消极影响,也可以在宏观上对政治进程产生消极的影响;
(10)对合理的保密期望的落实感到失望。
正因如此,各国都高度重视个人信息的保护。以往单纯的通过隐私权保护个人信息的做法已经不适应现代网络信息社会发展的需要。
首先,隐私权保护的是私密信息,而个人信息并非都是私密信息,因此无法全部通过隐私权加以保护;其次,隐私权的保护往往是事后的救济,即构成侵害隐私权的行为后再追究法律责任,而个人信息的保护需要的是全方位的规范,即从个人信息的收集、存储、加工、使用、提供、公开等方面进行系统的规范,涉及到公法与私法、国内法与国际法等多个法律领域。再次,个人信息的处理是现代科技发展的必然要求,如果没有包括个人信息在内的信息的自由流动和共享,网络信息科技和数字经济的发展也会受到很大的妨碍。因此,自然人不仅可以自己使用个人信息,还可以许可他人使用自己的信息。而且,为了公共利益也需要允许对个人信息的合理使用。
由此可见,个人信息的保护并非一个单纯的禁止他人使用或排除他人侵害的问题,而是需要在自然人的权益保护与信息自由之间进行协调。显然,这与隐私权主要是禁止他人侵害隐私,不存在对隐私进行使用的规范路径有所不同。
二、我国个人信息保护法律的发展
我国最早对个人信息收集、利用和保护加以规范的法律是刑法。2005年十届全国人大常委会第十四次会议通过的《刑法修正案(五)》增设了“窃取、收买、非法提供信用卡信息罪”(第177条之一第2款),这是我国法律上第一个关于侵害公民个人信息犯罪的法律规定。
2009年,十一届全国人大常委会第七次会议审议通过的《刑法修正案(七)》在《刑法》中新增第253条之一,首次将窃取或以其他方式非法获取公民个人信息、出售或非法提供公民个人信息的行为情节严重的规定为犯罪行为,从而纳入刑事打击的范围。
2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》首次对网络服务提供者和其他企业事业单位、国家机关及其工作人员在收集、使用、保管公民个人电子信息中应当遵循的原则、承担的义务及法律责任作出了较为具体的规定。
2013年,十二届全国人大常委会第二次会议修订《消费者权益保护法》时,在原第14条中新增了消费者“享有个人信息依法得到保护的权利”,并在第50条就侵害该权利的民事责任作出了规定,这是我国法律首次从民事权利的角度对个人信息作出的规定。
2017年6月1日起施行的《网络安全法》于第四章“网络信息安全”中对个人信息的收集、存储、保管和使用进行了更全面细致的规范。
2017年10月1日起施行的《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”
2020年5月28日颁布的《民法典》在人格权编的第六章“隐私权和个人信息保护”中对个人信息保护作出了详细的规定。
2020年6月28日,第十三届全国人大常委会第二十次会议对《数据安全法(草案)》进行了第一次审议。该法专章规定了“数据安全保护义务”。
2020年10月17日,第十三届全国人民代表大会常务委员会第二十二次会议修订了《未成年人保护法》。该法专章规定了“网络保护”,对信息处理者通过网络处理未成年人个人信息作出了专门规定。
2020年10月13-17日,第十三届全国人民代表大会常务委员会第二十二次会议对《个人信息保护法(草案)》进行了第一次审议。
三、个人信息的界定与类型
(一)个人信息的界定
在《民法典》颁布前,我国也有一些法律、司法解释和技术标准对个人信息进行了界定。例如:
《网络安全法》第76条第5项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。”
《最高人民法院关于人民法院在互联网公布裁判文书的规定》第10条第1项规定,人民法院在互联网公布裁判文书时,应当删除“自然人的家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号等个人信息。”
《信息安全技术 个人信息安全规范》(GB/T 35273-2020)第3.1条将个人信息界定为:“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”
该界定的注释1中列举了以下个人信息的具体种类:“包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。”
《电信和互联网用户个人信息保护规定》第4条规定:“本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”
《民法典》第1034条规定:“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
从这一界定可以看出,个人信息具有以下两项重要特征:
1.个人信息是指活着的自然人的信息。
个人信息中的“个人”本身指的就是自然人,不包括法人、非法人组织。个人信息作为自然人的信息,仅仅是指活着即生存着的自然人的个人信息,而不包括已故人士的信息。例如,欧盟《一般数据保护条例》“鉴于条款”的第27条就明确规定:“本条例不适用于已故人士的个人数据。成员国可以对已故人士个人数据的处理进行规定。”
2.个人信息是可以识别特定自然人的信息。
个人信息的核心特征就在于“可识别性”,即能够单独或者与其他信息结合相结合识别特定的自然人。如果某些信息根本无法识别特定的自然人,那么对于这些信息的收集、存储、使用、共享等就不会对特定自然人的民事权益造成损害或产生侵害的危险,也没有必要基于维护自然人的权益的考虑而通过个人信息保护制度对这些信息的处理加以规范。
