核心提示:个人信息保护具有民事权利属性,《个人信息保护法》属于《民法典》的特别法,可以对《民法典》作出补充和例外规定,对其一般性规定进行变通和突破,但是不能违背其所确立的合法正当必要等基本原则。正确理解《民法典》与《个人信息保护法》的关系,在立法技术层面,应做好二者的协调和优化,尤其关于个人在信息处理活动中的有关权利制度。从《民法典》的立法精神出发,基于实践意识和问题导向,《个人信息保护法(草案)》可进行进一步完善和提升。
【摘要】个人信息保护具有民事权利属性,《个人信息保护法》属于《民法典》的特别法,可以对《民法典》作出补充和例外规定,对其一般性规定进行变通和突破,但是不能违背其所确立的合法正当必要等基本原则。正确理解《民法典》与《个人信息保护法》的关系,在立法技术层面,应做好二者的协调和优化,尤其关于个人在信息处理活动中的有关权利制度。从《民法典》的立法精神出发,基于实践意识和问题导向,《个人信息保护法(草案)》可进行进一步完善和提升。
【关键词】《个人信息保护法(草案)》《民法典》信息处理【中图分类号】D923【文献标识码】A
正确理解《民法典》与《个人信息保护法》的关系
众所周知,《民法典》在总则编(第111条)和人格权编(第1034—1039条)以多个条文对个人信息保护作出了重要规定,奠定了个人信息保护制度的规则框架;而《个人信息保护法》则是一部全面、系统规定个人信息保护的单行法。二者的关系是什么?有论者认为,二者之间不是普通法与特别法的关系。原因在于,《民法典》仅能调整平等主体之间的个人信息处理活动;而《个人信息保护法》同时涉及私法关系(私法主体之间)与公法关系(国家机关处理个人信息);而另外,《个人信息保护法》还规范不平等的私法主体(如用户与互联网平台)之间的关系。因此,《个人信息保护法》是所谓的“领域法”,或者是调整事实上地位不平等的主体之间的“社会法”,而非《民法典》的下位法,亦非其特别法;否则,可能陷入所谓“民法霸权主义”的误区。
《个人信息保护法》与《民法典》的立法技术协调和优化
个人信息的权利主体。关于个人信息的权利主体,《民法典》中的措辞是“自然人”;而《个人信息保护法(草案)》采取的措辞则是“个人”,譬如该草案第四章标题为“个人在个人信息处理活动中的权利”。从所指对象来说,二者并无差别,在措辞上似宜保持一致。
个人信息的处理原则。《民法典》第1035条规定了合法、正当、必要原则。而《个人信息保护法(草案)》第5条的措辞则是“处理个人信息应当采用合法、正当的方式”,将合法正当上升为原则;草案第6条规定了处理应限于实现处理目的的最小范围,这正是必要性原则的逻辑后果,但未明确规定此原则,因此建议明文规定“必要性”原则。
关于公开信息的处理。《民法典》第1036条第2款规定,合理处理该自然人自行公开的或者其他已经合法公开的信息,不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。这里,“处理该信息侵害其重大利益的除外”,是指如果处理该信息可能侵害权利人的重大利益;对于这样的例外情形,即便权利人同意,处理者也不得进行处理。《个人信息保护法(草案)》第28条规定了处理公开信息的告知同意制度,包括利用已公开的个人信息从事对个人有重大影响的活动。根据该条,如果权利人同意,即便对其有重大影响处理者亦可处理。此点需与《民法典》的前述规定保持一致。
获利返还规则。如前所述,《个人信息保护法(草案)》第65条借鉴《民法典》第1182条引入了获利返还规则,但在最后增加了一句:“个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”这句规定过错要件,似采取过错推定责任。但是,学界对侵害个人信息责任的归责原则存有争议,如采取过错推定责任,可能会与《民法典》第995条人格权请求权条款发生冲突(不以过错为要件)。例如,在信息处理者违反安全义务导致信息泄露的情况下,无论其是否有过错,均应采取相应的补救措施。因此,建议删除本句,或者将其“责任”限定为“损害赔偿责任”,而不包含人格权请求权(如消除危险)。
《个人信息保护法》与《民法典》的立法精神协调
《个人信息保护法(草案)》的重大亮点之一,是详细规定了信息主体的各项权利。从《民法典》强调个人信息权益保护的立法精神出发,针对实践中一些较为突出的问题,草案在以下方面仍可继续完善和改进。
知情同意权。《个人信息保护法(草案)》第17条规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。就此而言,可参考中国人民银行2020年9月发布的《金融消费者权益保护实施办法》第29条,其中明确规定金融机构“不得变相强制收集消费者金融信息”。因此,针对大量的APP存在变相强制消费者被迫同意处理其个人信息的情况,草案可增加规定“信息处理者不得变相强制个人作出同意”,确保个人知情同意权的真正落实。
