本条是关于自然人的个人信息受法律保护的规定。
一、个人信息受法律保护
在传统意义上,个人信息主要是指姓名、出生日期、身份证件号码、住址、电话号码等能够识别特定自然人的信息。个人信息的类型相对固定,收集、存储、使用个人信息的方式也较为单一。此时,对于侵害个人信息的行为,通过行使姓名权、隐私权、名誉权等具体人格权的方式往往已足以保护。比如,未经他人同意擅自公开他人住址、电话号码等信息的,可以通过隐私权保护的方式加以规制。但是随着现代信息技术的不断发展,个人信息的种类不断丰富,记录的形式越来越多样。比如,人脸信息、电子通讯内容、网页浏览痕迹等都可以成为个人信息。个人信息被任意收集、处理的现象加剧,引发了大量有关信息自由、公共利益、社会安全等问题。
为保护个人信息,各国多以立法形式对个人信息处理活动予以规范,并形成了两种主要的立法模式。一种是统一立法模式。例如欧洲各国强调通过统一立法的形式明确个人信息受保护的权利。从20世纪70年代欧盟成员国国内立法,1995年欧盟《个人信息保护指令》协调各国保护标准,2009年欧盟将个人信息保护写入
宪法,确立个人信息保护的基本人权地位,到2016年《欧盟通用数据保护条例》(General?Data?Protection?Regulation,以下简称GDPR)出台,欧盟有关个人信息的保护标准趋向统一化、标准化。另一种是分散立法模式。美国没有统一的个人信息保护法,而是将信息隐私保护规范分散在宪法、侵权法等法律中。比如,在宪法中规定信息隐私权的一般性保护,在特别法中规定敏感个人信息和隐私权保护,在《联邦贸易委员会法案》中规定对商业领域信息隐私保护和对其他数据密集型商业行为进行监管。
我国个人信息保护立法历经了从以公法保护为主到同时重视私法保护的发展历程。1997年《
刑法》第253条规定“私自开拆、隐匿、毁弃邮件、电报罪”,打击邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的犯罪行为。此后该条经2009年《刑法修正案(七)》、2015年《刑法修正案(九)》沿革,最终设立“侵犯公民个人信息罪”。为依法惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益,最高人民法院会同最高人民检察院于2017年5月发布《侵犯公民个人信息刑事案件解释》,全面、系统地对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作出规定。
为加大个人信息的私法保护力度,2012年12月28日,第十一届全国人民代表大会常务委员会第三十次会议通过了《关于加强网络信息保护的决定》,对网络服务提供者和其他企业事业单位及其工作人员在收集、使用公民个人电子信息时应当遵循的原则及违反的法律责任作出了具体的规定。2013年《
消费者权益保护法》修订中,针对消费者个人信息泄露、非法买卖等问题,该法第14条明确消费者享有个人信息依法得到保护的权利。2017年6月1日起施行的《
网络安全法》在第四章“网络信息安全”中对个人在信息处理活动中的权利和他人利用网络侵害个人信息的行为类型进一步细化。2017年10月1日起施行的《民法总则》第111条[1]明确自然人的个人信息受法律保护。《
民法典》不仅在总则编第五章“民事权利”中明确个人信息受法律保护(第111条),还在人格权编第一章“一般规定”(第999条)、第五章“名誉权和荣誉权”(第1029条、第1030条)以及第六章“隐私权和个人信息保护”(第1034条至第1039条)中对个人信息的收集、使用、删除、更正和保护等问题作出详细规定。侵权责任编第六章“医疗损害责任”(第1226条)更是针对患者隐私和个人信息保护作出特别规定。
在前述相关立法的基础上,《个人信息保护法》对个人信息保护问题作出专门规定,在本法第2条再次宣示“自然人的个人信息受法律保护”,这不仅意味着《个人信息保护法》对个人信息的保护,还包括前述《民法典》《
数据安全法》《刑法》《消费者权益保护法》《
