在原《民法总则》制定过程中,有的常委委员、部门、法学教学研究机构和社会公众提出,实践中,一些组织和个人非法获取公民个人信息,出售或者非法向他人提供公民个人信息,社会危害严重,建议进一步强调对个人信息的保护。立法机关经研究认为,明确对个人信息的保护对于保护公民的人格尊严、使公民免受非法侵扰、维护正常的社会秩序具有现实意义。
因此,在《民法总则(草案二次审议稿)》民事权利一章中专门增加了关于个人信息保护的规定:“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息。”
《民法总则(草案四次审议稿)》增加了“任何组织和个人应当确保依法取得的个人信息安全”的规定。[1]后经审议修改,第十二届全国人民代表大会第五次会议于2017年3月15日审议通过的《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”
《民法典》沿用了原《民法总则》的表述,仅将“任何组织和个人”修改为“任何组织或者个人”,其他未作修改。
(一)个人信息受法律保护
1.个人信息法律保护概述
随着大数据时代的到来、信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显,信息资源成为重要的生产要素和社会财富。
与此同时,个人信息泄露问题给社会秩序和个人切身利益带来了危害,个人信息保护越来越受到世界各国或地区的高度重视。为了更好地保护个人数据或者个人信息,很多国家或地区陆续颁布了个人数据或者个人信息相关法律,比如《欧盟一般数据保护条例》(GDPR)、《德国联邦数据保护法》《美国隐私法》《美国电子通信隐私法》《美国儿童在线隐私保护法》《日本个人信息保护法》《韩国个人信息保护法》等。
我国个人信息的法律保护经历了从以公法保护为主到同时重视私法保护的发展历程。
2005年,第十届全国人大常委会第十四次会议通过的《刑法修正案(五)》中增设的“窃取、收买、非法提供信用卡信息罪”(第177条之一第2款)是我国法律上第一个关于侵害公民个人信息犯罪的法律规定。
2009年,第十一届全国人大常委会第七次会议审议通过的《刑法修正案(七)》在《刑法》中新增第253条之一,首次将窃取或以其他方式非法获取公民个人信息、出售或非法提供公民个人信息情节严重的行为规定为犯罪行为,从而纳入刑事打击的范围。为加大个人信息的私法保护力度,2012年12月28日,第十一届全国人民代表大会常务委员会第三十次会议通过了《关于加强网络信息保护的决定》,对网络服务提供者和其他企业事业单位及其工作人员在收集、使用公民个人电子信息时应当遵循的原则及违反时的法律责任作出了具体规定。
以此为开端,我国个人信息以及网络数据立法工作加快推进。
《消费者权益保护法》(2013年修正)、《网络安全法》(2016年)、《电子商务法》(2018年)、《密码法》(2019年)、《未成年人保护法》(2020年修订)等法律的制定、修订过程中,立法机关对于个人信息保护问题也予以高度关注,均纳入了个人信息保护相关条款。
特别是《民法典》不仅在总则编第五章“民事权利”中明确个人信息受法律保护(第111条),还在人格权编第一章“一般规定”(第999条)、第五章“名誉权和荣誉权”(第1029条、第1030条)以及第六章“隐私权和个人信息保护”(第1034条至第1039条)中对个人信息的收集、使用、删除、更正和保护等问题作出详细规定;侵权责任编第六章“医疗损害责任”(第1226条)更是针对患者隐私和个人信息保护作出特别规定。
个人信息保护入典,意义十分重大。在此基础上,2021年颁布实施的《个人信息保护法》对个人信息保护进行了全面系统规定。
在司法解释层面,最高人民法院先后制定或者联合有关部门制定了《最高人民法院关于审理政府信息公开行政案件若干问题的规定》(2011年)、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(2014年[2])、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年)、《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(2019年)等司法解释。尤其是2021年7月出台的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,是我国首次对使用人脸识别技术处理个人信息相关民事案件审理作出专门司法解释,对于保护个人信息权益、规范个人信息处理活动具有重要意义。