自动化处理。《个人信息保护法(草案)》第25条针对实践中大量应用的自动化处理作出了规定,具有重大意义。根据该条第1款,利用个人信息进行自动化决策应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。这是对第7条“公开透明原则”的具体应用。第25条第2款对网络画像作出了规定:通过自动化决策方式进行商业营销、信息推送;应当同时提供不针对其个人特征的选项;这里显然是赋予消费者以同意权和选择权。从这一精神出发,第一,参考欧盟《一般数据保护条例》(简称“GDPR”)第22条“数据控制者应当采取适当措施保障数据主体的权利、自由、正当利益,以及数据主体对控制者进行人工干预,以便表达其观点和对决策进行异议的基本权利”,建议草案在第25条第1款增加个人有权要求处理者进行人工处理(人工干预和复核)的权利。因为如今大量的售后客服都是采用人工智能和机器人自动应答模式,消费者无法获得人工复审的权利,这在本质上是经营者逃避责任的方式,立法应当进行规制。
敏感信息。《个人信息保护法(草案)》规定敏感信息是其重大创新,这也是立法文件中第一次引入了敏感信息这一重要范畴。草案第29条第2款规定:“敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”本款规定特别指明了敏感信息的特殊重要性:一旦泄露或者非法使用,可能导致个人受到歧视或者人身财产安全受到严重危害,即严重影响个人的基本权利。因此,法律对敏感信息的处理必须设定特殊的要求。
从这个角度来看,草案第29条第1款规定仍有值得完善的地方。该款规定:“个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。”此处“具有特定的目的和充分的必要性”,措辞过于宽泛,建议在“具有”之前增加“基于维护公共利益或个人的重大利益”。以GDPR第9条为参考,尽管该条第1款亦使用了“特定目的(specificpurposes)”的措辞,但该语词是指基于个人的重大利益或者在健康、劳动、社会保险等领域的公共利益等。这从随后其他几项条款的措辞也可以看出:对信息数据主体的基本权利和利益是必要的;非营利机构的正当性活动中所进行的处理;处理是为了实现公共利益所必要的;科学或历史研究目的或统计目的是必要的并采取了合理的保护措施等。
此外,GDPR第35条第1款规定,当某种类型的处理——特别是适用新技术进行的处理——很可能会对自然人的权利与自由带来高风险时,在考虑了处理的性质、范围、语境与目的后,控制者应当在处理之前评估处理行为对个人数据保护的影响。而《个人信息保护法(草案)》第54条第1款也规定了处理敏感信息必须进行事前的风险评估制度;第2款规定了风险评估的内容。预计风险评估的具体机制将交由有关主管部门以规章形式加以规定,但从增加法律的可预期性和透明度角度出发,本款宜增加规定风险评估的原则、评估效力等基本问题。
信息泄漏时的通知义务。《个人信息保护法(草案)》第55条第2款规定:“个人信息处理者采取措施能够有效避免信息泄漏造成损害,个人信息处理者可以不通知个人。”此处是对信息处理者通知义务的豁免,但是,为防止信息处理者自己作出安全判断以规避通知个人的义务,建议增加规定“经履行个人信息保护职责的部门评估”,而非任由处理者自行作出判断。
增加携带权。以GDPR第20条为例,所谓携带权是指信息主体有权无障碍地将信息从其提供给的控制者那里传输给另一个控制者。就此而言,值得注意的是,中国人民银行2019年《金融消费者权益保护实施办法(征求意见稿)》第36条曾规定:“鼓励金融机构在技术可行的前提下,基于金融消费者的请求,将其金融信息转移至金融消费者指定的其他金融机构。”这是关于信息携带权的倡导性规定,携带权有助于打破信息的垄断,促进信息的自由流通,同时将强化信息主体对信息的控制与利用;当然,携带权会给信息处理者带来相应的义务和成本,因此现阶段仍然存在争议。从长远来看,为鼓励信息的流通,《个人信息保护法》可仿效前述倡导性规定,以倡导性规范的软性方式,对携带权作出前瞻性的指引式规定。而此类软法性和指引式规范的设置,也是治理现代化的重要表征。
(作者为中国人民大学法学院教授、博导,民商事法律科学研究中心执行主任)
【注:本文系国家社科基金重大课题“健全以公平为原则的产权保护制度研究”(项目编号:20ZDA049)的阶段性成果】