【作者】程啸(清华大学法学院教授)
关键词:个人信息;人格权益;私密信息;处理;民法典
一
引言
现代社会中个人信息保护受到高度重视,当前世界上有120多个国家和地区已有专门的个人信息保护立法,如欧盟的《一般数据保护条例》(GDPR)、德国的《联邦数据保护法》、日本的《个人信息保护法》、韩国的《个人信息保护法》《信息通信网利用促进及信息保护法》及《信用信息的利用及保护法》、我国台湾地区的“个人资料保护法”等。我国法律也高度重视个人信息保护。无论是2012年颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》、2013年修订的《消费者权益保护法》,还是2017年施行的《网络安全法》《民法总则》以及2019年施行的《电子商务法》都对个人信息保护作出了一些规定。此外,2009年十一届全国人大常委会第七次会议通过的《刑法修正案(七)》还在《刑法》中新增第253条之一,首次将窃取或以其他方式非法获取公民个人信息、出售或非法提供公民个人信息的情节严重的行为规定为犯罪,从而将其纳入刑事打击的范围。然而,这些法律对个人信息保护的规定都是零散的、不成系统的。真正在我国法上系统地确立个人信息保护制度并明确自然人个人信息权益的是《中华人民共和国民法典》(以下简称《民法典》)。
我国《民法典》不仅在总则编的“民事权利”章对个人信息保护作出了规定(第111条),更重要的是在独立成编的“人格权编”中专章就个人信息保护作出了具体而又详细的规定。一方面,在《民法典》人格权编第6章“隐私权与个人信息保护”中,立法者用了6个条文(即第1034条至1039条)对个人信息的概念和类型、个人信息保护与隐私权的关系、处理个人信息应当遵循的原则与告知同意规则、自然人对其个人信息享有权益内容、侵害个人信息的免责事由,信息处理者的法律义务等作出了系统的规定;另一方面,在《民法典》人格权编的第1章“一般规定”和第5章“名誉权和荣誉权”中,立法者还就个人信息的合理使用(第999条)、信用信息的处理规则等作出了规定(第1030条)。
二
确认了自然人对其个人信息享有人格权益
2.明确了自然人的个人信息权益属于人格权益。虽然我国《民法典》没有明确规定个人信息权益,但是其明确了自然人的个人信息权益在性质上属于人格权益,而非财产权益。一方面,《民法典》总则编第5章“民事权利”在列举了自然人的生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等具体人格权后,在第111条对个人信息的保护作出规定。另一方面,《民法典》将个人信息保护的具体内容放在人格权编当中,与隐私权在同一章加以规定。我国《民法典》调整的是平等主体的自然人、法人、非法人组织的人身关系和财产关系(第2条),且《民法典》人格权编中不仅调整人格权的享有与保护关系,也调整自然人基于人身自由、人格尊严产生的其他人格权益(第990条第2款)。所谓“其他人格权益”既包括其他人格权利,也包括其他人格利益(第126条)。故此,可以肯定的是,虽然《民法典》没有规定个人信息权,但明确了自然人对其个人信息享有的民事权益在性质上属于人格权益。
3.《民法典》人格权编第6章将“隐私权与个人信息保护”作为章名并依次规定,同时还对个人信息中的私密信息优先适用隐私权保护作出了规定(第1034条第3款),这都表明了我国法上已经明确区分了隐私权与个人信息。因此,我国法上不会如美国那样通过扩张隐私权的外延,发展出所谓的“信息隐私权”(informationprivacy)来实现对个人信息的保护。之所以如此,不仅是因为我国的隐私权和美国法上的隐私权完全不是一个层次上的概念,后者既包括侵权法上的隐私权也包括宪法上的隐私权,等同于大陆法系国家的人格权概念,更重要的是因为隐私权根本无法涵盖对全部个人信息的保护。故此,《民法典》施行后只是应当讨论如何协调隐私权与个人信息保护的关系,而无需讨论是否应当扩张隐私权来涵盖个人信息保护的问题。
