【摘要】個人信息保護具有民事權利屬性,《個人信息保護法》屬于《民法典》的特別法,可以對《民法典》作出補充和例外規(guī)定,對其一般性規(guī)定進行變通和突破,但是不能違背其所確立的合法正當必要等基本原則。正確理解《民法典》與《個人信息保護法》的關系,在立法技術層面,應做好二者的協(xié)調(diào)和優(yōu)化,尤其關于個人在信息處理活動中的有關權利制度。從《民法典》的立法精神出發(fā),基于實踐意識和問題導向,《個人信息保護法(草案)》可進行進一步完善和提升。
【關鍵詞】《個人信息保護法(草案)》 《民法典》 信息處理 【中圖分類號】D923 【文獻標識碼】A
近期,立法機關公布了《個人信息保護法(草案)》,引起了廣泛的關注。草案具有諸多亮點,呈現(xiàn)出較為鮮明的時代特色和問題意識,在《網(wǎng)絡安全法》《民法典》等現(xiàn)行法的基礎上,增設了知情同意制度、敏感信息、自動化處理、刪除權、公共場所的監(jiān)控設施等具有重要意義的新制度。
正確理解《民法典》與《個人信息保護法》的關系
眾所周知,《民法典》在總則編(第111條)和人格權編(第1034—1039條)以多個條文對個人信息保護作出了重要規(guī)定,奠定了個人信息保護制度的規(guī)則框架;而《個人信息保護法》則是一部全面、系統(tǒng)規(guī)定個人信息保護的單行法。二者的關系是什么?有論者認為,二者之間不是普通法與特別法的關系。原因在于,《民法典》僅能調(diào)整平等主體之間的個人信息處理活動;而《個人信息保護法》同時涉及私法關系(私法主體之間)與公法關系(國家機關處理個人信息);而另外,《個人信息保護法》還規(guī)范不平等的私法主體(如用戶與互聯(lián)網(wǎng)平臺)之間的關系。因此,《個人信息保護法》是所謂的“領域法”,或者是調(diào)整事實上地位不平等的主體之間的“社會法”,而非《民法典》的下位法,亦非其特別法;否則,可能陷入所謂“民法霸權主義”的誤區(qū)。
就個人信息保護這一問題而言,《民法典》作為基本法,無疑具有普通法的地位,其約束的義務主體“信息處理者”涵蓋了所有的信息處理機構和個人,突破了《網(wǎng)絡安全法》中所規(guī)制的義務主體(“網(wǎng)絡運營者”)的限制,具有一般性。而《個人信息保護法》作為全面規(guī)制個人信息處理的單行法,則具有特別法的屬性,對民法典作出了大量的補充和例外性規(guī)定。二者之間的關系類似于《民法典》與《消費者權益保護法》的關系。在比較法上,民法典與單行法的關系通常被形象地描繪為太陽系的格局:民法典是“太陽”,而單行法則構成圍繞“太陽”公轉(zhuǎn)的“行星”;“行星”根據(jù)“太陽”所投射的“光芒”來進行解釋。典型的例子如《魁北克民法典》“序言”第2款規(guī)定:“民法典由調(diào)整相關事項的規(guī)則的整體所組成,這些條文的文字、精神或?qū)ο笤谄渌{(diào)整事項的領域內(nèi),以明示或默式的方式確立了其‘共同法’。在這些領域中,法典是其他單行法的基礎,盡管單行法可以補充或者作出例外規(guī)定。”這就是說,民法典與單行法之間是普通法與特別法的關系,單行法可以對民法典作出補充或例外規(guī)定。在單行法有規(guī)定的情況下,單行法應得到優(yōu)先適用;在單行法沒有規(guī)定的時候,則應適用作為普通法的民法典。從這個意義上說,《個人信息保護法》屬于《民法典》的特別法,這并不意味著對《個人信息保護法》地位的貶低或者對其功效的抑制。作為全面系統(tǒng)規(guī)定個人信息處理制度的單行法,《個人信息保護法》可以對《民法典》作出補充和例外規(guī)定,對《民法典》的一般性規(guī)定進行變通和突破,尤其對行政監(jiān)管、信息跨境流動等民法典沒有規(guī)定或不適合規(guī)定的內(nèi)容增設規(guī)定。但是,《個人信息保護法》不能違背《民法典》所確立的基本原則,例如,《民法典》中關于個人信息(第1034條)及個人信息處理的定義(第1035條第2款)、合法正當必要等處理原則(第1035條第2款)、免責事由(第1036條)、侵權責任等。
《個人信息保護法》與《民法典》的立法技術協(xié)調(diào)和優(yōu)化
個人信息的權利主體。關于個人信息的權利主體,《民法典》中的措辭是“自然人”;而《個人信息保護法(草案)》采取的措辭則是“個人”,譬如該草案第四章標題為“個人在個人信息處理活動中的權利”。從所指對象來說,二者并無差別,在措辭上似宜保持一致。
