(一)个人信息受法律保护
1.立法目的
随着信息网络技术的发展,个人信息的产生、收集、存储和利用等方面发生了巨大的变化。
信息化建设的推进,使得信息资源成为重要的生产要素和社会财富。
信息资源的利用固然能为经济社会发展带来巨大的利益,但如果对其不进行任何限制,利用技术手段侵害个人利益的事件必然增多。
基于上述情况,个人信息的保护及其与信息自由、公共利益的关系成为现代各国和地区法律中备受关注的问题。
近年来,我国高度重视个人信息相关立法,从民事、行政、刑事各方面加强个人信息保护,协调个人信息安全及信息的合理利用。
本条第1款规定,自然人的个人信息受法律保护。
一方面,通过对个人信息的民法保护,赋予自然人对个人信息相应的民事权益,能够使得广大自然人重视该权益,积极保护个人信息。
另一方面,就《民法典》与单行立法在个人信息保护上的关系问题,既要有分工,又要有衔接协调。
《民法典》人格权编关于个人信息保护的规定立足于现行
法律法规进行了修改完善。
同时,考虑到将来与其他法律法规的衔接协调问题,就《民法典》这一长期稳定适用的民事基本立法而言,不能作出太多细致具体的规定,而只需作出基础性、原则性的规定。这样一来,既可以对其他的立法有所指引,又可为将来的发展留有空间。
2.个人信息的法律性质
《民法典》编纂过程中,对于是否将个人信息作为一种权利加以规定,各方的意见分歧较大。
持民事利益说的学者认为,我国原《民法总则》第111条未采用“个人信息权”的表述,意味着立法机关没有将个人信息作为一项具体的人格权益。
]持民事权利说的学者在承认自然人享有个人信息权的同时,对于权利的性质,也区分为近似人格权说和人格权说等不同观点。
有观点认为,在隐私权之外,确立自然人对其个人信息享有的民事权利,在一定程度上明确了个人信息权。
虽然没有直接规定自然人享有个人信息权,但对自然人而言,原《民法总则》第111条既是对其民事权利的宣示性规定,也是确权性的规定。
也有观点认为,原《民法总则》规定的个人信息是指个人身份信息,与隐私权保护的个人隐私信息能够进行明晰的界分,如实践中仅以隐私权的保护方法保护个人身份信息不够完善,且比较法上将个人信息权作为独立的权利的发展趋势越来越明显,因此,应当认定原《民法总则》第111条规定的个人信息,就是规定的自然人享有的具体人格权之一,即个人信息权。
《民法典》以及《
个人信息保护法》沿用了原《民法总则》的表述,均未明确个人信息是一项法定民事权利。
虽然不断有专家学者呼吁应当明确规定个人信息权,[6]但也有观点认为,如将个人信息权益确定为具体人格权,可能导致自然人对个人信息享有绝对的控制权和支配权,影响信息自由流动,不利于数字经济发展。
考虑到理论界和实务界尚未形成基本共识,最终立法者未明确将个人信息规定为“个人信息权”,而是采用了“个人信息保护”的表述,主要考虑是:个人信息受保护的权利与其他人格权在考量因素上有所不同,个人信息的保护要适当平衡信息主体的利益与数据共享利用之间的关系。
我们认为,虽然对于上述问题的争议有待进一步研究,但是也应当进一步关注自然人所享有的个人信息权益的性质、内容和保护方式,平衡好个人信息保护与保障国家发展利益、促进数字经济发展、维护公共安全等方面的关系。
(二)个人信息的定义
本条第2款采用了抽象定义和列举的方式明确了个人信息的概念。虽然个人信息的概念本身内涵广阔、边界模糊,但这种定义方式一方面通过直接或间接可识别性的认定体现个人信息这一概念的根本特征,另一方面通过列举典型的方式指导司法适用。
此外,本款在列举个人信息类型中,明确了电子邮箱地址和行踪信息属于个人信息的范畴,也是为了让信息的定义更适合互联网时代的需要,也更能适应大数据产业的发展。
1.有关个人信息定义的法律规定
我国立法上对于“个人信息”的概念界定较为典型地体现在《
网络安全法》上。
《网络安全法》第76条第5项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
