個人信息保護:嚴格遵循「合法、正當、必要」原則

2020-12-14 光明時評

  作者:王春暉 南京郵電大學信息產業發展戰略研究院首席專家

  針對隱私權和個人信息保護領域存在的突出問題,在現行法律規定基礎上,我國民法典各分編草案在「人格權編」中進一步強化對隱私權的保護。2019年8月22日,第十三屆全國人民代表大會常務委員會召開第十二次會議,《民法典人格權編(草案)》(三次審議稿)(下稱草案三審稿)提請審議。草案三審稿中對「隱私權和個人信息保護」章節進行了部分改動,進一步升級了對隱私權和個人信息保護,比如:將自然人的「電子郵箱地址」和「行蹤信息」納入個人信息的範圍等。筆者認為,對於「個人信息保護」中的相關內容仍有待進一步完善,囿於篇幅本文僅談三點問題。

  完善個人信息的定義

  「個人信息」在我國若干立法中均有定義,草案三審稿第813條將「個人信息」定義為:「個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱地址、行蹤信息等。」與第二次審議稿不同,此次將自然人的「電子郵箱地址」和「行蹤信息」納入了個人信息的範疇。

  筆者以為,草案三審稿有關「個人信息」的定義應當進一步加大對個人隱私信息的描述,尤其應當增加自然人的「帳號和密碼以及財產狀況」。帳號是數字時代的代表,公民發送郵件、網上購物、網路遊戲、電子支付等都要註冊帳號,帳號是網絡時代公民重要的隱私空間和信息,密碼則是自然人為了維護自己的帳戶安全,將可識別的信息轉變為無法識別的信息,是公民開啟其個人隱私空間的一把鑰匙。

  網絡時代,大多數人的消費選擇了電子支付的方式,據中國人民銀行的數據顯示,2018年,僅銀行業金融機構處理的電子支付業務就達到了1751.92億筆,總金額達到了2539.70萬億元。網絡時代的電子帳號密碼就像一把金鎖,封住了公民的私密空間,幾乎成為保障公民各類帳戶安全的唯一手段,是公民最重要的隱私信息之一。可見,「帳號和密碼」,尤其是涉及到金錢(財產)的帳戶和密碼,已經不僅僅是自然人「不願為他人知曉」的信息,而是絕對拒絕和排斥他人知曉的私人空間和信息,這是網絡時代的一項絕對隱私權,應當納入「個人信息」的定義。

  明確個人信息處理的內涵

  草案三審稿第814條規定:收集、處理自然人個人信息的,應當遵循合法、正當、必要原則,並應當符合下列條件:(一)徵得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外;(二)公開收集、處理信息的規則;(三)明示收集、處理信息的目的、方式和範圍;(四)不違反法律、行政法規的規定和雙方的約定。

  筆者注意到,草案三審稿中的「收集、處理自然人個人信息」的表述主要參照了網絡安全法第41條的規定:「網絡運營者收集、使用個人信息。」筆者以為,上述規定中的「收集」具有兩層含義,首先側重於「收」,其次才是「集」,「收」的含義是收攏,是一種主動的行為,對象是個人信息。

  事實上,多數個人信息是由於個人使用數據信息平臺而在電子信息系統載體上留下的客觀事物的記錄,這些記錄有些是具有語意特徵的「信息」,有些是沒有語意特徵的「數據」。因此,建議刪除「收集」,只保留「處理」,即「處理自然人個人信息」。因為「處理」是一個過程,本身包括「收集」,即收攏和聚合個人在電子信息系統載體上已經留下的個人信息(數據),同時還涵蓋了「加工、傳輸、提供、公開」等內容。

  筆者注意到,草案三審稿第六章專門增加了「個人信息處理」的內容,並對具體外延進行了例舉,即「個人信息的處理包括個人信息的使用、加工、傳輸、提供、公開等」。為此,建議將第814條中的「收集」一詞併入「處理」的範疇,即「個人信息的處理包括個人信息的收集、使用、加工、傳輸、提供、公開等」。

