还剩49页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
程啸教授逐条深入解读民法典人格权编个人信息保护条文【第1034-1039条】提示与声明
1、本文档内容节录自《中华人民共和国民法典释评•人格权编》【王利明、程啸教授著,中国人民大学出版社2020年7月版】一书第417-519页内容;
2、本文档仅供个人学习研究使用目录第一千零三十四条【个人信息保护】2本条主旨2相关条文2理解与适用3第一千零三十五条【个人信息处理原则】17本条主旨17相关条文17理解与适用17第一千零三十六条【处理个人信息的免责事由】27本条主旨27相关条文27理解与适用27第一千零三十七条【个人信息主体的权利】36本条主旨36相关条文36理解与适用36第一千零三十八条【个人信息an全】43本条主旨43相关条文43理解与适用43第一千零三十九条【国家机关及其工作人员对个人信息的保密义务】51本条主旨51相关条文51理解与适用51中华人民共和国民法典第四编人格权编第六章隐私权和个人信息保护第一千零三十四条【个人信息保护】自然人的个人信息受法律保护个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定本条主旨本条是对个人信息受法律保护、个人信息含义以及个人信息保护与隐私权关系的规定相关条文《民法典》第111条规定“自然人的个人信息受法律保护任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息an全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”《全国人民代表大会常务委员会关于加强网络信息保护的决定》第1条规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息《网络安全法》第40条规定“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”《网络安全法》第76条第5项规定“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”《消费者权益保护法》第14条规定“消费者在购买、使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利’’《消费者权益保护法》第50条规定“经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失《电子商务法》第5条规定“电子商务经营者从事经营活动,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德,公平参与市场竞争,履行消费者权益保护、环境保护、知识产权保护、网络安全与个人信息保护等方面的义务,承担产品和服务质量责任接受政府和社会的监督”《电子商务法》第23条规定“电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定《电子商务法》第32条规定“电子商务平台经营者应当遵循公开、公平、公正的原则,制定平台服务协议和交易规则,明确进入和退出平台、商品和服务质量保障、消费者权益保护、个人信息保护等方面的权利和义务”《旅游法》第52条规定“旅游经营者对其在经营活动中知悉的旅游者个人信息,应当予以保密《公共图书馆法》第43条规定“公共图书馆应当妥善保护读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息,不得出售或者以其他方式非法向他人提供”《刑法》第253条之一规定“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚”理解与适用
一、个人信息受法律保护
(一)保护个人信息的必要性《民法典》第1034条第1款规定“自然人的个人信息受法律保护”在进入现代网络信息社会前,个人信息如自然人的姓名、身份证号码、电话号码、家庭住址、肖像、财产信息、病历资料等就己经存在,并被政府、企业等主体收集、保管、分析和使用然而,前网络信息社会中的个人信息不仅类型相对简单、产生的渠道有限,而且收集处理的手段和方法也较为单一此时,通过传统的人格权如姓名权、名誉权、隐私权、肖像权等完全可以满足对之加以保护的需要例如,未经同意公开或披露自然人的隐私信息(如病历资料、银行存款信息等)的,构成对隐私权或名誉权的侵害;擅自使用他人姓名的行为是侵害姓名权的行为但是,随着信息网络科技,尤其是大数据与人工智能的发展,个人信息的产生、收集、存储和利用等方面发生了巨大的变化个人信息的范围越来越广,种类也越来越多一方面,除了传统的那些能够直接识别特定自然人的信息,如姓名、身份证号码、家庭地址、电话号码等,还有一些虽然本身不足以识别特定自然人,但与其他信息结合后就能识别出特定自然人的信息,如爱好、习惯、兴趣、性别、年龄、职业等,这些如果被汇聚组合后能够识别特定人的身份,也可能成为个人信息;另一方面,现代科技的发展也促使各种新型个人信息的产生,如通信记录和内容、个人生物基因信息、网络交易信息、上网浏览痕迹、网络社交媒体留言、行踪轨迹等在进入网络信息社会前,这些信息要么根本不存在,要么即使存在也无法被收集和处理但现在,这些信息可以很容易地被网站通过数据收集技术或智能设备加以收集和保存这也导致需要保护的个人信息的范围越来越广,甚至在许多情况下,连界定哪些信息属于个人信息都存在困难个人信息的处理方式越来越多,由此可能对自然人的人身财产安全,甚至社会公共利益、国家利益产生相关风险进入信息社会之前,个人信息的收集方式多是由自然人主动填报并提交,政府、企业等主体收集后手工记载在纸质文档或录入电子档案中加以存储,不仅信息收集的效率、数量和范围有限,而且因缺乏算法技术和足够的算力,也难以对其进行分析利用然而,现代网络信息技术己将现代社会生活高度数字化(或数据化),数据收集技术和各种传感器可以自动收集与存储个人信息这种个人信息被大规模、自动化地收集和存储、使用的情形变得越来越普遍,儿乎无处不在、无时不在由此,产生了个人信息保护上的各种新情况和新问题如海量的个人信息因保管不善而被泄露,甚至被非法出售或利用,进而出现犯罪分子利用非法取得的个人信息对受害人进行精准诈骗或者实施其他违法犯罪行为的问题大数据与人工智能技术的发展使得对海量数据的分析与使用变得非常简单,个人信息被滥用的可能性被极大地增加例如,在2019年披露出来的脸书(Facebook)丑闻事件中,第三方应用通过各种网络平台,分析和利用脸书平台上海量的个人信息,对目标群体做人格画像,实施精准的政治广告营销甚至行为操纵,严重危害自然人的人格尊严,妨害人格的自由发展5此外,个人信息,尤其是个人生物识别信息、基因信息等还涉及国家安全,因此,对于这些信息的跨境转移也需要进行严格的规范正因如此,各国都高度重视对个人信息的保护而以往单纯地通过隐私权保护个人信息的做法己经不适应现代网络信息社会发展的需要因为,一方面,隐私权保护的是私密信息,而个人信息并非都是私密信息,所以无法全部通过隐私权加以保护;另一方面,个人信息的收集和处理是现代科技发展的必然要求,如果没有包括个人信息在内的信息的自由流动和共享,网络信息科技和数字经济的发展也会受到很大的妨碍因此,自然人不仅可以自己使用个人信息,还可以许可他人使用自己的信息此外,为了实施新闻报道和舆论监督,也应当允许对个人信息的合理使用由此可见,个人信息的保护并非一个单纯地禁止他人使用或排除他人侵害的问题,而是需要在自然人的权益保护与信息自由之间进行协调显然,这与隐私权主要是禁止他人侵害隐私,不存在对隐私进行使用的规范路径有所不同故此,就个人信息的保护而言,采取的是公法与私法相结合的方法,而并非单纯的私法赋权或民事责任保护的路径有鉴于此,各国除了保护隐私权,扩张隐私权的内涵以保护私密信息外,还针对个人信息保护单独立法
(二)我国个人信息保护立法我国最早对个人信息收集、利用和保护加以规范的法律是《刑法》2005年第十届全国人大常委会第十四次会议通过的《刑法修正案
(五)》增设了“窃取、收买、非法提供信用卡信息罪’(第177条之一第2款),这是我国法律上第一个关于侵害公民个人信息犯罪的法律规定三2009年第十一届全国人大常委会第七次会议审议通过的《刑法修正案
(七)》在《刑法》中新增第253条之一,首次将窃取或以其他方式非法获取公民个人信息、出售或非法提供公民个人信息的行为情节严重的规定为犯罪行为,从而将其纳入刑事打击的范围13]2012年颁发的《全国人民代表大会常务委员会关于加强网络信息保护的决定》首次对网络服务提供者和其他企业事业单位、国家机关及其工作人员在收集、使用、保管公民个人电子信息中应当遵循的原则、承担的义务及法律责任作出较为具体的规定该决定明确规定,任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息此外,该决定还要求,“网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得池露、篡改、毁损,不得出售或者非法向他人提供”,“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息an全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施气在《全国人民代表大会常务委员会关于加强网络信息保护的决定》的基础上,自2017年6月1日起施行的《网络安全法》于第四章“网络信息an全”中对个人信息的收集、存储、保管和使用进行了更全面细致的规范当然,从法律责任上来看,该法主要还是规定了网络运营者违反各种保护个人信息的法定义务的行政法律责任(如罚款、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等),但其也从私法的角度对个人信息保护作了一些规定,如该法第74条第1款规定“违反本法规定,给他人造成损害的,依法承担民事责任”2013年第十二届全国人大常委会第五次会议修正《消费者权益保护法》时,在原第14条中新增了消费者“享有个人信息依法得到保护的权利,并在第50条就侵害该权利的民事责任作出了规定,这是我国法律首次从民事权利的角度对个人信息作出的规定旦自2017年10月1日起施行的《民法总则》第111条规定“自然人的个人信息受法律保护任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息an全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息刘此外,该法第127条还规定“法律对数据、网络虚拟财产的保护有规定的,依照其规定”尽管就《民法总则》第111条是否规定了自然人个人信息权仍存在争议,但该条毕竟“从民事基本法的高度赋予了自然人个人信息保护的权利(权益),为个人信息保护在民法分则进一步细化规定提供了基础”丛,因此,具有十分重要的意义我国民法典编纂时,《民法总则》第111条被作为《民法典》第111条保留下来,同时,在《民法典》人格权编中,还对个人信息保护作出了更为详细的规定一方面,在《民法典》人格权编的第六章“隐私权和个人信息保护呻,立法者使用6个条文(第1034条至1039条)对个人信息的概念和类型,个人信息保护与隐私权的关系,处理个人信息应当遵循的原则和符合的条件,自然人对其个人信息享有的查阅、抄录和复制的权利以及更正和删除的权利,侵害个人信息的免责事由,信息处理者的义务等,作出了较为详细的规定;另一方面,《民法典》人格权编的第一章“一般规定”和第五章“名誉权和荣誉权”中还就个人信息的合理使用(第999条)、信用信息处理的准用规则作出了规定(第1030条)JZL
(三)民法典保护个人信息的重要意义个人信息的保护需要公法与私法并重,公法对个人信息收集者、控制者确定的各种强制性义务以及行政责任、刑事责任,对于预防和制止个人信息遭受侵害具有非常重要的意义,同时,也有利于实现权益保护与信息自由的协调但是,明确自然人对其个人信息享有的权益,并提供私法上的救济方法,也具有不可或缺的重要意义我国《民法典》对个人信息保护作出专门规定,是个人信息私法保护的重要体现,具有以下几个方面的重要意义个人信息保护的最终目的不是维护公共利益和公共秩序,而是维护自然人的合法权益通过赋予自然人对个人信息享有相应的民事权益,不仅能够为保护自然人既有的人身、财产等民事权益建立起有效的防御屏障,还可以避免其他可能出现的新型侵害行为尽管刑事制裁与行政处罚具有重要的预防和威慑作用,但无论是公安机关、网络安全主管部门还是市场监管部门,都不可能发现并查处每一个侵害个人信息的违法行为况且,即便是对被发现的违法行为人进行了惩处,也不等于就填补了受害人的损害,并不能真正完全实现对受害人的个体保护通过对个人信息的民法保护,赋予自然人对个人信息相应的民事权益,能够使广大自然人更加重视该权益,让他们真正认识到“线上平台的免费午餐券需要用我们的个人信息来换取,而这种免费的成本己经变得越来越高了这样就能促使人们在口常生活中“认真对待个人信息,积极保护个人信息J!L在个人信息被非法收集、利用等侵害行为发生时,也可以更充分地调动自然人保护个人信息的积极性,使之“为权利而斗争”这不仅可促使其在发现侵害个人信息的违法行为后及时向执法机关举报,也可以让其通过对侵权人提起民事诉讼获得补偿,进而对现实的和潜在的侵权人产生巨大的威慑作用民法上对自然人个人信息的保护作出规定,不仅意味着民法认可了自然人对个人信息享有受保护的民事权益,彰显了法律对人格尊严和人格自由的尊重,也充分表明了在任何个人信息保护与数据权属的立法中都应始终关注自然人的民事权益保护与信息自由(信息的流动、共享与利用)这两个法律价值的权衡与协调如果完全排除民法对个人信息的保护,一味基于所谓公共秩序或公共利益而仅由公法保护个人信息,必然导致价值权衡上的重大缺失使个人信息的法律保护缺乏充分的正当性基础,由此也会使个人信息保护问题被简单化为数据收集者、数据控制者的利益与公共秩序、公共利益的矛盾冲突在忽视甚至否定自然人对个人信息的民事权益的前提下,空谈公共利益或公共秩序,很可能会造成个人信息保护和数据权属立法最终沦为利益相关方(各类不同的数据企业之间)围绕着个人信息(数据)这一稀缺资源展开的争夺战,甚至使法律规定成为一方打击另一方,进而限制竞争、维护信息垄断地位的手段,最终损害整体的社会福利反之,通过对个人信息进行民法保护,科学合理地承认自然人对个人信息应有的民事权益,不仅不会损害公共利益和公共秩序,反而可以在更坚实的正当性基础上建立相应的规则和制度,更好地实现维护公共利益和公共秩序的目标现代法律中几乎没有完全不受公共利益和公共秩序限制的民事权益,我国民法也不例外我国民法典已明确将公序良俗作为民法的基本原则之一不仅如此,《民法典》第999条还明确规定,实施新闻报道、舆论监督等行为的,可以合理使用民事主体的个人信息此外,民法对自然人就其个人信息的赋权性规范,可以为法律上细化有权机关针对大规模侵害个人信息的行为提起公益诉讼奠定基础,从而更好地维护公共秩序和公共利益我国《民事诉讼法》第55条第1款明确规定,对侵害众多消费者合法权益等损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼现代社会发生的非法收集、处理个人信息的行为往往构成对众多消费者合法权益的侵害,对此完全可以提起公益诉讼⑩从比较法上来看,尽管各国(地区)对是否承认个人信息权有不同的看法,但没有哪个国家(地区)完全将个人信息的保护作为单纯的公法任务各国(地区)都是综合利用公法与私法来实现对个人信息的有效保护的例如,欧盟《一•般数据保护条例》除了对数据控制人侵害个人信息的违法行为规定了巨额罚款等行政责任外,还专门在第82条就损害赔偿请求权和民事责任作出了规定德国《联邦数据保护法》第83条规定如果数据控制人处理他人数据的行为违反本法或其他法律,并导致他人损害的,控制人或者其法人负有损害赔偿义务但是在非自动化数据处理的情形下,如果损害并非控制人的过错所致,则其不负有赔偿义务竺我国台湾“个人资料保护法更是专章规定了侵害个人资料(即个人信息)的“损害赔偿与团体诉讼”它区分了公务机关与非公务机关的侵权行为,分别在第28条和第29条确立了侵害个人资料的侵权责任适用无过借责任与过错推定责任的规则,同时还对损害赔偿的数额作出了具体的规定依据第28条第2-5项的规定,被害人不仅可以要求非财产上之损害赔偿,而且在被害人不易或不能证明其实际损害额时,还有权请求法院依侵害情节,以每人每一事件新台币500元以上2万元以下计算,判令侵权人赔偿损害E我国的一些学者之所以反对个人信息的私法保护,主要是因为他们认为,承认个人信息的民法保护就等于在民法上将自然人对个人信息的权利界定为绝对权和支配权,而这会产生很大的弊端,会造成信息无法自由地流动,将每个人变成一座孤岛而无法进行正常的社会交往竺,因而无法实现个人信息上承载的不同价值和利益的平衡本书认为,这种观点是对个人信息民法保护的一种误读、误解因为,承认个人信息的民法保护,并不当然意味着民法上就要承认自然人对个人信息的权利,更不等于必须将自然人对个人信息的权利界定为如同所有权那样的绝对权与支配权综上所述,虽然传统民法在个人信息保护中受到了挑战,存在需要完善改进之处,但不能因此就否定个人信息私法保护的重要意义与功能现代法律对个人信息的保护应当采取公法与私法并重的综合性保护方法,二者不可偏废既要从公法的角度明确各类主体从事收集、存储、分析、使用个人信息等行为应当遵守法定义务,也要从民法的角度认可自然人就个人信息享有相应的权利,如是否同意个人信息被收集的权利、在个人信息发生错误时要求删除和更正的权利等;既应当对违反公法上个人信息保护义务的违法犯罪行为给予行政处罚甚至施加刑罚,也应当允许自然人基于其个人信息上的民事权益,请求侵害个人信息的侵权人承担赔偿损失、赔礼道歉等相应的民事责任
二、个人信息的概念与特征《民法典》第1034条第2款对个人信息作出了界定依据该款规定,所谓个人信息Personalinformation就是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等在《民法典》颁发之前,我国也有一些法律、司法解释和技术标准对个人信息进行了界定例如,《网络安全法》第76条第5项规定“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定:“刑法第二百五十三条之一规定的,公民个人信息,,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”《最高人民法院关于人民法院在互联网公布裁判文书的规定》第10条第1项规定,人民法院在互联网公布裁判文书时,应当删除“自然人的家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号等个人信息气此外,国家标准《信息an全技术个人信息an全规范》GB/T35273-2020第
3.1条将个人信息界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”该界定的注释1中列举了以下个人信息的具体种类—“包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等从《民法典》第1034条第2款的规定来看,个人信息具有以下两项重要特征个人信息是指自然人的个人信息个人信息中的“个人本身指的就是自然人,显然不包括法人、非法人组织至于法人和非法人组织,当然也存在相关的各种信息,如政府信息、企业信息、财务信息、经营信息、人员信息、技术信息等这些信息中,有些信息本身依法就应当公开,例如,《政府信息公开条例》明确要求行政机关公开政府信息,应当坚持以公开为常态、以不公开为例外,遵循公正、公平、合法、便民的原则《证券法》第五章“信息披露”中明确要求,发行人及法律、行政法规和国务院证券监督管理机构规定的其他信息披露义务人,应当及时依法履行信息披露义务,包括按照国务院证券监督管理机构和证券交易场所规定的内容和格式编制定期报告并按照规定报送和公告;发生可能对上市公司、股票在国务院批准的其他全国性证券交易场所交易的公司的股票交易价格产生较大影响的重大事件,投资者尚未得知时,公司应当立即将有关该重大事件的情况向国务院证券监督管理机构和证券交易场所报送临时报告,并予公告,说明事件的起因、目前的状态和可能产生的法律后果再如,依据《慈善法》第71条的规定,慈善组织、慈善信托的受托人应当依法履行信息公开义务信息公开应当真实、完整、及时,其第72条规定,慈善组织应当向社会公开组织章程和决策、执行、监督机构成员信息以及国务院民政部门要求公开的其他信息上述信息有重大变更的,慈善组织应当及时向社会公开慈善组织应当每年向社会公开其年度工作报告和财务会计报告具有公开募捐资格的慈善组织的财务会计报告须经审计依据《企业信息公示暂行条例》的规定,工商行政管理部门登记的企业从事生产经营活动过程中形成的信息,以及政府部门在履行职责过程中产生的能够反映企业状况的信息依法应当公示至于不是依法必须公开的法人或非法人组织的信息,如果属于国家秘密或商业秘密,则分别受到《保守国家秘密法》《反不正当竞争法》等法律的保护,也不存在通过个人信息保护的问题个人信息作为自然人的信息,仅仅是指活着即生存着的自然人的个人信息,而不包括已故人士(adeceasedperson)的信息己土例如,欧盟《一般数据保护条例》“鉴于条款”的第27条就明确规定“本条例不适用于己故人士的个人数据成员国可以对己故人士个人数据的处理进行规定”再如,我国台湾“个人资料保护法施行细则”第2条也明确规定,本“法”所称个人,指现生存之自然人死者己经去世,不属于民事主体,关于死者的各种信息也成为历史资料,无须通过个人信息保护制度加以保护如果侵害死者的信息的行为构成对死者的姓名、肖像、名誉、荣誉、隐私等的侵害,依据《民法典》第994条,其配偶、子女、父母有权依法请求行为人承担民事责任;死者没有配偶、子女并且父母己经死亡的,其他近亲属有权依法请求行为人承担民事责任