三
区分不同类型的个人信息予以相应的规范
(一)私密信息与非私密信息及隐私权和个人信息保护的适用关系
现代社会是信息社会,要维护自然人的私生活安宁和私生活秘密不受侵害,就必须保护自然人的私密信息不被随意收集、公开或者被滥用。现代隐私权的一项重要功能就是保护自然人的私密信息。《民法典》第1032条第2款规定:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”自然人的私密信息的范围十分广泛,凡是自然人不愿意为他人知晓的信息,无论是婚姻信息、财产信息、健康信息、家庭住址、病历资料、犯罪记录、个人人生经历、嗜好、性取向、日记、私人信件以及其他个人不愿公开的信息等,都可以纳入私密信息的范围。例如,《民法典》第1226条规定的患者隐私和个人信息,《传染病防治法》第12条第1款第2句规定涉及个人隐私的有关信息、资料,《精神卫生法》第4条第3款规定的精神障碍患者的姓名、肖像、住址、工作单位、病历资料以及其他可能推断出其身份的信息,《艾滋病防治条例》第39条第2款规定的艾滋病病毒感染者、艾滋病病人及其家属的姓名、住址、工作单位、肖像、病史资料以及其他可能推断出其具体身份的信息等,都属于这里的私密信息范围。
在《民法典》颁布之前,我国法律实际上已经注意到了隐私信息与非隐私信息的区分。《全国人民代表大会常务委员会关于加强网络信息保护的决定》第1条第1款规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”《公共图书馆法》第43条规定:“公共图书馆应当妥善保护读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息,不得出售或者以其他方式非法向他人提供。”《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第1句规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。”然而,这些法律和司法解释并未在区分隐私信息和其他个人信息的基础上确立不同的规则,而是适用统一的规则。《民法典》不仅明确区分了个人信息中的私密信息和非私密信息,而且在此基础上明确了隐私权保护与个人信息保护的规则适用。
3.许可他人使用上的不同。隐私权人可以自行处分权利,如自行在网络上或向媒体公开其私密信息。但是,隐私本身原则上是不能许可他人使用或商业化利用的。《民法典》第993条规定:“民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外。”该条之所以没有列出“隐私”,是因为:隐私权侧重于消极防御的功能,即防止他人对包括私生活安宁、私密信息在内的隐私的侵害,其保护的是自然人对隐私不受他人侵害的利益。因此,隐私权的主要权能就是排除他人侵害的权能,即消极权能。对于隐私,原则上是不能许可他人使用的。允许隐私的许可使用很可能违反公序良俗原则这一民法的基本原则。然而,对于个人信息尤其是非私密的个人信息,自然人完全可以许可他人使用,从而促进网络信息产业和数字经济的发展。故此,《民法典》第1035条规定,只要遵循合法、正当、必要原则,不得过度收集、处理且符合相应的条件,是可以对个人信息加以使用或许可他人使用的。当然,对于私密信息许可他人使用是否可以,仍然需要考虑是否违背公序良俗。
正是考虑到隐私权与个人信息权益的上述差别,《民法典》第1034条第3款才明确规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”该条中隐私权没有规定的个人信息显然是指非私密信息的个人信息。这样一来,我国《民法典》就非常清晰的划分了隐私权与个人信息权益对私密信息和非私密信息这两类个人信息的保护规则。