個人信息的類型。《民法典》第1034條區(qū)分了一般個人信息與私密信息。但《個人信息保護法(草案)》并未采納這一區(qū)分,草案第29—32條則采納了“敏感信息”這一比較法上通行的概念;二者有明顯差異。相比較而言,“敏感信息”的概念內(nèi)涵比較明確具體(如種族、政治與宗教信仰、生物識別信息、健康信息、性取向等);而“私密信息”在邊界上則較為模糊,可涵蓋所有未公開的個人信息,包括在特定范圍內(nèi)(如家庭成員、朋友間)分享的所有信息。從客體范圍的確定性角度來看,《個人信息保護法(草案)》的做法似更可取。
個人信息的處理原則?!睹穹ǖ洹返?035條規(guī)定了合法、正當、必要原則。而《個人信息保護法(草案)》第5條的措辭則是“處理個人信息應當采用合法、正當?shù)姆绞?rdquo;,將合法正當上升為原則;草案第6條規(guī)定了處理應限于實現(xiàn)處理目的的最小范圍,這正是必要性原則的邏輯后果,但未明確規(guī)定此原則,因此建議明文規(guī)定“必要性”原則。
關于公開信息的處理?!睹穹ǖ洹返?036條第2款規(guī)定,合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息,不承擔民事責任,但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外。這里,“處理該信息侵害其重大利益的除外”,是指如果處理該信息可能侵害權利人的重大利益;對于這樣的例外情形,即便權利人同意,處理者也不得進行處理。《個人信息保護法(草案)》第28條規(guī)定了處理公開信息的告知同意制度,包括利用已公開的個人信息從事對個人有重大影響的活動。根據(jù)該條,如果權利人同意,即便對其有重大影響處理者亦可處理。此點需與《民法典》的前述規(guī)定保持一致。
信息安全義務?!睹穹ǖ洹返?038條規(guī)定信息處理者應當采取技術措施和其他必要措施,確保其收集、存儲的個人信息安全,防止信息泄露、篡改、丟失?!秱€人信息保護法(草案)》第50條規(guī)定了處理者負有防止未經(jīng)授權的訪問以及個人信息泄漏或者被竊取、篡改、刪除等義務。建議明確設定信息處理者的安全保障義務,這對于要求互聯(lián)網(wǎng)平臺采取必要的安全措施尤為重要;這也是當前個人信息被侵害的“重災區(qū)”。
獲利返還規(guī)則。如前所述,《個人信息保護法(草案)》第65條借鑒《民法典》第1182條引入了獲利返還規(guī)則,但在最后增加了一句:“個人信息處理者能夠證明自己沒有過錯的,可以減輕或者免除責任。”這句規(guī)定過錯要件,似采取過錯推定責任。但是,學界對侵害個人信息責任的歸責原則存有爭議,如采取過錯推定責任,可能會與《民法典》第995條人格權請求權條款發(fā)生沖突(不以過錯為要件)。例如,在信息處理者違反安全義務導致信息泄露的情況下,無論其是否有過錯,均應采取相應的補救措施。因此,建議刪除本句,或者將其“責任”限定為“損害賠償責任”,而不包含人格權請求權(如消除危險)。
《個人信息保護法》與《民法典》的立法精神協(xié)調(diào)
《個人信息保護法(草案)》的重大亮點之一,是詳細規(guī)定了信息主體的各項權利。從《民法典》強調(diào)個人信息權益保護的立法精神出發(fā),針對實踐中一些較為突出的問題,草案在以下方面仍可繼續(xù)完善和改進。
知情同意權?!秱€人信息保護法(草案)》第17條規(guī)定,個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由,拒絕提供產(chǎn)品或者服務;處理個人信息屬于提供產(chǎn)品或者服務所必需的除外。就此而言,可參考中國人民銀行2020年9月發(fā)布的《金融消費者權益保護實施辦法》第29條,其中明確規(guī)定金融機構“不得變相強制收集消費者金融信息”。因此,針對大量的APP存在變相強制消費者被迫同意處理其個人信息的情況,草案可增加規(guī)定“信息處理者不得變相強制個人作出同意”,確保個人知情同意權的真正落實。