  完善個人信息保護的原則

  目前,關於個人信息保護的原則基本都採用「合法、正當、必要」原則,這個原則最早以法律形式出現在工信部於2013年7月出臺的《電信和網際網路用戶個人信息保護規定》第5條:「電信業務經營者、網際網路信息服務提供者在提供服務的過程中收集、使用用戶個人信息,應當遵循合法、正當、必要的原則。」之後,2017年6月1日起施行的網絡安全法第42條採納了這一原則:「網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則。」草案三審稿第814條也使用了「合法、正當、必要原則」的表述。

  當前,移動網際網路應用程式(App)已經成為移動網際網路信息服務的主要載體。令人遺憾的是,絕大多數App控制和處理的個人信息明顯違反「合法、正當、必要」原則,特別是觸碰了公民隱私的紅線,比如有些App在條款中稱,需要的個人信息包括用戶姓名、性別、電話號碼、郵箱、出生日期、地理位置、身份證號碼、可識別生物信息和財務信息(如信用卡卡號或銀行帳號、微信支付或支付寶帳號信息等)。

  實踐中,我國法律確定的「合法、正當、必要」這項個人信息保護的原則,只要信息(數據)主體接受了信息(數據)控制者或處理者的「隱私條款」就完成了所謂的「合法」環節。事實上,多數App設置的所謂「隱私條款」完全超出「正當、必要」的範圍,尤其令人不能接受的是,如果用戶不接受其隱私條款,App的發布者則拒絕用戶安裝或使用其App。此種「只能被迫接受,否則沒法使用」的行為嚴重侵犯用戶的選擇權。

  筆者呼籲,個人隱私和信息保護的民法原則,應當彰顯私法中的契約精神在個人信息(數據)保護中的法律地位,且信息(數據)控制者或處理者提供的隱私格式條款應當進行合法性審查。為此,建議草案三審稿第814條在「遵循合法、正當、必要的原則」之前增加「遵照雙方的約定」的規定,表述為:「處理自然人個人信息的,應當遵照雙方的約定,並遵循合法、正當、必要原則。草案三審稿第814條第(四)規定,「不違反法律、行政法規的規定和雙方的約定」中已經明確了不得違反「雙方的約定」。同時,鑑於多數信息控制者「隱私條款」具有免除其責任和排除信息(數據)主體主要權利的情形,建議在814條中增加一款:「信息(數據)控制者或處理者提供的隱私格式條款應當進行合法性審查。」(王春暉)

[ 責編:劉朝 ]