(二)个人信息是可以识别特定自然人的信息无论对个人信息如何界定或怎样列举,个人信息的核心特征就在于“可识别性,即能够单独或者与其他信息相结合识别特定的自然人因为,如果某些信息根本无法识别特定的自然人,那么对于这些信息的收集、存储、使用、共享等并不会对特定自然人权益造成侵害或产生侵害的危险,也没有必要基于维护自然人的权益的考虑而通过个人信息保护制度对这些信息的处理加以规范例如,完全是与自然人无关的纯粹的自然界的信息,如天气变化、潮汐情况、地质演变等物理信息;再如,通过采取匿名化技术处理后无法识别特定的自然人且不能复原的信息,如抽样调查统计数据中仅仅显示被调查的人数、地域分布、年龄、男女比例等信息,这些信息无法识别出具体的被调查的人是谁,也不属于个人信息“可识别性这一认定标准也是为世界上许多国家(地区)个人信息保护立法所采取的标准例如,欧盟《一般数据保护条例》第4条将个人数据界定为“一个被识别或可识别的自然人的任何信息一个可识别的自然人是指,通过姓名、身份证号码、位置数据、在线身份识别码这类标识,或通过针对该自然人的一个或多个身体、生理、遗传、心理、经济、文化或社会身份等要素,能够直接或间接地被识别德国《联邦数据保护法》第3条规定“个人数据,指与一个己识别的或者可识别的自然人(数据主体)的私人或者实际情况有关的任何信息”日本《个人信息保护法》第2条第1款规定“本法所称的,个人信息,系指,与生存着的个人有关的信息中因包含有姓名、出生年月以及其他内容而可以识别出特定个人的部分(包含可以较容易地与其比照并可以借此识别出特定个人的信息)我国台湾“个人资料保护法第2条将个人资料界定为自然人之姓名、出生年月日、身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人之数据同时,我国台湾“个人资料保护法施行细则,,第3条规定本“法”第2条第1款所称得以间接方式识别,指保有该数据之公务或非公务机关仅以该数据不能直接识别,须与其他数据对照、组合、链接等,始能识别该特定之个人我国《民法典》第1034条第2款将个人信息的可识别性区分为两类,即单独识别与间接识别单独识别,也称直接识别,是指仅凭该信息本身就完全可以识别出特定的自然人,在我国,最典型的此类个人信息是居民身份证件号码《居民身份证法》第3条第2款规定:“公民身份号码是每个公民唯一的、终身不变的身份代码,由公安机关按照公民身份号码国家标准编制我国以往因为户籍管理中存在的问题,导致居民身份证号码的重号情况较为普遍,2009年全国曾有171万人的身份证号码重合,但是自公安机关开展户口清理整顿工作以来,到2017年,全国居民身份证重号人数己经减少为8人J2L故此,仅凭居民身份证号码这一信息即可识别出特定的自然人此外,个人生物识别信息作为自然人独一无二的个人信息,也是属于可以单独或直接识别出特定自然人的信息间接识别,是指与其他信息结合后能够识别,即仅凭该信息木身尚无法识别出特定的自然人,但是只要将该信息与其他信息结合就可以识别出特定的自然人例如,仅仅凭借Cookie收集的网页浏览痕迹信息是无法识别出究竟是谁浏览了相应的网页,但是只要将这些浏览痕迹与IP地址信息加以结合,就很容易识别出特定的自然人例如,在“朱某与北京百度网讯科技有限公司隐私权纠纷案”中就涉及这一问题竺原告通过被告的搜索引擎进行了一些关键词检索,而被告依据这些关键词检索向原告进行了定向广告推送,原告认为被告侵害了其隐私权这种情形就涉及被告收集和处理的原告的关键词记录是否属于原告的个人信息应当说,单纯的关键词检索记录是无法识别出特定自然人的,但是,如果和IP地址结合起来,尤其是考虑到现在的IP地址多为静态IP地址,且原告是在自己家中的个人电脑上进行检索的,因此这些信息结合起来就很容易识别出特定自然人再如,电话号码在有些国家或地区因为没有强制要求实名登记,故此,仅仅凭借手机号码无法识别出特定自然人,但是将其与姓名结合起来,就可以识别出特定自然人在我国,由于法律法规规定电话号码必须实名登记,故此,仅凭电话号码这一信息本身就足以识别出特定的自然人四由此可见,信息是否可以识别特定自然人本身并不是固定不变的,不仅在不同的国家或地区是不同的,而且还会随着技术的发展及由此产生的识别成本、识别时间等因素的变化而发生改变,即以往无法识别特定自然人的信息可能在未来就具有可识别性
三、个人信息与个人数据关于个人信息与个人数据之间究竟是什么关系,一直存在争论从国外立法来看,有些国家使用个人信息保护法、个人资料保护法的名称,有些国家则使用个人数据保护法、数据保护法的名称我国《民法典》《网络安全法》《电子商务法》《刑法》等都使用“个人信息的称谓,尚无法律使用“个人数据这一表述就个人信息与个人数据的关系,本书认为,信息是数据的内容,数据是信息的形式姓名、性别等个人信息,自古就有,但是,只有随着网络信息科技的发展,信息才被数据化以数据的形式体现,尤其是在大数据时代,无法将数据与信息加以分离就个人数据而言其之所以具有经济利益或者涉及人格利益,就是因为包含着个人信息没有承载个人信息或者其他信息的数据只是以二进制代码表现出来的比特形式,对于收集与使用这些数据的人没有意义,法律上自然无须也无法加以规范调整这就如同作为所有权客体的动产和不动产当然是由各种化学元素组成的,但法律上绝不会讨论元素能否成为民事权利客体的问题,更不会认为某个特定的民事主体可以享有某一元素的所有权需要讨论的只是该民事主体对由元素组成的特定动产或不动产所享有的民事权利任何民事主体如果仅仅获取或复制二进制代码的数据而未能在“信息”的意义上加以呈现和利用,则该行为既不会为获取者带来任何经济利益,也不会损害被复制者的经济利益或人格利益只有数据被信息化呈现,关于数据归属的争议才会产生或者说资源的稀缺性才会出现,进而才有必要讨论数据应否被私人控制以及公共执法机构对该数据上的民事权利如何保护的问题因此,当我们使用个人信息的表述时更侧重的是内容,而并不在乎其是否通过数据加以呈现,而使用个人数据的表述时,则当然包括个人信息的意思,但更侧重的是数据化史例如,数据库中所记载的个人信息和便于检索而整理成文件的个人信息,可以成为个人数据但是,为了向数据库输入数据而进行的书面申请,在申请书上填写的个人信息或者备忘笔记中记载的个人信息,都不属于个人数据划
四、个人信息的类型个人信息的种类很多,《民法典》第1034条第2款只是对个人信息作出了列举,即自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等,却没有将个人信息进行分类个人信息有不同的分类,例如根据是否数据化,可以分为数据化的个人信息和非数据化的个人信息,前者就是所谓的个人数据,而后者是指那些记录在纸张等数据载体上的个人信息在个人信息分类中,最为重要的分类有三种其一,依据个人信息是否属于隐私权所保护的范畴,可将之分为私密的个人信息和非私密的个人信息;其二,依据个人信息对自然人人身财产安全的敏感程度,可将之分为敏感的个人信息与非敏感的个人信息;其三,依据个人信息是否己经合法公开,可以分为公开的个人信息与非公开的个人信息-私密的个人信息与非私密的个人信息现代社会是信息社会,要维护自然人的私生活安宁和私生活秘密不受侵害,就必须保护自然人的私密信息不被随意收集、公开或者被滥用现代隐私权的一项重要功能就是保护自然人的私密信息其我国《民法典》第1032条第2款规定“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息自然人的私密信息的范围十分广泛,凡是自然人不愿意为他人知晓的信息,如婚姻信息、财产信息、健康信息、家庭住址、病历资料、犯罪记录、个人人生经历、嗜好、性取向、日记、私人信件以及其他个人不愿公开的信息等,都可以被纳入私密信息例如,《民法典》第1226条规定“医疗机构及其医务人员应当对患者的隐私和个人信息保密泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任”《传染病防治法》第12条第1款第2句规定“疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料”《精神卫生法》第4条第3款规定“有关单位和个人应当对精神障碍患者的姓名、肖像、住址、工作单位、病历资料以及其他可能推断出其身份的信息予以保密;但是,依法履行职责需要公开的除外《艾滋病防治条例》第39条第2款规定“未经本人或者其监护人同意,任何单位或者个人不得公开艾滋病病毒感染者、艾滋病病人及其家属的姓名、住址、工作单位、肖像、病史资料以及其他可能推断出其具体身份的信息从我国的法律规定来看,一般都是将个人信息分为两大类其一,隐私信息,即涉及个人隐私的信息或电子信息;其二,其他个人信息,即不涉及隐私的个人信息例如,《全国人民代表大会常务委员会关于加强网络信息保护的决定》第1条第1款规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”《公共图书馆法》第43条规定“公共图书馆应当妥善保护读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息,不得出售或者以其他方式非法向他人提供”《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第1句规定“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持”私密的个人信息即私密信息,其与非私密信息的根本区别在于,前者是自然人不愿意为他人知晓的信息,且该信息也与公共利益等无关之所以自然人不愿意为他人知晓这些信息,就是因为如果这些信息被他人知晓了,会使其私生活安宁受到侵害或者私生活受到干扰,而此种利益就是隐私权保护的自然人的人格利益至于私密信息的具体内容如何,在所不问其并非一定都是高尚的、为道德所允许的,而是也包括那些道德谴责的、为人所不齿的内容毕竟,法律上没有规定人们负有“不得自甘堕落”的义务因此,只要不涉及公序良俗,不违反法律的强制性规定,即便是不道德的、为人不齿的信息,也属于私密信息,例如,丈夫违背夫妻忠诚义务而搞婚外情的信息,也属于私密信息,受到隐私权的保护他人不得对此随意侵扰或公开,否则,构成侵害隐私权划但是,非私密的个人信息虽然也属于个人信息,可并非自然人不愿意为他人知晓的信息,甚至这些个人信息必须为他人所知,才能使自然人更好地参与社会交往活动例如,姓名属于个人信息,但姓名是自然人的标识,是区别自然人的一种语言标识通过姓名,自然人得以在与其周围的人的关系中维护其人格,并将自己与他人在社会交往中加以区分,从而作为一个独特的个体存在,获得自我认同,实现人格尊严鼻如果姓名不为他人所知,如何能够进行社会交往?另外,在很多时候,自然人主动公开其个人信息,如将自己的联系电话、电子邮箱放在个人主页上,或作为微信的名称等,在这种情形下,原本属于私密信息的个人信息也就成了公开的个人信息我国《民法典》在隐私权部分对于侵害私密信息的行为作出了规定,即《民法典》第1033条第5项规定,除非法律另有规定或者经权利人明确同意,任何单位和个人不得处理自然人的私密信息,否则就构成对隐私权的侵害所谓处理私密信息,包括收集、存储、使用、加工、传输、提供、公开等(《民法典》第1035条第2款)例如,2013年广东省发生的“人肉搜索第一案”就是最典型的泄露他人隐私信息案件该案被告蔡某因怀疑受害人徐某在其服装店试衣服时偷了一件衣服,便将徐某在该店的视频截图配上“穿花花绿绿衣服的是小偷,求人肉,经常带只博美小狗逛街,麻烦帮忙转发的字幕,上传到其新浪微博上该条微博发出仅一个多小时,有人迅即展开人肉搜索并将徐某的姓名、所在学校、家庭住址和个人照片等私密信息全部曝光,同时这些信息也被蔡某用微博发出一时间,对徐某的各种批评甚至辱骂在网络上开始蔓延,也引起了徐某学校很多同学和社会上很多人对她的非议两日后,徐某跳河自杀同日12时许,徐某的父亲向公安机关报案2014年9月7日,广东省汕尾市中级人民法院维持一审判决,以侮辱罪判处被告人蔡某有期徒刑1年划再如,在学校组织的体检中,大学生王某被查出患有肝炎,辅导员得知后告诉了全班同学,因受孤立和歧视,王某愤而自杀又如,原告因患“易性癖而做了变性手术,被告经原告同意后采访了原告,被告未经同意将采访写成文章,并使用原告真实姓名且配发了为原告所拍摄的照片在被告某杂志上发表即便某人得知私密信息是经过权利人同意的(如权利人主动将该信息告知他),但是隐私权人并未让该人公开,如果该人将此信息予以公开,也构成侵害隐私权例如,原告认为自己在某日晚值班时受到被告谢某的“调戏”、被人“敲门窗”,后将该信息向单位领导被告时某汇报,时某未经原告同意,在召开全单位职工大会时提及此事显然侵害了原告的隐私权【28]
(二)敏感的个人信息与非敏感的个人信息个人信息的另外一个重要分类就是分为敏感的个人信息(personalsensitiveinformation)与非敏感的个人信息敏感的个人信息,也被称为特殊的个人信息对于何为敏感的个人信息,各国(地区)法上有不同的界定欧盟的《一般数据保护条例》第9条第1款将之界定为“揭示种族或者民族出身,政治观点、宗教或者哲学信仰,工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,健康数据,自然人的性生活或者性取向的数据德国《联邦数据保护法》则将之界定为“有关个人种族血统、政治观点、宗教或哲学信仰、工会成员资格、健康状况或者性生活的信息”巴西《通用数据保护法》第5条规定,“关于种族或族裔、宗教信仰、政治观点、工会或宗教、哲学或政治组织成员身份的个人数据,与自然人有关的健康或性生活数据、基因或生物数据”,属于个人敏感数据我国台湾“个人资料保护法将“有关病历、医疗、基因、性生活、健康检查及犯罪前科”的个人资料规定为特殊的个人资料我国目前尚无个人信息保护法,也没有法律法规和司法解释对敏感的个人信息作出界定只有一些国家标准中有相应的规定例如,《信息an全技术个人信息an全规范》将个人敏感信息界定为“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”该规范认为,个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等本书认为,所谓敏感的个人信息,主要是指那些涉及自然人人格尊严、人格自由或者其他重大权益的个人信息,这些个人信息倘若被非法处理,将会对所涉自然人的人格尊严、人格自由或者其他重大的人身权益、财产权益造成严重的威胁或损害例如,自然人的生物识别信息具有唯一性和不可更改性,且由于人工智能技术的发展,这些生物识别信息往往与自然人的财产、隐私等密切关联,一旦被他人非法获取,就有可能给自然人造成重大的财产损失或者隐私权等被侵害的严重后果再如,个人的政治观点或者宗教信仰信息,涉及宪法上的言论自由、宗教信仰自由等基本权利,这些个人信息若被非法收集、处理,很有可能会侵害到自然人的上述基本权利以及其他相关的基本权利,如政府针对特定宗教信仰的人进行迫害,或者在选举时通过各种方式对其进行人格操控等依据这一界定,以下个人信息应当归入敏感的个人信息
(1)种族或民族信息;
(2)宗教信仰信息;
(3)政治主张信息;
(4)生物识别信息;
(5)基因信息;
(6)医疗健康信息;
(7)性生活与性取向信息;
(8)储蓄、证券等金融账户信息正是由于敏感的个人信息对自然人是非常重要的个人信息,故此,对于敏感的个人信息的收集、处理,有一套不同于非敏感的个人信息的收集、处理的规则主要表现在首先为了更好地保护敏感的个人信息,对于这些个人信息采取的是原则上禁止处理,除非存在法定的例外情形,例如经过自然人的单独同意、为了维护公共利益等至于非敏感的个人信息,只要履行告知并取得同意,即可进行收集和处理例如,《欧盟一般数据保护条例》第9条就明确规定,对于特殊类型的个人数据原则上禁止处理,除非符合该条第2款规定的特殊情形,如为了维护数据主体的切身利益、维护重大公共利益等再如,我国台湾“个人资料保护法”第6条规定,对于有关病历、医疗、基因、性生活、健康检查及犯罪前科之个人资料,不得搜集、处理或利用但有下列情形之一者,不在此限
(1)法律明文规定
(2)公务机关执行法定职务或非公务机关履行法定义务必要范围内,且事前或事后有适当安全维护措施
(3)当事人自行公开或其他己合法公开之个人资料
(4)公务机关或学术研究机构基于医疗、卫生或犯罪预防之目的,为统计或学术研究而有必要,且资料经过提供者处理后或经搜集者依其揭露方式无从识别特定之当事人
(5)为协助公务机关执行法定职务或非公务机关履行法定义务必要范围内,且事前或事后有适当安全维护措施
(6)经当事人书面同意但逾越特定目的之必要范围或其他法律另有限制不得仅依当事人书面同意搜集、处理或利用,或其同意违反其意愿者,不在此限其次,即便个人信息的处理者在符合法律规定的前提下,可以处理敏感的个人信息,其在处理中负有的注意义务和法律上的要求也更高,否则如果因为处理者的安全防护措施不足而造成敏感的个人信息泄露的,则对自然人会造成很大的损害或风险例如,对于依法收集的敏感的个人信息,在保管上,处理者负有更高度的注意义务,而法律法规对其有更严格的要求,如必须进行风险评估等敏感的个人信息与作为私密信息的个人信息之间存在交叉的关系,有些个人信息既是私密的个人信息,也是敏感的个人信息,如医疗健康信息、性生活与性取向信息;有些个人信息虽然是私密的个人信息,却不是敏感的个人信息,如个人的嗜好、被他人性骚扰的个人信息;有些信息是敏感的个人信息却未必是私密的个人信息,如种族或民族信息、宗教信仰信息或政治主张信息等
(三)公开的个人信息与非公开的个人信息公开的个人信息是指己经合法公开的个人信息,至于那些因他人泄露或非法公开的个人信息,虽然客观上确实处于公开的状态,但不属于法律上所谓的公开的个人信息必依据《民法典》第1036条第2项,合法公开的个人信息包括“该自然人自行公开的或者其他已经合法公开的信息两大类型其一,自然人自行公开的个人信息,如某教授将自己的办公室电话、手机号、电子邮箱、通信地址等在自己的个人网页上加以公开,从而使这些个人信息进入了公共领域,任何人都可以获得其二,其他已经合法公开的个人信息,这主要包括两种情形一是依据行政行为而公开的个人信息,即因政府机关履行职责而依法加以公开的个人信息,例如,依据《政府信息公开条例》第15条的规定,“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开但是,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开”再如,依据国务院颁发的《企业信息公示条例》的规定,企业通过企业信用信息公示系统向工商行政管理部门报送上一年度年度报告,并向社会公示企业的年度报告中涉及个人信息的内容,如企业为有限责任公司或者股份有限公司的,其股东或者发起人认缴和实缴的出资额、出资时间、出资方式等信息,有限责任公司股东股权转让等股权变更信息等二是依据司法行为而公开的个人信息,即因为法院的司法行为而公开法律文书,其中涉及的应当公开的个人信息例如依据《最高人民法院关于人民法院在互联网公布裁判文书的规定》,人民法院作出的裁判文书除涉及国家秘密、未成年人犯罪等不应公开的情形外,都应当在互联网上公开人民法院在互联网公布裁判文书时,虽然应当删除“自然人的家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号等个人信息”“家事、人格权益等纠纷中涉及个人隐私的信息等信息,但是有些个人信息仍然应当在裁判文书中保留依据该司法解释第11条第1项,人民法院在互联网公布裁判文书,“除根据本规定第八条进行隐名处理的以外,当事人及其法定代理人是自然人的,保留姓名、出生日期、性别、住所地所属县、区区分公开的个人信息和非公开的个人信息的最主要的意义在于有助于判断处理这些个人信息是否需要得到自然人的同意除非法律、行政法规另有规定,对于非公开的个人信息,必须告知且得到自然人或者其监护人的同意但是,依据《民法典》第1036条,处理己经合法公开的个人信息,原则上是无须告知并得到自然人同意的,除非“该自然人明确拒绝或者处理该信息侵害其重大利益”,否则该处理行为不构成侵害个人信息的侵权行为由此可见,即便是已经公开的个人信息也是受到法律保护的,只是在保护的强度和密度上要明显弱于非公开的个人信息
五、个人信息民事权益《民法典》第1034条第1款和第111条第1句皆明文规定,“自然人的个人信息受法律保护”那么,自然人对其个人信息究竟享有何种民事权益呢?对此,存在很大的争议的持民事权利说的学者认为,《民法典》确立了自然人对个人信息享有的是民事权利即个人信息权关于个人信息权的性质,多数人认为是一种新型的人格权,即个人信息权或个人信息自决权,它是指自然人对其个人信息享有支配和自主决定的权利,其内容包括个人对信息被收集、利用等的知情权,以及自己使用或授权他人使用等旦该权利是不同于隐私权、名誉权等的一种新型人格权持民事利益说的学者则认为,自然人对个人信息享有的只是受法律保护的利益,并非民事权利理由在于一则在《民法典》中并没有使用“个人信息权的表述,这意味着立法机关没有将个人信息作为一项具体的人格权利Ki这也“为未来个人信息如何在利益上兼顾财产化以及与数据经济的发展的关系配合预留了一定的解释空间”地二则《民法典》第111条采取了行为规制模式而非权利化模式来保护个人信息,即从对他人行为加以控制的角度来构建利益空间,维护利益享有者的利益1351本书认为,从法解释的角度来看,确实难以直接得出《民法典》确立了自然人对个人信息享有民事权利即个人信息权的结论首先,第111条虽规定在总则编第五章“民事权利中,可是立法者并未将个人信息明确规定为“个人信息权”我国人格权法的主流观点认为人格权应当如同物权法承认物权法定主义那样,采取人格权法定主义的立场划从《民法通则》到《侵权责任法》的立法实践表明,凡是被立法者认可为某类具体人格权的,必定会使用“某某权的表述J2ZL《民法典》总则编的第五章“民事权利”在列举了自然人的生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等具体人格权和身份权后,在第ill条对个人信息的保护作出规定,且未使用“个人信息权”的表述这足以表明,立法者只是认为自然人的个人信息应受到法律的保护,但没有将其确立为可称为“个人信息权”的一种具体人格权其次,无论是民法典编纂之前的《侵权责任法》第2条、《民法总则》第120条,还是《民法典》第1164条,皆将侵权法保护的范围界定为“民事权益”,即人身财产权益而《民法典》总则编的第五章正是对我国民法上受保护的民事权益所做的最详尽的列举该章首先规定的是最重要的民事权益即人格权益(第109〜111条),其次是身份权(第112条),最后是财产权益,包括物权(第114〜117条)、债权(第118〜122条)、知识产权(第123条)、继承权(第124条)、股权和其他投资性权利(第125条)、法律规定的其他民事权利和利益(第126条)以及数据与虚拟财产(第127条)o因此,恐怕不能仅从《民法典》第五章的章名为“民事权利”就得出凡是规定在这一章的都是民事权利的结论最后,由于《民法典》是紧接在具体人格权的规定(第110条)之后,身份权、财产权(第112条以下)之前,对个人信息保护作出规定的(第111条),故此,从体系解释的角度上可以认为,立法者更倾向于将个人信息作为一种需要保护的人格利益这也可以从《民法典》第111条第2句的规定得到验证,因为该句是从其他民事主体对自然人的个人信息负有保护的义务的角度作出的规定卫换言之,任何组织或者个人只有在违反个人信息保护义务的情况下,才构成对个人信息的侵害并应当依法承担民事责任至于这些个人信息保护义务的具体类型和内容,应交由《网络安全法》及正在制订的“个人信息保护法”“数据安全法”等法律加以明确这就从另一个侧面说明了立法者没有在《民法典》中确立个人信息权然而,尽管《民法典》没有直接使用个人信息权的表述,但是其保护自然人的个人信息的态度是非常明确的,而且也承认了自然人针对其个人信息享有相应的权利,如查阅和复制其个人信息的权利,请求更正错误的个人信息的权利以及删除个人信息的权利故此,可以肯定的是,自然人对其个人信息享有民事权益,这种民事权益是受到法律保护的
