[摘 要] 个人信息保护已经成为互联网时代的重大法律问题之一。个人信息保护涉及多个法律领域、多种法律手段,因此必须采取综合治理的方式来解决个人信息保护问题,构建个人信息保护的多元法律体系。十三届全国人大三次会议将于2020年3月审议表决《民法典》,还将计划制定《个人信息保护法》。因此,我国个人信息保护立法将迎来历史性突破,以民事基本法与行政单行法构筑的我国个人信息保护法律体系将基本形成。
[关键词] 个人信息;《民法典》;《个人信息保护法》
[中图分类号] D92
[文献标识码] A
如何在互联网经济飞速发展的今天,加强个人信息的法律保护是世界各国高度关注的问题。它既涉及个人人格在社会中的发展,也涉及互联网本身的利用和扩展。党的十九大报告一方面强调保护个人的人格权益,另一方面也多次强调发展和建设互联网的重要意义,其中个人信息的保护和利用问题显得尤为关键。围绕着个人信息的保护与利用,信息主体、企业和国家各有诉求,人格尊严和自由、商业价值、公共管理价值在个人信息上彼此交织。个人信息保护立法就是认识利益、表达利益的过程,意味着应当妥善处理个人、企业和国家三方关系,实现个人对个人信息保护的利益、企业对个人信息利用的利益和国家管理社会的公共利益之间的三方平衡。建立我国个人信息保护体系,需在充分保护信息主体的个人尊严和自由价值的基础上实现信息控制者对信息的合理使用,设计与目前我国社会核心价值和互联网经济发展规律相契合的多元个人信息权利保护体系,为实现国家产业升级及网络强国战略助力。[1]
从域外立法源流来看,个人信息保护制度本质上是个人信息正当利用的一套规则,是个人信息上的主体权利受保护,而不是个人对信息的支配权受保护。由于个人信息保护具有横跨私人空间和公共领域的特质,因此,超越私法和公法二元对立的立法模式已经成为世界潮流。我国在制定个人信息保护法和建构保护体系时,既要借鉴域外的经验,接轨国际规则,又要从我国实际出发,构建既适应时代需要,又解决中国现实问题的制度规则。2019年12月28日向社会各界公布征集意见的《中华人民共和国民法典(草案)》(以下简称《民法典》),将由全国人大常委会提请十三届全国人大三次会议于2020年3月审议,同时《个人信息保护法》也将进入立法快车道。这意味我国个人信息保护立法将有质的飞跃。在此背景下,本文将以目前《民法典》的编纂为核心,结合其他个人信息保护立法,对我国个人信息保护立法的思路、模式等进行分析和阐释。
一、个人信息保护的立法现状及其问题
近年来,个人信息的法律保护越来越受到国家重视。在立法方面,“自然人的个人信息受法律保护”已被写入2017年的《民法总则》第111条,①?《侵权责任法》《网络安全法》《消费者权益保护法》和《刑法》等法律、法规也对个人信息的收集、使用、保护规则以及侵害个人信息的处罚作出规定。②除此之外,《消费者权益保护法》《居民身份证法》《商业银行法》《未成年人保护法》《电信条例》以及 《互联网电子公告服务管理规定》《计算机信息网络国际联网安全保护管理办法》《互联网安全保护技术措施规定》等法律法规都对涉及个人信息保护和管理问题有所涉及。
从立法形式上看,我国有关个人信息保护的法律法规在数量上似乎形成了一定的规模,但不足之处在于还没有构成一个完整、系统、条理清晰的体系。立法层级、领域的不统一导致各项规定散见于众多的法律、规章甚至标准文件中,表现出分散化、碎片化的特征。从内容上分析,许多条文规定的内容过于抽象,操作性差,难以有效执行,且存在重复、交叉,形成多头执法和多头管理的局面,导致执法资源和司法资源的浪费。
二、个人信息的界定与法律属性
(一)个人数据与个人信息的界定