例如,天气变化、潮汐情况、地质演变等物理信息;再如,通过采取匿名化技术处理后无法识别特定的自然人且不能复原的信息,如抽样调查统计数据中仅仅显示被调查的人数、地域分布、年龄、男女比例等信息,这些信息无法识别出具体的被调查的人是谁,也不属于个人信息。
《民法典》第1034条第2款将个人信息的可识别性区分两类,即单独识别与间接识别。
(1)单独识别,也称直接识别,是指仅凭该信息本身就完全可以识别出特定的自然人,在我国最典型的此类个人信息如居民身份证件号码。我国以往因为户籍管理中存在的问题,导致居民身份证号码的重号情况较为普遍,在2009年时全国曾有171万人的身份证号码重合,但是公安机关开展户口清理整顿工作以来,到2017年全国居民身份证重号人数已经减少为8人。
再如,电话号码在有些国家或地区因为没有强制要求实名登记,故此,仅仅凭借手机号码无法识别出特定自然人。但是,我国法律规定电话号码必须实名登记。《全国人民代表大会常务委员会关于加强网络信息保护的决定》第6条规定:“网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。”《网络安全法》第24条第1款规定:“网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。”故此,电话号码这一信息本身就足以识别出特定的自然人。
(2)间接识别,就是指与其他信息结合后能够识别,即仅凭该信息本身尚无法识别出特定的自然人,但是只要将该信息与其他信息进行结合就可以识别出特定的自然人。例如,仅仅凭借Cookie收集的网页浏览痕迹信息是无法识别出究竟是谁浏览的相应的网页,但是只要将这些浏览痕迹与IP地址信息加以结合,就很容易识别出特定的自然人。识别的可能性会随着科技的发展而提高,故此,需要考虑识别所需的成本和时间;处理个人信息时可用的技术;处理的目的等因素。总之,凡是可以更快、更容易地识别出一个特定的自然人的信息,就更有可能属于个人信息。
在“朱烨与北京百度网讯科技有限公司隐私权纠纷案”中,原告在通过被告的搜索引擎进行了一些关键词检索,而被告依据这些关键词检索向原告进行了定向广告推送,原告认为被告侵害了其隐私权。这种情形就涉及到被告收集和处理的原告的关键词记录是否属于原告的个人信息。应当说,单纯的关键词检索记录是无法识别出特定自然人的,但是,如果和IP地址结合起来尤其是考虑到现在的IP地址多为静态IP地址,且原告是在自己家中的个人电脑上进行检索的,因此这些信息结合起来就很容易识别出特定自然人。
(二)个人信息的类型
个人信息的种类很多,《民法典》第1034条第2款只是对个人信息做出了列举,即:自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息有不同的分类。例如,根据是否数据化可以分为数据化的个人信息和非数据化的个人信息。所谓数据化的个人信息就是指以电子形式或者其他非电子形式记录的个人信息,而非数据化的个人信息就是未被记载在数据载体上的个人信息,如日常生活中人们的语言交流、行动等。
在个人信息分类中,最为重要的分类有三种:
(1)依据个人信息是否属于隐私权所保护的范畴,可分为私密信息和非私密信息;
(2)依据个人信息对自然人人身财产安全的敏感程度,可将之分为敏感个人信息与非敏感个人信息;
(3)依据个人信息是否已经合法公开,可以分为公开的个人信息与非公开的个人信息。
1.私密信息和非私密信息
这是我国《民法典》采取的分类。在我国以往的法律和司法解释中,也采取了这一分类方法。
《民法典》第1034条规定:“自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
《民法典》第1033条第5项将没有法律规定或者未取得权利人明确同意,处理他人的私密信息,作为侵害隐私权的行为。
由此可见,区分私密信息与非私密信息很重要,直接涉及到原告被侵害的权益类型的不同以及适用不同的法律规范。
就私密信息的认定,有些是没有争议的,如个人的健康信息、犯罪记录、财产状况、性取向等,肯定是属于私密信息;自然人的姓名、容貌、性别等,肯定不属于私密信息。尤其是有些个人信息实际上也被其他的人格权所包括,如姓名、容貌、声音等可以为姓名权、肖像权所保护。但有些存在争议,如读书记录、网页浏览信息、社交关系等等。
由于我国法上对于私密信息和非私密信息采取不同的保护方法,故此不能由权利人单方面决定该信息的分类,而需要结合案件具体情况,从社会公众的一般认知和价值权衡的角度出发去认定案涉个人信息是否属于私密信息,核心考虑因素为:
(1)该信息对于维护自然人的人身财产权益、人格尊严和人格自由的重要程度;
(2)该信息对于维护社会正常交往、信息自由的重要程度如何;
(3)一般社会公众对该信息作为私密信息的认知如何。
私密信息和非私密信息的区别在于以下两大方面:
第一,二者的处理规则不同。
依据《民法典》第1033条第5项,处理他人的私密信息要么是取得隐私权人的“明确同意”,要么是依据法律的规定,否则,任何组织或者个人实施的处理他人私密信息的行为都构成侵害隐私权的行为。然而,《民法典》第1035条规定,处理个人信息,要么是依据法律、行政法规的规定,要么是得到该自然人或者其监护的“同意”。
由此可见,《民法典》对私密信息和非私密的个人信息处理规则的区别在于:
其一,处理私密信息必须取得权利人的同意,而处理非私密的个人信息可以取得自然人或者其监护人的同意。也就是说,监护人也不能擅自同意他人处理被监护人的私密信息;
其二,处理私密信息必须取得的是权利人的“明确同意”,而处理非私密的个人信息是取得自然人或者其监护人的同意。