六、隐私权与个人信息权益隐私权(therighttoprivacy)是指自然人享有的隐私不受侵害的权利所谓隐私(Privacy)其内涵从这个词语本身就可以看出,“隐”就是指不愿为他人所知悉或打扰的状态,而“私就是指私人的事情,与他人权益、公共利益等无关故此,简单地说,隐私就是自然人不愿意为他人知悉或侵扰的,仅与其私人相关而不涉及他人权益或公共利益的事情从我国《民法典》第1032条第2款对隐私的界定——“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”,即可看出其中的“安宁”和“不愿为他人知晓咻现了隐私中“隐的特点,而“私人生活”“私密的表述说明了与他人权益和公共利益无关隐私权与个人信息权益具有密切的联系,否则《民法典》人格权编也不会将二者合并规定在同一章当中具体而言,隐私权与个人信息权益的共同点在于首先,二者都属于人格权益,被规定在《民法典》的人格权编当中尽管理论界有人认为,个人信息权益属于财产权益,但是,在我国民法上,保护自然人的个人信息并不是因为要保护自然人对个人信息的经济利益,而是通过保护个人信息,维护自然人的人身财产安全,最终维护自然人作为人的尊严故此,个人信息权益本身也和隐私权一样,是私权利,属于民事权益的范畴其次二者都只是自然人享有的人格权益无论是个人信息权益还是隐私权,其权利主体都只能是自然人,而不包括法人、非法人组织这是因为隐私权和个人信息权益,“都体现了个人对其私人生活的自主决定无论是个人隐私还是个人信息,都是专属自然人享有的权利,而且都彰显了一种个人的人格尊严和个人自由”也最后,保护范围存在交叉隐私权保护的隐私中包括私密信息,而私密信息是自然人所不愿他人知晓的个人信息,故此,私密信息也属于个人信息一方面,私密信息作为隐私,受到隐私权的保护;另一方面,对私密信息的处理,包括收集、使用、加工、传输、提供、公开等,也要受到个人信息保护制度的规范然而,隐私权与个人信息权益也存在明显的区别,二者不能混淆权利性质不同隐私权作为一项人格权,性质上属于绝对权和支配权,具有对世效力,因此任何组织或个人都必须尊重隐私权,不得对之加以侵害或妨碍但是,我国《民法典》并未将个人信息权益确认为绝对权和支配权,因为对个人信息的保护必须协调自然人权益的保护与信息自由和合理使用之间的关系故此,对隐私权,并没有如同个人信息那样规定合理使用的规则《民法典》第999条规定,“为公共利益实施新闻报道、舆论监督等行为”可以合理使用个人信息,同时,第1036条也专门规定了侵害个人信息的免责事由这些规定在隐私权部分都不存在当然,这并不是说隐私权就不能因为维护公共利益而依据法律的规定受到限制,但可以肯定的是,不存在对隐私的合理使用的问题侵害隐私权行为的类型很多,《民法典》第1033条以列举加概括的方式规定了六种类型,未经权利人明确同意而处理私密信息的行为只是侵害隐私权的行为中的一类而且未经同意而处理他人的私密信息这一侵害隐私权行为的主体可以是自然人,也可以是法人或非法人组织,无论侵害隐私权的行为是自动化处理还是非自动化处理,无论是发生在企业的商业活动或政府机关履行职责的公务活动中,还是在家庭社交活动中,该条文都可以适用但是,个人信息权益的保护主要适用于个人信息处理活动,规范的是处理者从事个人信息的收集、存储、使用、加工、传输、提供、公开等活动许可他人使用上的不同隐私权人可以自行处分权利,如自行在网络上或向媒体公开其私密信息但是,隐私本身原则上是不能许可他人使用或商业化利用的《民法典》第993条规定,民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外该条之所以没有列出隐私,是因为隐私权侧重于消极防御的功能,即防止他人对包括私生活安宁、私密信息在内的隐私的侵害观,其保护的是自然人对隐私不受他人侵害的利益因此,隐私权的主要权能就是排除他人侵害的权能,即消极权能对隐私,原则上是不允许许可他人使用的而且,允许隐私的商业化利用也可能违反公序良俗原则这一民法的基本原则然而,对个人信息尤其是非私密的个人信息自然人完全可以许可他人使用,从而促进网络信息产业和数字经济的发展故此,《民法典》第1035条规定,只要遵循合法、正当、必要原则,不过度收集、处理且符合相应的条件,可以对个人信息加以使用或许可他人使用私密信息和非私密信息的处理规则不同在处理私密信息时,首先要适用的是《民法典》关于隐私权的规定,然后才能适用《民法典》关于个人信息保护的规定依据《民法典》第1033条第5项,处理他人的私密信息,要么是取得隐私权人的“明确同意”,要么是依据法律的规定,否则,任何组织或者个人实施的处理他人私密信息的行为都构成侵害隐私权的行为但是,对于处理非私密信息的个人信息,依据《民法典》第1035条,要么是依据法律、行政法规的规定,要么是得到该自然人或者其监护人的“同意由此可见,《民法典》对私密信息和非私密的个人信息处理规则上有三点区别其一,在未经权利人同意的情形下处理私密信息只能依据法律的规定,而处理非私密的个人信息可以依据法律和行政法规的规定显然,对隐私权的保护更为严密其二,处理私密信息必须取得权利人的同意,而处理非私密的个人信息可以取得自然人或者其监护人的同意也就是说,监护人也不能擅自同意他人处理被监护人的私密信息其三,处理私密信息必须取得的是权利人的“明确同意,而处理非私密的个人信息是取得自然人或者其监护人的“同意”“明确同意”与“同意”的含义是不同的所谓明确同意,一方面意味着自然人在被告知私密信息将被处理的前提下而作出清晰、明确的允许处理的意思表示另一方面,明确的同意应当是针对该私密信息被处理而单独作出的同意的意思表示但是,所谓同意,既不要求必须是单独的同意,也不要求仅针对被处理的特定个人信息作出的同意,而可以是概括性的同意(如通过App的隐私政策取得的自然人对某些非私密的个人信息处理的同意)
七、私密信息保护的法律适用《民法典》第1034条第3款规定“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定之所以作此规定,是因为立法机关充分认识到了隐私权和个人信息保护之间的差异及联系(对此上文己有论述)简单地说,依据该款,作为隐私的私密信息,首先,应当适用有关隐私权的规定所谓“有关隐私权的规定”是一个范围很广的概念,不仅包括《民法典》第1032条和第1033条这两个直接针对隐私权的法律条文,还包括《民法典》中其他可以适用于隐私权的规定,如第991条、第992条、第995条、第996条、第997条、第998条、第1000条等,也包括其他法律中有关隐私权的规定例如,《妇女权益保障法》第42条、《涉外民事关系法律适用法》第46条和有关行政法规的规定如《人类遗传资源管理条例》,以及有关司法解释如《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中的规定因为隐私权对于私密信息的保护的强度和密度更高,力度更大其次,如果现行法律法规和司法解释中关于隐私权的规定没有对私密信息保护作出规定的话,由于私密信息也是个人信息,故此应当适用有关个人信息保护的规定所谓个人信息保护的规定,范围也非常广泛,如《民法典》第1034条到第1039条的规定,以及《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》《电子商务法》《消费者权益保护法》《刑法》等法律以及相关行政法规、部门规章和司法解释中的关于个人信息保护的规定第一千零三十五条【个人信息处理原则】处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等本条主旨本条是关于处理个人信息应当遵循的原则和告知并取得同意规则的规定相关条文《民法典》第111条规定“自然人的个人信息受法律保护任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息an全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条规定“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则《网络安全法》第41条规定“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息”《电子商务法》第23条规定“电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定理解与适用
一、个人信息处理的含义
(一)从个人信息的“收集、处理”到“处理”的演变《民法典》第1035条第2款对何谓“个人信息的处理”作出了界定,依据该款,个人信息的处理包括个人信息的收集、使用、加工、传输、提供、公开等与个人信息相关的行为种类很多,在《民法典》颁发之前的法律中采取的主要是“收集、使用个人信息”的表述例如,2012年的《全国人民代表大会常务委员会关于加强网络信息保护的决定》中使用的就是“收集、使用公民个人电子信息此后,2016年的《网络安全法》和2018年的《电子商务法》也都延续了“收集、使用个人信息这样的表述在民法典的编纂过程中,就如何对于与个人信息相关的各种行为采取最合理的表述经历了一个发展变化的过程民法典草案第三次审议稿采取的是“收集、处理”个人信息的表述即将个人信息的收集与处理并列,同时将“处理”规定为包括“个人信息的使用、加工、传输、提供、公开等该审议稿采取的“处理(Process)”一词源于欧盟《一般数据保护条例》,但是,在欧盟的《一般数据保护条例》中,“处理”的含义是非常广泛的依据该条例第2条,所谓处理,是指“对个人数据或个人数据集合的任何一个或一系列操作,如收集、记录、组织、建构、存储、修改、检索、咨询、使用、披露、传播或其他方式利用、排列、组合、限制、删除或销毁,无论该等操作是否采用自动化方式也就是说,在欧盟的《一般数据保护条例》中,处理包含了对个人信息或个人数据的所有自动化或非自动化的操作,收集行为本身也被包含在内有鉴于此,正式颁发的《民法典》不再将“收集”与“处理”相区分,而是借鉴欧盟的做法,以“处理”一词来统称对个人信息的收集、存储、加工、使用、提供、公开等活动依据《民法典》第1035条第2款,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等该款列举了与个人信息相关的最典型的七种行为类型当然实践中的行为不限于此,还可能包括其他的类型,如个人信息的删除、销毁等而且,本条并没有将个人信息的处理限定于具体的方式,故此,无论是通过人工还是机器,无论是自动化还是非自动化的处理,都被包括在内至于纯粹的私人或家庭活动中对个人信息的处理活动,如家人朋友之间进行的通信联络、保存联系方式或者社交活动中的个人信息的提供等是否包括在内,值得研究欧盟《一般数据保护条例》明确排除了这种情形中个人信息的处理,依据该条例“鉴于条款”的第18条,“本条例不适用于自然人在不涉及任何职业或商业的纯个人或家庭活动中对个人数据的处理活动个人或家庭活动可以包括通信、保存地址,或者社交活动以及在类似活动背景下进行的线上活动但本条例适用于为上述个人日常活动提供个人数据处理方法的控制者或处理者”从立法目的上来说,个人信息或个人数据保护立法就是针对现代网络信息科技发展而给个人信息或个人数据保护带来的挑战,因为在现代信息社会背景下,收集、使用、分享等处理个人信息或个人数据的能力与规模显著提高和增加,从而给自然人的人格自由与人格尊严乃至各种人身财产安全带来了巨大的风险,故此才需要专门的立法加以规制至于那些纯粹私人活动或家庭社交活动中个人信息的收集、使用、分享等行为,并不需要通过个人信息或个人数据保护立法加以调整,完全可以交由民法的人格权法和侵权法规范即可故此,在个人信息保护法或个人数据保护法中排除对私人或家庭社交活动中个人信息的处理,当然是正确的由于《民法典》是民事领域的基本法,所以其对个人信息保护的规定侧重于基本规则与制度层面,不可能规定得非常细致我国正在起草的“个人信息保护法”“数据安全法等单行法律对此问题作出规定即可目前,我国规范个人信息收集和处理的法律规范主要由法律、行政法规、部门规章和国家标准构成其中,法律主要包括《民法典》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》《电子商务法》《消费者权益保护法》等行政法规包括《互联网信息服务管理办法》《地图管理条例》《征信业管理条例》等部门规章包括《电信和互联网用户个人信息保护规定》《儿童个人信息网络保护规定》《网络音视频信息服务管理规定》《网络预约出租汽车经营服务管理暂行办法》等国家标准或行业标准包括《信息an全技术个人信息an全规范》GB/T35273-2020《个人金融信息保护技术规范》JR/T0171-2020等二个人信息处理的行为类型
1.收集收集个人信息的方式有很多种,包括要求自然人填写姓名、身份证号码、地址、电子邮箱、联系电话、家庭住址等,也包括通过计算机信息系统而自动记录自然人的个人信息,如通过Cookie技术记录网络用户的身份识别号码、密码、浏览过的网页、停留的时间、用户在网络站点购物的方式或用户访问该站点的次数等,再如要求用户授权访问并读取用户手机的存储、通信录,通过设置在汽车、家用电器上的传感器记录用户使用的次数、频率和地址位置信息等存储被收集的个人信息需要进行存储,才能进行加工和使用存储的时间可能是长期的,也可能是短期的;可能是以纸面的形式进行存储,更可能的是存储在电脑硬盘中或者进行所谓的云存储被存储的个人信息既包括被收集的原始的个人信息,也包括进行分析加工后的个人彳曰息使用收集个人信息的主要目的就是使用个人信息企业多是出于商业目的而使用这些个人信息,例如,通过对收集的用户的交易信息(如订购的商品、下单的时间、支付的方式等)进行分析,了解该用户的购物偏好、支付能力等,从而进行相应的广告推送再如,收集个人信息后对用户进行个人信用的评价等政府机关则往往是为了进行相应的行政管理和提供公共服务的需要而对个人信息进行收集加工加工是指对收集的个人信息进行分析、整理、计算、编辑等活动根据现在网络信息科技的发展,个人信息通过数据的方式表现出来即成为个人数据,而对个人数据的处理的规模和能力是以往所无法比拟的,这一点尤其体现在对大量的非结构化个人数据进行标注、清洗、建模和计算等方面传输传输是指处理者内部进行的个人信息的传输活动,如将本地硬盘上存储的个人信息数据上传到云存储当中,或者在处理者内部不同单位之间进行的个人信息的传送它与处理者将个人信息提供给其他民事主体不同提供提供个人信息是指数据处理者将其收集的个人信息或者进行加工后的个人信息提供给他人使用,这既包括政府之间进行信息的共享,还包括企业集团内部各个公司之间互相交换信息或共享信息,还包括在获得被收集者同意后向他人提供个人信息,以及无须经过被收集者同意而提供经过处理无法识别特定个人且不能复原的信息公开所谓公开个人信息,是指依法将个人信息向特定的或不特定的主体予以公开的情形例如,政府机关依据《政府信息公开条例》的规定,为了维护公共利益而公开包含个人信息的政府信息
二、处理个人信息的基本原则
(一)规定处理个人信息的基本原则的意义我国《民法典》第3条至第9条确立了民事活动的基本原则,包括民事权益受法律保护的原则、平等原则、自愿原则、公平原则、诚信原则、公序良俗原则以及绿色原则这些基本原则是所有的民事主体,无论是自然人、法人还是非法人组织,在从事民事活动时都必须遵守的原则任何组织或个人从事个人信息处理活动,自然也应当遵守这些基本原则但是,个人信息的处理活动又有其特殊性,因为个人信息处理活动涉及自然人的基本权利、人身财产权益的保护与信息的自由流动、合理利用的关系的协调,不仅涉及一国国内法的问题,还涉及国际法的问题(如信息和数据的跨境传输),因此,其非常专业且极为复杂,尤其是随着科技的发展,实践中各种各样的新型的个人信息处理活动层出不穷,即便是条文数量极为众多的个人信息保护的专门立法也难以一一预见并加以调整故此,有必要依据宪法保障人权的精神和民法的基本原则确立个人信息处理的基本原则,从而避免立法上的挂一漏万,及时填补法律的空白,解释法律条款的精神实质,以适应保障人权和网络信息社会、数字经济发展的需要例如,欧盟《一般数据保护条例》第5条第1款规定个人数据应(a)以合法、公正、透明的方式处理(“合法性、公平性和透明性”);(b)为特定的、明确的、合法的目的收集,不符合以上目的不得以一定的方式进一步处理;为公共利益、科学、历史研究或统计目的而进一步处理,应符合本条例第89条第
(1)款规定,不应被视为不符合初始目的(“目的限制);(c)充分、相关,及以个人数据处理目的之必要为限度进行处理(“数据最小化);(d)准确,必要,及时;以个人数据处理目的为限,应采取一切合理步骤确保不准确的个人数据被及时地处理、删除或修正(“准确性”);(e)允许以数据主体可识别的形式保存数据的时间不得超过数据处理目的之必要;为了保护数据主体的权利和自由,依据本条例第89条第
(1)款予以实施本条例所要求的适当技术性和组织性措施,仅以实现公共利益、科学或历史研究、数据统计目的而处理的,个人数据能被以较长时间存储(“存储限制)o(f)以确保个人数据适度安全的方式处理,包括使用适当的技术性或组织性措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施(“完整性和保密性”)o由此可见,欧盟《一般数据保护条例》明确了合法原则、公平原则、透明原则、正当原则以及限制原则再如,德国《联邦数据保护法》第47条规定,处理个人数据应当
(1)合法、公平;
(2)为了特定、明确且合法的目的而收集的并以不违反这些目的的方式进行处理;
(3)就处理目的而言适当、相关且不过度;
(4)准确且于必要时更新;考虑到处理目的,应采取一切合理步骤来确保不准确的个人数据被删除或更正;
(5)以允许识别数据主体的形式所保存的时间不超过处理该数据之目的所必需的时间;
(6)以确保个人数据适当安全的方式进行处理,包括使用适当的技术或组织措施来防止未经授权或非法处理以及防止意外丢失,破坏或损坏
(二)我国法上处理个人信息的基本原则对个人信息的处理,《民法典》第1035条第1款确立了合法、正当与必要等三项原则这三项原则在《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条和《网络安全法》第41条第1款中也有明确的规定合法原则所谓合法原则,就是指在对个人信息进行收集、存储、加工、使用、提供、公开等活动时,行为人应当严格按照法律法规的规定,不得违法处理个人信息具体而言,合法原则体现在首先,除非法律、行政法规另有规定,否则处理个人信息必须得到自然人或其监护人的同意或者符合当事人之间的约定;其次,处理个人信息的方法(如目的、方式、范围等)符合法律法规规定,并且不违反双方的约定正当原则所谓正当原则,也称公正原则,是指处理个人信息的行为必须是符合正当的目的,此种目的的“正当性”或在于信息主体所同意的收集处理个人信息的特定目的,或在于是有关国家机关依据法律法规规定履行职责所必要的,或在于是维护公共利益或国家安全所必需的任何组织或者个人不能超出特定的目的或者出于不正当的目的去收集个人信息正当原则也是世界各国个人信息保护立法中所确立的基本原则例如,欧盟《一般数据保护条例》第5条规定“为特定的、明确的、合法的目的收集,不符合以上目的不得以一定的方式进一步处理;为公共利益、科学或历史研究或者统计目的而进一步处理,应符合木条例第89条第
(1)款规定,不应被视为不符合初始目的2017年日本《个人信息保护法》第3条规定“在尊重个人人格的理念下,个人信息应被慎重对待,鉴于此,应当实现个人信息之正当处理”再如,2012年新加坡《个人信息保护法》第20条规定“根据本法,机构可以收集、使用或披露个人信息,只用于以下目的——(a)一个理性的人认为在某种情况下是合适的;以及(b)若适用,该机构依据第22条通知到个人”必要原则该原则也称数据最小化或信息最小化原则,是指无论是收集还是处理个人信息,都必须只是收集和处理那些为了满足个人信息处理目的之必要为限度的个人信息,不能超出这个限度去收集与满足个人信息处理目的无关的个人信息从基础理论上说,个人信息处理中应当遵循的必要原则是比例原则(derGrundsatzderVerhaeltnismaessigkeit)的具体体现狭义的比例原则主要适用于负担行政行为以及所有的行政领域,而广义的比例原则产生于法治国家原则,不仅约束行政,也约束立法,同时被适用于确定一般性基本权利的界线,“即作为个人自由请求权和限制自由的公共利益之间的权衡要求适用”如在民法中,比例原则意味着“只有在以下情形当中,个人自由及其私法自治才能受到干预,即对于维护更高的利益而言这是必要的,且此种干预既适于实现预期的目标也是实现该目的的最缓和的方式”旦o个人信息或个人数据处理的必要原则也是世界各国(地区)个人信息或个人数据保护立法所坚持的一项基本原则例如,欧盟《一般数据保护条例》在“鉴于条款”的第39条指出“个人数据应当充分、相关并且仅限于其处理目的所需的必要数据这尤其要求确保对个人数据的存储期限的必要限制只有在处理目的不能通过其他方式合理实现的情况下,才能进行个人数据处理为确保个人数据的保存时间不超过必要时间,应由控制者制定时间限制以进行删除或定期审查”该条例第5条将必要原则概括为“充分、相关,及以个人数据处理目的之必要为限度进行处理”“准确、必要、及时以个人数据处理目的为限,应采取一切合理步骤确保不准确的个人数据被及时地处理、删除或修正再如,我国台湾“个人资料保护法第5条规定“个人资料之搜集、处理或利用,应尊重当事人之权益,依诚实及信用方法为之,不得逾越特定目的之必要范围,并应与搜集之目的具有正当合理之关联关于必要原则的具体要求,我国现行法律没有规定国家标准《信息an全技术个人信息an全规范》第
5.2条则认为,基于收集个人信息的最小必要这一原则,对个人信息控制者应提出如下要求:
(1)收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现
(2)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率
(3)间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量
三、告知同意规则
