民法典主题园亮相合肥 新华社发(解琛 摄)
作者:张凯 中南财经政法大学法治发展与司法改革研究中心副研究员
个人信息安全是网络安全的重要组成部分,个人信息保护已成为广大人民群众最关心最直接最现实的问题之一。网络信息世界的高速发展正深刻地影响和改变着人类社会,以大数据、云计算为代表的网络信息技术日新月异、突飞猛进,给人类工作生活带来了前所未有的变化,一方面为经济社会的快速发展注入了强大的动力,极大地便利了人民的工作生活,另一方面也给个人隐私安全、信息保护带来了前所未有的挑战。根据去年中国互联网信息中心相关统计报告,全国网民总体规模超过10亿,网站数量超过422万个,APP数量超过302万款。从腾讯前些年发布的微信数据报告、中国消费者协会发布的APP个人信息泄露情况调查等报告表明,我国公民个人信息遭泄露的情况比较严重,曾经仅胶州中心医院就造成6000余进出人员个人信息泄露,全国共1522名人员因违法网上传播疫情信息而受到处罚,公民个人隐私和信息遭泄露的情况十分严峻,主要原因为:收集、储存、使用个人信息缺乏规范管理,随意性很大,泄露的风险大;收集信息明显超过正当和必要范围,极易造成侵权;随意将个人信息用于其他用途,导致信息被滥用;随意公开其个人信息,尤其是敏感信息;个人信息安全保护主体责任缺失等。事实证明,民法典实施一年多进一步织密了个人信息保护的法网,将人格权独立成篇具有重要的现实意义,充分体现了宪法“尊重和保障人权”的精神,有利于充分保护民事主体的人格权,特别是第六章关于隐私权和个人信息保护的规定,进一步加强了个人信息的法律保护:
一、为个人信息提供了更广泛的法律保护。民法典第1034条规定:“自然人的个人信息受法律保护”,这一规定的保护主体是自然人,保护对象是个人信息;个人信息是一个内容相当广泛的概念,事实上,其立法意图表明:只要是与人有关的各种信息都是民法典保护的对象,相对隐私权而言,个人信息保护范围更加广泛,个人信息保护具有全方位性。“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”,这一规定明确界定了个人信息的存在形式(以电子或其它方式记录),表现形式(单独或者以其他方式相结合),特质、功能(识别特定自然人)和范畴(各种信息):包括自然人的姓名、出生日期、身份证号码、生物识别信息、住址、电话号码、电子信息、健康信息、行踪信息等,这些信息既有与生俱来的,还有后天形成的,既包括人生方面的,又包括财产方面的,既有涉及隐私方面的,还涉及有公开的信息等,这充分证明了加强个人信息保护范围的广泛性。“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”这意味着,即使是不属于隐私权中“私密信息”的个人信息,也依然能得到相应的法律保护,这更充分地证明了民法典全方位扩大个人信息的法律保护。
二、严格规定个人信息处理的基本原则。个人信息处理的原则就是对个人信息进行处理时应遵循的基本规则,从实质上讲,是对个人信息处理权力的一种规范和限制,也就是处理个人信息时应遵从的要求和标准,目的就是严禁对个人信息的过度使用或者滥用,以确保个人信息的安全。民法典第1035条规定;“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。”其中合法原则是前提,正当原则是根本,必要原则是标准,不得过度使用是根本目的,法条中列举的四个条件是大前提,只有自然人或监护人同意才合法,按规则处理信息才正当,明示处理信息的目的、方式和范围是必要程序,只要不违反法律、行政法规的规定,就是合法使用处理个人信息,只有依法遵守双方的约定才不会过度处理。法条还明确了个人信息处理的方式方法包括收集、储存、使用、加工、传输、提供、公开等。民法典第1036条明确规定了处理个人信息的免责事由,包括三个方面,并明确规定行为人不承担民事责任,进一步证明了正当性、合法性、必要性原则不仅是处理个人信息时应遵循的基本原则,而且是加强个人信息保护的基本原则。