“明确同意”与“同意”的涵义是不同的。明确同意,一方面意味着自然人依法作出了同意的意思表示,即处理者应当明示处理私密信息的目的、方式和范围以及处理的规则,自然人或者其监护人作出了清晰、明确的允许处理的意思表示。另一方面,明确的同意应当是针对该私密信息被处理而单独作出的意思表示。同意,则不要求必须是单独的同意,也不要求仅针对被处理的特定个人信息作出的同意,而可以是一种概括性的同意(如通过APP的隐私政策取得对自然人对某些非私密的个人信息处理的同意)。
第二,二者的法律适用不同。
《民法典》第1034条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”之所以作此规定,就是因为立法机关充分认识到了隐私权和个人信息保护之间的差异及联系。简单的说,依据该款,作为隐私的私密信息,首先应当适用有关隐私权的规定。所谓“有关隐私权的规定”是一个范围很广的概念,不仅包括《民法典》第1032条和第1033条这两个直接针对隐私权的法律条文,还包括《民法典》中其他可以适用于隐私权的规定,如第991、992,995-997,998、1000条等,还包括其他法律中有关隐私权的规定,如《妇女权益保障法》《未成年人保护法》及有关行政法规的规定如《人类遗传资源管理条例》和有关司法解释。因为隐私权对于私密信息的保护的强度和密度更高,力度更大。其次,如果现行法律法规和司法解释中关于隐私权的规定没有对私密信息保护作出规定的话,由于私密信息也是个人信息,故此,应当适用有关个人信息保护的规定。
2.敏感的与非敏感的个人信息
敏感的个人信息(personal sensitive information),也被称为特殊的个人信息。对于何为敏感的个人信息,各国法上有不同的界定。
欧盟《一般数据保护条例》第9条第1款将之界定为“揭示种族或者民族出身,政治观点、宗教或者哲学信仰,工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,健康数据,自然人的性生活或者性取向的数据”。《德国联邦数据保护法》则界定为“有关个人种族血统、政治观点、宗教或哲学信仰、工会成员资格、健康状况或者性生活的信息。”
《个人信息保护法草案(一审稿)》第29条第2款规定:“敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息”。
《信息安全技术 个人信息安全规范》的界定是“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”
该规范认为,个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。
所谓敏感的个人信息主要是指,那些涉及自然人人格尊严、人格自由或者其他重大权益的个人信息,这些个人信息倘若被非法处理,将会对所涉自然人的人格尊严、人格自由或者其他重大的人身权益、财产权益造成严重的威胁或损害。
依据这一界定,以下个人信息应当归入敏感的个人信息:(1)种族或民族信息;(2)宗教信仰信息;(3)政治主张信息;(4)生物识别信息;(5)基因信息;(6)医疗健康信息;(7)性生活与性取向信息;(6)储蓄、证券等金融账户信息。
敏感个人信息与非敏感个人信息在处理上的要求不同。主要表现在:
首先,为了更好的保护敏感的个人信息,对于敏感的个人信息的处理不仅要取得自然人的同意而且这种同意必须是明示的、单独的同意,不能是默示的或者概括的同意。但是,非敏感的个人信息无需如此严格。
其次,个人信息处理者对于敏感的个人信息负有更高的注意义务,否则,就会出现因为处理者的安全防护措施不足而造成敏感的个人信息泄露的,则对自然人会造成很大的损害或风险。
敏感的个人信息与作为私密信息的个人信息之间存在交叉的关系,有些个人信息既是私密的个人信息也是敏感的个人信息,如医疗健康信息、性生活与性取向信息;有些个人信息虽然是私密的个人信息,但却并不是敏感的个人信息,如个人的嗜好、被他人性骚扰的个人信息;有些信息是敏感的个人信息却未必是私密的个人信息,如种族或民族信息、宗教信仰信息或政治主张信息等。
3.公开的个人信息与非公开的个人信息
公开的个人信息是指已经合法公开的个人信息,至于那些因他人泄露或非法公开的个人信息,虽然客观上确实处于公开的状态,但不属于法律上所谓的公开的个人信息。
依据《民法典》第1036条第2项,合法公开的个人信息包括“该自然人自行公开的或者其他已经合法公开的信息”两大类型:
其一,自然人自行公开的个人信息,如某教授将自己的办公室电话、手机号、电子邮箱、通信地址等在自己的个人网页上加以公开,从而使得这些个人信息进入了公共领域,任何人都可以获得;
其二,其他已经合法公开的个人信息,这主要包括两种情形:
一是,依据行政行为而公开的个人信息,即因政府机关履行职责而依法加以公开的个人信息依据国务院颁布的《企业信息公示条例》的规定,企业通过企业信用信息公示系统向工商行政管理部门报送上一年度年度报告,并向社会公示。企业的年度报告中涉及个人信息的内容如“企业为有限责任公司或者股份有限公司的,其股东或者发起人认缴和实缴的出资额、出资时间、出资方式等信息”、“有限责任公司股东股权转让等股权变更信息”等。
二是,依据司法行为而公开的个人信息,即因为法院的司法行为而公开法律文书,其中涉及到的应当公开的个人信息。例如,依据《最高人民法院关于人民法院在互联网公布裁判文书的规定》,人民法院作出的裁判文书除涉及国家秘密、未成年人犯罪等不应公开的情形外,都应当在互联网上公开。
区分公开的个人信息和非公开的个人信息的最主要的意义在于:处理这些个人信息是否需要得到自然人的同意上的不同。除非法律、行政法规另有规定,对于非公开的个人信息,必须告知且得到自然人或者其监护人的同意。
