前言:2020年5月28日,《中華人民共和國民法典》在第十三屆全國人民代表大會第三次會議上正式通過,將於2021年1月1日正式實施。《民法典》順應時代潮流,對個人信息保護、網絡侵權、電子合同等問題進行制度安排,充分應對數字經濟挑戰,為網絡時代下公民權利的自由行使和新興技術的有序發展保駕護航。
值此《民法典》頒布之際,大數據法律研究團隊推出「《民法典》中的網絡安全」系列文章,探討《民法典》如何在網絡信息技術迅猛發展的時代背景下公民權利需求和法律關係規制需要。
以下為該系列的第一篇文章:《〈民法典〉視野下的個人信息保護》
近年來,個人信息的非法收集、濫用和洩露等問題日益受到關注,個人信息的保護和利用成為法學研究和實踐的熱點話題。《民法典》在人格權編設專章規定「隱私權和個人信息保護」,彰顯了立法者強化個人信息保護的立場。
《民法典》雖對「個人信息保護」作出規定,但未明確使用「個人信息權」一詞,這使得法律界對「信息主體對個人信息享有的究竟是人格權抑或僅是受保護的民事利益」產生了激烈的討論。我國人格權法的主流觀點認為人格權應採人格權法定主義[1],本團隊傾向於支持《民法典》並未創設「個人信息權」這一具體人格權的觀點。然而,關於這一點的討論,更多的是一種理論上的爭鳴,對個人信息的具體保護而言影響不大,因為個人信息具有保護的價值和意義是毋庸置疑的。[2]單一的個人信息的經濟價值微弱,只有大量個人信息通過技術手段匯聚融合才可能迸發出顯著的商業價值或公共管理價值,因此,對於自然人而言,個人信息承載的主要是人格利益,《民法典》將個人信息保護納入人格權編是對《憲法》保護公民人格尊嚴的基本權利的貫徹落實。
一、個人信息保護與其他人格權保護的區別與聯繫
「個人信息與隱私並不等同」已逐漸成為共識,《民法典》亦明確了個人信息和隱私的區分保護。然而,在實踐中,個人信息保護仍常常與隱私權保護混淆。比如著名的「Cookie第一案」——朱燁訴北京百度網訊科技有限公司隱私權糾紛【(2013)鼓民初字第3031號、(2014)寧民終字第5028號】(以下簡稱為「cookie案」),原告即認為被告利用cookie技術收集原告信息並提供個性化推薦服務的行為侵犯其隱私權。那麼,個人信息保護與隱私權保護的邊界何在?
在cookie案中,二審法院認為,被告的個性化推薦利用大數據分析提高了推薦服務的精準性,推薦服務只發生在伺服器與特定瀏覽器之間,沒有對外公開宣揚原告的網絡活動軌跡及上網偏好,也沒有強制原告必須接受個性化推薦服務,而是提供了相應的退出機制,沒有對原告的生活安寧產生實質性損害,因此並不侵犯隱私權。個人信息保護與隱私權保護的區別,在此可窺見一斑。
隱私權保護的目的在於保護自然人的私人生活安寧和不願為他人知曉的私密空間、私密活動、私密信息不被刺探、侵擾、洩露或公開,關鍵在於「私密」。而個人信息保護的目的在於防止因個人信息被非法處理而導致其既有人身、財產權益甚至人格尊嚴、個人自由受到損害,比如因用戶畫像而遭受歧視性對待或被精準營銷剝奪決策自由,關鍵在於「自決」,《民法典》第一千零三十五條將「同意」作為個人信息處理的合法性基礎之一即體現了信息主體對其個人信息的自決利益。
不容否認的是,個人信息與隱私間存在著千絲萬縷的聯繫。根據《民法典》第一千零三十二條,隱私權客體包括私密空間、私密活動與私密信息,私密信息是個人信息與隱私權客體的交叉部分。然而,大數據技術對非私密信息的處理亦可能會發掘出信息主體的私密信息,非私密信息也可能存在著隱私保護價值。在cookie案中,被告確實可通過處理個人信息了解到原告曾搜索「減肥」「豐胸」「人工流產」等關鍵詞這一原告不希望被他人所知的事實。然而在該案場景中,個人信息一直在非公開狀態中進行處理,信息主體並未因私密信息的公開或洩露而遭受實際的經濟損失或精神傷害,因此並不構成隱私權的侵犯。但若原告是因用戶畫像而遭受歧視待遇,則可能因個人信息權益侵害獲得法院支持。
可見,同一個人信息,亦會因為處理方式、處理目的等因素的不同而適用不同的保護路徑。當個人信息的處理更多地涉及對「私密」的侵犯時,往往適用隱私權保護路徑,而當個人信息的處理損害信息主體的自決利益時,則適用個人信息保護路徑更為合適。這一方式亦可適用於個人信息保護與姓名權、肖像權保護區分之中。
姓名與肖像是典型的個人信息,然而《民法典》在人格權編的第三章和第四章對姓名權和肖像權進行了專門規定。那麼,當信息主體的姓名或肖像被非法處理時,應適用姓名權/肖像權保護路徑抑或個人信息保護路徑?該情況無法一言以蔽之,必須將個人信息處理活動置於具體場景之中進行考量。比如信息處理者未經同意使用了信息主體的姓名,需考慮信息處理者是盜用、假冒了信息主體的姓名,還是為了與其他信息相聯繫而識別出特定主體,據此選擇具體的保護路徑。