《民法典》第1034条第2款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”
这种定义方式延续了此前《全国人民代表大会常务委员会关于加强网络信息保护的决定》中对于个人信息的定义方式,并借鉴了其他国家和地区的相关立法例。
《民法典》采取的是“识别说”,即能够单独或者与其他信息结合识别特定自然人作为确定该信息是否属于个人信息的标准。
但是,《个人信息保护法》第4条第1款采取的却是“关联说”,即“与已识别或者可识别的自然人有关的各种信息”[12]。
2.个人信息的构成要件
《民法典》第1034条规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。
据此,构成个人信息的要件有四:
一是自然人;
二是具有识别性,这也是个人信息的核心构成要件;
三是具有一定的载体;
四是各种信息。
第一,自然人。个人信息指的是自然人的信息。自然人,原则上应指享有权利能力的人,即活着的人。
首先,现实中,个人信息的保护有可能涉及胎儿利益,例如,胎儿娩出前在医院建档,如果医院擅自出售或者公开胎儿信息,则可能侵害胎儿的个人信息权益。
在此情形下,根据《民法典》第16条的规定,若个人信息的保护涉及胎儿利益的,那么胎儿应当被视为具有民事权利能力,其个人信息亦应得到法律保护。
其次,由于死者没有权利能力,原则上不宜作为个人信息保护的主体。根据《个人信息保护法》第49条的规定,应当由死者的近亲属行使死者在个人信息处理中的权利。最后,关于法人等组织体信息的问题。
从比较法来看,绝大多数的国家或地区都将个人信息限定于自然人的信息,而不包括法人等组织体的信息。在我国,无论立法[13]还是学说,均认为个人信息就是指自然人的信息。
第二,具有识别性,这也是个人信息的核心要件。具有识别性,即能够单独或者与其他信息相结合识别特定的自然人。任何可以直接或者间接识别特定自然人的信息都是个人信息。
所谓直接识别,即指某个信息本身就可以识别出特定的自然人,例如身份证件号码,指纹、虹膜等信息。间接识别指的是与其他信息结合后能够识别,即仅凭该信息本身尚无法识别出特定的自然人,但是只要将该信息与其他信息进行结合就可以识别出特定的自然人。
值得注意的是,《个人信息保护法》第4条第1款中的“已识别”与“可识别”的区分[15]不同于本条第2款的“单独识别”与“与其他信息结合识别”的区分。
所谓已识别与可识别,是从特定自然人是否已经被识别进行的区分。已识别指的是特定的自然人已经被识别出来,而可识别是指识别出特定的自然人的可能性,至于究竟是通过直接识别还是间接识别在所不问。
信息是否可识别特定自然人本身并不是一成不变的,不仅在不同地域之间有所区别,而且会随着技术的发展及由此产生的识别成本、识别时间等因素的变化而发生变化,即以往无法识别特定自然人的信息可能在未来就具有可识别性。
可见,个人信息识别性的判断具有一定相对性,需考察个人信息处理的主体、场景和方式。而对于是否可识别的判断,一般采用合理性标准,即基于合理的识别成本、数据范围、技术能力等因素综合进行考量。无论采“直接识别与间接识别”或者“已识别与可识别”,个人信息均需与特定自然人相关,才可识别出特定自然人。
因为,如果某些信息根本无法识别特定的自然人,那么对于这些信息的处理并不会对特定自然人的权益造成侵害或者产生侵害的危险,也没有必要基于维护自然人权益的考虑对此种信息的处理进行规制。
第三,具有一定的载体。个人信息必须以电子或者其他方式记录下来,没有以一定载体记录的信息不能认定为个人信息。
第四,各种信息。当信息涉及特定自然人的身份、特征或行为,或被用于确定或影响该人的地位或评价方式的时候,该信息就是能够单独或者与其他信息结合识别特定自然人的各种信息。
