文│北京航空航天大学网络空间安全学院党委书记/法学院副教授 蒋燕玲 北京航空航天大学法学院 倪佳硕
在《民法典》编纂过程中,如何保护自然人不因个人信息被滥用而遭受损害,始终是立法者高度关注的一个问题。《民法典》的颁布,进一步完善了个人信息保护的相关法律体系,特别是“隐私+一般信息”双重保护模式的确立,对于实现个人信息的有效保护,具有极为重要的意义。
一、旧有隐私权保护模式的审视检讨
在《民法典》颁布前,我国主要是在隐私权框架下对个人信息予以保护。1988年,最高人民法院《关于贯彻执行<中华人民共和国民法通则>若干问题的意见(试行)》第一次提及“隐私”,为我国隐私权保护法律制度的创设发展奠定了基石。2001年,《最高人民法院关于确认民事侵权精神损害赔偿责任问题的解释》颁布,正式在民事司法中认可了隐私权的法律地位。2009年,《侵权责任法》正式对隐私权做出规定,这是首次在民事立法中应用隐私权概念,并将隐私权认定为专门民事权利。从总体上看,这种隐私权保护模式可以满足部分个人信息保护需求。随着时代发展,个人信息的价值已然拓展。王利明教授认为,隐私权的“内涵具有相对的确定性,不可能无限制扩张,以致涵盖所有的人格利益保护”,因此,单纯依靠隐私权制度已经无法满足个人信息新的保护需求。
首先,隐私权制度难以对个人信息实施全覆盖保护。隐私具体表现为私密信息或私人生活,只要是个人不愿意公开且无损公共利益的信息都可包含在内,并且对个人身份不具备直接指向性。个人信息的重点在于身份识别性,即该种信息同个人身份或人格有特定关联,或是单条指向个人,或是组合指向个人,从而完成身份识别。可见,个人信息与个人隐私存在一定交集,但是,其范畴远远超过个人隐私。不仅如此,个人信息与隐私权的权利内容和保护范围也存在显著差异。隐私权强调个人隐私信息的支配利用、防止非法获悉披露,而个人信息保护强调的是信息主体对个人信息的主动控制与积极利用。这一差异使传统的隐私权救济途径很难对个人信息实现全面保护。
其次,隐私权制度不能有效保护个人信息的财产价值。个人信息既关涉人格利益,又蕴含财产价值,其商业性利用是信息时代的突出特征。隐私权主要是精神性人格权,所重点维护的是人格尊严与自由等人格利益,侵害后果具体表现为精神损害,个人信息所蕴含的财产利益是隐私权无法承载的。此外,个人信息的利用是权利人积极主动的权利,只要能够通过科学立法保证个人人格尊严利益与市场经济发展的平衡即可。但是,隐私权属于消极防御性权利,只有权利遭受侵害后才能请求他人排除妨害、赔偿损失等。因此,面对迅猛发展的信息产业和一日千里的信息技术,传统的隐私权保护模式已很难对个人信息的财产利益实施有力保护。
再次,隐私权制度很难平衡信息领域各方主体利益。在信息时代,信息是一种具有公共产品属性的特殊商品,围绕“个人信息”分布着三类利益主体,分别是个人、信息从业者和政府。对个人而言,其利益体现为人格自由和个人尊严;对信息从业者而言,则是希望通过利用个人信息获取经济利益;对政府而言,一方面,需要通过信息利用实施社会管理,乃至维护国家安全,另一方面,还需要通过制定法律为个人信息保护划定边界,在有效维护个人信息安全的同时,促进信息产业的健康发展。利益主体和利益内容的多元,要求个人信息保护规则既不能太弱也不能太强,其关键任务不是将个人隐私权最大化,而是平衡不同的利益和目标。传统隐私权主要是从个体出发为个体提供单一向度的权利保护,并没有从兼顾个人信息的保护和利用两个视角加以考量,无法在信息领域多方利益主体间形成合理有效的平衡。
二、“隐私+一般信息”模式基本立场
个人信息保护模式的建立需要以利益平衡为前提,平衡规则的制定则需要全面掌握法律所规范的各方利益之间的冲突关系。在这个领域,基于不同的立法体系,国外主要存在欧盟“统一专门立法”和美国“隐私权分散立法+行业自律”两种立法模式,而中国的个人信息保护立法则逐步从分散走向统一,并推进公私法的协同作用以实现对个人信息的全面保护。