因此,要判斷應以何種路徑保護個人信息,需在具體場景中判斷是否存在與個人信息有關的其他法定人身或財產權利,比如姓名權或隱私權,若是《民法典》規定的具體權利遭受侵害,則按照既有的權利保護路徑進行救濟;若不存在《民法典》已規定的具體權利,但涉嫌違反個人信息保護相關規則,則從個人信息的「自決」角度提供保護。[3]
二、《民法典》保護個人信息的意義與不足
(一)《民法典》保護個人信息的意義
《民法典》在人格權編對個人信息保護作出具體規定,無疑具有重要意義。雖然處理個人信息所能創造的經濟價值越來越受到關注,但個人信息保護的最終目的始終都是維護信息主體的合法權益。《民法典》第一千零三十五條、第一千零三十七條及第一千零三十八條在民事基本法的層面明確信息主體的知情同意權、查閱複製權、更正權及刪除權,一方面,此舉提高了個人信息的保護水平;另一方面,《民法典》為信息主體在因個人信息被非法處理而遭受損害時尋求民事救濟提供了法律依據。目前,多數個人信息侵害案件以名譽權、姓名權或者隱私權等其他人格權侵害作為案由,在《民法典》明確個人信息保護後,非法處理個人信息者將承擔侵權責任。這使得個人信息侵權能夠成為民事訴訟的獨立案由,信息主體尋求個人信息侵權的民事救濟將有法可依。
此外,《民法典》第一千零三十六條在「自然人或者其監護人同意」上增加了「合理處理該自然人自行公開的或者其他已經合法公開的信息」與「為維護公共利益或者該自然人合法權益」兩種個人信息處理的合法性基礎,首次在法律層面上對未經同意合理處理個人信息的情形作出了規定,一定程度上放寬了個人信息的處理限制,有利於平衡個人信息保護和利用間的利益衝突。
(二)《民法典》保護個人信息的不足
我們必須認識到,個人信息保護僅僅依靠《民法典》是遠遠不夠的。雖然《民法典》在第一千零三十六條增加了個人信息處理的合法性基礎,但基本上還是延續了「告知-同意」的傳統保護路徑。然而,「告知-同意」路徑已經飽受非議。目前公眾對信息安全保障的不滿,對個人信息保護的呼籲,實則源於「告知-同意」模式的形同虛設。[4]一方面,由於信息處理活動日益複雜,缺乏專業知識和技術能力的信息主體無法判斷信息處理風險,處於弱勢地位的信息主體通常只能為了接受服務而選擇同意,無法真正保證其個人信息不被非法處理,導致「告知-同意」模式流於形式;另一方面,將「告知-同意」模式無差別地適用於所有信息處理場景將不合理地增加信息處理者的成本,影響個人信息的正常流動與處理,最終損害社會公共利益。
為了協調個人信息保護和利用間的利益衝突,GDPR第六條規定了六種個人信息處理合法性基礎,其第九條還規定了對於特殊類型個人信息處理的十項合法性基礎。《民法典》在「告知同意」的基礎上增加了兩種合法性基礎,但仍未明確信息處理者出於自身合法目的在風險可控範圍內未經同意處理個人信息的權利,難以滿足日益增長的信息處理需求。我國《信息安全技術個人信息安全規範》(GB/T 35273-2020)(以下簡稱「《個人信息安全規範》」)5.6規定了十二項徵得授權同意的例外情形,其中「維護所提供產品或服務的安全穩定運行所必需」「根據個人信息主體要求籤訂和履行合同所必需的」等例外情形的規定體現了立法者已經意識到基於信息處理者合法利益進行個人信息處理的正當性和必要性。但《個人信息安全規範》作為推薦性國家標準,「將其列舉的例外情形作為個人信息處理行為的合法性基礎的合法性有所欠缺[5]」。在後續《個人信息保護法》的制定中,可考慮信息處理者利益在具體場景中優先於信息主體利益時,在法律上承認不經信息主體同意進行個人信息處理行為的正當性,即增加信息處理者基於合法目的在風險可控範圍內未經同意處理個人信息的合法性基礎。
結語
信息主體利益、信息處理者利益和公共利益在個人信息保護上互相交織,構建我國個人信息保護制度,需在保障信息主體利益的基礎上,最大限度地發揮出信息處理的潛在價值。《民法典》將個人信息保護納入人格權編,肯定了個人信息的保護價值,提高了信息主體的保護水平,為《個人信息保護法》的制定留下銜接空間。然而,《民法典》更側重於賦權與事後救濟,難以全面防範事前侵害風險,實現信息主體利益、信息處理者利益和公共利益的三方平衡。《民法典》需與後續制定的《個人信息保護法》《數據安全法》等法律有效協同,準確定位個人信息及相關利益,協調民法、行政法及刑法手段,方能更全面保護個人信息。
【參考資料】
[1]程嘯:《民法典編纂視野下的個人信息保護》,載《社會科學文摘》2019年第11期。
[2]張新寶:《〈民法總則〉個人信息保護條文研究》,載《中外法學》2019年第4期。
[3][4]商希雪:《個人信息隱私利益與自決利益的權利實現路徑》,載《法律科學(西北政法大學學報)》2020年第3期。
[5]洪延青:《傳染病疫情防控與個人信息保護初探之二:同意的例外》.(2020-01-28)[2020-06-11].https://mp.weixin.qq.com/s/m9p15fyXeWC_M8rK_zo0nA.
本文為作者授權發布,不代表行動支付網立場,轉載請註明作者及來源,未按照規範轉載者,行動支付網保留追究相應責任的權利。