個人信息保護:嚴格遵循「合法、正當、必要」原則

　　作者：王春暉　南京郵電大學信息產業發展戰略研究院首席專家

　　針對隱私權和個人信息保護領域存在的突出問題，在現行法律規定基礎上，我國民法典各分編草案在「人格權編」中進一步強化對隱私權的保護。2019年8月22日，第十三屆全國人民代表大會常務委員會召開第十二次會議，《民法典人格權編（草案）》（三次審議稿）（下稱草案三審稿）提請審議。草案三審稿中對「隱私權和個人信息保護」章節進行了部分改動，進一步升級了對隱私權和個人信息保護，比如：將自然人的「電子郵箱地址」和「行蹤信息」納入個人信息的範圍等。筆者認為，對於「個人信息保護」中的相關內容仍有待進一步完善，囿於篇幅本文僅談三點問題。

　　完善個人信息的定義

　　「個人信息」在我國若干立法中均有定義，草案三審稿第813條將「個人信息」定義為：「個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱地址、行蹤信息等。」與第二次審議稿不同，此次將自然人的「電子郵箱地址」和「行蹤信息」納入了個人信息的範疇。

　　筆者以為，草案三審稿有關「個人信息」的定義應當進一步加大對個人隱私信息的描述，尤其應當增加自然人的「帳號和密碼以及財產狀況」。帳號是數字時代的代表，公民發送郵件、網上購物、網路遊戲、電子支付等都要註冊帳號，帳號是網絡時代公民重要的隱私空間和信息，密碼則是自然人為了維護自己的帳戶安全，將可識別的信息轉變為無法識別的信息，是公民開啟其個人隱私空間的一把鑰匙。

　　網絡時代，大多數人的消費選擇了電子支付的方式，據中國人民銀行的數據顯示，2018年，僅銀行業金融機構處理的電子支付業務就達到了1751.92億筆，總金額達到了2539.70萬億元。網絡時代的電子帳號密碼就像一把金鎖，封住了公民的私密空間，幾乎成為保障公民各類帳戶安全的唯一手段，是公民最重要的隱私信息之一。可見，「帳號和密碼」，尤其是涉及到金錢（財產）的帳戶和密碼，已經不僅僅是自然人「不願為他人知曉」的信息，而是絕對拒絕和排斥他人知曉的私人空間和信息，這是網絡時代的一項絕對隱私權，應當納入「個人信息」的定義。

　　明確個人信息處理的內涵

　　草案三審稿第814條規定：收集、處理自然人個人信息的，應當遵循合法、正當、必要原則，並應當符合下列條件：（一）徵得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外；（二）公開收集、處理信息的規則；（三）明示收集、處理信息的目的、方式和範圍；（四）不違反法律、行政法規的規定和雙方的約定。

　　筆者注意到，草案三審稿中的「收集、處理自然人個人信息」的表述主要參照了網絡安全法第41條的規定：「網絡運營者收集、使用個人信息。」筆者以為，上述規定中的「收集」具有兩層含義，首先側重於「收」，其次才是「集」，「收」的含義是收攏，是一種主動的行為，對象是個人信息。

　　事實上，多數個人信息是由於個人使用數據信息平臺而在電子信息系統載體上留下的客觀事物的記錄，這些記錄有些是具有語意特徵的「信息」，有些是沒有語意特徵的「數據」。因此，建議刪除「收集」，只保留「處理」，即「處理自然人個人信息」。因為「處理」是一個過程，本身包括「收集」，即收攏和聚合個人在電子信息系統載體上已經留下的個人信息（數據），同時還涵蓋了「加工、傳輸、提供、公開」等內容。

　　筆者注意到，草案三審稿第六章專門增加了「個人信息處理」的內容，並對具體外延進行了例舉，即「個人信息的處理包括個人信息的使用、加工、傳輸、提供、公開等」。為此，建議將第814條中的「收集」一詞併入「處理」的範疇，即「個人信息的處理包括個人信息的收集、使用、加工、傳輸、提供、公開等」。

　　完善個人信息保護的原則

　　目前，關於個人信息保護的原則基本都採用「合法、正當、必要」原則，這個原則最早以法律形式出現在工信部於2013年7月出臺的《電信和網際網路用戶個人信息保護規定》第5條：「電信業務經營者、網際網路信息服務提供者在提供服務的過程中收集、使用用戶個人信息，應當遵循合法、正當、必要的原則。」之後，2017年6月1日起施行的網絡安全法第42條採納了這一原則：「網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則。」草案三審稿第814條也使用了「合法、正當、必要原則」的表述。

　　當前，移動網際網路應用程式（App）已經成為移動網際網路信息服務的主要載體。令人遺憾的是，絕大多數App控制和處理的個人信息明顯違反「合法、正當、必要」原則，特別是觸碰了公民隱私的紅線，比如有些App在條款中稱，需要的個人信息包括用戶姓名、性別、電話號碼、郵箱、出生日期、地理位置、身份證號碼、可識別生物信息和財務信息（如信用卡卡號或銀行帳號、微信支付或支付寶帳號信息等）。

　　實踐中，我國法律確定的「合法、正當、必要」這項個人信息保護的原則，只要信息（數據）主體接受了信息（數據）控制者或處理者的「隱私條款」就完成了所謂的「合法」環節。事實上，多數App設置的所謂「隱私條款」完全超出「正當、必要」的範圍，尤其令人不能接受的是，如果用戶不接受其隱私條款，App的發布者則拒絕用戶安裝或使用其App。此種「只能被迫接受，否則沒法使用」的行為嚴重侵犯用戶的選擇權。

　　筆者呼籲，個人隱私和信息保護的民法原則，應當彰顯私法中的契約精神在個人信息（數據）保護中的法律地位，且信息（數據）控制者或處理者提供的隱私格式條款應當進行合法性審查。為此，建議草案三審稿第814條在「遵循合法、正當、必要的原則」之前增加「遵照雙方的約定」的規定，表述為：「處理自然人個人信息的，應當遵照雙方的約定，並遵循合法、正當、必要原則。草案三審稿第814條第（四）規定，「不違反法律、行政法規的規定和雙方的約定」中已經明確了不得違反「雙方的約定」。同時，鑑於多數信息控制者「隱私條款」具有免除其責任和排除信息（數據）主體主要權利的情形，建議在814條中增加一款：「信息（數據）控制者或處理者提供的隱私格式條款應當進行合法性審查。」（王春暉）

[ 責編：劉朝 ]