欧盟将个人信息保护植根于公民基本权利,通过《个人数据保护指令》(Data Protection Directive)(95/46/EC)以及之后将其取代的《一般数据保护条例》(GDPR)等统一的法律规则,构建了系统化、防御型的个人信息保护模式。2018年实施的GDPR在序言中规定,任何收集、传输、保留或处理涉及欧盟所有成员国个人信息的机构组织均受该条例的约束,而且其后续规定的“设立业务机构”和“提供商品或服务”解释也十分宽泛和灵活,即只要数据的收集方、提供方和处理方有任何一方是欧盟成员国公民或法人,就适用GDPR。这意味着,很多原本不受欧盟隐私法律约束的企业也因此而不得不适用GDPR。除此以外,GDPR还规定了“同意”(这种同意是自由、知情、特定、明确、严格的)是数据处理的法律基础,敏感数据原则上禁止处理(不包括除外情形),而且用户还同时享有“被遗忘权”(用户个人可以要求责任方删除关于自己的数据记录)和同意撤回权(数据主体必须在作出同意前被告知其撤回权)。因此,企业想要实现信息收集、整理和利用,则面临重重阻碍,即便是收集一般信息也要征得用户的明确同意,同时,还要注意满足GDPR的其他要求,防止遭到高额的行政处罚。企业为此耗费了大量资源,这种高昂的合规成本最后又会被转嫁到消费者身上。根据腾讯研究院发布的《迷雾中的新航向——2018年数据保护政策年度观察》报告,财富全球500强公司针对GDPR合规投入约78亿美元。有许多中小企业因担心过高的法律风险,宣布停止向欧洲地区提供服务。美国信息技术与创新基金会(ITIF)在《关于美国数据隐私立法的最佳方案》(A Grand Bargain On Data Privacy Legislation For America)报告中预测,GDPR还将影响新兴技术的部署。可见,GDPR实际上已经阻碍了欧洲信息产业的发展。
美国以隐私权统一保护个人信息,坚持分散立法,在各个行业分别制定有关个人信息保护的法律规则、准则,主要依靠市场和行业自律实现对个人信息的保护,体现了美国虽然对关涉隐私的个人信息提供了较为严厉的保护,但更加关注信息的自由流通。其最早的《信息自由法案》(Freedom of Information Act)(1966年)规定,联邦层面除去商业秘密与明显侵犯个人隐私的政府记录外,任何人都可获得含有个人信息的公共记录。而1974年的《隐私法案》(Privacy Act),仅针对信息主体权利和政府机关义务进行了规定,不及于企业。其中的例外条款规定意味着,联邦政府向各类联邦机关所开展的信息披露都属于不必得到信息主体同意的例外情形,同时,联邦机构还能借助“例行使用”条款,合法做出各种不经个人同意而公开信息的行为。美国针对不同行业进行的分散立法,不利于企业形成保护个人信息的意识。行业自律模式的构建,使信息主体可能无法控制自身个人信息不被企业滥用,因为企业的目标是追求利润,而其过分追求利润往往会挤压个人信息的安全空间。尽管美国可以依靠隐私权含义扩张与法官个案解释对个人信息实现一定保护,然而,由于统一法律规则的欠缺以及个人与企业地位的失衡等因素,还是无法完全避免个人信息安全所遭受的风险。
在《民法典》出台前,中国于公法层面确立了一个基本原则:未经同意不得收集和使用个人信息。但是,这种单一保护性质的法律规定并不能很好地解决私法层面隐私权保护制度无法平衡多方利益的问题。因此,《民法典》从坚持个人信息保护与利用并重的立场出发,在维护个人人格利益、避免信息处理侵害个人信息控制权益的基础上,提倡个人信息去识别化后的再利用,关注个人信息财产价值运用,由此确立了“隐私+一般信息”保护模式。在《民法典》条文中,第1032条和1034条分别针对隐私、个人信息的范围进行了界定,从而完成了对两者的区分,确立了针对隐私信息、一般信息的不同保护规则,且《民法典》第1036条还针对个人信息处理者免责事由进行了规定。和欧盟过分关注人格利益保护的法律模式相比,中国《民法典》的规定显然关注了个人信息在利用层面的重要意义,这也是法律作出区分性规定的原因所在。尤其是在当今信息产业高速发展,云计算、人工智能、区块链等技术和个人生活、社会发展、国家安全联系愈加紧密,大数据应用领域日趋广泛的背景下,《民法典》的这种设计无疑会助力信息产业发展。《民法典》第1035条和1037条还规定了自然人在个人信息方面享有的四种权利,第1035条、1038条和1039条则要求信息处理者处理信息要遵循合法、正当和必要原则,并采取相应的保护措施,这表明中国通过统一法典完成了对个人信息的保护。相比于美国分散立法且更加关注信息自由流通的法律模式而言,中国法律可以更有效地平衡个人与企业利益、降低个人信息安全风险,既能维护权利人人格尊严和财产利益,又能促使信息从业者与政府高效地处理和利用信息,提升社会生产效率,推动信息产业发展,最终实现三方共赢。
三、“隐私+一般信息”模式运用原则
法律的生命力在于实施,法律的权威也在于实施。在《民法典》确立了“隐私+一般信息”保护模式后,如何才能将这些规定落到实处、发挥实效,尤为关键。从法律条文本身出发,“隐私+一般信息”保护模式需坚持以下运用原则。
(一)区分私密信息、一般信息适用规范