在各国立法和学理中,常有 “个人数据”(personal data)和 “个人信息”(personal information)的表达。从比较法的角度而言,欧盟《一般数据保护条例》③ (以下简称“欧盟GDPR”)第4条对个人数据进行了定义:“‘个人数据’指任何已识别或可识别的自然人(数据主体)相关的信息;可识别的自然人是能够被直接或间接识别的个体,特别是通过诸如姓名、ID 号、位置数据、网上标识,或者与该自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个因素。”由上述定义可以看出,“个人数据”的核心内涵在于两个方面:一是“已识别或可识别”, 识别是指通过一些因素可以直接或间接辨别出特定的个人数据,表明他人对特定个人数据和数据主体之间的联系因素的辨认;二是“相关信息”,指的是特定的个人数据与特定的数据主体之间具有的联系因素,可以从个人数据的内容、目的或者结果三方面来判断是否具有相关性。由此可以看出,欧盟对于个人数据的定义比较宽泛,意图尽量将与个人有关的数据都纳入保护范围,体现了欧盟对于个人数据保护的重视。[2]
我国目前对于个人信息比较明确的定义主要体现在《网络安全法》中。该法第76条第5款规定:“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。” 2018年出台的《网络安全法》的配套规定《信息安全技术个人信息安全规范》中对个人信息做了更加详细的规定:“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。”与《网络安全法》中的定义相比,《个人信息安全规范》从技术层面对个人信息进行了更为清晰的定义,不仅对识别主体进行了“特定”的限定,还增加了对于能反应特定自然人活动情况信息的识别,列举也更加详尽。
根据我国法的规定,判定某项信息是否属于个人信息,应考虑以下两个方面:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人;二是关联,即从个人到信息,如已知特定自然人,则由该特定自然人在其活动中产生的信息 (如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。
由上分析可以看出,我国法的定义与欧盟在可识别和关联性方面基本一致,在学理上同样采取了识别型定义。从表面语义来看,“数据”更加侧重于可以被机器设备自动化处理的特点,而“信息”则更加强调传递的内容,但是个人信息与个人数据在内涵基本上是相同的。
(二)个人信息的法律属性
大数据时代中个人信息的商业运用,为个人信息保护提出了许多新问题。个人信息不仅仅与一个人的人格息息相关,也与财产、商业价值密不可分。个人信息不再被视为一种单纯的人格权,其看似具有了某些财产属性。
《民法总则》颁布以来,学界对于第111条有广泛的争议,问题主要集中于以下两个方面:
一是讨论个人信息保护的权益层级问题,即个人信息究竟是一项独立的“个人信息权”,还是仅仅为一项受法律保护的民事利益。对于这一问题,学者间意见虽不统一,实际上对于个人信息权(权益)的具体保护而言影响并不大。而在《民法典》编纂中,学者大都更倾向于《民法典》人格权编在“个人信息”之后加“权”。①因为,从与特别法的关系来看,《民法典》将个人信息确定为权利,能够给特别法提供上位法依据;从域外法来看,包括欧盟GDPR在内的域外法大多都规定了个人信息权;从权利内容来讲,如果个人信息本身不是权利,则权利内容无法展开;从权利法益区分现状来看,因为当下尚不明确采用法益保护时需要什么特殊要件,故如果不确定个人信息为权利就会导致司法实践中面临很多问题。①??