但是,依据《民法典》第1036条,处理已经合法公开的个人信息,原则上是无需告知并得到自然人同意的,除非“该自然人明确拒绝或者处理该信息侵害其重大利益”,否则该处理行为不构成侵害个人信息的侵权行为。由此可见,即便是已经公开的个人信息也是受到法律保护的,只是在保护的强度和密度上要明显弱于非公开的个人信息。
四、个人信息权益的性质
(一)个人信息权益属于民事权益而非公权利
个人信息的核心特点在于识别性,即只有能够识别特定自然人的信息才属于个人信息。这一特点决定了,保护个人信息本身不是目的,而是要防止因个人信息的处理而产生的对自然人人身财产权益乃至人格尊严、人格自由的侵害的风险。
因此,从作为个人信息主体的自然人这一方来说,其主要的利益是一种防御性利益,即自然人针对个人信息享有的防止因个人信息被非法处理而致人身财产权益遭受侵害甚至人格尊严与人格自由受到侵害或损害的利益。
虽然在保护个人信息问题上需要协调多方利益,包括自然人权益的保护、合理行为自由的维护、公共利益,但不能将自然人个人信息权益的确认与围绕个人信息的各种利益的协调这两个问题对立起来。法律上对自然人个人信息权益的确认和保护本身就是对围绕着个人信息而产生的其他主体的自由或利益边界的界定。“如果法律规定某人的利益需要给予保护,那么法律同时也是在规定其他人都需要尊重该利益而不得侵犯它。因此,承认对某一领域的保护必然导致对他人行为自由的限制。确定保护范围需要权衡双方的利益:一方面是对利益的全面保护,另一方面是不受限制的自由。”
(二)个人信息权益保护的是自然人的人格利益
我国民法学界主流观点认为,个人信息涉及到自然人的人格尊严和人格自由。因此,无论将自然人对其个人信息界定为权利还是利益,都不影响法律将其确定为自然人的人格权益。主要理由在于:个人信息是能够识别特定自然人的信息,这种可识别性就体现了人格特征。
《民法典》虽然没有规定个人信息权,但《民法典》第990第2款规定:“除前款规定的人格权外,自然人享有基于人身自由、人格尊严产生的其他人格权益。”因此,可以将自然人的个人信息权益归入自然人基于人身自由、人格尊严产生的其他人格权益。
值得注意的是,《个人信息保护法草案(一审稿)》明确承认了个人信息权益的概念。一方面,该草案第1条明确规定了个人信息保护法的立法目的是“保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合理利用”。另一方面,其第2条明确规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益”。
(三)个人信息权益可以涵盖精神利益和经济利益
我国民事立法和司法实践始终坚持的是人格权一元保护模式,即通过人格权制度同时实现对精神利益和经济利益的保护,无需如美国那样通过隐私权保护精神利益,通过公开权(商品化权)来保护经济利益。
《民法典》第1182条:“侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿;被侵权人因此受到的损失以及侵权人因此获得的利益难以确定,被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的,由人民法院根据实际情况确定赔偿数额。”
第1183条第1款:“侵害自然人人身权益造成严重精神损害的,被侵权人有权请求精神损害赔偿。”
目前,自然人对其个人信息的经济利益还很不明显,主要体现的还是精神利益。
五、个人信息权益的内容
(一)查阅复制权
《民法典》第1037条第1款第1句:“自然人可以依法向信息处理者查阅或者复制其个人信息”,这是对自然人查阅复制个人信息的权利的规定。
《民法典》还特别在第1029条第1句规定了“民事主体可以依法查询自己的信用评价”。
查阅复制权在某种程度上意味着承认自然人可以通过该权利而取得自己的个人数据,并加以处分。但没有承认自然人可以请求信息处理者直接将自己的个人数据转移给其他的信息处理者。
(二)异议更正权
《民法典》第1037条第1款第2句:“发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。”
《网络安全法》第43条也规定,个人发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正,网络运营者应当采取措施予以更正。
《民法典》第1029条规定了民事主体发现信用评价错误时,有权提出异议并请求采取更正、删除等必要措施。不过,此种采取更正删除的权利是基于名誉权产生的,权利主体不限于自然人,还包括法人、非法人组织
(三)删除权
《民法典》第1037条第2款规定:“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”
1.作为自然人个人信息权益内容的删除权与网络侵权中的“通知删除规则”是不同的。我国《民法典》第1194-1997条对网络侵权行为作出了规定,其中确立的一项最基本的规则就是所谓“通知删除规则”。
首先,性质不同。作为自然人的个人信息权益内容即其中一项权能的删除权,该权利适用于所有的个人信息处理者,无论其是否为网络服务提供者。但是,《民法典》第1195条规定的删除则是法律施加给网络服务提供者预防和制止网络侵权行为的一项义务,仅适用于网络服务提供者。
其次,适用条件不同。依据《民法典》第1037条第2款,删除权的行使要件为“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定收集、处理其个人信息”,即信息处理者存在违法处理个人信息或违反约定处理个人信息的行为,故此自然人有权行使删除权。而通知删除规则是因为有网络用户利用网络服务实施了侵权行为,而权利人通知网络服务提供者采取删除等必要措施,网络服务提供者本身并未直接从事对权利人的侵权行为。