《民法典》所定义的隐私内容包括私密空间、私密活动和私密信息。第1034条第3款确定了个人信息中私密信息与非私密信息的保护规则。从条款规定看,所指私密信息应属同一定义。之所以对两者进行区分,主要在于私密信息属于个体不愿意为人所知的信息,即便是那些有违道德的内容,只要不涉及公序良俗、不违反法律的强制性规定,也属于私密信息。而一般信息虽包含在个人信息范畴内,但并非个体不愿意为人所知的信息,甚至有些已然公开,例如个体主动公开希望更好融入社会的信息(姓名、联系方式等)。细究两者范围和内容,明显需要确定不同的保护规则。因此,《民法典》第1034条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
对这一款的理解,可以包括以下两点:第一,处理私密信息相较于处理一般信息要求更加严格。私密信息既受到隐私权保护,也受到个人信息相关规定保护,需要优先适用前者,补充适用后者。一般信息则只由个人信息相关规定保护。《民法典》第1033条第5项规定,必须在法律规定或征得权利人明确同意的情况下,才能处理私密信息,否则就构成侵权行为,而1035条规定,处理他人个人信息只需得到该权利人或其监护人的同意,或者法律、行政法规另有规定。这其中“明确同意”与“同意”虽仅有两字之差,但意义相差甚远。前者意味着处理私密信息必须要权利人知晓自身私密信息被处理后作出清楚明确的意思表示,后者则意味着这种同意并不必须是单独的、面向特定信息的,可以是概括同意。第二,两者在许可他人使用方面存在差别。程啸教授曾指出,隐私权人虽能够自行在网络上或向媒体公开私密信息,但隐私本身原则上不能许可他人使用或商业化利用。因为隐私权主要是为了避免他人对私生活安宁、私密信息安全等造成影响,维护人格利益,许可他人适用或商业化利用明显与此种保护目的相悖。但是,对于一般信息而言,权利人完全能够许可他人使用,这样也有助于推动信息产业发展。所以,《民法典》第1035条也规定了个人信息处理要求、条件与行为范围。
可见,“隐私+一般信息”保护模式实际上弥补了原本隐私权制度的弊端,可以实现对个人信息的全方位保护。同时,在个人信息利用方面所确定的合法、正当、必要和不得过度处理原则,也可以促进信息处理与利用,突出了个人信息的财产价值。
(二)明确个人信息权益内容与侵害免责事由
首先,《民法典》规定了自然人对其个人信息享有的四项权益内容:一是第1035条规定了自然人有同意他人使用个人信息的权利;二是第1037条第1款规定了自然人的查询复制权,也就是可以依法向信息处理者查阅或者复制其个人信息的权利;三是第1037条第1款还规定了自然人的更正权,也就是发现信息有错误的,有权提出异议并请求及时采取更正等必要措施;四是第1037条第2款规定了自然人的删除权,当自然人发现信息处理者违反法律、行政法规的规定或者双方约定处理其个人信息的,有权请求信息处理者及时删除。当自然人的个人信息遭受侵害后,权利人有权要求侵权人承担侵权责任,采取停止侵害、排除妨碍、消除风险和赔偿损失等救济措施。
其次,《民法典》还就个人信息遭受侵害的免责事由作出规定,具体包括:1.在该自然人或者其监护人同意的范围内合理实施的行为。2.合理处理该自然人自行公开或者其他已经合法公开的信息。对此类个人信息原则上并不需要得到权利人同意即可自行处理。需关注的是,权利人明确拒绝或者处理该信息侵害自然人重大利益的信息,应当除外。3.为维护公共利益或者该自然人合法权益,合理实施的其他行为。这一免责事由主要是为了满足维护国家利益、开展公共管理与公共服务的需求。最典型的例子,就是疫情暴发期间出于疫情防控需要对个人健康信息、轨迹信息进行收集和利用的行为。
再次,《民法典》第1038条针对信息处理者合法利用个人信息作出规定,要求其不得泄露或者篡改收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。信息处理者还应采取技术措施和其他必要措施,确保个人信息安全,一旦发生泄露、篡改或丢失等问题,要立即采取补救措施,依规告知自然人并向有关主管部门报告。《民法典》的“侵权责任编”还就网络用户、网络服务提供者利用网络侵害他人民事权益所应采取的补救措施进行了规定。这形成了具体的操作规则,有助于信息企业依法而行。《民法典》第1039条也针对国家机关等合法利用个人信息作出规定,要求对于履职过程中知悉的自然人隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。
(本文刊登于《中国信息安全》杂志2020年第10期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。