(二)公开的个人信息与非公开的个人信息
区分公开的和非公开的个人信息的最主要的意义在于:处理这些个人信息是否需要得到自然人的同意方面的不同。除非法律、行政法规另有规定,对于非公开的个人信息,必须告知自然人且得到该自然人或者其监护人的同意。对此,《民法典》第1035条第1款有明确的规定。然而,依据《民法典》第1036条第2项,合理处理已经合法公开的个人信息,原则上是无需告知自然人并得到其同意的,除非“该自然人明确拒绝或者处理该信息侵害其重大利益”,否则该处理行为不构成侵害个人信息的侵权行为。由此可见,即便是已经公开的个人信息也是受到法律保护的,只是在保护的强度和密度上要明显弱于非公开的个人信息。
(三)关于敏感的与非敏感的个人信息的区分问题
个人信息中还有另外一个重要的分类,就是依据个人信息对自然人人身财产安全的敏感程度,将之分为敏感的个人信息与非敏感的个人信息。敏感的个人信息(personalsensitivein-formation),也被称为“特殊的个人信息”。何为敏感的个人信息,各国(地区)法上有不同的界定。欧盟的《一般数据保护条例》第9条第1款将之界定为“揭示种族或者民族出身,政治观点、宗教或者哲学信仰,工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,健康数据,自然人的性生活或者性取向的数据”。德国《联邦数据保护法》则将其界定为“有关个人种族血统、政治观点、宗教或哲学信仰、工会成员资格、健康状况或者性生活的信息”。按照巴西《通用数据保护法》第5条的规定,“关于种族或族裔、宗教信仰、政治观点、工会或宗教、哲学或政治组织成员身份的个人数据,与自然人有关的健康或性生活数据、基因或生物数据”,属于个人敏感数据。我国台湾地区“个人资料保护法”将“有关病历、医疗、基因、性生活、健康检查及犯罪前科”的个人资料规定为特殊的个人资料。
我国《民法典》以及《网络安全法》等法律都没有对敏感的个人信息作出界定,只有一些标准中有相应的规定。笔者认为,虽然《民法典》没有规定敏感的和非敏感的个人信息,但这并不意味着该分类就不重要。《民法典》主要规定的是个人信息保护中的重大的基本的问题,且区分敏感的和非敏感的个人信息主要是体现在对个人信息的处理规则上,故此,可以交由未来的《个人信息保护法》对此作出规定。
另一方面,即便是个人信息的处理者在符合法律规定的前提下,可以处理敏感的个人信息,其在处理中负有的注意义务和法律上的要求也更高,否则,如果因为处理者的安全防护措施不足而造成敏感的个人信息泄露,则对自然人会造成很大的损害或风险。例如,对于依法收集的敏感的个人信息,在保管上,处理者负有更高度的注意义务,而法律法规也对其有更严格的要求,如必须进行风险评估等。
四
统一采用“个人信息的处理”与“处理者”的表述
(一)统一使用“个人信息处理”的表述
然而,最终颁布的我国《民法典》在借鉴欧盟《一般数据保护条例》的基础上,没有区分“收集”与“处理”,而是以“处理”一词来统称对个人信息的收集、存储、使用、加工、传输、提供、公开等活动。这一规定是非常科学合理的。当然,实践中与个人信息有关的行为不限于所列举出来的七种,还可能包括其他的类型,如个人信息的删除、销毁等。此外,《民法典》第1035条第2款并没有将个人信息的处理限定于具体的方式,故此,无论是通过人工还是机器,无论是自动化还是非自动化的处理,都被包括在内。
(二)“个人信息处理者”概念的采用
个人信息处理的行为类型很多,如收集、存储、加工、使用、传输、转让、提供、公开等,因此也会涉及不同的主体。此时,应当如何表述这些主体,是依据不同的处理行为分别表述,还是统一采取一个主体的概念加以表述,值得研究。在我国《民法典》颁布之前,对于这些个人信息处理行为的主体,基本上是由各个法律从自身调整范围出发分别使用不同的名称。例如,《全国人民代表大会常务委员会关于加强网络信息保护的决定》采用的是“网络服务提供者和其他企业事业单位”的表述。《网络安全法》则使用了“网络运营者”的概念(第40条至第43条)。依据该法第76条第3项,所谓网络运营者,是指网络的所有者、管理者和网络服务提供者。至于《消费者权益保护法》与《电子商务法》,又分别采用了“经营者”“电子商务平台经营者”的表述。