应区分“数据”与“信息”二者之间的关系。数据侧重的是对信息的记录,而信息则是有意义的数据,是把数据放到一定背景下,对数字进行解释和赋予意义。立法过程中,对于个人信息的表述,有的建议用“个人数据”,有的建议用“个人资料”,有的建议用“个人信息”。
从比较法的角度看,欧盟国家多采用“个人数据”,日本、俄罗斯、韩国采用“个人信息”。
最终,立法者采“个人信息”的表述,理由在于:一是与已有的立法保持一致。
我国现行的《网络安全法》《
电子商务法》《
消费者权益保护法》《
刑法》等相关法律,基本都使用“个人信息”的表述。二是“个人信息”的表述更为准确。
个人数据只是个人信息内容的载体,就个人信息保护的实质而言,法律保护的并非数据这个载体,而是载体所承载的内容,用“个人信息”的表述更能准确反映个人信息保护的本质,虽说欧盟以及一些国家和地区使用“个人数据”的表述,但是从欧盟及这些国家和地区的相关规定看,其实质保护的是个人数据的内容,即个人信息,并非数据这个载体。
3.典型的个人信息
本条第2款后半句详细列举了典型的个人信息的类型,即姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息。
第一,姓名、出生日期、身份证件号码。自然人的姓名既是个人信息也是姓名权的客体。
有学者认为,二者对自然人姓名的保护方式不同,姓名权旨在确保通过姓名正确识别个人的身份,防止个人身份的混淆,而个人信息对姓名的保护则旨在切断正确识别主体途径,这一差别也导致二者对个人的保护方法有所不同,姓名权的保护需要积极确认自然人的姓名权,而个人信息权的保护则主要通过控制姓名的传播范围的方式实现。
出生日期指的是个人具体的出生时间,通过出生日期,可以确定个人的年龄。个人的身份证件号码是指能够表明个人身份的证件的编码、号码等,最为常见的个人身份证件号码是居民身份证件号码,除居民身份证件号码外,个人的护照号码、社会保险号码、驾驶证号码,只要能够表明个人的身份,都应当属于该条所规定的个人身份证件号码。
第二,生物识别信息。个人的生物识别信息是指能够识别出个人身份的各种生物特征信息,包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等信息。
其中,面部识别特征信息也称为人脸信息。随着信息技术飞速发展,人脸识别逐步渗透到人们生活的方方面面,尤其在国境边防、公共交通、城市治安、疫情防控等诸多领域发挥着巨大作用。
在为社会生活带来便利的同时,人脸识别技术所带来的个人信息保护问题也日益凸显,一些经营者滥用人脸识别技术侵害自然人合法权益的事件频发,引发社会公众的普遍关注和担忧。
人脸信息是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,一旦泄露将对个人的人身和财产安全造成极大危害。
为对人脸识别滥用现象作出统一司法规定,最高人民法院制定了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,强化人脸信息的司法保护。
需要注意的是,肖像或者承载肖像的人脸图像,从个人信息角度,属于生物识别信息的一种;而从权利的角度,属于肖像权这一标表型人格权的保护范畴。
对原始人脸图像的侵害,既可能是因违反个人信息处理规则而侵害个人信息权益,也可能是因对肖像的不当使用而侵害自然人的肖像权,二者系从不同维度对人脸图像进行保护,可根据所侵害的权益,分别适用《民法典》人格权编的相关规定。
此外,由于生物特征信息很容易被获取并用于验证、识别和分析特定的自然人,从而形成对个人的全面监控,对个人的人身权益、财产权益造成损害。
因此,《个人信息保护法》第28条第1款规定生物识别信息属于敏感个人信息,应当遵循《个人信息保护法》第二章第二节关于敏感个人信息的处理规则。
第三,住址、电话号码、电子邮箱。个人住址是能够反映自然人居住位置的信息,是重要的个人信息。其不同于民法上个人的住所,住址的范围非常广泛,其既包括个人的住所,也包括个人的临时居所,还包括个人的通信地址。