(一)告知同意规则的含义所谓告知同意规则,也被称为“知情同意规则”,是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知并取得其同意,除非法律另有规定由此可见,告知同意规则包含了两项规则一是告知规则,二是同意规则二者紧密联系,不可分割没有告知,自然人无法就其个人信息被处理作出同意与否的表示;告知了,但没有充分的、清晰的告知,自然人即便作出了同意的表示,该同意也并非真实有效的同意反之,虽然告知了且充分、清晰地告知了,可并未取得自然人的同意,对个人信息的处理也是非法的,构成对自然人个人信息权益的侵害告知同意的规则是世界各国个人信息保护立法中所普遍确立的一项基本规则,该规则被认为奠定了个人信息处理的正当性与和合法性的基础告知同意规则最早为1970年的德国黑森州的信息法所确认1973年,美国政府成立的“关于个人数据自动系统的建议小组”发布的“公平信息实践准则”报告中提出了处理个人数据的五项原则,其中就包括了“必须确保个人了解其被收集的档案信息是什么,以及信息如何被使用”和“必须确保个人能够阻止未经同意而将其信息用于个人授权使用之外的目的,或者将其信息提供给他人,用作个人授权之外的目的刘1974年美国颁发了适用于联邦政府部级以上机构收集和处理个人信息活动的《隐私法》,该法明确了自然人享有决定是否同意公开自己资料的权利,禁止行政机关在没有取得本人同意的情况下公开其个人信息2L到目前为止,绝大多数国家(地区)的个人信息保护立法都明确规定了告知同意规则例如,欧盟《一般数据保护条例》明确规定“处理个人数据之前应征得数据主体的同意,通过清楚明确的行为自愿表明同意对其个人数据进行处理,例如,通过书面陈述(包括电子形式)或者口头声明同意方式可以包括在浏览网页时在方框里打上钩,对信息社会服务进行技术设置或者其他陈述或行为以清楚表示接受对其个人数据的处理因此,默示、预选方框或者不作为不构成同意同意范围应当包括所有基于同一目的或者同一类目的而进行的数据处理活动当数据处理活动存在多种目的时每项目的都应当征得同意如果数据主体是基于电子形式的请求而作出的同意请求应清晰、简洁且不影响所提供服务的使用”该条例第6条明确地将数据主体同意其个人数据为一个或多个特定目的处理视为合法的情形之一,且在第7条以下,对同意的要件、关于信息社会服务适用于儿童时的同意条件以及特殊类型的个人数据处理时的同意要件作出了详细的规定再如,日本《个人信息保护法》第16条第
1、2款规定“个人信息处理业者不得未事先取得本人的同意,而超出达到依照前一条的规定所特定的利用目所必要的范围,处理个人信息个人信息处理业者在因合并或其他事由而从其他个人信息处理业者处承受业务并取得个人信息后,不得未事先取得本人的同意,而超出达到业务承受前该个人信息的利用目的所必要的范围,处理个人信息”我国台湾“个人资料保护法”第7条规定第15条第2款及第19条第I项第5款所称同意,指当事人经搜集者告知本“法”所定应告知事项后,所为允许之意思表示第16条第7款、第20条第1项第6款所称同意,指当事人经搜集者明确告知特定目的外之其他利用目的、范围及同意与否对其权益之影响后,单独所为之意思表示公务机关或非公务机关明确告知当事人第8条第1项各款应告知事项时,当事人如未表示拒绝,并己提供其个人资料者,推定当事人己依第15条第2款、第19条第1项第5款之规定表示同意搜集者就本“法所称经当事人同意之事实,应负举证责任之所以在个人信息保护制度中要以告知同意规则作为基本的规则,原因就在于自然人对其个人信息享有受到法律保护的民事权益,没有得到自然人的同意而处理其个人信息就是对个人信息权益的侵害行为,具有非法性自然人针对个人信息享有的民事权益决定了自然人可以处分其个人信息,包括许可他人收集、存储、使用、加工、提供或公开其个人信息在现代网络信息社会,告知同意规则面临很多的挑战旦,甚至在实践中,自然人客观上往往很难拒绝个人信息被处理在很多时候,信息处理者给自然人的选择项只有留下或离开两个选项,即要么同意被收集个人信息,这样就能留下来,使用相应的产品或接受服务,生活变得更方便快捷;要么拒绝被收集个人信息,则无法使用产品或服务,只能离开此外,由于信息处理者将告知的内容置于冗长的隐私政策当中,用户实际上儿乎不会真正去阅读或真正了解这些隐私政策,故此有不少观点认为,建立在告知同意规则基础上的个人信息或个人数据保护和治理的框架是不科学的,也是无效的,而且还会阻碍数据的流转和信息的流动16]本书认为,上述观点是片面的、不妥当的,因为它们只是看到了问题的一个方面,就轻率地认为告知同意规则失去其意义,甚至认为自然人的对个人信息处理的同意不再是个人信息处理的正当性基础JZL首先,告知同意规则的具体适用中的困难并不能改变该规则所蕴含的精神实质,即自然人有权决定对自己的个人信息的处理,信息的流动或者利用必须在尊重个人信息权益的前提下进行,二者应当实现协调取消告知同意规则,势必使自然人对其个人信息完全失去控制力,自然人针对其个人信息的民事权益也不复存在其次,告知同意规则的重心不在于用户是否真正了解个人信息处理的目的、方式或范围等,而在于建立了处理个人信息的行为的合法性基础无论信息处理者在告知同意规则中使用如何复杂冗长甚至含混的表述,也无论个人信息被处理的自然人是否实际阅读或理解了告知的内容,只要因此发生法律纠纷,那么在法院裁判案件时,首先就要审查个人信息处理者是否按照法律的规定履行了告知同意规则的义务,这对于保护自然人是非常有利的如果个人信息处理者履行了义务,不存在非法处理个人信息的行为,那么自然人也不得对处理者合法的个人信息处理行为进行阻碍,而这对处理者又是非常有利的最后,告知同意规则也为个人信息保护机构对告知同意规则的适用进行监管提供了正当性基础,因为这种监管的目的在于保护广大自然人的个人信息权益,具有充足的正当性实际上,通过各种方法来确保告知同意规则真正得到落实,正是个人信息保护机构的重要职责,由此产生的各种问题应当依靠个人信息处理者的自律行为、监管者的严厉监管措施以及自然人针对信息处理者的民事诉讼三者共同加以解决
(二)告知规则任何组织或个人在进行收集、存储、使用、加工、提供、公开等处理个人信息的行为时,都应当遵守告知规则,向信息主体即自然人履行告知义务如果不经过充分合法的告知,则自然人无法作出真实的同意《民法典》第1035条第1款要求收集、处理自然人的个人信息时必须公开收集、处理信息的规则并明示收集处理信息的目的、方式和范围《网络安全法》第41条第1款和《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条也规定,网络服务提供者和其他企业事业单位收集、使用个人信息,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围告知义务的履行方式,可以分为两类一类是,个人信息的处理者一对一地向个人信息被处理的自然人进行告知,从而取得自然人的同意此种方式,在人工收集个人信息时使用得较多,例如,信息处理者就其与自然人签订合同时收集到的个人信息,应当事先进行告知例如,日本的《个人信息保护法》第18条第2款就规定“无论前一款规定如何,个人信息处理业者在因与本人签订合同而取得合同书及其他书面材料(包括电磁记录,以下于本款中相同)上所记载的该本人之个人信息的情形以及其他直接从本人处取得书面材料上所记载的该本人之个人信息的情形,应当事先向本人明示其利用目的但是,为保护人的生命、身体或财产而有紧急必要的情形,不在此限”再如,不动产登记中,登记申请人向登记机构提交登记申请书,申请相应的不动产登记,不动产登记机构应当在登记申请书中向申请人告知处理该申请人的个人信息的目的、方式和范围等内容,进而取得申请人的同意另一类是,个人信息的处理者通过制定个人信息处理规则的方式来统一告知个人信息被处理的自然人这种方式往往是在通过信息网络进行个人信息的自动化处理时使用,如网络用户在下载安装网络公司提供的各种应用软件时,网络公司通过在所谓的“隐私政策中对个人信息处理的目的、方式和范围等内容进行告知如果个人信息处理者以制定个人信息处理规则的方式来告知自然人,那么该规则必须是公开的,并且便于查阅和保存的否则,应当认为个人信息处理者没有履行告知的义务尤其是实践中,个人信息处理规则是以电子信息的方式存在的情况下,如果自然人无法查阅或者保存这些规则,那么就容易出现个人信息处理者私自变更规则的情况,从而导致双方就个人信息的处理发生纠纷时,自然人无法提供相应的证据从证明责任的角度上说,是否履行了告知义务,应当由负有该义务的个人信息处理者承担证明责任这也是符合证明责任分配的基本要求的当然,最好的处理方式是在未来我国的“个人信息保护法中对此作出明确的规定告知的具体内容《民法典》第1035条以及《网络安全法》第41条第1款只是规定了处理“信息的目的、方式和范围”等内容,没有作出更具体的规定从比较法上来看,对告知的具体内容都有明确的规定例如,欧盟《一般数据保护条例》第13条和第14条区分了从数据主体处收集个人数据和并非从数据主体处获取个人数据这两种情形,就信息控制应当向数据主体提供的信息作出了详细的规定再如,我国台湾“个人资料保护法”第8条第1款规定“公务机关或非公务机关依第十五条或第十九条规定向当事人搜集个人资料时,应明确告知当事人下列事项
一、公务机关或非公务机关名称
二、搜集之目的
三、个人资料之类别
四、个人资料利用之期间、地区、对象及方式
五、当事人依第三条规定得行使之权利及方式
六、当事人得自由选择提供个人资料时,不提供将对其权益之影响”目前,在我国,只有国家互联网信息办公室颁发的《儿童个人信息网络保护规定》中对网络运营者收集儿童个人信息时应当告知的事项作出了较为详细的列举,依据该规定第10条第1款,网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项
(1)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;
(2)儿童个人信息存储的地点、期限和到期后的处理方式;
(3)儿童个人信息的安全保障措施;
(4)拒绝的后果;
(5)投诉、举报的渠道和方式;
(6)更正、删除儿童个人信息的途径和方法;
(7)其他应当告知的事项未来我国颁发的“个人信息保护法中应当对告知的具体内容作出更详细的规定本书认为,信息处理者无论是一对一告知还是以制定个人信息处理规则的方式告知,告知的内容至少要包括以下几项
(1)信息处理者的姓名、名称以及联系方式这是为了使自然人清楚其个人信息究竟是被谁收集、存储或使用的,一旦将来发生个人信息泄露或非法买卖个人信息的事件时,便于自然人也能够查找侵权人,要求其承担相应的侵权责任
(2)个人信息处理的目的、方式以及被处理的个人信息的类型所谓个人信息处理的目的就是指信息处理者究竟是基于何种目的而对个人信息进行处理该目的首先应当是合法的、正当的当然,至于是为了营利目的还是非营利目的,在所不问其次,该目的必须是特定的、明确的,而不能是笼统的,如“为本公司经营发展之需要之类的模糊目的,均不符合目的明确之要求处理个人信息的方式,主要是指信息处理者对个人信息是收集、存储、加工、使用、提供、公开中的哪些情形,具体内容如何个人信息的种类就是指处理者要明确清晰地告知自然人,其哪些个人信息被处理了,其中哪些仅仅是被收集、存储而不使用,哪些还会被使用甚至有些会被公开等
(3)个人信息的保管方式和期限个人信息的保管非常重要,很多个人信息的泄露或非法买卖就是因为信息处理者没有履行法律规定的个人信息的保管义务故此应当告知自然人个人信息的保管方式,同时要明确保管的期限,因为在期限届满后,除非得到自然人的再次同意,否则就应当删除这些信息
(4)个人信息权益的行使方式我国《民法典》和《网络安全法》赋予了自然人针对其被处理的个人信息的查询、复制、抄录权,发现错误时的更正权以及要求删除个人信息的权利为了切实保障自然人这些权利能够落实,信息处理者必须公布个人信息的利用方式如果没有公布,则自然人有权以适当的方式行使其权利免予告知的情形在有些情形下,为了公共利益和个人信息被处理者自身的利益的需要,应当免除处理者的告知义务,否则将不利于保护公共利益或者维护自然人的合法权益例如,我国台湾“个人资料保护法”第8条第2款规定“有下列情形之一者,得免为前项之告知
一、依法律规定得免告知
二、个人资料之搜集系公务机关执行法定职务或非公务机关履行法定义务所必要
三、告知将妨害公务机关执行法定职务
四、告知将妨害公共利益
五、当事人明知应告知之内容
六、个人资料之搜集非基于营利之目的,且对当事人显无不利之影响”从我国《民法典》第1036条的规定来看,其中第2项和第3项的规定既属于免予告知义务的例外情形,也属于无须取得同意的例外情形具体如下首先,当处理者处理的是某一自然人自行公开的或者其他已经合法公开的信息的,则处理者既不需要告知自然人更无须取得该自然人的同意,除非该自然人明确拒绝或者处理该信息侵害其重大利益其次为了维护公共利益合理实施的处理个人信息的行为,无须告知《民法典》第999条列举了一种具体情形,即为公共利益实施新闻报道、舆论监督等行为而合理使用自然人的个人信息的,无须承担民事责任再次,为了维护个人信息被处理的自然人的合法权益而合理使用自然人个人信息的,在这种情形下,虽未告知,也不承担责任例如,老年人A因记忆衰退在野外走失,此时,为了尽快找到A在没有告知的情况下,利用了A身上携带的智能手环中的GPS记载的行踪信息,找到了A最后,法律、行政法规如果特别规定了无须告知的情形,则依据其规定
(三)同意规则同意规则适用的情形首先,个人信息处理者在处理个人信息之前,必须得到个人信息被收集的自然人或者其监护人的同意,除非法律、行政法规另有规定对此,《民法典》第1035条第1款第1项有明确的规定此外,《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条和《网络安全法》第41条也有规定所谓取得监护人的同意是指,在处理不完全民事行为能力人的个人信息时,处理者应当取得其监护人的同意为了更好地保护未成年人的健康成长,防止因个人信息的处理而对未成年人的身心健康产生危害或存在危害的可能,比较法上各国对儿童的个人信息都采取更严格的保护措施例如,欧盟《一般数据保护条例》第8条规定“
1.若适用本条例第6条第1款(a)项,关于直接向儿童提供信息社会服务的,对16周岁以上的儿童的个人数据的处理为合法儿童未满16周岁时,处在征得监护人同意或授权的范围内合法成员国可以通过法律对上述年龄进行调整,但不得低于13周岁
2.考虑到现有技术,控制者应当作出合理的努力证明在此种情况下已取得监护人同意或授权”我国《儿童个人信息网络保护规定》第9条规定“网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意该规定中的“儿童,是指不满14周岁的未成年人(第2条)其次,在自然人的个人信息已经被处理后,如果处理者个人信息的处理的规则或处理个人信息的目的、方式或范围发生了变更,处理者也要取得自然人或者其监护人的同意因为,自然人或者监护人此前作出的同意只是针对之前的处理规则和处理的目的、方式或范围的同意既然现在处理规则或处理个人信息的目的、方式或范围发生了变化,就意味着处理者的处理行为超出了当初双方约定的个人信息处理的目的、方式或范围,自然要重新取得同意再次,依据《民法典》第1038条第1款以及《网络安全法》第42条第1款,如果个人信息处理者要将其处理的个人信息提供给他人,则除非该信息是经过加工无法识别特定个人且不能复原的,否则需要取得自然人或其监护人的同意最后,法律规定的其他需要取得同意的情形例如,对于个人信息的跨境转移等处理活动,需要取得自然人或其监护人的同意对于同意的要求我国《民法典》第1035条只是规定要取得“自然人或者其监护人同意”,没有对同意的方式作出规定欧盟《一般数据保护条例》第4条第11款将自然人对个人信息处理的同意界定为“是指数据主体通过声明或者明确肯定方式,依照其意愿自愿作出的任何具体的、知情的及明确的意思表示,意味着数据主体同意其个人数据被处理此外,在该条例“鉴于条款”的第32条,欧盟立法机关还明确规定“处理个人数据之前应征得数据主体的同意,通过清楚明确的行为自愿表明同意对其个人数据进行处理,例如,通过书面陈述(包括电子形式)或者口头声明同意方式可以包括在浏览网页时在方框里打上钩,对信息社会服务进行技术设置或者其他陈述或行为以清楚表示接受对其个人数据的处理因此,默示、预选方框或者不作为不构成同意同意范围应当包括所有基于同一目的或者同一类目的而进行的数据处理活动当数据处理活动存在多种目的时,每项目的都应当征得同意如果数据主体是基于电子形式的请求而作出的同意,请求应清晰、简洁且不影响所提供服务的使用德国《联邦数据保护法》第51条第2款和第4款规定,如果数据主体的同意是在同时涉及其他事项的书面声明中作出的,则对同意的请求应以与其他事项明显区分的方式加以提出,且该请求应当以易于理解的方式作出且所使用的文字应当清晰明了同意只有在基于数据主体的自由决定时作出的,才是有效的在确定数据主体是否基于自由决定而同意时,应当考虑到作出同意的具体情事我国《民法典》第1035条虽然没有对同意的具体要求作出规定,但是由于同意本身是自然人作出的意思表示,而《民法典》总则编关于意思表示的规定完全可以适用于自然人就个人信息处理所作出的同意故此,自然人因欺诈、胁迫或重大误解而作出的意思表示,是可以撤销的意思表示一旦撤销,则处理者此前基于同意作出的个人信息处理行为均属于违法行为自然人是否对个人信息处理作出同意,应当由处理者举证证明因为这种同意是个人信息处理行为的合法性基础例如,欧盟《一般数据保护条例》第7条第1款规定“如果处理是基于同意,控制者应能证明数据主体已经同意处理其个人数据德国《联邦数据法》第51条第1款规定“如果可以基于同意而依法处理个人数据,则控制人必须能够提供数据主体同意的证据再如,我国台湾“个人资料保护法”第7条第3款规定“搜集者就本法所称经当事人同意之事实,应负举证责任”自然人可以撤回其对个人信息处理所作出的同意,一旦撤回同意,则处理者不得再处理该自然人的个人信息,并应当删除或销毁所存储的个人信息当然,此前作出的个人信息处理行为依然是合法的免予同意的情形若存在法律有特别规定或者为了维护社会公共利益等情形,处理者可以不经过自然人或者其监护人的同意而处理个人信息,这就是免予同意的例外情形例如,欧盟《一般数据保护条例》第9条第2款规定了多项例外情形,包括法律的规定,为了实现控制者或数据主体履行法定的义务和行使法定权利的目的而进行必要数据处理,为了保护数据主体的切身利益处理被数据主体明显公开的个人数据,为了重大个公共利益等我国《民法典》等法律也规定了告知同意规则的例外情形,具体如下其一,为公共利益实施新闻报道、舆论监督等行为而合理使用自然人的个人信息,此时无须告知并取得同意(《民法典》第999条)其二,处理该自然人自行公开的或者其他己经合法公开的信息,除非该自然人明确拒绝或者处理该信息侵害其重大利益(《民法典》第1036条第2项)该规定来自《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第2款其三,为维护公共利益或者该自然人合法权益,合理实施的处理个人信息的其他行为(《民法典》第1036条第3项)所谓维护公共利益的情形,例如,当大规模疫情暴发时,为了能够防控疫情而需要对个人信息进行收集、使用;再如,学校、科研机构等基于公共利益为学术研究或者统计的目的而合理实施的个人信息的处理行为维护该自然人的合法权益是指为了维护个人信息被处理者的合法权益而在不经过其本人或监护人同意的情形下处理个人信息例如,A因突发疾病而生命垂危,此时,无法取得其本人或近亲属的同意,而医院需要了解其既往的病史等健康信息,否则无法治疗,那么在这种情形下,可以处理其相关的个人信息第一千零三十六条【处理个人信息的免责事由】处理个人信息,有下列情形之一的,行为人不承担民事责任
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他己经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为本条主旨本条是关于侵害个人信息民事责任的免责事由的规定相关条文《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持但下列情形除外
(一)经自然人书面同意且在约定范围内公开;
(二)为促进社会公共利益且在必要范围内;
(三)学校、科研机构等基于公共利益为学术研究或者统计的目的,经自然人书面同意,且公开的方式不足以识别特定自然人;
(四)自然人自行在网络上公开的信息或者其他已合法公开的个人信息;
(五)以合法渠道获取的个人信息;
(六)法律或者行政法规另有规定网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开前款第四项、第五项规定的个人信息,或者公开该信息侵害权利人值得保护的重大利益,权利人请求网络用户或者网络服务提供者承担侵权责任的,人民法院应予支持国家机关行使职权公开个人信息的,不适用本条规定理解与适用
一、侵害个人信息的民事责任的概念所谓侵害个人信息的民事责任,是指个人信息的处理者因侵害自然人的个人信息权益而依法应当承担的民事责任具体包括两种类型一种是违约责任,即个人信息处理者与自然人之间就个人信息的处理存在合同关系,但个人信息处理者违反合同处理个人信息而应当承担的违约责任例如,个人信息处理者违反合同约定的个人信息处理的目的、方式和范围处理个人信息,其行为构成违约行为,自然人可以要求处理者承担相应的违约责任另一种是侵权责任,即个人信息处理者不法侵害自然人的个人信息权益而依法承担的侵权责任侵害个人信息的侵权责任无须个人信息处理者与自然人之间有合同关系,均可适用之例如,非法买卖、泄露个人信息的行为就应当承担侵害个人信息的侵权责任《民法典》第1036条规定的“行为人不承担民事责任既包括了违约责任,也包括了侵权责任由于侵权责任的适用情形更为广泛,故此本书此处主要讨论侵害个人信息的侵权责任的问题
二、侵害个人信息的侵权责任的归责原则
(一)现行法上适用的是过错责任原则在我国侵权法中,过错责任是最基本的损害赔偿责任的归责原则(《民法典》第1165条第1款)至于过错推定责任或无过错责任,都必须以法律有明确规定为前提(《民法典》第1165条第2款、第1166条)但是,包括《民法典》在内的我国现行法并未就侵害个人信息的侵权责任规定适用无过错责任或者过错推定责任因此,从解释论的角度出发,现行法上侵害个人信息的侵权责任适用的是过错责任,换言之,《民法典》第1165条第1款是个人信息遭受侵害的被侵权人的请求权基础有观点认为,我国《网络安全法》第74条第1款规定,“违反本法规定,给他人造成损害的,依法承担民事责任”由此可见,该款规定的是无过错责任,即“基于违法性的无过错责任,,」土本书不赞同此种看法,因为《网络安全法》的该款并非独立的请求权基础,更未确立无过错责任,该款只是依据我国立法惯例所做的一个衔接性的规定在我国,很多行政管制性的法律均会在“法律责任”一章中作出类似的规定事实上,这一点从该款“依法承担民事责任中的“依法一词即可看出也就是说,即便违反本法规定给他人造成损害,如何承担民事责任还是要依法(即依据《民法典》等法律)来认定故此,不能认为《网络安全法》第74条第1款确立了侵害个人信息的无过错责任