五
界定了自然人个人信息权益的内容
自然人对于个人信息享有相应的民事权益,确切地说,这种民事权益就是自然人享有防范因非法收集、处理其个人信息而使自身人身财产权益和人格尊严、人格自由遭受侵害或损害的受法律保护的人格权益。如前所述,自然人对其个人信息享有的民事权益究竟是称为“个人信息权”抑或“个人信息权益”,并非关键,重要的是,法律上赋予自然人对个人信息享有哪些具体的权利内容以及在这种权益受到侵害时享有何种救济。我国《民法典》在考虑到《网络安全法》第43条、《全国人民代表大会常务委员会关于加强网络信息保护的决定》第8条既有规定的基础上,明确了自然人就其个人信息享有以下三项权能:其一,同意他人使用个人信息的权利(《民法典》第993条、第1035条);其二,查询复制权,即自然人可以向信息控制者查阅或者复制其个人信息(《民法典》第1037条第1款第1句);其三,更正权,即自然人发现其被合法收集的个人信息存在错误的,有权提出异议并请求及时采取更正等必要措施(《民法典》第1037条第1款第2句、第1029条);其四,删除权,即当信息控制者违反法律规定或者约定收集、处理个人信息时,自然人有权要求信息控制者及时删除该个人信息(《民法典》第1037条第2款、第1029条)。
(一)许可他人使用个人信息
依据《民法典》第111条、第1034条第1款,自然人的个人信息受法律保护。这种保护不仅仅体现在自然人的个人信息遭受侵害后,自然人有权要求侵害人承担侵权责任,如停止侵害、排除妨碍、消除危险以及赔偿损失,还包括自然人有权对其个人信息进行积极的支配和利用。由此可见,自然人完全可以在不违反法律的规定或者个人信息性质的情形下,许可他人使用自己的个人信息。当然,前提是处理者依据告知同意的规则履行了相应的义务。所谓告知同意规则,包含了告知规则与同意规则,二者紧密联系,不可分割。没有告知,自然人无法就其个人信息被处理作出同意与否的表示;即便告知了,但没有充分的、清晰的告知,自然人即便作出了同意的表示,该同意也并非是真实有效的同意。同样,虽然充分、清晰的告知了,可是并未取得自然人的同意,对个人信息的处理也是非法的,构成对自然人个人信息权益的侵害。
我国《民法典》之所以在个人信息保护制度中要以告知同意规则作为基本的规则,原因就在于自然人对其个人信息享有受到法律保护的民事权益,没有得到自然人的同意而处理其个人信息就是对个人信息权益的侵害行为,具有非法性。自然人针对个人信息享有的民事权益决定了自然人可以处分其个人信息,包括许可他人收集、存储、使用、加工、传输、提供或公开其个人信息。在现代网络信息社会,告知同意规则面临着很多的挑战,甚至在实践中,自然人客观上往往很难拒绝个人信息被处理。在很多时候,信息处理者给自然人的只有留下或离开两个选项,即:要么同意被收集个人信息,就能留下来,使用相应的产品或接受服务,生活变得更方便快捷;要么拒绝被收集个人信息,则无法使用产品或服务,只能离开。此外,由于信息处理者将告知的内容置于冗长的隐私政策当中,导致用户实际上几乎不会真正去阅读或真正了解这些隐私政策,故此有观点认为,建立在告知同意规则基础上的个人信息或个人数据保护和治理的框架是不科学的,也是无效的,而且还会阻碍数据的流转和信息的流动。
(二)查阅和复制个人信息的权利
