众所周知,网络安全是指信息系统及其数据受到有效保护,不因自身或外界的原因而受到破坏、更改、泄露。这在科技、大数据、人工智能、区块链等高新科技日新月异的今天尤为重要。网络安全关乎每一个公民的人身和财产安全,素有“市民生活百科全书”和“社会学意义上的宪法”之称的民法典,对网络安全问题显然不能忽视。完整民法典即将于2020年3月出台,这将是全面推进依法治国和实现治理能力与治理体系现代化的重大举措,必将对民众人身和财产权利的保护产生深远影响。现有草案的规定中,就可以发现诸多与网络安全密切相关的制度创新。
个人信息保护
令人瞩目的是,我国民法典将设置一个单独的人格权编,相对于国外民法典,这将是中国民法典最为突出的重大创新。在2019年9月中国人民大学民商事法律科学中心等机构组织的“中欧民法典研讨会”上,多位著名国际学者对中国民法典的这一创新给予了高度评价。瑞士日内瓦大学前院长克里斯汀·夏碧玉(Christine Chappuis)认为,这是非常重要和非常正确的决定,因为民法典如果要特别强调某一价值,就应加以单独编排,这既突出其价值重要性,也便于法律的适用。人格权编也十分有利于应对科学技术发展所带来的挑战。意大利比较法学会会长、都灵大学米歇尔·格拉齐雅德(Michele Graziadei)指出,中国民法典草案设置人格权编是一项重大的突破和创新,目前其他国家的民法典对人格权的规定极为有限且高度分散,其内容散见于不同年代的众多司法判例。中国的这种模式将以更为系统和现代化的方式去保护人格权。值得特别注意的是,中国民法典设置人格权编这一重大创新的主要动因之一,就是应对科技发展对人的主体地位所形成的“主体客体化”风险,例如代孕、克隆、基因编辑、网络隐私与个人信息泄露、偷拍及非法监控等。就网络安全问题而言,新设立的民法典人格权将做出十分重要的回应。
2016年《网络安全法》是我国首部比较系统地规定个人信息保护的法律,该法第四章“网络信息安全”规定了个人信息的收集原则、网络运营者的相关义务。2017年《民法总则》进一步以基本法律的形式规定个人信息保护,该法第一百一十一条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。以这些法律规定为基础,2019年8月的“民法典人格权编草案(三审稿)”在其第六章设定了多个条文进一步细化对个人信息保护。草案条文对《网络安全法》《民法总则》的前述条文有重要发展与创新。
这表现在民法典人格权编草案明确了个人信息的概念。该草案第八百一十三条第二款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等”。其中,“生物识别信息”包括指纹、声音、虹膜、脸相、静脉等生物信息。从国外立法经验来看,生物识别信息属于敏感信息,原则上禁止一般机构或个人进行处理,而仅由为履行法定职责的法定机构来进行处理。生物识别信息包含了人脸识别信息,因而这一条款在未来有可能用于应对目前亟待规范的人脸识别技术滥用问题。另外,将“行踪信息”纳入个人信息范围也十分重要。如今大量的应用软件APP都有定位功能,往往在信息主体不知情的情况下默认其同意使用定位信息,从而记录其出行轨迹,此种情况显然应该加以规范。至于电子邮箱是否属于个人信息则值得研究。一般的电子邮箱并不具有身份识别功能,实践中往往只有在使用特定的工作邮箱等极少数情况下,才可以单独或结合其他信息识别出特定的主体。
人格权编草案第八百一十六条规定了网络运营者收集、处理自然人个人信息的免责事由,包括:信息主体的同意;个人信息已公开;为维护公共利益或信息主体的合法权益对其个人信息的合理使用。草案第八百一十七条强化了信息收集者、控制者确保其收集的个人信息安全义务。尤其值得注意的是草案第八百一十七条第一款规定:“国家机关及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供”。此条文将产生重要的实践意义,因为在现实中,一些人往往通过其在某些国家机关工作的违规行为获取他人的通信、住址、行踪等个人信息,侵害他人个人信息及其他权利(如隐私权、财产权等)。未来,此种做法将被明令禁止。
当然,人格权编草案在本章亦存在不足,最大的不足是未能恢复“个人信息权”这一在此前草案中所曾使用的措辞。从内容上来看,草案现有条文规定了信息收集与处理的必要、合法、目的限制、相关性、比例性、信息安全、公平与透明度等原则,以及信息主体获取其个人信息、更正、删除等权利。人格权编草案显然是希望在个人信息保护与电商等产业发展之间保持平衡,对二者实行某种均衡保护。但是,草案中“个人信息保护”的措辞也有明显的局限,在实践中容易引发歧义,因为“保护”这一法律术语往往更侧重争议发生后的司法保护与侵权后的司法救济,而对于争议发生前的积极利用和积极防御功能则难以覆盖。
肖像权、声音权与隐私权保护