再次,法律后果不同。信息处理者违反《民法典》第1037条第2款的规定拒绝自然人的删除请求的,则自然人有权依法提起诉讼,请求法院判决处理者履行删除义务,如果因为没有及时删除而造成损害的,有权要求信息处理者承担赔偿责任。然而,网络服务提供者在接到权利人的通知后没有及时采取删除等必要措施的,依据《民法典》第1195条第2款,网路服务提供者要就损害的扩大部分与实施侵权行为的网络用户承担连带责任。
最后,自然人行使作为个人信息权益的权能的删除权,不存在因错误行使该权利而承担赔偿责任的问题。但是,依据《民法典》第1195条第3款,因错误通知造成网络用户或者网络服务提供者损害的,发出通知的权利人应当承担侵权责任。
值得讨论的是,是否应当规定被遗忘权?笔者认为,在我国法上,没有必要单独规定被遗忘权,理由在于:
其一,如果网络上发布的信息涉及侵害自然人的名誉权、隐私权等人格权益时,自然人基于名誉权、隐私权当然有权行使停止侵害、排除妨碍等人格权请求权,要求发布相关信息的网络用户删除该等信息,也有权依据《民法典》第1195条要求网络服务提供者采取删除、屏蔽、断开链接等必要措施。
其二,如果自然人发现信息控制者违反法律、行政法规的规定或者双方的约定收集、处理其个人信息的,依据《民法典》第1037条第2款有权请求信息控制者及时删除。这里面就包括《民法典》第1036条第2项规定的。
应当说,上述两种情形的删除权的适用已经涵盖了全部的自然人有权要删除个人信息的全部正当情形,除此之外,自然人已无正当的利益要求网络服务提供者或信息控制者删除相关个人信息。
其三,如果允许自然人可以没有任何正当性理由就要求删除相关信息,势必会出现歪曲真相,损害公众的知情权,甚至构成对公众的欺骗的不良后果。
六、个人信息的处理规则
(一)统一使用“处理”来表述围绕个人信息展开的所有活动
2012年颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》中使用的就是“收集、使用公民个人电子信息”。《网络安全法》与《电子商务法》也都延续了“收集、使用”个人信息这样的表述。《民法典》第1035条第2款:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”此次,《民法典》借鉴GDPR的规定,用“处理”涵盖了围绕着个人信息展开的所有的活动,非常方便。
(二)统一使用“处理者”来指称从事个人信息处理的主体
在我国《民法典》颁布之前,这些个人信息处理行为的主体的称谓,各不相同。基本上是由各个法律从自身调整范围出发分别使用的。
《全国人民代表大会常务委员会关于加强网络信息保护的决定》采取的是“网络服务提供者和其他企业事业单位”的表述。
《网络安全法》则使用了“网络运营者”的概念(第40条至第43条)。依据该法第76条第3项,所谓网络运营者,是指网络的所有者、管理者和网络服务提供者。
《消费者权益保护法》与《电子商务法》又分别采取了“经营者”、“电子商务平台经营者”的表述。
《民法典》草案曾先后使用过:个人信息“控制者”、个人信息“持有者”等表述,最后还是借鉴欧盟《一般数据保护条例》统一为“处理者” (Processor),藉此涵盖围绕个人信息开展的各种活动的参与者。由此可知:
(1)没有区分公务机关和非公务机关适用不同的处理规则,虽然《民法典》第1039条特别对国家机关、承担行政职能的法定机构及其工作人员的保密义务作出了规定。
(2)没有区分个人信息的处理者与控制者。
欧盟《一般数据保护条例》区分了二者,并分别将之界定为:“控制者”,是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、代理机构或其他组织。其中个人数据处理的目的和方式由欧盟或其成员国的法律予以规定,控制者或控制者资格的具体标准可以由欧盟或其成员国的法律予以规定;“处理者”,是指为控制者处理个人数据的自然人、法人、公共机构、代理机构或其他组织。
在我国,无论是对个人信息具有控制力的主体,还是受委托而直接从事个人信息的收集、存储、加工、使用等处理活动的主体,都被作为处理者。二者都应当遵循个人信息处理的规则。
《个人信息保护法草案(一审稿)》第21条至第24条对于共同处理个人信息、委托他人处理信息等情形作出了规定。
(三)个人信息的处理原则
《民法典》第1035条第1款第1句规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理”。确立了合法、正当与必要等三项原则。这些原则在《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条和《网络安全法》第41条第1款中也有明确的规定。
1.合法原则。所谓合法原则,就是指在对个人信息进行收集、存储、加工、使用、提供、公开等活动时,行为人应当严格按照法律法规的规定,不得违法处理个人信息。
具体而言,合法原则体现在:
首先,除非法律、行政法规另有规定,否则处理个人信息必须得到自然人或其监护人的同意或者符合当事人之间的约定;其次,处理个人信息的方法(如目的、方式、范围等)符合法律法规规定的,并且不违反双方的约定。
2.正当原则。所谓正当原则,也称公正原则,是指处理个人信息的行为必须是符合正当的目的,此种目的的“正当性”或在于信息主体所同意的收集处理个人信息的特定目的,或在于有关国家机关依据法律法规规定履行职责所必要的,或在于是维护公共利益或国家安全所必须的。