相關焦點

  • 按「最小必要」原則 規範APP個人信息收集
    我國《憲法》《民法典》等基本法律均對於個人隱私有全面明確的法律保障。從網絡安全的角度看,使用個人信息,應當遵循合法、正當、必要的原則,這個是收集個人信息的底線和基礎。  和靜鈞:《徵求意見稿》最大的亮點就是確立了「最小必要」原則,把這一原則從契約性原則上升為法定原則,一方面體現了APP與個人信息之間的關聯性,允許合理採集必要的個人信息;另一方面給APP劃定了紅線,超出合理、必要範圍的採集和窺探個人信息如通訊錄等,必將受侵權行為法的追究責任與網際網路管理法的行政制裁,甚至有可能觸犯刑法。
  • 聚焦個人信息保護突出問題 落實個人信息保護責任 個人信息保護法草案首次亮相
    同時,借鑑有關國家和地區的做法,草案還賦予了必要的域外適用效力,以充分保護我國境內個人的權益。>草案確立了個人信息處理應遵循的原則,強調處理個人信息應當採用合法、正當的方式,具有明確、合理的目的,限於實現處理目的的最小範圍,公開處理規則,保證信息準確,採取安全保護措施等,並將上述原則貫穿於個人信息處理的全過程、各環節。
  • 立法| App收集個人信息監管再加碼 擬對38類常見類型App規定「必要...
    《公告》針對實踐中常見的App強制授權、過度索權、超範圍收集個人信息等突出問題,要求App運營者要遵循合法、正當、必要的原則,不收集與所提供服務無關的個人信息;收集個人信息時要以通俗易懂、簡單明了的方式展示個人信息收集使用規則,並經個人信息主體自主選擇同意;不以默認、捆綁、停止安裝使用等手段變相強迫用戶授權,不得違反法律法規和與用戶的約定收集使用個人信息。
  • 民法典之個人信息保護篇
    中國青年網宜昌8月26日電(通訊員 汪俊傑)人格權獨立成篇,是我國《民法典》最大的創新和亮點,也是我國在網際網路、大數據時代對人格權保護的現實要求和系統立法。其中,隱私權成為人格權保護的新增類型,《民法典》明確保護隱私權。
  • 《電子商務法》中的個人信息保護
    根據《網絡安全法》第四十條、第四十一條、第四十二條、第四十三條和第四十四條的規定,個人信息收集和使用有七個基本原則,即權責一致原則、目的明確原則、選擇同意原則、最少夠用原則、公開透明原則、確保安全原則、主體參與原則。
  • 歷史個人信息法律法規大全
    4.2 基本原則個人信息管理者在使用信息系統對個人信息進行處理時,宜遵循以下基本原則:a)目的明確原則——處理個人信息具有特定、明確、合理的目的,不擴大使用範圍,不在個人信息主體不知情的情況下改變處理個人信息的目的。
  • 一「典」一點看④丨保護個人信息
    今天,讓我們一起來學習保護個人信息。第一千零三十五條規定:處理自然人個人信息的,應當遵循合法、正當、必要原則,不得過度處理,並符合下列條件:(一)徵得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外;(二)公開處理信息的規則;(三)明示處理信息的目的、方式和範圍;(四)不違反法律、行政法規的規定和雙方的約定。
  • 民法典來了|程嘯:《民法典》與個人信息權益保護
    《個人信息保護法草案(一審稿)》第21條至第24條對於共同處理個人信息、委託他人處理信息等情形作出了規定。(三)個人信息的處理原則《民法典》第1035條第1款第1句規定:「處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理」。確立了合法、正當與必要等三項原則。
  • 大數據時代下個人信息保護的民法基礎
    此外,第1034條首次明確,個人信息中的私密信息適用隱私權保護的規定,即,只有在隱私權沒有規定時,才適用有關個人信息保護的規定。這為處理隱私權與個人信息二者的關係提供了明確指引。三、全面明確個人信息處理活動的基本原則。
  • 太古解讀:《民法典》中的隱私權與個人信息保護制度
    並且,此條在之前的《民法典(草案)》版本基礎上,在「權利人同意」之外增加了「法律另有規定」的例外條款,從而為其它法律基於公共利益等正當目的進行必要的權利限制提供了出口。2.規範處理個人信息的行為根據《民法典》第一千零三十五條和第一千零三十六條,處理自然人個人信息的,應當遵循合法、正當、必要原則,不得過度處理,以及何種情形之下,處理自然人個人信息,行為人不承擔民事責任的情形。
