擅长:合同纠纷,债权债务,继承,婚姻家庭,刑事案件,医疗纠纷,劳动纠纷,征地拆迁
一、个人信息保护法所规范的个人信息处理
第一,将个人信息保护法调整的个人信息处理行为限定于以识别分析为目的的行为显然过于狭窄,个人信息保护法需要对个人信息处理行为进行全方位、动态性的规范。第二,个人信息保护法需要从内外两方面以强行性规范来构建个人信息处理规则。从外部来说,区分不同的个人信息处理行为、不同种类的个人信息以及不同的个人信息处理者,明确处理者在各类个人信息处理行为中所负的义务,同时,以法律责任保障其履行。从内部来说,强制性要求信息处理者对个人信息进行分级分类管理并采取加密等安全技术措施,强化大型的网络平台的监管义务。第三,个人信息保护法不仅调整公司企业等普通民事主体出于经营目的处理个人信息的行为,也调整国家机关基于公权力和履行公共管理职能处理个人信息的活动。第四,自然人之间因个人、家庭事务处理个人信息的不属于个人信息保护法调整的范围。
二、告知同意原则与个人信息处理行为的合法性
(一)告知同意规则是认定个人信息处理行为合法与否的基本规则
告知同意规则,也称“知情同意规则”,是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知,并在取得同意后方可从事相应的个人信息处理活动,否则该等处理行为即属违法,除非法律另有规定。我国个人信息保护方面的法律明确采取了告知同意规则。但是,由于告知规则与同意规则是密切结合在一起的,原则上必须是告知并取得自然人或其监护人的同意,处理个人信息的行为才是合法的,例外才不需要同意(包括需要告知但不需要同意或者既不需要告知更无须同意)。
(二)告知同意规则在个人信息处理规则构建中的作用
告知同意规则意味着:首先,个人信息处理者对其处理行为合法与否具有更明确的预期。其次,对于个人信息保护执法机构来说,告知同意规则为查处违法的个人信息处理行为提供了明确的标准。再次,在个人信息权益民事纠纷案件的裁判中,告知同意规则是法院认定处理者应否承担侵权责任的重要标准。
告知同意规则只是解决个人信息处理行为合法与否的问题,而非意味着发生侵害个人信息权益的违法行为时,处理者可以据此免于承担任何法律责任,更不能以告知同意规则的履行来排除其他个人信息保护规则的适用。同样,告知同意规则也不能排除信息主体享有的权利,其适用需要受到相应的限制。
(三)不适用告知同意规则的情形
1.为订立个人作为一方当事人的合同所必需的个人信息不属于例外情形
《草案(一审稿)》将合同还没有成立仅仅是缔约磋商或者初步接触的情形也作为不适用告知同意规则的例外,是不合适的。首先,合同没有合法成立前,处理者既不负有法定的也不负有约定的履行合同的义务,故此,其不存在可以排除适用告知同意规则而处理个人信息的确定的正当利益。其次,合同订立阶段即前合同关系的范围很广泛,自然人当然可以主动向处理者提供个人信息或请求处理者处理自己的个人信息,从而顺利缔结合同并在将来履行合同。当然,自然人在订立合同的阶段也完全可以不提供个人信息,如果因此导致合同无法成立也是其自负责任而已,不应当允许处理者有权不经告知同意即可处理个人信息。综上所述,《草案(二审稿)》第13条第1款第2项应当删除《草案(一审稿)》第13条第2项中“订立”的表述。
2.告知同意规则与对合法公开的个人信息进行的合理使用
《草案(二审稿)》第13条第1款第5项规定“依照本法规定在合理的范围内处理已公开的个人信息”,这一规定在一定程度上弥补了对已合法公开的个人信息的合理处理行为的缺陷。不过,该项将合理处理公开信息仅限于“依照本法规定”不妥,毕竟《民法典》也做出了规定,而且未来也可能有其他法律作出规定,因此,该项为“依照本法和其他法律规定”更为妥当。
3.删除为履行法定职责或者法定义务所必需的例外情形