个人的IP地址是否如住址一样也属于个人信息,关键是看能否识别具体自然人。
个人的电话号码既是个人的隐私,关系到个人的私人生活安宁甚至人身财产安全,同时也是重要的个人信息,行为人未经许可不得擅自收集、利用、共享他人的电话号码,否则会构成对他人隐私权与个人信息权的侵害。
在互联网时代,电子邮箱地址和通信地址几乎拥有同等地位,和具体的自然人之间存在着相当程度的联系,属于个人信息的重要组成部分。
第四,健康信息。所谓健康信息是指有关自然人健康状况的信息。健康信息是非常重要的个人信息,不仅是自然人接受医疗活动的基础条件,更能够通过健康信息清晰地描述出自然人的社会画像,相关企业可以精准地进行产品营销,甚至对自然人的社会交往活动产生影响。
健康信息涉及个人的身心健康,此类信息一旦泄露或非法使用,极容易对个人的人格尊严和生命健康造成损害,因此,《个人信息保护法》第28条第1款规定健康信息属于敏感个人信息,应当遵循《个人信息保护法》第二章第二节关于敏感个人信息的处理规则。
第五,行踪信息。以电子方式或其他方式记录的个人的出行信息。
个人行踪信息既包括自然人在特定时间的动态地理位置,也包括个人空间位置移动而形成的轨迹,也就是说,既包括实时的位置信息,也包括移动的轨迹。
对于个人的行踪信息而言,其不仅涉及一个人的隐私,也与个人人身权益、财产权益密切相关。
因此,《个人信息保护法》第28条第1款[21]规定行踪信息属于敏感个人信息,应当遵循《个人信息保护法》第二章第二节关于敏感个人信息的处理规则。
4.匿名化后的信息
《个人信息保护法》第4条第1款在对个人信息的界定中,较《民法典》第1034条第2款的规定,还增加了“不包括匿名化处理后的信息”的要求。所谓匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
需要注意的是,个人信息的匿名化是相对的,在可获得的数据来源越来越丰富以及算法越来越强大的大数据时代,无法识别出个人的数据也存在重新具有可识别特定自然人的可能。
《民法典》第1038条第1款规定:“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。”
该条款从信息处理的要求角度对匿名化处理作出了规定。与之不同的是,《个人信息保护法》第4条则直接从信息的内涵角度,将此作为区别于“已识别或者可识别”的特征予以规定,明确此类情形不属于个人信息的范畴。
就如何理解《民法典》与《个人信息保护法》相关条文之间的不同之处,我们认为,两者的规定没有冲突且相得益彰。
一方面,《民法典》强调了信息处理者在收集个人信息后,应当对个人信息进行匿名化处理。信息控制者之所以必须将个人信息进行匿名化处理,理由在于:
(1)个人信息用于定向营销、数据库营销和商务智能分析的场景,信息业者关注的是消费者的群体特征,因此去除单个人的明确身份识别要素,并不影响信息业者对消费者群体特征的分析。
(2)对个人信息进行匿名化处理,可以避免个人信息泄漏时信息主体被识别的可能性,降低个人信息使用、传输和共享时对信息主体造成损害的风险。
另一方面,《个人信息保护法》第4条第1款将此作为个人信息的排除性规定,则是由于这类信息已经丧失个人信息所要求的直接或者间接可识别性的特征,已不再属于个人信息,其流动不再受到权利人同意等的限制。
(三)私密信息的法律适用
我国立法上的个人信息权益与隐私权既有联系,也有区别。在隐私中与个人信息联系最密切的就是私密信息,其既涉及隐私权保护,也涉及个人信息保护。
立法者通过“私密信息”的概念,明确隐私权保护和个人信息保护各自的适用范围和相互之间的关系。
1.私密信息的界定
私密信息是一种特殊的个人信息,是指处于隐秘状态下,不为他人所知的与社会公共利益和他人权益无关的私人信息。
