1、隐私权与个人信息权的区别
两者的区别具体表现为如下方面:(1)两者的内涵和表现形态不同。隐私权定义重点在于“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”,其核心在于“私密性”,隐私不限于信息的形态,它还可以以个人活动、个人私生活等方式体现,且并不需要记载下来;而个人信息定义重点在于“以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”,它必须以固定化的信息方式表现出来,通常需要记载下来,或者以数字化的形式表现出来,其核心在于“可识别性”【5】。
(2)两者的精神属性不同。隐私权主要是一种精神性的人格权,虽然可被利用,但其财产价值并非十分突出。因隐私权主要体现的是人格利益,故侵害隐私权也主要导致的是精神损害;而个人信息权在性质上属于一种集人格利益与财产利益于一体的综合性权利,并不完全是精神性的人格权,既包括精神价值,也包括财产价值。对于一些名人的个人信息而言,甚至主要体现为财产价值【6】
(3)两者的能动性不同。隐私权是一种消极的、防御性的权利,在权利遭到侵害之前,权利人无法积极主动地行使权利,而只能在遭受侵害的情况下请求他人排除妨害、赔偿损失;而个人信息权除被动防御之外,个人信息即使未受到侵害,权利人也有权请求行为人更改或删除其个人信息,因此,个人信息权也是一种能动的、积极的控制权和利用权【7】。
(4)两者的权利内容不同。隐私权的权利内容主要是维护个人生活的安宁和个人的秘密不被公开,而个人信息权的权利内容主要是维护个人信息的支配和自主决定权。
(6)承担民事责任的方式有不同之处。两者均属人格权,因此侵犯隐私权和个人信息权均可要求侵权行为人停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等。对权利人造成精神损害的,无论是违约行为还是侵权行为,都应承担精神损害赔偿责任,遭成损失的,还应赔偿经济损失。但是具体到隐私权和个人信息权的案件中,侵犯隐私权的行为一般不涉及经济损失的赔偿责任,但是对个人信息的侵犯通常会涉及到经济损害的赔偿。
2、隐私权与个人信息权的相似、交叉
(2)两者在客体上具有交叉性。一方面,许多未公开的个人信息本身就属于隐私的范畴。事实上,很多个人信息都是人们不愿对外公布的私人信息,是个人不愿他人介入的私人空间,不论其是否具有财产价值,都体现了一种人格利益。另一方面,部分隐私权保护的客体也属于个人信息的范畴。数字化技术的发展使得许多隐私同时具有个人信息的特征,如个人通讯隐私甚至谈话的隐私等,都可以通过技术的处理而被数字化,从而可能因具有身份识别的特征而被纳入个人信息的范畴。因此,民法典第一千零三十四条第三款才规定“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。
(3)两者侵害后果存在竞合。一方面,随意散播具有私密性特征的个人信息,可能也会同时侵犯隐私权。另一方面,侵权人多采用披露的方式侵害个人信息,这与侵害隐私权的方式非常类似。
(4)两者民事责任存在竞合。侵犯隐私权和个人信息权都侵犯了自然人的人格权,因此人格权的侵权责任对两者均适用。此外,根据民法典第九百九十七条的规定,权利人还可依法向人民法院申请采取责令行为人停止有关侵权行为的措施。
三、司法实践由“一元化”向“二元化”转变及对用人单位劳动用工的影响
1、隐私权和个人信息的“一元化”时代
2、隐私权和个人信息由“一元化”向“二元化”的转变趋势
3、司法实践中隐私权和个人信息向“二元化”转变对用人单位劳动用工的影响
《民法总则》只是原则性地规定了隐私权和个人信息受保护,但对个人信息的处理、个人信息与隐私权的关系、主体对个人信息的权利以及侵犯个人信息和隐私权的法律责任等都没有作进一步的规定。《网络安全法》虽对隐私权和个人信息保护有较为详细的规定,但主要指向网络运营者或网络服务提供者,其主体范围有限。而民法典列明了隐私权和个人信息的定义及禁止侵害他人隐私权的行为,明确了处理个人信息应遵循的原则和条件,构建了自然人与信息处理者之间的基本权利义务框架,确立了处理个人信息不承担责任的情形,合理平衡了保护个人信息与维护公共利益之间的关系,做出了对隐私权和个人信息保护的具体明确规定。从用人单位劳动用工管理角度看,这些规定为用人单位提供了个人信息保护的准则,但同时也是用人单位用工管理的红线,一旦逾越就有可能引发人格权民事争议。
1、健全个人信息保护制度和管理流程