(二)未来我国个人信息保护应确立无过错责任我国《民法典》人格权编只是对个人信息保护的基本原则和规则作出了规定,对于侵害个人信息的侵权责任的问题,则没有作出具体的规定,而交由未来的“个人信息保护法作出规定因此,值得讨论的问题就是,未来我国个人信息保护立法上,究竟应对侵害个人信息的侵权责任继续适用过错责任,还是规定无过错责任或者过错推定责任呢?从比较法来看,一些国家或地区的法律对侵害个人信息的侵权责任规定了适用过错推定责任或无过错责任欧盟《一般数据保护条例》第82条第2款规定“参与处理的任何控制者应当为违反本条例的数据处理所导致的损害负责任何处理者,仅在其未遵守本条例对于处理者义务的特别规定或采取超出控制者的合法指令或者与控制者的指令相反的处理行为时,应为数据处理导致的损害负责”该条第3款规定了控制者和处理者的免责事由,即如果能够证明其无论如何都不应对造成损害的事件负责时(itisnotinanywayresponsiblefortheeventgivingrisetothedamage)才能免除本条第2款的责任显然,这一免责事由的要求比之前的欧盟《数据保护指令》的要求更高了因为数据的控制者和处理者基本上很难证明这一点,即便其证明了自己己经完全按照《一般数据保护条例》的要求履行了全部的义务,也依然无法阻止损害的发生,前述免责事由也不会被适用J2L因此,欧盟《一般数据保护条例》第82条对侵害个人信息的民事责任采取的是极为严格的责任,仅仅证明没有过错或者履行了法定的义务等,都不足以免责在德国,《联邦数据保护法》对于侵害个人数据的侵权责任的规定经历了一个变化过程在为执行欧盟1995年《欧盟个人数据保护指令》而于2002年制定的德国《联邦数据保护法》中,区分了一般的数据控制者侵权赔偿责任和公共机关自动处理数据的侵权赔偿责任对于前者,依据该法第7条,适用的是过错推定责任,即只要控制者采取违法的或不正当的方式收集、处理或使用个人数据而给数据主体造成了损害,控制者或其责任机构就应当赔偿由此造成的损失,除非能够证明尽到了具体情形中应尽的必要注意义务对于后者,依据该法第8条,只要公共机关采取了违法或不正当的自动方式收集、处理或使用个人数据而给数据主体造成了损害,就应当承担赔偿责任无论有无过错然而,在2016年欧盟制定了《-•般数据保护条例》之后,德国于2017年6月30日颁发了新的《联邦数据保护法》,该法第83条第1款规定“控制者违反本法或者其他关于数据处理的规定而处理个人数据,致使数据主体遭受损害的,控制者或者其权利主体应向数据主体负赔偿义务在非自动化处理的情况下,倘若损害非因控制者过错所致,则不承担赔偿责任由此可见,新的德国《联邦数据保护法》在区分自动化数据处理与非自动化数据处理的基础上,分别规定了无过错责任与过错推定责任具体来说,对于自动化的数据处理所产生的损害适用无过错责任,即只要数据控制者处理他人数据的行为违反了《联邦数据保护法》或其他法律并导致他人损害的,控制人或者其法人就负有损害赔偿义务但是,在非自动化的数据处理的情形下,如果损害并非控制人的过错所致,则其不负有赔偿义务工再如,我国台湾的“个人资料保护法”区分公务机关与非公务机关的信息侵权行为,分别规定了不同的责任依据该“法”第28条,公务机关违反本法规定致个人资料遭不法收集、处理、利用或者其他侵害当事人权利的情形的,应当依法承担责任,但是损害由天灾、事变或者其他不可抗力所致者除外其第29条规定,非公务机关违反本“法”规定致个人资料遭不法收集、处理、利用或者其他侵害当事人权利的情形的,负损害赔偿责任,但是可以证明没有故意或者过失的除外由此可见,我国台湾的公务机关与非公务机关对侵害个人信息的侵权责任分别适用的是无过错责任与过错推定责任应当说,侵害个人信息的侵权责任是随着网络信息科技的发展而产生的新型侵权行为并非一般侵权责任如果对之适用过错责任,要求受害人证明加害人的过错,显然是很困难的即便在我国当前的司法实践中,法院审理个人信息侵权纠纷时,对于侵权人过错的认定基本上也都采取了客观化的判断标准,即依据法律关于个人信息保护的义务性规范直接将侵权人违反此等法定义务之行为视作有过错的行为,即将违法视为过失例如,在“庞某某与北京趣拿信息技术有限公司等隐私权纠纷中,法院认为,《消费者权益保护法》第29条第2款“在立法层面上对消费者个人隐私和信息的保护,也是对经营者保护消费者个人信息的强制性规定经营者违反了该条规定,即视为其存在过错”“从本院现有证据看,东航和趣拿公司在被媒体多次报道涉嫌泄籍乘客隐私后,即应知晓其在信息an全管理方面存在漏洞但是,该两家公司却并未举证证明其在媒体报道后迅速采取了专门的、有针对性的有效措施以加强其信息an全保护而本案泄露事件的发生,正是其疏于防范导致的结果,因而可以认定趣拿公司和东航具有过错,理应承担侵权责任”刘我国也有学者认为,应当借鉴德国法的规定,对个人信息侵权责任应当采取三元归责体系,即对于公务机关以数据自动处理技术实施的信息侵权适用无过错责任,采取自动化处理系统的非公务机关的信息侵权则适用过错推定责任,对于那些没有采取自动数据处理系统的数据处理者,其信息侵权应当适用一般的过错责任⑹本书认为,对于侵害个人信息的侵权责任应当统一适用无过错责任,即受害人在针对信息控制者提起侵害个人信息的侵权之诉时,无须证明信息控制者存在过错,信息控制者只有在符合法定的免责事由时,才能被免除责任具体理由如下首先,现代网络信息科技的发展使信息处理者处理的个人信息的数量巨大,涉及的自然人人数众多如此众多的个人信息汇聚起来,当然对于数字经济的发展是有利的,但同时也产生了高度的危险,即一旦信息泄露或被非法买卖将涉及人数极为众多的自然人的人身财产安全故此,收集、存储、加工、使用和提供个人信息的处理活动可以被认定为高度危险活动,开创了巨大的风险依据风险开启法理,开启危险活动者自然人要对该危险现实化所造成的损害承担无过错责任其次个人信息的处理对处理者带来的巨大的收益,尤其是那些网络企业利用这些海量的个人信息进行精准的营销并设计了各种商业模式,获取了巨大的利润基于侵权法上的报偿原则,“如果一项法律允许一个人——或者是为了经济上的需要,或者是为了他自己的利益——使用物件、雇用职员或者开办企业等具有潜在危险的情形,他不仅应当享有由此带来的利益,而且也应当承担由此危险对他人造成任何损害的赔偿责任获得利益者承担损失”ELo据此,处理者也应当承担无过错责任再次,统一适用无过错责任能够更好地保护自然人的合法权益,使自然人无须证明加害人的过错,同时,也避免了区分自动化处理与非自动化处理以及公务机关和非公务机关,从而避免适用不同的归责原则所造成的麻烦最后,适用无过错责任并不会给信息处理者带来过重的负担一方面,可以在适用范围和免责事由上针对各种主体从事的活动的差异性而作出不同的规定,以便协调个人信息保护与合理自由(言论自由、信息自由等)的维护之间的关系具体而言,若被告从事的信息的收集和处理是纯粹的个人的或者在家庭生活中进行的活动,则不属于个人信息保护法的调整范围,不适用无过错责任⑻如果产生侵权纠纷,仍然适用过错责任此外,被告证明存在以下事由之一的,可以免除侵权责任(I)被告是在原告或者其监护人同意的范围内实施收集、使用或者公开个人信息的行为;
(2)被告所使用的信息是原告自行公开的或者其他己合法公开的信息,除非使用该信息侵害该自然人重大利益或者自然人明确拒绝他人使用;
(3)被告是为了实施新闻报道、维护公共利益或者为了维护原告的人身财产权益而合理实施收集、使用或者公开个人信息的行为;
(4)法律、行政法规规定的其他可以不经原告同意而收集、使用或者公开个人信息的情形另一方面,危险责任可以通过法律规定最高赔偿限额,除非处理者存在故意或者重大过失,否则在一次个人信息泄露等事件中,其可以获得最高赔偿限额的保护(《民法典》第1244条)同时,在有最高赔偿限额的情况下,也能通过保险分散损失例如,我国台湾“个人资料保护法第28条第4款就规定“对于同一原因事实造成多数当事人权利受侵害之事件,经当事人请求损害赔偿者,其合计最高总额以新台币二亿元为限但因该原因事实所涉利益超过新台币二亿元者,以该所涉利益为限”此外,如果个人信息中的私密信息受到侵害的,由于私密信息属于隐私,受到隐私权的保护,故此,当受害人选择以侵害隐私权而非侵害个人信息提起诉讼时,仍然适用《民法典》第1165条第1款规定的过错责任原则
三、侵害个人信息的侵权责任的构成要件
(一)行为人实施了侵害个人信息的行为侵害个人信息的行为类型由于个人信息是能够单独或者与其他信息结合而识别特定自然人的各种信息,故此,侵害个人信息的加害行为可以分为两大类其一,虽然侵害了个人信息,但加害人并不以此为目的,而只是利用或借助个人信息来实现对受害人其他民事权益的侵害并造成损害例如犯罪分子非法窃取或购买个人信息来实施电信诈骗或杀害受害人工;再如,加害人公开披露某人的家庭住址信息、工作场所信息、银行存款信息等,从而损害受害人的隐私权、名誉权等人格权由于这一类侵害个人信息行为的目的和后果是侵害受害人除个人信息之外的其他人身权益和财产权益,所以由此引发的侵权责任也主要表现为侵害生命权、隐私权、名誉权等的侵权责任其二,单纯的侵害个人信息的加害行为,也就是说,该加害行为的目的和主要后果就是侵害受害人的个人信息其中,最典型的一类就是《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条所规定的网络用户或者网络服务提供者利用网络“公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息挡-o从司法实践来看,这一类案件的数量也占侵害个人信息侵权案件的大多数,且主要是隐私权纠纷此此外,从实践来看,除了非法披露或公开个人信息的加害行为之外,单纯的侵害个人信息的行为至少还包括以下几类
(1)非法收集个人信息,如未经被收集者的同意即收集个人信息,或者虽经同意但是未依法明示收集、使用信息的目的、方式和范围或超越目的、方式和范围过度收集个人信息【12]
(2)泄露、毁损、丢失个人信息,即收集个人信息者违反法律规定和当事人的约定,未采取应有的技术措施和其他必要措施确保其收集的个人信息an全,导致个人信息泄露、毁损、丢失实践中这一类案件主要表现为医疗机构病历保管不当导致信息丢失、单位的人事部门或人力资源部门人事档案保管不当导致信息缺损、电子设备维修不当导致错误删除记录等,其诉由主要是合同纠纷J2L
(3)非法利用个人信息,即虽然个人信息的收集是符合法律规定,经过被收集人的同意的,但是收集者没有经过被收集者的同意,违反法律、行政法规的规定或者双方的约定使用个人信息目前比较常见的有利用他人的身份信息将他人登记为公司的股东、法定代表人或者董事、监事等;房产中介将客户的身份证信息以及房源信息用以伪造固定住所进而取得北京市居住证等己土
(4)非法泄露或者买卖个人信息,即个人信息收集者泄露个人信息或者未经被收集者同意将个人信息非法出售或者以其他方式传输给他人的行为这类加害行为主要表现为非法买卖公民个人信息的犯罪行为例如,电信部门、金融机构、房地产中介等利用职务之便将获取的客户信息非法出售给他人以牟利
(5)其他侵害个人信息的行为,如收集者致所收集的个人信息错误,最典型的就是征信系统中记载的他人的信用信息是错误的
(二)加害行为与权益被侵害的因果关系因果关系是所有法律责任的必备要件在侵害个人信息的侵权责任中,也必须满足因果关系要件的要求,即加害人实施了侵害自然人个人信息权益的加害行为,受害人的权益被侵害与加害人的行为之间存在相当的因果关系然而,由于信息具有很强的流动性,而信息的收集、存储、使用、提供等行为类型众多,涉及的相关主体也较为复杂故此,一旦发生侵害自然人个人信息权益的行为时,受害人往往很难证明究竟是其中的哪个主体实施了侵害自己的个人信息权益的加害行为在我国,此种困难情形最常见于个人信息被泄露进而为违法犯罪分子用来实施电信诈骗的场合此类案件中,原告往往难以查明实施电信诈骗的直接加害行为人,而只能以个人信息处理中涉及的某个或某几个信息处理者为被告提起诉讼,而这些被告则以信息并非自己所泄露为由进行抗辩此时,原告要提出证据证明就是这些被告实施了泄露其个人信息的行为(作为或不作为),往往十分困难司法实践中,有些法院就以原告未能证明被告实施了加害行为为由驳回其诉讼请求竺而有些法院为了更好地保护个人信息,减轻原告在此类案件中的举证负担,则采取了一些降低原告举证困难的做法例如,在“庞某某与北京趣拿信息技术有限公司等隐私权纠纷案中,二审法院的法官就提出了证明加害人的高度可能性的判断标准,即只要原告提供的证据能够表明被告存在泄露原告个人隐私信息的高度可能,而被告又不能反证推翻这种高度可能,就可以认为被告实施了泄露个人信息的加害行为己土该标准一经提出,即在司法实践中产生了很大的影响,一些法院在处理个人信息侵权案件时采取了该标准@本书认为,以高度可能性的判断标准来确认被告是否实施了加害行为,是非常合理的值得赞同一方面,该标准并未改变《民事诉讼法》对证明责任分配的规定,原告依然需要提出相应的证据来证明被告存在泄露个人信息的行为的高度可能性;另一方面,考虑到现代信息社会中个人信息可能被很多主体所收集、存储和利用,信息的传递本身也具有极大的隐蔽性,要求原告确切无疑地证明究竟泄露个人信息的主体是谁,显然强人所难故此,只需要证明被告存在泄露个人信息的高度可能性即可原告的举证是否达到了证明被告存在泄露个人信息的高度可能,应由法官结合案件的具体事实综合判断一旦认可了原告的证明达到了这种高度的可能,就应当由被告提供各种证据来推翻这种高度可能不过,在适用高度可能性的证明标准时,法院无论是在认定原告对被告加害行为的举证是否达到了高度的可能时,还是在认定被告的举证是否足以推翻这种高度的可能时,均需要综合考虑以下几个因素
(1)被告掌握原告的被泄露的个人信息的范围与程度个人信息的类型众多,被告掌握原告的被泄露的个人信息的范围越大,程度越深,则其泄露原告个人信息的可能性越大
(2)其他单位或个人掌握被泄露的个人信息的可能性尽管现代社会中任何自然人的个人信息可能都被很多单位或个人所掌握,但每个单位或个人所掌握的个人信息是不同的,例如,航班信息往往是被航空公司以及票务公司所掌握,如果此类信息被泄露了,那么航空公司、票务公司泄露的可能性肯定要大于那些掌握自然人财务信息的银行等金融机构泄露的可能性
(3)被告是否曾经存在泄露自然人个人信息的情形如果被告曾经存在泄露自然人个人信息的情形,如被媒体披露过或者被相关政府主管部门批评过、警告过甚至处罚过,其泄露个人信息的可能性就更大
(4)被告已经采取的个人信息的保护机制和具体措施被告如果能够举证证明自己己经采取了非常充分的个人信息的保护机制和具体措施,履行法律法规等规定的各种个人信息保护的义务,就可以在很大程度上推翻其泄露原告个人信息的高度可能性,至少将这种可能性降得比较低了
(5)信息收集者、信息存储者、信息使用者对接入其平台的第三方应用是否建立准入等相应的管理机制和履行管理义务的情形这主要涉及泄露个人信息的究竟是平台的提供者还是接入平台的第三方应用的问题
(三)造成损害损害是所有损害赔偿责任的必备要件,没有损害就没有赔偿故此,在侵害个人信息权益的纠纷中,原告要求被告承担侵权赔偿责任,就必须证明自己因此遭受的损害从我国目前个人信息侵权纠纷案件来看,在利用非法取得个人信息实施电信诈骗的案件中,受害人往往遭受了实际的财产损失,对此,受害人比较容易举证证明例如,在“申某与上海携程商务有限公司,支付宝(中国)网络技术有限公司侵权责任纠纷案”中,原告因个人的手机号和航班信息被他人泄露而被犯罪分子实施电信诈骗,损失了118900元这个损失就是侵害个人信息权益所致当然,由于该案中,被告并非直接实施电子诈骗的加害行为人其没有妥善保管个人信息的行为与原告的损害之间只是具有部分原因力,故此,法院认为:“因携程公司违反了网络运营主体的安全保障义务,存在个人信息保护上的安全维护漏洞,导致申某遭遇诈骗形成财产损失本院综合案情及携程公司的过错责任程度,酌情确定携程公司在5万元赔偿数额的范围内对申某承担补充责任”但是,在不少情形下,加害人虽然实施了侵害了个人信息的行为,受害人却没有财产损失或者难以证明财产损失例如,在“赵某与被告北京链家房地产经纪有限公司、宋某华、杨某东,第三人宋某友一般人格权纠纷案”中,被告未经原告的同意用原告的房产信息和身份证信息为另一个被告办理了居住证,导致原告在为其亲戚办理居住证时无法办理,该案原告虽然要求被告承担10万元的经济损失,但其未能提出相关的证据加以证明必对此种情形,可以适用《民法典》第1182条的规定“侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿;被侵权人因此受到的损失以及侵权人因此获得的利益难以确定,被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的,由人民法院根据实际情况确定赔偿数额”此外,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第18条第2款“被侵权人因人身权益受侵害造成的财产损失或者侵权人因此获得的利益无法确定的,人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额在上述“赵某与被告北京链家房地产经纪有限公司、宋某华、杨某东,第三人宋某友一般人格权纠纷案中,虽然原告没有能够证明其因个人信息被侵害而遭受的财产损失的数额但是,法院认为“针对赵某主张的经济损失,随着社会的进步和信息经济的发展,个人信息作为一种愈益重要的资源,其财产价值日益凸显,个人信息处理业己形成产业链个人信息同时体现着人格利益和财产价值,对个人信息的侵害必然带来承担相应经济赔偿责任对于判定的经济损失数额,本院针对案件情况和侵权情节,确定经济损失赔偿金额为10万元”的由于法官是在一个最高数额的情形下进行酌定的,存在不确定性,加之侵害个人信息案件中往往涉及人数极为众多的受害人,如果一一酌定显然很困难,且最后给信息处理者施加的赔偿责任可能过重故此,本书认为,未来我国个人信息保护法应当借鉴《消费者权益保护法》第55条第1款、《食品安全法》第148条第2款的规定,在无法确定损害和获利的情形下,采取定额赔偿,即按照对每个受害人在每一起侵害个人信息事件中赔偿某个固定数额(如1000元或500元人民币)的标准进行赔偿至于侵害个人信息的精神损害问题,依据我国《民法典》第1183条第1款的规定,“侵害自然人人身权益造成严重精神损害的,被侵权人有权请求精神损害赔偿个人信息权益属于自然人的人身权益侵害个人信息造成严重精神损害的,当然应承担精神损害赔偿责任对此,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第17条也有规定“网络用户或者网络服务提供者侵害他人人身权益,造成财产损失或者严重精神损害,被侵权人依据侵权责任法第二十条和第二十二条的规定请求其承担赔偿责任的,人民法院应予支持”故此,原告如果在侵害个人信息的案件中,无法证明自己遭受了严重的精神损害,则不得请求侵权人承担精神损害赔偿责任
四、侵害个人信息的民事责任的免责与减责事由
(一)一般的免责事由《民法典》规定的免责事由包括不可抗力、正当防卫、紧急避险(第180〜182条)这三类免责事由适用于所有的民事责任,故此规定在《民法典》的总则编同时,《民法典》侵权责任编还对侵权侵责任的免责事由作出了规定,具体包括受害人故意(第1174条)、自甘冒险(第1176条)以及自助行为(第1177条)上述免责事由也可以适用于侵害个人信息的民事责任不过,因为正当防卫、紧急避险而侵害个人信息的情形较为少见,比较有可能的是不可抗力导致处理者所储存的个人信息丢失的情形,例如地震导致存储个人信息的设备损坏,从而使其中存储的个人信息灭失,此时处理者可以以不可抗力作为免责事由
(二)特殊的免责事由《民法典》本条则对侵害个人信息的民事责任的免责事由作出了特别的规定,该规定适用于违约责任,也适用于侵权责任具体阐述如下在该自然人或者其监护人同意的范围内合理实施的行为其个人信息被处理的自然人或者其监护人的同意是个人信息处理的合法性基础,如果依法取得自然人或者其监护的同意且在该同意的范围内实施的个人信息处理行为,属于合法的个人信息处理行为,处理者自然无须承担民事责任但是,没有取得同意或者虽然取得同意但是超出了同意的范围的,如改变了处理目的或处理方式等,依然构成侵害个人信息的违法行为,应当承担民事责任合理处理该自然人自行公开的或者其他己经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外这一规定来自《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条,依据该条第1款第4项,如果网络用户或者网络服务提供者利用网络公开的自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息是自然人自行在网络上公开的信息或者其他已合法公开的个人信息,则不构成侵权行为,不承担侵权责任但是,依据该条第2款,如果网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开这些个人信息,或者公开该信息侵害权利人值得保护的重大利益,权利人请求网络用户或者网络服务提供者承担侵权责任的,人民法院应予支持对于已经合法公开的个人信息」色,无论是自然人自行公开的还是其他已经合法公开的个人信息,原则上是可以无须告知并取得自然人的同意即能够自由地进行处理,因为这有利于促进信息的流动与利用,对于网络信息社会和数字经济的发展是有利的例如,欧盟《一般数据保护条例》第9条第2款规定,在处理被数据主体明显公开的个人数据时,不适用本条第1款禁止处理的规定但是,如果该自然人明确拒绝对己合法公开的个人信息的处理或者处理该信息侵害其重大利益的除外这就是说,一方面,即便是己经合法公开的个人信息,依然受到个人信息保护法的保护,自然人对这些个人信息并不因其公开而失去控制的权利,其有权拒绝他人对这些信息进行处理另一方面,由于个人信息的保护对于维护自然人的人格尊严和人格自由具有很重要的意义所以即便是对已经合法公开的个人信息,也不得任意进行处理,如果处理该信息将侵害自然人的重大利益,行为人也要承担民事责任所谓“侵害自然人重大利益的情形,是指此种处理将有害于自然人的生命、身体、自由、财产或其他重大利益例如,行为人通过对各种合法公开的信息的处理而对自然人进行人格画像,从而将导致其在接受商品或服务的过程中遭受种族、性别的歧视等侵害人格尊严的行为,则该处理行为侵害了自然人的重大利益,是非法的为维护公共利益或者该自然人合法权益,合理实施的其他行为所谓维护公共利益的情形,例如,当大规模疫情或灾难发生时,为了应对该疫情或灾难而需要对个人信息进行收集、使用等处理行为;再如,为了舆论监督而对自然人的个人信息进行披露的行为所谓维护该自然人的合法权益,是指为了维护个人信息被处理者的合法权益而在不经过其本人或监护人同意的情形下处理个人信息例如,甲突发疾病而生命垂危,急需在掌握其既往病史等个人信息的基础上进行治疗,而又无法取得其本人或近亲属的同意此时,为了挽救甲的生命,可以实施信息处理行为当然,无论是为了公共利益的行为还是该自然人的合法权益的行为,都必须是合理实施的行为,即不违反个人信息处理的正当原则、必要原则