我国《民法典》第1037条第1款第1句明确规定了自然人针对信息处理者享有依法查阅或者复制其个人信息的权利。该权利是自然人个人信息权益的重要组成部分。一方面,如果不能查询或者复制其个人信息,则自然人在其个人信息被合法收集后就完全丧失了对个人信息的控制力,处理者究竟收集了多少自己的个人信息,这些被收集的个人信息是否符合法律规定或者约定,自然人将完全不清楚,谈何行使《民法典》第1037条第2款规定的删除权。另一方面,如果没有查阅、复制个人信息的权利,自然人无法知悉其被收集的个人信息是否有误,也就难以在发现错误后,依据《民法典》第1037条第1款的规定,提出异议并请求处理者及时采取更正等必要措施。故此,法律上有必要赋予自然人以查阅和复制个人信息的权利,以确保自然人对其个人信息享有知情权并保持应有的控制,避免因为非法收集、处理而致其人身财产权益遭受侵害。
《民法典》第1037条第1款对自然人查阅或者复制其个人信息的权利的规定属于一般性规定,也就是说,凡是《民法典》和其他法律没有特别规定的,都适用本条。有特别规定的,则适用相应的规定。在我国《民法典》中,对自然人查阅或复制其个人信息的权利的特别规定有两处:
二是对信用评价的查询权的规定。《民法典》在第1029条第1句规定了“民事主体可以依法查询自己的信用评价”。这是因为,信用评价对于民事主体的社会交往、生产生活具有重大的影响,因此即便是有权对他人进行信用评价的主体,其对他人进行信用评价的结果和依据也必须供被评价主体查询,被评价主体对此享有知情权,否则就会损害民事主体的合法权益。虽然自然人的信用信息也属于个人信息,关于自然人与征信机构等信用信息处理者之间的关系也适用《民法典》关于个人信息保护的规定,但是,我国《民法典》将信用纳入名誉的范畴(第1024条第2款),通过名誉权加以保护,故此,《民法典》第1029条第1句中查询权是基于名誉权而产生的。此外,该句中有权查询的是民事主体,既包括自然人,也包括法人、非法人组织。但是,《民法典》第1037条第1款规定的查询权是个人信息权益的内容,而且有权查询的只是自然人,不包括法人、非法人组织。
当然,《民法典》第1037条第1款只是确立了自然人查阅或者复制其个人信息的权利,其具体的行使程序等,还需要由未来的《个人信息保护法》等法律法规作出更加细化的规定。例如,信息处理者应当以何种方式为自然人的查询、复制提供便利(如能否收取相应的费用抑或免费)?如果处理者拒绝自然人的查询请求,自然人可获得何种救济?这些问题都需要法律法规的进一步规定。其中有些问题还存在比较大的争议。例如,关于信息处理者拒绝自然人查阅其个人信息时,自然人可以向法院提起诉讼的问题,一种观点认为,如果仅仅是为了查询或者复制个人信息就到法院起诉,可能会造成诉讼爆炸,给法院增加很多工作量。另一种观点认为,查询或者复制个人信息本来就是法律赋予自然人的权利,如果该权利受到侵害却无法得到司法救济,还不如不规定。况且,很多时候查阅、复制个人信息对于自然人其他权益的维护也是非常重要的。因此,应当给予支持。对此,笔者认为,自然人依法享有查阅或者复制其个人信息以及在发现信息有错误时要求更正的权利,但原则上必须是先向信息控制者提出请求且被无正当理由加以拒绝后,才能提起诉讼,否则容易导致自然人滥用该权利给信息控制者增加负担。
(三)针对错误信息的提出异议及要求采取更正等必要措施的权利
依据《民法典》第1037条第1款第2句,自然人发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。《网络安全法》第43条也规定,个人发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正,网络运营者应当采取措施予以更正。这就是对自然人的更正权的规定。个人信息在收集后要进行处理,如存储、使用、加工、传输、共享等,因此一旦个人信息错误而不能及时更正,就会对自然人产生不利的影响,如基于此种错误的个人信息进行信用评价包括自动化决策,会对自然人的民事权益造成损害。故此,法律上允许自然人在发现个人信息有错误后予以更正。所谓更正,既包括对不符合事实的错误信息予以正确化,也应当包括对不完整的个人信息予以补充。当然,信息控制者在收到自然人的更正请求后,应当对个人信息予以核实,并及时更正(包括补充)。自然人在行使《民法典》第1037条第1款第2句规定的权利时,应当提出相应的证据证明个人信息确实存在错误,否则信息处理者难以进行更正。至于信息处理者何时进行更正才是“及时”,需要根据不同类型的网络服务而区分对待。