建议删除《草案(二审稿)》第13条第3项,该条没有独立价值。将履行法定职责或法定义务单列,容易导致不适当的扩张其适用范围。依照第34条和第35条的规定,即便国家机关履行法定职责,也应当做到:一方面,依照法律、行政法规规定的权限和程序进行,不能超出履行法定职责所必须的范围和限度来处理个人信息;另一方面,原则上也必须告知并取得自然人的同意,除非法律、行政法规另有规定或者告知、取得同意将妨碍国家机关履行法定职责。
三、敏感信息在建构个人信息处理规则中的功能
(一)区分敏感与非敏感信息的意义
我国《个人信息保护法》应当区分敏感与非敏感的信息,并在此基础上确定相应的个人信息处理规则,其具有以下重要意义:第一,有利于更好地保护自然人的合法权益,对于更高价值位阶的法益应给予更高强度的保护。第二,有利于协调个人信息的保护与利用的关系。第三,区分并明确列举敏感的个人信息,可以使得自然人更充分意识到敏感信息的重要性,使得信息处理者提高对处理行为合法性的可预期性,使得个人信息执法机构重点对侵害敏感信息的违法行为进行精准有效的执法活动。
(二)《个人信息保护法》的敏感信息与《民法典》的私密信息的关系
1.敏感信息和非敏感信息是《草案(二审稿)》从规范个人信息处理行为的角度进行的一种重要分类,并在该区分的基础上针对信息处理者提出了不同的处理规则上的要求,从而有针对性的提高处理者在处理敏感信息时的法定义务,更加充分的保护个人信息权益。私密信息和非私密信息则是从民事权益保护的角度即为正确区分隐私权与个人信息权益的保护方法,由《民法典》对个人信息进行的分类。
2.敏感与非敏感信息、私密与非私密信息的区分在侵权案件裁判中的作用不同。首先,在认定是否存在侵害个人信息的行为即判断个人信息处理行为非法性的阶段,敏感信息与非敏感信息的区分颇为重要。其次,在确定行为非法性之后,需要认定非法的个人信息处理行为即侵害行为所侵害的民事权益的类型是私密信息还是非私密信息。
(三)关于敏感信息的特殊处理规则的讨论
1.敏感个人信息的处理究竟应当原则上允许还是例外允许
《草案(二审稿)》对处理敏感信息采取的特殊处理规则不足以起到保护自然人,维护其基本权利和重大人身财产利益的要求。并未明确何为特定目的,也未判断如何处理个人敏感信息,单独同意的方式甚至为处理者增加了麻烦。因此,我国个人信息保护法应当明确规定,对于敏感的个人信息原则上应当禁止处理,除非符合法律规定的例外情形(如为了科学研究、重大的公共利益、自然人自身的权益等),同时就例外可以处理敏感个人信息的情形应规定更为严格的处理要求如单独同意、详细告知等。
2.侵害敏感个人信息的侵权损害赔偿责任的归责原则
处理敏感信息而产生的侵权赔偿责任,应当适用危险责任即无过错责任;处理非敏感的个人信息产生的侵权赔偿责任,适用过错推定责任。理由在于:首先,敏感信息的处理行为本身就属于法律上的高度危险行为。其次,对敏感信息的处理行为客观上开启了危险源,且处理者具有处理行为具有控制力,敏感信息的处理者也应当承担危险责任。再次,对侵害敏感信息的侵权赔偿责任适用危险责任也会显著提高处理敏感个人信息的成本。最后,对于符合法律规定的例外情形,可以处理敏感的个人信息的处理者而言,其可以通过购买责任保险等分散损失,并且通过适用无过错责任,也避免了处理者与自然人之间就是否有过错进行无谓的争执。
四、结论
除自然人之间因个人、家庭事务处理个人信息外,所有的个人信息处理行为都属于个人信息保护法的规范对象。告知同意规则是确定个人信息处理行为合法性的基本原则,但也存在一些不适用告知同意规则的情形。区分敏感信息与私密信息,个人信息保护法中的敏感信息与民法典中的私密信息并不矛盾冲突,二者具有不同的规范目的和功能。原则上应当禁止处理敏感的个人信息。处理敏感信息而产生的侵权赔偿责任,应当适用危险责任即无过错责任;处理非敏感的个人信息产生的侵权赔偿责任,适用过错推定责任。