]“私”强调的是这项个人信息和公共利益、他人利益无关,“秘”强调的是该项个人信息处于隐秘不为他人知悉的状态。私密信息对于个人而言,具有特别的价值,如果这些信息被他人知晓,将会使得个人的私生活安宁受到干扰,而这种利益正是隐私权所要保护的人格利益。有鉴于此,本条第3款规定,个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
具体个案中认定案涉个人信息是否属于私密信息,需要结合当事人是否愿意为他人知悉以及社会公众的一般认知和价值权衡进行综合考量。至于私密信息的具体内容为何,在所不问。
例如,他人在道德层面应予否定性评价的行为(婚外恋、婚外性生活等),亦属于私密信息,受到隐私权的保护。
2.私密信息与隐私权的关系
我国立法上的个人信息权益与隐私权存在一定联系,但也有着不可忽视的区别。
根据《民法典》第1032条第2款的规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
《民法典》第1034条第3款[25]明确个人信息中的私密信息适用有关隐私权的规定,一定程度上体现了个人信息权益与隐私权在保护客体上的交叉性。自然人的私密信息如果被他人知晓,会使得自然人的私生活安宁受到侵害或者私生活受到干扰,而此种利益就是隐私权保护的人格利益。
个人信息权益与隐私权的不同之处在于:
第一,就二者在我国法上的概念内涵而言,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
而自然人的个人信息,是指以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。显然,私人生活安宁与私密空间与个人信息存在明显区别。
个人信息要求以电子或其他方式记录,而私密活动也可能尚未被记录下来。
第二,权利性质存在较大差异。隐私权属于人格权,性质上属于绝对权和支配权,具有对世性,其他任何自然人或者法人、非法人组织皆负有消极不侵犯自然人隐私权的义务。
与此相对的是,为了协调个人信息保护与合理利用之间的关系,《民法典》并未将个人信息权益确认为一项具有对世性的绝对权和支配权。第三,就权利内容和救济方式而言,隐私权作为一种私生活受尊重的权利,多表现为消极被动和防御性的特点,其主要权能是排除他人侵害。
而个人信息不仅包括个人信息不受非法收集、处理的内容,还包括权利主体对其个人信息的积极控制,如权利人有权决定其个人信息能否被他人收集、处理和利用以及如何利用,可以依法向信息处理者查阅或者复制其个人信息,发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。此外,自然人完全可以许可他人使用其个人信息,并针对商业目的的个人信息利用获取报酬。
3.敏感个人信息与私密信息的关系
《个人信息保护法》第28条规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”
根据上述条文,《个人信息保护法》按照信息内容是否直接涉及个人人格尊严和人身、财产安全,将个人信息划分为敏感个人信息与非敏感个人信息。
敏感个人信息涉及个人人格尊严的核心领域、具有高度私密性、对其公开或利用将会对个人造成重大不利影响,如本条列举的生物识别信息、医疗健康信息、金融账户信息、行踪轨迹信息等个人信息都是这样。
由于敏感个人信息与个人的人身和财产权益联系得更为紧密,一旦遭到泄露或修改将直接侵犯个人的人身、财产权益。因此,对于敏感个人信息的保护应高于非敏感个人信息的保护。
敏感个人信息与私密信息之间存在交叉关系。有些个人信息既是私密信息也是敏感个人信息,如医疗健康;有些个人信息虽然是私密信息,却并不是敏感个人信息,如个人的嗜好、被他人性骚扰的个人信息;有些信息是敏感个人信息却未必是私密信息,如种族或民族、宗教信仰、政治主张、面貌特征等。
在《个人信息保护法》立法过程中,有学者提出《个人信息保护法》中敏感个人信息与非敏感个人信息的区分同《民法典》私密信息与非私密信息的区分,二者之间究竟是什么关系?