《民法典》第1037条一般性地规定了自然人发现个人信息错误,有权提出异议及要求采取更正等必要措施的权利,在法律没有特别规定时,这一规定可以普遍适用于自然人的个人信息出现错误而需要更正的情形。所谓特别的规定,如《民法典》第1029条规定了民事主体发现信用评价错误时,有权提出异议并请求采取更正、删除等必要措施。此种采取更正删除等必要措施的权利是基于名誉权产生的,权利主体不限于自然人,还包括法人、非法人组织。
(四)删除个人信息的权利
删除权也是未来更好地保护自然人对个人信息享有的利益而做出的规定,《民法典》第1037条第2款和《网络安全法》第43条规定了删除权行使的具体情形,即:其一,信息处理者违反法律、行政法规的规定处理其个人信息的;其二,信息处理者违反双方的约定使用其个人信息的。在这两种情形下,自然人有权请求处理者删除这些个人信息,否则就等于认可了此等违法或违约行为的存在,承认了处理者有权侵害自然人的个人信息。这两种情形可以说涵盖了需要删除个人信息的全部情形。当然,删除权中的很多具体问题,《民法典》不可能逐一规定,也没有必要逐一规定,而应交由《个人信息保护法》等法律法规和国家标准相应的予以明确即可。例如,所谓删除究竟是指无法在线访问,还是包括在物理上将个人信息删除掉;自然人撤销此前对处理者所作出的处理其个人信息的同意,是否需要删除等等。
六
明确了侵害个人信息的免责事由
《民法典》规定的免责事由包括不可抗力、正当防卫、紧急避险(第180-182条)。这三类免责事由适用于所有的民事责任,故此规定在《民法典》的总则编。同时,《民法典》侵权责任编还对侵权责任的免责事由作出了规定,具体包括:受害人故意(第1174条)、自甘冒险(第1176条)以及自助行为(第1177条)。上述免责事由也可以适用于侵害个人信息的民事责任。不过,因为正当防卫、紧急避险而侵害个人信息的情形较为少见,比较有可能的是不可抗力导致处理者所储存的个人信息丢失的情形,例如地震导致存储个人信息的设备损坏,从而使其中存储的个人信息灭失,此时处理者可以以不可抗力作为免责事由。《民法典》第1036条对侵害个人信息的民事责任的免责事由作出了特别的规定,该规定用于违约责任也适用于侵权责任。具体阐述如下:
1.在该自然人或者其监护人同意的范围内合理实施的行为。其个人信息被处理的自然人或者其监护人的同意是个人信息处理的合法性基础,如果依法取得自然人或者其监护人的同意且在该同意的范围内实施个人信息处理行为,属于合法的个人信息处理行为,处理者自然无需承担民事责任。但是,没有取得同意或者虽然取得同意但是超出了同意的范围,如改变了同意的处理目的或处理方式等,依然构成侵害个人信息的违法行为,应当承担民事责任。
3.为维护公共利益或者该自然人合法权益而合理实施的其他行为。所谓维护公共利益包括维护国家利益、社会利益等情形。例如,当大规模疫情或灾难发生时,为了疫情防控和减灾的需要对个人信息进行收集、使用等处理行为;再如,为了公共利益进行舆论监督而对自然人的个人信息进行披露的行为。所谓维护该自然人的合法权益,是指为了维护个人信息被处理者的合法权益而在不经过其本人或监护人同意的情形下处理个人信息。例如,甲突发疾病而生命垂危,急需在掌握其既往病史等个人信息的基础上进行治疗,而又无法取得其本人或近亲属的同意。此时,为了挽救甲的生命,可以实施个人信息处理行为。当然,无论是为了公共利益还是该自然人的合法权益,都必须是合理实施的行为,即不违反个人信息处理的合法、正当、必要的原则。