作者:天达共和律师事务所数据合规团队
“数”说经“典”
2020年5月28日,十三届全国人大三次会议表决通过了《中华人民共和国民法典》(“《民法典》”)。《民法典》将于2021年1月1日起正式施行。作为我国首部以法典命名的法律,《民法典》包括总则编、物权编、合同编、人格权编、婚姻家庭编、继承编、侵权责任编及附则,共计1260条,内容覆盖了民事主体社会生活领域的方方面面,被誉为“社会生活百科全书”。
01
个人信息的定义和权利属性
1.1个人信息的定义
《民法典》关于个人信息的定义基本沿用了此前《网络安全法》中的定义,强调了“可识别性”这一个人信息判定的根本特征,这也与包括欧盟在内的世界主要国家和地区对于个人信息定义的基础保持了一致。
因此,我们认为,《民法典》的定义并不意味着与两高司法解释和《个人信息安全规范》的规定冲突,反映特定自然人活动情况的信息仍然应当包括在个人信息范围之内,《个人信息安全规范》附录A中关于个人信息从信息到个人和从个人到信息的判定途径,仍然具有实务指导意义。
1.2个人信息与隐私权的区别及其权利属性
隐私权与个人信息既有联系又有区别。《民法典》强调了隐私的“私人生活安宁”“不愿为他人知晓”“私密空间、私密活动、私密信息”的特征。隐私信息中能够“单独或者与其他信息结合识别特定自然人”的信息属于个人信息,个人信息中符合“私密“特征的信息属于隐私信息。根据《民法典》第1034条的规定,个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。即,属于隐私信息的,应当首先按照人格权的一般规定以及《民法典》第1032条、第1033条关于隐私权的保护和禁止性行为的规定进行保护。
02
个人信息的处理原则
2.1处理的合法基础和例外
我国关于个人信息处理的合法基础采取选择同意原则(“opt-in”),《民法典》对这一原则再次予以明确。
同时,《民法典》还进一步规定了处理个人信息的责任豁免情形。第1036规定了三种豁免情形,包括在自然人或其监护人同意范围内合理处理、个人信息系自然人自行公开或已合法公开(但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外)、为维护公共利益或该自然人合法权益而进行合理处理。此外,《民法典》第999条还规定了为公共利益而进行新闻报道、舆论监督的特别例外情形。
根据《民法典》上述条款,我国法律目前认可的处理个人信息的合法基础包括:
(1)个人信息主体或其监护人同意;
(2)个人信息系自然人自行公开或已合法公开(但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外);
(3)为维护公共利益或该自然人合法权益,包括基于公共利益目的而进行新闻报道或舆论监督;
(4)法律、行政法规规定的其他合法基础(如,根据《电子商务法》规定,电子商务经营者应主管部门要求,依法向主管部门提供有关电子商务数据信息的,无需征得个人信息主体的同意)。
可以看出,《民法典》在一定程度上突破了原有法律对个人信息处理合法基础的限制。但需要注意的是,上述豁免条款中的第一项和第三项都强调处理个人信息应限于“合理”范围内。至于如何界定“合理”范围、如何判断是否符合公共利益,《民法典》留有空白,企业目前仍可参照包括《个人信息安全规范》在内的现行规范性文件的有关规定处理,更进一步的规定还有待正在制定中的《个人信息保护法》等配套法律法规予以细化。
此外,相较于《民法典》,2014年发布的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(“最高院司法解释”)和《个人信息安全规范》对处理个人信息的选择同意原则提供了更多例外情形,但多数并未被《民法典》采纳(考虑到《民法典》侧重于确立原则性的规范,因此上述具体的例外情形未在《民法典》中明示不表示其被立法机构否定,未来在《个人信息保护法》等专项法律、法规中可能会对此做出进一步明确规定)。在企业的经营活动中,如确有理由处理个人信息而无法获得个人信息主体同意的,建议可以参照最高院司法解释、《个人信息安全规范》等列示的情形,在企业制定和公布的个人信息保护政策中进行详细的约定,以避免、减少违反《民法典》上述规定而引发的法律责任。
2.2处理的基本原则
《民法典》第1035条[4]规定了处理自然人个人信息的基本原则。