(三)减责事由《民法典》对于违约责任规定的减责事由包括其一,非违约方违反减损义务而导致损失扩大,即《民法典》第591条第1款规定“当事人一方违约后,对方应当采取适当措施防止损失的扩大;没有采取适当措施致使损失扩大的,不得就扩大的损失请求赔偿其二,过失相抵,即《民法典》第592条第2款规定“当事人一方违约造成对方损失,对方对损失的发生有过错的,可以减少相应的损失赔偿额”就侵权责任的减责事由,《民法典》在侵权责任编作出了规定,即第1173条规定:“被侵权人对同一损害的发生或者扩大有过错的可以减轻侵权人的责任在侵害个人信息的民事责任中,如果存在上述减责事由,则处理者可以相应减轻责任例如,被第三人非法侵入其计算机信息系统窃取个人信息后,信息处理者己经及时采取补救措施,并依法告知了被收集者并向有关主管部门报告但是,被收集者没有及时采取措施如更改密码、转移资金等,而导致了同一损失的发生或扩大的,则信息处理者可以减轻赔偿责任例如,德国《联邦数据保护法》第83条第4款就明确规定“民法典第254条的规定适用于数据主体存在与有过失的情形”德国《民法典》第254条规定“损害至发生被害人与有过失者,赔偿义务及赔偿之范围,应按具体情事而定,即如斟酌损害在何种程度系主要由一方或他方所引起者被害人之过失纵仅为怠于预促债务人注意其所不知或不可得而知之非通常高度损害之危险,或怠于避免或减轻损害者,亦同
五、侵害个人信息中多数人侵权责任我国《民法典》第1168条至第1172条对多数人侵权责任作出了规定具体包括共同加害行为(第1168条),教唆帮助行为(第1169条)共同危险行为(第1170条)以及无意思联络的数人侵权(第1171〜1172条)从实践来看,侵害个人信息的案件中往往涉及多个行为人,属于多数人侵权责任,具体包括以下类型
1.非法买卖个人信息,即信息处理者以买卖或者其他方式非法向第三人提供个人信息进而给自然人造成损害非法买卖个人信息是我国法律严厉禁止的行为,该行为对自然人的人身财产权益的危害极大,也为各种电信诈骗活动提供了极大的便利我国《刑法》第253条之一规定“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚在非法买卖个人信息的情形下,无论是出卖人还是买受人都是故意的,二者属于共同故意实施侵权行为,故此依据《民法典》第1168条,构成共同加害行为,应当承担连带责任雇用、组织及教唆帮助侵害个人信息的侵权责任《民法典》第1169条第1款规定“教唆、帮助他人实施侵权行为的,应当与行为人承担连带责任”《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第15条规定“雇佣、组织、教唆或者帮助他人发布、转发网络信息侵害他人人身权益,被侵权人请求行为人承担连带责任的,人民法院应予支持”故此,雇用、组织、教唆或者帮助他人非法收集、处理个人信息,造成自然人损害的,这些人应当承担连带责任两个以上信息处理者参与了同一处理个人信息的行为,其中一个或者数个信息控制者的行为造成损害,不能确定具体侵权人的此时,应当适用共同危险行为,由行为人承担连带责任,除非行为人能够证明损害后果不是由其行为造成的我国《民法典》第1170条规定“二人以上实施危及他人人身、财产安全的行为,其中一人或者数人的行为造成他人损害,能够确定具体侵权人的,由侵权人承担责任;不能确定具体侵权人的,行为人承担连带责任”该规则当然也可适用于个人信息处理当中从比较法来看,也有相应的立法例,例如,欧盟《-•般数据保护条例》第82条第4项规定“当不止一个控制者或处理者,或控制者与处理者同时涉及同一处理而且它们对第2段和第3段规定的处理所引起的所有损失承担责任,每个控制者或处理者都应当对损失负有连带责任,以便保证对数据主体的有效赔偿再如,德国《联邦数据保护法》第83条第3项规定“在个人信息的自动化处理场合,如果无法查明数个参与处理的控制者中谁造成了损害,则每一控制者或者权利行使者均负有责任”
六、侵害个人信息的公益诉讼我国《民事诉讼法》第55条第1款规定“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼”《消费者权益保护法》第47条规定:“对侵害众多消费者合法权益的行为,中国消费者协会以及在省、自治区、直辖市设立的消费者协会,可以向人民法院提起诉讼实践中,很多非法收集、处理个人信息的行为,侵害的是众多消费者的合法权益,而且会严重损害社会公共利益,例如,一些网络企业利用App大规模非法收集个人信息,一些所谓的数据公司大肆非法买卖数据等针对这些情形,除了受害的自然人可以单独提起诉讼或者推举代表人进行诉讼外,还应当鼓励公益诉讼因此,未来我国的个人信息保护法应当明确规定非法处理个人信息,侵害众多消费者合法权益,损害社会公共利益的,法律规定的机关和有关组织有权依法提起公益诉讼第一千零三十七条【个人信息主体的权利】自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的有权请求信息处理者及时删除本条主旨本条是对自然人的个人信息权益的内容的规定相关条文《民法典》第1029条规定“民事主体可以依法查询自己的信用评价;发现信用评价不当的,有权提出异议并请求采取更正、删除等必要措施信用评价人应当及时核查,经核查属实的,应当及时采取必要措施”《全国人民代表大会常务委员会关于加强网络信息保护的决定》第8条规定“公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止《网络安全法》第43条规定“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正网络运营者应当采取措施予以删除或者更正理解与适用
一、概述自然人对个人信息享有相应的民事权益,确切地说,这种民事权益就是自然人享有防范因非法收集、处理其个人信息而使自身人身财产权益和人格尊严、人格自由遭受侵害或损害的受法律保护的民事利益自然人对其个人信息享有的民事权益究竟是叫“个人信息权,还是“个人信息权益,均非关键重要的是,法律上赋予自然人对个人信息享有哪些具体的权利内容以及在这种权益受到侵害时享有何种救济从比较法上看,各国及各地区对自然人的个人信息权益的内容的规定有所不同欧盟《一般数据保护条例》对数据主体针对个人数据享有的权利内容作了很详尽的规定在该条例第3章中,赋予了自然人针对其个人数据享有以下七种权利
(1)访问权,即数据主体有权从控制者处确认其个人数据是否正在被处理,以及有权在该种情况下访问个人数据和相关信息(第15条)
(2)更正权,数据主体有权要求控制者及时更正其不准确的个人数据,数据主体基于处理的目的也有权将不完整的个人数据予以补充完整(第16条)
(3)删除权,也称被遗忘权,即数据主体有权要求控制者及时删除其个人数据,并且在符合规定的理由的情形下,控制者有义务及时删除数据主体的个人数据(第17条)
(4)限制处理权,即在符合法律规定情形下,数据主体有权限制控制者对个人数据的处理(第18条)
(5)数据可携带权,即数据主体有权获得其已经向控制者提供的个人数据,以结构化、普遍使用的机器可读的形式,并有权不受控制者的限制将该数据提供给其他控制者(第20条)
(6)反对权,即数据主体在特定情况下有权反对控制者为了执行公共利益的任务或行使控制者的公共职权或者为了追求合法利益的必要而对数据进行处理,包括进行相应的数据画像;除非控制者能够证明其合法利益高于数据主体的利益、权利和自由或者法律的特别规定(第21条)
(7)反对自动化决策包括数据画像的权利,即如果某种包括数据画像在内的自动化决策会对数据主体产生法律效力或造成类似的重大影响的,数据主体有权不受上述决策的限制(第22条)欧盟《一般数据保护条例》之所以对于数据主体的权利作出如此详细的规定,是因为欧盟认为,自然人在个人数据处理方面获得保护是一项基本权利《欧盟基本权利宪章》第8条第1款明确规定“人人均享有其个人信息受保护之权利(Everyonehaslherighttolheprotectionofpersonaldataconcerninghimorher.)”此外,《欧盟运行条约》第16条第1款也有相同的规定当然,欧盟《一般数据保护条例》在“鉴于条款”的第4条也指出“保护个人数据的权利不是一项绝对权利,必须考虑其在社会中的作用并应当根据比例性原则与其他基本权利保持平衡在我国,《民法典》《网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》赋予了自然人就其个人信息享有以下权能其一,查阅、复制权,即自然人可以向信息处理者查阅或者复制其个人信息(《民法典》第1037条第1款第1句);其二,更正权,即自然人发现其被合法收集的个人信息存在错误的,有权提出异议并请求及时采取更正等必要措施(《民法典》第1037条第1款第2句、《网络安全法》第43条);其三删除权,即当信息控制者违反法律规定或者约定处理个人信息的,自然人有权要求信息处理者及时删除该个人信息(《民法典》第1037条第2款、《网络安全法》第43条、《全国人民代表大会常务委员会关于加强网络信息保护的决定》第8条)但是,我国法尚未对被遗忘权、数据可携带权、反对权以及反对自动化决策包括数据画像的权利作出规定
二、查阅、复制个人信息的权利
(一)查阅、复制个人信息的权利的含义任何组织或者个人要收集、处理自然人的个人信息,必须遵守法律确定的原则,同时告知个人信息被收集者并取得其同意然后,履行完毕告知同意的程序后,信息控制者究竟在事实上收集了多大范围内的个人信息,实际上采取了何种方式处理这些个人信息,有无违反约定的目的和范围处理个人信息,对此,自然人一无所知故此,法律上有必要赋予自然人查阅和复制个人信息的权利,以确保自然人对其个人信息的知情权和保持应有的控制,避免因为非法收集、处理而其人身财产权益遭受侵害有鉴于此,欧盟《一般数据保护条例》第15条赋予了数据主体的访问权,该条规定“
1.数据主体有权从控制者那里得知其个人数据是否正在被处理以及有权在该种情况下访问个人数据和以下信息3)处理的目的;(b)个人数据的类型;(c)个人数据已经被或者将要向其披露的个人数据的接收者的类型,特别是当接收者属于第三国或国际组织时;(d)在可能的情形下,个人数据被储存的预期期限;若无法提供,则用于确定该期限的标准;(e)向控制者要求修改、删除、限制处理或拒绝处理的权利;(f)向监管机构申诉的权利;(g)在个人数据并非从数据主体处收集的情况下,可得到的关于其来源的任何消息;(h)存在自动化的决策,包括第22
(1)和
(4)条所规定的数据分析,以及在此类情形下,对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息
2.当个人数据被转移到第三国或国际组织,数据主体有权获知和转移相关的符合第46条的恰当的保障措施
3.控制者应当对进行处理的个人数据提供一份备份对于任何数据主体所要求的额外备份,控制者可以根据管理花费而收取合理的费用当数据主体通过电子方式而请求,且除非数据主体有其他请求,信息应当以通常使用的电子形式提供
4.获取第3款所规定的备份的权利不应当对他人的权利与自由产生负面影响”我国《民法典》第1037条第1款第1句规定了自然人针对信息处理者享有查阅或者复制其个人信息的权利该权利是自然人个人信息权益的重要组成部分一方面,自然人如果不能查询或者复制其个人信息,则在其个人信息被合法收集后就完全丧失了对个人信息的控制力,对于处理者究竟收集了多少自己的个人信息,这些被收集的个人信息是否符合法律规定或者符合约定,自然人将完全不清楚,谈何行使《民法典》第1037条第2款规定的删除权?另一方面,如果没有查阅、复制其个人信息的权利,自然人无法知悉其被收集的个人信息是否有误,也就难以在发现错误后,依据《民法典》第1037条第1款的规定,提出异议并请求处理者及时采取更正等必要措施故此,法律上有必要赋予自然人以查阅和复制个人信息的权利,以确保自然人对其个人信息的知情权和保持应有的控制,避免因为非法收集、处理而其人身财产权益遭受侵害除了本条第1款规定了自然人查阅或者复制其个人信息的权利,《民法典》还特别在第1029条第1句规定了“民事主体可以依法查询自己的信用评价气这是因为,信用评价对于民事主体的社会交往、生产生活具有重大的影响,即便是有权对他人进行信用评价的主体,其对他人进行信用评价的结果和依据也必须供被评价主体查询,被评价主体对此享有知情权否则就会损害民事主体的合法权益虽然自然人的信用信息也属于个人信息,关于自然人与征信机构等信用信息处理者之间的关系也适用《民法典》关于个人信息保护的规定,但是,由于我国《民法典》将信用纳入名誉的范畴(第1024条第2款),通过名誉权加以保护,故此,《民法典》第1029条第1句中的查询权是基于名誉权而产生的此外,该句中有权查询的是民事主体,既包括自然人,也包括法人、非法人组织但是,《民法典》第1037条第1款规定的查询权是个人信息权益的内容,而且有权查询的只是自然人,不包括法人、非法人组织当然,《民法典》第1037条第1款只是确立了自然人查阅或者复制其个人信息的权利,其具体的行使程序等,还需要由未来的“个人信息保护法”等法律法规作出更加细化的规定例如,信息处理者应当以何种方式为自然人的查阅、复制提供便利(如能否收取相应的费用或免费),如果处理者拒绝自然人的查询请求,自然人可获得何种救济等,这些问题都需要法律法规的进一步规定其中有些问题还存在比较大的争议例如,关于信息处理者拒绝自然人查阅其个人信息时工,自然人可以向法院提起诉讼的问题,一种观点认为,如果仅仅是为了查阅或者复制个人信息就到法院起诉,可能会造成诉讼爆炸,给法院增加很多工作量另一种观点认为,查阅或者复制个人信息本来就是法律赋予自然人的权利,该权利如果受到侵害却无法得到司法救济,还不如不规定况且,很多时候查阅或者复制个人信息对于自然人其他权益的维护也是非常重要的,因此,应当给予支持对此,笔者认为,自然人依法享有查阅或者复制其个人信息以及在发现信息有错误时要求更正的权利,但原则上必须是先向信息控制者提出请求且被无正当理由加以拒绝后,才能提起诉讼,否则容易导致自然人滥用该权利给信息控制者增加负担土
(二)个人数据的可携带权关于自然人查阅、复制其个人信息的权利,有一个值得讨论的问题,即该权利是否包含了个人数据的可携带权或者是否可以从其中解释出该权利?个人数据的可携带权是由欧盟《一般数据保护条例》首次提出的,它是指自然人对于其同意处理者所处理的数据化形式承载的个人信息即个人数据,有权要求该处理者提供结构化的、通用的、机器可读的、能共同操作的以格式形式加以提供的权利,自然人可以将该个人数据转移给其他的信息处理者在我国民法典编纂之前,就是否应当规定个人数据的可携带权,已经存在很多的争论上一种观点认为,此种查阅和复制个人信息的权利并不包含个人数据可携带权,我国法律上也不应当赋予自然人以数据可携带权因为规定数据可携带权不仅会极大地增加企业的经营成本技术实现上存在很大的难度,而且也会导致企业的竞争优势丧失,毕竟个人信息是网络企业取得竞争优势的很重要的资产此外,规定数据可携带权还将导致各个企业之间以此为工具,抢夺数据,存在不正当竞争的风险另一种观点认为,个人数据的可携带权体现了自然人对其个人信息或个人数据的支配性,是个人信息权益的重要组成部分如果不规定数据可携带权,则很容易形成在个人信息或个人数据领域的垄断,容易扼杀新型的网络企业的发展,不利于维护市场的公平竞争⑸目前我国司法实践中已经出现了涉及该问题的案件⑹笔者认为,就《民法典》第1037条第1款的规定来看,从自然人复制其个人信息的权利可以解释出自然人享有个人数据的可携带权这是因为,首先,既然自然人有权复制其个人信息,与之相对应的就是处理者应当提供该自然人的个人信息的副本,此种副本的形式既包括纸质的,也包括电子的,而电子的个人信息就是个人数据,其应当是结构化的、通用的、机器可读的,否则复制的意义就不存在了其次,《民法典》第992条规定“人格权不得放弃、转让或者继承”自然人对其个人信息享有的民事权益虽然没有被明确界定为人格权,但是其属于人格权益是非常明确的自然人可以许可他人使用其个人信息,而这种许可并不导致自然人转让了其个人信息权益故此,自然人虽然同意处理者处理其个人信息,但并不因此丧失对其个人信息的支配否则,如何维护自然人的人格尊严和自由?自然人查阅、复制其个人信息以及要求更正和删除的权利,不仅是不能转让、继承的,而且也不能预先抛弃⑺最后,规定个人数据的可携带权对于维护数字经济时代的竞争是有必要的,那种认为规定了个人数据可携带权就会导致利用该权利来进行不正当竞争的观点是片面的在竞争中网络企业等数字经济主体当然可以去吸引用户,将其在某个网络企业中的个人数据转移到自己这里来,这种竞争行为当然是合法的如果是不正当竞争,自有《反不正当竞争法》加以规制不能因为存在有人利用可携带权来进行不正当竞争的可能,就反对这种权利本身显然,这种观点是荒谬的
三、针对错误信息的提出异议及更正的权利依据《民法典》第1037条第1款,自然人发现信息有错误的,有权提出异议并请求及时采取更正等必要措施《网络安全法》第43条也规定,个人发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正,网络运营者应当采取措施予以更正这就是对自然人的更正权的规定个人信息在收集后要进行处理,如使用、加工、传输、共享等,因此,一旦个人信息错误而不能及时更正,就会对自然人产生不利的影响,如基于此种错误的个人信息进行的信用评价包括自动化决策,会对自然人的民事权益造成损害故此法律上允许自然人在发现个人信息有错误后予以更正所谓更正,既包括将不符合事实的错误信息进行正确化,也应当包括对不完整的个人信息进行补充当然,信息控制者在收到自然人的更正请求后,应当对个人信息予以核实,并及时更正(包括补充)自然人在行使《民法典》第1037条第1款第2句规定的权利时,应当提出相应的证据证明个人信息确实存在错误,否则信息处理者难以进行更正至于信息处理者何时进行更正才是“及时,需要根据不同类型的网络服务来区分对待《民法典》除了在本条一般性地规定了自然人发现个人信息错误,有权提出异议及要求采取更正等必要措施的权利外,还特别在第1029条规定了民事主体发现信用评价错误时,有权提出异议并请求采取更正、删除等必要措施如前所述,此种采取更正删除的权利是基于名誉权产生的,权利主体不限于自然人,还包括法人、非法人组织
四、删除个人信息的权利
(一)删除权的行使条件删除权也是为了更好地保护自然人对个人信息享有的利益而作出的规定,《民法典》第1037条第2款和《网络安全法》第43条规定了删除权行使的具体情形,即其一,信息处理者违反法律、行政法规的规定处理其个人信息的;其二信息处理者违反双方的约定收集、使用其个人信息的在这两种情形下,自然人有权请求信息处理者删除这些个人信息,否则就等于认可了此等违法或违约行为的存在,承认了信息处理者有权侵害自然人的个人信息这两种情形可以说涵盖了需要删除个人信息的全部情形当然,删除权中的很多具体问题《民法典》不可能逐一规定,也没有必要规定,而应交由“个人信息保护法等法律法规和国家标准予以明确即可例如,所谓删除,究竟是指无法在线访问,还是说包括在物理上将个人信息删除?自然人撤销此前对处理者所作出的处理其个人信息的同意,是否需要删除?等等
(二)删除权与网络侵权中的“通知删除规则”作为自然人个人信息权益内容的删除权与网络侵权中的“通知删除规则是不同的我国《民法典》第1194〜1997条对网络侵权行为作出了规定,其中确立的一项最基本的规则就是所谓“通知删除规则该规则来自美国法上的“避风港规则”,其有效地协调了民事权益保护与网络活动自由的保障之间的关系申言之,一方面,在网络用户利用网络服务实施侵权行为时,无论是从最有效地预防制止侵权行为的角度,还是出于报偿原理等公平正义的考虑网络服务提供者都应当尽到相应的注意义务,而不能无动于衷,任由网络用户利用网络服务实施侵权行为另一方面,直接实施侵权行为的是网络用户而非网络服务提供者,不能对网络服务提供者提出过高的要求让网络服务提供者对任何利用其网络服务实施的侵权行为都要负责显然是不公平的,违反了自己责任的精神,不利于保障合理的行为自由,不利于促进网络产业的发展故此,《民法典》第1195条与第1196条确立了通知删除规则,通过该规则,既可以使网络服务提供者在接到权利人的有效通知后及时制止网络用户的侵权行为,从而无须向权利人承担侵权责任;同时,又可以避免网络服务提供者不合理地采取措施损害网终用户的合法权益,以至于向网络用户承担责任因此,通知删除规则也被称为“避风港规则在网络用户利用网络侵害自然人的个人信息时,被侵权人当然有权依据《民法典》的上述规定通知网络服务提供者采取删除等必要措施那么,这里的删除与《民法典》第1037条第2款规定的删除有何区别呢?笔者认为,二者虽然都有删除的表述,但是属于不同的规则,其具体区别表现在首先,性质不同《民法典》第1037条第2款规定的是自然人的个人信息权益的内容,即作为其中一项权能的删除权,该权利适用于所有的个人信息处理者无论其是否为网络服务提供者但是,《民法典》第1195条规定的删除则是法律施加给网络服务提供者预防和制止网络侵权行为的一项义务,仅适用于网络服务提供者其次,适用条件不同依据《民法典》第1037条第2款,删除权的行使要件为“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息”,即信息处理者存在违法处理个人信息或违反约定处理个人信息的行为,故此自然人有权行使删除权而通知删除规则是因为有网络用户利用网络服务实施了侵权行为,而权利人通知网络服务提供者采取删除等必要措施,网络服务提供者本身并未直接从事对权利人的侵权行为最后,法律后果不同信息处理者违反《民法典》第1037条第2款的规定拒绝自然人的删除请求的,则自然人有权依法提起诉讼,请求法院判决处理者履行删除义务,如果信息处理者没有及时删除而造成损害,权利人有权要求信息处理者承担赔偿责任然而,网络服务提供者在接到权利人的通知后没有及时采取删除等必要措施的,依据《民法典》第1195条第2款,网络服务提供者要就损害的扩大部分与实施侵权行为的网络用户承担连带责任此外,自然人行使作为个人信息权益的权能的删除权,不存在因错误行使该权利而承担赔偿责任的问题但是,依据《民法典》第1195条第3款,错误通知造成网络用户或者网络服务提供者损害的,发出通知的权利人应当承担侵权责任