任何组织或者个人不能超出特定的目的或者为了不正当的目的去收集个人信息。正当原则也是世界各国个人信息保护立法中所确立的基本原则。例如,欧盟《一般数据保护条例》第5条规定:“为特定的、明确的、合法的目的收集,不符合以上目的不得以一定的方式进一步处理;为公共利益、科学或历史研究或者统计目的而进一步处理,应符合本条例第89条第1款规定,不应被视为不符合初始目的。”2017年日本《个人信息保护法》第3条规定:“在尊重个人人格的理念下,个人信息应被慎重对待,鉴于此,应当实现个人信息之正当处理。”
3.必要原则。该原则也称数据最小化或信息最小化原则,是指无论是收集还是处理个人信息,都必须只是收集和处理那些为了满足个人信息处理目的之必要为限度的个人信息,不能超出这个限度去收集与满足个人信息处理目的无关的个人信息。从基础理论上说,个人信息处理中应当遵循的必要原则是比例原则(der Grundsatz der Verhaeltnismaessigkeit)的具体体现。
欧盟《一般数据保护条例》在“鉴于条款”的第39条指出:“个人数据应当充分、相关并且仅限于其处理目的所需的必要数据。这尤其要求确保对个人数据的存储期限的必要限制。只有在处理目的不能通过其他方式合理实现的情况下,才能进行个人数据处理。为确保个人数据的保存时间不超过必要时间,应由控制者制定时间限制以进行删除或定期审查。”该条例第5条将必要原则概括为“充分、相关,及以个人数据处理目的之必要为限度进行处理”“准确、必要、及时:以个人数据处理目的为限,应采取一切合理步骤确保不准确的个人数据被及时地处理、删除或修正。”
国家标准《信息安全技术 个人信息安全规范》第5.2条认为,基于收集个人信息的最小必要这一原则,对个人信息控制者应提出如下要求:
(1)收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;
(2)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
(3)间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
(四)告知同意规则
所谓告知同意规则,也被称为“知情同意规则”,是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知并取得同意,除非法律另有规定。
由此可见,告知同意规则包含了两项规则:一是告知规则,二是同意规则。二者紧密联系,不可分割。没有告知,自然人无法就其个人信息被处理作出同意与否的表示;即便告知了,但没有充分的、清晰的告知,自然人即便作出了同意的表示,该同意也并非是真实有效的同意。反之,虽然告知了且充分、清晰的告知了,可并未取得自然人的同意,对个人信息的处理也是非法的,构成对自然人个人信息权益的侵害。告知同意的规则是世界各国个人信息保护立法中所普遍确立的一项基本规则,该规则被认为奠定了个人信息处理的正当性与和合法性的基础。
之所以在个人信息保护制度中要以告知同意规则作为基本的规则,原因就在于自然人对其个人信息享有受到法律保护的民事权益,没有得到自然人的同意而处理其个人信息就是对个人信息权益的侵害行为,具有非法性。自然人针对个人信息享有的民事权益决定了自然人可以处分其个人信息,包括许可他人收集、存储、使用、加工、提供或公开其个人信息。
《民法典》第1035条第1款规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。”
1.告知规则
任何组织或个人在进行收集、存储、使用、加工、提供、公开等个人信息的处理行为时,都应当遵守告知规则,向信息主体即自然人履行告知义务。如果不经过充分合法的告知,则自然人无法作出真实的同意。《民法典》第1035条第1款要求收集、处理自然人的个人信息时必须公开收集、处理信息的规则并明示收集处理信息的目的、方式和范围。《网络安全法》第41条第1款和《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条也规定,网络服务提供者和其他企业事业单位收集、使用个人信息,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围。
从我国《民法典》第1036条的规定来看,其中第2项和第3项的规定既属于免于告知义务的例外情形,也属于无需取得同意的例外情形。具体如下:
首先,当处理者处理的是某一自然人自行公开的或者其他已经合法公开的信息的,则处理者既不需要告知自然人更无须取得该自然人的同意,除非该自然人明确拒绝或者处理该信息侵害其重大利益;其次,为了维护公共利益合理实施的处理个人信息的行为,无需告知。
2.同意规则
(1)适用的情形
首先,个人信息处理者在处理个人信息之前,必须得到个人信息被收集的自然人或者其监护人的同意,除非法律、行政法规另有规定。对此,《民法典》本条第1款第1项有明确的规定。此外,《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条和《网络安全法》第41条也有规定。所谓取得监护人的同意是指,在处理不完全民事行为能力人的个人信息时,处理者应当取得其监护人的同意。为了更好的保护未成年人的健康成长,防止因个人信息的处理而对未成年人的身心健康产生危害或危害的可能,比较法上各国对于儿童的个人信息都采取更严格的保护措施。
其次,在自然人的个人信息已经被处理后,如果处理者个人信息的处理的规则或处理个人信息的目的、方式或范围发生了变更,处理者也要取得自然人或者其监护人的同意。
再次,依据《民法典》第1038条第1款以及《网络安全法》第42条第1款,如果个人信息处理者要将其处理的个人信息提供给他人的,则除非该信息是经过加工无法识别特定个人且不能复原的,否则需要取得自然人或其监护人的同意。