二是讨论个人信息权(权益)的属性问题,即个人信息权(权益)究竟是一项人格权,还是一项财产权,还是说二者兼而有之。这一问题的讨论,对于个人信息保护立法具有较为重大的影响。总体来说,民法学者较为强调个人信息权(权益)的人格利益属性;而知识产权法、信息法等其他部门法的学者则更为强调个人信息权(权益)的财产利益属性。对这一问题的不同认识,会直接影响对于整个个人信息保护法律架构建立的认识。强调人格利益,则势必强调信息主体对于其个人信息的“支配性”,留给信息业者“利用”个人信息的空间就较小;反之,如果较为强调财产利益,则势必要在一定程度上限制信息主体对其个人信息的“支配程度”。支配程度与利用空间之间如何平衡,会直接决定个人信息收集、处理和使用者的义务内容。[3]个人信息的本质在于其能够单独或者结合其他信息识别特定个人身份的属性。如果将个人信息作为一种人格权,那么信息当然属于个人,而不可能属于信息收集、加工者。但是这种保护似乎过于严格,与在大数据时代数据的合理流通与利用的潮流不符合,因此,对于个人信息赋予一定的财产权属性,兼具人格权与财产权的属性更为恰当。
三、综合性、立体化的立法思路
党的十九届四中全会强调,要推进数字政府建设,加强数据有序共享,依法保护个人信息。在互联网时代,个人信息泄露和受侵害的情况极为复杂,个人信息立法首先要平衡各方利益,在立法价值上应注重平衡不同利益主体、有效保护与开发利用、个人安宁和社会发展这三对关系。因此,可以说个人信息的保护横跨民法、行政法、国际法等不同的法律部门,关涉科技、商业和国际政治等不同领域,需要立体、综合运用民事、行政、刑事及科技等手段予以保护。
综合立体立法具有鲜明的制度优势,有利于统合现有法律,对个人信息进行全方位保护。一方面,我国对个人信息保护的立法呈现碎片化的特征,相关规定零星分布在公法和私法的不同门类,包括但不限于《全国人大常委会关于加强网络信息保护的决定》《民法总则》《网络安全法》《侵权责任法》《消费者权益保护法》《居民身份证法》等法律,《征信业管理条例》《社会救助暂行办法》等行政法规以及《电信和互联网用户个人信息保护规定》《网络预约出租汽车经营服务管理暂行办法》等部门规章之中。因此,开展个人信息保护的立法工作需要梳理、整合、修改和补充原有的法律规范,消除其间的矛盾和混乱,建立清晰的民事、行政和刑事保护法律体系。另一方面,由于《民法典》和《个人信息保护法》不可能面面俱到,从而将所有个人信息方面的问题进行万无一失的规定,而只能是从民事和行政方面明确个人信息保护的基本原则、基本制度、基本行为规范和法律责任,在涉及到具体行业个人信息保护的问题,则仍要依赖于其他法规、规章、规范性文件乃至国家标准。
因此,要健全我国个人信息立法,首先,应在《民法典》的人格权编中明确个人信息权的法律地位、权利属性以及个人信息的收集使用原则;其次,尽快制定《个人信息保护法》,推进个人信息的专门化、系统化保护;最后,分领域制定规章制度,在金融、通信、电子商务、教育、医疗卫生、传媒等重点领域制定个人信息保护行政法规、部门规章,形成既反映实际需要,又整体统一的法律保护体系。
四、《民法典》+单行法的立法模式
现阶段,建立综合性、立体化的个人信息保护法律体系需要从多层次入手,需要完善相关立法。对立法模式的选择,应当以我国的现实国情为出发点,以解决我国现实问题并切合我国现有法律制度为目的。应当在《民法典》中将个人信息权利以一般性人格权利的方式纳入人格权立法之中,在人格权编对其个人信息的收集和利用作出原则规定,在侵权责任编中对侵害个人信息权利(权益)的损害赔偿包括精神损害赔偿、惩罚性赔偿等作出具体规定,建立起一套个人信息保护的民法规范体系;而像政府等公共机构、业界自律及社会公众监督在个人信息保护方面的特殊问题,则由《个人信息保护法》进行规定,建立起一套个人信息保护的行政法规范体系。当然,如何协调好《民法典》中的个人信息保护与未来的《个人信息保护法》的相互关系,也是一个重要的立法问题。