(三)有无必要规定被遗忘权关于《民法典》第1037条第2款规定的删除权,还有一个值得讨论的问题是否应当规定被遗忘权?被遗忘权(righttobeforgotten)的概念最早是由欧盟法院在2014年西班牙发生的“冈萨雷斯诉Google案”中确立的该案案情为1998年,西班牙《先锋报》刊登了将举行财产强制拍卖的公告,被强制拍卖财产的人中有一位叫作冈萨雷斯的人,其姓名出现在了财产拍卖公告中,后该公告被谷歌搜索引擎收录2009年,冈萨雷斯联系《先锋报》,称该报刊登的有其姓名的拍卖公告被谷歌收录,其要求删除网上与他有关的信息,因为该拍卖活动早己结束,如果这些涉及他的个人信息继续存在于网络上,将对其名誉造成持续的伤害《先锋报》方面的回复是,刊登该公告是经过西班牙劳动与社会事务部授权的,因此相关个人数据无法删除于是,2010年冈萨雷斯联系了谷歌西班牙分部,要求删除该公告链接随后,冈萨雷斯又向西班牙数据保护局进行投诉,201年7月3口,西班牙数据保护局驳回了冈萨雷斯针对《先锋报》删除数据的要求,但是要求谷歌公司删除相应的链接并确保通过该搜索引擎无法打开该信息谷歌公司遂向法院起诉,该案后被提交给欧盟法院欧盟法院认为,作为数据控制者的谷歌公司对于其处理的第三方发布的带有个人数据的网页信息负有责任,有义务将其删除有关数据主体“不好的、不相关的、过分的信息应当从搜索结果中删除由此确立了欧盟法上的被遗忘权概念此后,在2018年实施的欧盟《一般数据保护条例》中也明确规定了被遗忘权依据该条例第17条,数据主体有权要求控制者及时删除其个人数据,同时如果数据主体己经请求这些控制者们删除相关个人数据的任何链接、副本或复制件,但数据控制者己经将个人数据公开,并且依据本条第1款有义务删除这些个人数据,那么控制者在考虑现有技术和实施成本后,应当采取合理步骤包括技术措施,通知正在处理个人数据的控制者们在我国也曾发生被遗忘权纠纷的案件,即“任某某与北京百度网讯科技有限公司名誉权纠纷案,该案原告曾经与无锡陶氏生物科技有限公司有过合作,网上存在不少关于该合作关系的信息原告认为,其与陶氏公司的合作已经结束,且因该公司在业界口碑不好,故如果有学生及合作伙伴搜索其名字,从百度页面看到搜索结果会误以为其与该公司还有合作,该不良搜索结果会影响其就业、工作交流及日常生活,这样的搜索信息应当被“遗忘”,故此其要求百度公司删除这些信息法院认为,我国现行法中并无法定称谓为“被遗忘权”的权利类型,同时,由于“涉诉工作经历信息是任某某最近发生的情况,其目前仍在企业管理教育行业工作,该信息正是其行业经历的组成部分,与其目前的个人行业资信具有直接的相关性及时效性;任某某希望通过自己良好的业界声誉在今后吸引客户或招收学生,但是包括任某某工作经历在内的个人资历信息正是客户或学生借以判断的重要信息依据,也是作为教师诚实信用的体现,这些信息的保留对于包括任某某所谓潜在客户或学生在内的公众知悉任某某的相关情况具有客观的必要性任某某在与陶氏相关企业从事教育业务合作时并非未成年人或限制行为能力人、无行为能力人,其并不存在法律上对特殊人群予以特殊保护的法理基础⑼,故此,任某某在本案中主张的应“被遗忘删除信息的利益也不具有正当性和受法律保护的必要性,不应成为侵权保护的正当法益,对其主张该利益受到一般人格权中所谓“被遗忘权”保护的诉讼主张,法院不予支持狗对于我国法上的删除权是否包括被遗忘权以及有无必要单独规定被遗忘权,理论界存在很大的争议笔者认为,在我国法上,没有必要单独规定被遗忘权,理由在于其一,如果网络上发布的信息涉及侵害自然人的名誉权、隐私权等人格权益,自然人基于名誉权、隐私权当然有权行使停止侵害、排除妨碍等人格权请求权,要求发布相关信息的网络用户删除该等信息,同时也有权依据《民法典》第1195条要求网络服务提供者采取删除、屏蔽、断开链接等必要措施其二,自然人如果发现信息控制者违反法律、行政法规的规定或者双方的约定收集、处理其个人信息,则依据《民法典》第1037条第2款有权请求信息控制者及时删除这里面就包括《民法典》第1037条第2项规定的,虽然是处理该自然人自行公开的或者其他己经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外情形应当说,上述两种情形的删除权的适用己经涵盖了全部的自然人有权要求删除个人信息的正当情形,除此之外,自然人已无正当的利益要求网络服务提供者或信息控制者删除相关个人信息其三,如果允许自然人可以没有任何正当性理由就要求删除相关信息,势必会出现歪曲真相的情况,这损害了公众的知情权,甚至构成对公众的欺骗的不良后果M例如,在我国发生的“任某某与北京百度网讯科技有限公司名誉权纠纷案中,网络服务提供者通过搜索引擎所收录的是己经合法公开的、客观真实的个人信息,这些信息被通过搜索引擎再次呈现,既没有侵害原告的隐私权,也没有损害其人格尊严或妨害人格自由,故此,原告毫无正当利益请求加以删除然而,西班牙的“冈萨雷斯诉Google案”的情形,则有所不同因为,该案中通过谷歌搜索冈萨雷斯全名可与其财产被强制拍卖的信息相连,在冈萨雷斯生活的区域内对其个人的生活造成了一定的困扰,涉及对其人格尊严和职业发展这一重大利益的侵害,故此,法院认为冈萨雷斯有权要求谷歌断开相关个人信息的链接是妥当的
五、侵害个人信息的人格权请求权《民法典》人格权编为人格权提供了特殊的保护方法,即人格权请求权所谓人格权请求权,就是基于人格权作为绝对权和支配权的效力而产生的排除对人格权的现实的或者潜在的侵害或妨碍,旨在维护人格权圆满状态的请求权人格权请求权具有以下特征一方面人格权请求权具有从属性人格权请求权是基于人格权而产生的请求权,从属于人格权,只有人格权的主体才能享有此类请求权由于人格权具有专属性,不得转让、放弃或者继承故此,从属于人格权的人格权请求权也不得转让、放弃或者继承,也不得由他人代位行使即不能成为代位权的客体另一方面,人格权请求权是人格权排他性的体现人格权属于绝对权、支配权,具有排他效力,这种排他效力不仅体现在人格权的圆满状态已经受到妨害的情形,更体现在具有妨害危险之时也就是说,人格权请求权不仅具有恢复人格权圆满状态的功能,还具有预防和制止侵害人格权的行为的功能在民法中,物权、知识产权以及人格权等绝对权,基于其排他效力都会产生相应的请求权,就物权而言,是物权请求权,如返还原物、排除妨害、消除危险等(《民法典》第235〜236条);就知识产权中的著作权、专利权和商标专用权等具有排他效力的权利而言,我国法上也规定了知识产权请求权(《商标法》第60条第2款、第65条、《著作权法》第48条、第50条第1款、《专利法》第66条第1款和第60条)@《民法典》第995条规定“人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权,不适用诉讼时效的规定”该条中规定的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉以及赔礼道歉请求权就属于人格权请求权不仅如此,为了有效地保护人格权,《民法典》还借鉴英美国家的禁令制度为人格权请求权的行使提供了程序保障,即第997条规定“民事主体有证据证明行为人正在实施或者即将实施侵害其人格权的违法行为,不及时制止将使其合法权益受到难以弥补的损害的,有权依法向人民法院申请采取责令行为人停止有关行为的措施”虽然我国《民法典》将个人信息作为一种人格权益规定在人格权编,但是由于《民法典》没有明确规定个人信息权这-•具体人格权,而其第995条又限于“人格权受到侵害的”情形因而自然人是否享有上述人格权请求权,是值得怀疑的但是,由于《民法典》第1167条规定,“侵权行为危及他人人身、财产安全的,被侵权人有权请求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任”,这些侵权责任并不限于保护人格权、财产权,还是可以保护人身、财产安全的,故此,在认定侵害个人信息的侵权责任时,个人信息被侵害的自然人可以依据该条,要求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任,其实际效果也与行使人格权请求权没有差别第一千零三十八条【个人信息an全】信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息an全防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,依照规定告知自然人并向有关主管部门报告本条主旨本条是信息处理者的法定义务的规定相关条文《全国人民代表大会常务委员会关于加强网络信息保护的决定》第4条规定“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息an全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施”《网络安全法》第42条规定“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息但是,经过处理无法识别特定个人且不能复原的除外网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息an全,防止信息泄露、毁损、丢失在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”《消费者权益保护法》第29条规定“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息经营者及其工作人员对收集的消费者个人信息必须严格保密不得泄露、出售或者非法向他人提供经营者应当采取技术措施和其他必要措施,确保信息an全,防止消费者个人信息泄露、丢失在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息《公共图书馆法》第43条规定“公共图书馆应当妥善保护读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息,不得出售或者以其他方式非法向他人提供《旅游法》第52条规定“旅游经营者对其在经营活动中知悉的旅游者个人信息,应当予以保密《刑法》第253条之一规定“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚理解与适用
一、不得泄露、篡改收集、存储的个人信息信息处理者在告知并取得自然人同意后或者依据法律的规定而合法地处理个人信息,这种处理行为的合法性是一个全过程的体现,即不仅收集个人信息的行为应当是合法的,保管、加工、使用等行为也必须是合法的《民法典》第1038条第1款第1句规定了信息处理者不得泄露或者篡改其收集、存储的个人信息的义务该义务的确立也为相应的法律责任(民事责任、行政责任和刑事责任)确立了前提,这种义务属于法定义务,不得因当事人的约定而改变,即便是作为个人信息主体的自然人也无权就自己的个人信息单方面免除信息处理者的此种义务当然,《民法典》第1038条第1款第1句的目的是将处理者不得泄露或者篡改其收集、存储的个人信息的义务确立下来至于该义务的具体内容,如采取何种措施防止个人信息被泄露、篡改甚至丢失,在发生个人信息泄露等情形下应当采取何种措施,则由本条第2款以及《网络安全法》等法律法规作出具体的规定具体而言,信息处理者不得泄露、篡改所收集、存储的个人信息的义务分为以下两类禁止泄露的义务,即信息处理者不得泄露其所收集、存储的个人信息这就是说,一方面,信息处理者对于其合法收集、存储的个人信息应当依法妥善保管,以免该信息因为信息处理者自身的原因或者其他原因而被泄露个人信息的处理会给自然人的人格自由、人格尊严以及人身财产权益造成不同可能性和不同程度的风险,如果信息处理者没有妥善保管,导致个人信息被泄露,就会对自然人造成难以预测的损害或危险,故此,法律上首先要给信息处理者施加不得泄露其所收集、存储的个人信息的义务另一方面,不得泄露所收集、存储的个人信息的义务也意味着对个人信息的处理应当符合必要的原则,不是个人信息收集得越多越好因为收集、存储的个人信息越多,意味着法律上的义务和责任越大,一旦泄露个人信息,所带来的危险和损害后果也就越大,故此,《民法典》第1038条第1款第1句实际上也在提高个人信息处理的门槛,没有有效地履行防止泄露个人信息义务的能力的组织或个人,不应当去收集、储存个人信息禁止篡改的义务,即处理者有不得篡改个人信息的义务个人信息处理者收集和存储个人信息本身不是目的,目的是要加工、使用之,从而在各种场景中予以运用,进而在客观上影响个人信息被收集的自然人的社会生活的方方面面如果处理者可以随意篡改个人信息则这些被篡改的个人信息就是虚假的、错误的对这种个人信息进行处理的直接后果就是损害自然人的权利和自由例如,基于虚假的个人信息而对某人作出的信用评价就是错误的,受此评价的自然人将会因此遭受无法取得贷款、无法获得相应的商品或服务的困难,进而遭受人身财产权益上的损害长此以往对于网络信息社会和数字经济的健康发展也是不利的故此,《民法典》一方面要赋予自然人在发现其个人信息是错误的情况下,提出异议并要求处理者及时采取更正等必要措施的权利;另一方面,乂要给处理者施加不得篡改个人信息的义务二者相互配合,才能保证真实的个人信息被合法地进行处理
二、禁止非法提供个人信息的义务
(一)非法提供个人信息的含义个人信息的处理包括个人信息的收集、使用、加工、传输、提供、公开等其中,个人信息的提供,是指个人信息处理者将所收集、存储的个人信息通过信息网络及其他方式传输给他人,使他人能够据此对这些个人信息进行处理个人信息尤其是以数据形式出现的个人信息即个人数据,具有“非独占性或“共享性”的特点一方面,与作为物权客体的有体物在占有、使用上的独占性所不同的是,数据无论在占有还是使用上都不具有独占性数据并不会因为被某一特定主体收集、存储而无法被其他人收集、存储数据完全可以同时在不同的地点由不同的人以不同的方式加以收集和存储,并进行使用、加工、传输、公开另一方面,数据也不会因为被某人使用而减少其他人的使用,相反,数据可以由无穷多的人进行使用并创造出不同的价值也就是说,即便是完全相同的个人数据,也可以出于不同的目的进行开发和使用,产生不同的增值服务或衍生应用,而这种多日的或多用途的适用之间又会相互影响和作用,从而产生更复杂和更高级的应用正因如此,有观点认为,“数据不应该以它的存储而定义,应该由它的流转来定义丛,大数据时代也正是由于数据可以在网络空间自由流动与分享才到来的因此,个人信息尤其是个人数据的处理者除了自己使用个人信息外,也可能将个人信息提供给他人使用,接受该个人信息的组织或个人还可能再次将这些信息提供给他人,如此循环下去,在使个人信息的处理者越来越多且纷繁复杂的同时,这将极大地增加个人信息被处理的自然人所面临的人格自由、人格尊严和人身财产权益上的风险因为自然人并不知道这些处理者保护其个人信息的能力如何,不知道它们以何种方式出于何种目的而处理其个人信息,在其个人信息被泄露的情况下,甚至完全不知道究竟哪个环节出现了问题因此,无论是域外的个人信息保护法,还是我国《民法典》等法律,都必须针对个人信息的提供作出特别的规范依据《民法典》第1038条第1款第2句,在个人信息处理者要将其收集、存储的个人信息提供给他人时,必须告知自然人并取得同意,否则这种个人信息的提供就是非法提供具体阐述如下《民法典》第1038条第1款第2句中的个人信息处理者所提供的个人信息必须是合法处理的个人信息,即其所收集、存储的个人信息是依法告知并取得自然人的同意的,或者是依据法律、行政法规规定的可以不经告知并取得同意而处理的个人信息倘若处理者本身就是通过违法的方式而收集、存储的个人信息,那么其实际上也不可能在去取得自然人的同意后再向他人提供该人个人信息,因为其本身就是违法者,其非法处理个人信息的行为本身就是侵权行为甚至犯罪行为我国实践中常见的各种非法买卖个人信息的行为就属于此类个人信息处理者向他人提供个人信息所谓他人就是指个人信息处理者之外的自然人、法人或者非法人组织即便是同一集团中的A有限责任公司向B有限责任公司提供个人信息,也属于向他人提供个人信息,因为A和B都是具有独立法律人格的主体,在法律上是两个不同的民事主体提供的方式可以是通过信息网络的方式,如开放接口从而共享个人信息,现在很多政府机关正在建立的信息共享机制,也可以是通过其他方式,如将个人信息存储在硬盘中交给他人等此提供可能是无偿的,如基于合作关系,也可能是有偿的由于数据特别是个人数据属于重要的生产要素,对很多网络企业而言,数据可能是最重要的资产和竞争优势的根本所在,因而,不同的网络企业之间基本上不可能互相提供个人信息故此,才产生了是否需要在法律上确立自然人的个人数据可携带权的争论未经作为个人信息被收集者的自然人的同意,向他人提供个人信息属于非法提供个人信息换言之,处理者虽然自身履行了告知同意义务而使其处理自然人个人信息的行为具有合法性和正当性基础,但其并不因此而当然具有任意将所合法收集、存储的个人信息向他人提供的权利,其不能以自身对个人信息或个人数据享有的权益来对抗自然人的个人信息权益这是因为,自然人针对其个人信息享有的是人格权益,而处理者对个人信息或个人数据充其量享有的只是财产权益,后者的法律位阶明显低于前者的故此,处理者要向他人提供其所合法收集、存储的个人信息,必须告知个人信息被收集的自然人并取得其本人或者其监护人的同意如果没有告知并取得同意,那么这种个人信息的提供就是非法提供例如,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第3条第2款就明确规定“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的,提供公民个人信息,,但是经过处理无法识别特定个人且不能复原的除外此种非法提供个人信息的行为不仅是侵害自然人个人信息权益的侵权行为或违约行为,也是违法甚至是犯罪行为,需要遭受行政处罚乃至刑罚的处罚《网络安全法》第64条规定:“网络运营者、网络产品或者服务的提供者违反木法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款我国《刑法》第253条之一规定“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚”近年来,我国实践中经常发生的个人信息泄露、侵害他人隐私权等事件,很多就是处理者非法向他人提供个人信息所致尤其是一些国家机关、企事业单位,因为内部管理松弛员工可以很容易地获得个人信息并将之非法提供给他人此种情形下,这些员工利用职务便利而获取个人信息进而非法提供的行为,不仅这些员工要承担法律责任,单位也要承担法律责任在民法上,应当由员工和单位承担连带责任,在刑法上应当实行双罚制,即在对犯罪的员工处以刑罚的同时,该单位也构成犯罪,要遭受刑罚的处罚
(二)无须同意而可以提供的例外
1.匿名化的信息《民法典》第1038条第1款第2句规定了一种例外情形,即可以不经被收集者同意向他人提供个人信息,而不构成非法提供个人信息,这就是那些经过加工无法识别特定个人且不能复原的信息《网络安全法》第42条第1款也规定,“未经被收集者同意,不得向他人提供个人信息但是,经过处理无法识别特定个人且不能夏原的除外所谓经过处理无法识别特定个人且不能复原的信息,就是指信息的匿名化工由于信息或数据匿名化处理后,无法识别特定的自然人,因而就不属于个人信息,为了促进大数据的发展和应用,《网络安全法》借鉴了一些国家的做法,对个人信息匿名化作出了规定,作为向他人提供个人信息须经本人同意的例外2L例如,欧盟《一般数据保护条例》第4条第5款将“匿名化”界定为“是一种使个人数据在不使用额外信息的情况下不指向特定数据主体的个人数据处理方式,若该处理方式将个人数据与其他额外信息分别存储,凭技术性和组织性措施无法指向一个可识别或被识别的自然人”再如,口本《个人信息保护法》第2条,将“匿名加工信息界定为“是指,针对下列各项规定的个人信息相应地采取同项规定的措施,从而为了无法识别特定个人而对个人信息进行加工后所得到的有关个人的信息中,通过处理使该个人信息无法恢复的部分
(一)第一款第一项规定的个人信息删除该个人信息中所含有的部分记述等(包括以使该部分的记述等丧失有可能恢复的规律性的方式,将该部分记述等转换为其他记述等);
(二)第一款第二项规定的个人信息删除该个人信息中所含有的全部个人识别符号(包括以使该个人识别符号丧失有可能恢复的规律性的方式,将该个人识别符号转换为其他记述等)该法第37条规定“匿名加工信息处理业者在将匿名加工信息(自己加工个人信息并制作而成的匿名加工信息除外以下于本节相同)提供给第三人时,应当依照《个人信息保护委员会规则》的规定,事先公布被提供给第三人的匿名加工信息所含有的个人相关信息中的项目及提供的方法,并同时向该第三人明示该提供所涉及的信息为匿名加工信息”当然,个人信息或个人数据的匿名化只是相对的,在可获得的数据来源越来越丰富以及算法越来越强大的大数据时代,无法识别出个人的数据也存在重新具有可识别特定个人的可能例如,将大量的匿名化数据重新整合在一起进行相关性分析,就完全有可能导致特定个人的身份信息被识别从而泄露隐私美国学者PaulOhm教授认为,随着大数据、云计算等新技术的兴起,传统的仅仅删除姓名和社保号码的匿名化技术己经失败了,技术专家可以通过再识别(Re-identify)或者去匿名化(De-anonymize)的方法来实现个人身份的再识别上例如,2006年8月,美国在线公布了大量旧的搜索查询数据供研究者分析,尽管整个数据库进行过精心的匿名化处理,但《纽约时报》的两名记者MichaelBarbaro与TomZeller依然在几天内就通过综合分析搜索记录,识别出了该数据库中代号4417749的用户是来自佐治亚州利尔本的一位名叫赛尔亚•阿诺德的62岁寡妇⑹故此,法律上对数据的匿名化也有相应的要求,只有经过无法再识别的匿名化处理的个人数据才能被认定为非个人数据《民法典》第1038条第1款和《网络安全法》第42条第1款对个人信息匿名化提出的要求是“无法识别特定个人”且“不能复原气所谓无法识别特定个人,是指既不能凭借该信息本身识别特定的自然人,将该信息与其他信息结合后也无法识别特定的自然人欧盟《一般数据保护条例》“鉴于条款第26条指出“为判断自然人身份是否可识别,需要考虑所有可能使用的手段,比如利用控制者或其他人来直接或间接的确认自然人身份为判断所使用的手段是否可能用于识别自然人,需要考虑所有客观因素,包括对身份进行确认需要花费的金钱和时间,考虑现有处理技术以及科技发展因此,数据保护原则不适用于匿名信息,即不适用于己识别的或可识别的自然人或者个人数据是匿名的并且不再能对所属自然人的身份进行确认的信息所谓不能复原,是指从技术上不能复原或者除非花费巨大成本否则难以复原毕竟能否复原是相对的,如果说穷尽一切措施都无法复原才能认定不能复原,显然要求过高例如欧盟的《一般数据保护条例》“鉴于条款”第29条指出“为鼓励处理个人数据时使用匿名化保护措施,匿名方法在允许一般性分析的前提下在同一控制者下是可行的,当该控制者对相关处理程序采取了必要的技术性和组织性措施以确保本条例被遵守和适用,以及确保能够用于识别特定数据主体的额外信息分开独立保存