委托處理?!秱€人信息保護法(草案)》第22條規(guī)定:“個人信息處理者委托處理個人信息的,應當與受托方約定委托處理的目的、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,并對受托方的個人信息處理活動進行監(jiān)督”。但本條僅規(guī)定了委托方與受托方之間的外包處理約定問題,而未規(guī)定信息主體對委托處理活動的同意和控制權。就此而言,值得參考的是,《信息安全技術 個人信息安全規(guī)范》(2020年版)第9.1條a項規(guī)定:“個人信息控制者作出委托行為,不應超出已征得個人信息主體授權同意的范圍。”因此,建議《個人信息保護法(草案)》在本條增加規(guī)定:“委托處理個人信息的,不應超出個人授權同意的范圍。”
自動化處理?!秱€人信息保護法(草案)》第25條針對實踐中大量應用的自動化處理作出了規(guī)定,具有重大意義。根據(jù)該條第1款,利用個人信息進行自動化決策應當保證決策的透明度和處理結(jié)果的公平合理。個人認為自動化決策對其權益造成重大影響的,有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。這是對第7條“公開透明原則”的具體應用。第25條第2款對網(wǎng)絡畫像作出了規(guī)定:通過自動化決策方式進行商業(yè)營銷、信息推送;應當同時提供不針對其個人特征的選項;這里顯然是賦予消費者以同意權和選擇權。從這一精神出發(fā),第一,參考歐盟《一般數(shù)據(jù)保護條例》(簡稱“GDPR”)第22條“數(shù)據(jù)控制者應當采取適當措施保障數(shù)據(jù)主體的權利、自由、正當利益,以及數(shù)據(jù)主體對控制者進行人工干預,以便表達其觀點和對決策進行異議的基本權利”,建議草案在第25條第1款增加個人有權要求處理者進行人工處理(人工干預和復核)的權利。因為如今大量的售后客服都是采用人工智能和機器人自動應答模式,消費者無法獲得人工復審的權利,這在本質(zhì)上是經(jīng)營者逃避責任的方式,立法應當進行規(guī)制。
敏感信息?!秱€人信息保護法(草案)》規(guī)定敏感信息是其重大創(chuàng)新,這也是立法文件中第一次引入了敏感信息這一重要范疇。草案第29條第2款規(guī)定:“敏感個人信息是一旦泄露或者非法使用,可能導致個人受到歧視或者人身、財產(chǎn)安全受到嚴重危害的個人信息,包括種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等信息。”本款規(guī)定特別指明了敏感信息的特殊重要性:一旦泄露或者非法使用,可能導致個人受到歧視或者人身財產(chǎn)安全受到嚴重危害,即嚴重影響個人的基本權利。因此,法律對敏感信息的處理必須設定特殊的要求。
從這個角度來看,草案第29條第1款規(guī)定仍有值得完善的地方。該款規(guī)定:“個人信息處理者具有特定的目的和充分的必要性,方可處理敏感個人信息。”此處“具有特定的目的和充分的必要性”,措辭過于寬泛,建議在“具有”之前增加“基于維護公共利益或個人的重大利益”。以GDPR第 9條為參考,盡管該條第1款亦使用了“特定目的(specific purposes)”的措辭,但該語詞是指基于個人的重大利益或者在健康、勞動、社會保險等領域的公共利益等。這從隨后其他幾項條款的措辭也可以看出:對信息數(shù)據(jù)主體的基本權利和利益是必要的;非營利機構的正當性活動中所進行的處理;處理是為了實現(xiàn)公共利益所必要的;科學或歷史研究目的或統(tǒng)計目的是必要的并采取了合理的保護措施等。
此外,GDPR第35條第1款規(guī)定,當某種類型的處理——特別是適用新技術進行的處理——很可能會對自然人的權利與自由帶來高風險時,在考慮了處理的性質(zhì)、范圍、語境與目的后,控制者應當在處理之前評估處理行為對個人數(shù)據(jù)保護的影響。而《個人信息保護法(草案)》第54條第1款也規(guī)定了處理敏感信息必須進行事前的風險評估制度;第2款規(guī)定了風險評估的內(nèi)容。預計風險評估的具體機制將交由有關主管部門以規(guī)章形式加以規(guī)定,但從增加法律的可預期性和透明度角度出發(fā),本款宜增加規(guī)定風險評估的原則、評估效力等基本問題。
刪除權?!睹穹ǖ洹返?035條規(guī)定,處理個人信息的,應當遵循合法、正當、必要原則。而《個人信息保護法(草案)》第47條規(guī)定:“有下列情形之一的,個人信息處理者應當主動或者根據(jù)個人的請求,刪除個人信息:約定的保存期限已屆滿或者處理目的已實現(xiàn)。”歐盟GDPR第17條刪除權的規(guī)定中,(a)項是個人信息對于實現(xiàn)其被收集或處理的相關目的不再“必要(necessary)”。因此,從與《民法典》協(xié)調(diào)一致的角度、強調(diào)必要性原則出發(fā),建議將“處理目的已實現(xiàn)”改為“個人信息對其處理目的而言已無必要”。