(一)《民法典》中的个人信息保护
在《民法典》规定个人信息,可以为个人信息保护提供正当性的私法基础文件和法律依据。在我国编纂《民法典》时,需要解决的问题是,《民法典》应当怎样对个人信息作出规定?《民法典》是否应当将个人信息权确立为一种新型人格权?个人信息被侵害时《民法典》能够提供何种救济等?[4]
最新公布的《民法典》(第三次审议稿) “人格权编”延续之前二审稿的体例,辟专章规定了“隐私权和个人信息”。其中,人格权编在体系上承接了《民法总则》的制度安排,区分隐私和个人信息,突出隐私权的优先地位,仍将隐私权置于个人信息之前优先保护。人格权编在总则的基础之上,对隐私权及个人信息的内涵、范围、保护方式等作出了细致的规定。①?人格权编使用六个条文( 第1034条至第1039条) ,对个人信息的定义以及收集、使用、删除、更正和保护等问题作出了较为详细的规定,构成了个人信息保护的私法基础。《民法典》第 1034 条第1款明确规定:“自然人的个人信息受法律保护。”接着第2款对个人信息进行了界定:“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。”本款还区分了一般信息和私密信息。第1035规定了收集、处理自然人个人信息的,应当遵循合法、正当、必要原则。
就《民法典》人格权编中个人信息保护的规定来看,个人信息的定义通过总括性描述和列举的方式得以明确,人格权编草案的三审稿又在二审稿列举的基础上增加了“电子邮箱”和“行踪信息”。这一定义是在《网络安全法》中个人信息定义基础上做出的修改完善,也符合目前国际上相应立法如欧盟GDPR的趋势。当然,《民法典》没有直接规定相关的责任条款。从民法典的立法体例来说,人格权编的重点是确权,而相关的责任条款应规定在侵权责任编中。[5]《民法典》人格权编对个人信息保护的相关规定,具有重要意义:一方面,《民法典》对个人信息保护的规定,明确了自然人对个人信息享有受保护的权利,要制止任何组织收集、存储、保管个人信息,以及使用个人信息的行为,若有违反规定者要进行严格的处罚。另一方面,《民法典》对个人信息保护的规定,主要涉及个人信息定义、收集处理个人信息原则及要求、个人信息被收集者和收集者的权利义务、国家机关和工作人员履职过程中对知悉的个人信息依法保存保密的义务等四个方面,有利于构建一个科学、合理的个人信息保护法律体系。
(二)《个人信息保护法》
从比较法的角度考察,欧盟关于个人数据的最新立法,呈现出法律效力从弱到强、法律规则从一般到特殊再到抽象、立法体系从碎片化到一体化的渐进特征。[6]欧盟采取的是基于风险的进路(risk-based approach),从数据处理行为的性质、范围、环境、目的以及对自然人的权利和自由带来风险和损害的可能性与严重性出发,实行预防为主和全程控制的个人数据治理框架。从整体上看,欧盟更加突出对数据主体的保护,而对数据控制者和处理者使用个人数据则进行了严格的限制,加大了数据控制者和处理者对个人数据管理的法律责任。2018年5月生效的这部欧盟GDPR为其28个成员国建立了一个统一的个人信息保护和流动规则,从而创设了“一个大陆、一部法律”的个人信息保护格局。这也为中国的个人信息保护法立法提供了可资参考和借鉴的经验。
我国个人信息保护混乱、不明确,归根结底还是与法律规定的分散化和碎片化有关,主要还是因为没有一部可以让信息主体和信息处理方以及监管部门都能有法可依的统一立法。随着互联网技术的不断发展,个人信息保护和个人数据安全是一个绕不开的问题,与其不断地针对新问题出台效力位阶较低的多个规定,不如制定一部统一的个人信息保护法。因为,统一的立法模式体现的是一种基本价值引导,在统一的立法中,明确定义,确立基本原则,设立各方权利义务,规定救济途径,这就使得个人信息保护有了基本的方向,社会的各界也能够有法可依。