三、强化个人信息决定权确保信息安全。民法典第1037条规定:“自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有误的,有权提出异议并请求及时采取更正等必要措施。”同时还规定,处理中若违反相关规定,自然人有权请求信息处理者及时删除。个人信息决定权充分体现了民法典加强对个人信息保护的立法精神,充分体现我国法律对人格的尊重,对人权的保护。查询、复制并行使删除权是确保个人信息主体控制权的具体措施。根据民法典的这些具体规定,公民可以依法查询其个人信息的状况,掌控其个人信息的使用状态,并且根据需要,随时对相关状态进行调整,若出现违规违法,可以提出删除的要求,个人信息的处理者必须对这些权利主张予以满足。公民个人信息决定权对公民个人信息安全的保护具有重要意义,信息决定权直接关系到信息的处置权,直接影响信息安全,为了确保公民个人信息的安全,民法典第1038条规定“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。”民法典强化对个人信息的保护,还体现在控制个人信息流出、更正或撤回,维护个人信息的安全环境,知情同意正是控制个人信息流出的关键措施。根据民法典规定,处理自然人个人信息的,一般都必须征得该自然人或者其监护人同意,即便是获得了个人同意,还需要明示处理信息的目的、方式和范围,不得违反法律、行政法规的规定和双方的约定,并按照合理的方式处理信息。
四、强调国家机关及其公职人员信息保密义务。国家机关、承担行政职能的法定机构及其工人员,因工作原因可能大量采用收集、存储、加工、传输、公开等方式使用公民个人信息,如身份证号码、手机号码、邮箱、银行账户、家庭住址等个人信息,在履职的过程中还可能知悉和了解到更多自然人的隐私和公民个人信息,如私密空间、私密活动、私密信息、家庭状况、财产收入等,这些信息一旦遭泄露或者非法提供给他人,就会给公民的人生或财产造成不可估量的损失。强调国家机关及其公职人员信息保密义务是一种特殊从严规定,就是要求国家机关及其公职人员,在处理个人信息时,特别是在汇总存储环节,应严格按照相关保密规定,尽可能相对集中管理和处理个人信息,采用严密的访问控制、审计、加密等安全措施;特别是在工作对接的过程中,在与工作相关方共享、传输相关数据时,应严格按程序办事,必须事先确认对方是有权获取数据的机构或个人,一般情况下,应采取加密传输的措施。虽然2010年修订的《中华人民共和国保守国家秘密法》对国家机关及其工作人员的保密义务进行了明确的规定,但民法典第1039条进行了更具体的规定,“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”强调国家机关及其工作人员对个人信息的保密义务具有重要的意义,这有利于平衡公共利益与公民个人信息保护,兼顾社会治理安全与效率,确保公民个人信息安全。
五、特别注重加强个人重要信息的保护。民法总则虽然明确自然人享有隐私权,但对隐私权的概念并未界定,更没有对个人信息和隐私权进行区分,新通过的民法典,在人格权编第1032条给出隐私权的定义,既包括“私人生活安宁”,也包含“不愿意让他人知晓的私密空间、私密活动、私密信息”。虽然民法典第六章将隐私权和个人信息进行了并列规定,笔者认为两者是既有联系又有区别的,联系是隐私权与个人信息密不可分,隐私权涉及个人信息的内容,个人信息包含隐私的成分,隐私权属于个人信息中的重要信息,是个人信息保护重点。区别是隐私权侧重于精神层面,更多属于精神利益,个人信息侧重物质层面,兼具人格和财产利益;隐私偏重于消极防御权,个人信息则强调积极保护;隐私权更关注主观意愿,个人信息更多关注的是客观风险,民法典事实上提供了比隐私权更广泛的个人信息保护。民法典第1032条规定“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。”第1033条明确规定了侵害隐私权的六种方式,进一步明确不得实施可能破坏他人隐私和隐私权的行为,强化对公民个人信息的保护,体现了新时代民法典加强人权保护特别注重公民人格权保护的立法价值取向。