首先,在条款的适用范围方面,《民法典》第1035条明确将处理个人信息的基本原则适用于所有民事主体的个人信息处理活动且涵盖个人信息全生命周期;在规制的主体和场景方面,不再仅限于《网络安全法》所适用的网络运营者对个人信息的处理或《消费者权益保护法》所规定的经营者对消费者个人信息的处理活动。尽管《个人信息安全规范》对于上述原则也作出相同或类似规定且其适用范围并不局限于特定主体或场景,但《个人信息安全规范》是不具有强制执行力的推荐性国家标准,因此其法律效力和执行力度有限。由于此前立法上的空白,现实中造成对个人信息保护往往重线上、轻线下或偏重于特定场景的问题,在监管和执法领域易形成盲点。《民法典》首次以法律的形式确定了个人信息处理的基本原则全主体、全场景、数据全生命周期的适用范围,完善了个人信息保护的顶层立法。
今年新冠肺炎疫情期间,武汉某小区曾发生的在核酸检测中要求居民必须提交手持身份证照片的情况,明显违反了个人信息处理的最小必要原则。今后,公民遇到此类情形,可依据《民法典》向信息处理者提出维权主张。
我们还注意到,在公安部公布的今年一季度App违法收集公民个人信息十大案例中,超过一半的违法App都存在未明示处理个人信息的目的、方式或范围的问题[5],说明遵守明示、披露原则无论是从民事角度或是行政监管角度,仍是企业合规的重点。
03
个人信息主体的权益和信息处理者的义务
3.1个人信息主体的权益
其次,《民法典》第1037条明确规定个人信息主体享有以下权益:
(1)获取个人信息的权益:个人信息主体可依法向信息处理者查阅或者复制其个人信息。《民法典》在《网络安全法》规定的个人信息主体所享有的更正权和删除权之外,新增个人信息主体获取个人信息的权益,在逻辑上完善了《网络安全法》第43条[6]规定的更正权和删除权。逻辑上,个人信息主体通过查阅或复制信息处理者保存或处理其个人信息的具体信息,才有可能判断信息处理者处理的个人信息是否正确或完整,或者初步判断信息处理者是否有权、越权处理其个人信息。
在该权益的行使方面,我们理解,无论信息处理者基于何种依据处理个人信息主体的个人信息,其履行向个人信息主体提供个人信息的义务之前提是个人信息主体提供最小、必要的信息证明其身份,以便信息处理者核实其身份后向对应的个人信息主体提供查阅或复制。
此外,正如权利不可能是绝对且没有边界的,该等查阅、复制个人信息的权益不应当是不加限制的。比如,某些特定场景下,个人信息主体拟查询、复制的个人信息牵扯他人的个人信息,该等查询或复制可能侵害他人合法利益的,我们认为就该等查询、复制应予以限制或采取保护他人信息的措施。
(2)更正权:个人信息主体发现信息处理者处理的其个人信息有错误的,有权提出异议并请求及时采取更正等必要措施。与《网络安全法》的规定相比,《民法典》就个人信息主体发现信息有错误的情形如何处理,并未仅仅限定于“更正”,而是“提出异议并请求及时采取更正等必要措施”,因此,理论上,个人信息主体可要求信息处理者采取其他必要措施,至于具体可采取哪些其他必要措施,我们理解,应结合具体的场景具体情况具体分析。
(3)删除权:个人信息主体发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。《民法典》仅就删除权做出了原则性规定,至于“删除”的具体内涵(请见下文第3.2节第(3)部分的讨论),删除权的行使有无限制性条件,哪些情形下信息处理者有权拒绝删除(如为准备或应对诉讼可能需要保存、处理个人信息除外),有待后续立法进一步明确。
3.2信息处理者的义务
与《个人信息安全规范》采用的“个人信息控制者”的概念不同,《民法典》对于对个人信息进行处理的主体并未使用“信息控制者”概念,而是提及“信息处理者”的概念,但并未进行定义。《民法典》中的“个人信息的处理”是指个人信息的收集、存储、使用、加工、传输、提供、公开等活动。因此,《民法典》下的信息处理者指的是进行前述活动的主体。以下简要介绍信息处理者的义务:
(1)一般性义务
根据《民法典》第111条,任何组织或者个人,包括信息处理者,除不得非法收集个人信息外,还不得非法使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。该条整体上确定了信息处理者的依法收集、使用、提供、公开个人信息的原则,也是信息处理者应坚守的一般性义务。
(2)披露及依法处理义务
与《民法典》第1035条规定的信息处理原则相适应,信息处理者处理个人信息的,应履行公开处理信息的规则,明示处理信息的目的、方式和范围的义务,以取得同意为前提或依照法律法规规定可不取得个人信息主体同意的,依法处理个人信息。
(3)对个人信息主体权益的配合义务
与《民法典》第1037条赋予个人信息主体的权益相对应,信息处理者对于个人信息主体行使其获取个人信息的权益、更正权和删除权时,负有配合义务。当然,这些配合义务的具体履行方式和详细要求,《民法典》未做出具体的规定。