此外,《电信和互联网用户个人信息保护规定》(2013年)、《儿童个人信息网络保护规定》(2019年)、《App违法违规收集使用个人信息行为认定方法》(2019年)、《关键信息基础设施安全保护条例》(2021年)、《常见类型移动互联网应用程序必要个人信息范围规定》(2021年)、《国务院反垄断委员会关于平台经济领域的反垄断指南》(2021年)、《常见类型移动互联网应用程序必要个人信息范围规定》(2021年)等也对个人信息保护予以专门规定。
2.个人信息的界定
《民法典》第1034条第2款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”
《网络安全法》第76条第5项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
这种定义方式延续了此前《全国人民代表大会常务委员会关于加强网络信息保护的决定》中对于个人信息的定义方式,并借鉴了其他国家和地区的相关立法例。
根据该规定,符合本条所规定的“个人信息”必须满足三个要件:
一是具有识别性。识别包括直接识别和间接识别。所谓直接识别,是指通过该信息可以直接确认某一自然人的身份,不需要其他信息的辅助;所谓间接识别,是指通过该信息虽不能直接确定某一自然人的身份,但可以借助其他信息确定该身份。
二是要有一定载体。
个人信息必须以电子或者其他方式记录下来,没有以一定载体记录的信息不属于个人信息。
三是个人信息的主体是自然人,法人或者非法人组织不是个人信息的主体。
3.个人信息权益的性质
《民法典》人格权编在规定具体人格权各章均采用了权利的表述,唯独第六章表述为“隐私权和个人信息保护”,并未明确权利的概念。
且《个人信息保护法》也采用了“个人信息权益”的表述方式。
我们认为,根据当前的立法态度和立法语言,自然人对个人信息享有的权益属于民事权益。虽然从长期个人信息发展变化和保护需要来看,将个人信息确定为一项民事权利具有积极意义,但个人信息的外延较为宽泛,与隐私、商业秘密等都存在一定程度的交叉,结合个人信息权益的人身权属性和财产权属性特征,对于是否在人格权领域确定个人信息权以及个人信息权的准确边界,还需要进一步研究和探索。
4.个人信息的主体范围
个人信息指的是自然人的信息。自然人,原则上应指享有权利能力的人,即活着的人。
第一,自然人的民事权利能力始于出生,胎儿尚未与母体分离,不是独立的自然人。因此,就产生了胎儿的个人信息是否得到法律保护的问题。
《民法典》第16条规定:“涉及遗产继承、接受赠与等胎儿利益保护的,胎儿视为具有民事权利能力。但是,胎儿娩出时为死体的,其民事权利能力自始不存在。”
该条对胎儿利益的保护并未限定在继承、赠与范围,原则上也包括侵权等其他需要保护胎儿利益的情形。
现实中,个人信息的保护有可能涉及胎儿利益,例如,胎儿娩出前在医院建档,如果医院擅自出售或者公开胎儿信息,则可能侵害胎儿的个人信息权益。
在此情形下,根据《民法典》第16条的规定,若个人信息的保护涉及胎儿的利益的,那么胎儿应当被视为具有民事权利能力,其个人信息亦应得到法律保护。
第二,关于死者的个人信息保护问题。
《民法典》第13条规定:“自然人从出生时起到死亡时止,具有民事权利能力,依法享有民事权利,承担民事义务。”
自然人死亡后不具有权利能力,死者的个人信息是否受到法律保护就产生了疑问。在我国《个人信息保护法(草案)》向社会公开征求意见阶段,有建议在草案第2条明确胎儿、死者及英雄烈士的个人信息受法律保护。
《个人信息保护法》第49条最终明确:“自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。”