民法典人格权编草案其他章节的相关规定对于维护网络安全也将具有重要意义。首先,在肖像权部分,草案第七百九十九条规定:“任何组织或者个人不得以丑化、污损,或者利用信息技术手段伪造等方式侵害他人的肖像权”。其中,“利用信息技术手段伪造”就是针对目前在实践中所出现的“AI换脸”技术应用所带来的人格权侵害风险。这一风险主要表现在,未经肖像权人同意的情况下,通过“深度换脸”技术,某些应用程序可以将其肖像通过移花接木的伪造手段,将其移植到某些特定的场景中。另外,考虑到人脸支付科技日益广泛的应用,“换脸”技术将直接事关民事主体的财产安全,因此,前述条文显然具有保护公民财产权的重要价值。
其次,由于语音识别技术的日趋成熟,其应用范围也日益扩展,对声音的保护具有越来越重要的意义。声音具有独特性和可识别性,因此,与特定主体相联系,声音的性质同样是人格要素,声音权应当成为人格权的组成内容之一。在国外,声音权也被普遍确立为一项人格权。因此,我国民法典人格权编草案第八百零三条第二款也承认了声音权,该条规定:“对自然人声音的保护,参照适用肖像权保护的有关规定”。这就是说,未经自然人同意,不得在导航软件、游戏、视频中擅自使用,擅自使用或仿冒他人的声音。
此外,当前我国酒店偷拍现象有愈演愈烈之势,偷拍视频通过网络等途径泄露后,消费者非常难以举证酒店是否对此存有过错。现有行政法规仅能在查获行为人之后对其处以行政拘留等措施,而无法对受害者提供赔偿依据。有鉴于此,民法典人格权编草案在隐私权部分的第八百一十二条第一款中,增加了禁止窥视宾馆房间等私密空间的规定,这显然具有重要意义。但是,这一条文可能不足以有效应对酒店偷拍,因为该条仅针对实施侵权行为的侵权人,如果偷拍行为非酒店所为,酒店则可开脱责任。另外,该条仅针对窥视等行为,从文义解释的角度来看,窥视更多地指即时所进行的偷窥行为,并不能完全涵盖利用专业设备偷拍后的存储、加工、贩卖等行为。因此,有必要强化预防功能,引入比较法上的“自设计时的隐私保护(privacy by design)”原则,要求从经营者设计阶段就开始考虑应对各种可能侵犯隐私的行为,并设置合理的预防措施。
网络侵权规则的完善
网络侵权规则是保障网络安全的重要制度。相对于2009年《侵权责任法》、2018年《电子商务法》的相关条文,2019年8月的“民法典侵权责任编(三审稿)”作出了重要改进。该草案第九百七十条第一款规定:“网络用户利用网络服务实施侵权行为的,权利人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。通知应当包括构成侵权的初步证据及权利人的真实身份信息”。第二款进一步规定:“网络服务提供者接到通知后,应当及时将该通知转送相关网络用户,并根据服务类型的不同采取必要措施;未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任”。
其中,“根据服务类型的不同”的措辞明显区别于《电子商务法》第四十二条,因为后者仅针对知识产权的侵权行为,而前者则应涵盖所有的民事侵权行为。笔者此前一直撰文强调,不能将后者中的“通知-删除”规则简单扩展到前者的适用领域之中。其原因在于,首先,知识产权的侵权之所以采取“通知-删除”规则,是因为知识产权的侵权判断,一般要求具有相当的专业知识与技能,而此为一般人所不具备。因此,法律授权平台在第一时间可以先从网上删除有争议的涉嫌侵权产品。一般民事侵权领域显然情况有所不同。例如,在网络侵害人格权的情形中,根据双方所提供的初步证据,平台应该可以做出是否存在侵权的初步判断。而对于普通民事侵权照搬知识产权侵权的“通知-删除”规则的恶果还在于,授权网络平台在出现投诉后,在不征求网络用户本人意见的情况下就直接删除其作品,这样极其不利于网络言论自由的保护和舆论监督作用的发挥,违反了法律的正当程序原则与对席原则。另外,权利人凭简单一纸主张即可要求平台删除网络用户的作品而无须提供任何担保,也不符合比例性原则。向平台提交一纸投诉通知,就可以要求网络平台立即将竞争对手的商品下架,这一简单粗暴的规则极其容易被滥用,用以打击对手,助长恶意投诉及不正当竞争行为,而先删除后恢复的机制,也导致资源的无端浪费与损失。
正是基于上述原因,“民法典侵权责任编”三审稿强调,必须根据服务类型的不同来决定所应采取的必要措施。应当说,这一措辞将授权法院在未来发生网络侵权争议时,根据网络服务的具体类型(譬如,网络接入服务、网络内容服务、网络存储服务、网络技术服务等),来审查网络平台所采取的处理措施是否适当。另外,从草案的措辞来看,受害人所提交的通知中应当包括构成侵权的初步证据,网络用户提交的声明中也应包括不存在侵权行为的初步证据。这也意味着,网络服务提供者负有义务对这些“初步证据”进行初步审查。这种初步审查可以更多的是形式审查,从形式上得出网络用户是否侵害了权利人民事权利的初步判断。对网络服务提供商设这样的初步审查义务,对于加强其社会责任、净化网络环境、维护网络安全及完善网络治理,无疑均具有积极意义。
(作者: 石佳友 中国人民大学法学院教授、民商事法律科学研究中心执行主任)
声明:本文来自中国社会科学网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。