就个人信息主体的更正权而言,信息处理者根据具体情况有必要核实信息的,在个人信息主体提出异议后需要尽快核实信息,采取更正等必要措施。我们理解“等必要措施”的规定,赋予了信息处理者一定的裁量权,例如,在更正信息前可能有必要临时性地限制处理有关个人信息(如适用)。因此,个人信息主体提出对信息处理者处理的个人信息进行更正或限制使用、暂时断开链接等措施的,作为信息处理者的企业有必要根据具体情况,判定限制个人信息的使用或暂时断开链接等措施是否为必要措施,并采取相应行动。
就个人信息主体依法行使删除权,信息处理者有配合义务。至于删除权的具体行使边界,或者说信息处理者的义务范围,《民法典》没有具体的规定。该等删除是否指参照《个人信息安全规范》第3.10条的规定在信息处理者实现日常业务功能所涉及的业务系统中删除并使其保持不可被检索、访问的状态即可,还是从信息处理者的系统或文件档案中完全移除、销毁,抑或是采取措施达到“删除”的同等效果(如欧盟GDPR下的可遗忘权),以及信息主体要求或通知其共享、提供信息的第三方删除,也无具体的规定。实践中,在缺乏具体的法律法规规范的情况下,《个人信息安全规范》仍具有实操上的借鉴意义。
(4)安全保障义务
信息处理者负有确保个人信息安全的义务,具体体现在《民法典》第1038条,这些规定与《网络安全法》的规定是一致的,但如前所述,作为统领民事领域的法律,《民法典》对于个人信息的保护不局限于通过网络、互联网信息技术手段处理个人信息的情形,还包括非网络环境下的个人信息处理。因此,不论是否将个人信息储存在网络设备或网络环境中,信息处理者都应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。
04
个人信息侵权责任
4.1《民法典》侵权责任编的适用
个人信息侵权责任未在《民法典》侵权责任编中独立成章规定,因此,个人信息侵权责任适用《民法典》侵权责任编第一章“一般规定”、第二章“损害赔偿”、第三章“责任主体的特殊规定”。
4.2侵权责任承担方式
《民法典》第179条规定了承担民事责任的主要方式,其中包括停止侵害、排除妨碍、消除危险、恢复原状、赔偿损失等。个人信息受到侵害时,侵权人依照《民法典》第179条的规定承担相应的责任,我们理解,根据个人信息的特点及具体应用场景,通常而言停止侵害、排除妨碍、恢复原状、赔偿损失为侵权人承担责任的主要方式。
关于损害赔偿,《民法典》侵权责任编第二章集中就损害赔偿进行了规定,其中第1182条规定了侵害他人人身权益造成财产损失时赔偿数额的确定方式,即按照被侵权人因此受到的损失或者侵权人因此获得的利益进行赔偿;损失以及因此获得的利益难以确定的,无法就赔偿数额协商一致的,由法院根据实际情况确定赔偿数额。
个人信息权益因侵权受到损害应获得多少损害赔偿,我们理解,需要法院在个案中确定。如果涉及精神损害方面的赔偿,通常该等被侵害的权益应纳入隐私权或名誉权范畴。
对于获取个人信息的权益以及更正权、删除权的履行,如果信息处理者拒绝作为的,个人信息主体可请求法院判令信息处理者采取实现个人信息主体权益的相应行动,采取予以提供、予以更正、删除等行为。
4.3侵权责任主体
第三章“责任主体的特殊规定”中,第1194条至第1197条对于利用网络服务实施侵害他人民事权益的责任主体予以规制。其中,根据第1194条,网络用户、网络服务提供者利用网络侵害他人民事权益的,应承担侵权责任,法律另有规定的从其规定。
第1195条规定了就网络用户利用网络实施的侵权行为,权利人可通知网络服务提供者采取删除、屏蔽、断开链接等措施,网络服务提供者应将该等通知转送网络用户,并根据构成侵权的初步证据和服务类型采取必要措施;未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。第1197条规定,网络服务提供者知道或者应当知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。因此,企业作为网络服务提供者,对于网络用户侵犯个人信息的行为,在符合《民法典》规定的情形下可能构成侵权责任主体。
对于可发布信息的网络平台来说,网络平台宜筛查平台上用户发布个人信息的行为(比如,有无大量个人姓名、身份证、手机号或银行卡号发布),或者通过技术上的设置预先阻止发布个人信息,尤其是敏感个人信息,以避免侵权风险,当然这可能增加网络平台的管理或技术成本。
05
关于特定行业的规定
随着我国健康医疗大数据的应用发展以及社会信用体系的建设,特别是在此过程中暴露出来的个人信息侵权案件的激增,包含大量个人敏感信息的个人健康信息和信用信息成为个人信息保护领域的重点。《民法典》也特别提及了医疗机构和信用机构的个人信息保护问题。
5.1健康医疗
个人健康信息是医疗大数据分析的基础,也是涉及国家战略安全、群众生命安全的重要战略性资源。
除关于隐私权和个人信息保护的一般性规定外,《民法典》还在侵权责任编第六章“医疗损害责任”中从两个方面对个人信息保护作出额外规定:
第1225条规定了医疗机构对病历资料的管理义务以及患者对其病历资料的查询和复制权;
第1226条则对患者的隐私权加以保护。从个人信息保护角度来看,上述条款可视为《民法典》第1037条、1038条关于个人信息主体的权益和信息处理者义务的规定在特定场景下的具化。
与《侵权责任法》相比,《民法典》第1225条基本上延续了《侵权责任法》第61条[7]的规定,而《民法典》第1226条较之《侵权责任法》第62条[8]则发生一些实质性变化,主要包括:首先,将保护的对象从患者的隐私扩大到患者的隐私和个人信息,从而与《民法典》人格权编“隐私权和个人信息保护”一章保持一致;其次,不再以“造成患者损害”作为医疗机构及其医务人员违反该条款而承担侵权责任的前提条件,在客观上将起到减轻患者举证责任、加强患者权益保护的正向效果。
5.2征信和公共信用管理
《民法典》通过两个条款对征信和公共信用管理领域的个人信息保护作出特别规定:
第1029条赋予民事主体对其信用评价的查询权和异议权;信用评价人有义务及时响应民事主体的请求并采取必要措施。
第1030条则明确民事主体与征信机构等信用信息处理者之间的关系适用《民法典》人格权编有关个人信息保护的规定和其他法律、行政法规的有关规定。
在《民法典》正式颁布之前,我国就征信机构对个人信息的处理和保护主要在《征信业管理条例》中加以规制。总体而言,《征信业管理条例》与《民法典》有关个人信息的规定原则上一致且互为补充。
一方面,《征信业管理条例》同样规定了信息主体对其信息的查询权和异议权,且二者在处理个人信息的合法基础和基本原则、信息安全保障等方面具有一致性。
与对征信机构的影响相比,《民法典》第1029条和第1030条对于推动我国公共信用体系建设具有更加重要的意义。
2019年,国务院发布《国务院办公厅关于加快推进社会信用体系建设构建以信用为基础的新型监管机制的指导意见》,要求发展改革委牵头,各部门按职责分别负责,深入开展公共信用综合评价,全国信用信息共享平台依照有关规定将评价结果向社会公开。国家发改委随后发布《国家发展改革委办公厅关于推送并应用市场主体公共信用综合评价结果的通知》,要求将公共信用综合评价结果纳入地方信用信息平台作为共享信息管理;鼓励地方政府探索开展地方公共信用综合评价和行业信用评价,并通过政府采购等方式引入第三方信用服务机构参与公共信用综合评价。
由于我国公共信用管理领域尚未制定顶层立法,而公共信用管理机构在履行其职能过程中不可避免地涉及对大量个人信息的处理活动,如何在加快社会信用体系建设和保护个人信息安全之间达到平衡,成为公共信用领域亟待解决的问题。
《民法典》第1029条和第1030条通过“信用评价人”“信用信息处理者”的概念,将公共信用管理机构纳入其适用对象范围内。尽管《民法典》关于个人信息的规定仍需通过配套法律法规进一步完善,但其对于解决上述问题仍提供了原则性的法律依据,对于各地政府建立健全公共信用管理机制具有重要指导意义。
06
结语和展望
《民法典》是中国法治建设的里程碑。《民法典》的发布和实施将对社会生活的各个领域产生深远影响。另一方面,《民法典》是关于民事权利义务的基础性法律,除了前述内容之外,对于数据、网络虚拟财产的保护,《民法典》沿袭《民法总则》,仅做了原则性的规定,为其他专项法律规定留下了充分的空间。
注释
[1]
王融《民法典人格权编》问世——“健康变色码”能停止异化么?
[2]
赵忠东可识别性是公民个人信息的根本特性
[3]
张惠兰民法典人格权编出台记:廿年两度起草,独立之争持续多年
[4]
《民法典》第1035条:处理自然人个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
[5]
公安部公布十大‘违法收集公民个人信息’App案例
[6]
《网络安全法》第43条:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
[7]
《侵权责任法》第61条:医疗机构及其医务人员应当按照规定填写并妥善保管住院志、医嘱单、检验报告、手术及麻醉记录、病理资料、护理记录、医疗费用等病历资料。
患者要求查阅、复制前款规定的病历资料的,医疗机构应当提供。
[8]
《侵权责任法》第62条:医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。
[9]
《卫健法》第49条、第92条、第102条。
[10]
《征信业管理条例》第13条:采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。
[11]
全国人大常委会工作报告:今年将突出公共卫生领域立法,制定个人信息保护法等