最后,法律规定的其他需要取得同意的情形。例如,对于个人信息的跨境转移等处理活动,需要取得自然人或其监护人的同意。
(2)免于同意的情形
在法律有特别规定或者为了维护社会公共利益等情形,处理者可以不经过自然人或者其监护人的同意而处理个人信息,这就是免于同意的例外情形。我国《民法典》等法律规定的例外情形包括:
其一,为了实施新闻报道、舆论监督等行为而合理使用自然人的个人信息,此时无需告知并取得同意(《民法典》第999条);
其二,处理该自然人自行公开的或者其他已经合法公开的信息,除非该自然人明确拒绝或者处理该信息侵害其重大利益(《民法典》第1037条第2项)。该规定来自于《最高人民法院利用信息网络侵害人身权司法解释》第12条第2款。
其三,为维护公共利益或者该自然人合法权益,合理实施的处理个人信息的其他行为(《民法典》第1037条第3项)。
七、个人信息的合理使用
(一)民法典中个人信息合理使用的规范体系
为合理平衡保护个人信息与维护公共利益之间的关系,协调权益保护与行为自由(经济自由、信息自由等)的关系,我国《民法典》建立了个人信息的合理使用制度,分为三个层次:
第一,总则编的抽象规范,即公平原则、诚信原则、禁止权利滥用原则以及(正当防卫、紧急避险等)免责事由的规定。
第二,人格权编的一般性规范。
《民法典》第998条:“认定行为人承担侵害除生命权、身体权和健康权外的人格权的民事责任,应当考虑行为人和受害人的职业、影响范围、过错程度,以及行为的目的、方式、后果等因素。”
《民法典》第999条:“为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等;使用不合理侵害民事主体人格权的,应当依法承担民事责任。”
第三,明确处理个人信息的免责事由。
《民法典》第1036条:“处理个人信息,有下列情形之一的,行为人不承担民事责任:(一)在该自然人或者其监护人同意的范围内合理实施的行为;(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。”
(二)维护公共利益
《民法典》第1036条第3项规定,为维护公共利益而合理实施的个人信息的处理行为,行为人不承担民事责任。公共利益是很抽象的概念,具有很大的不确定性,因此,由法律来确认或者形成客观的公共利益成为法治社会的普遍做法。
从《民法典》第132条来看,公共利益可以分为:国家利益与社会公共利益两类。我国现行法律如《国家安全法》《反间谍法》《国家情报法》《突发事件应对法》《传染病防治法》《网络安全法》等,对于国家利益、社会公共利益的涵义也有相应的规定。依据这些法律的规定,可以合理使用个人信息的公共利益分为以下类型。
《个人信息保护法草案(一审稿)》第13条规定了两类情形:其一,为应对突发公共卫生事件;其二,为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息。
(1)国家利益,主要包括国家的安全利益、外交利益、军事利益以及意识形态利益等,具体又分为国家安全、经济安全、文化安全与环境安全。例如,《国家情报法》第15条规定:“国家情报工作机构根据工作需要,按照国家有关规定,经过严格的批准手续,可以采取技术侦察措施和身份保护措施。”
(2)社会公共利益,也称社会利益,不同于国家利益。社会利益主要侧重于社会这一既与国家紧密联系又独立于国家的自治共同体本身需要的安全利益、经济利益、文化利益和道德利益。例如,《政府信息公开条例》第15条规定,“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开。但是,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开。”
(三)维护自然人的合法权益
依据《民法典》第1036条第3项,为了作为个人信息主体的“该自然人合法权益”,可以不经过自然人或其监护人的同意而合理实施个人信息的处理行为,行为人不承担民事责任。
所谓维护该自然人的合法权益,是指为了维护作为个人信息主体的自然人的人身财产权益。例如,甲突发疾病而生命垂危,急需在掌握其既往病史等个人信息的基础上进行对应的抢救治疗,而又无法取得其本人或近亲属的同意。此外,为了维护自然人之外的其他民事主体的合法权益时,也可以针对该自然人的个人信息实施合理使用行为。此时,可以依据《民法典》第182条规定的紧急避险。《个人信息保护法草案(一审稿)》第13条第4项将之明确为:为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需。
(四)处理已合法公开的个人信息
依据《民法典》第1036条第2项,合理处理该自然人自行公开的或者其他已经合法公开的信息,即便没有得到该自然人的同意,行为人也不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。合法公开的个人信息包括两大类:
其一,自然人自行公开的个人信息,如某教授将自己的办公室电话、手机号、电子邮箱、通信地址等在自己的个人网页上加以公开,从而使得这些个人信息进入了公共领域,任何人都可以获得;其二,其他已经合法公开的个人信息,这主要包括两种情形:一是,依据行政行为而公开的个人信息,即因政府机关履行职责而依法加以公开的个人信息,二是,依据司法行为而公开的个人信息,即因为法院的司法行为而公开法律文书。
如果该自然人明确拒绝对已合法公开的个人信息的处理或者处理该信息侵害其重大利益的除外。这就是说,一方面,即便是已经合法公开的个人信息依然受到法律的保护,自然人对这些个人信息并不因其公开而失去控制的权利,其有权决绝他人对这些信息进行处理。