由此可见,我国立法并未将死者利益排除在个人信息保护之外,对死者信息同样采取尊重和保护的态度,这主要是基于公共利益的考量。但死者没有权利能力,不能作为个人信息保护的主体。
根据《个人信息保护法》第49条的规定,应当由死者的近亲属行使死者在个人信息处理中的权利。
第三,关于法人等组织体信息的问题。在我国,无论立法还是学说,均认为个人信息就是指自然人的信息。
理由在于:首先,《民法典》第111条和《个人信息保护法》第2条明确规定“自然人的个人信息受法律保护”。其次,个人信息保护的权利基础为一般人格权理论,即个人信息保护是为了维护自然人的人格尊严和人格自由,法人并无一般人格权,仅有名称权、名誉权、荣誉权等具体人格权。
最后,法人等组织体信息可通过其他法律予以保护。
例如,《反不正当竞争法》第9条第4款规定:“本法所称的商业秘密,是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。”
第四,关于外国公民、无国籍人的个人信息保护问题。由于我国《涉外民事关系法律适用法》并未直接规定个人信息保护应当适用的准据法,对于外国公民、无国籍人的个人信息保护问题就产生了疑问。
我们认为,根据《个人信息保护法》第3条[6]的规定,《个人信息保护法》不仅规范在中国境内处理自然人个人信息的活动,还将适用范围适度扩张到中国境外,对特定情形下境外处理境内自然人个人信息的活动加以规范。
可见,立法注重保护境内自然人的个人信息,强调自然人个人信息的产生、处理发生在中国境内,并不刻意区分境内自然人是否为中国公民。
(二)其他民事主体对个人信息保护的义务
《民法典》第111条第1句规定,自然人的个人信息受法律保护。该句是立法者从自然人的角度肯定了个人信息受到法律的保护。
为了协调个人信息保护与有效利用的关系,《民法典》第111条第2句从获取个人信息的法人或其他组织的角度,进一步规定了安全原则及禁止非法的个人信息处理行为。
1.依法取得的义务
根据《民法典》第1035条第2款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
《个人信息保护法》第4条第2款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
《个人信息保护法》除增加1项“删除”外,对于个人信息处理的定义基本一致。
我们认为,《民法典》第111条中的“获取”应当与“收集”作相同理解。
收集就是指个人信息处理者获取或取得自然人的个人信息的行为。
收集个人信息的行为方式很多,既包括自然人主动提供其个人信息给处理者的情形,也包括处理者向自然人索取其个人信息的情形,还包括在自然人上网或者使用应用软件等互动过程中自动记录其个人信息的情形。
获取(收集)个人信息行为作为个人信息处理环节的其中之一,不仅应当遵循《民法典》《个人信息保护法》中确立的合法、正当、必要、公开、透明等原则,也应当遵循《民法典》《个人信息保护法》中所确立的个人信息处理规则,经告知同意或者符合法律、行政法规规定的事由,方可在合理范围内收集个人信息。
2.信息安全保障义务
《民法典》第1038条第2款进一步规定:“信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。”
《个人信息保护法》第9条也规定了个人信息处理中的安全保障原则。
此外,《数据安全法》《网络安全法》《消费者权益保护法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律法规中均有关于个人信息处理者负有保障信息安全义务的内容。
个人信息处理中的安全原则,即个人信息处理者应当采取必要措施保障所处理的个人信息的安全,防止出现个人信息的泄露、篡改、丢失。
《民法典》《个人信息保护法》等法律对此予以规定的理由在于:强调安全保障原则,是为了凸显个人信息安全是个人信息保护的重要内容,个人信息处理者在处理个人信息时应对此特别予以关注,以免发生非法处理个人信息的情形,对特定自然人的人格尊严及人身财产安全造成损害。
《个人信息保护法》第51条明确列举了比较典型的必要措施,包括:
(1)制定内部管理制度和操作规程;
(2)对个人信息实行分类管理;
(3)采取相应的加密、去标识化等安全技术措施;
(4)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(5)制定并组织实施个人信息安全事件应急预案。
同时,考虑到个人信息处理活动的复杂性与多样性,该条将“法律、行政法规规定的其他措施”作为兜底性规定,留有弹性空间。
3.禁止非法的个人信息处理行为
《民法典》第111条列举了两大类非法处理个人信息的行为。
第一,非法收集、使用、加工传输他人个人信息。
所谓非法收集、使用、加工传输他人个人信息,是指违反《民法典》《个人信息保护法》《网络安全法》等法律、行政法规、部门规章关于个人信息保护的规定,收集、使用、加工传输他人个人信息的行为。
对个人信息的收集,包括自然人主动向信息处理者提供其个人信息,也包括信息处理者向个人索取个人信息。
使用,是指个人信息处理者对个人信息的分析和利用,如企业收集用户的浏览记录、订购的商品和付款方式等信息进行精准广告推送。
加工,是指对个人信息进行分类、筛选、排序、去标识化等活动。
传输,是指信息处理者传送所收集的个人信息的行为。
实践中,经常发生违反上述规定对个人信息进行非法处理的情况,如未经告知同意非法收集个人信息、过度收集个人信息、利用自动化决策方式进行信息推送并未提供关闭个性化推荐的选项,以及非法将个人信息提供给境外组织或个人等。
第二,非法买卖、提供或者公开他人个人信息。
此类行为主要是指,违反《民法典》《个人信息保护法》《网络安全法》等法律、行政法规、部门规章关于个人信息保护的规定,买卖、提供或者公开他人个人信息的行为。
实践中,由于买卖个人信息比较典型,所以立法往往对买卖个人信息单独予以规定,例如,《网络安全法》第44条、《刑法》第253条之一。
《个人信息保护法》第23条是关于向其他个人信息处理者提供个人信息的规定,第25条规定了没有取得个人同意不得公开个人信息,第55条规定了向其他个人信息处理者提供、公开个人信息应当事前进行个人信息保护影响评估与记录。
此外,《个人信息保护法》第10条还规定了第三种非法的个人信息处理行为:从事危害国家安全、公共利益的个人信息处理活动。无论是平等主体之间的民事活动,还是国家机关为履行法定职责而从事的行政行为,均不得危害国家安全和公共利益。
《个人信息保护法》第40条[8]及《数据安全法》第8条[9]即是出于国家安全的考量。
适用指引
一、《民法典》与《个人信息保护法》的关系
《民法典》是民事权益的宣言书,是私权领域的权利宪章,是保障民事主体民事权益的基本法,《民法典》已经明确个人信息属于一项人格权益,即通过人格权制度来保护个人信息,根本原因是人格权制度与个人信息之间存在密切的逻辑关系:个人信息由于其与特定主体的身份相关,属于人格要素;基于人格尊严和人格自由发展,个人对其身份信息享有决定权,有权控制其信息的收集、使用和分享。
因此,尽管《个人信息保护法》在承担义务主体、执行机制、法律责任等方面的规定有别于《民法典》,但单纯从私法规范层面而言,《民法典》与《个人信息保护法》规定属于一般法和特别法的关系。
在适用两部法律中的私法规范时,应当遵循一般法和特别法的适用原则,即当特别法有具体规定时,应优先适用特别法;当特别法没有规定时,适用一般法的相关规定。
具体而言,一方面,相较于《民法典》,《个人信息保护法》所确立的个人信息保护规则更加具体、细化、丰富,比如个人信息处理的多元化合法性基础、敏感个人信息处理规则、同意的要件及其撤回规则、自动化决策中个人信息处理规则等,这些规则优先于《民法典》适用。
值得一提的是,《个人信息保护法》对个人信息的界定与《民法典》等法律的界定稍有不同。
从文义上看,《民法典》采取的是“识别说”,即以能够单独或者与其他信息结合识别特定自然人作为确定该信息是否属于个人信息的标准;
而《个人信息保护法》第4条第1款,在“识别说”的基础上增加了“关联说”,即与已识别或者可识别的自然人有关的各种信息。
从这个层面看,《个人信息保护法》一定程度上扩张了个人信息的范围。司法实践中如何理解和使用这两种定义呢?