  • 數字法治丨王成:個人信息保護立法的解讀與13條建議
    個人信息保護法應當與《民法典》的規定相協調,堅持個人信息處理應遵循合法、正當、必要原則,處理未成年人個人信息須取得其監護人同意的年齡不應當限定為14周歲。個人信息保護法還應當增加關於個人信息處理安全原則和個人信息移轉權的規定,並對信息處理者出現停業、破產等情形後的個人信息保護規則作出規定。
  • 中消協觀點:加強個人信息保護狠治通訊詐騙亂象
    我們也注意到,還有相當多的消費者遭受嚴重信息騷擾,一些消費者蒙受個人財產損失,然而,由於相關保護公民個人信息的法律規定不完善,整治手段偏軟,整治力度偏弱,大量涉嫌違法犯罪行為的經營者和人員逍遙法外,廣大消費者對加強公民個人信息保護、狠治通訊詐騙的呼聲很高。
  • 使用公民個人信息,不得越界!
    近年來,雖然我國個人信息保護力度不斷加大,但在現實生活中,一些企業、機構甚至個人從商業利益出發,隨意收集、違法獲取、過度使用、非法買賣個人信息等現象仍比較突出。一些不法分子非法獲取個人信息,以網絡暴力方式散布他人隱私,已經涉嫌侵犯他人合法權益。
  • 使用公民個人信息不得越界
    近年來,雖然我國個人信息保護力度不斷加大,但在現實生活中,一些企業、機構甚至個人從商業利益出發,隨意收集、違法獲取、過度使用、非法買賣個人信息等現象仍比較突出。一些不法分子非法獲取個人信息,以網絡暴力方式散布他人隱私,已經涉嫌侵犯他人合法權益。
  • 數字法治|寧園:健康碼運用中的個人信息保護規制
    因此,個人信息保護的強化成為健康碼回歸合法、合理軌道的關鍵。從規範角度而言,健康碼中的個人信息保護則需要從個人信息保護基本原則和具體規則兩方面著手。上述立法一致規定個人信息處理應當遵循「合法、正當、必要」的原則,並進一步細化為明示信息處理目的、方式和範圍,公開信息處理規則,徵得主體同意等具體要求。從學理上講,上述內容可概括為知情同意原則和最小必要原則。健康碼運行是典型的個人信息處理活動,理應受到知情同意原則和最小必要原則的約束。
  • 11家網際網路企業做出「加強APP個人信息保護」公開承諾
    為切實做好APP個人信息保護工作,確保用戶權益不受侵害,我代表愛奇藝鄭重承諾:第一,不斷深化企業內部對用戶個人信息的保護意識,落實企業主體責任。嚴格遵守與個人信息相關的所有適用法律法規和規範性文件要求,我們亦會將用戶個人信息作為一項基本人權來保護。第二,嚴格保障用戶權益不受侵害,合法合規收集使用。
  • 人臉識別第一案宣判,給個人信息保護「長了臉」
    人臉識別第一案,「賠錢」不重要,重要的是用法律給個人信息的權益維護「長了臉」,其價值遠遠超越了1038元的賠償。也是「刷臉時代」個人信息保護的分水嶺。 我們回看一下這起「複雜著複雜」而又「普通著普通」的糾紛: 2019年4月,郭兵購買了野生動物世界的「暢遊365天」雙人年卡,確定指紋識別入園方式。郭兵與其妻子留存了姓名、身份證號碼、電話號碼等,並錄入指紋、拍照。
  • 江波、張亞男:大數據語境下的個人信息合理使用原則
    在基於合理使用原則構建的相關規則層面, 雖然有不少學者認為個人信息也具有財產屬性, 但個人信息權仍然主要是一項精神權利, 在合理使用的界定及規則設計上更應慎重、嚴格。如上述提及, 相關的合理使用配套規則宜採用第三種例外模式, 通過列舉正當理由的形式對那些特定情形下可以進行合理使用的予以明確規定。
  • 福州多個小區安裝人臉識別門禁,個人信息如何保護?
    當前,人臉識別門禁系統已逐步在福州推廣,部分小區強制推行人像採集,觸碰了人們的敏感神經,而信息不對稱、不透明加劇了人們對信息洩露的擔憂。小區門禁採用人臉識別是否有相應的法律依據?物業有權強制採集居民個人信息嗎?收集到的個人生物信息是否得到了妥善保護?記者就此進行調查。
  • 民法典對隱私權與個人信息的保護
    第一千零三十四條規定個人信息的定義,明確個人信息包含個人私密信息,對於個人信息中的私密信息,適用有關隱私權的規定,隱私權保護沒有規定的,適用有關個人信息保護的規定。可見,隱私權和個人信息兩者存在重疊和交叉,但兩者功能不同。隱私權保護的是人們私生活安寧,重點在不被他人知曉;而個人信息保護的是人們在社會交往過程中對個人信息的控制權,側重於控制,並不排斥個人信息的合法轉移。