我们认为,两种分类互为补充,相得益彰,对于更为全面地保护个人信息权益、自然人的人格权益具有重大意义。
两者之间的不同之处在于:
第一,规范目的的不同。《个人信息保护法》中敏感个人信息与非敏感个人信息(或者说一般个人信息)是按照信息内容是否直接涉及个人人格尊严和人身、财产安全进行区分的。
敏感个人信息涉及自然人的核心人格权益,如果一旦泄露会造成人格权益的严重损害,因此需要更为严格的保护。而《民法典》则是为了通过“私密信息”的概念,明确隐私权保护和个人信息保护各自的适用范围和相互之间的关系。
第二,两种分类的适用范围不同。私密信息是由《民法典》予以规定的,私密信息的分类应当适用于平等主体的自然人、法人和非法人组织之间。
与此相对的是,敏感个人信息是由《个人信息保护法》确定的分类,因此,敏感个人信息的分类不仅适用于平等主体之间,还包括国家机关以及法律、行政法规授权的具有公共事务管理职能的组织为了履行法定职责而处理个人信息的情形。
第三,两者之间适用的法律规则不同。
从《民法典》第1033条的规定来看,除了法律另有规定或者权利人明确同意,否则,任何处理他人私密信息的行为都构成对他人隐私权的侵害。
而个人信息处理者在处理敏感信息时,应当遵循《个人信息保护法》在第二章第二节详细规定的敏感个人信息的处理规则,即只有在特定目的和充分必要性,并采取严格保护措施的前提下,方可处理敏感个人信息等。
4.处理私密信息的特殊规则
依据《民法典》第1033条第5项,[27]处理他人的私密信息要么是取得隐私权人的“明确同意”,要么是依据法律的规定,否则,任何组织或者个人实施的处理他人私密信息的行为都构成侵害隐私权。
但是,对于处理非私密信息的个人信息,依据《民法典》第1035条[28],要么是依据法律、行政法规的规定,要么是得到该自然人或者其监护人的“同意”。
由此可见,《民法典》对私密信息和非私密的个人信息处理规则上有如下区别:
其一,在未经权利人同意的情形下,处理私密信息只能依据法律的规定,而处理非私密的个人信息可以依据法律和行政法规的规定。
其二,处理私密信息必须取得的是权利人的“明确同意”,而处理非私密的个人信息是取得自然人或者其监护人的“同意”。
二者的主体存在差异,且“明确同意”显然比“同意”更为严格。
所谓“明确同意”是相对默示同意而言的,即权利人必须作出同意的意思表示,该同意的意思表示应当是明确、具体的,不能模糊不清。权利人是否作出了明确同意,应由行为人举证证明。[30]
适用指引
一、公众人物个人信息权益的保护问题
从纽约时报诉沙利文案(New?York?Times?v.Sullivan)以来,很多国家在立法和司法实践中采取了对公众人物人格权进行限制的做法,这是衡平公众知情权与公众人物人格权的需要。
但是,披露涉及公众人物核心隐私的敏感个人信息,一般而言则不属于维护公共利益的行为,也不属于公众合理知情权的范围,对这种披露行为应认定为侵犯公众人物的个人信息权益。
具体而言,公众人物的私密约会、性行为、家庭聚会、住所内的私人活动、私人病史、金融账户信息等都是其核心隐私。
涉及上述个人信息的侵权案件,被告不能以原告是“公众人物”进行抗辩。
对于公众人物而言,其敏感个人信息的保护虽然受到一定程度的限制,但并非一般性的限制。
原则上,敏感个人信息构成公众人物私密信息且与公共利益无关的,都应受到如同普通人一样的保护。
二、个人信息分类在相关侵权案件审理中的作用
就人民法院审理侵害隐私权和个人信息权益的侵权案件而言,敏感与非敏感信息、私密与非私密信息这两种分类方法的意义体现在侵权责任构成要件的不同层次即侵害行为(行为非法性)和侵害的民事权益类型。
第一,在认定是否存在侵害个人信息的行为即判断个人信息处理行为非法性的阶段时,敏感个人信息与非敏感个人信息的区分是十分重要的。
由于信息处理者对敏感个人信息和非敏感个人信息的处理规则和法定义务不同,故此,认定针对敏感个人信息和非敏感个人信息的处理行为的非法性时,法院所依据的法律规范也不同。
当某个信息属于法律、法规、规章和国家标准规定的敏感个人信息时,法院就应当适用《个人信息保护法》中处理敏感个人信息的规范来确定处理者的义务,并据此判断信息处理行为是否非法,反之则不能适用此类专门针对敏感个人信息的规范。
对于私密信息,由于其受到隐私权的保护,故只要权利人没有明确同意并且没有法律的另外规定,即可认定处理私密信息行为的非法性,采取所谓的结果不法说。但是,认定非私密信息的非法性,仍然需要适用《个人信息保护法》所规定的个人信息处理规则。
第二,在确定行为非法性之后,要认定非法的个人信息处理行为即侵害行为所侵害的民事权益的类型究竟是什么。在该层面上,确认个人信息究竟是私密信息还是非私密信息非常重要。
因为这直接决定了侵害行为所侵害的客体究竟是隐私权还是个人信息权益。这种判断在法院审理的几乎所有的个人信息侵权纠纷中都会存在。
侵害的民事权益不同,侵权责任的构成要件、承担方式等也有所不同。