未成年人保护法》等相关法律对个人信息的保护。我国立法对个人信息的保护,既明确信息处理者在信息处理活动中应当遵守的原则和义务,又规定自然人在个人信息处理活动中的权利,体现出个人信息公法保护与私法保护的平衡。
二、个人信息主体的范围
《个人信息保护法》明确保护自然人的个人信息,对于个人信息主体的范围,在各国立法实践和学理上主要存在以下几方面的分歧。
(一)法人主体
在立法上,大部分国家将个人信息的主体范围限定为自然人,对法人采取否定立场,少部分国家如挪威、卢森堡等对法人信息与自然人信息一并保护。从个人信息保护的法理渊源看,个人信息保护的权利基础为一般人格权理论,通常认为,法人并无一般人格权,仅有名称权、名誉权、荣誉权等具体人格权。在价值保护方面,自然人的个人信息受到侵害时往往会引发隐私权保护问题,法人的信息可以通过商业秘密等规定保护。如将法人信息纳入个人信息保护范围,势必要求法人将信息尤其是商业秘密向行政机关进行申报,反而增加信息侵害的风险,与信息保护的初衷相悖。基于上述原因,我国《个人信息保护法》未将法人信息纳入保护范围,而是将个人信息主体范围限定为自然人,对实践中规范自然人信息保护具有重要意义。
(二)死者和胎儿主体
1984年《英国资料保护法》规定:“个人资料是由有关一个活着的人的信息组成的资料,对于这个人,可以通过该信息(或通过资料用户拥有的该信息的其他信息)识别出来,该信息包括对有关个人的评价,但不包括对个人资料用户表示的意图。”[2]1998年《英国资料保护条例》延续该规定,将个人信息主体限定为活着的自然人,其立法理由主要基于死者没有人格权,其信息不应得到保护。在《个人信息保护法》草案向社会公开征求意见阶段,有建议在草案第2条明确胎儿、死者及英雄烈士的个人信息受法律保护。《个人信息保护法》第49条最终明确:“自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。”可见我国立法并未将死者排除在个人信息保护的主体之外,对死者信息同样采取尊重和保护的态度,这主要是基于公共利益的考量。但死者没有权利能力,原则上不宜作为个人信息保护的主体。个人信息保护也可以向胎儿延伸。例如,胎儿娩出前在医院建档,如果医院擅自出售或者公开胎儿信息,则可能侵害胎儿的个人信息权益。
(三)家庭主体
2020年1月1日美国加利福尼亚州《消费者隐私保护法案》(CCPA)正式生效,根据该规定,个人信息不仅包括直接或者间接标识、涉及、描述、能够与特定消费者直接关联或合理连接的信息,还包括能够与家庭直接关联或合理连接的信息。该法将于家庭直接关联与合理连接的信息纳入保护,因此也有观点认为个人信息的主体既包括自然人,也应当包括由自然人组成的家庭。对于这一问题,一般认为“家庭”并非法律概念,与家庭直接关联或者合理连接的信息可通过作为家庭成员的个人信息加以保护,将家庭纳入个人信息主体范围缺乏必要性。
(四)外国人主体
相较于公民概念,我国立法上的自然人既包括中国公民,还包括外国公民和无国籍人,外延更为宽泛。虽然有观点认为,对外国人的个人信息施行同等保护不能当然认为外国人是国内法主体,外国人的个人信息可通过涉外条款保护,但结合《个人信息保护法》第3条[3]规定,《个人信息保护法》不仅规范在中国境内处理自然人个人信息的活动,还将适用范围适度扩张到中国境外,对特定情形下境外处理境内自然人个人信息的活动加以规范。可见,立法注重保护境内自然人的个人信息,强调自然人个人信息的产生、处理发生在中国境内,并不刻意区分境内自然人是否为中国公民。因此,外国公民、无国籍人的个人信息在中国境内处理,或者其境内个人信息属于法律规定的在中国境外处理情形的,也应当适用《个人信息保护法》。
三、个人信息权益的性质
(一)利益说与权利说