民法典第一千零三十五条规定,“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”
(5)为降低规章制度制定程序上的合规风险,劳动者个人信息保护管理制度的制定和修改按《劳动合同法》第四条二款规定的程序履行,进行民主协商、公示并由劳动者签收。
2、强化对劳动者个人信息安全保护及技术措施
民法典第一千零三十八条的规定,“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。”民法典拓展了个人信息安全保护义务的主体范围,用人单位作为信息处理者应当履行该义务,建立相应的信息安全保护制度,并确保个人信息不被泄露、篡改、丢失,在加强个人信息安全保护管理措施的同时强化个人信息保护的技术措施和其他必要措施,确保劳动者个人信息的安全。
3、区分情况,妥善应对来自劳动者的查阅、复制、删除个人信息的要求
民法典第一千零三十七条规定,“自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”劳动者提出查阅、复制、删除在劳动合同履行期间收集或形成的个人信息请求时,用人单位应区分个人信息中是否涉及用人单位保密信息,分情况区别应对:如果不涉及用人单位保密信息,应当配合劳动者,许可查阅、复制;如果涉及用人单位保密信息、第三方保密信息或者其他劳动者的个人信息,应对这些保密信息或其他劳动者个人信息进行脱密处理后许可查阅、复制。采取脱密处理措施将损坏信息完整性,或者脱密措施造成的损害超过了劳动者查阅、复制信息的正当性、合理性、必要性,或劳动者拒绝采取脱密措施的,用人单位有权拒绝劳动者的查阅、复制请求(最好将用人单位的该拒绝权写进用人单位个人信息保护管理制度里)。用人单位对劳动者个人信息处理行为符合法律规定、规章制度规定或双方约定的情形,劳动者要求删除个人信息的,用人单位当然也有权拒绝。
五、强化隐私权和个人信息保护对互联网平台企业意义重大
随着互联网和大数据技术的发展,数据共享逐渐成为一种重要的数据利用方式,也是数据流通和数据产业发展的重要基础。数据共享概念主要是在机构、平台层面上使用,它是指不同机构、平台之间的数据交换。因此,数据共享可能会造成个人信息被不当使用,甚至造成信息的泄露,给信息权利人带来损害。这就使得强化个人信息保护,降低劳动用工风险显得尤为重要。
1、数据共享中强化个人信息保护的必要性
规范数据共享行为,强化对个人信息权利保护的必要性主要在于【16】:(1)大量共享数据中涉及个人的隐私和信息,甚至涉及个人的核心隐私和敏感信息;(2)数据共享必然包括个人信息的收集和传输行为,一旦运作不规范,就会出现数据
的收集、传输失控,其结果会导致大量的个人信息遭受不当使用,甚至是泄露、侵权;(3)共享本身是对个人信息的再利用,被共享者获得了这些信息数据后,还可能对信息数据进行再次加工、利用,甚至再次进行共享,而数据共享中的个人信息仍然属于信息权利人,会使本来存在的潜在泄露侵权或违约风险进一步扩大。
2、数据共享中个人信息泄露的风险防范
(2)既包括标准劳动关系劳动者,也包括非全日制、劳务派遣、借用、外包、专包、众包等灵活用工对象,数据共享一旦涉及劳动者个人信息,则应当获得信息权利人的书面同意,防止在数据共享及与第三方服务商就灵活用工的报酬发放、代缴税款等操作上的信息泄露和侵权风险;
结语
用人单位的用工管理权与劳动者的隐私权、个人信息权之间如何平衡,有待理论和司法实践的进一步发展,但毋容置疑的是,民法典对隐私权和个人信息的界分,扩大了个人信息的保护范围和手段,技术进步和管理智能化又使劳动用工管理过程中劳动者个人隐私和个人信息被二次衍生出来,弱化了管理者的风险意识。因此,重视个人信息保护,强化企业用工管理,是每个用人单位、用工单位必须面对的课题,互联网平台企业更应足够的重视,只有这样才能降低企业自身的法律风险,在民法典对隐私权和个人信息的界分保护中乘风破浪,所向披靡。
注释:
1SamuelWarrenandLouisBrandeis.TheRighttoPriacy[J].Harv.L.Rev,1890(4):220.2全国人大常委会法制工作委员会民法室编.北京:法律出版社,2010:448.
2全国人大常委会法制工作委员会民法室编.北京:法律出版社,2010:448.
31970年,德国黑森林州制定了世界上第一部个人信息保护法,用以规制公共机构对于个人信息的处理。
4《消费者权益保护法》(2013年修正)第五十条规定,经营者侵害消费者的人格尊严、侵犯消费者人身
18王利明:数据共享与个人信息保护,现代法学2009年1期第41卷第1期