信息泄漏時的通知義務?!秱€人信息保護法(草案)》第55條第2款規(guī)定:“個人信息處理者采取措施能夠有效避免信息泄漏造成損害,個人信息處理者可以不通知個人。”此處是對信息處理者通知義務的豁免,但是,為防止信息處理者自己作出安全判斷以規(guī)避通知個人的義務,建議增加規(guī)定“經(jīng)履行個人信息保護職責的部門評估”,而非任由處理者自行作出判斷。
增加攜帶權。以GDPR第20條為例,所謂攜帶權是指信息主體有權無障礙地將信息從其提供給的控制者那里傳輸給另一個控制者。就此而言,值得注意的是,中國人民銀行2019年《金融消費者權益保護實施辦法(征求意見稿)》第36條曾規(guī)定:“鼓勵金融機構在技術可行的前提下,基于金融消費者的請求,將其金融信息轉(zhuǎn)移至金融消費者指定的其他金融機構。”這是關于信息攜帶權的倡導性規(guī)定,攜帶權有助于打破信息的壟斷,促進信息的自由流通,同時將強化信息主體對信息的控制與利用;當然,攜帶權會給信息處理者帶來相應的義務和成本,因此現(xiàn)階段仍然存在爭議。從長遠來看,為鼓勵信息的流通,《個人信息保護法》可仿效前述倡導性規(guī)定,以倡導性規(guī)范的軟性方式,對攜帶權作出前瞻性的指引式規(guī)定。而此類軟法性和指引式規(guī)范的設置,也是治理現(xiàn)代化的重要表征。
人臉識別問題?!秱€人信息保護法(草案)》體現(xiàn)出充分的問題意識和實踐特色,其第27條對公共場所的視頻監(jiān)控作出了規(guī)定,對于保護公民的隱私和個人信息具有重要意義。根據(jù)該條,在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規(guī)定,并設置顯著的提示標識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的,不得公開或者向他人提供。鑒于人臉識別在當前成為社會關注的焦點,本條可參照比較法經(jīng)驗進行進一步完善。出于對隱私的保護,國外的立法對于公共場所的攝像頭安裝都有嚴格限制,譬如,比利時2007年通過的全球第一部“攝像頭法”——《關于安裝和使用監(jiān)控攝像設備的法律》)規(guī)定,安裝公共場所的固定或者移動攝像頭,都必須基于“預防、確定和調(diào)查違法行為”;另外,該法第8條第1款規(guī)定:“具有存儲和自動識別功能的監(jiān)控設備,只能用于車牌的自動識別,此類設備的使用必須尊重保護隱私的有關規(guī)定。”在我國,已出現(xiàn)人臉識別技術濫用問題,一些商業(yè)機構甚至小區(qū)物業(yè)在并無必要性的情況下,強制用戶進行人臉識別,對其生物識別信息和隱私構成嚴重的威脅,也構成對業(yè)主財產(chǎn)所有權行使的不當限制。從這個角度出發(fā),草案前引第27條中“公共安全”的措辭過于原則和寬泛,不足以應對人臉識別的濫用,建議在“為維護公共安全所必需”之前增加規(guī)定:“基于預防、調(diào)查違法、犯罪行為等目的”,防止物業(yè)管理企業(yè)對業(yè)主任意設置人臉識別要求;另外,除強調(diào)信息只能用于維護公共安全的目的之外,建議還增加規(guī)定:“應當依法保護個人的隱私權等合法權益。”
(作者為中國人民大學法學院教授、博導,民商事法律科學研究中心執(zhí)行主任)
【注:本文系國家社科基金重大課題“健全以公平為原則的產(chǎn)權保護制度研究”(項目編號:20ZDA049)的階段性成果】
【參考文獻】
①IT Governance Privacy Team, EU General Data Protection Regulation (GDPR): An Implementation and Compliance Guide, 2nd Edition, IT Governance Publishing, 2017.
責編/銀冰瑤 美編/楊玲玲
聲明:本文為人民論壇雜志社原創(chuàng)內(nèi)容,任何單位或個人轉(zhuǎn)載請回復本微信號獲得授權,轉(zhuǎn)載時務必標明來源及作者,否則追究法律責任。