在民法上,并非所有的利益都可以称为民事权利。民事权利本质上是指法律为了保障民事主体的特定利益而提供法律之力的保护,是法律之力和特定利益的结合,是类型化了的利益。[4]在民事权利之外尚有一些合法的利益存在,它们还未被确认为民事权利。例如,占有的利益、死者的人格利益等。《个人信息保护法》明确保护的客体是自然人的个人信息,但并未直接表述为个人信息权利,而是采用“个人信息”“个人信息权益”“个人权益”“个人在个人信息处理活动中的权利”等表达方式,对于个人信息权益是一种民事权利还是一种民事利益在学界存在一定的争议。
持民事利益说的学者认为,我国《民法总则》第111条未采用“个人信息权”的表述,意味着立法机关没有将个人信息作为一项具体的人格权益。[5]考虑到个人信息的复杂性,《民法总则》第111条没有简单以单纯民事权利特别是一种人格权的形式加以规定,而是笼统规定个人信息受法律保护,为未来个人信息如何在利益上兼顾财产化,以及与数据经济的发展关系配合预留了一定的解释空间。
持民事权利说的学者在承认自然人享有个人信息权的同时,对于权利的性质,也区分为近似人格权说和人格权说等不同观点。有观点认为,在隐私权之外,确立自然人对其个人信息享有的民事权利,在一定程度上明确了个人信息权。虽然没有直接规定自然人享有个人信息权,但对自然人而言,《民法总则》第111条既是对其民事权利的宣示性规定,也是确权性的规定。[7]也有观点认为,《民法总则》规定的个人信息是指个人身份信息,与隐私权保护的个人隐私信息能够进行明晰的界分,如实践中仅以隐私权的保护方法保护个人身份信息不够完善,且比较法上将个人信息权作为独立的权利的发展趋势越来越明显,因此,应当认定《民法总则》第111条规定的个人信息,就是规定的自然人享有的具体人格权之一,即个人信息权。[8]
《民法典》以及《个人信息保护法》沿用了《民法总则》的表述,均未明确个人信息是一项法定民事权利。虽然不断有专家学者呼吁应当明确规定个人信息权,[9]但也有观点认为,如将个人信息权益确定为具体人格权,可能导致自然人对个人信息享有绝对的控制权和支配权,影响信息自由流动,不利于数字经济发展。[10]考虑到相关争议,立法者对此采取了谨慎的态度,《民法典》人格权编在规定具体人格权各章均采用了权利的表述,唯独第6章表述为“隐私权和个人信息保护”。《个人信息保护法》中也采用了“个人信息权益”的表述方式。我们认为,根据当前立法态度和立法语言,对于个人信息的信息仍应作民事权益的理解为宜。虽然从长期个人信息发展变化和保护需要来看,将个人信息确定为一项民事权利具有积极意义,但个人信息的外延较为宽泛,与隐私、商业秘密等都存在一定程度的交叉,结合个人信息权益的人身权属性和财产权属性特征,对于是否在人格权领域确定个人信息权以及个人信息权的准确边界,还需要进一步研究和探索。
(二)对个人信息权益的理解
自然人的个人信息权益,是指自然人就其个人信息享有的民事权益。我国《民法典》总则编第5章详细列举了自然人、法人和非法人组织所享有的各项民事权益,包括人格权益、身份权利、物权、债权、知识产权、继承权、股权和其他投资性权利,其他民事权利和利益,直至数据、网络虚拟财产等新型的财产。《民法典》第111条明确自然人的个人信息受法律保护,该条置于第110条(具体人格权)和第112条(因婚姻、家庭关系等产生的人身权利)之间,这一立法位置的安排充分表明自然人对个人信息享有的权益属于民事权益。[11]
我国民事权益分为人身权益与财产权益,其中人身权益又可分为人格权益和身份权益。虽然《民法典》没有规定个人信息权,但《民法典》第990条第2款明确规定自然人享有基于人身自由、人格尊严产生的其他人格权益。一般认为,法律对自然人个人信息的保护,本质上是保护其人格利益,包括人的尊严和自由。[12]因此,无论将个人信息界定为权利还是利益,都不影响法律将其确定为自然人的人格权益。我国《民法典》规定的人格权益可以进一步细分为精神性人格权益和物质性人格权益,精神性人格权益一般是民事主体对精神性人格要素如姓名、肖像、名誉、荣誉、隐私等享有的人格权益,如姓名权、名称权、肖像权、名誉权、隐私权等;物质性人格权益主要是指对于自然人的生命、身体、健康等拥有的人格权益,如生命权、身体权、健康权等。自然人对其个人信息享有的民事权益属于上述人格权益中的精神性人格权益。一般认为,我国民事立法和司法实践始终坚持人格权一元保护模式,即通过人格权制度同时实现对精神利益和经济利益的保护。