我们认为,《民法典》和《个人信息保护法》在此问题上的立法精神和内在逻辑具有一致性,因此,从解释论的角度看,通过扩张解释“识别说”中的“与其他信息结合识别”的外延,可以实现二者之间的趋同。
在民事审判中界定个人信息时,由于《个人信息保护法》中的私法规范是《民法典》的特别法,且《个人信息保护法》第4条第1款对个人信息的规定相对明确,不需要通过法律解释方法进行扩张,如不考量溯及力等因素,可以优先使用该定义。
另一方面,《个人信息保护法》并未包含个人信息保护的全部私法规范,《民法典》关于人格权保护、侵权责任等的规定具有兜底和补缺的重要价值,只有将《个人信息保护法》与《民法典》的相关规定相结合,才能形成完备的个人信息保护的原则、规则体系。
例如,《个人信息保护法》第69条规定了过错推定原则和损害赔偿的责任形式,并将损害赔偿主要限定于财产损害赔偿。由于个人信息权益属于人格权益,如果侵害个人信息权益造成自然人严重精神损害的,应适用《民法典》侵权责任编的相关规定。
另外,《民法典》第997条规定了人格权侵害禁令制度,如果当事人因个人信息权益受到侵害向人民法院申请人格权侵害禁令,也应回到《民法典》第997条,按照该条规定的条件进行审查。
二、个人信息权益与隐私权的关系
我国法上的个人信息权益与隐私权存在一定联系。根据《民法典》第1032条第2款的规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
《民法典》第1034条第3款[12]明确个人信息中的私密信息适用有关隐私权的规定,一定程度上体现了个人信息权益与隐私权在保护客体上的交叉性。
自然人的私密信息如果被他人知晓,会使得自然人的私生活安宁受到侵害或者私生活受到干扰,而此种利益就是隐私权保护的人格利益。
个人信息权益与隐私权的不同之处在于:
第一,就二者在我国法上的概念内涵而言,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。而自然人的个人信息,是指以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。显然,私人生活安宁、私密空间与个人信息存在明显区别。个人信息要求以电子或其他方式记录,而私密活动也可能尚未被记录下来。
第二,权利性质存在较大差异。隐私权属于人格权,性质上属于绝对权和支配权,具有对世性,其他任何自然人或者法人、非法人组织皆负有消极不侵犯自然人隐私权的义务。与此相对的是,为了协调个人信息保护与合理利用之间的关系,《民法典》并未将个人信息权益确认为一项具有对世性的绝对权和支配权。
第三,就权利内容和救济方式而言,隐私权作为一种私生活受尊重的权利,多表现为消极被动和防御性的特点,其主要权能是排除他人侵害。
而个人信息不仅包括个人信息不受非法收集、处理的内容,还包括权利主体对其个人信息的积极控制,如权利人有权决定其个人信息能否被他人收集、处理和利用以及如何利用,可以依法向信息处理者查阅或者复制其个人信息,发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。
此外,自然人完全可以许可他人使用其个人信息,并针对商业目的的个人信息利用获取报酬。
三、个人信息的司法救济
《民法典》第111条作为个人信息保护的民事法律依据,具有基础性指引作用,但是限于请求权尚不完整、利益保护模型不清、举证难度较大及损害赔偿认定较难等问题,相关规范较难以直接适用于司法实践。
应区分损害和妨害的类型,准确选择适用侵权损害赔偿请求权、人格权请求权或者寻求违约损害赔偿请求权的保护。
目前,从正面尝试精准界定个人信息保护的民事利益内涵并不现实,因此,从责任承担完整性或侵权责任的角度进行规制成为了最现实和理性的选择。[14]第一,根据损害和妨害的不同情形分别适用侵权损害赔偿请求权和人格权请求权。
目前,对于个人信息泄露等造成的损害情形,受害人往往面临损害举证的困难,或者难以确定损害的具体数额,必须寻求侵权损害赔偿责任之外的救济方式。
在具体案件处理中,应尊重当事人对请求权的选择,如因个人信息滥用或者泄露尚未造成损害,而只是受到妨害(或持续的侵害)或可能受到妨害时,应当适用人格权请求权;但是因不法行为造成个人信息权益受到侵害并且造成了损害时,可适用侵权损害赔偿请求权。
第二,侵权责任与违约责任在个人信息领域经常会出现竞合,比如App超越权限处理个人信息。
当责任出现竞合时,根据《民法典》第186条的规定,受损害方有权选择请求行为人承担违约责任或者侵权责任。