2.其他情形除了经过加工无法识别特定个人且不能复原的信息可以不经被收集者同意而提供给他人外,还存在一些可以在没有得到被收集者同意的情况下而将信息提供给他人的情况例如日本《个人信息保护法》第23条第1款规定“除下列情形外,个人信息处理业者不得未事先取得本人的同意,而将其个人数据提供给第三人
(一)以法令为依据的情形;
(二)为保护人的生命、身体或财产而有必要,却又难以取得本人同意的情形;
(三)为提高公众卫生或者推进儿童的健康成长而有特殊必要,却又难以取得本人同意的情形;
(四)有为国家机关或地方公共团体或者受其委托的主体执行法令规定的事务而提供协助的必要,却又有可能因取得本人的同意而对该事务的执行造成障碍的情形在我国,依据《民法典》第1035条第1款第1项和第1036条第
2、3项之规定,符合以下情形之一的,也可以不经被收集人同意而将个人信息提供给他人其一,法律、行政法规有明确规定的情形;其二,提供的信息是自然人自行公开的或者其他己经合法公开的信息但是该自然人明确拒绝或者处理该信息将侵害其重大利益的除外;其三,为维护公共利益或者该自然人合法权益而合理实施的将个人信息提供给他人的行为
三、保证个人信息an全的义务
(一)保证个人信息an全的义务的内容个人信息被收集后要加以储存、保管,除了禁止信息处理者泄露、篡改或非法提供个人信息外,最重要的是对处理者提出具体的要求,强制其采取相应的措施,保护个人信息的安全我国实践中之所以出现大量的电信诈骗案件,很重要的原因就是处理者没有采取相应的措施来确保个人信息的安全,从而导致了个人信息被泄露、篡改或丢失故此,《民法典》第1038条第2款规定“信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息an全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,依照规定告知自然人并向有关主管部门报告”《全国人民代表大会常务委员会关于加强网络信息保护的决定》第4条规定“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息an全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施”《网络安全法》第42条第2款也规定“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息an全,防止信息泄露、毁损、丢失在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”由此可见,信息处理者负有的保证个人信息an全的义务内容包括以下两项
1.采取技术措施确保个人信息an全所谓技术措施,是指通过对个人信息进行加密、匿名,采取更安全可靠的数据系统、存储措施,采取防止黑客等第三方非法入侵信息系统等技术上的手段措施,从而实现保证个人信息an全,防止个人信息泄露、窃取、篡改、毁损、灭失例如,欧盟《一般数据保护条例》第32条第
1、2款规定“
1.考虑行业现状、实施成本、处理性质、范围、目的,以及处理活动可能的风险和处理可能给自然人权利自由造成影响的程度,控制者、处理者应当实施适当的技术性和组织性措施,以确保与风险相适应的安全等级,视情况而定包括(a)个人数据的匿名和加密;(b)确保处理系统和服务的保密性、完整性、可用性以及系统可恢复性的能力;(c)在发生物理或者技术故障的情况下,个人信息的恢复可用性及可访问性;(d)对技术性及组织性措施的有效性定期进行测试、访问、评估,以确保处理过程的安全性
2.安全账户等级评估应当特别考虑处理过程中的风险,特别是在个人数据的传输、存储以及其他方式的处理过程中意外或非法销毁、灭失、变更、未经授权披露或者访问对于非数据化形式存在的个人信息(如存在于纸面上的个人信息)以及虽然被数据化但存储于未连接互联网的计算机中的个人信息而言,安全措施无非就是防火、防盗、防潮等容易实施复杂的是以数据形式存储于网络信息系统中的个人信息,为此我国《网络安全法》《计算机信息系统安全保护条例》《电信条例》等法律法规作出了详细的规定首先,针对网络运营者采取技术措施保障数据信息an全的义务,《网络安全法》第21条规定“国家实行网络安全等级保护制度网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务”所谓网络安全等级保护,是指根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭受破坏、丧失功能或者数据被篡改、泄露、丢失、毁损后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等,对网络安全保护实行分级保护的制度具体而言,分为五个网络安全保护等级第一级,一旦受到破坏会对相关公民、法人和非法人组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络;第二级,一旦受到破坏会对相关公民、法人和非法人组织的合法权益造成严重损害,或者对社会秩序或公共利益造成危害,但不危害国家安全的一般网络;第三级,一旦受到破坏会对相关公民、法人和非法人组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络;第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络;第五级,一旦受到破坏会对国家安全造成特别严重危害的极其重要网络因此,网络服务提供者应当根据自己所提供的网络的评级与定级结果,采取不同的网络安全保护措施其次,对于关键信息基础设施的运行安全的特别规定所谓关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施(《网络安全法》第31条)根据《网络安全法》第34条,除了负有一般的网络服务提供者的安全保护义务之外,关键信息基础设施的运营者还负有如下义务:
(1)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(2)定期对从业人员进行网络安全教育、技术培训和技能考核;
(3)对重要系统和数据库进行容灾备份;
(4)制定网络安全事件应急预案,并定期进行演练;
(5)法律、行政法规规定的其他义务
2.其他必要措施所谓其他必要措施,是指为了维护个人信息的安全而依据当时的情形等应当采取的措施毕竟法律法规规章不可能将所有的保护个人信息an全的措施列举完毕,因此,虽然法律法规没有规定,但是根据具体的情形(如个人信息存储的容量、遭受非法侵入的风险和己经发生的时间、处理者的技术水平和财务能力等),处理者应当采取的保护个人信息an全的措施就是必要措施处理者没有采取技术措施和其他必要措施确保其收集、存储的个人信息an全,以致信息泄露、篡改、丢失的,应当依法承担法律责任例如,在“赵某与北京链家房地产有限公司等一般人格权纠纷案”中,法院明确指出“链家公司要求经纪人必须将客户的身份证、房产证及合同信息拍照后上传至公司内网链家公司可以预见,在这样的处理方式下会极大地增加侵犯客户个人信息行为发生的可能性和危险性,而链家公司对此没有采取任何实际有效的操作规程等防范措施予以风险的防控,公司员工可以轻易将业主个人信息泄露用于非法目的因此,本案侵权事实的发生与链家公司内部对客户个人信息的保护存在监管漏洞直接相关因链家公司的管理存在过错其亦应对赵某的个人信息被侵害的损害后果承担侵权责任”(7]
(二)采取补救措施的义务《民法典》第1038条第2款第2句和《网络安全法》第42条第2款规定,发生或者可能发生个人信息泄露、毁损、丢失的,应当及时采取补救措施,依照规定告知自然人并向有关主管部门报告这就是所谓的采取补救措施的义务关于该义务,需要注意以下几点首先,只要发生或者可能发生个人信息泄露、篡改、丢失,处理者就应当及时采取补救措施,至于导致个人信息泄露、篡改或丢失的原因是否可归责于处理者,在所不问也就是说,即便处理者完全没有任何过错可言,即完全是第三人的行为如黑客攻击造成的,只要发生或者可能发生个人信息的泄露、篡改、丢失,处理者就应当采取补救措施,同时按照规定告知被收集者和向有关主管部门报告所谓及时,我国法律没有确定具体的时间,欧盟《一般数据保护条例》第32条规定的是72小时其次,及时采取补救措施并不免除处理者的侵权责任申言之,只要个人信息泄露、篡改、丢失,给自然人造成了损害,处理者即便及时采取了补救措施,那么也只是对于采取补救措施之后基于自然人自身的原因而导致的扩大的损失不承担责任,而对于采取补救措施之前己经造成的损害,依然要承担赔偿责任处理者如果没有及时采取补救措施或者根本就不采取补救措施,则对扩大的损害也要承担赔偿责任再次,处理者应当依照规定及时告知被收集者,从而促使被收集者提前采取措施避免因为个人信息泄露、篡改、丢失而遭受损害告知的方式可以是逐一通知,也可以是采取显著的可获知的公告的方式例如,欧盟《一般数据保护条例》第34条第
1、2款规定“若个人数据泄露可能给自然人权利和自由造成高风险,控制者应当及时向数据主体告知个人数据泄露本条第1款所述的告知数据主体,应当至少包括本条例第33条第3款bcd项所述的信息和措施,并且用清晰易懂的语言描述个人数据泄露的性质”至于通知的内容,通常应当包括1对个人信息泄露、篡改或丢失的描述,如泄露的原因,被泄露的个人信息的种类等;2己经采取的补救措施;3可能对自然人造成的危险或损害以及可以采取的预防或减少损害的措施;4处理者负责此次事件的人员及联系方式等最后,出现个人信息泄露等事件后,处理者应当向有关主管机关报告我国没有设立专门的个人信息保护机构,而是依据不同类型的个人信息由不同的部门主管《网络安全法》第8条第1款规定国家网信部门负责统筹协调网络安全工作和相关监督管理工作国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作之所以在出现个人信息泄露等事件后,处理者要向有关主管机关报告,是因为一方面,个人信息的泄露等事件往往是大规模的,涉及广大人民群众的人身财产安全一⑻主管机关作为个人信息的保护监管机构,应当了解相应的情况,从而采取相应的措施例如,对出现泄露的处理者要求整改,作出处罚,涉嫌犯罪的,移送犯罪线索给公安机关进行侦查另一方面,通过掌握每一起个人信息泄露事件有关个人信息保护机关也可以进一步完善相应的监管措施,包括在将来修订完善的相应的法律法规第一千零三十九条【国家机关及其工作人员对个人信息的保密义务】国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供本条主旨本条是对国家机关、承担行政职能的法定机构及其工作人员保护自然人的隐私和个人信息的义务的规定相关条文《全国人民代表大会常务委员会关于加强网络信息保护的决定》第10条第2款规定:“国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供《网络安全法》第44条规定“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”《网络安全法》第45条规定“依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供《电子商务法》第25条规定“有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的,电子商务经营者应当提供有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供《社会保险法》第92条规定“社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员泄露用人单位和个人信息的,对直接负责的主管人员和其他直接责任人员依法给予处分;给用人单位或者个人造成损失的,应当承担赔偿责任”《国际刑事司法协助法》第17条第2款规定“办案机关在执行请求过程中,应当维护当事人和其他相关人员的合法权益,保护个人信息《国家情报法》第19条规定“国家情报工作机构及其工作人员应当严格依法办事,不得超越职权、滥用职权,不得侵犯公民和组织的合法权益,不得利用职务便利为自己或者他人谋取私利,不得泄露国家秘密、商业秘密和个人信息《居民身份证法》第6条第3款规定“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密”《统计法》第9条规定“统计机构和统计人员对在统计工作中知悉的国家秘密、商业秘密和个人信息,应当予以保密”《护照法》第12条第3款规定“护照签发机关及其工作人员对因制作、签发护照而知悉的公民个人信息,应当予以保密”理解与适用
一、规范目的所谓国家机关,包括立法机关、司法机关和行政机关承担行政职能的法定机构是指虽然不属于国家机关,但是实际上承担行政职能的机构,即法律法规授权具有行政职能的事业单位和社会组织例如,依据《中共中央、国务院关于分类推进事业单位改革的指导意见》的要求,对完全承担行政职能的事业单位,可调整为相关行政机关的内设机构,确需单独设置行政机构的,要按照精简效能的原则设置已认定为承担行政职能、但尚未调整到位的事业单位,在过渡期内继续按照现行法律法规和政策规定履行职责,使用事业编制且只减不增,人事、财务、社会保险等依照国家现行政策规定实施管理实践中,存在不少这样的依法履行行政职能的事业单位,如有些地方以事业单位名义设立,但依法承担行政管理职能的广播电视局、新闻出版局、旅游局、房地产管理局、知识产权局等此外,实践中还有一些并不属于国家机关,但是依法承担公共服务职能的单位,如社会保险经办机构(其提供社会保险服务,负责社会保险登记、个人权益记录、社会保险待遇支付等工作)、不动产登记中心(其具体承担不动产登记业务)等国家机关、承担行政职能的法定机构及其工作人员在依法履行职责的过程中,不仅要大量收集自然人的个人信息,也产生出新的个人信息,同时还会知悉很多自然人的隐私此外,由国家机关、承担行政职能的法定机构所处理的个人信息,其准确度也非常高如果国家机关、承担行政职能的法定机构及其工作人员不能有效保守所知悉的自然人的隐私和个人信息将会对自然人的人格尊严、人格自由和人身财产权益的安全造成很大的危险及损害故此,在个人信息保护立法中,有些国家或地区专门对公务机关即国家机关处理个人信息加以规范以区别非公务机关的个人信息处理行为例如,德国《联邦数据保护法》专门对公共机关(ffentlicheStellen)的信息保护义务作出了规定,而我国台湾地区的“个人资料保护法”更是将个人资料的收集、处理及利用区分为两种类型,分两章加以规定,其中第2章规定的是“公务机关对个人资料之收集、处理及利用”,第3章规定的是“非公务机关对个人资料之收集、处理及利用依据该“法”第2条第7款和第8款,所谓公务机关,指依法行使公权力之中央或地方机关或行政法人非公务机关是指上述以外之自然人、法人或其他团体欧盟《一般数据保护条例》并未依据公务机关与非公务机关对个人信息处理行为作出不同的规定,但是条例排除了两类情形下公共机关处理个人数据活动对该条例的适用一是依据该条例第2条第2款之规定,主管当局以预防、调查、侦查或起诉刑事犯罪,或执行刑事处罚为目的,包括保障并预防公共安全受到威胁而进行的个人数据处理,不适用该条例,但是,依据该条例“鉴于条款”第19条,公权力机构在出于上述目的对个人数据进行处理时,应适用更加具体的欧盟法律,即欧洲议会和欧盟理事会发布的指令(EU)2016/680成员国可以将任务委托给指令(EU)2016/680中定义的主管机构,任务如果不是为了预防、调查、侦查或起诉刑事罪行或执行刑事处罚,包括保障和防止出现对公共安全及其相关数据自由流动的威胁有必要进行个人数据处理活动,而是为了其他目的,则只要属于欧盟法所调整的范围,就应适用《一般数据保护条例》当主管机构出于《一般数据保护条例》规定的目的而进行个人数据处理时,成员国应当能够维持或采取更加具体的规定来适用该条例的规则二是,依据该条例“鉴于条款”第20条,当该条例适用于法院和其他司法机关的活动时,欧盟或成员国法律可以对有关法院和其他司法机关处理个人数据的操作和程序进行具体规定为保障司法机关在履行包括作出裁判在内的司法职能时能保持司法独立,法院因履行司法职能而进行的个人数据处理活动不受监管机构监督管理,可允许各国将该种数据处理行为的合法监督授权于成员国司法系统内部的特定机构,从而确保《一般数据保护条例》得以遵守、增强司法系统内成员有关本条例承担责任的意识,并且处理有关数据处理活动的投诉我国目前尚无专门的个人信息保护法,无论是《民法典》还是《网络安全法》等法律,都没有按照公务机关和非公务机关对个人信息处理行为作出不同的规定,不过法律上也注意到国家机关、承担行政职能的法定机构及其工作人员应当严格履行保护自然人隐私和个人信息不被非法泄露的义务《民法典》第1039条的规定也正是为了强化个人信息的保护而专门作出的除了前文所列法律规定外,我国还有大量的行政法规就国家机关、承担行政职能的法定机构及其工作人员对依法履行职责中知晓自然人的隐私和个人信息予以保密的规定,如《个人所得税法实施条例》《全国经济普查条例》《征信业管理条例》《戒毒条例》《居住证暂行条例》《缺陷汽车产品召回管理条例》等
二、政府信息公开与隐私和个人信息的保护所谓政府信息,是指行政机关在履行行政管理职能过程中制作或者获取的,以一定形式记录、保存的信息依据《政府信息公开条例》,行政机关公开政府信息,应当坚持以公开为常态、以不公开为例外,遵循公正、公平、合法、便民的原则除了该条例第14〜16条规定的政府信息外,政府信息应当公开该条例第15条规定“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开但是,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开由此可见,原则上涉及个人隐私的政府信息,若公开会损害他人的合法权益,则不得公开,但是第三方同意公开或行政机关认为不公开会对公共利益造成重大影响的,即便该政府信息涉及个人隐私或个人信息,也应当公开这实际上就是基于公共利益的考虑而对自然人的隐私权和个人信息权益所作出的限制此外,依据《最高人民法院关于审理政府信息公开行政案件若干问题的规定》第5条第2款的规定,因公共利益决定公开涉及商业秘密、个人隐私政府信息的,被告应当对认定公共利益以及不公开可能对公共利益造成重大影响的理由进行举证和说明例如,在一起案件中,原告依据《政府信息公开条例》要求被告房管局公开经适房、廉租房的分配信息并公开所有享受该住房住户的审查资料信息(包括户籍、家庭人均收入和家庭人均居住面积等),被告以这些信息涉及他人隐私为由拒绝公开一审法院支持被告的观点,认为原告要求公开的政府信息包含享受保障性住房人的户籍、家庭人均收入、家庭人均住房面积等内容,此类信息涉及公民的个人隐私,不应予以公开,判决驳回原告的诉讼请求二审法院则认为,虽然申请人申报的户籍、家庭人均收入、家庭人均住房面积等情况属于个人隐私,但这些信息属于申请人能否享受保障性住房的基本条件只要申请经适房,就必须要向主管部门提供符合相应条件的个人信息,以接受审核“当涉及公众利益的知情权和监督权与保障性住房申请人一定范围内的个人隐私相冲突时,应首先考量保障性住房的公共属性,使获得这一公共资源的公民让渡部分个人信息,既符合比例原则,又利于社会的监督和住房保障制度的良性发展”因此,被告房管局以涉及个人隐私为由拒绝公开是违法的,二审判决被告自判决生效之日起15个工作日内对申请人的信息公开申请重新作出书面答复己L
三、政府信息共享与个人信息保护为了更好地提供公共服务,遵循便民利民原则,实现“信息多跑路,群众少跑腿,打破信息孤岛,党中央和国务院大力推进“互联网+政务”,希望能够通过电子政务的建设,将各部门的数据连通,实现共享《政务信息资源共享管理暂行办法》第2条规定,政务信息资源,是指政务部门(即政府部门及法律法规授权具有行政职能的事业单位和社会组织)在履行职责过程中制作或获取的,以一定形式记录、保存的文件、资料、图表和数据等各类信息资源,包括政务部门直接或者通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的信息资源等依据该办法第5条,政务信息资源“以共享为原则,不共享为例外各政务部门形成的政务信息资源原则上应予共享,涉及国家秘密和安全的,按相关法律法规执行“需求导向,无偿使用因履行职责需要使用共享信息的部门(以下简称使用部门)提出明确的共享需求和信息使用用途,共享信息的产生和提供部门(以下统称提供部门)应及时响应并无偿提供共享服务”显然,政府信息共享时如果涉及对个人信息的共享,实际上就属于个人信息的处理者将收集的个人信息提供给他人的情形合法的数据共享应当以合法的个人信息处理为前提上那么,政府机关共享各自收集的个人信息,是否要符合这一规定,取得被收集者的同意呢?王利明教授指出,数据共享必须取得个人信息权利人即自然人的授权,而且必须是特别授权,不允许概括授权本书赞同这一观点,即除非法律、行政法规另有规定,否则政府机关之间共享个人信息,就是属于我国《民法典》第1038条第1款第2句规定的情形,因此,“未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外
四、国家机关、承担行政职能的法定机构及其工作人员违反个人信息保护义务的法律责任国家机关、承担行政职能的法定机构及其工作人员不履行法律规定的对履行职责过程中知悉的自然人的隐私和个人信息予以保密的义务,而泄露或者向他人非法提供个人信息或隐私的,应当承担法律责任例如,《网络安全法》第72条规定“国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分”第73条规定“网信部门和有关部门违反本法第三十条规定,将在履行网络安全保护职责中获取的信息用于其他用途的,对直接负责的主管人员和其他直接责任人员依法给予处分网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分”再如,《社会保险法》第92条规定“社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员泄露用人单位和个人信息的,对直接负责的主管人员和其他直接责任人员依法给予处分;给用人单位或者个人造成损失的,应当承担赔偿责任”因此,国家机关、承担行政职能的法定机构及其工作人员泄露隐私或个人信息,给自然人造成损害的,受害人有权依法请求侵权人承担侵权责任当然,国家机关在承担了用人者责任后,可以依据《民法典》第1191条第1款,向有故意或者重大过失的工作人员追偿。