另一方面,由于个人信息的保护对于维护自然人的人格尊严和人格自由具有很重要的意义,所以,即便是已经合法公开的个人信息,也不得任意进行处理,如果处理该信息将侵害自然人的重大利益的,也要承担民事责任。所谓“侵害自然人重大利益”的情形,是指处理将有害于自然人的生命、身体、自由、财产或其他重大利益。
(五)合理实施
即便是符合上述三类情形,处理个人信息的行为也必须是合理实施的行为或合理处理行为。所谓合理实施,实际上就比例原则的要求。
在民法中,比例原则意味着“只有在以下情形当中,个人自由及其私法自治才能受到干预,即对于维护更高的利益而言这是必要的,且此种干预既适于实现预期的目标,也是实现该目的的最缓和的方式。”
个人信息合理使用作为基于公共利益等正当理由对自然人个人信息权益的限制,当然要符合比例原则。在个人信息的处理中所谓合理,就意味着无论是收集、加工、使用抑或提供、公开个人信息,都是在服务于法律规定合理使用所希望达到的目的的范围内且手段和方式也没有超过为实现该目的而可以采取的最缓和的方式。
如果使用不合理而侵害民事主体人格权的,应当依法承担民事责任(《民法典》第999条第2句)。
八、侵害个人信息权益的民事责任
(一)侵害个人信息权益的侵权赔偿责任的归责原则
《民法典》没有对此作出规定,《个人信息保护法草案(一审稿)》采取了过错推定责任,该草案第65条第3句规定:“个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”
从比较法上来看,欧盟的《一般数据保护条例(GDPR)》对侵害个人信息的民事责任采取的是极为严格的责任,仅仅证明没有过错或者履行了法定的义务等,都不足以免责。该条例第82条第2款规定:“参与处理的任何控制者应当为违反本条例的数据处理所导致的损害负责。任何处理者,仅在其未遵守本条例对于处理者义务的特别规定或采取超出控制者的合法指令或者与控制者的指令相反的处理行为时,应为数据处理导致的损害负责。”该条第3款规定了控制者和处理者的免责事由,即如果能够证明其无论如何都不应对造成损害的事件负责时(it is not in any way responsible for the event giving rise to the damage),才能免除第2款的责任。显然这一免责事由比之前的欧盟《数据保护指令》的要求更高了。
德国《联邦数据保护法》第83条区分自动化数据处理与非自动化数据处理分别规定了无过错责任与过错推定。具体来说,对于自动化的数据处理所产生的损害适用无过错责任,即只要数据控制者处理他人数据的行为违反了《联邦数据保护法》或其他法律并导致他人损害的,控制人或者其法人就负有损害赔偿义务。但是,在非自动化的数据处理的情形下,如果损害并非是由于控制人的过错所致,则其不负有赔偿义务。
我国台湾地区的“个人资料保护法”区分公务机关与非公务机关的信息侵权行为,分别规定了不同的责任。依据该法第28条,公务机关违反本法规定致个人资料遭不法收集、处理、利用或者其他侵害当事人权利的情形的,但是损害因为天灾、事变或者其他不可抗力所致者除外。同法第29条规定,非公务机关违反本法规定致个人资料遭不法收集、处理、利用或者其他侵害当事人权利的情形的,负损害赔偿责任,但是可以证明没有故意或者过失的除外。由此可见,台湾地区的公务机关与非公务机关侵害个人信息的侵权责任分别适用的是无过错责任与过错推定责任。
笔者认为,可以考虑在区分敏感的和非敏感的个人信息的基础上确定不同的归责原则。具体而言,对于侵害敏感的个人信息的权益的赔偿责任,采取危险责任即无过错责任,而对于侵害非敏感的个人信息的赔偿责任可以采取过错推定责任。这是因为,敏感的个人信息的处理更严格,对于处理者的要求更高,而敏感的个人信息的处理活动从性质上说也属于一种危险活动,即很容易对自然人的人身财产和人格尊严造成损害,故此,应当适用无过错责任。
(二)侵害个人信息权益的侵权责任的承担方式
《民法典》第179条第1款规定了十一种民事责任承担方式,其中,属于侵权责任承担方式的有八种,即停止侵害;排除妨碍;消除危险;返还财产;恢复原状;赔偿损失;消除影响、恢复名誉;赔礼道歉。在这种八种民事责任承担方式中,属于绝对权保护请求权的是:停止侵害;排除妨碍;消除危险;返还财产。而能够适用于人身权益保护的是:停止侵害、排除妨碍、消除危险。至于赔偿损失;消除影响、恢复名誉;赔礼道歉则属于损害赔偿请求权。
个人信息权益并未被《民法典》规定为具体的人格权,而是在性质上将之作为人格利益。但是,这并不意味着在侵害个人信息时不能要求停止侵害、排除妨碍和消除危险。因为,我国《民法典》第1167条规定:“侵权行为危及他人人身、财产安全的,被侵权人有权请求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任。”该条中的“人身、财产安全”不限于人格权、身份权和物权等绝对权,而包括具有类似法律地位的人格利益和经济利益。
需要注意的是:其一,《民法典》第995条规定:“人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权,不适用诉讼时效的规定。”该条并非是对人格权请求权的规定,而只是规定这五类请求权不适用诉讼时效。
其二,《民法典》第997条规定:“民事主体有证据证明行为人正在实施或者即将实施侵害其人格权的违法行为,不及时制止将使其合法权益受到难以弥补的损害的,有权依法向人民法院申请采取责令行为人停止有关行为的措施。”这一条是对人格权行为禁令制度的规定,从条文表述上仅限于“侵害人格权”的情形,是否适用于个人信息权益的保护,值得研究。
供稿:海淀法院
整理:王静姝 韩筱
编辑:郭昕怡 汪希
1