四、历次草案调整
草案一审稿中本条内容为“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益”。有建议将个人信息权益修改为“个人信息”或者“个人信息权益”,也有建议在本条明确胎儿、死者及英雄烈士的个人信息受法律保护,立法机关经研究未作调整。
【条文适用】
一、区分隐私权与个人信息权益、数据权益
对于个人信息与隐私权的关系,在《民法典》编纂过程中,一种观点认为应当通过隐私权来保护个人信息;[14]另一种观点认为个人信息不同于隐私,需要区分加以保护。[15]根据《民法典》第1032条第2款的规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。《民法典》第1034条第3款[16]明确个人信息中的私密信息适用有关隐私权的规定,一定程度上体现了个人信息权益与隐私权在保护客体上的交叉性。在保护客体方面,隐私权侧重保护私密性的信息,注重保护私人生活安宁和私密信息不为他人知晓,而个人信息权益保护的个人信息范围广于隐私权。在保护内容方面,隐私权特别注重隐秘性,强调个人私密不被他人非法公开,而个人信息权益注重对个人信息的支配和自主决定,强调享有信息是否公开的控制权。在保护方式方面,隐私权是一种消极的、防御性的权利,通常是待隐私权受到侵害后寻求事后救济,而个人信息权益偏主动性,强调预防个人信息被侵害。
关于个人信息与数据权益,《民法典》第127条[17]、《数据安全法》均明确规定了对数据权益的保护。从技术角度而言,数据是指具有可分析性、可统计性、有使用价值的信息的总和,不仅包括原生数据,即计算机直接产生的数据,也包括这些数据被记录、储存、编辑、计算后形成了具有使用价值的衍生数据,比如购物喜好、信用记录等。因此,数据是信息的记录形式,信息是数据的具体内容,个人信息与数据存在着紧密的联系。一般认为,《民法典》所保护的个人信息是依法受到保护,不可交易的可识别性的数据的总和。《民法典》第127条规定的数据是针对不涉及个人信息的可统计、非识别性的数据,这些数据的收集、处理是在保护自然人隐私权和信息权益基础上,对原始数据进行梳理、加密等方式后使用的。[18]由于数据处理者需要投入资金、时间、人力、智力、技术等进行开发,一般认为数据权益更侧重对数据本身的财产性权益。但这种权益究竟是物权、债权抑或知识产权,在理论上存在不同认识与分歧,立法层面也没有定论,需要依据具体情况判断权益属性。
综上所述,隐私权、个人信息权益都要求保护的个人信息具有可识别性,如信息经匿名化、脱敏化处理脱离可识别性后,则成为可流动、可使用的数据,宜从数据权益的角度加以保护;如信息可识别特定自然人,则要界定是否属于私密信息,以判断是适用隐私权保护的规定还是个人信息保护的相关规定。
二、区分私密信息与非私密信息
依据《民法典》第1034条第3款规定,个人信息可基于私密性标准划分为私密信息和非私密信息。私密信息是指通过特定形式体现出来的有关自然人的病历、财产状况、身体缺陷、遗传特征、档案材料、生理识别信息、行踪信息等个人情况。[19]这些个人情况是自然人不愿向他人公开披露的信息。未经权利人同意,任何组织或者个人不得擅自处理上述信息。私密信息和非私密信息虽然都能起到识别特定自然人的作用,但私密信息往往与特定自然人的识别性更强,联系更为紧密,并且关乎自然人的私人生活安宁和特定信息不为他人知晓,即个人隐私问题。此外,私密信息与《民法典》第1032条第2款[20]中的私密活动也有一定联系。私密活动是一种动态的隐私,如将私密活动记录成静态信息的形式,则为私密信息。例如,某一自然人在某宾馆房间与另一人约会是私密活动,但若其用手机将约会的过程记录留存下来,则手机上留存的记录就变成了私密信息,而非私密活动;某人的通信行为为私密活动,但通信记录则为私密信息。
