2018年8月,《中华人民共和国民法典(草案)》首次对外公布,并经过第十三届全国人大常委会多次审议,不断的修改、完善。2019年12月,经第十三届全国人大常委会第十五次会议审议,全国人大常委会决定将《中华人民共和国民法典(草案)》提交第十三届全国人民代表大会第三次会议审议。2020年5月28日,第十三届全国人大三次会议表决通过《中华人民共和国民法典》(简称“《民法典》”),其中人格权独立成编,成为亮点之一(简称“《民法典人格权编》”)。《民法典人格权编》以专章八个条款,对隐私权和个人信息保护的定义范围、个人信息保护要求、责任主体和相对自然人的权利义务进行规定,将于2021年1月1日起实施。
一、区分、明确个人信息与隐私权的边界
在《民法典人格权编》生效之前,《民法总则》第110条明确自然人享有隐私权,第111条明确规定个人信息受法律保护,但《民法总则》并未对“个人信息”、“隐私”作出定义。《民法典人格权编》在现行法律规定的基础上,首次对“隐私”的定义作出了规定,进一步明确了个人信息与隐私权的边界和范围。
《民法典人格权编》第1032条基本采纳了目前关于隐私权界定的通说,规定“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”,第1034条明确:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。
二、明确个人信息的范围
三、引入个人信息保护要求
《民法典人格权编》第1035条重申了合法、正当、必要的原则并规定了处理个人信息的具体要求:(1)征得自然人或监护人同意,但是法律、行政法规另有规定的除外;(2)公开处理信息的规则;(3)明示处理目的、方式和范围;(4)不违反法律、行政法规的规定和双方的约定。
相较于《网络安全法》等以往的法律法规,《民法典人格权编》在获取信息主体同意时,强调了对于未成年人等无民事行为能力人或者限制民事行为能力人的个人信息收集需要征得监护人同意。关于未成年人个人信息保护,《民法典》规定不满18周岁的自然人为未成年人,属于无民事行为能力人或限制行为能力人1。处理未成年人个人信息的,应获得监护人同意。而《儿童个人信息网络保护规定》规定收集、使用不满14周岁的未成年人个人信息的,应当征得儿童监护人的同意。关于处理已满14周岁但未满18周岁未成年人的个人信息是否需要取得监护人同意,需要在实践中进一步明确。并且,该条还适用于其他无民事行为能力或限制行为能力人的情形,如处理辨别能力不足的老年人的个人信息等,具体如何实施也需要明确。
此外,《民法典人格权编》删除了个人信息收集的概念,而将收集视为个人信息处理的一部分,规定“个人信息处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”。相较于《民法典人格权编》草案三审稿,该条额外强调了“不得过度处理”个人信息。
四、规定个人信息保护的责任义务及例外情形
《民法典人格权编》第1036条首次明确规定了行为人处理个人信息不承担民事责任的三种情形:(1)在自然人或者其监护人同意的合理范围内;(2)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;(3)为了维护公共利益或者该自然人合法权益,合理实施的其他行为。
《民法典人格权编》第1038条规定,信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供个人信息,但是经过加工无法识别特定个人且不能复原的除外。
另外,《民法典》第999条也规定,为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等;使用不合理侵害民事主体人格权的,应当依法承担民事责任。
五、增加了国家机关及其工作人员保护个人信息的义务
《民法典人格权编》第1039条明确规定国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供自然人隐私和个人信息。
六、其他个人信息和隐私保护条款
《民法典》之中也对两类特殊情形下的个人信息保护要求作出了特别规定。
第一,特别规定了患者隐私和个人信息保护,1226条规定,医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。
第二,1030条规定,民事主体与征信机构等信用信息处理者之间的关系,适用《民法典人格权编》有关个人信息保护的规定和其他法律、行政法规的有关规定。
七、我们的观察
1.《民法典》第17、18、19、20条
2.GB/T35273—2020《信息安全技术个人信息安全规范》第8、9.1、9.2条