2018年9月《个人信息保护法》被列入十三届全国人大常委会立法规划,①这标志着中国个人信息保护法治建设进入新的阶段,个人信息保护即将迎来系统的法律规定保护。我国目前有三版《个人信息保护法(专家建议稿)》,②?与前述《民法典》建议稿相比,其中周汉华教授和齐爱民教授的《个人信息保护法(专家建议稿)》 体现出以下特点:第一,在强调保护个人信息的同时,也要强调促进个人信息的合法有效利用;第二,都将个人信息处理者划分为“政府(国家)机关”和“其他个人信息处理者”两类,并分别规定不同的规制方式。总体来讲,这两稿对于政府机关的规制程度要弱于对其他个人信息处理者的规制程度。这主要是因为,政府机关处理个人信息是履行法定职责、实施行政管理的必然要求,从法律性质上看属于行政法律关系。相反,其他个人信息处理者处理个人信息是一种民事主体的自主活动,从法律性质上看属于民事法律关系。2018年张新宝教授也提出了一版《个人信息保护法(专家建议稿)》,在个人信息的保护方面更加注重信息(数据)的有效流通。张新宝教授提出了“两头强化”的保护方法,即“强化个人敏感信息的保护”和“强化个人一般信息的利用”。[7]
《个人信息保护法》也已经列入了本届全国人大常委会的立法规划,目前法工委正在会同有关部门研究论证,加紧推进起草工作,将按照立法工作计划适时提请全国人大常委会审议。《个人信息保护法》需要整合、修改和补充原有的法律规范,消除其间的矛盾和混乱,建立规范畴、系统的法律体系;需要对个人的信息的收集、使用以及监管进行规定,尽快为我国的个人信息保护与利用提供一部统一的立法。
(三)《民法典》中的个人信息保护与其他立法的关系
就《民法典》与单行立法在个人信息保护上的关系问题而言,既要有分工,又要有衔接协调。《民法典》人格权编第六章关于个人信息保护的规定是立足于《网络安全法》规定所做的修改完善。同时,考虑到将来还有专门的《个人信息保护法》,所以就《民法典》这一长期稳定适用的民事基本立法而言,不能做出太多细致具体的规定,而只需做出基础性、原则性的规定。这样一来,既可以对其他的立法有所指引,又为将来的发展留有空间。《个人信息保护法》究其性质属于公法,更多涉及的是管理机关如何通过行政管理手段加强个人信息保护的问题。
此外,《民法典》人格权编也是发展和完善刑法中对相应犯罪认定的重要契机。刑法对个人信息的保护,目前首要的体现为刑法打击不足。公民饱受个人信息被泄露和被非法提供的困扰,但是刑事案件数量少,刑罚打击的力度不够。除了受害人个人的报案动力不强,现行刑法只处罚向他人出售和非法提供这两种行为以及刑民在保护个人信息方面界限不清也是现实的障碍。这需要刑法与民法合力完成。
总之,《民法典》和《个人信息保护法》只有和其他法律有效协同,才能让个人信息保护制度稳定性和开放性兼备。从体系上,行政法及民法手段处于公民个人信息保护的主导地位;刑法是保障公民个人信息权利的最有力手段,各部门法之间达到统一协调,方能更全面地保护个人信息权利。
[ 参 考 文 献 ]
[1] 万方,谢远扬.建立个人信息保护体系助力网络强国[N].民主与法制时报,2018-08-02.
[2] 郭瑜.个人数据保护法研究[M].北京:北京大学出版社,2012:117-119.
[3] 金辉.建立完善的个人信息保护制度[N].经济参考报,2019 -12 -31.
[4] 程啸.民法典编纂视野下的个人信息保护[J].中国法学, 2019(4) .
[5] 谢远扬.《民法典人格权编(草案) 》中“个人信息自决”的规范建构及其反思[J].现代法学,2019(6).
[6] 金晶.欧盟《一般数据保护条例》: 演进、要点与疑义[J].欧洲研究,2018(4).
[7] 张新宝.我国个人信息保护法立法主要矛盾研讨[J].吉林法学社会科学学报,2018(5).
